6月18日,金融监管总局发布《关于银行业保险业人工智能安全开发应用的指导意见》(以下简称《指导意见》),从治理架构、开发应用、数据治理、算力建设、风险管理、能力提升、保障与监督等方面提出32项指导性意见。这是贯彻党中央关于加强人工智能治理战略部署和落实《国务院关于深入实施“人工智能+”行动的意见》的重要举措,对于督促金融机构稳步推进人工智能科技创新与金融业务深度融合,加快培育发展金融行业新质生产力,有效应对人工智能发展带来的风险挑战,引导金融领域人工智能应用朝着有益、安全、公平方向健康有序发展等有着积极意义。
近年来,围绕做好数字金融大文章,更好服务经济社会发展,银行业保险业在人工智能的开发应用方面进行了较多探索。当前,银行业保险业在信贷审批、智能理赔、量化交易、智能客服等场景中广泛利用人工智能,以提升经营发展质量和客户服务质量,甚至在某些领域对人工智能的开发应用处于领先水平,直接推动人工智能及其应用发展。但在此过程中,也有人工智能本身存在算法黑箱的风险,以及银行业保险业面临数据安全管理等隐患,需要按照《指导意见》的要求,划定银行保险机构人工智能研发、落地、风控、运维全链条合规底线,平衡技术创新、应用与安全,让人工智能的优势更好展现。
一是健全顶层治理架构,压实机构主体管理责任。《指导意见》明确要求董(理)事会指定专门委员会统筹人工智能开发应用管理。银行保险机构需要从战略层面统一规划人工智能投入、场景布局与风险约束标准,打破业务、科技、数据、风控部门职能壁垒,建立跨条线协同治理机制。配套完善模型研发、隐私保护、外包合作、应急处置等专项制度,杜绝重技术落地、轻风险管控的应用模式。加快培育兼具金融业务、算法技术、合规风控能力的复合型人才队伍,建立权责清晰的岗位分工,明确人工智能开发、测试、运维、审核各环节责任人,形成可追溯的治理链条。
二是搭建人工智能全生命周期闭环管理体系。依据《指导意见》要求,银行保险机构要构建贯穿需求分析、数据准备、训练开发、部署运行、维护迭代、评估退出等阶段的全生命周期管理机制。对此,银行保险机构需要在需求阶段前置开展合规、伦理审查;数据准备环节落实数据分级脱敏、权限隔离,严控敏感信息流转;训练开发阶段完成算法公平性、对抗性安全测评;部署运行阶段上线审批留痕,高风险业务的人工监督和干预;维护迭代阶段实行变更备案,定期开展算法复盘、漏洞修复;评估退出阶段定期风险评估。全流程留存完整可追溯的日志,明确各环节的责任主体,实现全链条风险可控、监管可核查。
三是构建高标准数据安全治理体系,严守客户隐私与数据合规红线。《指导意见》对银行业保险业数据使用划定刚性约束,姓名、身份证号、手机号、银行卡号等个人信息和隐私数据不得用于生成式人工智能模型训练和优化。银行业保险业需要完善分级分类数据管理机制,对客户隐私数据、信贷风控数据、承保理赔核心数据划分安全等级,配套脱敏、加密、访问权限管控技术手段,测试环境与生产环境做好物理隔离,禁止原始敏感数据流入测试场景。规范数据采集、标注、共享流程,对外数据合作履行好合规管理程序。平衡数据要素利用与个人信息保护,杜绝因数据违规引发监管处罚与消费者权益纠纷。
四是规范模型安全开发与测评机制,提升算法稳健性、透明度与可解释性。《指导意见》重点强调模型质量管控,鼓励有条件的金融机构建立一站式人工智能开发平台,实现模型开发部署全流程管理,加强模型安全护栏建设。银行业保险业需要在开发环节优化训练数据集质量,规避样本失衡、数据偏见问题,开展多场景压力测试、对抗攻击检测,提升模型抗干扰、抗漂移能力,不断推进模型持续迭代优化。金融机构面向公众服务或高风险场景使用生成式人工智能技术的,须做好向监管部门的报告,对人工智能生成内容进行显著标识,并向金融消费者主动说明。
五是布局自主可控安全算力底座,夯实人工智能底层技术安全保障。按照《指导意见》算力建设相关条款,银行保险机构按需搭建自主可控、安全高效的算力基础设施,加强智能算力资源的云化管理,加强对人工智能应用的运行监测。大型银行、保险集团可统筹建设行业共享算力节点,面向中小机构输出合规的算力服务,降低中小银行保险机构智能化转型成本。中小银行保险机构依托国家或行业共建的基础设施,避免重复建设。对算力资源实行云化加强管理,建立算力访问身份认证、操作行为实时监测体系,一体化管控算力、模型、网络运行状态,防范算力入侵、算力滥用、算力劫持风险。
六是实施人工智能应用分类分级差异化风控,完善高风险场景的人工干预机制。《指导意见》清晰界定高风险应用范围,信贷审批、资产评估、资金交易、承保理赔等被视为是高风险应用。银行保险机构需全面梳理内部人工智能应用清单,划分风险等级并实施分级准入、分级监测、分级处置。高风险场景建立完善人工监督和干预机制,建立完善人工智能风险动态评估机制,把人工智能风险全面纳入机构整体全面风险管理框架进行常态化管控。设置人工智能决策兜底人工干预权限,配套纯人工替代业务流程,杜绝算法全权主导核心金融决策,通过模型和人工的综合应用提高发展安全水平。
七是完善外包合作安全管理,防范外部技术风险传导扩散。《指导意见》要求,银行保险机构对人工智能技术外包、开源组件做好风险管控,对外包合作机构实行名单制管理。银行保险机构开展外包合作前,要全面核查服务商数据安全能力、算法合规资质,在合作协议中明确数据权属、保密义务、安全追责条款,禁止外包方私自留存、外传客户金融数据。针对开源框架、开源代码建立台账管理,上线前完成代码审计、漏洞扫描、安全测试。严格控制对外技术的依赖程度,关键业务人工智能系统优先自主研发,建立外包风险隔离机制,防止外部算法缺陷、数据泄露风险跨机构、跨业务传导。
