21世纪经济报道 记者郭聪聪

　　近日，银行业保险业迎来首份以人工智能安全开发应用为主题的专项监管总纲文件。

　　6月18日，国家金融监督管理总局正式发布《关于银行业保险业人工智能安全开发应用的指导意见》[金发〔2026〕8号]（下称《指导意见》），从治理架构、开发应用、数据治理、算力建设、风险管理、能力提升、保障与监督等七大方面提出了32项指导性意见。

　　此时出手，并非偶然。

　　过去近三年，从银行机构到保险行业，AI应用迎来大规模落地。据长期关注大模型市场中标情况的“智能超参数”数据，2025年金融行业大模型中标项目达587个，披露金额15.06亿元，较2024年的133个项目、2.4亿元实现跨越式增长。

　　其中，银行业发起采购项目290个，占金融行业总项目数的近一半，披露中标金额占比高达75.2%。“这就像十年前银行大力建设网上银行系统一样，现在大家都在抢建自己的‘AI大脑’。”一位城商行数字建设相关负责人这样向21世纪经济报道记者形容。

　　AI应用也已从早年问答辅助、文案生成的浅层应用，走向支撑前台决策——信贷审批、资产评估、风险定价等。AI时代的到来，无疑将推动银行业数字金融发展迈入新阶段。

　　但技术狂奔的另一面，是风险暗涌。农业银行董事长谷澍就在2026陆家嘴论坛上指出，大模型应用面临模型黑箱、模型“幻觉”，以及模型自主思考和决策带来的不确定性三大类风险。

　　正是在这一背景下，《指导意见》应运而生。金融监管总局有关司局负责人表示，制定该意见的目的是规范银行业保险业金融机构对人工智能的开发应用，有效防控技术应用可能带来的风险，有序推进人工智能科技创新与金融业务深度融合。

　　“谁使用谁负责”，压实金融机构的主体责任

　　《指导意见》开宗明义，确立了金融机构安全开发应用人工智能的四大原则：谁使用谁负责、自主可控、务实高效、安全发展。

　　“谁使用谁负责”，被放在了第一位。

　　《指导意见》要求压实金融机构作为人工智能技术使用方的主体责任，强化金融机构内部各环节工作责任落实，明确人工智能开发应用各方分工和权责义务。

　　同时，在完善人工智能治理方面，《指导意见》要求加强顶层设计与治理体系建设，要求董（理）事会指定专门委员会对人工智能开发应用管理负责，强化战略引领，统筹制定发展规划。

　　博通咨询金融行业资深分析师王蓬博告诉记者：“过去，部分银行将AI应用视为业务或科技部门的自主事项，缺乏顶层约束，这容易导致模型滥用或责任模糊。我觉得本次制度设置初衷在于将AI从技术工具定位提升至战略风险管理范畴，此次明确治理架构，意在推动AI决策与机构整体风险偏好对齐。”

　　从具体执行来看，《指导意见》要求银行保险机构调整的事项包括：完善模型研发、数据治理、安全运行、外包管理等方面的基本制度规范，组建跨业务、科技、数据职能的协同机制，培养具备人工智能素养与业务能力的复合型人才队伍，确保人工智能应用与机构自身风险管理能力相匹配。

　　王蓬博对此判断，未来银行内部或将形成以董事会为决策中枢、风险管理部门为审核主体、科技与业务条线为执行单元的闭环管理体系，AI项目的准入、监控与退出都必须被纳入统一合规框架。

　　“务实高效”：按下“为新而新”的暂停键

　　另一条值得关注的原则为“务实高效”——《指导意见》要求“以提升业务价值为导向，科学规划人工智能开发应用投入，有效平衡成本与效益，摒弃‘为新而新、为用而用’的倾向”。

　　这条原则的出台，有着鲜明的现实针对性。近两年来，金融业正领跑大模型采购热潮，银行、保险机构纷纷跑步入场。大模型采购数量及金额逐年创下新高，据长期关注大模型市场中标情况的“智能超参数”数据，2025年金融行业大模型中标项目达587个，披露金额15.06亿元，较2024年的133个项目、2.4亿元实现跨越式增长。

　　但大步发展之下，问题也开始浮现。部分机构在未清晰界定业务需求的情况下便跟风上马大模型项目，导致投入产出比偏低。还有一些机构将AI应用于并不适合的场景，效果不及预期。

　　“为新而新、为用而用”的现象并非个案。前述银行机构数字建设相关负责人就坦言，有些银行采购大模型，不是为了解决某个具体的业务痛点，而是因为“别人都有了，我不能没有”。

　　《指导意见》明确提出摒弃这一倾向，正是要给行业的盲目跟风按下暂停键。

　　这并不意味着抑制创新，而是引导银行回到“业务价值”的原点——先问“为什么要用AI”，再问“怎么用AI”。正如中国银行行长张辉在陆家嘴论坛上所言，“必须坚持业务驱动、需求牵引，选择发生频率高、标准化程度高的任务场景作为切入点”。

　　高风险应用设闸门，个人信息划红线

　　除却指导原则之外，针对高风险应用的准入管理和个人数据的保护红线，也为银行AI实践划出了制度边界。

　　《指导意见》要求金融机构将人工智能风险纳入全面风险管理体系，实施风险分类分级管理和高风险应用准入管理。在高风险应用关键环节要建立人工监督和干预机制，加强外包和供应链风险管理。

　　什么是“高风险应用”？新规给出了清晰的界定：涉及资金交易、资产评估、信贷审批、承保理赔、风险管理，以及直接影响金融合约达成的生成式人工智能场景应用，均被列为“高风险应用”。

　　针对这些场景，新规设了三道“闸门”：第一，人工智能高风险应用须经本机构风险管理委员会批准后方可实施；第二，在高风险应用关键环节建立人工监督和干预机制，明确紧急停用及模型退出条件，建立备用系统或人工替代流程；第三，面向公众或高风险场景使用生成式AI的，必须向金融监管总局或其派出机构报告。

　　王蓬博认为，这是为了保护资金安全、维护用户权益，防范算法决策在关键金融环节引发不可逆风险。“因为毕竟这些场景直接关联信用风险、市场风险和消费者权益，一旦模型出现偏差或被恶意利用，可能造成系统性影响。”

　　在他看来，最大挑战在于操作落地，“既要确保人工环节具备专业判断能力，避免沦为形式审查，又需建立清晰的触发阈值、响应流程和权责划分，否则可能造成效率损耗与风控脱节并存的局面”。

　　在数据方面，《指导意见》也明确划出红线：姓名、身份证号、手机号、银行卡号等个人信息和隐私数据不得用于生成式人工智能模型训练和优化。

　　一位在股份行从事数据工作的人士回复称，过往高敏感客户信息也不会被直接用于大模型训练，这在《个人信息保护法》中已有明确规定，指导意见相当于再次重申。

　　王蓬博认为，这一举措长期看有助于倒逼数据治理体系升级。他判断，该条款将加速银行在合成数据、差分隐私、联邦学习等替代技术上的探索与部署，推动数据基础设施转向“合规供给”。“未来，能否在保障隐私前提下构建高质量训练数据集，将成为银行AI能力建设的关键分水岭，也可能重塑其在智能风控、客户服务等领域的竞争格局。”王蓬博表示。