各金融监管局,各政策性银行、大型银行、股份制银行、外资银行、金融资产管理公司、理财公司,各保险集团(控股)公司、保险公司、保险资产管理公司,各金融控股公司,各总局管理单位:
为深入贯彻《中华人民共和国国民经济和社会发展第十五个五年规划纲要》关于加快人工智能技术创新、加强人工智能治理的战略部署,落实《国务院关于深入实施“人工智能+”行动的意见》,推动数字金融高质量发展,有序推进人工智能科技创新与金融业务深度融合,引导金融领域人工智能应用朝着有益、安全、公平方向健康有序发展,现提出如下意见。
一、总体要求
以习近平新时代中国特色社会主义思想为指导,完整准确全面贯彻新发展理念,坚持防风险、强监管、促高质量发展的工作主线,统筹发展和安全,加快培育发展金融行业新质生产力,推动人工智能应用合规、透明、可信赖,加强分类分级管理,有效应对人工智能发展带来的风险挑战,更好服务实体经济和满足人民群众需要。
坚持谁使用谁负责,压实金融机构作为金融服务提供方、人工智能技术使用方的主体责任,强化金融机构内部各环节工作责任落实,明确人工智能开发应用各方分工和权责义务。
坚持自主可控,持续提升人工智能相关技术、设备自主可控水平,提高对业务经营发展有重大影响的关键平台、关键软硬件的自主研发能力,加强信息技术应用创新适配。
坚持务实高效,以提升业务价值为导向,科学规划人工智能开发应用投入,有效平衡成本与效益,推动人工智能切实服务经济高质量发展和金融业务高效运转。
坚持安全发展,严格落实国家网络安全和信息化工作要求,遵守网络安全、数据安全各项法律法规制度,强化技术安全和应用安全保障,全面提升安全防护和应急处置能力。
二、完善人工智能治理架构
(一)加强人工智能安全开发应用治理。开发应用人工智能的银行业保险业金融机构(以下简称金融机构),董(理)事会应指定专门委员会对人工智能开发应用管理负责,统筹制定发展规划,推进能力体系建设,制定制度规范,明确牵头部门和跨业务、科技、数据职能部门的协同机制,加强人才队伍建设,遵循技术发展客观规律,确保人工智能应用与金融机构风险管理能力相匹配。
(二)建立人工智能应用管理体系。金融机构应建立健全人工智能应用需求分析、数据准备、训练开发、部署运行、维护迭代、评估退出的全生命周期管理体系,规范模型研发、应用及资产管理,加强数据安全评估、算法风险筛查、伦理审查评估、责任追溯机制建设,实施人工智能应用风险分类分级管理。探索建立业务价值导向的人工智能应用绩效评估机制。
(三)加强人工智能应用场景和业务流程管理。金融机构应按照应用场景与技术适配原则,加强人工智能算法评估,将合适的人工智能技术应用于适当的业务场景。推动人工智能在服务实体经济、加强金融风险管理等领域发挥积极作用,穿透管控关联交易、资金运用等重点领域风险问题。完善人机协同的业务管理流程,科学设定人工智能的功能边界、系统和数据权限,明确人员岗位责任,确保业务全流程管理责任清晰、可落实、可追溯。
三、推进高水平人工智能开发应用
(四)完善开发与测评体系。鼓励有条件的金融机构建立一站式人工智能开发平台,实现模型开发部署全流程管理。加强面向业务人员的低代码开发、交互式模型验证能力建设。完善人工智能测评体系,建设测试工具链、测评指标和测试用例集,全面评估模型的基础能力、金融业务支持能力、安全可靠性,提高自动化测评能力。
(五)推动新一代人工智能技术应用。支持金融机构在风险可控的前提下,推进生成式人工智能技术的业务应用和配套能力体系建设,稳妥探索人工智能技术研发和金融智能体建设。金融机构对生成式人工智能模型要实施准入管理,评估模型效能及安全合规性。外部引入的生成式人工智能模型需经过网信部门备案。
(六)加强人工智能运营服务体系建设。定期开展对模型效能的测评分析,构建数据闭环反馈机制,形成“数据—模型—应用”的迭代优化。支持有条件的金融机构建立企业级模型即服务(MaaS)平台,实现模型在企业层面共享复用。
(七)促进行业人工智能应用生态建设。推进人工智能金融行业应用基础设施建设,促进人工智能应用成果在行业共享复用。鼓励大型金融机构发挥示范作用,向中小金融机构输出人工智能技术和管理经验。支持中小金融机构加强协作,共同推进应用场景落地。鼓励与人工智能产业加强协同,以金融应用促进产业创新发展,以产业成果促进金融应用提质增效。
四、提升数据治理能力
(八)完善数据管理运营体系。金融机构要推动数据运营机制建设,建立覆盖数据全生命周期的管理流程,提升数据服务能力。构建企业级数据模型和数据资产地图,强化元数据管理,确保数据可寻可用,不同类型的数据可兼容,数据源头可追溯。加强对非结构化数据的管理,制定数据采集、清洗、标注、应用、退出管理规范。稳妥选择使用技术自主、性能可靠、安全防护能力强的数据库产品。
(九)建设人工智能高质量数据集。金融机构应针对人工智能业务场景持续推进高质量数据集建设,确立数据质量标准,建立高效的质量检控机制,确保数据准确性、相关性、一致性、完整性和无偏见。探索运用人工智能技术强化实时数据、非结构化数据的动态感知、智能提取和解析处理。持续监测数据分布漂移,确保数据集及时更新。
(十)支持行业数据集共建共享。鼓励有条件的金融机构协同多源数据,融合行业经验知识与专业判断,通过系统性筛选、清洗、标注、合成等方式形成高质量数据集,支持金融机构间依法合规开展数据集共享。
(十一)推进知识工程建设。支持金融机构构建企业级知识管理体系。坚持服务业务的价值导向,构建核心知识模型,建立知识萃取、整合、共享机制流程,建立从知识创建、审核、发布、更新到归档的全流程管理规范。鼓励利用人工智能技术提升知识萃取、表示、融合和对齐能力。
五、加强智能算力建设
(十二)加强智能算力设施建设。金融机构应充分依托已有算力资源基础,按照国家相关政策要求,按需布局智能算力资源建设,应用绿色低碳技术,建设自主可控、安全高效的算力底座,助力高水平科技自立自强。鼓励有条件的大型金融机构向中小金融机构输出算力服务,支持同业探索基础设施共建共享。支持金融机构在安全合规前提下,使用国家算力节点或行业基础设施降低人工智能研发应用成本,加强对智能算力资源的信息科技重要外包管理。
(十三)提高安全运行能力。金融机构要加强智能算力资源的云化管理,加强对人工智能应用的运行监测,实现对应用、模型、算力、网络的一体化管理,保障人工智能应用安全可靠运行。
六、完善人工智能风险治理框架
(十四)健全风险治理体系。金融机构应将人工智能风险纳入全面风险管理体系,定期开展对人工智能应用风险及管理措施的评估审查。推动模型算法、数据资源、基础设施、应用系统等安全能力建设,完善业务及风险管理流程,防范模型生成结果不可靠风险,防止模型黑箱导致关键业务流程难落责问题。夯实数据安全、网络安全、个人信息与隐私保护和业务连续性基础。有效应对金融业务侧可能产生的投资策略趋同、放大市场波动风险,严禁滥用人工智能技术生成虚假信息、操纵市场价格。
(十五)实施风险分类分级管理。金融机构应根据业务场景重要性、应用规模、对客影响度、模型依赖度、模型复杂度等因素,对人工智能应用进行风险识别和分类分级管理。建立管理制度,制定应用清单,实施分级管控措施,落实管理责任。
(十六)强化高风险应用准入管理。涉及资金交易、资产评估、信贷审批、承保理赔、风险管理等,以及与客户利益直接相关、直接影响金融合约达成的生成式人工智能场景应用应被视为高风险应用。人工智能高风险应用须经本机构风险管理委员会批准后方可实施。
(十七)加强高风险应用监测和干预。金融机构要加强对人工智能在业务场景中的运行监测,及时发现和管控模型风险。在高风险应用关键环节建立人工监督和干预机制,明确紧急停用及模型退出条件,建立备用系统或人工替代流程。
(十八)加强外包风险管理。使用外部人工智能技术时,金融机构应在外包策略、数据安全、集中度管理等方面建立管理机制,通过合同协议明确安全管理方面的权责义务,确保金融机构能够有效管控相关风险。与外部企业开展合作时,应建立有效的风险隔离“防火墙”,防范风险跨业传递。对外包合作机构实行名单制管理,对引入的外部模型建立严格的内部评估框架,有效评价模型的优缺点和适配性。
(十九)加强供应链风险与开源技术管理。金融机构要建立对人工智能算力、模型、数据、技术工具等的供应链安全合规管理机制,确保应用自主可控,防范对个别技术服务过度依赖引发的集中度风险。完善开源技术使用规范,建立开源软件管理台账,对外部引入的开源组件应进行审查评估,加强代码审计、漏洞扫描及安全测试,定期排查开源组件风险隐患,防范供应链投毒。
七、提升人工智能安全开发应用能力
(二十)增强稳健性。金融机构应确保训练数据集质量、数量和分布符合建模要求,采取合适的模型架构与训练策略,加强对抗样本检测及压力测试,严格评估模型的敏感性、稳定性、抗噪能力和容错能力。模型部署后,持续监测其性能表现,建立训练反馈更新机制,实现模型持续迭代优化。
(二十一)提高透明度。金融机构应加强人工智能应用透明度管理,为高风险场景应用制定透明度和可解释性标准,明确模型设计、数据使用、特征选择及输出结果的逻辑。对人工智能生成内容应进行显著标识,并向金融消费者主动说明。加强模型开发、变更管理和训练过程记录,日志保存期限应不低于业务存续期。
(二十二)促进可解释性。金融机构应制定人工智能模型的可解释性方法,加强推理解释和决策分析。可解释性不足的人工智能技术在高风险场景应用时,仅能作为辅助工具,应由人工进行最终决策。人工智能模型应用于涉及客户权益或有实质性财务影响的关键决策时,须设置人工复核节点,完整保留原始数据、推理路径及阈值触发记录,确保责任可追溯。定期对人工智能模型算法开展审计。
(二十三)保障伦理道德与公平性。金融机构开发应用人工智能应符合法律法规及社会价值观要求。建立人工智能开发应用伦理审查监测制度,制定符合伦理道德的行为准则,加强数据集审查和对特定群体的影响评估,避免算法歧视等不公平性问题。使用受保护特征或属性时应进行正当性说明,删除偏见样本。涉及公共服务、关键信息基础设施及影响公共安全的人工智能应用,应开展伦理风险监测评估,及时对模型运行异常情况进行处置。
(二十四)加强数据安全与个人信息保护。金融机构应将人工智能数据安全纳入企业数据安全管理体系,严格落实数据分类分级保护要求。规范开发过程和数据访问权限,防范数据投毒,完善数据脱敏规范,避免使用可直接识别出个体的数据。姓名、身份证号、手机号、银行卡号等个人信息和隐私数据不得用于生成式人工智能模型训练和优化,有效防止客户隐私泄露。加强模型安全护栏建设,加强内容过滤及脱敏管理。严格管理外包过程中的数据安全。
(二十五)提升网络安全防御能力。金融机构要加强人工智能开发应用中的网络安全管理,加强对抗攻击测试和输出验证,通过数据隔离、访问控制等措施提升模型部署安全,持续监控模型行为,定期扫描、修补人工智能模型及相关系统组件漏洞,有效防范提示词注入、思维链注入、多模态攻击、上下文污染等威胁。提升智能体系统安全保障能力,防范数据泄露、记忆污染、身份越权、工具滥用、运行失控等安全风险。
(二十六)加强运营韧性及业务连续性管理。金融机构要将人工智能应用纳入业务连续性管理体系,开展业务影响分析,制定应急预案,加强安全运行管理、事件处置和容灾能力建设。发生故障时,人工流程要及时介入或启用备份系统,保障人工智能应用稳定性、可靠性。
八、保障与监督
(二十七)加强督促指导。金融监管总局及各级派出机构加强指导,积极推动人工智能技术安全开发应用,督促辖内金融机构全面落实风险治理要求。压实监管部门责任,各级监管部门要加强风险评估和监督检查,重点关注相关金融业务合规风险,督促金融机构健全风险治理体系,对政策落实不到位、执行走偏等问题及时予以纠正,对违规行为严肃查处。
(二十八)推动建立安全应用实施规范。金融监管总局会同相关部门积极推动构建银行业保险业生成式人工智能安全开发应用技术框架,规范分类分级管理,明确安全开发标准规范,引导金融机构有效提升人工智能应用安全开发水平。
(二十九)加强风险监测与应对处置。金融机构面向公众服务或高风险场景应用使用生成式人工智能技术的,应向金融监管总局或其派出机构报告。金融监管总局及派出机构建立监测预警与处置机制,优化风险监测预警指标体系,加强分析处置,完善监管工具方法,督促金融机构做好事前、事中、事后全链条风险防控,加强网络安全、数据安全等风险事件复盘分析,督促金融机构改进优化防御体系,聚焦对客服务、高风险应用场景制定风险应急预案,提升应急响应能力。做好跨部门合作协调,形成合力,避免信息孤岛,防范系统性风险。
(三十)建立监管定期评估机制。金融监管总局及派出机构强化对金融机构开发应用人工智能的监督管理,重点加强高风险场景应用监管。建立对监管政策和监管效果的年度评估机制,持续提高监管适配能力。
(三十一)加强监管人才队伍建设。金融监管总局及派出机构加强数字化、智能化培训,提升监管人员数据分析和智能工具的使用能力,着力培养复合型监管人才,提升与人工智能技术复杂度相匹配的风险识别、监测和处置能力。
(三十二)促进行业交流。鼓励加强人工智能领域沟通交流,通过经验分享、培训研讨、技能竞赛、案例宣传等方式,营造人工智能发展的良好文化氛围。行业自律组织应发挥桥梁纽带作用,促进行业经验交流。
国家金融监督管理总局
2026年6月18日
