6月18日，国家金融监督管理总局正式发布《关于银行业保险业人工智能安全开发应用的指导意见》（金发〔2026〕8号）。作为我国银行业保险业首份人工智能全流程专项监管文件，该意见共8部分32条，遵循“谁使用谁负责、自主可控、务实高效、安全发展”四大原则，覆盖治理、开发、数据、算力、风控、能力、监督全链条。

金融界银行研究院院长陈国汪认为，该文件的出台标志着金融AI监管从“原则倡导”迈入“制度规范”新阶段。核心监管逻辑是“发展与安全并重”，既鼓励AI技术赋能金融业务、培育新质生产力，又通过全流程制度规范守住风险底线，杜绝“放任发展”或“限制创新”两种极端。

纠偏“为新而新”，行业AI投入需回归业务价值

《指导意见》明确要求金融机构以提升业务价值为导向，科学规划AI开发应用投入，有效平衡成本与效益，摒弃“为新而新、为用而用”的倾向。这一原则的出台，直指当前行业痛点。数据显示，2025年金融行业大模型中标项目达587个，披露金额15.06亿元，较2024年的133个项目、2.4亿元实现跨越式增长。部分机构在未清晰界定业务需求的情况下跟风上马大模型项目，投入产出比偏低。

陈国汪指出，“务实高效”原则要求金融机构AI应用必须与自身风控能力相匹配，禁止盲目跟风投入。这并非抑制创新，而是引导行业回到“业务价值”原点，先问“为什么要用AI”，再问“怎么用AI”。

《指导意见》首次清晰界定了“高风险AI应用”范畴：涉及资金交易、资产评估、信贷审批、承保理赔、风险管理，以及与客户利益直接相关、直接影响金融合约达成的生成式人工智能场景应用。针对这类应用，新规设三道“闸门”：须经本机构风险管理委员会批准后方可实施；关键环节建立人工监督和干预机制，明确紧急停用条件；面向公众或高风险场景的生成式AI应用须向监管报告。

陈国汪强调，这是破解“模型黑箱”的核心制度安排。高风险场景可解释性不足的，AI只能充当辅助工具，最终决策权必须在人。涉及客户权益的AI决策全部设置人工复核节点，完整留存原始数据、推理路径及人工复核记录，确保责任可追溯。

数据安全划红线，个人敏感信息不得用于生成式AI训练

在明确顶层原则与高风险管控框架之外，《指导意见》在数据治理、组织架构、算力基建与监管机制四大维度上提出了系统性要求，为金融机构AI能力建设提供了坚实的制度支撑。

《指导意见》在数据安全与个人信息保护方面划出明确红线：姓名、身份证号、手机号、银行卡号等个人敏感信息，不得用于生成式人工智能模型训练和优化。在陈国汪看来，这一条款并非简单的“设限”，而是以合规压力驱动技术路线的结构性调整，它将迫使银行业加速探索合成数据、联邦学习等隐私计算技术，推动数据基础设施从“粗放供给”转向“合规供给”。他进一步指出，未来衡量银行AI竞争力的关键分水岭，已不再是模型参数的规模，而是在保障隐私安全的前提下，能否构建起高质量、可训练的数据资产体系。

将AI治理从“技术题”升维为“治理题”，《指导意见》明确要求，董（理）事会应指定专门委员会对人工智能开发应用负总责，统筹制定发展规划，并建立跨业务、科技、数据的协同机制。陈国汪分析认为，这一规定将AI管理的决策权从科技部门上升至机构治理的最顶层，从根本上改变了此前“科技部门单打独斗、业务部门旁观”的格局，有效防止了AI应用失控与责任悬空。AI治理从此不再是技术团队的内部事务，而是董事会必须直接过问的战略命题。

在智能算力建设方面，《指导意见》要求金融机构按需布局、自主可控，同时明确鼓励大型金融机构向中小机构输出算力服务，支持同业探索基础设施共建共享。陈国汪指出，这一制度设计精准切中了中小银行数字化转型的核心痛点——资金投入大、技术人才短缺、规模效应不足。通过复用成熟算力底座，中小机构可以低成本获得AI建模与风控能力，使金融科技的红利不再局限于头部机构，真正惠及更广泛的普惠金融服务。

《指导意见》还明确，面向公众服务或高风险场景的生成式AI应用须向监管部门报告，同时建立监管政策与效果的年度评估机制。陈国汪认为，这一安排建立了“事前指导—事中检查—事后问责—动态评估”的全链条监管闭环，既为金融机构提供了明确的合规路径，又为监管部门保留了随技术迭代灵活调整的空间，避免“一管就死、一放就乱”，体现了务实而富有弹性的监管智慧。

总体来看，陈国汪表示，这份32条的专项监管文件为银行保险机构AI安全开发应用划定了清晰的合规红线和操作指引。文件的核心精神可以概括为：鼓励创新必须“先立后破”，技术应用必须“风险可控”，关键决策必须“责任到人”。金融机构需在半年内对照文件要求，从治理架构、制度建设、技术能力、人员储备等方面系统补短板，将AI合规管理从被动应对转向主动治理。