来源：IMI财经观察

　　导读

　　2026年3月26日 ，国际清算银行（BIS）金融稳定研究院（FSI）发布第73号政策实施洞察报告。报告聚焦金融服务领域AI数据应用监管，指出生成式AI正深度重塑金融业态
，数据贯穿其全生命周期，是模型可靠性与金融安全的核心 。金融机构普遍面临数据碎片化、质量不达标 、隐私合规难落地、安全风险攀升及第三方依赖加剧等痛点 ，数据隐私
、质量、安全与治理成为全球监管核心关切。国际数据保护机构与金融监管部门正协同出台跨领域指导原则
，围绕合法合规 、数据质控
、安全防控、治理问责形成共识
。报告建议，金融监管需推出针对性指引 ，强化跨部门协作
，在鼓励AI创新的同时筑牢金融稳定与消费者权益保护防线。

　　一

　　AI重塑金融，数据治理成核心挑战

　　人工智能是金融行业数字化转型的核心驱动力 ，尤其是生成式AI （Generative AI） 的普及
，为信贷承保 、反欺诈
、客户服务、风险管理等核心业务带来效率革新 。AI的能力边界高度依赖数据，其模型训练 、微调至落地运营的全生命周期均需要海量
、多元、高质量的数据
。数据直接决定AI输出的可信度 ，进而影响金融业务安全。

　　金融行业是数据驱动型行业
，客户身份 、交易记录
、信用信息、行为轨迹等数据是机构开展业务 、防控风险的基础 。但行业长期存在数据源碎片化、遗留系统壁垒
、数据孤岛等固有问题，数据标准不统一、问责机制缺失进一步加剧管理难度 ，参差不齐的数据质量制约了AI模型效果
。

　　生成式AI的规模化应用，既放大了传统数据问题
，也催生新挑战。行业调研显示，超七成金融机构将数据质量 、数据可得性列为AI落地的首要障碍 。数据隐私泄露
、安全攻击、第三方过度依赖等问题 ，成为威胁消费者权益与行业稳定的关键隐患
。若数据风险失控
，AI不仅无法发挥其技术价值，还会引发决策失误 、消费者损害 ，甚至诱发系统性金融风险。

　　从数据类型来看
，金融AI使用的数据涵盖个人敏感信息
、交易数据、替代数据 （Alternative Data） 与合成数据 （Synthetic Data）等 。AI模型训练需要大量个人数据，而数据保护法规要求严控个人信息使用 ，二者矛盾成为全球金融AI发展的共性难题
。同时
，第三方数据服务商 、云平台
、AI模型开发商的深度参与，导致金融机构难以掌控数据全流程 ，进一步加剧了数据风险。

　　二

　　AI数据使用的核心风险

　　金融AI的数据风险主要为隐私、质量 、安全
、治理四大类
，这也是全球监管与金融机构的核心管控方向 。

　　01

　　数据隐私风险（Data Privacy）

　　数据隐私的核心是个人对自身信息的自主控制权，生成式AI的大规模数据需求极易突破隐私保护底线。一方面 ，AI模型训练可能纳入个人敏感数据，且无法彻底删除数据记录
，模型的记忆效应可复现训练数据中的个人信息，引发隐私泄露；另一方面 ，金融机构利用AI开展客户画像、信贷审批时
，易超范围收集 、使用个人数据，违背“授权使用、目的最小化 ”的隐私原则
。

　　此外 ，金融机构对AI的依赖度提升
，增加了网络攻击与恶意利用风险。恶意主体可通过数据投毒 （Data Poisoning）
、间接提示注入攻击等方式利用漏洞 。生成式AI虽在训练研发阶段被攻击风险较低，但在部署后若数据外部储存防护不足则极易引发数据泄露
。同时 ，生成式AI模型可解释性不足、研发方知识产权保密等问题
，导致算法公平性与透明度要求难以落地。

　　目前，全球隐私大会（GPA） 、欧盟数据保护委员会（EDPB）等国际机构已形成共识 ，明确生成式AI全生命周期必须严格遵守数据隐私规则 。

　　02

　　数据质量风险（Data Quality）

　　数据质量的核心维度包括准确性
、完整性、一致性 、及时性
、相关性
，完善的质量管控是数据适配业务需求的关键
。金融AI的数据质量风险主要有三类：一是数据不准确、不完整，导致信贷评估 、风险预警等决策失误；二是数据样本偏差 ，如女性
、老年人数据样本不足，引发模型歧视性输出；三是数据漂移 （Data Drift）
，即训练数据与现实情况脱节，导致模型性能持续退化。

　　生成式AI依赖大规模非结构化数据 ，数据源不透明、标注不规范进一步加剧数据质量管控难度 。劣质数据不仅会让AI产生幻觉 （Hallucinations） 
，还会固化行业偏见 、侵害消费者公平权益，放大金融机构的信贷风险与操作风险
。

　　中国
、欧盟、英国等司法辖区均明确要求 ，生成式AI的训练数据必须真实 、准确、多元
、无歧视
，模型研发方与部署方需共同承担数据质量责任，二者的责任划分与协同管控是质量落地的关键。

　　03

　　数据安全风险（Data Security）

　　数据安全以保密性、完整性 、可用性（CIA三元组）为核心 。生成式AI研发部署对第三方的高度依赖 ，放大了数据风险管控难度
，数据质量缺陷
、安全漏洞、隐私违规的概率大幅上升
。外部数据提供商的治理 、验证等标准不统一，会产生不可靠
、有偏差的输入 ，削弱模型性能与可信度。数据溯源与处理流程透明度不足
，导致金融机构难以验证工具准确性 。

　　同时，AI与数据服务向少数大型提供商集中 ，云服务商的集中使用叠加数据跨境传输的规则差异，让数据安全管理更趋复杂。

　　跨行业监管指引要求机构建立技术、组织 、流程的全方位安全防护体系
，针对AI场景强化外部数据接入防控，应对数据投毒
、提示注入、模型逆向攻击等新型安全威胁
。监管机构也明确数据泄露处置规则 ，要求机构建立应急响应机制
，发生个人数据泄露后及时上报 、告知受影响个人并采取补救措施，持续优化安全防护。

　　04

　　数据治理风险（Data Governance）

　　数据治理是数据有效管理
、合规落地的基础 ，通过明确数据管理权责、流程 、制度
，搭建全流程管理框架，支撑数据安全、隐私
、质量等核心原则落地 。

　　金融机构传统数据治理框架无法适配生成式AI的复杂生态 ，数据保护框架中的问责制无法落地
。GPA明确要求机构对个人数据处理全程负责
，搭建治理架构、管理制度 、操作流程
、监测机制。问责制需覆盖AI研发与部署方，机构应将数据保护嵌入AI系统 ，执行措施包括明确责任、开展风险评估 、提升透明度等 。生成式AI在部署前需提供全生命周期技术文档
，接受外部审计
、输出偏差测试与风险缓释评估
。同时需有效落实人工监督，对AI决策承担最终责任。

　　三

　　全球金融AI数据监管：框架趋同 ，仍存短板

　　面对AI数据风险，全球各国形成“现有规则+柔性创新监管”双层框架
，核心依托跨行业数据保护框架及AI数据专项指引 、跨行业AI立法与政策  、行业标准与金融领域国际监管标准四大制度体系，核心监管维度呈现趋同态势 。

　　01

　　基础规则：跨行业数据保护与AI监管

　　截至2025年1月 ，全球已有144个国家出台数据保护法规
，为金融AI数据使用划定底线
。经合组织
、全球隐私大会等国际组织发布多项AI数据使用的相关决议，强调合法合规、公平透明 、问责制等核心要求。

　　专项立法层面 ，欧盟《人工智能法案》将金融AI列为高风险场景
，严格要求数据质量与隐私保护；中国出台生成式AI服务管理规定，明确训练数据需合法
、真实、无歧视；美国 、新加坡采用自愿性治理框架 ，引导机构规范数据使用 。

　　02

　　金融专属监管：依托成熟规则 强化精准管控

　　各国金融监管机构主要依托模型风险管理（Model Risk Management）、数据治理
、第三方风控三大成熟监管体系
，适配AI数据管控需求：

　　1． 国际标准：巴塞尔委员会BCBS 239原则是全球银行业数据管理的核心参考，覆盖治理基础设施、风险数据加总 、风险报告
、监管审查 ，目前已延伸至AI数据管控领域
。

　　2． 区域实践：新加坡推出金融AI“公平、伦理 、问责
、透明（FEAT）
”原则
，要求机构定期验证AI数据、防范偏差；欧盟 、英国要求金融机构开展数据保护影响评估，保障消费者知情权与质询权；中国国家金融监督管理总局明确银行保险机构董事会对数据治理负责 ，严控个人信息使用。

　　3． 第三方管控：各国均强调金融机构是AI数据风险的最终责任方，要求对第三方数据商
、模型开发商开展尽职调查
，通过合同明确数据权属、质量 、安全责任 。

　　03

　　当前监管核心短板

　　尽管监管框架逐步完善，仍存在三大突出问题：一是规则适配性不足 ，传统数据规则无法适配生成式AI的技术特性
，部分合规要求超出当前技术能力；二是监管协同不足，金融监管与数据保护监管协作弱 ，跨境监管规则碎片化；三是第三方监管难
，数据供应链透明度低，大型科技公司的市场集中度高 ，监管难度大。

　　四

　　破局之路：平衡创新与安全的监管与行业方案

　　化解金融AI数据难题需从监管
、机构、协同三方面发力
，兼顾创新与安全
。

　　01

　　监管：出台针对性规则，明确五大核心要求

　　金融监管机构需出台适配AI的专属数据指引 ，重点落实五大方向：

　　1． 强化数据治理：建立AI全生命周期数据治理架构
，压实董事会与高管监督责任，完善内控 、独立审核、数据溯源与文档留存；

　　2． 严控数据质量：明确数据准确性
、完整性、代表性等维度要求 ，强化质量管控。

　　3． 筑牢数据安全：完善事件响应 、泄露通报机制，推动网络安全与数据保护深度融合
，适配生成式AI威胁演进 。

　　4． 规范第三方依赖：强化第三方尽职调查
、合同管控，推动数据溯源透明化与供应链持续监测
。

　　5． 细化隐私合规：明确 AI 全生命周期合法依据、目的限制 、数据最小化等规则 ，推广隐私增强技术与数据保护影响评估。

　　同时
，监管机构可通过专题审查
、最佳实践分享等方式，帮助金融机构提升数据管控能力 ，构建统一连贯的金融AI数据监管框架 。

　　02

　　机构：落实主体责任
，完善内控体系

　　金融机构需主动补齐数据管控短板：一是搭建适配生成式AI的数据治理体系，实现数据全流程可管可控；二是加强数据质量管控 ，做好数据清洗、标注 、验证
，防范偏差与错误；三是强化数据安全防护，部署AI专属安全工具 ，严控敏感数据泄露；四是规范第三方合作
，严格审核数据来源，明确合作方责任；五是加强人才培养 ，组建跨专业团队，提升综合管控能力
。

　　03

　　协同：跨部门
、跨境合作破解监管难题

　　AI数据问题具备跨领域、跨境特性
，需强化多方协同：一是金融监管与数据保护监管机构建立制度化协作机制，统一规则 、减少合规冲突；二是加强国际监管合作 ，避免跨境监管碎片化
，保障全球金融机构合规一致性；三是建立监管与行业常态化沟通机制，及时掌握技术迭代与实操难题 ，让监管规则贴合实践。

　　五

　　总结

　　数据是金融AI的核心基石
，数据治理水平决定金融AI的发展上限 。当前生成式AI在金融领域的应用已进入深水区，数据隐私
、质量、安全 、治理矛盾日益凸显 ，成为行业发展的核心瓶颈
。

　　全球监管与金融机构需形成共识：金融AI创新不能以牺牲数据安全与消费者权益为代价。通过精准监管、机构自律
、协同共治
，有效化解数据风险，让AI真正服务于金融效率提升与风险防控 ，最终实现金融创新、消费者保护与金融稳定的多方共赢 。

　　作者：

　　Juan Carlos Crisanto
， Adrien Currat， Johannes Ehrentraud and Wenguang Wu

　　来源：

　　国际清算银行官网