金融机构应用 AI 技术的风险剖析及法律关联

创作时间:

作者:

@小白创作中心

金融机构应用 AI 技术的风险剖析及法律关联

引用

来源

https://xueqiu.com/1392959859/318012810

张青青

三尺法科技总经理，中国人民大学传播学硕士

在当今数字化浪潮席卷全球的时代，人工智能技术以其强大的数据分析和处理能力，正深刻地改变着各个行业的发展模式。金融领域也不例外，越来越多的金融机构积极拥抱这一变革，将 AIGC 等人工智能技术广泛应用于业务的各个环节。例如，智能客服能够快速响应客户的咨询，提高服务效率；风险评估模型可以利用大数据和机器学习算法，更准确地评估客户的信用风险和投资风险。

然而，在带来便利的同时，也出现了一些引人关注的案例。据彭博社 2023 年 2 月 22 日报道，华尔街投行摩根大通已限制员工使用 ChatGPT，成为第一家在工作场所限制使用该聊天机器人的华尔街投行。这一举措凸显了金融机构对 AIGC 数据安全问题的担忧。此外，意大利当地时间 2023 年 3 月 31 日，个人数据保护局就 OpenAI 聊天机器人 ChatGPT 涉嫌违反数据收集规则展开调查，即日起禁止使用 ChatGPT，并暂时限制 OpenAI 处理意大利用户数据，否则将被处以最高 2000 万欧元或公司全球年营业额 4%的罚款。

在国内金融领域，ChatGPT 工具伴生的数据安全等法律风险也早已引发关注。部分金融机构员工在使用 ChatGPT 等AI工具时，可能由于安全意识不足，导致信息泄露的风险。此外，ChatGPT 的宕机事件可能对金融机构的数据存储和处理产生影响，甚至有导致数据丢失或损坏的风险。ChatGPT 对服务中断原因讳莫如深，这也使得金融机构对其数据安全管理的可控性深感疑虑。并且，2023 年 4 月中国支付清算协会倡议支付行业从业人员谨慎使用 ChatGPT，也引发了国内金融及支付清算行业对 ChatGPT 工具伴生的数据安全等法律风险的关注。

在金融机构积极顺应时代潮流、拥抱人工智能技术的同时，也面临着一系列不容忽视的风险，其中数据安全与隐私保护成为关键问题，涉及多方面法律规定和责任义务。主要有以下几类风险：

一是数据泄露风险。金融机构运用 AIGC 技术时常需大量客户数据用于模型训练或生成内容参考，一旦数据泄露，会严重侵犯客户隐私权，面临客户法律诉讼及监管机构严厉处罚。涉及《网络安全法》《数据安全法》《个人信息保护法》，这些法律要求金融机构作为网络运营者制定安全制度、明确负责人、采取防范攻击技术措施、对数据分类备份加密并留存网络日志，如对高敏感客户数据加密存储、定期备份且留存日志不少于六个月；建立健全数据安全管理制度、进行数据分类分级保护以确保数据处理活动合法正当必要；处理个人信息合法正当必要且诚信，告知客户收集目的等信息并取得同意、最小化收集范围及采取安全保障措施。若违反规定，金融机构可能面临高额罚款，如 AIGC 系统遭网络攻击致客户敏感数据外泄，会给客户带来经济损失并威胁隐私安全。

二是数据滥用风险。即便数据未泄露，但金融机构对客户数据的使用超出客户授权范围或未按法律法规要求使用，如用于未经客户同意的营销活动或与第三方共享数据等，属于数据滥用行为，可能引发法律问题并违反上述法律规定，使金融机构承担民事赔偿责任同时面临行政处罚。

三是合规风险。金融行业对数据安全和隐私保护有严格法律法规要求，金融机构应用 AIGC 时必须确保数据处理活动符合这些法律，若未按法律规定建立完善数据安全管理制度或采取必要数据安全技术措施等，可能被认定违法而受到相应处罚。

此外，为有效应对金融机构应用 AI 技术所面临的风险，可以从多个方面提出具体的应对策略：

（一）构建完备的数据治理体系

设立专门岗位和团队，明确职责，对数据分类分级管理。如将客户重要信息划分为高敏感级别，采用加密和访问控制措施保护。规范数据生命周期管理，采集时确保合法合规并获授权；存储用可靠技术加密且备份；使用时严格限权、审计监控；共享需签协议并脱敏处理。

（二）强化数据安全技术防护

运用先进加密算法，如用 SSL/TLS 协议和 AES 算法加密数据。建立严格访问控制机制，防止非法访问篡改。对敏感数据脱敏处理，降低泄露风险。部署网络安全防护设备，定期升级应对威胁。

（三）加强数据安全意识培训

定期组织培训课程，提高员工对数据安全的认识，了解知识法规规范，增强意识和防范能力。通过多种渠道宣传注意事项，营造安全文化氛围。将数据安全纳入考核，奖励守规者，处理违规者。

（四）建立数据安全监测与应急响应机制

建立监测体系，实时监测数据活动，异常时警报。制定应急预案，明确流程、责任人和措施。定期演练，检验预案有效性和操作性，提高应急能力。

（五）深化与外部的合作与交流