【杂志微阅读】郭雳等:银行业保险业数字金融发展的风险检视与法治应对


文/郭 雳 北京大学法学院院长、教授
李文畅 北京大学法学院博士研究生
本文载于《中国银行业》杂志2026年第5期
数字经济时代,做好数字金融大文章、加快金融业数字化转型,已成为推动经济社会高质量发展的必由之路。我国银行业保险业的数字化转型,是一场由国家顶层设计驱动、监管政策持续递进引导的深刻变革。自2022年初《关于银行业保险业数字化转型的指导意见》的发布拉开银行业保险业数字化全面转型序幕以来,随着中央金融工作会议对做好金融“五篇大文章”作出重要部署,我国数字金融迈入全面深化的新阶段。金融监管总局与中国人民银行等多部门相继出台文件,提出未来五年银行业保险业数字化转型成效明显、数字化经营管理体系基本建成的目标。2025年,数字化转型的顶层设计进一步跃升。国务院办公厅与金融监管总局先后印发《关于做好金融“五篇大文章”的指导意见》与《银行业保险业数字金融高质量发展实施方案》,明确提出未来五年银行业保险业数字金融发展的主要目标之一是“数字化转型取得积极进展”,要求充分发挥数字技术和数据要素的双轮驱动作用,赋能金融服务提质增效。
数字化转型在提升金融服务便利性与普惠性、激发数据要素潜能的同时,也不可避免地面临多重风险与挑战。实践中,部分银行保险机构(以下简称“银保机构”)存在数字金融治理短板,防范数字化转型风险的能力亟待提升。对此,必须坚持统筹发展与安全,牢牢守住不发生系统性金融风险的底线。
在构建适应现代经济发展的数字金融新格局的背景下,银保机构在数字化转型过程中究竟面临着哪些新型风险与挑战,相关监管部门目前采取了怎样的防范应对逻辑,未来应如何进一步完善防范转型风险的监管制度与法治进路?上述与银行业保险业数字金融发展及风险防范相关的核心议题是本文试图回答的问题。深入探讨这些问题,不仅是统筹金融创新与有效监管的内在要求,更是落实高质量发展与高水平安全良性互动、护航数字金融行稳致远的重大现实需要。
银行业保险业数字化转型的风险检视
新兴技术推动银行业保险业服务转向更加便捷和智能的同时,其破坏性创新的特质也在传统金融体系中形成了新的盲区,给宏观金融稳定、国家金融安全带来新型风险挑战。究其根本,数字化转型不仅是单纯的技术升级,更是对金融要素、业务流程和合作生态的全面重塑。在这一进程中,算法模型、数据要素、网络系统以及外部合作成为驱动转型的核心,也相应衍生出四类具有强烈负外部性的风险。这四类风险不仅各自具有特定的触发场景与负面后果,而且在底层逻辑上相互交织,易形成风险的跨界传染。
算法模型风险。随着金融业态由人力驱动转向算法与算力赋能,银保机构在信贷审批、产品定价与智能风控等环节已高度依赖大数据分析与人工智能模型。然而,算法在提升精准度的同时,也伴生着严重的模型风险与伦理挑战。一方面,宏观环境变化极易导致模型漂移,使风险评估失真。另一方面,算法具有“黑箱”特性与不可解释性,内嵌的开发者主观判断若缺乏有效审查,将形塑或强化社会偏见。在商业利润驱动下,金融算法还容易忽视老年人、偏远地区群众等弱势群体需求,导致其陷入数字鸿沟,更有甚者,被用于实施差别定价、算法歧视,或诱导低收入群体过度负债,形成掠夺性金融。这不仅损害了金融消费者的合法权益,更动摇了金融服务的公平性与普惠性。
数据安全风险。在金融服务全流程线上化的背景下,银保机构处理着海量的个人身份、交易及衍生数据。然而,部分中小银保机构尚未具备与数据价值创造相匹配的治理能力和保护意识,在追求业务增长时,易引发过度索权、违规收集甚至内部人员非法出售敏感信息的风险。此类内部治理缺失一旦落地为实际操作,就会触碰合规红线,近年来,已有多家银保机构因数据管理不到位被监管部门处以百万乃至千万级重罚。数据失范不仅导致隐私泄露与经济损失,在宏观层面更可能上升为国家安全威胁。置身于数字经济全球化的浪潮中,若个人金融数据跨境流动控制不力,境外机构便可能通过大数据技术解码分析出我国特定群体画像、重点产业结构乃至宏观经济与金融市场薄弱环节,直接威胁国家数据主权与整体金融安全。
网络安全风险。科技对金融领域的全面渗透构筑了庞大的网络金融空间,使网络安全成为系统性风险的主要来源之一。数字化转型进程中,银保机构对云计算、分布式架构及移动互联网平台的依赖与日俱增,这使得金融网络边界不断延展,系统风险的暴露面显著扩大。在此场景下,系统很容易成为黑客攻击、勒索病毒渗透的目标。部分银保机构由于网络防御体系脆弱、日常管控不到位,不仅未能抵御外部威胁,反而因未履行网络安全保护义务频遭监管惩处。一旦隐患演变为真实攻击,轻则导致业务系统超时报错,重则引发核心网络节点瘫痪,造成区域内银行业务、支付交易整体中断。此外,网络与数据安全高度关联,网络防御体系被突破往往是海量敏感数据被窃取、勒索和非法售卖的最直接导火索。
信息科技外包风险。面对技术壁垒与研发成本的双重考验,大量银保机构选择将信息科技系统、数据中心托管,甚至核心业务的算法分析等环节委托给第三方科技企业或云服务商。该模式虽然降低了技术门槛,但也重塑了金融生态的网络结构。大型科技公司在提供底层技术与服务时深度介入金融体系,成为复杂的关联网络节点,形成了新型“太关联而不能倒”隐患,一旦发生经营故障或技术停摆,将使得众多依赖其服务的银保机构业务瘫痪。与此同时,该风险还可能会成为网络与数据安全风险的输入口与放大器。部分外部服务商风控意识薄弱,有的违规挪用机构敏感数据用于自身模型训练,或因系统漏洞成为黑客攻击跳板。实践中,银保机构往往因为对合作方底数不清、缺乏统筹,最终成为风险的实际承担者。
银行业保险业转型风险防范的监管演进
面对数字化转型中日益凸显的上述四重风险,我国金融监管部门逐步构建起多维度的法治防线。从监管逻辑来看,中国人民银行与金融监管总局呈现出协同共治又各有侧重的特征。中国人民银行作为宏观审慎管理部门,侧重于宏观金融稳定、底层技术标准评价及全域业务数据的安全流通。金融监管总局则聚焦于压实金融机构的公司治理主体责任、阻断外部风险传染与保护金融消费者权益。监管规则整体上经历了从单点技术规范向全生命周期管控深化、从原则性指导向强制性部门规章提升的演进过程。
穿透算法黑箱:构建模型审查与伦理管控机制。防范算法黑箱与科技向恶是应对算法模型风险的核心。在这一领域,监管策略已从技术评价向内部治理深化。中国人民银行于2021年发布《人工智能算法金融应用评价规范》,针对可能诱发系统性错误的闪避、药饵(数据投毒)、窃取攻击等具体技术风险,设定了硬性的技术防御指标与安全判定准则。随后,中国人民银行在《金融科技发展规划(2022—2025年)》中明确,要求健全智能算法管理规则制度,建立模型安全评估与合规审计体系,提升算法的可解释性、透明性、公平性和安全性。在此基础上,中国人民银行于2022年出台《金融领域科技伦理指引》,为金融算法划定“柔性边界”。倡导金融机构探索设立企业级科技伦理委员会,完善科技伦理审查与信息披露机制。中国银行业协会随后发布团体技术报告《人工智能模型风险管理框架》,引导行业建立涵盖需求分析至模型下线全流程的精细化流程,划分三级风险管控,从制度与伦理双重维度有效防范算法模型风险。
构筑数据防线:确立分类分级底座与应急响应标准。针对数据安全风险,中国人民银行和金融监管总局两部门并行发力,推动单点防御向系统性全流程治理演进。中国人民银行从2011年初步确立个人金融信息防泄露与防滥用原则,到2020年《个人金融信息保护技术规范》,将个人金融信息按敏感程度由高到低分为C3、C2、C1三个等级,从保护个人隐私的角度确立差异化的技术与管理底线。随着数字经济深化,中国人民银行于2025年发布《中国人民银行业务领域数据安全管理办法》,将保护客体拓展至全域业务网络数据,确立“一般、重要、核心”三级底座,建构起全面接轨《数据安全法》的宏观防线。与此同时,金融监管总局于2024年印发《银行保险机构数据安全管理办法》,将数据安全落实到公司治理层面,结合业务特性将一般数据细分为敏感数据和其他一般数据,并建立起严格的应急响应与定级上报机制。两大监管部门协力形成了宏观规制与微观合规的优势互补。
重塑网络韧性:强化基础评估与常态化攻防演练。为阻断系统脆弱性及防范黑客入侵导致的业务中断,监管逻辑从基础风险评估逐步延伸至强制报告与防御前置。在技术评估底座方面,国家市场监督管理总局、国家标准化管理委员会于2023年发布的《金融信息系统网络安全风险评估规范》(GB/T 42926-2023),为金融网络系统的脆弱性识别与威胁防范确立了统一的国家级度量标准。在行业管理与宏观事件监控层面,中国人民银行于2025年出台《中国人民银行业务领域网络安全事件报告管理办法》,按业务中断时间、影响人数及数据信息泄露规模将安全事件细分为四个等级,构建差异化应急报告制度。在微观机构治理层面,金融监管总局在《银行业保险业数字金融高质量发展实施方案》中要求银保机构摒弃被动防御,建立覆盖境内外及总分支机构的综合防御体系,常态化开展攻防演练,提升威胁感知和应急处置能力,从而增强金融体系的整体网络韧性。
划定合作红线:严守科技外包边界与防范外部输入。针对第三方技术服务引发的关联风险及外部输入风险,监管部门划定了严格的合作边界与防范机制。原银保监会于2021年出台《银行保险机构信息科技外包风险监管办法》,确立了“分类分级管理、差异化管控”原则,从银保机构内部治理架构、服务商准入及监控评价等多个维度制定详尽细则。针对近年来频发的外包乱象,金融监管总局于2023年印发《关于加强第三方合作中网络和数据安全管理的通知》,通报典型科技外包风险事件,要求银保机构强化责任主体意识,切实履行网络和数据安全保护义务,采取针对性的安全保护措施,并建立健全应急处置机制。
银行业保险业转型风险防范的法治完善
面对数字化转型步入深水区,银行业保险业所面临的上述四重风险相互交织,呈现出极强的隐蔽性、传染性与跨界性。金融科技带来的破坏性创新不仅模糊了传统金融业务的边界,也使得金融监管面临着严峻的“科林格里奇困境”。在此背景下,传统的以静态报送、事后处罚和单一政府主导为特征的金融监管模式已难以适应新业态的复杂性,亟须在法治轨道上推进监管范式与治理机制的深刻变革。
运用监管科技手段,升级实时数据治理。数字化时代的金融风险往往与技术风险深度交融。传统静态监管模式在应对高频外部风险输入时力有不逮,摆脱困境的关键在于推动监督科技(SupTech)与监管科技(RegTech)双轨并行,将风控理念由“人防”向“技防”“智控”转变。在公共监管端,监督科技能够丰富穿透式监管工具箱,推动监管模式向“动态嵌入式”转型。一方面,监管部门应当运用自然语言处理等技术构建机器可读规则与数字化规则库,输出标准化数字合规能力。另一方面,建立自动化风险监测平台,运用应用程序接口(API)实现标准化对接,逐步推进监管报表“一表通”等全域数据集中采集机制建设,将静态报表转化为动态实时数据流。在此基础上,深化人工智能与大数据应用,精准识别市场主体的违规异常行为。在机构合规端,监管科技可以助力银保机构提升合规效率。银保机构应当积极对接并应用监管部门提供的数字化合规接口与合规机器人等工具,以自动化代码替代部分传统复杂的人工审查,同时保留必要的交叉验证与人工干预机制,守牢安全底线。
引入精巧规制理念,建立多元治理网络。面对高度分散且迭代极快的新型业态,单一“命令—控制”型政府干预容易面临规制资源不足与扼杀市场创新的双重困境。因此,亟须引入精巧规制理念,通过政策工具的灵活组合,构建政府、市场、社会第三方协同共治的多元治理网络。其中,政府的主要作用应当由直接规制者,转变为底线、规则和标准的制定与统一者,坚决确立核心数据跨主体流动的严格限制、强化“服务外包、责任不外包”等绝对底线,同时积极运用监管沙盒等机制,为创新留出包容审慎的试错空间。更为重要的是,精巧规制高度依赖于被规制者的自我规制与第三方的替代规制。一方面,应充分激活金融机构的内部合规驱动力。在治理架构层面,银保机构应当从战略高度推进数字化转型及其风险防范,建立转型风险管理责任制,由董(理)事会或其授权设立的专业委员会负责推动构建转型风险管理体系,由高级管理层明确各类风险的主管部门及其职责并监控风险管理成效。在业务执行层面,将风险防范与合规审查嵌入全生命周期,建立覆盖方案设计、测试验证、上线部署到持续监测、下线退出的全流程管控机制。另一方面,应确立结构性的第三方监督机制。不仅要充分发挥金融行业协会的自律管理作用,如通过宣传、培训等方式协助引导会员单位提升风险防范意识及能力,及时制定与动态更新行业标准和行动指南;还要发挥其他专业机构(第三方审计、评估机构等)的替代规制功能,如在银保机构筛选外部服务提供商时协助开展尽职调查、在监管要求下以审计形式实施信息科技外包服务的现场核查等。
强化动态协同机制,重构三大基础要素。在数字金融时代,技术的融合不仅打破了传统金融业务的物理边界,也使得单点机构的网络脆弱性或外部服务商的宕机易通过高关联性的网络演变为系统性危机。为保障国家金融安全稳定,必须在法治框架下强化动态协同机制,对权力配置、数据资源与市场机制三大基础要素进行系统性重构。
首先,重构权力配置要素,强化横向监管协同与信息共享。金融网络与数据治理已上升为综合安全议题,必须在国家级协调机制统筹下,强化跨部门的横向权力配置,推动金融监管与网信、公安、发展改革委、数据管理等部门的深度联动。例如,参照我国在网络安全领域确立的多部门事件定级互认机制,未来应进一步实现跨部门的线索通报、风险预警与联合执法,消除“条块分割”带来的监管空白与套利空间。
其次,重构数据资源要素,打破数据孤岛。当前金融治理面临的突出困境之一是数据碎片化。纵横割裂的行业分治与属地治理模式,严重制约了数据要素跨地区、跨行业流转,亟待构建跨部门、跨领域的金融数据协同流通体系。一方面,在公共监管层面,应当超越单一监管部门与银保机构之间的纵向数据采集,着力推进横向的政务数据协同,加快建设统一集成的国家金融基础数据库,将工商、司法、舆情等外部数据有效引入金融治理体系。另一方面,在市场流通层面,应当稳妥探索可信的金融行业数据空间建设,运用隐私计算等先进技术替代传统的数据物理汇聚,在保障“数据可用不可见”的前提下,促进多主体数据的融合复用,切实释放数据要素潜能。
最后,重构市场机制要素,筑牢风险事前防范与事后化解的双重屏障。事前,银保机构需充分利用合同约束,例如,在科技外包协议中细化数据安全、连续性指标、配合审计及禁止转包等权责边界。事后,监管部门应当建立健全具有硬约束的金融风险早期纠正机制,对风险早识别、早预警、早暴露、早处置;银保机构也必须确保应急响应预案迅速启动,并严格落实新技术应用的退出替代方案与问责赔付机制。(编辑:安嘉理)


