背景资料

新技术的应用是金融科技的核心。金融科技正是靠着人工智能、大数据、分布式技术、物联网技术等支撑和兴起。然而，新技术在使用时，技术成熟度一定面临挑战。新技术与金融场景的结合还在探索过程中，也容易产生技术的适用性问题。从《金融科技（FinTech）发展规划（2019-2021年）》来看，第二节“强化金融科技合理应用”即与此要求明确相关。

第二节 强化金融科技合理应用 

以重点突破带动全局，规范关键共性技术的选型、能力建设、应用场景和安全管控，探索新兴技术在金融领域安全应用，加快扭转关键核心技术和产品受制于人的局面，全面提升金融科技应用水平，将金融科技打造成为金融高质量发展的“新引擎”。

本次摸排工作关注最多的也是新技术应用。新技术应用占到了将近一半的摸排项。

强化金融科技合理应用

（一）人工智能技术

当前新一代人工智能取得突破性进展，金融业顺应人工智能发展态势，借助机器学习、智能语音、生物识别、自然语言处理等技术，依托金融大数据平台，找准突破口和主攻方向，创新智慧网点、智能客服、智能投顾、智能风控等金融产品和服务。

2017年7月，国务院印发《新一代人工智能发展规划》；2019年3月，中央深改组审议通过《关于促进人工智能和实体经济深度融合的指导意见》。此外，北京、上海、天津、福建等省市也相继出台相关政策，积极营造促进人工智能健康发展的政策环境。

然而，人工智能存在明显的“算法黑箱”问题，中间分析决策过程不可见；且对于大规模深度学习，因存在大量复杂非线性变化和大规模神经元连接，少量随机扰动就可能导致最终结果的剧烈变化，算法“可解释性”与“鲁棒性”难以保障。在技术架构复杂性与算法不可解释性叠加的背景下，金融科技创新面临更大的技术复杂性风险，导致潜在技术缺陷难以及时识别，甚至可能造成严重后果。例如人工智能等算法运用在证券市场上，极易引发“羊群效应”。

《关于规范金融机构资产管理业务的指导意见》对人工智能提出的多项风险防范要求，均成为本次摸排工作的基本理论参考和指导。人工智能在算法设计上可能产生的缺陷、训练数据上可能导致的偏差、攻击方法上存在的漏洞、应用场景上引发的歧视等问题，都成为本次摸排内容。

（二）大数据技术

在金融科技的助推下，大数据与金融业深度融合，推动产品形态、营利模式不断创新，数据资源已成为新的核心竞争力。商业机构对数据的追求近乎狂热，“采数”、“存数”更加常态化，金融大数据潜在风险不断加剧。一是部分机构通过抢占入口和渠道，大量汇集信息流、资金流与产品流，成为“数据寡头”,使得信息泄露风险高度集中，一旦出现问题，可能不再是单一数据丢失问题，而是系统性数据安全问题，将对个人隐私、客户权益、甚至金融安全构成威胁。二是部分机构个人信息保护意识薄弱，在开展业务合作时，常常将自身所掌握的客户信息作为资本和筹码，甚至将数据资源随意共享，导致信息被滥用。三是大数据主要应用于精准营销、风控管理、金融决策，如果数据标准化程度低、质量不高，将影响风控措施和决策判断的精准度和有效性。

目前，国家《数据安全法》正在立法过程中，数据安全的问题成为金融行业的重点关注方面。国家近期再次提出数据要素市场化的理念。金融行业既要控制数据资产的安全性，防止金融数据市场被破坏；又要建立有效的数据流通方法和机制，畅通数据的使用。GB/T 35273大数据服务安全能力要求和金融行业正在起草《金融数据分级指南》《金融数据生命周期安全规范》等标准也将作为本次摸排工作的参考资料。

（三）区块链

2019年10月，习近平在中央政治局第十八次集体学习时强调，把区块链作为核心技术自主创新重要突破口，加快推动区块链技术和产业创新发展。区块链技术是数字时代的分布式技术，在，区块链技术应用已延伸到数字金融、物联网、智能制造、供应链管理、数字资产交易等多个领域。金融已是区块链技术应用探索的重点领域。

然而，区块链作为一种底层技术，一旦存在漏洞，波及范围将更加广泛。从The DAO到BEC，SocialChain，Hexagon，再到这几天的EOS漏洞，“智能合约”已经成为区块链安全的重灾区，智能合约的漏洞影响达到了数亿美元之巨。区块链的安全问题还广泛存在于密码算法、共识机制、接口安全、应用安全等多个方面。一旦区块链技术在金融行业广泛应用，这种漏洞可能会呈现进一步扩大化的趋势，值得金融行业广泛重视。

2020年初，金融行业发布了国内首个行业级的分布式账本技术规范（JR/T 0184-2020）。规范提出了金融行业分布式账本技术使用的架构要求、安全管理要求、安全技术要求等方面内容，结合金融应用场景的特色，着重强调了金融分布式账本的可审计性要求。《金融分布式账本技术应用 技术参考架构》《金融分布式账本技术应用 评价规范》《分布式账本贸易金融规范》等其它由全国金融标准化技术委员会归口管理的标准正在积极研制中，也将作为区块链应用风险摸排的重要参考文件。

（四）物联网

金融机构借助5G、物联网等技术打造金融智慧网点服务，充分发挥线下资源优势，实现，未来，金融服务或可借助物联网技术，通过智能音箱、智能冰箱等智慧家电以及智能驾驶汽车等走入千家万户，也可通过RFID标签等轻型设施走入产品供应管理等金融服务领域。

物联网技术扩大了各行业的服务场景，也带来了潜在的安全隐患。对金融行业来说，传统的金融服务终端（如ATM等）经过了严格的标准控制和安全检测，且金融终端多为复杂型终端，安全成本投入充足，多使用专线网络技术保障安全。而新型物联网终端以轻型终端居多，轻型终端的成本低、安全能力也相对较弱，并且，物联网终端广泛暴露于互联网环境下。互联网协议曾因heartbleed等安全漏洞也引发巨型灾难。

金融机构在使用物联网技术时，需要做好物联网设备与金融核心业务系统的安全隔离，采用适合物联网防御的安全手段，尤其关注感知节点的布防和监控、网关节点的控制能力、安全通信的有效性和数据的准确性。

工作建议

本次金融科技在新技术使用的摸排，一是收集金融机构在新技术应用的场景，了解金融机构的需求；一是了解金融机构新技术供应链的产业现状，为研究金融科技技术管理提供思路；三是为金融机构使用新技术建立安全底线，督促金融机构建立新技术应用的管理机制。

建议金融机构从以下方面开展摸排工作，并逐步建立新技术使用的管理流程：

（一）深入理解新技术金融应用的复杂性

要深入理解新技术的复杂性，以及利用新技术开展金融应用带来的新风险。在使用大数据、人工智能、区块链、物联网等技术时，采取审慎的态度，积极进行业务风险分析，不盲目追求新技术，选择适合于金融业务场景、解决金融业务核心需求、技术风险安全可控的技术作为发展目标和发展方向。新技术在金融应用中的业务场景不同，产生的结果也是不同的。如对人工智能用于资产管理、生物识别、风险防控均有不同的业务属性和参数要求，应恰当地选择人工智能算法，设置告警阈值，不能一概而论选择同样的金融产品。如区块链使用时，在跨境支付、供应链管理、合同存证等不同场景所参与的机构性质不同、业务需求不同、性能要求也均不相同，也应注意选择合理有效的方案。

（二）建立新技术使用的安全运行机制

人工智能、大数据、区块链、物联网等本质上仍是信息技术发展的产物。信息技术产品仍要按照基础的网络运行安全管理的思路进行管理。一是应对新技术的使用建立供应链清单库，按照新技术的业务层面对供应链进行登记和跟踪。如，人工智能可划分为平台提供方、算法提供方、训练数据提供方等；大数据可划分为；区块链可划分为密码算法提供方、共识机制提供方、智能合约提供方等；物联网可划分为网关节点提供方、感知节点提供方等。通过建立供应链的安全清单库，帮助金融机构在发现技术风险时进行快速有效的定位。二是要保障新技术本身的安全性及运行环境的安全性，通过加强对新技术的源代码审查、安全测试、模拟攻击、第三方评估等，检验新技术的安全性和抗攻击能力，加强对算法安全、数据安全、通信安全、身份认证安全工作，保障新技术应用的安全边界清晰，安全基础符合国家和行业有关网络安全要求。三是建立新技术应用的应急管理机制，建立新技术应用风险的识别、分析、处置能力。在使用人工智能、大数据、区块链、物联网等技术时，要建立紧急通道，装好安全阀门，能够在发现问题时及时实施阻断，降低风险蔓延的可能性，防范系统性风险的发生。

（三）为新技术应用建立赔付机制

对于新技术的使用，还面临很多未知的风险。如人工智能技术，目前还存在人工智能作为行为主体等诸多理论难题，但在当前环境下，人工智能毕竟无法作为独立主体承担责任，人工智能理财经理引发的错误资产配置问题等仍需要金融机构买单。因而，金融机构在发布金融产品、提供金融服务时，要担负起服务提供方的主体责任。金融机构应通过设置风险储备金的方式进行有效应对，也可联合产业各方积极探索建立保险机制，研究使用新型保险计划降低金融机构自身负担，促进产业创新发展。同时，人民银行正在全国多个地区试点金融科技创新监管机制，金融机构的新技术创新应用也可申报加入金融科技创新试点中，在风险可控的环境下进行积极探索，孵化一批符合金融安全要求、具有金融服务特色、达到世界领先水平的金融科技创新应用。

结束语

以上是关于《关于开展金融科技应用风险专项摸排工作的通知》（银办发﹝2020﹞45号）新技术使用安全相关内容的介绍，下期将对内控管理的内容进行解读。