让金融更安全地拥抱科技，外滩大会热议融合安全

金融与科技的融合已是大势所趋，融合发展中有何新型风险与挑战？这成为2023年外滩大会“探索下一代安全智能”论坛上的热议重点。

“融合是大势所趋，解决好科技企业和金融机构构建‘各司其职、风险分摊’的合作边界是关键。”国家金融与发展实验室副主任杨涛7日在外滩大会上发表演讲时表示。他指出，金融和科技合作过程中可能发生的不可控事件，要求平台科技企业和金融机构两方都作出努力，全面实现安全化找到彼此融合的交叉点。

记者从现场获悉，国际产业组织“云安全联盟”（CSA）大中华区宣布成立“AI安全工作组”，中国电信、蚂蚁集团、华为、百度、火山引擎、西安电子科技大学、国家金融测评中心等30余家机构成为首批发起单位。该组织致力于共同解决AI技术快速发展所带来的安全难题。

金融拥抱科技“危”“机”并存

近年来，商业银行、证券公司、保险公司等金融机构纷纷加大对金融科技的投入。一方面，传统金融机构依托数字化转型契机，利用大数据及人工智能技术来帮助传统金融行业节省人力成本，减少员工重复劳动，提升运营效率，开展金融产品创新，改善客群体验；另一方面，科技助力金融机构解决安全问题上的痛点，包括金融监管、金融反欺诈、数据激增等。

科技为金融行业的革新带来了新机遇，同时也使传统金融机构面临着新挑战。“当前，金融科技已经完全融入金融行业的方方面面，各类业务也受到监管的关注，”杨涛称。他举例称，在银行业方面，监管的重点主要是依法合规、守正创新，统筹安全与发展。杨涛解释，随着科技的迅速发展，技术的全面性和复杂性需要越来越多的开放与合作，商业银行实现完全自主创新的难度较大，且成本较高。

中国民生银行首席信息官张斌也在会上表示，当前大部分银行的数据都由开源软件来运行，存在较高的运营风险和治理成本，单个银行自主解决的成本较高。他呼吁，国家能够针对相关问题出台措施，助力银行解决使用开源软件带来的风险隐患。

对于证券业务来说，科技助力零售经纪业务扩展到机构业务、资产管理、投资银行和中后台等领域，推动证券业务全面向线上化、数字化、智能化方向转型。在此背景下，数据要素在证券业务中的重要性逐步提升，证券公司纷纷开展数据治理工作。

证券业务全面数字化使得新问题层出不穷。杨涛提出，主要存在四个方面的风险：一是数据治理与数据安全问题；二是以技术为核心的行业基础设施的安全性；三是自主可控和自主创新问题；四是投顾业务存在风险，尤其是模型与算法方面。

而对于保险机构来说，金融科技能够赋能保险业务全流程，保险营销渠道多举措创新，互联网保险目前已经具备相当规模，保险业务生态正在被重塑。

“保险机构与技术最为密切相关，也最容易存在风险隐患。”杨涛认为，首先，要关注互联网保险的规范性，当前保险科技的应用更多地倾向销售以及产品设计端，但对于售后、理赔便利性等环节的多技术运用仍有待提升。其次，要关注信息科技外包风险，保险机构技术外包风险的管理能力亟需提升。再次，在数字化技术深入发展的过程中，保险机构要采取新的战略，加强数据安全管理建设，从多个维度保证数据安全。

实现全面安全化是当务之急

科技渗透进金融机构的日常业务和实践中，使得金融机构在业务的全流程范围中存在风险隐患。“人工智能具有算法黑盒属性、数据依赖性、技术易滥用等特点，导致其过程难解释、行为难预测、结果难控制，”中国电信研究院副院长李安民指出，当前，AI 金融面临多维安全风险，包括数据安全挑战、算法可信挑战、基础设施可信挑战、技术风险及社会风险五大方面。

杨涛表示，要完善金融科技生态与夯实基础要素，首要是推动金融科技生态的建设与完善，核心思想是通过合理的激励相容机制安排，促使不同层次的金融科技参与主体合作共赢、协同创新，通过数字化手段和工具，改善金融产品和服务，提升金融服务实体的效率、降低成本。

业内普遍认为，要推动不同主体在共同生态圈中实现合作共赢，当务之急是要将底层的新型基础设施进行全面安全化。李安民提出，要将AI安全能力产品化，使其更可控，具体来说，要将安全能力划分为安全测评、安全监控、安全防护三个维度。尤其是在大模型应用方面，针对隐私识别、违规内容、内容侵权、虚假信息、意识形态、提问行为等提升相应安全能力。

将安全能力接入金融机构的日常实践，中国民生银行已迈出了步伐。张斌称：“金融机构数字化转型过程中，必须建立数字安全防御体系，保障数字金融更好、更快、更稳健发展。”他解释称，在安全攻防上，民生银行制定了金融数字安全建设目标，一是数字化安全服务，二是数字化安全运营，三是数字基建安全防护；在具体目标上划定安全架构设计的总体原则，提出了“能力导向、架构驱动”的方法论以及“1314金融数字安全体系框架”。

为金融机构提供相应的安全能力，也需要科技企业从AI技术底层进行突破和支持。当前，蚂蚁集团大模型安全实践已从“事前、事中、事后”作了努力，一是利用蚁鉴测评进行可靠检测，二是包含数据可控、训练可控、推理可控三个维度的安全可控，三是利用自研系统“天鉴防御”进行安全防御。

在平头哥半导体软件研发总监李春强看来，打造科技安全，还需要聚焦芯片安全技术，从硬件角度为安全体系提供支撑。李春强称，对安全生态来说，AIoT能够起到释放高级威胁检测和预防、预测性与主动性安全措施、彻底改变监视和监控、保护数据安全和隐私等作用。

在金融科技生态完善、安全能力实践、底层安全生态塑造之下，最受关注的是数据。“大模型安全全面赋能，对数据的量和质要求非常高，这比算力本身可能更重要。”李安民强调。

在杨涛看来，要使数据真正成为金融业变革的核心力量，需实现数据要素链、数据资产链与数据价值链的“三链融合”。一是数据要素链，要把数据的采集、存储、处理、交易、保障等一系列环节做得更完备、更顺畅；二是数据资产链，数据资产体现了数据要素里最有价值的部分，意味着数据更加标准化、可识别、可利用；三是数据价值链，为科技创新、普惠小微等带来“增量价值”，最终助力于“科技-产业-金融”良性互动与融合。