作者：金融界银行研究院院长陈国汪

2026年6月18日，国家金融监督管理总局发布《关于银行业保险业人工智能安全开发应用的指导意见》（以下简称《指导意见》），从治理架构、开发应用、数据治理、算力建设、风险管理、能力提升、保障与监督等七个方面提出32项指导性意见，为银行业AI应用划定了全流程合规底线。《指导意见》明确针对中小银行资源禀赋不足的痛点，提出“鼓励有条件的大型金融机构向中小金融机构输出算力服务，支持同业探索基础设施共建共享”的扶持导向，为中小银行轻量化、合规化发展AI提供了政策依据。结合行业公开调研与监管要求，当前我国中小银行AI应用仍存在多重结构性短板，可借鉴全球中小银行成熟经验，走特色化、轻量化、安全可控的发展路径。

一、我国中小银行人工智能开发应用的核心问题

（一）资源投入鸿沟显著，技术支撑能力先天不足

从资金投入看，国有大行与头部股份行AI基础设施、大模型年度投入达亿元级别，而城商行、农商行等中小机构单AI项目预算普遍为几十万至百万元级别。中小银行盈利空间有限，难以承担算力集群、自研大模型的重投入，且投入零散缺乏统筹，无法形成规模效应。

从人才储备看，头部大行科技人员规模通常在数千至万人级别，而中小银行科技部编制紧张，高端算法、大模型运维人才极度稀缺，新技术吸收转化效率低，多数机构仅能作为AI工具的"使用者"，无法掌握底层技术与优化能力，技术依赖度高。

（二）数据治理基础薄弱，AI核心“燃料”供给不足

一是数据底座能力滞后。2025年9月，在2025 Inclusion·外滩大会上发布的《面向AI时代的中小银行数据库研究与展望》报告显示，七成受访银行认为“现有数据库无法支撑半结构化、非结构化、向量等数据的处理、分析及应用需求”是推进数据库升级的重要动因。二是数据质量与样本量双重不足。中小银行业务覆盖范围有限，单机构数据样本量小，且普遍存在数据孤岛、标准不统一问题。三是数据合规管理能力薄弱，多数机构未建立AI训练数据专项脱敏、分类分级管理机制，个人信息保护、数据投毒防控存在合规隐患。

（三）算力建设进退两难，技术路径模糊

中小银行普遍面临“自建成本过高、公网模型不合规”的两难困境：全栈私有化算力集群投入远超机构承受能力，但金融数据合规要求又禁止直接调用公共大模型API，因此主流模式只能是采购第三方轻量化模型、基于开源模型做简单微调，或外包定制单点应用，技术自主性与适配性不足。同时算力架构缺乏统一规划，零散采购的资源难以统筹调度，边际成本高、使用效率低。

（四）治理与合规体系缺位，与监管要求差距明显

一是顶层治理缺失。多数中小银行未制定统一的AI发展战略，AI应用分散在各业务部门碎片化落地，缺乏跨部门协同机制，存在“重开发、轻管理、弱风控”的普遍问题。二是风险管控体系空白。尚未建立AI分类分级管理机制，对信贷审批、资金交易等高风险场景，普遍未落实人工复核、可解释性、伦理审查要求，模型黑箱、算法歧视等风险不可控。三是外包与供应链管理不规范。对第三方模型、开源组件、算力服务缺乏名单制管理与安全审计，供应链投毒、技术断供等隐性风险突出，与《指导意见》“加强外包和供应链风险管理”的全生命周期管理要求差距较大。

（五）场景应用价值偏低，差异化竞争力未形成

当前中小银行AI应用多集中在智能客服、工单处理、台账登记等低价值运营场景，对信贷风控、精准营销、产业金融等核心业务场景渗透不足，且多为通用功能复刻，未结合区域产业、本土客群特色打造差异化应用。通用大模型对下沉市场、县域客群、地方产业的适配性差，场景调优能力不足，导致AI应用业务价值不突出，容易陷入“为新而新”的无效投入。

二、全球中小银行人工智能应用的实践经验

全球中小银行普遍面临资源有限、人才不足、合规约束强的共性问题，其发展路径普遍遵循“轻量化起步、场景聚焦、合规优先、善用外部资源”的原则，具备较强借鉴意义。

（一）美国社区银行：深耕细分痛点场景，人机协同守住风险底线

美国社区银行普遍不追求全栈AI自研，而是聚焦自身最突出的业务痛点，以单点工具突破实现效率提升。典型案例是康涅狄格州的Bankwell——一家管理30亿美元左右规模资金、专注小企业贷款的社区银行。引入AI服务商的辅助工具后，该行SBA贷款转化率从8%飙升至81%，放款周期从传统平均90天缩短至约10天。AI自动完成材料填报、合规校验、初步风险分析，同时严格保留信贷专员的最终决策权，AI仅作为辅助工具，既大幅提升效率，又守住信贷风险底线。

（二）日本地方银行：从内部低风险场景切入，应对人力短缺痛点

日本地方银行普遍面临严重的人口老龄化与人力不足问题，AI应用优先从内部运营场景切入，控制对外服务风险的同时快速兑现价值。静冈银行在2024财年（截至2025年3月）开始开发生成式AI聊天机器人，聚焦销售活动支撑，辅助员工快速查询业务规则、生成业务文书、解答内部咨询，以提升一线网点运营效率。北陆银行、北海道银行等地方银行则于2023年8月至10月与富士通合作开展生成式AI试验，将AI应用于内部问询响应、业务文档生成与校对、程序代码创建与测试数据生成、程序漏洞检测与错误修正建议等场景。

其核心逻辑是，先通过内部低风险场景完成技术验证、人才培养与流程磨合，避免直接对客应用带来的合规与声誉风险，小步快跑、稳步推进。

（三）欧洲中小银行：聚焦客户体验差异化，轻量化技术落地

欧洲中小银行普遍依托AI技术填补传统服务的覆盖空白，打造差异化竞争力。波兰Nest Bank作为该国首家专注于小微企业融资的银行，于2024年4月在移动应用中推出基于GPT-4的AI助手，面向个人客户提供智能财务管理服务，包括支出分析、预算评估、储蓄规划等，客户可用自然语言与助手对话。该银行计划逐步扩展AI助手功能，包括语音交互、业务操作自动化（如转账、卡片挂失等），并始终要求标准授权（手机验证码或生物识别）作为安全兜底。

技术路径上，欧洲多数中小银行采用云化AI服务、第三方合规工具的轻资产模式，不自建底层算力与通用大模型，仅针对自身业务场景做适配调优，大幅降低转型成本；同时严格遵循欧盟《人工智能法案》要求，对高风险金融AI实施严格的人工干预与可解释性管理，合规与发展并行。

（四）全球实践的共性启示

一是路径轻量化。不追求全栈自研与全面布局，以单点刚需场景切入，小步快跑、快速验证业务价值，控制投入风险。二是风险底线化。高风险业务场景坚持“人工最终决策、AI辅助支撑”的人机协同模式，平衡效率与风险，符合金融监管的核心要求。三是资源外部化。善用第三方技术服务、行业共享基础设施，避免重复建设，以低成本获取AI能力。四是场景差异化。立足自身客群与区域特色，用AI解决传统模式的痛点，打造不可替代的竞争优势，而非复刻大行的通用功能。

三、我国中小银行下一步开发应用人工智能的主要方向与措施

结合《指导意见》的监管要求与中小银行禀赋特点，下一步应坚持“合规为底、价值导向、轻量化起步、特色化发展”的总体思路，从六大维度系统推进AI安全应用。

（一）治理先行：构建适配中小银行的轻量化治理体系

一是压实主体责任。无需设置庞大的专职AI团队，但需明确AI管理牵头部门，建立业务、科技、风控、合规跨部门协同机制，将AI管理纳入全面风险管理体系，落实《指导意见》“谁使用谁负责”的监管原则。二是落地分类分级管理。全面梳理存量AI应用并建立统一台账，按场景重要性、对客影响程度、风险等级实施差异化管控；明确信贷审批、资金交易等高风险场景的准入标准，须经内部风控委员会审批后方可上线，强制设置人工复核节点，保留人工最终决策权。三是完善基础制度。对照监管要求修订AI开发、数据安全、外包管理、伦理审查等制度，将合规要求嵌入AI全流程。《指导意见》明确要求金融机构建立人工智能全生命周期管理体系，覆盖需求分析、数据准备、训练开发、部署运行、维护迭代、评估退出等阶段，并规范模型研发、应用及资产管理，加强安全评估、伦理审查、责任追溯机制建设。

（二）场景聚焦：立足本土禀赋打造差异化应用体系

摒弃“大而全”的布局思路，聚焦三类场景精准发力：

一是内部提效类低风险场景优先落地。优先在智能客服、公文处理、监管报送、合规审查、代码辅助等内部场景应用AI，快速降低运营成本、积累落地经验，契合日本地方银行由内而外的推进逻辑。

二是本土特色普惠金融场景深耕。结合区域产业特点与客群优势，将AI技术嵌入特色产业贷、农户信用贷、县域小微贷等场景，用数据与模型提升风险识别精准度，下沉服务重心，形成差异化竞争力。

三是对客服务场景稳步推进。对客应用严格落实AI生成内容显著标识、人工兜底的要求，优先在业务指引、理财咨询、服务提醒等非决策类场景落地，严禁AI独立完成高风险金融决策。

（三）技术路径：走共享化、轻量化、信创化的低成本路线

一是积极对接行业共享资源。落实《指导意见》“同业共建共享、大型机构输出算力”的政策导向，依托省级机构、行业联盟共建的AI基础设施，或接入大型银行输出的合规算力服务、行业大模型平台，也可合规使用国家算力节点资源，避免重复建设，大幅降低AI转型的硬件与技术门槛。二是采用轻量化模型方案。基于成熟的开源或第三方垂类模型，通过小样本微调适配本地业务场景，优先选用参数规模小、推理成本低的蒸馏模型，控制算力与运维成本，不盲目追求通用大模型自研。三是坚持自主可控底线。优先采购信创适配的软硬件产品，降低对单一外部技术的依赖，防范供应链安全风险。

（四）数据筑基：稳步提升数据治理与安全防护能力

一是补齐数据基础短板。先完善结构化数据治理，再逐步拓展非结构化数据处理能力，针对核心业务场景建设高质量小样本数据集，持续优化数据质量，解决“燃料不足”问题。二是严格落实数据合规要求。按照监管规定对训练数据实施分类分级保护与脱敏处理，严禁姓名、身份证号等敏感个人信息用于生成式AI训练；规范数据访问权限，建立数据投毒防控机制。三是探索合规数据共享。积极参与行业数据集共建，探索合成数据、联邦学习等技术路径，在合规前提下破解样本量不足的瓶颈。《指导意见》明确“支持金融机构间依法合规开展数据集共享”“开展行业分类高质量数据集共建”。

（五）风控合规：对照监管要求补齐风险管控短板

一是实施全生命周期风险管控。在AI需求立项、开发训练、测试上线、运行运维、迭代退出全流程嵌入风险评估与安全测试，将AI风险融入现有风险管理体系。《指导意见》要求“将人工智能风险纳入金融机构全面风险管理体系，定期开展对人工智能应用风险及管理措施的评估审查”，“防范模型黑箱风险、生成幻觉、算法歧视等各类风险”。二是强化高风险场景管控。高风险应用必须配套基础的可解释性工具，完整留存决策日志与推理路径，保存期限不低于业务存续期；明确人工复核的触发条件与责任机制，确保责任可追溯。三是规范外包与供应链管理。对第三方AI技术服务实行名单制管理，通过合同明确安全权责；对开源组件定期开展代码审计与漏洞扫描，防范供应链投毒风险。四是筑牢基础安全防线。部署模型安全护栏，防范提示词注入、上下文污染等常见攻击，落实AI生成内容审核与标识要求。

（六）组织保障：构建轻量化人才与运营能力

一是培养复合型应用人才。无需大规模引进高端算法专家，重点培养“懂业务、会用AI工具”的业务科技复合型人才，提升AI工具在业务场景的落地效率。二是加强全员AI合规培训。提升各条线员工的AI风险意识与规范操作能力，避免不当使用带来的合规风险。三是建立迭代优化机制。持续跟踪AI应用的业务效果与风险表现，小步快跑动态优化，平衡技术创新与安全合规，实现AI应用的可持续发展。

《指导意见》的出台为中小银行AI发展划定了合规边界，也提供了行业共享的政策支持。中小银行应立足自身资源禀赋与区域优势，以监管要求为底线，以业务价值为导向，走轻量化、特色化、安全可控的AI发展路径，通过借力行业资源降低转型成本，聚焦本土场景打造差异化优势，在安全合规的前提下充分释放AI技术对业务的赋能价值。