本报记者 张漫游 北京报道
为跟上最新的人工智能技术,近日,多家银行正在跑步上车DeepSeek。DeepSeek也正凭借其在数据处理、自然语言理解及逻辑推理上的优势,逐步渗透至信贷审核、合同管理、客户服务等核心业务场景。然而,在追求效率提升的同时,数据安全、模型风险与监管合规等问题也成为银行关注的焦点。
中金金融认证中心有限公司(CFCA)产品中心副总经理刘通在接受《中国经营报》记者专访时表示,DeepSeek的应用为银行业提供了风险可控的智能化解决方案,但其落地需兼顾技术创新与安全合规,既要发挥AI的杠杆效应,也要筑牢金融安全的防火墙。
从效率提升到生态重构
近日,多家银行成功本地化部署DeepSeek大模型,应用于智能合同管理、智能风控、资产托管与估值对账、客服助手、智库等多个场景。
训练成本与能效比失衡、长尾场景泛化能力不足、端侧部署工程化障碍,是银行应用AI的三大痛点。刘通认为,DeepSeek通过优化成本结构、兼容国产化技术栈,正在打破这些瓶颈。
刘通举例道,DeepSeek在提升银行效率、精准度和风控能力方面具有优势,推动智能金融基础设施的升级,尤其在信贷、合同、客服、对账等场景中可优先落地。
在信贷审核方面,传统流程依赖人工处理非结构化数据,耗时长且易错,DeepSeek依靠更好的中文理解和逻辑推理能力,能够更好地对信贷材料进行自动化解析,提升信贷审核效率;在合同管理方面,通过自然语言处理技术,DeepSeek可精准识别合同条款,结合法律知识库进行合规审查;在客户服务方面,DeepSeek能够根据客户的交易历史和偏好,为客户提供个性化的服务;在资产托管估值对账方面,DeepSeek的数据处理能力,能够实现交易及估值信息自动化解析和对比。
在刘通看来,DeepSeek的应用正推动银行业技术生态的“马太效应”减弱。他指出,银行通过应用DeepSeek技术,在确保风险可控的前提下,在众多场景中实现智能化应用,中小银行得以借此缩小与大型银行之间的技术差距,而大型银行则能够构建更为完善的金融科技生态。
不过,DeepSeek作为AI决策系统,DeepSeek在银行风险评估中的准确性如何保证?
刘通认为,银行可以通过数据层面、模型层面和技术层面来确保DeepSeek在风险评估中的准确性。关于是否构建第三方审计机制以预防模型偏差或黑箱决策风险的问题,刘通认为,DeepSeek的开源模式使得模型代码、训练方法等信息对外公开,这在一定程度上提高了模型的透明度,方便银行或相关机构对模型进行审查和验证,可在一定程度上替代部分第三方审计的作用,降低模型偏差和黑箱决策的风险。
审慎应对敏感数据泄露风险
尽管DeepSeek的应用前景广阔,但其带来的风险亦不容忽视。刘通坦言,银行需重点防范三大风险:模型攻击、算法偏见以及敏感数据泄露。
针对模型攻击风险,银行通过对抗训练、数据增强等手段提升模型鲁棒性。“攻击者可能伪造信贷材料欺骗系统,但融合多模型结果可大幅降低误判率。”刘通说道。
算法偏见则可能引发法律与声誉风险。刘通指出,银行需通过多样化数据采集、公平性约束算法及动态反馈机制纠偏。
面对敏感数据泄露,刘通称,虽然本地化部署DeepSeek能够减少数据外流风险,但模型训练和推理过程中仍需接触大量用户数据,此类信息若处理不当,可能会导致侵犯用户隐私的情况发生,进而导致用户信任度下降,甚至产生法律合规风险等后果。
近年来,《数据安全法》《个人信息保护法》等上位法相继发布,对规范数据处理活动、个人信息保护等提出了明确要求。为规范银行业保险业数据处理活动,保障数据安全,促进数据合理开发利用,2024年12月27日,国家金融监督管理总局印发《银行保险机构数据安全管理办法》,其中提出“银行保险机构使用人工智能技术开展业务时,应当就数据对决策结果影响进行解释说明和信息披露,实时监测自动化处理与系统运行结果,建立人工智能应用的风险缓释措施,包括制定退出人工智能应用的替代方案,对安全威胁制定应急方案并开展演练”。
面对数据领域的风险,刘通认为,银行应用DeepSeek处理客户敏感金融数据时,可采取数据脱敏技术、数据访问控制技术和数据监控与审计技术确保数据脱敏合规。
数据脱敏技术方面,一是采用特定的编码规则对敏感数据进行转换,需专用算法才可还原;二是对客户的敏感金融数据如交易密码、身份证号等进行加密处理,仅授权用户通过密钥解密。
数据访问控制技术方面,一是采用用户名和密码、数字证书、动态口令、生物识别等多种因素结合的认证方式,确保只有合法的用户能够访问敏感金融数据,如CFCA数字身份体系的安心验产品,采用身份证、银行卡、手机号、面部识别等多种技术手段,确保用户身份的真实性;二是根据银行岗位职责设置角色,赋予相应的访问权限;三是遵循最小化授权原则,只给用户授予完成其工作任务所需的最小权限。
数据监控与审计技术方面,可以通过数据监控工具,及时发现异常行为和数据泄露风险;通过对数据传输的流量进行分析,建立数据流量模型检测异常传输模式;通过对所有访问和处理敏感金融数据的操作进行详细记录,以便进行事后审计和追溯,定期检查合规性;定期对数据处理过程进行合规性审计,检查数据脱敏是否符合相关法律法规和银行内部规定。
值得一提的是,谈及当系统需要与外部数据源交互时,如何防范数据泄露或非法爬取风险,刘通提示道,可从访问控制、数据加密、安全监测等多个方面防范数据泄露或非法爬取风险。
