2022年商业银行行业之数字化转型行动方略 坚持一体的企业级转型战略

1.商业银行之战略篇

（一）坚持一体的企业级转型战略

毫无疑问，数字化转型必定是“一把手”工程，需要董 事会和高管层将数字化转型作为全行的转型战略，进行 全局性、系统性谋划。未来 10 年，数字化转型战略是 银行总体战略的最重要组成部分甚至是银行转型战略的 全部。当前商业银行需要处理好企业十四五发展战略规 划与数字化转型战略两者的关系，应当自觉地将两个战 略高度一体化。十四五发展战略的愿景和目标应与数字 化转型战略的愿景和目标高度一致。

未来资本市场和第三方机构在评估一家银行的市场价值 时，将参考“第四张报表”，即银行的数据资产表，银 行必须展现出在高质量服务客户过程中所具有的卓越的 数据应用能力和良好的数据治理水平。这便意味着，数 字化转型不是简单的各业务前台产品的数字化，也不是 后台信息技术的“翻新换代”， 而是包括前、中、后 台，业务条线、数据要素与信息科技“多兵种”协同作 战的整体数字化活动。数据和技术要从“支撑赋能” 向“价值赋能”变革演变，形成“以数连接、由数驱 动、用数重塑”的数字化价值观。

（二）价值导向，量化数字化本身

什么是以价值创造为导向？在数字化转型的道路上，最 重要的是坚持回归本源，服务实体经济，为客户创造价 值，并以此反哺业绩增长。 案例：曾两次荣获“全球最佳数字银行”称号的某银 行，所做的极具创新的事情，就是不仅仅单纯地谈论 数字化战略，而是定量展现了数字化对盈利的意义。 根据该量化分析，相较于到访分行的传统客户，在该 银行进行数字化交易的客户所产生的营业额是其两 倍，拥有的存贷款金额也更多。而且获得数字化交易 客户的成本比获得传统客户的成本要低出 57％，传统 客户交易可以赚取 19％ 的净资产收益率，利用数字 化的客户交易可以赚取高达 27％ 的净资产收益率。

该银行在世界上首次用数字证明了其数字化转型的成 果，其做法非常值得商业银行实施数字化转型战略借 鉴。数字化战略统筹推进部门应设计科学合理的转型成 效评价指标体系，覆盖设计决策、实施运行、考核评测 和改进完善不同环节，分部门、分条线、分板块地量化 数字化转型成效，以过程管控为牵引形成成效评估闭 环，为评估数字化转型投入产出提供客观依据。

实践：为了帮助全球企业掌握自身数字化转型进程和成 效，IBM 数字化成熟度评估工具集 （DMAT） 以三个 核心框架为基础，对照现代数字化企业的最佳实践进行 成熟度评估,三个核心框架包括数字化重塑、认知型企 业和加速产生影响，即动力、目标和过程。难能可贵的 是 DMAT 对标分析数据库是目前全球规模最大，拥有来 自 36 个国家地区、5000 多个企业的绩效数据，覆盖 了 21 个行业，帮助企业进行数字化转型的全球对标和 成熟度评估。

（三）“涌现模式”下的组织变革

《指导意见》强调“加强跨领域、跨部门、跨职能横向 协作和扁平化管理。组建不同业务条线、业务与技术条 线相融合的共创团队”。在这样的要求指导下，在这样 的要求指导下，继续用传统银行经营的严格的、自上而 下控制的思想去制定转型战略必然缺乏灵活性、适应 性。有必要借鉴复杂系统中的“涌现”规律，在银行内 部建立自下而上的、打破部门壁垒的新型组织模式， 让“听得到炮声的人”做决策和引领资源配置。

一些领先金融机构正尝试建立蚂蚁型组织，通过加强内 部跨条线间的合作，形成群体的、分布式的智能形态。 例如，荷兰国际集团（ING）从谷歌、Netflix 特别是 Spotify 等企业身上获得启发，对其组织架构进行重 组，建立起分队、分部、部落，让来自市场营 销、产 品开发、数字渠道以及 IT 等职能部门的员工以小型跨 职能并行团队的形式进行合作。银行同时赋权这些团队 根据各自的特定目标，进行客户流程及产品服务的端到 端数字化运营。

《指导意见》强调“建立创新孵化机制，加强新产品、 新业务、新模式研发，完善创新激励机制”。国际大型 商业银行普遍采用的孵化创新机制包括：举办黑客马拉 松、投资或并购初创公司等方式，调动生态的力量参与 数字化转型。对于中小银行，受限于资源投入的约束， 比较适合的方式是参与行业联盟进行共创。

案例：某亚洲国家银行建立了一个数字化工厂，实现了 体内的创新孵化。该数字化工厂最初有 400 多人，包 括 100 多人的客户旅程数字化小组、15 人的专业顾问 团队以及超过 250人的系统集成团队。这个数字化工厂 已从初建时期的 400 多人增长到现在上千人的规模， 成为该银行重要的全行创新战略业务的孵化基地。而它 本身也从原来专注于零售业务，不断向对公、新的业务 拓展。由此，借力数字化工厂敏捷迭代、独立沙盘的架 构特点，推动该银行的全面数字化变革和创新发展，慢 慢重塑一个新的银行。

2.商业银行之业务篇

前台业务数字化转型

公司银行、零售银行、金融市场交易和金融服务生态 构成了商业银行前台业务数字化转型的第一阵地。

（1）产业数字金融

在这方面，领先的商业银行应当借助自身数字化技术 优势打造具有鲜明特色的产融服务平台，实现“产业+ 金融+科技”融合，将数字科技融入产业金融，赋能实 体企业，帮助“重大项目、重点企业和重要产业链” 解决融资难题、降本增效。同时商业银行借助产融数 字化平台，积累全链路、高质量的产业数据，提升精 准授信和产业链服务能力。

国内的金融科技公司在探索产业与金融融合发展落脚 点方面为商业银行提供了可借鉴的实践。例如，云趣 数科区块链产业金融云针对供应链金融市场上存在的 信息孤岛、数据壁垒、信任无法有效传递等痛点，通 过区块链技术构建可信、可共享、可交换的分布式存 储基础设施，打造多中心、统一的数字身份标识，以 及银行金融机构间可信高效的系统直联与数据交互联 盟链，实现企业-平台-金融机构产融生态圈合作共赢模 式下的价值互联网新基建。

通过建立以区块链技术为 支撑的供应链金融平台，让数据在链上实现可信流 转，传递核心企业信用。登记在区块链上的可流转、 可融资的确权凭证，使得核心企业信任能沿可信的贸 易链路传递，整个凭证的拆分、流转过程可溯源，并 提供可信贸易数据，使得链上的中小企业得到核心企 业的信用背书，且更便捷、成本更低，并可实现合约 的自动清算4。

随着工业 4.0 向纵深发展，传统产业链上下游企业将 通过数据信息深化联结，垂直分工将更加明显，垂直 产业链将逐步成为主流产业模式，这意味着针对垂直 产业专属的行业服务平台将成为数字产业链建设的重 要方向。在新的平台上，过去供应链传统的“1+N” 模式也将发生变化，众多的企业基于垂直产业 链“N”对“N”在统一的平台上交易，新模式下传统 产品意义上的核心厂商将不复存在，形成更加开放的 产业联盟，为商业银行在新平台上拓展金融业务创造 新机遇。

在产业数字金融领域，商业银行需要突破传统的信贷 领域同质化竞争，不仅满足产业链企业的支付交易需 求、融资需求、风控需求，还要满足办公自动化、客 户关系管理、人力资源管理、进销存管理等非金融需 求，把金融服务更好地与非金融服务结合起来，不断 提升客户黏性，扩大客户覆盖面，巩固提升金融业务 市场竞争力和盈利能力。值得注意的是，未来开放银 行必将成为主流，商业银行不管是主动或被动，都无 法回避。开放银行数字化程度越高的银行，在存贷款 定价和客户依赖度方面的市场竞争力就越强。

发展绿色金融已经成为双碳战略下银行竞争新的制高 点。5在气候变化下，现有的基于巴塞尔资本协议 III 的 风险管理框架会发生变化。第一支柱的最低资本要求要 考虑提高碳资产和绿色资产的不同风险权重。第二支柱 的外部监管鼓励开展气候变化和碳中和相关的压力测 试。第三支柱的市场约束要强化信息披露。为了做好迎 接碳中和的挑战，商业银行必须在绿色金融数字化技术 和基础数据采集、分析方面提前布局，未雨绸缪。

案例：香港金融管理局在 2020 年邀请部分本地银行参 与气候风险压力测试的试验计划，整个压力风险测试过 程依赖数据的准确性、完整性，并基于此构建定量、定 性的分析模型，从目前披露的信息来看，银行内部数据 会包括系统中相关贷款、债券与股票的投资组合的客户 或交易对手的行业信息、财务报表、内部评级；银行外 部数据会包括 NGFS 的情景指标、可持续发展报告、国 家统计局/香港政府统计数字、世界银行发布的数据、 绿色债券数据以及气候政策。在开发压力传导模型时， 需要现有物业的地理位置信息、地图经纬海拔数据、天 文台气象情景数据等。

在绿色金融服务领域，多数商业银行仍然围绕着提供绿 色信贷、绿色债券等传统金融产品，未意识到“双碳” 战略实施将对未来金融服务格局带来根本性变革。下一 个代际的银行不仅管理着客户的资金账户，还有可能管 理着个人消费者或企业的“碳账户”，围绕着碳账户的 构建和运营，客户与银行的交互关系将发生改变，客户 会更加青睐提供绿色金融服务的银行。为此，银行需要 利用 5G、物联网、边缘计算等新技术采集和管理客户 的碳足迹数据，并将这些数据转化为客户的碳积分，通 过公开的碳交易市场帮助客户实现碳资产的获利。

根据 IBM Consulting 的预估，未来商业银行将建设至 少六大类绿色金融数字化平台以实现绿色金融的彻底 转型。这六大平台包括：绿色金融产品服务平台、绿 色消费者碳账户平台、企业碳运营管理平台、绿色金 融风险管理平台、绿色金融监测和信息披露平台以及 绿色金融智库。

（2）个人金融服务

传统的注重增加机构、人员数量的外延式发展模式将在 市场竞争中逐渐被淘汰，注重运用新的大数据分析技术 和金融科技手段、以价值为基础的内涵式数字化、智能 化发展模式将成为零售业务发展的主要方向。

零售银行经营理念上从以客户为中心向以用户为中心转 变，这就要求商业银行通过大数据技术强化大数据精准 营销，注重全量客户管理，针对不同层次的客户提供量 体裁衣式的贴身服务。产品创新上加快从单一产品向组 合产品转变，并在产品中融入更多的跨界元素，强化金 融科技对产品创新的赋能。通过前台业务智能化、网点 轻型化、多渠道交叉共享等方式，打造全渠道、全天候 零售金融运营体系。注重融合传统业务模式和金融科 技，强化与 C 端（客户）、B 端（企业客户）和 G 端（政 府部门和机构客户）的联动，构建全新的零售金融服务新 生态。 在这三类客群基础上，有两类细分客群值得商业银行关 注，也是目前各大银行角力的战场，亟需数字化技术带 来服务质量的提升。

（a）培育超高净值客群

以私人银行业务为代表的财富管理在推动商业银行中 间业务增长和战略转型上的作用将日益凸显。国内私 人银行业务竞争激烈，已有五大国有银行、8 家股份 制银行等多家城商行推出了私人银行业务。对于后来 者或者追赶者，应加快利用大数据和数字化技术，提 升净值化产品开发和服务能力，将产品服务链延伸到 客户需求的各个层次，挖掘高净值客户“衣、食、 住、行、医”全方位需求。加大信息技术和金融科技 投资力度，打造私人银行专属移动智能客户终端，利 用大数据分析技术为高净值客户提供实时、实景、定 制化、综合化、全球迅达的资产配置服务，满足客户 的财富管理需求。

案例：IBM 帮助某国内领先的私人银行部门建立高净 值客户流失预警分析体系。将客群划分为快速流失客 户、快速增长客户、资产正常波动客户，分别建立预 警模型。模型采用机器学习算法，近 1000 余个衍生 指标参与计算，极大提高了模型预测的准确率和覆盖 率。在模型应用阶段，模型提升度达到 6 倍，模型区 分能力强且较稳定，成为该行数据分析部门实时动态 监测客户状态变化的数字化利器。

（b）培育城镇老年客群

我国部分经济发达城市已步入老龄化社会，老年客群 的资产保值增值诉求和养老金融诉求持续增长，推动 老年财富管理市场的长期繁荣。一方面，围绕老年金 融消费和投资特点，开发相应的金融科技和服务手 段，强化老年金融产品和服务的关键功能及使用的便 捷性。另一方面，老年客群的数字化渗透率逐年提 升，支付宝发布的《2020 老年人数字生活报告》7 显 示过去 3 年，支付宝老年用户数量翻了 4.5 倍，三线以 下地区增幅更高，达 5.5 倍。该报告还显示，在支付宝 的各项服务中，老年人最钟情的服务是理财、社交、 支付。同时，访问量增长最快的则是医疗健康、黄金 理财、电子社保卡。商业银行应根据老年客群在数字 化生态中的需求属性，提供有别于他行的养老金融服 务产品，确立养老金融特色品牌。

随着我国监管部门对互联网巨头进入金融领域实施更为 严格的准入和限制，商业银行迎来短暂的“喘息期”。 大洋彼岸的美国金融业正悄然发生变化，亚马逊正在借 助强大的云计算、物流配送和场景支付能力，打造银行 4.0 时代的“亚马逊银行”（见图 2），8 未来会以虚 拟货币为核心拓展亚马逊的规模经济，这意味着零售银 行业务发展的模式将发生根本性转变，个人金融服务智 能化、数字化、无界化成为一大趋势，这是值得我们关 注的颠覆力量。

首先，云计算被定位为所有业务的基础架构。云计算 将发挥亚马逊银行的大脑功能，并对外公开亚马逊银 行的 AI 银行专业技术。这是亚马逊银行积累起来的， 作为其新技术基础的专业技术。位于云计算之上的是 物流部门，也是电子商务＆零售的命脉。随着亚马逊 银行的开展，商流、物流和资金流将会得到三位一体 的精准控制。亚马逊银行在承担整个亚马逊资金流的 同时，还负责连接各种支付触点，包括 Amazon Pay、 Amazon Alexa（语音结算）和 Amazon Go（物联网结 算）。

作为亚马逊银行客户接触点的结算部分，Amazon Pay、Amazon Alexa 和 Amazon Go 将能够吸引客户使 用亚马逊提供的各种产品、服务和内容。这些服务包 括：银行、证券、保险等金融服务，电商、零售、娱 乐，配有 Amazon Alexa 的移动服务以及将 Amazon Alexa 引入生态系统的智能生活服务。 亚马逊形成独有的生态系统源自其一直追求的卓越的 客户体验，也就是“最以客户为中心”的愿景。亚马 逊银行正在以“感觉不到在进行银行交易的舒适体 验”为口号来开展业务，这是国内银行开展零售金融 业务时值得借鉴的实践。

（3）金融市场交易

一方面商业银行需要加快场外衍生品业务线上化、数 字化程度，实现直通式交易，减少手工数据录入和传 输，强化交易系统与数据中台的对接直连；另一方面 商业银行要强化人工智能在金融市场业务领域的应 用，打造生态化和线上化获客能力，提高金融产品交 易投资和管理水平，通过强大的客户关系管理和数据 支撑体系建设，提升金融市场业务的投研、风控和数 据治理能力。

与国际领先的资产管理公司相比，国内银行在智能投 研、多资产智能交易、全场景风控、综合投后管理等 方面的数字化程度有待提升。尤其缺少自主研发可控 的投资交易数据平台，能够与外围交易系统进行联 通，汇聚投资组合数据、交易数据、结算数据、市场 因子数据、估值数据、舆情数据、风险事件等所有影 响投资组合表现和收益的信息。

案例一：阿拉丁平台是国际顶尖资产管理公司贝莱德 自主研发的核心系统，可实现风险管理、组合管理、 交易、结算等业务的流程、数据、信息在平台上完美 融合。该系统占用 6000 余台服务器，由 2000 余人负 责全天维护，其基础是一个大型历史数据库，依据历 史信息，通过蒙特卡洛法则生成大型随机样本，构筑 未来可能出现的多种情形，以此建立统计模型，揭示 在一系列未来条件下所有种类金融资产的表现。1999 年上线时仅作为数据中心分析债券风险，随着业务版 图扩张、技术升级等，现已成为基于历史数据和金融 模型来预测债券、股票等金融产品价格等并相应给予 客户投资建议的平台

案例二：现已被标普全球收购的 Kensho，试图构建全 世界最大的国际事件数据库及知识图谱模型，来解决 当今投资分析的“速度、规模、自动化”三大难题。 其开发的 Warren 分析软件通过大数据搜索和分析经济 报告、货币政策、政治动向、自然灾害等所有对资产 产生影响的资料，在几分钟内完成分析过程，为用户 提供投资建议。以英国退欧为例，Kensho 的数据库在 几秒钟内，就根据民粹主义的投票结果预测，英镑短 期内的任何复苏都将是脆弱的，Kensho 的算法准确预 测了英国脱欧后所发生的走势。Kensho 的出现让复杂 的量化投资分析不再为少数人掌握，从而实现大众普 及化。

3.商业银行之能力篇

（一） 数据能力建设

结合商业银行当前在大数据建设体系实践中面临的挑 战，商业银行应多举措实现数据要素创新能力、数据 服务能力、数据运营能力、数据管理能力和数据续航 能力在内的“五位一体”的数据战略发展目标，以数 据资源先发优势带动企业整体竞争力提升，牢牢把握 发展主动权。

（1）打造领先的数据要素创新能力

数据要素市场化进程势不可挡，具备数据要素资源禀 赋的金融企业未来应加快推进数据要素市场参与度， 发挥不同市场参与者角色功能： 资源禀赋高的商业银行通过深加工创造出差异化的数 据产品，通过交易实现要素收入； 创新能力强的商业银行也可作为要素市场第三方机构 在数据资产估值服务、数据资产质押融资、数据资产 证券化、数据信托、数据银行等领域加快研发创新性 高的数据要素市场定价、融通和货币化工具。

为了提高商业银行主动参与数据要素市场化能力，应 加速自身的数据资产化、资产要素化进程，运用科学 方法对商业银行自身的数据资源进行全面的盘点和梳 理，将规范类数据、基础类数据、集成类数据、衍生 类数据、数据产品类数据等内容纳入数据资产管理范 畴，形成企业级统一的数据资产目录，掌握数据内 容，厘清数据之间的关系，确定数据依赖，让数据形 成有机的网络。

（2）打造领先的数据要素创新能力

领先商业银行未来应着力打造数据服务对内和对外的 双供给模式。在满足商业银行自身数据需求方面，建 立“1+N”共享共建的数据服务模式，构建一套完善 的、体系化的数据需求识别分析及服务流程：

“1”代表建设统一、集中、共享的数据服务能力， 实现跨业务条线、跨业务领域的数据整合，致力于共 享性、复杂数据服务的设计和实现。应建立标准化的 数据服务供给流程，打造立体式、工厂式、流水线式 的数据服务新模式，支持数据服务全生命周期管理与 运营。 “N” 代表专业化的数据服务能力。基于数据中台、 数据沙箱等先进技术和环境，为业务部门提供自主、 灵活、敏捷的数据分析支持，通过数据分析师体系建 设，最大化赋能业务部门。

根据《指导意见》的总体要求，数据应用应与业务经 营、风险管理与防范和内部控制的业务发展目标紧密 结合，特别需要将数据服务和产品嵌入到产业金融、 个人金融服务、金融市场交易、场景金融服务、资产 管理、产品运营、风险控制等业务经营主阵地中去。 基于 IBM 在银行业多年的数据应用实践，建议商业银 行可以选择以下七大应用领域作为数据服务建设的发 力点（见图 3）。

（Ⅰ）个人金融服务

全量客户智能化营销，包括 One ID 客户视图构建、 个人客户贡献度量模型、超深度客户细分、个人客户 生命阶段洞察、个人客户金融方案个性化配置、营销 策略智能推送等； 互联网客群分析，包括典型客群客户旅程分析、客户 发展潜力分析、客户社交行为分析、客户需求与兴趣 点发现等； 私人银行客户服务，包括高净值客户关系图谱、易流 失客户预警、高净值客户资产配置模型、理财产品评 价与研发指导模型等；

（Ⅱ）对公客户服务

对公客户智能感知，包括投资偏好洞察、资金需求洞 察、企业关系图谱、企业财资配置感知、企业资金流 向监测、重大舆情监测等； 智能产品推荐，包括基于企业分群的产品推荐、基于 企业关系的产品推荐、基于公私关系的产品推荐和基 于强业务规则的产品推荐等； 普惠金融客户的自动化获客，包括构建小微企业知识 图谱、基于外部数据的小微优质客户精准获客、普惠 资格智能审查等；普惠客户智能化风控，包括小微企业大数据信用评 估、小微企业风险定价、小微企业违约风险预警以及 小微企业贷后额度重估等；

（Ⅲ）客户服务与线上运营

远维客户服务与营销，包括客户之声分析、投诉升级 预警、话术推荐、营销策略助手、坐席排班优化、客 服质检等； 线上运营，包括标签体系构建（覆盖用户、产品、活 动、内容、商户等对象），运营指标监测（例如留存 分析、漏斗分析、成分分析、用户路径分析、资源位 归因分析、LTV 分析、惊喜时刻分析等），推荐与商 机整合引擎、用户特征分析（例如用户活跃度分析及 提升、休眠用户预测与唤醒、流失用户预测与挽留、 用户生命周期分析）等；

（Ⅳ）金融市场交易

金融市场交易作战平台，包括实时客户活跃度地图、 日间交易时段交易量大盘、全景客户画像、特殊事件 预警等； 贵金属数字化平台，包括品牌舆情与竞争者情报站、 购买动因预测与产品推荐、忠诚客户分析与再购营 销、客户投资助手等；

（Ⅴ）银行卡业务

银行卡客户精准营销，包括信用卡客户分层与差异化 服务、个性化优惠活动推荐、信用卡分期需求实时响 应、分期意图精准识别、提额智能分配等； 银行卡产品研发，包括信用卡个性化设计与渠道适 配、商户合作与营销策略支持等；银行卡风险控制，包括申请反欺诈、不良回收概率预 测、共债风险评估与管控、催收评分卡模型等；

（Ⅵ）信贷管理

贷前审核，包括智能反欺诈、智能信审、基于客户行 为的信贷风险预警、企业信用评估等；  贷中管理，包括智能信用评分、智能风险定价等； 贷后监控，包括客户违约风险预警、基于外部数据的 贷后风险监控、贷款客户贷后额度重估、不良资产存 量化解等； （Ⅶ）资产管理 ；资产管理智能化，包括新规净值型产品需求预测、投 资者客户画像、智能投研体系、投资产品组合配置模 型等；

（3）构建一体的数据运营能力

商业银行应开展专业化的数据服务运营，对数据服务目 录进行有效管理和运营评价。建立数据服务管理与评价 机制。实现数据服务目录上线、发布、订阅的统一管 理。通过定量和定性相结合的方式，对数据服务的活跃 度、准确度、满意度进行持续跟踪分析和评价。领先商 业银行应加快制定可落地执行的数据要素价值计量方 法，从成本角度、收益角度、市场竞争力角度建立起量 化的价值评估方法，并形成可计量结果。

4.商业银行之保障篇

数字化转型在推动商业银行管理经营方式发生变革的同时，也伴随着全新的 风险隐患。《指导意见》基于前台业务、中台业务和后台业务所可能演化出 的路径，提出了五大风险防范点和两大安全防护点。

五大风险防范点

（1）战略风险

商业银行在执行数字化转型过程中，面临来自宏观经 济环境、监管政策、外部市场竞争以及自身战略方向 选择的诸多不确定性，稍有应对不慎易诱发战略风险 的发生。与数字化转型相关的战略风险包括：数字化 战略出现定位差错或者战略执行过程中发生的偏差所 引发的风险，数字化技术更新换代增加科技路径选择 的风险，基于新技术研发的创新金融产品发生危害客 户资金安全情况导致的风险，创新项目失败导致的财 务损失和机会风险等。

商业银行应构建一套完善的科学评估数字化转型相关 战略风险的管理框架，明确主要面临的数字化转型战 略风险类型，评估其发生的严重性、发生概率、发生 时间，以及可能的概率变化；建立战略风险模型，量 化风险状态，有效度量风险；组建专家小组，制订科 学的风险解决方案，有效缓解风险隐患。

（2）创新业务合规风险

数字化银行的一个显著特点就是各类业务都要基于大数 据进行分析和运营，对数据的采集、传输、汇聚、使用 也构成了银行创新业务中最易高发的合规风险点。

在消费者保护方面，应遵循《个人信息保护法》等法 律法规要求，在新产品研发过程中充分保障消费者的 数据采集知情权，不得通过误导、欺诈、胁迫等违背 真实意愿的方式过度收集消费者数据。 在数据安全方面，应加快研究数据确权制度和标准规 范，组织开展数据交易技术体系和定价机制研究，利 用区块链等新技术探索解决数据确权方面的难题。 在产品定价和风险授信方面，商业银行应遵循合法、 正当、必要、诚信的原则，在现有人工智能模型算法 验证和测试的基础上，增加偏见测试及对人工智能模 型可能引发的伦理道德风险进行合规检查。

（3）流动性风险

流动性风险管理是现代银行全面风险管理的重要组成部 分，但是近年来部分银行在场景金融建设过程中，忽视 了场景运营方自身的流动性风险，缺少对场景金融涉及 的各业务风险环节进行监测和预警，对流动性风险新特 征研判不足，导致发生“踩雷”事件。例如 2020 年，长 租公寓头部企业“蛋壳”资金链断裂。作为蛋壳公寓 “租金贷”的最大合作方，微众银行成为“接盘侠”， 损失金额高达 15.2 亿元。

上述风险事件给予商业银行很大启示：在数字化经营背 景下，流动性风控理念需要从“以我为主”转变为“内 外结合”统筹考虑，流动性风控的触角需要延展到产业 金融生态中去。充分利用大数据和人工智能技术，建立 动态的流动性风险计量模型，识别超深度的资金流向和 走势，实时分析流动性构成、流动性变化原因，实现流 动性的监控预测。

案例：某领先商业银行创新研发流动性风险管理图中台 系统，该系统实现对流动性风险多维度变化归因分析、 正向模拟和反向追溯，可以通过一个账户或一个客户计 算出 LCR 的传导路径，同时支持流动性风险压力测试及 情景模拟操作。

（4）操作风险和外包风险

《指导意见》指出“建立符合数字化环境中开放式价 值链风险特征的操作风险评估与管控框架增强运营韧 性”。在数字化环境下，以 ABCD+5G/IoT 等为代表的 新一代数字科技一方面极大提升了商业银行运营效 率，降低了原有人工操作风险，但同时这些技术的引 入也带来了潜在的操作风险隐患，这要引起商业银行 足够重视，对数字化技术引发的操作风险建立新的评 估方法和风险缓释策略。 以 RPA 技术为例，目前很多银行都已选择实施 RPA 机 器人，广泛应用于客户服务、信息比对、交易纠错、 风险监测、合并报表、数据分析等场景。

此外，近几年监管实践发现，第三方合作企业相关的集 中度风险和信息科技外包是当前银行保险机构的风险多 发领域，银保监会于 2021 年 12 月 30 日印发《银行保 险机构信息科技外包风险监管办法》，23其管理核心 是对外包生命周期内各种活动的风险识别、评估、监 测和控制，分别从治理层面、信息科技外包准入和监 控评价、风险层面和监管层面对信息科技外包管理提 出要求。

（5）模型和算法风险

近年来，人工智能治理成为国际上各国政府和金融监 管部门热议的话题。人工智能风险主要包括数据风 险、算法风险、隐私风险和伦理风险。24在应对举措 上，建议将模型风险管理理论（MRM）与“风险三道 防线”理念相结合，在现有三道防线设置上增加模型 和算法风险的防范措施：

首先，设置红/蓝团队对模型和算法进行背靠背开 发，分散风险，形成第一道防线； 其次，设置专门的模型验证部门对模型和算法的准确 性和充分性进行审核和验证，形成第二道防线； 最后，由内部审计部门或外部第三方的专业审计机 构，对模型和算法进行专业审计并反馈意见，形成第 三道防线。通过建立模型和算法治理的三道防线，形 成全面模型风险管理框架。

此外，做好模型和算法的可解释和可审计工作。建立 模型和算法设计开发规范，探索建立合理适度的、适 应应用场景的模型可解释性标准，对模型解决方案、 算法实现原理、模型训练方法、模型测试方法、模型 应用方案及模型性能失效预警进行详细说明。探索可 解释的替代性机制，形成对模型算法的有效约束。如 果为消费者提供的数字化金融产品中使用了模型和算 法，应充分提示人工智能算法的潜在局限性和使用风 险，充分保护消费者权益，防止算法歧视。

两大安全防护点

（1）网络安全防护

网络安全防护历来是商业银行信息安全建设的重点， 结合近期的网络安全事件热点，有三个点值得关注。

第一，《指导意见》指出“构建云环境、分布式架构下 的技术安全防护体系，加强互联网资产管理，完善纵深 防御体系，做好网络安全边界延展的安全控制”。从数 字化转型和IT环境的演变来看，云计算、移动互联的 快速发展导致传统内外网边界模糊，尤其在分布式架 构下，对 IT 基础设施暴露的攻击界面更大，整个安全 边界也变得模糊，整体需要保护的范围急剧扩大。商 业银行无法基于传统的物理边界构筑安全基础设施， 只能诉诸更灵活的技术手段来对动态变化的人、终 端、系统建立新的逻辑边界，通过对人、终端和系统 都进行识别、访问控制、跟踪，实现全面的身份化， 这样身份就成了网络安全新的边界，以身份为中心的 零信任安全成了网络安全发展的必然趋势。

第二，《指导意见》指出“建立新技术引入安全风险 评估机制，强化技术风险管理，实施开源软件全生命 周期安全管理”。2021 年 12 月 9 日，Apache Log4j2 组件被曝出现高危漏洞。26 作为最常用的 Java 程序日 志监控组件之一，该漏洞影响的是全球几乎所有的互 联网企业。此事件向商业银行敲响警钟，商业银行的 网络安全部门是否有能力第一时间关注到开源软件风 险的发生，并快速采取风险补救措施。

2021 年 9 月五部门联合发布《关于规范金融业开源技 术应用与发展的意见》，27 该意见鼓励金融机构建立健 全开源技术应用管理制度体系，规范开源技术的引入 审批、技术评估、合规使用、漏洞检测、更新维护、 应急处置、停用退出等行为。要求建立开源技术应用 台账，及时掌握开源许可证变更、漏洞、闭源、停服 等变化情况，实行常态化管理，规避风险。商业银行 应尽快制定开源关键技术的中远期发展规划和顶层设 计，开展开源软件治理工作，规范开源软件全生命周 期管理，对自身应用开源的情况深入摸底排查风险 点，主动对已存在的安全漏洞、许可证合规风险进行 防控处理。

第三，《指导意见》指出“建设安全运营中心，充分 利用态势感知、威胁情报、大数据等手段，持续提高 网络安全风险监测、预警和应急处置能力，加强行业 内外部协同联动”。

案例：2018 年某证券公司建立了威胁情报管理平台， 建成了基于威胁情报、异常规则等技术的流量检测分析 平台，并与现有安全体系及态势感知平台融合，丰富态 势感知平台数据来源，弥补流量检测能力，并利用威胁 情报提高态势感知平台和传统安全设备的威胁检测、关 联分析基础能力，形成基于威胁情报的流量检测分析与 态势感知能力，与现有安全体系融合形成覆盖防御、检 测、响应和预防的端到端安全运营体系。

（2）数据安全和隐私防护

根据《指导意见》要求及商业银行目前的实践，应基 于现有数据安全管理组织架构和职责分工，完善涵盖 全范围、全周期数据安全管理制度，明确数据采集、 传输、存储、汇聚、计算和应用各环节的数据安全管 理要求。完善数据分级分类管理体系，开展常态化、 智能化数据分级打标，建立重要数据资产分级目录。

在数据要素共享和流通方面，商业银行应加强对第三 方隐私计算平台的准入资质审查。对于引入的外部数 据，建立外部数据源合法性评估机制和管理办法，能 够对涉及数据交易链条上的多手交易合规性开展“溯 源”评估。对拟参与多方安全计算的第二方、第三方 企业建立数据来源区分和审查制度。同时对数据授权 相关协议进行全面审查，确保相应数据获取协议不会 对后续数据产品的形成和流通形成障碍。

（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）