文件解读|金融监管总局32项指导意见:AI智能体治理的“全生命周期”怎么落地? 📅 2026/7/2 11:33:39 6月18日国家金融监督管理总局发布《关于银行业保险业人工智能安全开发应用的指导意见》从治理架构、开发应用、数据治理、算力建设、风险管理、能力提升、保障与监督七个方面提出32项指导性意见。信号很明确金融AI的应用正式从“能不能用”进入“怎么安全地用”的阶段。“怎么安全地用”文件给出的主轴是一个词——全生命周期管理。AI 不再是“上线就完事”要像关键业务系统一样全程留痕。一、先看这份文件的关键信号32项意见内容很全但如果只抓最核心的几条可以归纳为四个关键要求全生命周期管理成硬要求文件要求金融机构建立健全人工智能全生命周期管理体系——从模型开发、部署、应用到下线的每个环节都要有管理流程。金融智能体被“点名”文件明确提到“稳妥探索人工智能技术研发和金融智能体建设”。智能体不再是概念而是被纳入了合规视野。分类分级高风险应用准入文件要求“实施风险分类分级管理和高风险应用准入管理”并在“高风险应用关键环节要建立人工监督和干预机制”。换句话说不是所有AI应用一个标准——风险高的要单独审批、关键环节要留人工“刹车”。外包和供应链纳入风险治理文件专门提到“加强外包和供应链风险管理”。金融机构的AI系统大量依赖外部模型、算力、服务这些外部身份和供应链风险被正式纳入治理范围。这四条合在一起指向同一件事金融机构需要一套覆盖“AI从开发到运行”全流程的治理体系而且要管到智能体、管到供应链、管到每一次高风险操作。二、“全生命周期管理”这件事治理框架要落地绕不开一个根本问题AI系统、智能体、外部服务每一个都需要有“身份”每一次操作都需要可归属、可追溯。准入的本质是谁能用、用多久、权限多大。监督的前提是“看得见”。AI系统的每一次操作都要能关联到具体身份、具体任务、具体时间点否则人工监督无从谈起。外部服务、外部模型、外部运维人员——这些非内部身份恰恰是传统身份管理最薄弱的环节。给外包服务发临时凭证、按任务授权、操作全程留痕是供应链治理绕不过去的一环。另一方面智能体本身需要身份。它替人调接口、读数据、发起操作系统必须能识别“是哪个Agent在动、它被授权做什么、它的主人是谁”。与此同时全生命周期的每个阶段——开发、测试、部署、运行、下线——都涉及身份的创建、变更、授权、审计、注销。没有身份管理做底座全生命周期管理就缺了“谁”这一维。三、金融机构的现实挑战政策有了但金融机构落地时会遇到几个实际问题挑战一AI系统的“身份”怎么管传统IAM管的是人的账号。AI模型、智能体、外部API——这些非人类身份怎么注册、怎么发证、怎么轮换、怎么注销挑战二高风险操作怎么“留刹车”文件要求高风险应用关键环节有人工监督和干预。技术上怎么实现核心是高风险操作要能被识别基于身份和操作类型、能被拦截实时访问控制、能被审批人工干预机制、能被追溯操作审计。挑战三外包和供应链身份怎么治金融机构的AI系统往往混合了自研模型、外部供应商模型、云厂商算力、外部运维服务。这些外部身份如何纳入统一治理临时凭证、按任务授权、操作隔离——这些机制需要专门设计。挑战四全生命周期怎么落地“全生命周期”在文件里是一个词落到企业里是开发、测试、生产、运维多个团队的协同。身份治理体系如果能在这些阶段贯穿——开发期发测试身份、上线前转生产身份、下线时自动注销——全生命周期管理就有了抓手。四、从政策到落地需要什么《指导意见》的发布意味着金融行业的AI应用正式进入“有规可依”的阶段。对金融机构而言这不仅是合规要求更是安全建设思路的升级——AI治理的起点是回答“AI系统是谁、被授权做什么、操作可不可追溯”。这正是身份管理要解决的问题。我们会持续跟踪这份文件的落地实践也欢迎金融机构的安全负责人、合规负责人交流探讨。