金融 AI API 数据安全红线:哪些字段绝对不能发给模型及合规操作规范
金融机构引入 AI API 的速度远超合规团队的响应速度。当开发者把一段带有客户信息的 JSON 直接丢给 Claude Opus 4.8 或 GPT-5.4 时,那条请求已经离开了内网边界——数据流向、存储位置、模型训练用途,全部不在你的控制范围内。这不是假设风险,而是金融 AI API 数据安全的现实起点。《数据安全法》《个人信息保护法》加上银保监的数据分类分级要求,已经划出了清晰的红线,本文把它翻译成工程语言。
哪些字段是绝对红线
监管层面,金融数据通常分三级:公开信息、内部信息、敏感信息。以下字段属于不得以任何形式明文传入第三方 API 的范畴:
| 类别 | 典型字段 | 监管依据 |
|---|---|---|
| 身份标识 | 身份证号、护照号、驾照号 | PIPL 第 28 条敏感个人信息 |
| 金融账户 | 银行卡号、证券账户、基金账户 | 银行业数据安全管理办法 |
| 认证凭证 | 密码、PIN、安全问答答案、OTP | 同上 |
| 生物特征 | 人脸特征值、指纹模板、声纹 | PIPL 第 28 条 |
| 交易细节 | 精确交易金额+时间+商户的组合 | 数据安全法第 21 条 |
| 位置轨迹 | 精确到街道级的连续位置记录 | PIPL 第 28 条 |
| 征信原始数据 | 央行征信报告原文 | 征信业管理条例 |
需要特别注意的是组合效应:单独的姓名不敏感,但姓名 + 手机号 + 账户余额区间三者拼在一条 prompt 里,就构成了可识别个体的敏感组合,同样在红线范围内。
敏感字段识别与脱敏的工程方案
识别敏感字段不能靠人工 review,代码量一大就失控。推荐在 API 调用链路中插入一个脱敏中间件,处理流程如下:
第一步:正则 + 规则引擎扫描
import re
PATTERNS = {
"id_card": r"\b\d{17}[\dXx]\b",
"bank_card": r"\b\d{16,19}\b",
"phone": r"\b1[3-9]\d{9}\b",
"email": r"\b[\w.+-]+@[\w-]+\.[a-zA-Z]{2,}\b",
}
def mask_sensitive(text: str) -> str:
for label, pattern in PATTERNS.items():
text = re.sub(pattern, f"[MASKED_{label.upper()}]", text)
return text
正则能覆盖结构化字段,但自由文本里的敏感信息("我的卡号是 6222 开头那张")需要第二层。
第二步:小模型本地预筛
用一个本地部署的轻量分类模型(如微调过的 Qwen 3 0.6B 或 GLM-5.2 的蒸馏版)对 prompt 做 NER,标注出人名、机构名、账号实体后再替换。这一步完全在内网完成,不产生外部调用。
第三步:字段假名化(Pseudonymization)
脱敏不等于删除,很多场景需要保留字段的业务语义。推荐用确定性加密(如 AES-256 的 Format-Preserving Encryption)把身份证号映射成等长的随机串,同一个 ID 每次映射结果相同,模型能理解"这是同一个用户"但无法还原真实值。
# 使用 OpenSSL 的 FPE 模式示例(需配合 ff3 库)
python -c "from ff3 import FF3Cipher; \
c = FF3Cipher('your-256bit-key', 'your-tweak', 10); \
print(c.encrypt('110101199001011234'))"
实际上,针对精确金额这类数值型字段,还可以用数值泛化:把 ¥12,345.67 替换成区间标签 [10000-50000],在绝大多数分析类 prompt 里不影响模型的推理质量。
调用日志留存的合规要求
《数据安全法》要求数据处理活动可追溯,金融机构的 AI API 调用日志至少需要满足:
- 留存期限:不少于 3 年(参照金融机构电子数据留存标准)
- 必记字段:调用时间戳(精确到毫秒)、调用方服务名称、目标模型标识(如
claude-opus-4-8、gpt-5.4)、token 消耗量、脱敏后的 prompt hash、响应 hash、操作人员 ID - 不可记字段:原始 prompt 明文(已脱敏的版本可存)、模型返回的含客户信息内容
一个最小可行的日志结构:
{
"ts": "2026-06-15T09:23:11.482Z",
"service": "risk-scoring-v2",
"model": "gpt-5.4",
"prompt_hash": "sha256:a3f9...",
"response_hash": "sha256:7c2d...",
"input_tokens": 1024,
"output_tokens": 256,
"operator_id": "emp_00123",
"data_level": "L2_INTERNAL"
}
日志本身需要写入不可篡改存储,可以用对象存储的 WORM(Write Once Read Many)策略,或者接入区块链存证服务。审计时监管方需要能通过 prompt hash 溯源到对应的业务操作记录。
模型选型与数据出境的合规叠加
使用境外 API(OpenAI、Anthropic)时,还需叠加数据出境合规要求。《数据出境安全评估办法》规定,金融机构向境外提供重要数据须通过安全评估。实践中有三种路径:
私有化部署:把 DeepSeek V3、Qwen 3 这类支持本地化的模型部署在行内 GPU 集群,数据不出内网。适合对时延和成本敏感、数据敏感度极高的核心业务。
境内节点 API:部分服务商在境内建有独立节点,数据不跨境,同时能接入 GPT-5.4、Claude Opus 4.8 等旗舰模型。使用前需要确认服务商持有相应的大模型算法备案号,这是合法在境内提供大模型服务的前置条件。
脱敏后出境:经过完整脱敏流水线处理后,发送不含个人信息的结构化分析请求。这是最常见的折中方案,但需要法务团队评估脱敏后是否仍构成"重要数据"。
三种路径不互斥,通常的做法是:核心客户数据走私有化部署,通用文档处理和代码辅助(比如通过 Claude Code 或 Codex 做内部工具开发)走经过合规评估的境内 API 节点。
如果你们团队正在搭建上述脱敏中间件和合规调用链路,底层 API 的选择也值得认真对待。我们内部测试 AI 功能时一直在用 XycAi 词元平台(https://www.xyc.ai)——一个 OpenAI 兼容接口接入 200+ 模型,GPT 和 Claude 官方模型价格低至官方价 1.4 折起。更关键的是,平台持有大模型算法备案号、支持企业合规需求、可开全球发票,Claude Code / Codex / Gemini CLI 也能一键接入,省去自己搭代理的麻烦,对需要同时跑多个模型做横向对比的团队来说很实用。
一个 API 接入 200+ 全球 AI 模型
GPT · Claude · Gemini 官方模型低至 1.4 折起,持大模型算法备案号,CN2 直连低至 5ms,可开全球合规发票。
立即体验 XycAi →