社区银行因使用AI聊天机器人泄露客户信息 引发监管审视

事件概述

美国Community Bank（业务覆盖宾夕法尼亚、俄亥俄、 西弗吉尼亚）于2026年5月7日向美国证券交易委员会提交8‑K表格，披露一起因使用未经授权的人工智能聊天软件导致客户个人信息外泄的网络安全事件。该行未透露具体使用的AI应用名称，但确认涉及将客户姓名、出生日期和社会安全号码等敏感数据上传至该平台。

细节披露

• 曝光数据：客户姓名、出生日期、社会安全号码（SSN）
• 受影响范围：未公开具体受影响客户数量
• 违规行为：内部员工将数据上传至外部AI聊天机器人，违反了银行内部数据保护政策
• 披露时间：SEC 8‑K表格于5月7日提交，TechCrunch于5月12日报道
• 后续措施：银行正评估受影响数据并依据相关法律向受影响客户发送通知，尚未公开将对该AI应用采取何种法律行动

监管与行业影响

此事件凸显金融机构在引入生成式AI工具时的合规风险。美国监管机构已多次强调，金融数据属于高度敏感信息，任何未经授权的第三方处理都可能触发《格拉姆-里奇-布莱利法案》（GLBA）以及《欧盟通用数据保护条例》（GDPR）的处罚。SEC的快速披露要求表明，监管层对AI相关数据泄露的容忍度正在下降，金融机构需在AI模型选型、数据脱敏以及访问控制方面建立更严格的治理框架。

业内分析师指出，随着ChatGPT、Claude等大模型在客服、风险评估等业务场景的渗透，类似的合规失误可能会频繁出现。银行业需要在技术创新与数据安全之间实现平衡，建议采取以下措施：

• AI模型审计：对所有引入的AI工具进行安全评估，确认其数据处理合规性
• 最小化数据上传：仅在必要时向AI系统提供脱敏后数据，避免直接上传原始个人信息
• 内部培训：加强员工对AI风险的认知，制定明确的使用政策和违规惩戒机制

专家观点

网络安全专家Rebecca Liu在接受采访时表示：“AI聊天机器人本质上是云端服务，数据一旦离开企业防火墙，控制权即转移。金融机构必须将AI使用纳入信息安全治理体系，否则类似泄露将成为常态。”

此事件为行业敲响警钟，提醒所有金融机构在追求AI效率提升的同时，必须同步提升数据保护和合规审查的力度。