英國(guó)經(jīng)驗:金融科技公司與金融機構合作的标準化指南
時間:2019-05-24
2018年11月英國(guó)标準協會發(fā)布了《支持金融科技公司與金融機構合作-指南》(PAS201:2018)标準,對(duì)金融科技公司和金融機構合作流程、金融機構需關注的風險點、金融科技公司應具備的能(néng)力等方面(miàn)進(jìn)行了全面(miàn)梳理和規範。 該标準是全球範圍内較早對(duì)金融科技跨界合作進(jìn)行規範指導的一套标準,具有較強的參考借鑒意義。
标準制定背景
2018年11月,受英國(guó)财政部委托,英國(guó)标準協會正式發(fā)布《支持金融科技公司與金融機構合作-指南(PAS201:2018)》标準。 該标準由蘇格蘭皇家銀行、彙豐銀行等6家傳統金融機構,Tech Nation、英國(guó)創新金融協會等2家政府組織及行業協會,The ID Co.(該公司主要提供開(kāi)放銀行服務)等3家金融科技公司以及多位業界專家共同制定。
該标準爲公共可用标準,不屬于強制性标準,但标準起(qǐ)草和審議均嚴格按照BSI程序進(jìn)行,可供英國(guó)1600餘家金融科技公司和全球各金融機構免費使用。 憑借BSI在國(guó)際标準領域的重要地位以及BSI标準的國(guó)際公信力,該标準在條件成(chéng)熟時有望升級爲正式的英國(guó)國(guó)家标準或歐盟标準。
标準的主要目的和基本框架
針對(duì)金融科技初創公司,标準主要通過(guò)將(jiāng)雙方合作過(guò)程中最佳商業實踐标準化的方式,爲金融科技公司提供從提出金融科技解決方案概念、完善商業模式、明确技術發(fā)展路線圖、簽署合作法律協議到最終部署實施的全流程指南。
針對(duì)已具備成(chéng)型産品服務的金融科技公司,标準對(duì)金融機構通過(guò)盡職調查的方式篩選滿足合作條件的金融科技公司時應重點關注的風險和期望金融科技公司具備的能(néng)力進(jìn)行了系統梳理。 金融科技公司深入理解金融機構進(jìn)行盡職調查的目标和範圍,提早規範自身在法律合規、信息安全和數據保護、技術等方面(miàn)的行爲,有助于促進(jìn)雙方達成(chéng)互利共赢合作關系,降低雙方合作難度和風險。
該标準包括流程範圍、術語和定義、合作篩選流程、合作篩選總體要求、商業計劃及市場定位、商業模式及團隊建設、法律監管及商業經(jīng)營、信息安全和數據保護、技術9個部分。
流程範圍 标準將(jiāng)金融科技解決方案劃分爲調研或提出概念、達成(chéng)合作篩選、概念驗證、實驗、規模化發(fā)展等5個階段,并明确各個階段金融機構開(kāi)展盡職調查的主要内容。
術語和定義 标準對(duì)于金融機構、金融科技、最簡可行産品、概念驗證、技術架構等标準所使用的術語進(jìn)行了定義。
合作篩選流程 标準提出金融機構在與金融科技公司開(kāi)展合作前,應對(duì)雙方合作的可行性和安全性等方面(miàn)開(kāi)展盡職調查,篩選符合金融機構要求的金融科技公司。 标準列出了金融機構盡職調查時重點關注的風險,比如用戶及股東聲譽風險、欺詐和金融犯罪風險等。
合作篩選總體要求 标準列出了金融機構盡職調查時應重點關注的内容,包括商業計劃與市場定位、商業模式與團隊、法律監管及商業經(jīng)營、信息安全與數據保護和技術等。
商業計劃與市場定位 标準提出金融科技公司在制定商業計劃和市場定位時,可通過(guò)案例等方式向(xiàng)金融機構展示其産品服務所能(néng)解決的用戶痛點,以及金融機構如何通過(guò)其提供的創新産品服務更好(hǎo)地服務用戶。
商業模式與團隊 标準提出金融科技公司可制定中期發(fā)展規劃,顯示公司具備清晰的可持續發(fā)展計劃和知識資本。 法律、監管及商業經(jīng)營。 标準列舉了金融機構應重點關注金融科技公司的法律及監管合規性、利益沖突防範、商業模式、财務狀況等方面(miàn)的内容。
信息安全和數據保護 标準提出金融機構重點關注金融科技公司是否具備相關制度、流程、内部控制,從而實現對(duì)信息安全、支付安全、物理設備安全以及用戶數據安全的有效保護。
技術 标準提出金融機構與金融科技公司合作可能(néng)使金融科技公司更容易成(chéng)爲惡意攻擊的目标,進(jìn)而對(duì)金融機構産生威脅。 因此,金融科技公司應向(xiàng)金融機構展示其産品服務、技術架構及發(fā)展路線圖、用戶支持服務體系、IT系統複原能(néng)力的完備性和安全性,從而打消金融機構顧慮。
金融機構和金融科技公司合作的規範重點
明确法律權責。 标準提出雙方合作過(guò)程中通過(guò)法律協議明确權責十分重要,尤其是防範知識産權糾紛。 雙方合作前應明确合作過(guò)程中所形成(chéng)的知識産權範圍、權屬、使用權限,以及金融科技公司是否具有權使用第三方服務商知識産權并有權再次授權金融機構使用。
符合監管要求 标準提出金融機構應充分考慮雙方合作可能(néng)适用的法律法規,金融科技公司則應提供其持有的監管授權和受監管處罰情況等信息,共同确保雙方在合法合規前提下開(kāi)展合作。
防範欺詐風險和利益沖突 标準提出金融科技公司應通過(guò)有效的流程控制體系來識别和防範雙方合作過(guò)程中欺詐風險。
注重信息安全 标準提出金融機構應注重金融科技公司通過(guò)在線或離線方式獲取、處理、傳輸、儲存用戶相關數據時對(duì)于信息安全的保護,金融科技公司應采取安全措施切實有效保護雙方合作過(guò)程中的信息安全。 标準引用ISO 27001、ISO 27002等信息安全相關标準,提出金融科技公司應制定信息安全政策,包括信息安全解決方案、定期信息安全檢測、合法合規性審計、聘請外部機構進(jìn)行獨立的信息安全風險評估等。 标準提出金融機構也應定期對(duì)金融科技公司的風險狀況進(jìn)行評估,及時發(fā)現金融科技公司信息安全管理方面(miàn)可能(néng)産生的風險變化。
加強數據保護 标準提出歐盟通用數據保護條實施後(hòu),金融機構和金融科技公司應承擔更多保護用戶個人可識别信息的責任。 标準提出雙方合作前或合作過(guò)程中數據保護流程、體系發(fā)生變化時,應開(kāi)展隐私影響評估,從而識别、降低項目實施全過(guò)程中的隐私保護風險、法律風險和操作風險。 标準提出金融科技科技公司應通過(guò)制度、流程、内部控制保護消費者的數據訪問權、被(bèi)遺忘權等權利,向(xiàng)金融機構清晰地披露數據處理目的、收集數據範圍。 标準還(hái)提出金融科技公司應注重防範金融機構用戶數據加密、數據傳輸過(guò)程中存在的風險,若金融科技公司將(jiāng)用戶數據存儲于雲架構基礎上,數據跨境傳輸前還(hái)需簽訂數據傳輸協議。 若發(fā)生用戶數據被(bèi)信息控制者或處理者洩露、被(bèi)非授權第三方獲取等數據洩露事(shì)件,金融科技公司應具備預警能(néng)力和及時處理并避免事(shì)件升級的應對(duì)能(néng)力。
确保支付安全 标準提出雙方合作前,金融機構應關注金融科技公司是否通過(guò)支付卡行業數據安全标準審查認證,明确金融科技公司在訪問金融機構支付系統、用戶指令認證等過(guò)程中所承擔的責任。
明确技術發(fā)展路線圖 标準提出雙方成(chéng)功合作的關鍵在于金融科技公司具有清晰、完備的技術發(fā)展路線圖,并具備將(jiāng)技術規模化發(fā)展的技術實力和滿足金融機構需求的技術開(kāi)發(fā)時間表。 金融機構應根據以上信息評估金融科技公司所提供服務的完備性、穩定性和安全性。
确定技術架構 标準提出金融科技公司尤其是中小型公司應通過(guò)系統架構圖等方式清晰地向(xiàng)金融機構展示其産品服務的技術架構,包括技術解決方案部署類型、雲計算服務在不同供應商間遷移的可行性、存儲用戶數據的雲計算服務部署地與數據跨境傳輸地信息、使用開(kāi)源軟件和第三方軟件服務情況等内容。
增強IT系統複原能(néng)力 标準提出金融機構應關注金融科技公司所提供産品服務的IT系統架構,在遭受攻擊、系統故障等情境下,系統架構複原能(néng)力、數據備份恢複能(néng)力、數據信息複原能(néng)力和複原時間。 金融機構還(hái)應關注金融科技公司在遭受攻擊、系統故障時所應承擔的責任,事(shì)後(hòu)應開(kāi)展專項調查。
啓示總結
英國(guó)作爲金融科技創新活躍且金融制度體系較爲完備的國(guó)家,秉持趨利避害的原則,采取了一系列政策措施促進(jìn)金融機構與金融科技公司開(kāi)展良性競争合作,并高度關注金融科技開(kāi)放合作過(guò)程中可能(néng)存在的風險隐患。 此次英國(guó)财政部委托英國(guó)标準協會,通過(guò)标準先行的方式,將(jiāng)金融機構與金融科技公司合作的行業最佳實踐标準化,降低金融科技公司服務金融行業的難度及成(chéng)本,充分發(fā)揮金融機構在客戶資源、資金渠道(dào)、法律合規等方面(miàn)的優勢以及金融科技公司在技術創新、敏捷開(kāi)發(fā)等方面(miàn)的優勢,有助于促進(jìn)英國(guó)金融科技行業的創新活力和協同效應。 在這(zhè)個過(guò)程中,英國(guó)創新金融協會等行業協會通過(guò)與監管機構密切協作、參與制定金融科技标準等方式,爲鞏固和提升英國(guó)在金融科技領域的領先地位發(fā)揮了積極作用。
(本文刊于《金融電子化》2019年04月刊)
