英國(guó)經驗：金(jīn)融科技公司與金(jīn)融機構合作(zuò)的标準化指南

時(shí)間(jiān)：2019-05-24

2018年(nián)11月英國(guó)标準協會發布了(le)《支持金(jīn)融科技公司與金(jīn)融機構合作(zuò)-指南》（PAS201：2018）标準，對金(jīn)融科技公司和(hé)金(jīn)融機構合作(zuò)流程、金(jīn)融機構需關注的風(fēng)險點、金(jīn)融科技公司應具備的能(néng)力等方面進行(xíng)了(le)全面梳理和(hé)規範。 該标準是全球範圍內(nèi)較早對金(jīn)融科技跨界合作(zuò)進行(xíng)規範指導的一(yī)套标準，具有較強的參考借鑒意義。

 

标準制定背景

2018年(nián)11月，受英國(guó)财政部委托，英國(guó)标準協會正式發布《支持金(jīn)融科技公司與金(jīn)融機構合作(zuò)-指南（PAS201：2018）》标準。 該标準由蘇格蘭皇家銀(yín)行(xíng)、彙豐銀(yín)行(xíng)等6家傳統金(jīn)融機構，Tech Nation、英國(guó)創新金(jīn)融協會等2家政府組織及行(xíng)業協會，The ID Co.（該公司主要(yào)提供開(kāi)放銀(yín)行(xíng)服務）等3家金(jīn)融科技公司以及多位業界專家共同制定。

 

該标準為(wèi)公共可(kě)用标準，不屬于強制性标準，但(dàn)标準起草和(hé)審議(yì)均嚴格按照BSI程序進行(xíng)，可(kě)供英國(guó)1600餘家金(jīn)融科技公司和(hé)全球各金(jīn)融機構免費(fèi)使用。 憑借BSI在國(guó)際标準領域的重要(yào)地(dì)位以及BSI标準的國(guó)際公信力，該标準在條件成熟時(shí)有望升級為(wèi)正式的英國(guó)國(guó)家标準或歐盟标準。

 

标準的主要(yào)目的和(hé)基本框架

針對金(jīn)融科技初創公司，标準主要(yào)通(tōng)過将雙方合作(zuò)過程中最佳商業實踐标準化的方式，為(wèi)金(jīn)融科技公司提供從(cóng)提出金(jīn)融科技解決方案概念、完善商業模式、明(míng)确技術(shù)發展路線圖、簽署合作(zuò)法律協議(yì)到最終部署實施的全流程指南。

 

針對已具備成型産品服務的金(jīn)融科技公司，标準對金(jīn)融機構通(tōng)過盡職調查的方式篩選滿足合作(zuò)條件的金(jīn)融科技公司時(shí)應重點關注的風(fēng)險和(hé)期望金(jīn)融科技公司具備的能(néng)力進行(xíng)了(le)系統梳理。 金(jīn)融科技公司深入理解金(jīn)融機構進行(xíng)盡職調查的目标和(hé)範圍，提早規範自(zì)身在法律合規、信息安全和(hé)數(shù)據保護、技術(shù)等方面的行(xíng)為(wèi)，有助于促進雙方達成互利共赢合作(zuò)關系，降低(dī)雙方合作(zuò)難度和(hé)風(fēng)險。

 

該标準包括流程範圍、術(shù)語和(hé)定義、合作(zuò)篩選流程、合作(zuò)篩選總體要(yào)求、商業計劃及市場定位、商業模式及團隊建設、法律監管及商業經營、信息安全和(hé)數(shù)據保護、技術(shù)9個部分。

 

流程範圍 标準将金(jīn)融科技解決方案劃分為(wèi)調研或提出概念、達成合作(zuò)篩選、概念驗證、實驗、規模化發展等5個階段，并明(míng)确各個階段金(jīn)融機構開(kāi)展盡職調查的主要(yào)內(nèi)容。

 

術(shù)語和(hé)定義 标準對于金(jīn)融機構、金(jīn)融科技、最簡可(kě)行(xíng)産品、概念驗證、技術(shù)架構等标準所使用的術(shù)語進行(xíng)了(le)定義。

 

合作(zuò)篩選流程 标準提出金(jīn)融機構在與金(jīn)融科技公司開(kāi)展合作(zuò)前，應對雙方合作(zuò)的可(kě)行(xíng)性和(hé)安全性等方面開(kāi)展盡職調查，篩選符合金(jīn)融機構要(yào)求的金(jīn)融科技公司。 标準列出了(le)金(jīn)融機構盡職調查時(shí)重點關注的風(fēng)險，比如(rú)用戶及股東聲譽風(fēng)險、欺詐和(hé)金(jīn)融犯罪風(fēng)險等。

 

合作(zuò)篩選總體要(yào)求 标準列出了(le)金(jīn)融機構盡職調查時(shí)應重點關注的內(nèi)容，包括商業計劃與市場定位、商業模式與團隊、法律監管及商業經營、信息安全與數(shù)據保護和(hé)技術(shù)等。

 

商業計劃與市場定位 标準提出金(jīn)融科技公司在制定商業計劃和(hé)市場定位時(shí)，可(kě)通(tōng)過案例等方式向金(jīn)融機構展示其産品服務所能(néng)解決的用戶痛點，以及金(jīn)融機構如(rú)何通(tōng)過其提供的創新産品服務更好地(dì)服務用戶。

 

商業模式與團隊 标準提出金(jīn)融科技公司可(kě)制定中期發展規劃，顯示公司具備清晰的可(kě)持續發展計劃和(hé)知識資本。 法律、監管及商業經營。 标準列舉了(le)金(jīn)融機構應重點關注金(jīn)融科技公司的法律及監管合規性、利益沖突防範、商業模式、财務狀況等方面的內(nèi)容。

 

信息安全和(hé)數(shù)據保護 标準提出金(jīn)融機構重點關注金(jīn)融科技公司是否具備相關制度、流程、內(nèi)部控制，從(cóng)而實現對信息安全、支付安全、物(wù)理設備安全以及用戶數(shù)據安全的有效保護。

 

技術(shù)  标準提出金(jīn)融機構與金(jīn)融科技公司合作(zuò)可(kě)能(néng)使金(jīn)融科技公司更容易成為(wèi)惡意攻擊的目标，進而對金(jīn)融機構産生威脅。 因此，金(jīn)融科技公司應向金(jīn)融機構展示其産品服務、技術(shù)架構及發展路線圖、用戶支持服務體系、IT系統複原能(néng)力的完備性和(hé)安全性，從(cóng)而打消金(jīn)融機構顧慮。

 

金(jīn)融機構和(hé)金(jīn)融科技公司合作(zuò)的規範重點

明(míng)确法律權責。 标準提出雙方合作(zuò)過程中通(tōng)過法律協議(yì)明(míng)确權責十分重要(yào)，尤其是防範知識産權糾紛。 雙方合作(zuò)前應明(míng)确合作(zuò)過程中所形成的知識産權範圍、權屬、使用權限，以及金(jīn)融科技公司是否具有權使用第三方服務商知識産權并有權再次授權金(jīn)融機構使用。

 

符合監管要(yào)求  标準提出金(jīn)融機構應充分考慮雙方合作(zuò)可(kě)能(néng)适用的法律法規，金(jīn)融科技公司則應提供其持有的監管授權和(hé)受監管處罰情況等信息，共同确保雙方在合法合規前提下(xià)開(kāi)展合作(zuò)。

 

防範欺詐風(fēng)險和(hé)利益沖突 标準提出金(jīn)融科技公司應通(tōng)過有效的流程控制體系來識别和(hé)防範雙方合作(zuò)過程中欺詐風(fēng)險。

 

注重信息安全 标準提出金(jīn)融機構應注重金(jīn)融科技公司通(tōng)過在線或離線方式獲取、處理、傳輸、儲存用戶相關數(shù)據時(shí)對于信息安全的保護，金(jīn)融科技公司應采取安全措施切實有效保護雙方合作(zuò)過程中的信息安全。 标準引用ISO 27001、ISO 27002等信息安全相關标準，提出金(jīn)融科技公司應制定信息安全政策，包括信息安全解決方案、定期信息安全檢測、合法合規性審計、聘請(qǐng)外(wài)部機構進行(xíng)獨立的信息安全風(fēng)險評估等。 标準提出金(jīn)融機構也應定期對金(jīn)融科技公司的風(fēng)險狀況進行(xíng)評估，及時(shí)發現金(jīn)融科技公司信息安全管理方面可(kě)能(néng)産生的風(fēng)險變化。

 

加強數(shù)據保護 标準提出歐盟通(tōng)用數(shù)據保護條實施後，金(jīn)融機構和(hé)金(jīn)融科技公司應承擔更多保護用戶個人(rén)可(kě)識别信息的責任。 标準提出雙方合作(zuò)前或合作(zuò)過程中數(shù)據保護流程、體系發生變化時(shí)，應開(kāi)展隐私影響評估，從(cóng)而識别、降低(dī)項目實施全過程中的隐私保護風(fēng)險、法律風(fēng)險和(hé)操作(zuò)風(fēng)險。 标準提出金(jīn)融科技科技公司應通(tōng)過制度、流程、內(nèi)部控制保護消費(fèi)者的數(shù)據訪問(wèn)權、被遺忘權等權利，向金(jīn)融機構清晰地(dì)披露數(shù)據處理目的、收集數(shù)據範圍。 标準還提出金(jīn)融科技公司應注重防範金(jīn)融機構用戶數(shù)據加密、數(shù)據傳輸過程中存在的風(fēng)險，若金(jīn)融科技公司将用戶數(shù)據存儲于雲架構基礎上(shàng)，數(shù)據跨境傳輸前還需簽訂數(shù)據傳輸協議(yì)。 若發生用戶數(shù)據被信息控制者或處理者洩露、被非授權第三方獲取等數(shù)據洩露事件，金(jīn)融科技公司應具備預警能(néng)力和(hé)及時(shí)處理并避免事件升級的應對能(néng)力。

 

确保支付安全 标準提出雙方合作(zuò)前，金(jīn)融機構應關注金(jīn)融科技公司是否通(tōng)過支付卡行(xíng)業數(shù)據安全标準審查認證，明(míng)确金(jīn)融科技公司在訪問(wèn)金(jīn)融機構支付系統、用戶指令認證等過程中所承擔的責任。

 

明(míng)确技術(shù)發展路線圖 标準提出雙方成功合作(zuò)的關鍵在于金(jīn)融科技公司具有清晰、完備的技術(shù)發展路線圖，并具備将技術(shù)規模化發展的技術(shù)實力和(hé)滿足金(jīn)融機構需求的技術(shù)開(kāi)發時(shí)間(jiān)表。 金(jīn)融機構應根據以上(shàng)信息評估金(jīn)融科技公司所提供服務的完備性、穩定性和(hé)安全性。

 

确定技術(shù)架構 标準提出金(jīn)融科技公司尤其是中小型公司應通(tōng)過系統架構圖等方式清晰地(dì)向金(jīn)融機構展示其産品服務的技術(shù)架構，包括技術(shù)解決方案部署類型、雲計算服務在不同供應商間(jiān)遷移的可(kě)行(xíng)性、存儲用戶數(shù)據的雲計算服務部署地(dì)與數(shù)據跨境傳輸地(dì)信息、使用開(kāi)源軟件和(hé)第三方軟件服務情況等內(nèi)容。

 

增強IT系統複原能(néng)力 标準提出金(jīn)融機構應關注金(jīn)融科技公司所提供産品服務的IT系統架構，在遭受攻擊、系統故障等情境下(xià)，系統架構複原能(néng)力、數(shù)據備份恢複能(néng)力、數(shù)據信息複原能(néng)力和(hé)複原時(shí)間(jiān)。 金(jīn)融機構還應關注金(jīn)融科技公司在遭受攻擊、系統故障時(shí)所應承擔的責任，事後應開(kāi)展專項調查。

 

啓示總結

英國(guó)作(zuò)為(wèi)金(jīn)融科技創新活躍且金(jīn)融制度體系較為(wèi)完備的國(guó)家，秉持趨利避害的原則，采取了(le)一(yī)系列政策措施促進金(jīn)融機構與金(jīn)融科技公司開(kāi)展良性競争合作(zuò)，并高度關注金(jīn)融科技開(kāi)放合作(zuò)過程中可(kě)能(néng)存在的風(fēng)險隐患。 此次英國(guó)财政部委托英國(guó)标準協會，通(tōng)過标準先行(xíng)的方式，将金(jīn)融機構與金(jīn)融科技公司合作(zuò)的行(xíng)業最佳實踐标準化，降低(dī)金(jīn)融科技公司服務金(jīn)融行(xíng)業的難度及成本，充分發揮金(jīn)融機構在客戶資源、資金(jīn)渠道(dào)、法律合規等方面的優勢以及金(jīn)融科技公司在技術(shù)創新、敏捷開(kāi)發等方面的優勢，有助于促進英國(guó)金(jīn)融科技行(xíng)業的創新活力和(hé)協同效應。 在這(zhè)個過程中，英國(guó)創新金(jīn)融協會等行(xíng)業協會通(tōng)過與監管機構密切協作(zuò)、參與制定金(jīn)融科技标準等方式，為(wèi)鞏固和(hé)提升英國(guó)在金(jīn)融科技領域的領先地(dì)位發揮了(le)積極作(zuò)用。

 

（本文刊于《金(jīn)融電子化》2019年(nián)04月刊）