英国经验:金融科技公司与金融机构合作的标准化指南

时间:2019-05-24

201811月英国标准协会发布了《支持金融科技公司与金融机构合作-指南》(PAS2012018)标准,对金融科技公司和金融机构合作流程、金融机构需关注的风险点、金融科技公司应具备的能力等方面进行了全面梳理和规范。 该标准是全球范围内较早对金融科技跨界合作进行规范指导的一套标准,具有较强的参考借鉴意义。

 

标准制定背景

201811月,受英国财政部委托,英国标准协会正式发布《支持金融科技公司与金融机构合作-指南(PAS2012018)》标准。 该标准由苏格兰皇家银行、汇丰银行等6家传统金融机构,Tech Nation、英国创新金融协会等2家政府组织及行业协会,The ID Co.(该公司主要提供开放银行服务)等3家金融科技公司以及多位业界专家共同制定。

 

该标准为公共可用标准,不属于强制性标准,但标准起草和审议均严格按照BSI程序进行,可供英国1600余家金融科技公司和全球各金融机构免费使用。 凭借BSI在国际标准领域的重要地位以及BSI标准的国际公信力,该标准在条件成熟时有望升级为正式的英国国家标准或欧盟标准。

 

标准的主要目的和基本框架

针对金融科技初创公司,标准主要通过将双方合作过程中最佳商业实践标准化的方式,为金融科技公司提供从提出金融科技解决方案概念、完善商业模式、明确技术发展路线图、签署合作法律协议到最终部署实施的全流程指南。

 

针对已具备成型产品服务的金融科技公司,标准对金融机构通过尽职调查的方式筛选满足合作条件的金融科技公司时应重点关注的风险和期望金融科技公司具备的能力进行了系统梳理。 金融科技公司深入理解金融机构进行尽职调查的目标和范围,提早规范自身在法律合规、信息安全和数据保护、技术等方面的行为,有助于促进双方达成互利共赢合作关系,降低双方合作难度和风险。

 

该标准包括流程范围、术语和定义、合作筛选流程、合作筛选总体要求、商业计划及市场定位、商业模式及团队建设、法律监管及商业经营、信息安全和数据保护、技术9个部分。

 

流程范围 标准将金融科技解决方案划分为调研或提出概念、达成合作筛选、概念验证、实验、规模化发展等5个阶段,并明确各个阶段金融机构开展尽职调查的主要内容。

 

术语和定义 标准对于金融机构、金融科技、最简可行产品、概念验证、技术架构等标准所使用的术语进行了定义。

 

合作筛选流程 标准提出金融机构在与金融科技公司开展合作前,应对双方合作的可行性和安全性等方面开展尽职调查,筛选符合金融机构要求的金融科技公司。 标准列出了金融机构尽职调查时重点关注的风险,比如用户及股东声誉风险、欺诈和金融犯罪风险等。

 

合作筛选总体要求 标准列出了金融机构尽职调查时应重点关注的内容,包括商业计划与市场定位、商业模式与团队、法律监管及商业经营、信息安全与数据保护和技术等。

 

商业计划与市场定位 标准提出金融科技公司在制定商业计划和市场定位时,可通过案例等方式向金融机构展示其产品服务所能解决的用户痛点,以及金融机构如何通过其提供的创新产品服务更好地服务用户。

 

商业模式与团队 标准提出金融科技公司可制定中期发展规划,显示公司具备清晰的可持续发展计划和知识资本。 法律、监管及商业经营。 标准列举了金融机构应重点关注金融科技公司的法律及监管合规性、利益冲突防范、商业模式、财务状况等方面的内容。

 

信息安全和数据保护 标准提出金融机构重点关注金融科技公司是否具备相关制度、流程、内部控制,从而实现对信息安全、支付安全、物理设备安全以及用户数据安全的有效保护。

 

技术  标准提出金融机构与金融科技公司合作可能使金融科技公司更容易成为恶意攻击的目标,进而对金融机构产生威胁。 因此,金融科技公司应向金融机构展示其产品服务、技术架构及发展路线图、用户支持服务体系、IT系统复原能力的完备性和安全性,从而打消金融机构顾虑。

 

金融机构和金融科技公司合作的规范重点

明确法律权责。 标准提出双方合作过程中通过法律协议明确权责十分重要,尤其是防范知识产权纠纷。 双方合作前应明确合作过程中所形成的知识产权范围、权属、使用权限,以及金融科技公司是否具有权使用第三方服务商知识产权并有权再次授权金融机构使用。

 

符合监管要求  标准提出金融机构应充分考虑双方合作可能适用的法律法规,金融科技公司则应提供其持有的监管授权和受监管处罚情况等信息,共同确保双方在合法合规前提下开展合作。

 

防范欺诈风险和利益冲突 标准提出金融科技公司应通过有效的流程控制体系来识别和防范双方合作过程中欺诈风险。

 

注重信息安全 标准提出金融机构应注重金融科技公司通过在线或离线方式获取、处理、传输、储存用户相关数据时对于信息安全的保护,金融科技公司应采取安全措施切实有效保护双方合作过程中的信息安全。 标准引用ISO 27001ISO 27002等信息安全相关标准,提出金融科技公司应制定信息安全政策,包括信息安全解决方案、定期信息安全检测、合法合规性审计、聘请外部机构进行独立的信息安全风险评估等。 标准提出金融机构也应定期对金融科技公司的风险状况进行评估,及时发现金融科技公司信息安全管理方面可能产生的风险变化。

 

加强数据保护 标准提出欧盟通用数据保护条实施后,金融机构和金融科技公司应承担更多保护用户个人可识别信息的责任。 标准提出双方合作前或合作过程中数据保护流程、体系发生变化时,应开展隐私影响评估,从而识别、降低项目实施全过程中的隐私保护风险、法律风险和操作风险。 标准提出金融科技科技公司应通过制度、流程、内部控制保护消费者的数据访问权、被遗忘权等权利,向金融机构清晰地披露数据处理目的、收集数据范围。 标准还提出金融科技公司应注重防范金融机构用户数据加密、数据传输过程中存在的风险,若金融科技公司将用户数据存储于云架构基础上,数据跨境传输前还需签订数据传输协议。 若发生用户数据被信息控制者或处理者泄露、被非授权第三方获取等数据泄露事件,金融科技公司应具备预警能力和及时处理并避免事件升级的应对能力。

 

确保支付安全 标准提出双方合作前,金融机构应关注金融科技公司是否通过支付卡行业数据安全标准审查认证,明确金融科技公司在访问金融机构支付系统、用户指令认证等过程中所承担的责任。

 

明确技术发展路线图 标准提出双方成功合作的关键在于金融科技公司具有清晰、完备的技术发展路线图,并具备将技术规模化发展的技术实力和满足金融机构需求的技术开发时间表。 金融机构应根据以上信息评估金融科技公司所提供服务的完备性、稳定性和安全性。

 

确定技术架构 标准提出金融科技公司尤其是中小型公司应通过系统架构图等方式清晰地向金融机构展示其产品服务的技术架构,包括技术解决方案部署类型、云计算服务在不同供应商间迁移的可行性、存储用户数据的云计算服务部署地与数据跨境传输地信息、使用开源软件和第三方软件服务情况等内容。

 

增强IT系统复原能力 标准提出金融机构应关注金融科技公司所提供产品服务的IT系统架构,在遭受攻击、系统故障等情境下,系统架构复原能力、数据备份恢复能力、数据信息复原能力和复原时间。 金融机构还应关注金融科技公司在遭受攻击、系统故障时所应承担的责任,事后应开展专项调查。

 

启示总结

英国作为金融科技创新活跃且金融制度体系较为完备的国家,秉持趋利避害的原则,采取了一系列政策措施促进金融机构与金融科技公司开展良性竞争合作,并高度关注金融科技开放合作过程中可能存在的风险隐患。 此次英国财政部委托英国标准协会,通过标准先行的方式,将金融机构与金融科技公司合作的行业最佳实践标准化,降低金融科技公司服务金融行业的难度及成本,充分发挥金融机构在客户资源、资金渠道、法律合规等方面的优势以及金融科技公司在技术创新、敏捷开发等方面的优势,有助于促进英国金融科技行业的创新活力和协同效应。 在这个过程中,英国创新金融协会等行业协会通过与监管机构密切协作、参与制定金融科技标准等方式,为巩固和提升英国在金融科技领域的领先地位发挥了积极作用。

 

(本文刊于《金融电子化》201904月刊)

123456流量统计代码