英国经验:金融科技公司与金融机构合作的标准化指南


2018年11月,英国标准协会发布了《支持金融科技公司与金融机构合作-指南》 (PAS 201: 2018)标准,全面梳理和规范了金融技术公司与金融机构之间的合作流程、金融机构应注意的风险点以及金融技术公司应具备的能力。 本标准是世界金融科技跨境合作早期规范性指导的一套标准,具有很强的借鉴意义。

2018年11月,受英国财政部委托,英国标准协会正式发布了《支持金融科技公司与金融机构合作-指南(PAS201:2018)》标准 本标准由苏格兰皇家银行和汇丰银行等6家传统金融机构、科技国家和英国创新金融协会等2家政府组织和行业协会、ID Co(该公司主要提供开放式银行服务)等3家金融科技公司以及多名行业专家共同制定。

该标准是公开可用的标准,不是强制性标准。然而,标准的起草和审查严格按照英国标准学会的程序进行,全球1600多家英国金融技术公司和金融机构可以免费使用。 随着英国标准学会在国际标准领域的重要地位和英国标准学会标准的国际可信度,这些标准有望在条件成熟时升级为正式的英国国家标准或欧盟标准。

对于金融科技初创公司,该标准主要通过规范双方合作过程中的最佳业务实践,为金融科技公司提供从提出金融科技解决方案概念、完善业务模式、定义技术发展路线图、签署合作法律协议到最终部署和实施的全过程指南。

对于已经形成产品和服务的金融技术公司,该标准系统地梳理了金融机构在通过尽职调查选择符合合作条件的金融技术公司以及金融技术公司应具备的能力时应关注的风险。 金融科技公司深入了解金融机构尽职调查的目标和范围,提前规范自身在法律合规、信息安全、数据保护、技术等方面的行为。这将有助于促进双方互利共赢的合作,降低双方合作的难度和风险。

本标准包括9个部分:流程范围、术语和定义、合作筛选流程、合作筛选的总体要求、业务计划和市场定位、业务模式和团队建设、法律监督和业务运营、信息安全和数据保护以及技术

过程范围 该标准将金融科技解决方案分为五个阶段:调查或概念提出、合作筛选、概念验证、实验和规模开发,并界定了金融机构在每个阶段开展尽职调查的主要内容

术语和定义 该标准定义了标准中使用的术语,如金融机构、金融技术、最简单和最可行的产品、概念证明、技术框架等。

合作筛选过程 该标准要求金融机构在与金融科技公司合作前,对双方合作的可行性和安全性进行尽职调查,以选择符合金融机构要求的金融科技公司。 该标准列出了金融机构在尽职调查中关注的风险,如用户和股东的声誉风险、欺诈和金融犯罪风险等。

合作筛选的总体要求 该标准列出了金融机构开展尽职调查应重点关注的内容,包括业务计划和市场定位、业务模式和团队、法律监管和业务运营、信息安全和数据保护及技术等。

商业计划和市场定位 该标准提出,金融技术公司可以向金融机构展示其产品和服务在制定业务计划和市场定位时可以解决的棘手问题,以及金融机构如何通过其提供的创新产品和服务更好地为用户服务。

商业模式和团队 根据这些标准,金融科技公司可以制定中期发展计划,表明它们有明确的可持续发展计划和智力资本。 法律、监管和商业运营 该标准列出了金融机构应重点关注金融科技公司法律法规合规性、利益冲突防范、业务模式、财务状况等方面的内容。

信息安全和数据保护 该标准建议金融机构应关注金融科技公司是否有相关的系统、流程和内部控制,以有效保护信息安全、支付安全、物理设备安全和用户数据安全。

技术 该标准表明,金融机构和金融技术公司之间的合作可能会使金融技术公司更容易受到恶意攻击,从而对金融机构构成威胁。 因此,金融科技公司应向金融机构展示其产品和服务的完整性和安全性、技术框架和发展路线图、用户支持服务系统以及信息技术系统的弹性,以消除金融机构的担忧。

明确的法律权利和责任 根据这些标准,在双方合作过程中,通过法律协议明确权利和责任是非常重要的,特别是为了防止知识产权纠纷。 合作前,双方应明确界定合作过程中形成的知识产权的范围、所有权和使用权,以及金融科技公司是否有权使用第三方服务提供商的知识产权,并有权授权金融机构再次使用。

满足监管要求 根据该标准,金融机构应充分考虑可能适用于双方合作的法律法规,而金融技术公司应提供监管授权和监管处罚等信息,以便在法律合规的前提下共同确保双方的合作。

预防欺诈风险和利益冲突 该标准建议金融技术公司应通过有效的过程控制系统识别和预防合作过程中的欺诈风险。

关注信息安全 该标准建议金融机构在金融技术公司在线或离线获取、处理、传输和存储用户相关数据时,应重视信息安全保护,金融技术公司应采取安全措施,在双方合作过程中有效保护信息安全。 该标准参考了国际标准化组织、国际标准化组织等信息安全相关标准,建议金融科技公司制定信息安全政策,包括信息安全解决方案、定期信息安全测试、法律合规性审计、聘请外部机构进行独立的信息安全风险评估等。 根据该标准,金融机构还应定期评估金融科技公司的风险状况,及时发现金融科技公司信息安全管理可能发生的变化。

加强数据保护 根据该标准,在欧盟通用数据保护条款实施后,金融机构和金融技术公司应承担更多保护用户个人身份信息的责任。 根据该标准,当合作前或合作过程中数据保护流程和系统发生变化时,应进行隐私影响评估,以识别和降低整个项目实施过程中的隐私保护风险、法律风险和操作风险。 该标准建议金融科技公司应通过系统、流程和内部控制保护消费者的数据访问和遗忘权,以便向金融机构明确披露数据处理的目的和数据收集的范围。 该标准还建议金融科技公司在加密和传输金融机构用户数据的过程中应注意防范风险。如果金融科技公司基于云架构存储用户数据,数据传输协议必须在数据跨境传输之前签署。 如果发生数据泄露,如用户数据被信息控制器或处理器泄露或被未经授权的第三方获取,金融技术公司应具备预警能力和应对能力,以及时处理和避免事件升级。

确保支付安全 根据该标准,在双方合作之前,金融机构应关注金融科技公司是否通过支付卡行业数据安全标准的审核认证,明确金融科技公司在进入金融机构支付系统和用户指令认证等过程中承担的责任。

清晰的技术发展路线图 根据这些标准,双方成功合作的关键在于金融技术公司清晰完整的技术发展路线图、扩大技术发展的技术实力以及满足金融机构需求的技术发展时间表。 金融机构应当根据上述信息对金融技术公司提供的服务的完整性、稳定性和安全性进行评估。

确定技术架构 该标准提出,金融技术公司,尤其是中小企业,应该通过系统架构图向金融机构清晰展示其产品和服务的技术架构,包括技术解决方案的部署类型、云计算服务在不同供应商之间迁移的可行性、存储用户数据和数据跨境传输信息的云计算服务的部署位置、开源软件和第三方软件服务的使用等。

增强信息技术系统的弹性 该标准建议金融机构应关注金融技术公司提供的产品和服务的信息技术系统架构。在攻击和系统故障的情况下,应考虑系统架构弹性、数据备份弹性、数据信息弹性和恢复时间。 金融机构也应注意金融科技公司在受到攻击或发生系统故障时的责任,并应在事后进行专门调查。

作为一个金融科技创新活跃、金融体系相对完善的国家,英国采取了一系列政策措施来促进金融机构与金融科技公司之间的健康竞争与合作,并密切关注金融科技开放与合作过程中的潜在风险。 这次,英国财政部委托英国标准协会(British Standards Association)首先通过标准规范金融机构与金融科技公司合作的行业最佳实践,降低金融科技公司服务金融业的难度和成本,充分发挥金融机构在客户资源、资本渠道、法律合规性等方面的优势, 以及金融科技公司在技术创新和敏捷开发方面的优势,这将有助于促进英国金融科技产业的创新活力和协同效应。 在这一过程中,英国创新金融协会(British Innovative Finance Association)等行业协会通过与监管机构密切合作,参与金融科技标准的制定,在巩固和提高英国在金融科技领域的领先地位方面发挥了积极作用。

(这篇文章发表在2019年4月号《金融电子化》上)

这篇文章的来源和出处已经标明。版权属于原作者。如果有任何侵权行为,请联系我们。