“当前,随着监管强化和业务深入,金融机构与金融科技公司的开放合作逐步从‘蜜月期’步入‘磨合期’,从‘浅水滩’步入‘深水区’。” 12月12日,中国互联网金融协会战略研究部负责人兼互联网金融标准研究院副院长肖翔在“第十三届21世纪亚洲金融年会”上说。
随着人工智能、大数据、云计算等新一代信息技术的广泛应用,金融业分工日趋专业化、精细化,金融产业链和价值链被拉伸,金融机构与金融科技公司的关系已经从相对单纯的外包合作关系发展为业务、账户、数据、技术、基础设施等多方面多类型的关联交互关系。
根据2017年4月普华永道发布的《2017年全球金融科技报告》显示,全球平均有82%的金融机构受访者计划在未来3至5年加强与金融科技公司的合作,其中中国68%的金融机构受访者预计未来三至五年内加强与金融科技公司的合作。而今年9月,普华永道新发布的《2018年中国金融科技调查报告》显示,金融机构已经开展金融科技研发和应用的全部方式中,由金融科技公司提供相关业务模块整体解决方案的机构比例占到了33%。
肖翔及互金协会研究团队认为,金融机构与金融科技公司开放合作需关注以下四方面的挑战。
第一,文化与管理差异带来的挑战。金融机构与金融科技公司的发展起点和发展沿革不同,面临的政策环境和监管要求也不同,所形成的管理方式与企业文化存在较大差异,对各方深化合作带来极大阻碍。比如,在管理方式,金融机构更趋层级式和体系化,金融科技公司则比较扁平化和开放式。这种差异可能导致合作中的冲突。再比如,一些机构盈利模式惯性较大,数字化思维欠缺,以客户为中心的服务理念还没有完全形成,文化理念上的差异给深化合作带来阻碍。
第二,风险管理“木桶效应”带来的挑战。金融业务的整体风控水平取决于产业链、价值链上最薄弱的环节,尤其是在关键合作方缺少完善的风控措施,风控制度执行存在“跑冒滴漏”的情况下,合作各方均可能遭受资产资金、商业机密、声誉口碑等方面的损失。2017年6月,金融稳定理事会在《金融科技对金融稳定的影响》报告中,就提到不同机构存在薄弱环节的系统越是互相联接,金融活动对网络攻击的敏感性可能越高。比如,2016年2月,黑客通过高级持续性威胁(APT)攻击劫持网络接入服务器、篡改交易报文,最终攻破环球银行金融电信协会(SWIFT)系统安全机制,从孟加拉国央行在纽约联邦储备银行的账户中非法转走8100万美元,事后调查发现孟加拉国央行不仅使用的是未安装防火墙的价值10美元的二手交换机,网络结构也未实现进一步的相互隔离,存在巨大安全隐患。当然,这是孟加拉央行和SWIFT的案例,不是金融机构的案例。但我觉得合作网络面临的风险和挑战还是有共同性的,需要各方高度关注。
第三,过度第三方依赖带来的挑战。2018年10月,世界银行和国际货币基金组织联合发布了《巴厘金融科技议程》,指出金融机构越来越多地与第三方服务提供商合作,或是将金融服务的运营支持外包给第三方,而规模经济可能推动金融机构之间或第三方服务提供商之间的更大整合,加剧集中度风险和网络风险。实践中,一些合作机构较多的金融科技公司日益扮演类金融基础设施的角色,如果缺乏有效的风险治理和监管,容易造成风险的单点积聚,其业务连续性可能影响金融市场的平稳运行。
第四,责任难以认定带来的挑战。在金融机构与金融科技公司的开放合作中,包括合作各方和金融消费者都可能面临合法权益受到侵害的情况,需要有效可行法律救济途径。但是,广泛的合作内容、多元的合作载体、多变的利益分配和风险共担方案,使得合作中的责任划分较为困难,法律救济可能面临难以确认责任主体、责任分配和损害赔偿数额等内容的情况。
“亲兄弟还要明算账”,在两类机构合作的过程中,业务边界、法律关系、责任划分等方面不能游移不定、含糊不清。肖翔认为,可以从以下三方面着手应对。
一是法律监管方面,建议研究推动相关立法和监管规则的制定,明确合作各方必须遵守的基本业务边界和权利义务,特别要强化金融消费者在个人信息安全、数据安全、隐私安全等方面权利的保障。近期,开放银行逐渐成为国内外关注的焦点,我们看到在其发源地英国,正是通过《通用数据保护规范》(GDPR)对数据主体的数据可携带权的创新,为推动开放银行发展提供了法律支持。所谓数据可携带权,就是在满足法律要求的情况下,如果数据主体向某数据控制者提供与其有关的个人数据,那么该数据主体有权从该数据控制者处获取结构化、通用化和可机读的上述数据;同时,数据主体有权将这些数据转移给其他数据控制者,原数据控制者不得进行阻碍。
二是自律标准方面,可考虑在国家有关标准体系的框架下发挥团体标准先行先试作用,加快建立有关金融机构与科技公司合作的数据、技术、产品、业务、安全等一系列标准规范。2018年3月,英国发布《金融科技行业战略》,提出通过金融科技标准化工作推动解决金融机构与金融科技公司合作中存在的挑战障碍。就在上个月,英国标准协会(BSI)发布了一份名为《支持金融科技公司与金融机构合作-指南(PAS201:2018)》的标准规范,为金融机构和金融科技公司的合作,提供了从流程、计划到风控、合规的一整套参考标准,值得参考借鉴。
三是机构内控方面,建议各类机构在建立开放合作关系的同时,按照监管和自律要求,切实加强相应管理规范、市场约束和应急安排。尤其是在涉及金融领域的关键业务运营、关键技术外包、关键系统托管、关键服务开放等方面的合作,金融机构更应严格审慎地遴选合作伙伴,把合作业务纳入操作风险框架之下,做好对合作方的尽职调查、风险评估和持续监测,并应承担风险管控的主体责任;金融科技公司也应切实提升风险管理水平,在关键环节上要执行与金融机构统一的风险管理标准,不能因科技属性和合作方式而降低金融风险防范的要求,更不能以合作的形式突破特许经营要求,没有资质但从事实质上的金融业务。此外,双方也应通过协议约定服务范围、清晰界定责任义务等。
转自:第一财经
来源:第一财经