【杂志微阅读】商业银行金融科技风险及监管机制研究——基于浙江银行业金融科技应用的调研

文/中国银保监会浙江监管局课题组

本文载于《中国银行业》杂志2021年第12期

导语：应健全金融科技安全保障体系，从业务安全、技术安全、网络安全、数据安全等多个角度入手，形成金融科技安全行业标准规范，从行业和宏观层面，完善金融科技安全行业自律规则，加强金融基础设施建设，为金融科技安全发展提供良好的生态环境。

2016年以来，金融科技成为整个金融业关注的焦点，金融科技的核心是利用现代科技成果优化金融产品、经营模式和业务流程，借助云计算、大数据、机器学习、移动互联网、区块链等新一代信息技术简化供需双方交易环节，降低资金融融通边际成本，为金融业转型升级持续赋能。我国金融科技创新正在加速发展，面临难得的历史发展“窗口期”，但也应该认识到科技是一把双刃剑。金融科技领域里监管与创新的矛盾日益凸显，由于金融科技风险具有隐蔽性和复杂性，对金融监管也提出了新的要求，因此，充分认识金融科技的发展规律，最大限度地降低乃至规避科技所造成的金融风险，对于促进商业银行稳健发展具有十分重要的意义。

商业银行金融科技风险主要表现形式

近年来，随着我国金融科技的迅速发展，金融科技风险案件呈逐年上升之势。但是相较于传统的金融风险，金融科技风险更具隐蔽性、强相关、连锁性等特点，金融科技的“数字化、网络化”放大了金融风险的负外部性，一旦发生风险事件，对商业银行的声誉也会产生极大冲击。从对浙江辖内银行业金融科技实践的调研情况来看，区块链技术应用安全、金融科技外部数据应用风险和个人信息隐私保护等需要重点关注。

商业银行区块链应用需关注三方面问题。一是区块链技术应用的安全问题。首先，现阶段来看，区块链技术大量使用密码学技术、P2P网络协议和分布式传输协议，即使在理论上很完备的算法，实际应用中仍不可避免出现各类漏洞，存在大量安全隐患。其次，现有算法抵抗量子攻击能力亟待提升。区块链项目主要依赖椭圆曲线公钥加密算法生成数字签名保障交易安全，但随着量子计算的出现可能破解用于保护常规区块链及一般互联网体系的加密散列机制，从而对现有密码体系造成重大安全威胁。此外，区块链的密钥管理也存在隐患。区块链主要应用非对称加密算法，该算法通常使用公钥或私钥进行加密、解密，一旦使用某个密钥进行加密，只有另一对应的密钥才能解开。一般情况下，区块链中数字资产完全由私钥控制，但目前尚无成熟的私钥保护机制，加密算法一旦遭到破解，商业银行的数据资产安全将受到严重挑战。

二是技术特性难以完全匹配金融领域应用需求。主流区块链技术并发交易能力不高，系统吞吐量难以匹配商业银行电子化交易需求。目前，公有链技术多用于低频交易场景。比如，比特币的系统吞吐量约7笔/秒；联盟链技术虽针对联盟节点可信度高等特点对技术架构进行了多方优化，但最高也只能达到上千笔/秒。而实际应用中，商业银行支付结算系统每天需处理数亿笔交易，对系统吞吐量的要求动辄几十万、上百万次，现有的区块链技术远远难以满足。比如，中国银行浙江省分行对供应链金融相关系统探索使用区块链技术，系统并发量只能实现800笔/秒，若交易量进一步加大，数据将无法及时上链，一定程度上会影响系统的运行效率。另外，区块链采用去中心化的架构，而商业银行原有IT系统多为集中式架构，如何将区块链与商业银行现有业务系统有效融合，并符合银行业相关的技术标准和规范，需要进一步探索。

三是相关政策配套措施还有待完善。目前，区块链技术立法尚处于空白，缺乏明确的政策监督来规范市场行为。比如，由于受网络环境、节点数量、共识算法、业务逻辑等因素影响较大，以及各方对其技术性能指标评价缺乏统一的标准约束，区块链技术性能较难匹配银行核心账户联机交易。另外，商业银行难以判断不同区块链平台安全性等方面的优劣，给技术、应用场景选择带来了困难，监管部门也难以识别这类高科技“黑箱”及其中隐含的风险。

商业银行金融科技数据应用需关注四方面风险。一是商业银行金融科技应用存在个人信息保护与安全风险。以商业银行手机APP应用为例，APP客户端收集和使用个人信息存在诸多安全风险。腾讯手机管家安全团队发布了《金融理财APP仿冒与隐私获取数据报告》显示，银行、金融理财等APP成为仿冒APP的重灾区，多数商业银行未开展钓鱼APP安全检测，部分机构甚至不具备安全检测能力。比如，某大型商业银行的APP应用就有有1384个仿冒版本。

二是金融科技数据应用存在法律风险。今年以来，全国人大相继表决通过了《数据安全法》《个人信息保护法》等法律文件，其中《个人信息保护法》第十条明确规定“任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。《数据安全法》第三十二条规定“任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据”。2021年之前，金融科技外部数据服务行业基本处于野蛮生长状态，多数民营数据公司自身并不从事数据生产，主要依靠汇集政府职能部门、国有企事业、合作公司等数据资源，甚至部分数据公司通过技术手段从互联网上获取。若商业银行未进行充分数据来源背景调查和风险评估，极易引发风险。

三是金融科技数据交易存在合规风险。《数据安全法》第十九条明确“国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场”。第三十三条规定“从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录”。截至目前，我国尚未出台数据交易管理制度细则，未明确数据交易归口管理部门，也未设立数据交易场所。由于金融科技数据交易的非公开性以及网络交易的技术性，就目前来看商业银行在金融科技数据合作上仍处于灰色地带，还需要数据确权和交易配套制度的出台。

四是金融科技数据应用存在安全风险。从调研来看，商业银行的外部网络数据交互存在着安全风险。目前，将近60%的外部数据通过互联网接口方式交互，交互的数据涉及实名验证、电信三要素、房产信息、司法涉诉、工商税务等个人和企业非公开数据，存在商业银行数据请求可能被第三方网络抓包和数据包嗅探的风险。另外，金融科技公司掌握着个人消费者的社交、购物、支付、网页浏览等行为信息，甚至还可通过健康运动等信息与人脸识别、声纹识别等生物信息紧密关联，一旦发生数据泄露，稍加分析便可获得精准的客户画像，从而造成重大的财产损失和人身安全隐患。

对探索完善金融科技监管机制的思考

2020年10月31日，国务院金融稳定发展委员会召开专题会议，首次明确要处理好金融科技与金融创新快速发展之间的关系。在金融创新快速发展的背景下，技术运用带来的效益与风险并存，以传统手段开展合规与风险监管，不足以应对行业快速发展转型和风险传播的变化。此外，商业银行传统的监管规则也不能完全适用于现行的金融科技发展。因此，对金融科技的发展既要采取开放的态度，也要保持冷静思考。

完善金融科技的法律制度保障，由危机型立法向预防型立法转变。法律法规是金融科技健康发展的重要保障和安全网。同时，金融科技立法要遵循金融发展的规律，也具有极强的技术性和专业性。一方面，要完善金融科技创新保障制度，对现有的法律规范进行梳理完善，由危机型立法向预防型立法转变，营造金融科技开放创新的生态环境。国外政府建立了监管沙箱机制来解决金融科技创新和安全问题，我国可有效借鉴监管沙箱思路，健全相关规则协调机制，允许部分具有较大社会效益的金融科技创新，在法律法规允许的范围内试错，由此激发市场主体活力和科技创新能力。另一方面，健全金融科技安全保障体系，从业务安全、技术安全、网络安全、数据安全等多个角度入手，形成金融科技安全行业标准规范，从行业和宏观层面，完善金融科技安全行业自律规则，加强金融基础设施建设，为金融科技安全发展提供良好的生态环境。

优化金融科技功能监管，有效提升金融科技监管能力。商业银行金融科技业务有别于传统的金融服务，通过技术创新具有混业、跨界经营的特征。功能监管更加关注金融科技产品的功能属性，采取穿透式原则，按照业务基本功能进行监管，有助于监管全覆盖，避免监管空白。在现行的“一委一行两会”监管体制下，功能监管有助于破除不同监管机构之间的协调壁垒，缩短监管信息传导路径，从而有效缓解各监管机构主体间的信息不对称。同时，日新月异的金融科技发展也需要金融监管机构在监管系统、监管理念上与时俱进，金融监管者在熟悉业务模式和技术特点的基础上设计出符合政策导向、契合金融发展实际需要的监管框架，寻找创新与风险的平衡点。此外，也要全面提升监管科技水平，系统地构建基于大数据、云计算技术为核心的数字化监管体系，提升数据信息处理能力及风险识别、防范和处置能力。

强化金融科技公司监管。首先，坚持金融业务必须持牌经营的原则，按照金融科技公司实际从事的节点业务类型，颁发相应的业务准入牌照，将金融活动全部纳入金融监管。同时，对金融业务的各类参与主体要坚持监管一致性原则，只要是同类金融业务实质，就要接受同样的监管，以防止利用金融与类金融机构的规则差异进行监管套利，从而致使金融业务的各类参与主体在竞争中处于不平等的地位。其次，要对金融科技公司进行审慎监管，优化公司治理。目前，央行已印发《金融控股公司监督管理试行办法》，要求开展金融业务的金融科技公司依法设立金融控股公司，落实金融业务与科技服务相隔离的要求，对金融控股公司实施并表管理，规范关联交易行为。此外，还要针对金融科技公司的不当行为实施反垄断监管，关注金融科技公司滥用市场优势地位采取的捆绑销售、畸高定价、限制竞争等垄断行为，积极应对算法歧视等新型垄断问题，防止资本无序扩张，维护公平竞争的市场秩序。

健全金融科技人才培养体系，大力培养“科技+业务”的复合型人才。从政府层面，应大力鼓励给予金融科技人才更多支持与保障政策，统筹推动金融科技人才教育、培养、培训及国际交流机制建设。从监管层面，应强化监管人才对金融科技行业发展的解读能力、监管规章制度的顶层设计能力、金融科技风险隐患的判断能力，建立金融科技对外交流渠道，定期组织金融科技创新和风险研讨，加快金融科技监管理念的转变。从商业银行层面，一方面，鼓励金融科技人才在各部门进行岗位轮换，大力培养集金融业务知识、商业运营管理、金融科技运用等多种知识技能于一身的“科技+业务”复合型人才；另一方面，加大外部金融科技人才引进，从科研院所或互联网公司等社会渠道引进金融科技人才，通过产学研结合、交流培训等增强人力资源质量。

加强金融消费者权益保护与教育，推动建立多方联动的消费者权益保护监管体系。理性的金融消费与投资文化、专业知识的普及教育，都是金融科技服务健康发展的“土壤”。金融科技领域由于网络效应的存在，通常会形成“赢者通吃”的局面，造成市场垄断和不公平竞争，进而引发侵害金融消费者合法权益的风险事件。因此，应加大监管问责和行政执法的力度，坚决遏制金融科技不当创新、无序创新。在政府和监管层面，相关国家部委应加强工作协同，强化对各自领域消费者权益的保护，明确“保护什么”“由谁保护”以及“怎样保护”。同时，进一步廓清金融科技数据的法律属性和财产边界，确保数据生产要素能够公平合理优化配置，防止数据垄断以及由此获得超额利润。畅通金融科技个人投诉举报渠道，完善投诉处理服务机制和流程，增强业务信息披露全面性和透明度，推动形成部委协同、公众参与、媒体监督、行业自律的金融科技消费者权益保护监管体系。

本文首发于微信公众号：中国银行业杂志。文章内容属作者个人观点，不代表和讯网立场。投资者据此操作，风险请自担。