基于新興金融科技項目外包的監管研究

孟昭璇 張宏宇 宋 博

（中國人民銀行長春中心支行，吉林長春 130051；中國人民銀行吉林市中心支行，吉林市 132000）

一、引言

國際金融穩定理事會2016年將金融科技定義為：技術驅動的金融創新，旨在運用現代科技成果改造或創新金融產品、經營模式、業務流程等，推動金融發展提質增效。2008年金融危機以來，金融科技飛速發展，金融機構為了解決傳統金融的痛點，大量應用大數據、云計算、人工智能和區塊鏈等新興技術，推動金融產品和服務產生質變，新興金融科技正成為引領行業的變革的“利器”。特別是新冠疫情對金融業務提出新的要求，金融機構均加強了線上和非接觸服務和營銷，對金融科技的需求進一步提升。

金融科技外包是指金融企業以長期合同的方式委托技術服務商提供部分或全部的信息技術服務，主要包括應用軟件開發與服務、嵌入式軟件開發與服務，以及其他相關的信息技術服務等。隨著金融市場從“了解你的客戶（KYC）”向“了解你的數據（KYD）”模式的轉變，越來越多的金融機構選擇同科技公司開展合作，進行金融科技項目外包。

隨著越來越多的新興技術被應用在金融領域，誕生出大量的金融科技公司，這些公司與金融機構的合作和服務范圍已經不再局限于傳統的科技外包服務，而是尋求與金融機構在這些新技術應用上的深度合作。螞蟻集團的支付寶已為超過400多家的銀行、保險公司和基金公司提供金融服務或開展合作；百度金融以其獨到的人工智能技術，與500多家金融機構在智能獲客、身份識別、大數據風控、智能投顧、智能客服等多個領域達成了合作；京東數科在數據資產管理上處于領先地位，向大量金融機構提供定制的金融數據服務。

新興金融科技外在助推金融機構快速發展、推動業務創新、提高營銷效率、實現科技賦能的同時，也帶來了一系列新的風險。特別是目前新興金融科技外包仍缺少系統、全面的監管框架。新興金融科技外包所引發的金融風險將為金融監管機構帶來新的挑戰。

二、金融科技外包原因分析

（一）提高金融機構競爭力，推動科技創新

科技研發能力并不是金融機構的核心業務，通過外包剝離這些科技業務，有助金融機構集中、合理的配置有限的資源。特別是對中小金融機構而言，它們想更快地搭上金融科技發展的便車，就只能尋求外部的合作與金融科技的外包，使有限的技術人員能夠更加專注于其核心業務上，這也是金融機構科技外包的根本原因。

（二）降低管理壓力和防控風險

當前金融機構開展的大數據分析中心、區塊鏈平臺或云平臺等新興金融科技項目，如果完全由金融機構負責基礎設施工程、系統研發和交付維護，存在成本高、專業性強、耗時耗力等問題。同時金融機構也缺少專業的管理和開發人員，難以進行有效的開發和管理。通過外包可以有效地降低自身管理壓力和防控管理風險。

（三）利用金融科技賦能增效，助推業務發展

利用新興的金融科技能夠對金融機構當前的業務重構和進一步優化發展，能夠幫助金融機構更快、更好地拓展市場。相對于金融機構自身研發，金融科技外包能夠獲得最新、成本更低的金融科技服務。借助外包服務降低了財務支出、減少了技術風險的同時，推動了金融科技的利用率，提高了投入產出比，有助于降低金融機構在新技術上的成本支出。

三、新興金融科技外包風險分析

新興金融科技外包項目的特點是項目數據龐大且分散、服務周期長、可變因素多、隱私保護不可控等，這使得金融機構在新興金融科技外包項目過程中面臨更多地風險。

（一）集中和系統性風險

基于科技公司贏者通吃的原則，往往最先進的技術都集中在少數科技公司手中。當多家金融機構都依托于這些科技公司時，就會導致數據信息資源的高度集中，一旦遭受黑客攻擊或出現技術問題，可能會波及到非常多的金融機構，帶來的影響遠超過傳統的單家外包服務，易造成系統性金融風險。

（二）數據信息泄露風險

金融機構可以利用人工智能和大數據分析更加精準地選擇客戶、提升效率和防控風險，利用區塊鏈、云計算更方便記性備份和存儲等。但是在利用這些技術的同時也帶來了數據信息泄露的風險，特別是個人隱私信息的泄露。由于客戶信息的采集、使用和銷毀缺少統一標準，金融機構難以保證科技公司在客戶信息使用和銷毀過程中的絕對安全。

（三）監管和合規風險

金融機構可能通過開展新興金融科技項目掩蓋自身的違規風險點，這些外包項目可能觸及監管邊界。即使金融機構保證自身合規，也難保證外包服務公司遵守審慎監管原則，特別是當發生系統故障或者數據遲報、漏報等事故時，往往發生的爭執與推諉，給金融機構帶來巨大的損失。

（四）業務和發展風險

當金融機構將重要金融科技建設完全依托于外包給科技公司，將導致自身金融科技治理能力下降，難以全面掌控新興金融科技所帶來的機遇和挑戰，易在核心技術使用方面被人鉗制，失去對數據資源的掌控和評估。同時科技公司和大型互聯網公司依靠掌握的最前沿的技術和金融市場數據，將為它們開拓金融市場提供便利。

（五）聲譽風險

金融機構主要關注金融科技更好的推動業務和經營發展，而科技公司則更為關注獲取更多的數據和最大化的效益。這就導致金融科技公司與金融機構的利益關注點不同，隨著金融環境的迅速改變，這種錯位可能會將外包科技公司的風險轉嫁到金融機構身上。一旦提供服務的科技公司產生聲譽風險，將傳導給其服務的金融機構，帶來嚴重的信任危機。

四、各國對金融科技外包的監管法規和措施

金融科技外包一直是各國監管機構關注的一個重點領域。巴塞爾銀行監管委員會、證券交易委員會國際組織、國際保險監督官協會三方發布的《金融服務外包指導原則》中規定“監管機構應將外包納入對金融機構持續性評估的環節，應采取有效手段防止金融機構利用外包逃避有關監管規定，避免產生集中和系統性金融風險”。近幾年，發達國家對金融科技外包越來越重視，相繼發布了各自的金融科技外包法規和管理措施。

歐洲銀行管理局（EBA）將金融科技創新帶來的風險和機遇作為其工作重心之一。為信貸機構、投資公司、支付和電子貨幣機構等在內的各類金融機構建立更加統一的外包監管框架，確保為不同類型的金融機構提供公平競爭環境；美國各個監管當局近期也對金融機構業務、技術、系統和服務外包出臺了一系列指引和辦法，對金融機構在各種外包關系中應該承擔的風險管理責任等進行明確規定；英國金融服務局（FSA）對實質性業務和非實質性業務的外包都制定和發布了指引。規定重大科技業務外包前必須通知監管當局。對銀行業務的外包施以直接管制，對于那些風險過大的項目，當局都可不予批準；丹麥金融監管局明確了對數字貨幣發行機構、支付機構和數據中心等非金融機構的外包監管；荷蘭監管機構在外包指引中提出了有關操作層面的具體細則，監管主要體現在對外部服務提供商的評估；德國金融監管局發布的外包指引中規定，金融科技外包業務不能擾亂金融市場秩序或在規避監管方面帶來負面影響；新加坡金融管理局計劃修訂銀行業法案以取得對銀行外包項目提出強制要求的權力，新加坡金管局有權開展審計和終止重大外包項目。

五、提高我國金融科技外包風險監管的思考

現有的金融科技業務外包風險監管主要是針對金融機構，尚缺少明確對金融科技服務商的監管內容，監管機構在確保“服務外包，責任不外包”的核心監管理念下，也應該加強關注來自新興金融科技外包方面的風險。

（一）將新興金融科技納入外包風險評估體系

金融機構應將外包公司的風險評估納入項目計劃的合作中，保證科技外包項目風險可控。監管機構應通過對金融科技服務公司的履約情況、信用狀況、專業經驗和技術風險等方面的全面審計，設計定性和定量的考核指標，識別和監控金融科技服務公司的風險集中程度，特別是對新興金融科技外包中風險集中度高的科技服務公司開展直接監管。

（二）強化在新興金融科技應用過程中的隱私保護

針對越來越多的金融機構開始建立大數據、云服務平臺等可能產生的數據信息泄漏風險，監管機構應要求這些科技外包服務公司在處理外包數據時須嚴格遵守隱私法規。只有當科技外包服務公司已被確認能夠為這些隱私數據提供充分保護時，才能被允許承接涉及金融機構客戶信息的外包服務。

（三）完善新興金融科技外包監管框架

擬訂適應科技發展的監管框架，將新興金融科技外包納入監管范圍，消除監管真空和套利空間，對風險較大的外包項目進行評估。同時加強對行業內具有壟斷地位的科技公司監管，營造和維護金融科技服務外包行業良好的環境。通過嵌入式監管更有效地開展金融科技監管和風險防控，加強對跨市場、跨行業交叉性金融科技風險的識別、防范和化解。

（四）搭建金融科技外包服務平臺，加強跨界監管協調

由于金融機構和監管機構往往對新興技術掌控不足，可以考慮搭建多方共贏的金融科技外包服務平臺，引入金融科技監理機構實現對科技外包服務的監督、考核、控制和協調，確保外包項目的成功實施，審計和評估。由監管機構負責整個平臺的統籌管理，確定金融機構必須承擔外包風險管理的主體責任的同時，將金融科技公司也納入監管中，效化解金融科技外包風險。

（五）加強國際合作，防范跨國金融科技外包風險

加強與境外監管機構的合作，建立跨國信息共享機制，金融機構在選擇跨國金融科技外包之前，應審核跨國金融科技服務公司的安全性，并向監管機構備案，明確跨國金融科技服務商可以獲取的金融機構數據范圍，保障我國金融數據信息安全，防范跨國外包風險。

（六）加強監管科技和監管沙箱建設

通過傳統的監管模式對最新的金融科技展開監管往往很難奏效。監管科技作為新型監管手段，可以在數據安全、采集、報送和風險智能評估等方面發揮積極作用，提升監管協同度、科技化和智能化水平，有效提升對新興金融科技外包監管能力。同時還可以引入金融科技外包的監管沙箱，實現金融科技創新和有效監管之間的平衡。