2020年10月21日,人民银行正式发布《金融科技创新应用测试规范》(JR/T 0198-2020)、《金融科技创新安全通用规范》(JR/T 0199-2020)、《金融科技创新风险监控规范》(JR/T 0120-2020)三项金融行业标准,从不同的角度对金融科技创新进行管控。
金融科技创新应用指在符合现行法律法规、部门规章、规范性文件等要求前提下,在尚不具备管理细则的领域,利用新技术设计、面向金融用户的产品或服务。
《金融科技创新应用测试规范》从事前公示声明、事中投诉监督、事后评价结束等全生命周期对金融科技创新监管工具的运行流程进行规范,明确声明书格式、测试流程、风控机制、评价方式等方面要求,为金融管理部门、自律组织、持牌金融机构、科技公司等开展创新测试提供依据。
《金融科技创新安全通用规范》从安全、服务质量、算法安全、架构安全、数据安全、网络安全、内控管理、业务连续性保障等多方面,明确对金融科技创新相关科技产品的基础性、通用性要求,为金融科技创新应用健康上线把好安全关口。
安全包括验证、确认、监控、风险处置。
算法安全规定了算法设计、算法可解释性、算法可追溯性、算法攻击防范的要求。
架构安全包括云计算架构、区块链架构。
数据安全包括对数据质量的要求,对个人金融信息进行全生命周期防护、符合相应安全管理要求。
网络安全包括对基本安全要求、物联网安全要求、安全防护要求的规定。
《金融科技创新风险监控规范》明确了金融科技创新风险的监控框架、对象、流程和机制,要求采用机构报送、接口采集、自动探测、信息共享等方式实时分析创新应用运行状况,实现对潜在风险动态探测和综合评估,确保金融科技创新应用的风险总体可控。
金融科技创新风险监控主要通过对金融科技创新应用等进行数据采集、关联分析,识别发现可能存在的安全时间和风险并进行展示和预警,掌握金融科技应用风险态势,保证金融科技应用安全稳定运行,保护消费者合法权益。
金融科技创新风险监控框架如下图。
在风险监控实施方面,除了采用机构报送、接口采集、自动探测、信息共享等方式实时分析创新应用运行状况之外,也需要进行人工核验,即对运行中的系统,在不事先告知创新机构的情况下,模拟用户进行核验,验证系统的业务功能、处理流程和控制措施等与事先报备的内容是否一致。
监控内容主要包括个人金融信息保护、金融安全、业务连续性、服务质量、技术使用安全、内控管理、网络安全、意见投诉、公开舆情等。
《金融科技创新风险监控规范》也规定了对监控内容的各个方面,监测机构、创新机构、自律组织、监管机构分别应遵循怎样的要求。
据悉,这三项标准既适用于持牌金融机构、科技公司、安全评估机构、风险监测机构、自律组织等。此外,标准发布之前已投入运营的金融服务或科技产品进行金融科技创新时也可适用。
上一条 : 浅析物联网支付
下一条 : 金融安全技术发展前瞻:安全要从芯片开始