金标委表示,三项标准既适用于从事金融服务创新的持牌金融机构和从事相关业务系统、算力存储、算法模型等科技产品研发的科技公司,也适用于相关安全评估机构、风险监测机构、自律组织等。标准发布之前已投入运营的金融服务或科技产品进行金融科技创新时也可适用。三项标准由金标委归口管理,由中国人民银行科技司提出并负责起草,行业内有关单位共同参与。标准经过广泛征求意见和论证,并通过了全国金融标准化技术委员会审查。
01
金融科技创新应用测试规范
金标委称,《金融科技创新应用测试规范》(下称《测试规范》)从事前公示声明、事中投诉监督、事后评价结束等全生命周期对金融科技创新监管工具的运行流程进行规范,明确声明书格式、测试流程、风控机制、评价方式等方面要求,为金融管理部门、自律组织、持牌金融机构、科技公司等开展创新测试提供依据。根据《测试规范》,其内容主要包括测试声明、测试运行、测试通过、测试退出、自律要求等。其中,风险监测上,《测试规范》要求自律组织应利用金融科技创新管理服务平台持续动态监测创新应用运行状况,加强风险外部感知,及时定位、跟踪、预防和化解创新应用运营过程中的风险并定期向测试管理部门报告,切实增强金融风险技防能力。申请机构应将创新测试期间的重要事件、操作记录、系统日志等及时报送自律组织。在风险处置上,《测试规范》显示,申请机构应建立健全综合性风险处置与补偿机制,推进差异化风险预警和高效应急处置,切实做到问题早发现、风险早暴露、漏洞早补救:对于短期内难以补救的风险漏洞,及时采取综合性风险补偿措施;对于存在严重安全隐患或发生重大风险事件的创新应用,应及时报告测试管理部门和自律组织,视情况退出测试。造成损失的,应通过风险拨备资金、保险计划等进行赔偿,切实保障金融消费者合法权益。02
金融科技创新的安全要求
金标委称,《金融科技创新安全通用规范》(下称《通用规范》)明确对金融科技创新相关科技产品的基础性、通用性要求,为金融科技创新应用健康上线把好安全关口。根据《通用规范》,该文件规定了金融科技创新的基本安全要求,包括交易安全、服务质量、业务连续性、算法安全、架构安全、数据安全、网络安全、内控管理等。其中,在交易风险中,《通用规范》提出交易风险识别,认为金融科技创新机构应支持欺诈风险和合规风险的识别。欺诈风险指不法分子利用虚假申请、伪造或变造、盗用账户等手段盗取交易资金的风险,是非用户本人意愿发起的交易,或者不法分子勾结用户通过虚构交易等方式造成金融机构资金、权益等方面损失的风险,例如账户盗用、伪冒申请、营销欺诈等。合规风险指虽然是用户本人意愿发起的交易,但该交易行为违反国家法律法规和监管要求,属于禁止的或不当的交易行为,例如洗钱风险、电信诈骗、非法集资等。对此,《通用规范》提出,金融科技创新机构应建立交易风险处置机制,包括风险决策结束后进行的评估反馈、风险核查、关联排查、案件协查和损失处置等相关后续活动。在个人金融信息保护上,《通用规范》指出要进行全生命周期防护和安全管理。金融科技创新机构应从个人金融信息采集、传输、存储、使用、删除、销毁等方面建立全生命周期防护措施,并应从安全策略、访问控制、监测评估、事件处理等方面建立个人金融信息安全管理措施。03
金融科技创新风险监控
根据金标委