执笔 | 吴沈括 张力威 夏梦实 李京北等

吴沈括:北京师范大学网络法治国际中心执行主任、博导、中国互联网协会研究中心秘书长。

张力威、夏梦实、李京北:北京师范大学网络法治国际中心研究员。

北京师范大学网络法治国际中心

2020年7月 北京

目次

引言

(一)金融业数字化转型的机遇和挑战:网络安全维度的分析

1.1 金融业数字化转型与技术要素层面的网络安全关切

1.2 金融业数字化转型与组织管理层面的网络安全关切

1.3 金融业数字化转型与数据信息层面的网络安全关切

(二)金融业数字化转型的安全保障:从云计算到人工智能

2.1 金融业数字化转型安全保障的域外路径:最佳实践

2.2 金融业数字化转型安全保障的域外路径:监管态势

(1)美国

(2)欧盟

(3)英国

(4)新加坡

2.3 金融业数字化转型安全保障的中国路径:实务探索

2.4 金融业数字化转型安全保障的中国路径:监管态势

(三)金融业数字化转型的合规风控路径:谋求全球竞争力的选择

3.1 金融业数字化转型的风控合规:从风险管理到“安全设计”

3.2 金融业数字化转型的安全保障与云计算的正向效益

3.3 金融业数字化转型的安全保障与人工智能的正向效益

引言

在今日中国,随着以云计算、区块链、5G以及人工智能等为代表的新一代信息技术的普及应用,人际社交、社会治理乃至经济商业等都呈现快速数字化转型的态势。金融机构也已纷纷升级各自科技能力和技术储备布局线上,广泛应用各类新型金融科技赋能数字化转型,寻求在全球数字化浪潮之中及时实现与实体经济的深度融合,促进数字经济场景中业务模式与业务水平的升级蝶变。

着眼监管的维度,金融业数字化转型可能伴生各种涉及技术元素、业务组织以及数据信息等多方面的安全新风险,对相关的制度安排设计、风险管理防范以及监管执法机制等也提出了更高的要求。与此同时,中国的监管机关也正加快数字化步伐,适应行业转型节律,强调鼓励和规范、引导创新,从政策战略、法律规范以及其他规则等多个层次及时介入和适时革新金融业数字化转型过程中的网络安全治理。

(一)金融业数字化转型的机遇和挑战:网络安全维度的分析

在当下的中国市场,一方面,新一代信息技术普及并逐步走上大规模商用的快车道,从而引领并驱动金融业的供给样态、金融市场的运行架构的升级与创新;另一方面,金融业通过充分挖掘新一代信息技术的价值潜力能更好地实现智能化决策支撑、自动化业务流程、动态化风险管理以及精准化资源配置,进而提高金融业相对实体经济繁荣需求的业务弹性与适应水平,使得数字化金融重在服务和满足实体经济之发展以及普惠金融需要。

这使得目前数字化金融业呈现出专业化和精细化分工的特点,各利益相关方立足自身寻找市场定位和比较优势。其产业链和价值链的持续延申也逐渐形成竞争、互补和包容的生态社群,在这一过程中生成的机遇和挑战形成了广泛的转型期网络安全关切。

1.1 金融业数字化转型与技术要素层面的网络安全关切

金融业关键信息基础设施是各类金融机构广泛链接的基础介质,也是防范各类风险交叉渗透的第一道防火墙。各类金融业务数字化转型以实现数字化、线上化操作流程和服务提供的过程中,与之伴生的是确保支付清算、信用信息共享、身份认证等关键信息基础设施的良性运行,其安全性、高效性和可控性具有根本性意义。着眼技术要素安全的维度,金融业数字化转型与关键信息基础设施安全有着紧密的基础-条件关系。

今年来孟加拉银行失窃事件、汇丰银行信息泄露事件到俄罗斯央行基金损失案件等无不体现了金融业数字化转型中错综复杂的安全形势和泛在的安全关切。侵害金融关键基础设施的各类攻击已成为关键基础设施的重要风险。

于此,中国人民银行、发展和改革委员会等六部门于2020年3月份联合印发《统筹监管金融基础设施工作方案》(以下简称:《方案》),进一步加强对我国金融基础设施的统筹监管与建设规划,以适应金融科技等新技术新应用兴起所带来的诸多新变化,为数字化金融的未来发展打造有效、合理和规范的制度环境。

《方案》首先指出,中国已逐步形成货币、证券等各类较为齐全、整体稳定的提供金融市场交易活动支持的基础设施体系。但仍应在法制建设、管理统筹、规划建设等方面加强建设,提高其效率,进一步加强对中国金融基础设施的统筹监管与建设。

其次,《方案》指出,加强金融基础设施建设,统筹监管重要金融基础设施,提高服务实体经济水平和防控金融风险能力是核心指向。金融基础设施是金融市场稳健高效运行的基础性保障,也是实施宏观审慎管理和风险防控的重要抓手,具有枢纽意义。对此,《方案》明确划定金融基础设施统筹监管范围包括金融资产登记托管系统等六类设施及其运营机构。并要求中国人民银行与各部门、地方密切配合,统一监管标准,健全准入管理,优化设施布局,健全治理结构,推动形成布局合理、治理有效、先进可靠、富有弹性的金融基础设施体系。

1.2 金融业数字化转型与组织管理层面的网络安全关切

面对开放、互动和全连接的数字化金融场景,各类业务、技术、网络与数据等多重风险因素的叠加效应日趋放大。在该语境下的金融业数字化转型应革新和重构包括法律约束、行政监管、行业自律、机构内控、社会监督在内的全社会相关方参与的多层次治理体系,以实现风险的全覆盖动态防控。作为转型过程的重要驱动力和关键支撑,金融科技安全水平与之密不可分。

因此,中国人民银行于2019年发布了《金融科技发展规划(2019-2021年)》(以下简称《规划》),旨在引导金融业秉持守正创新、安全可控、普惠民生、开放共赢的原则,推动金融和科技深度融合协调发展,为商业银行的数字化转型指明方向。并积极探索构建监管科技的应用框架,建立健全金融科技监管基本规则体系,打造中国版的监管沙箱,为数字化转型营造良好的正环境。

具言之,《规划》强调了金融科技的多重积极价值,指出金融科技正成为推动金融转型升级的新引擎、金融服务实体经济的新途径、促进普惠金融发展的新机遇和防范化解金融风险的新利器。

第二,《规划》为金融科技的发展和监管指明目标:应实现金融科技应用的先进可控、增强金融服务能力、提高金融风控水平、提升金融监管效能和合规水平、完善金融科技的支撑作用并推动金融科技产业繁荣发展。

第三,《规划》还明确了金融科技研发应用和安全保障的各项重点任务:其一,要加强金融科技战略部署,加大科技投入,重塑其业务价值链,补齐传统短板。加强体制结构优化,打破部门间的壁垒,提高跨部门协同能力,并利用人才需求目录、人才激励计划等加强人才队伍建设;其二,要强化金融科技的合理应用,如整合各行业各部门的金融大数据、布局并搭建云计算平台、稳步应用算法模型等人工智能技术、加强分布式数据库的规划与研发应用、健全网络身份认证体系等;其三,要为金融服务提质增效,进言之:拓宽金融服务渠道,形成线上下一体的服务方案、利用自然语言处理技术等人工智能实现产品需求分析研发、利用新技术提升网点效率、突破金融服务“最后一公里”限制,为贫困边区提供专业有特色的服务、优化针对小微企业等重点领域企业的信贷流程和评价模型,优化其信贷融资服务,还应利用移动支付技术实现金融账户统一标记、手机客户端软件规范接口、交易集中路由;其四,增强金融风险技防,加强金融网络安全和应用风险的统筹管控并加大金融信息保护力度;其五,审慎监管力度,建立金融科技监管基本规则体系、加强监管各行业部门协调、提升监管的穿透能力,利用自动化技术采集数据并实时分析,并建立健全创新管理机制实现公开、共同监督的柔性监管方式。还应强调夯实金融科技支撑这一重点任务,要加强金融科技联合攻关、推动法律法规建设、增强和完善信用服务体系、完善行业工作标准并强化金融消费者权益保护。

最后,《规划》明确要以加强组织统筹、加大政策支持、完善金融科技示范区等配套服务、利用“一带一路”倡议,输出和引进金融科技强化国际交流并贯彻好宣传任务的形式保障金融科技的发展。

1.3 金融业数字化转型与数据信息层面的网络安全关切

数据作为一种国家基础性战略资源,对其的充分挖掘是数字化金融领域研发应用各类新型信息技术的物质条件与重要保障。金融业数字化转型离不开数据安全工作的保障以及对消费者数据权益的保护。

个人金融信息一旦遭到泄露,既侵害个人金融信息主体之权益,又影响金融机构的运营,甚至还可能造成系统性金融风险。立足提升金融数据信息安全的维度,2020年中国人民银行正式发布由多家单位负责与起草的《个人金融信息保护技术规范》(JR/T 0171—2020)(以下简称“《规范》”),完善了相关制度建设。

首先,《规范》相较之于2011年中国人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》所定义的个人金融信息(个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息、衍生信息等),采用了一种更广泛的定义,增加了鉴别信息(包括但不限于银行卡密码、预付卡支付密码、 动态口令、短信验证码等)与个人生物识别信息(指纹、人脸、虹膜等)。并根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,并依据此分类实施针对性的保护措施。

其次,《规范》就个人金融信息提出了基于收集、传输、存储、使用、删除和销毁等各个环节的生命周期技术要求,以及从网络安全、Web应用安全、客户端应用软件安全、密码技术与密码产品等四个方面提出了与个人金融信息相关的安全运行技术要求。

最后,《规范》从安全准则、安全策略、访问控制、安全监控和风险评估、安全事件处置五方面进行了安全管理要求。点包括对个人金融信息收集、存储、使用的安全管理要求,对个人金融信息安全管理的制度、组织、人员、访问控制、安全事件的安全管理要求。

(二)金融业数字化转型的安全保障:从云计算到人工智能

2.1 金融业数字化转型安全保障的域外路径:最佳实践

目前在金融业全行业数字化转型过程中的安全保障方面,从银行、证券到保险等资本市场等各个生态,各市场利益相关方之间有着广泛且密切的互动合作关系。龙头网络科技企业凭借自身在云计算、人工智能、大数据等先进数字化技术领域的智力积累和业务积累,以创新数字化技术为价值驱动,积极参与服务实体经济的金融科技创新,与各大金融机构在智能金融、场景金融和开放数字金融生态等领域深度交互,形成了面向云与智能转型的安全保障最佳实践,具有显著的参考借鉴意义,举例如下:

在云计算方面,瑞士银行通过云计算领域的全面推广合作,在过去几年逐步将风险管理、数据分析与业务应用等关键系统迁移到云平台,基于该云平台云提供的高性能计算平台支撑日均百万次的风险模型计算,成本节约40%,也使员工的客户对象决策更为快捷。类似的实践还由汇丰银行、伯克希尔哈撒韦公司等实现。

在区块链方面,摩根大通基于网络科技公司的云服务为基于以太坊的区块链平台Quorum提供支撑,构建符合监管的摩根币体系。同时基于网络科技公司的云服务组件提供区块链节点监控以及分析能力,实现的低成本、简化的部署和内置的治理。

在云平台方面,友邦公司将原有多个数据库应用及Web前端应用迁移到了云环境中,实现弹性业务和成本缩减,同时也确保了容灾备份与关键数据保护等安全架构。还为两万名员工提供了SaaS化协同办公平台环境,提升远程会议、移动办公、安全合规的商业内容分享等,确保符合金融监管合规要求。

2.2 金融业数字化转型安全保障的域外路径:监管态势

(1)美国

美国作为金融科技的领先者,其规制模式具有前瞻性,形成了相对严密的监管制度和监管逻辑。

在鼓励金融科技创新方面,2017年美国国家经济委员会发布了《金融科技监管框架》白皮书,全面系统地阐述了金融科技政策设计和监管策略的政策目标和基本原则,并提出六大政策目标。

在健全金融法律监管体系和建设完善征信系统方面,美国通过立法和市场竞争的方式实现金融数字化转型的制度建设,如美国国会通过的旨在详细规定征信机构权责的《公平信用报告法》,以及通过竞争形成的法治征信市场。

美国在金融科技监管的顶层设计方面追求统一协调,以避免监管套利、竞次和真空等问题。如《金融科技法案2019》要求在美国财政部内设“金融科技委员会”,明确每个联邦金融监管机构应设立金融创新办公室等,以形成全国统一的监管体系。

在包容式监管方面,美国倾向于使用“监管沙箱”机制,即允许初创型金融科技公司在享受一定豁免权的、受限但安全的环境中从事科技创新试验。

同时美国也注重对新现象的立法与监管,如可能被用于洗钱、非法融资等目的的虚拟货币。美国国会议员先后提交《虚拟货币恐怖主义用途国土安全评估法案》和《金融科技保护法案》,强调优先调查并打击恐怖分子非法使用包括虚拟货币在内的新型金融技术。

(2)欧盟

欧盟在鼓励金融科技创新、推动金融科技和银行业协作、控制风险等方面不断推陈出新,形成了一系列较为成功的科技监管举措。

为进一步统筹欧洲对金融科技活动的监管,欧盟委员会于2016年成立了金融技术工作组。并于同年,以最基础的支付业作为突破口,通过PSD2(Payment Service Directive 2)法令推行“开放银行业”计划, 规定欧盟所有的银行必须将相关的客户数据和支付服务对第三方服务商进行开放。

其次,欧盟对个人数据的保护也从未松懈。欧盟推出《通用数据保护条例》(GDPR),并与PSD2相配套,为“开放银行业”计划推进提供完善的法规体系。

最后,在创新方面,欧盟鼓励和支持人工智能与金融业的融合发展,鼓励区块链创新融资方式。支持金融业为人工智能产业融资,并参与到行业发展之中的同时,也支持ICO项目方通过使用发售加密货币方法来筹集资金,然后再由项目方启动资金实现项目由概念设计向现实转化,实现利益公开分配和信息的公开披露。

(3)英国

有别于具有全球领先的技术(如美国)和具有庞大规模的市场(如中国)的国家,英国金融业历史悠久,金融体系成熟繁荣,因此采取具有基于现有金融监管框架实施归口监管、行业自律先行和鼓励创新的监管模式三大特征的主动型监管模式。在四个领域上,英国的监管模式也体现出创新监管的特点:其一为监管沙盒, 允许在可控的测试环境中对金融科技的新产品或新服务进行真实或虚拟测试;其二为创新中心制度,支持企业进行金融创新并辅导企业申请监管沙箱资格,支持和引导机构理解金融监管框架,识别创新中的监管、政策和法律事项;其三为创新加速器即监管部门或政府部门与业界建立合作机制,通过提供资金扶持或政策扶持等方式,加快金融科技创新的发展和运用;最后,以科技手段降低合规成本,发展监管科技。

(4)新加坡

新加坡金融管理局(MAS)作为该国的金融监管机构,为实现“激发金融创新活力”与“维护金融体系安全”的双重目标,对金融科技采取了一系列富有创新性的监管举措。

第一,在其内部设立了一个金融技术和创新小组(FTIG)作为专门机构负责制定与金融创新相关的监管政策和发展战略。第二,与国内外银行和其他政府机构合作,为金融服务开发行业客户身份识别应用程序。第三,与新加坡金融科技行业合作开展“概念验证”项目(Ubin),旨在探索分布式分类账技术在支付和证券结算及交收中的运用,并将探索跨境的货银对付和同步交收机制。第四,与新加坡金融行业联合制定并发布了 《新加坡金融业使用人工智能和数据分析“促进公平、道德、负责任和透明”的原则》,规定企业在评估现有的内部框架或者开发新的内部框架时应当遵守的原则,用以规范人工智能和数据分析在金融业的使用。第五,通过金融业科技与创新“概念验证”等计划向新加坡金融机构以及与其合作的技术或解决方案供应商,提供资金支持。最后,新加坡在金融科技监管上还积极寻求与其他国家和地区的合作,如与东盟银行家协会、世界银行、国际金融公司成立东盟金融创新网络。

2.3 金融业数字化转型安全保障的中国路径:实务探索

从目前的最佳实践来看,中国的数字化转型安全保障问题最突出的方向,是构建多方共治机制就重点领域和重点问题实现从传统型“管理”到生态型“治理”的模式转变。如何引导银行金融业发展数据查询和存储之外的功效,并提高数据的保护质量是引导银行金融机构转型的重要抓手。

中国银行保险监督管理委员会于2018年5月1日印发《银行业金融机构数据治理指引》(以下简称《指引》),开启公私合作数据治理的实务探索。

《指引》的总则部分提出了银行业金融机构数据治理的总体要求,要求其治理遵循全覆盖原则、匹配性原则、持续性原则以及有效性四个原则开展治理。

在数据治理架构方面,《指引》要求建立起组织健全(将数据治理职责上升到董事会,且董事会对数据治理承担最终责任)、职责边界清晰明确的数据治理体系,同时应当建立良好的数据文化。本章第十一条还特别引入了首席数据官的规定,廓清权限。

在数据管理部分,《指引》明确银行业金融机构应结合自身发展需要,制定相应的数据战略和数据管理制度,并有效地执行和修订更新。同时,要依法依规采集、保护客户个人信息安全、划分数据安全等级、完善数据安全技术并定期审计数据安全。此外,银行还应建立数据应急预案和问责机制。

对于数据质量控制的问题,《指引》要求金融机构建立数据质量控制机制、数据质量监控体系、数据质量现场检查等制度,加强数据源头管理。

《指引》还强调数据价值实现中风险控制的重要性,银行业金融机构应当在业务经营、风险管理和内部控制的全流程加强数据应用,以数据为驱动力促进银行业金融机构的健康发展。

《指引》最后指出,要通过非现场监管和现场检查两种方式进行持续监管,加强监督管理机制,提升监管水平。

2.4 金融业数字化转型安全保障的中国路径:监管态势

在目前经济下行压力和各种不确定条件下,理解市场心态、把握保增长与防风险的有效平衡、提高金融监管与金融机构治理机制的有效性、确保风险应对要走在市场曲线前面,是重要的内在逻辑与核心指向,包含以下重点工作部署:

其一,强调稳健的货币政策更加灵活适度。其二,要求金融服务实体经济,深化供给侧改革。其三,“建制度、不干预、零容忍”,加快发展资本市场。其四,深化改革开放,将坚定不移深化改革、扩大开放,加快出台和落实金融改革开放举措,保护在华外资企业合法权益。

在此基础上,2020年颁布的《网络安全审查办法》(以下简称:《办法》)具有重要意义,是相关企业准备贯彻落实工作的逻辑起点。关键信息基础设施运营者的核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件等产品和服务应注意该《办法》所设定的权责:第一,作为关键信息基础设施运营者的企业需要建立采购业务安全风险预判机制,实现安全关口前移,在关键信息基础设施保护工作部门指导下通力合作、强化风险识别与其他能力建设;第二,作为关键信息基础设施运营者的企业在设计采购业务安全风险预判清单、采用各种辅助研判工具时需要重点考虑《办法》提示的主要国家安全风险因素;第三,作为关键信息基础设施运营者的企业需要立足商业生态以及业务场景等自身条件建立覆盖网络产品和服务采购全流程的供应商协议管理机制。

《办法》秉持坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合的原则,赋予关键信息基础设施运营者新的安全担当,也为其合理配置了全面的权益保障与责任机制:一方面,《办法》明确规定了网络安全审查程序包括特别审查程序各自的时限要求,作为关键信息基础设施运营者的企业可以据此合理安排自身的业务流程;另一方面,作为关键信息基础设施运营者的企业应当重视《办法》,对违反网络安全审查制度的法律责任应援引《网络安全法》第六十五条规定确立的双罚责任机制。

(三)金融业数字化转型的合规风控路径:谋求全球竞争力的选择

3.1 金融业数字化转型的风控合规:从风险管理到“安全设计”

金融业数字化转型的事实决定了在此形势下需要顺势革新监管执法与合规风控理念,推动从传统的风险管理模式过渡到更注重安全关口前移和全流程风险动态治理的“安全设计”逻辑,强调通过各类数字技术的创新应用融入金融产品和服务的研发及运营全生命周期,并以此满足金融业数字化转型过程中的网络安全需求并实现各项金融监管要求在业务操作层面的全面内嵌。如何包容鼓励技术创新,并引导和提升监管质量亦具有重大意义。

2019年,中国人民银行发布《中国人民银行启动金融科技创新监管试点工作》,在北京市率先开展金融科技创新监管试点,探索设计包容审慎、富有弹性的创新试错容错机制,划定刚性底线、设置柔性边界、预留充足发展空间,开启了中国版“监管沙盒”的新阶段。2020年,中国人民银行发布《关于开展金融科技应用风险专项摸排工作的通知》,并组织开展金融科技应用风险专项摸排工作,以贯彻同年人民银行工作会议精神,落实《金融科技发展规划(2019-2021年)》,加强金融科技应用风险防控,从另一侧进一步凸出了监管机关日益重视的风险关口前移、业务流程内嵌的“安全设计”理念。与此同时,北京、上海等地也在积极推进国家科技创新中心建设、金融科技创新监管工具试点等计划,从而有助于中国金融业数字化转型的加速推进以及监管合规安全理念的升级迭代、有助于提升中国金融市场和各类市场主体的全球竞争力,同时也催生更广泛包容的创新应用和监管治理新生态。

3.2 金融业数字化转型的安全保障与云计算的正向效益

金融业的数字化转型以云计算应用为强力支撑,正如中国人民银行在《中国金融业信息技术“十三五”发展规划》中明确指出的那样,要促进金融业合理利用新技术,建设云计算基础平台,在四个方面实现新技术对金融业务创新有力支撑和持续驱动:第一,为金融业转型提供跟上数字化步伐的新进安全技术保障,更新安全策略;第二,利用云计算提高大数据处理能力,并提升系统整体的稳定与安全性,为转型提供核心系统;第三,发挥云平台资源的数据存储挖掘和安全保障优势,为数字化转型提供安全保障;第四,发挥云平台算法与计算能力的大数据预警作用,增强金融机构风险预警和控制能力,为转型提供动态风控。可以预见,未来以云计算为依托,通过金融云生态的建设,金融业必将在基础架构、运营模式、服务场景等领域创造出更优质、更便捷的金融产品和服务,驱动数字化转型向更纵深的方向拓展。

3.3 金融业数字化转型的安全保障与人工智能的正向效益

在充斥各类风险的“风险社会”中,金融行业作为巨额资金的集散中心,具有高风险这一基本属性。任何决策失误都可能导致“多米诺骨牌”效应。金融业必须引入包括人工智能技术在内的现代技术进行风险防控,并提供安全保障。

具言之,人工智能技术的安全保障正向效应体现在以下三个方面。首先,人工智能技术通过与网络信息技术、大数据系统、云存储等相结合,可以对企业的信息系统运行进行全方位监控,并有效抵挡网络攻击、维护系统稳定,实现其清查系统漏洞,维护信息系统的安全环境的效用。其次,通过算法设计与算力利用,人工智能技术能实现决策方案的自动化实现,减少了程序紊乱、系统瘫痪的可能,实现了保障程序运行,促进金融业务的高效运转的特质。最后,面对金融业务的复杂性,以及伴生的多元风险,金融业务的运转往往面临复杂的法律合规问题。传统顾问模式已经难以应对复杂的合规需求,应通过人工智能技术融合多方知识,构建全面可靠的合规体系纳入到数字金融业的日常运转过程中,达成最佳实践。

综上,人工智能技术的引入为解决金融业数字化转型过程中所面临的诸多困境提供了良好思路与技术支持,对今后促进数字金融的未来发展、提高安全保障水平具有不可替代的重要意义。

声明:本文来自数字经济与社会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。