2018年11月英國標準協會發布了《支持金融科技公司與金融機構合作-指南》（PAS201：2018）標準，對金融科技公司和金融機構合作流程、金融機構需關注的風險點、金融科技公司應具備的能力等方面進行了全面梳理和規范。該標準是全球范圍內較早對金融科技跨界合作進行規范指導的一套標準，具有較強的參考借鑒意義。

標準制定背景

2018年11月，受英國財政部委托，英國標準協會正式發布《支持金融科技公司與金融機構合作-指南（PAS201：2018）》標準。該標準由蘇格蘭皇家銀行、匯豐銀行等6家傳統金融機構，Tech Nation、英國創新金融協會等2家政府組織及行業協會，The ID Co.（該公司主要提供開放銀行服務）等3家金融科技公司以及多位業界專家共同制定。

該標準為公共可用標準，不屬于強制性標準，但標準起草和審議均嚴格按照BSI程序進行，可供英國1600余家金融科技公司和全球各金融機構免費使用。憑借BSI在國際標準領域的重要地位以及BSI標準的國際公信力，該標準在條件成熟時有望升級為正式的英國國家標準或歐盟標準。

標準的主要目的和基本框架

針對金融科技初創公司，標準主要通過將雙方合作過程中最佳商業實踐標準化的方式，為金融科技公司提供從提出金融科技解決方案概念、完善商業模式、明確技術發展路線圖、簽署合作法律協議到最終部署實施的全流程指南。

針對已具備成型產品服務的金融科技公司，標準對金融機構通過盡職調查的方式篩選滿足合作條件的金融科技公司時應重點關注的風險和期望金融科技公司具備的能力進行了系統梳理。金融科技公司深入理解金融機構進行盡職調查的目標和范圍，提早規范自身在法律合規、信息安全和數據保護、技術等方面的行為，有助于促進雙方達成互利共贏合作關系，降低雙方合作難度和風險。

該標準包括流程范圍、術語和定義、合作篩選流程、合作篩選總體要求、商業計劃及市場定位、商業模式及團隊建設、法律監管及商業經營、信息安全和數據保護、技術9個部分。

流程范圍。標準將金融科技解決方案劃分為調研或提出概念、達成合作篩選、概念驗證、實驗、規?；l展等5個階段，并明確各個階段金融機構開展盡職調查的主要內容。

術語和定義。標準對于金融機構、金融科技、最簡可行產品、概念驗證、技術架構等標準所使用的術語進行了定義。

合作篩選流程。標準提出金融機構在與金融科技公司開展合作前，應對雙方合作的可行性和安全性等方面開展盡職調查，篩選符合金融機構要求的金融科技公司。標準列出了金融機構盡職調查時重點關注的風險，比如用戶及股東聲譽風險、欺詐和金融犯罪風險等。

合作篩選總體要求。標準列出了金融機構盡職調查時應重點關注的內容，包括商業計劃與市場定位、商業模式與團隊、法律監管及商業經營、信息安全與數據保護和技術等。

商業計劃與市場定位。標準提出金融科技公司在制定商業計劃和市場定位時，可通過案例等方式向金融機構展示其產品服務所能解決的用戶痛點，以及金融機構如何通過其提供的創新產品服務更好地服務用戶。

商業模式與團隊。標準提出金融科技公司可制定中期發展規劃，顯示公司具備清晰的可持續發展計劃和知識資本。法律、監管及商業經營。標準列舉了金融機構應重點關注金融科技公司的法律及監管合規性、利益沖突防范、商業模式、財務狀況等方面的內容。

信息安全和數據保護。標準提出金融機構重點關注金融科技公司是否具備相關制度、流程、內部控制，從而實現對信息安全、支付安全、物理設備安全以及用戶數據安全的有效保護。

技術。標準提出金融機構與金融科技公司合作可能使金融科技公司更容易成為惡意攻擊的目標，進而對金融機構產生威脅。因此，金融科技公司應向金融機構展示其產品服務、技術架構及發展路線圖、用戶支持服務體系、IT系統復原能力的完備性和安全性，從而打消金融機構顧慮。

金融機構和金融科技公司合作的規范重點

明確法律權責。標準提出雙方合作過程中通過法律協議明確權責十分重要，尤其是防范知識產權糾紛。雙方合作前應明確合作過程中所形成的知識產權范圍、權屬、使用權限，以及金融科技公司是否具有權使用第三方服務商知識產權并有權再次授權金融機構使用。

符合監管要求。標準提出金融機構應充分考慮雙方合作可能適用的法律法規，金融科技公司則應提供其持有的監管授權和受監管處罰情況等信息，共同確保雙方在合法合規前提下開展合作。

防范欺詐風險和利益沖突。標準提出金融科技公司應通過有效的流程控制體系來識別和防范雙方合作過程中欺詐風險。

注重信息安全。標準提出金融機構應注重金融科技公司通過在線或離線方式獲取、處理、傳輸、儲存用戶相關數據時對于信息安全的保護，金融科技公司應采取安全措施切實有效保護雙方合作過程中的信息安全。標準引用ISO 27001、ISO 27002等信息安全相關標準，提出金融科技公司應制定信息安全政策，包括信息安全解決方案、定期信息安全檢測、合法合規性審計、聘請外部機構進行獨立的信息安全風險評估等。標準提出金融機構也應定期對金融科技公司的風險狀況進行評估，及時發現金融科技公司信息安全管理方面可能產生的風險變化。

加強數據保護。標準提出歐盟通用數據保護條實施后，金融機構和金融科技公司應承擔更多保護用戶個人可識別信息的責任。標準提出雙方合作前或合作過程中數據保護流程、體系發生變化時，應開展隱私影響評估，從而識別、降低項目實施全過程中的隱私保護風險、法律風險和操作風險。標準提出金融科技科技公司應通過制度、流程、內部控制保護消費者的數據訪問權、被遺忘權等權利，向金融機構清晰地披露數據處理目的、收集數據范圍。標準還提出金融科技公司應注重防范金融機構用戶數據加密、數據傳輸過程中存在的風險，若金融科技公司將用戶數據存儲于云架構基礎上，數據跨境傳輸前還需簽訂數據傳輸協議。若發生用戶數據被信息控制者或處理者泄露、被非授權第三方獲取等數據泄露事件，金融科技公司應具備預警能力和及時處理并避免事件升級的應對能力。

確保支付安全。標準提出雙方合作前，金融機構應關注金融科技公司是否通過支付卡行業數據安全標準審查認證，明確金融科技公司在訪問金融機構支付系統、用戶指令認證等過程中所承擔的責任。

明確技術發展路線圖。標準提出雙方成功合作的關鍵在于金融科技公司具有清晰、完備的技術發展路線圖，并具備將技術規?；l展的技術實力和滿足金融機構需求的技術開發時間表。金融機構應根據以上信息評估金融科技公司所提供服務的完備性、穩定性和安全性。

確定技術架構。標準提出金融科技公司尤其是中小型公司應通過系統架構圖等方式清晰地向金融機構展示其產品服務的技術架構，包括技術解決方案部署類型、云計算服務在不同供應商間遷移的可行性、存儲用戶數據的云計算服務部署地與數據跨境傳輸地信息、使用開源軟件和第三方軟件服務情況等內容。

增強IT系統復原能力。標準提出金融機構應關注金融科技公司所提供產品服務的IT系統架構，在遭受攻擊、系統故障等情境下，系統架構復原能力、數據備份恢復能力、數據信息復原能力和復原時間。金融機構還應關注金融科技公司在遭受攻擊、系統故障時所應承擔的責任，事后應開展專項調查。

啟示總結

英國作為金融科技創新活躍且金融制度體系較為完備的國家，秉持趨利避害的原則，采取了一系列政策措施促進金融機構與金融科技公司開展良性競爭合作，并高度關注金融科技開放合作過程中可能存在的風險隱患。此次英國財政部委托英國標準協會，通過標準先行的方式，將金融機構與金融科技公司合作的行業最佳實踐標準化，降低金融科技公司服務金融行業的難度及成本，充分發揮金融機構在客戶資源、資金渠道、法律合規等方面的優勢以及金融科技公司在技術創新、敏捷開發等方面的優勢，有助于促進英國金融科技行業的創新活力和協同效應。在這個過程中，英國創新金融協會等行業協會通過與監管機構密切協作、參與制定金融科技標準等方式，為鞏固和提升英國在金融科技領域的領先地位發揮了積極作用。

（本文刊于《金融電子化》2019年04月刊）

責任編輯：陳愛