央行发布三项金融科技行业标准，要求对区块链等技术进行监控

中物联区块链分会阅读 13739 2020-11-3 20:11

11月2日，根据全国金融标准化技术委员会官网，10月21日中国人民银行正式发布《金融科技创新应用测试规范》、《金融科技创新安全通用规范》、《金融科技创新风险监控规范》等三项金融行业标准。

其中，《金融科技创新风险监控规范》明确了金融科技创新风险的监控框架、对象、流程和机制，要求采用机构报送、接口采集、自动探测、信息共享等方式实时分析创新应用运行状况，实现对潜在风险动态探测和综合评估，确保金融科技创新应用的风险总体可控。

金标委表示，三项标准既适用于从事金融服务创新的持牌金融机构和从事相关业务系统、算力存储、算法模型等科技产品研发的科技公司，也适用于相关安全评估机构、风险监测机构、自律组织等。标准发布之前已投入运营的金融服务或科技产品进行金融科技创新时也可适用。

三项标准由金标委归口管理，由中国人民银行科技司提出并负责起草，行业内有关单位共同参与。标准经过广泛征求意见和论证，并通过了全国金融标准化技术委员会审查。

金融科技创新应用测试规范

金标委称，《金融科技创新应用测试规范》（下称《测试规范》）从事前公示声明、事中投诉监督、事后评价结束等全生命周期对金融科技创新监管工具的运行流程进行规范，明确声明书格式、测试流程、风控机制、评价方式等方面要求，为金融管理部门、自律组织、持牌金融机构、科技公司等开展创新测试提供依据。

根据《测试规范》，其内容主要包括测试声明、测试运行、测试通过、测试退出、自律要求等。

其中，风险监测上，《测试规范》要求自律组织应利用金融科技创新管理服务平台持续动态监测创新应用运行状况，加强风险外部感知，及时定位、跟踪、预防和化解创新应用运营过程中的风险并定期向测试管理部门报告，切实增强金融风险技防能力。申请机构应将创新测试期间的重要事件、操作记录、系统日志等及时报送自律组织。

在风险处置上，《测试规范》显示，申请机构应建立健全综合性风险处置与补偿机制，推进差异化风险预警和高效应急处置，切实做到问题早发现、风险早暴露、漏洞早补救：对于短期内难以补救的风险漏洞，及时采取综合性风险补偿措施；对于存在严重安全隐患或发生重大风险事件的创新应用，应及时报告测试管理部门和自律组织，视情况退出测试。造成损失的，应通过风险拨备资金、保险计划等进行赔偿，切实保障金融消费者合法权益。

金融科技创新的安全要求

金标委称，《金融科技创新安全通用规范》（下称《通用规范》）明确对金融科技创新相关科技产品的基础性、通用性要求，为金融科技创新应用健康上线把好安全关口。

根据《通用规范》，该文件规定了金融科技创新的基本安全要求，包括交易安全、服务质量、业务连续性、算法安全、架构安全、数据安全、网络安全、内控管理等。

其中，在交易风险中，《通用规范》提出交易风险识别，认为金融科技创新机构应支持欺诈风险和合规风险的识别。

欺诈风险指不法分子利用虚假申请、伪造或变造、盗用账户等手段盗取交易资金的风险，是非用户本人意愿发起的交易，或者不法分子勾结用户通过虚构交易等方式造成金融机构资金、权益等方面损失的风险，例如账户盗用、伪冒申请、营销欺诈等。合规风险指虽然是用户本人意愿发起的交易，但该交易行为违反国家法律法规和监管要求，属于禁止的或不当的交易行为，例如洗钱风险、电信诈骗、非法集资等。

对此，《通用规范》提出，金融科技创新机构应建立交易风险处置机制，包括风险决策结束后进行的评估反馈、风险核查、关联排查、案件协查和损失处置等相关后续活动。

在个人金融信息保护上，《通用规范》指出要进行全生命周期防护和安全管理。金融科技创新机构应从个人金融信息采集、传输、存储、使用、删除、销毁等方面建立全生命周期防护措施，并应从安全策略、访问控制、监测评估、事件处理等方面建立个人金融信息安全管理措施。

金融科技创新风险监控

根据金标委官网，《金融科技创新风险监控规范》（下称《监控规范》）明确了金融科技创新风险的监控框架、对象、流程和机制，要求采用机构报送、接口采集、自动探测、信息共享等方式实时分析创新应用运行状况，实现对潜在风险动态探测和综合评估，确保金融科技创新应用的风险总体可控。

《监控规范》显示，金融科技创新风险监控主要通过对金融科技创新应用等进行数据采集、关联分析，识别发现可能存在的安全事件和风险并进行展示和预警，掌握金融科技应用风险态势，保证金融科技应用安全稳定运行，保护消费者合法权益。

金融科技创新风险监控框架监控对象有业务系统、API（应用程序接口）、SDK（软件开发工具包）、APP四类，内容主要包括个人金融信息保护、金融交易安全、业务连续性、服务质量、技术使用安全内控管理、网络安全、意见投诉、公开舆情等。基本原则有四类：安全可控原则、开放共享原则、隐私保护原则、披露与监管原则。

其中，《监控规范》也同样提到个人金融信息保护问题，要求对隐私政策合规情况进行监测，采取机构报送、自动探测、人工核验、意见投诉、信息共享等措施。在信息泄露监测上，也要求采取机构报送、信息共享、舆情监测、意见投诉等措施。

《监控规范》还提及技术使用安全，要求对人工智能、大数据、云计算、区块链、物联网等技术进行监控。