孟昭璇 张宏宇 宋 博

（中国人民银行长春中心支行，吉林长春 130051；中国人民银行吉林市中心支行，吉林市 132000）

一、引言

国际金融稳定理事会2016年将金融科技定义为：技术驱动的金融创新，旨在运用现代科技成果改造或创新金融产品、经营模式、业务流程等，推动金融发展提质增效。2008年金融危机以来，金融科技飞速发展，金融机构为了解决传统金融的痛点，大量应用大数据、云计算、人工智能和区块链等新兴技术，推动金融产品和服务产生质变，新兴金融科技正成为引领行业的变革的“利器”。特别是新冠疫情对金融业务提出新的要求，金融机构均加强了线上和非接触服务和营销，对金融科技的需求进一步提升。

金融科技外包是指金融企业以长期合同的方式委托技术服务商提供部分或全部的信息技术服务，主要包括应用软件开发与服务、嵌入式软件开发与服务，以及其他相关的信息技术服务等。随着金融市场从“了解你的客户（KYC）”向“了解你的数据（KYD）”模式的转变，越来越多的金融机构选择同科技公司开展合作，进行金融科技项目外包。

随着越来越多的新兴技术被应用在金融领域，诞生出大量的金融科技公司，这些公司与金融机构的合作和服务范围已经不再局限于传统的科技外包服务，而是寻求与金融机构在这些新技术应用上的深度合作。蚂蚁集团的支付宝已为超过400多家的银行、保险公司和基金公司提供金融服务或开展合作；百度金融以其独到的人工智能技术，与500多家金融机构在智能获客、身份识别、大数据风控、智能投顾、智能客服等多个领域达成了合作；京东数科在数据资产管理上处于领先地位，向大量金融机构提供定制的金融数据服务。

新兴金融科技外在助推金融机构快速发展、推动业务创新、提高营销效率、实现科技赋能的同时，也带来了一系列新的风险。特别是目前新兴金融科技外包仍缺少系统、全面的监管框架。新兴金融科技外包所引发的金融风险将为金融监管机构带来新的挑战。

二、金融科技外包原因分析

（一）提高金融机构竞争力，推动科技创新

科技研发能力并不是金融机构的核心业务，通过外包剥离这些科技业务，有助金融机构集中、合理的配置有限的资源。特别是对中小金融机构而言，它们想更快地搭上金融科技发展的便车，就只能寻求外部的合作与金融科技的外包，使有限的技术人员能够更加专注于其核心业务上，这也是金融机构科技外包的根本原因。

（二）降低管理压力和防控风险

当前金融机构开展的大数据分析中心、区块链平台或云平台等新兴金融科技项目，如果完全由金融机构负责基础设施工程、系统研发和交付维护，存在成本高、专业性强、耗时耗力等问题。同时金融机构也缺少专业的管理和开发人员，难以进行有效的开发和管理。通过外包可以有效地降低自身管理压力和防控管理风险。

（三）利用金融科技赋能增效，助推业务发展

利用新兴的金融科技能够对金融机构当前的业务重构和进一步优化发展，能够帮助金融机构更快、更好地拓展市场。相对于金融机构自身研发，金融科技外包能够获得最新、成本更低的金融科技服务。借助外包服务降低了财务支出、减少了技术风险的同时，推动了金融科技的利用率，提高了投入产出比，有助于降低金融机构在新技术上的成本支出。

三、新兴金融科技外包风险分析

新兴金融科技外包项目的特点是项目数据庞大且分散、服务周期长、可变因素多、隐私保护不可控等，这使得金融机构在新兴金融科技外包项目过程中面临更多地风险。

（一）集中和系统性风险

基于科技公司赢者通吃的原则，往往最先进的技术都集中在少数科技公司手中。当多家金融机构都依托于这些科技公司时，就会导致数据信息资源的高度集中，一旦遭受黑客攻击或出现技术问题，可能会波及到非常多的金融机构，带来的影响远超过传统的单家外包服务，易造成系统性金融风险。

（二）数据信息泄露风险

金融机构可以利用人工智能和大数据分析更加精准地选择客户、提升效率和防控风险，利用区块链、云计算更方便记性备份和存储等。但是在利用这些技术的同时也带来了数据信息泄露的风险，特别是个人隐私信息的泄露。由于客户信息的采集、使用和销毁缺少统一标准，金融机构难以保证科技公司在客户信息使用和销毁过程中的绝对安全。

（三）监管和合规风险

金融机构可能通过开展新兴金融科技项目掩盖自身的违规风险点，这些外包项目可能触及监管边界。即使金融机构保证自身合规，也难保证外包服务公司遵守审慎监管原则，特别是当发生系统故障或者数据迟报、漏报等事故时，往往发生的争执与推诿，给金融机构带来巨大的损失。

（四）业务和发展风险

当金融机构将重要金融科技建设完全依托于外包给科技公司，将导致自身金融科技治理能力下降，难以全面掌控新兴金融科技所带来的机遇和挑战，易在核心技术使用方面被人钳制，失去对数据资源的掌控和评估。同时科技公司和大型互联网公司依靠掌握的最前沿的技术和金融市场数据，将为它们开拓金融市场提供便利。

（五）声誉风险

金融机构主要关注金融科技更好的推动业务和经营发展，而科技公司则更为关注获取更多的数据和最大化的效益。这就导致金融科技公司与金融机构的利益关注点不同，随着金融环境的迅速改变，这种错位可能会将外包科技公司的风险转嫁到金融机构身上。一旦提供服务的科技公司产生声誉风险，将传导给其服务的金融机构，带来严重的信任危机。

四、各国对金融科技外包的监管法规和措施

金融科技外包一直是各国监管机构关注的一个重点领域。巴塞尔银行监管委员会、证券交易委员会国际组织、国际保险监督官协会三方发布的《金融服务外包指导原则》中规定“监管机构应将外包纳入对金融机构持续性评估的环节，应采取有效手段防止金融机构利用外包逃避有关监管规定，避免产生集中和系统性金融风险”。近几年，发达国家对金融科技外包越来越重视，相继发布了各自的金融科技外包法规和管理措施。

欧洲银行管理局（EBA）将金融科技创新带来的风险和机遇作为其工作重心之一。为信贷机构、投资公司、支付和电子货币机构等在内的各类金融机构建立更加统一的外包监管框架，确保为不同类型的金融机构提供公平竞争环境；美国各个监管当局近期也对金融机构业务、技术、系统和服务外包出台了一系列指引和办法，对金融机构在各种外包关系中应该承担的风险管理责任等进行明确规定；英国金融服务局（FSA）对实质性业务和非实质性业务的外包都制定和发布了指引。规定重大科技业务外包前必须通知监管当局。对银行业务的外包施以直接管制，对于那些风险过大的项目，当局都可不予批准；丹麦金融监管局明确了对数字货币发行机构、支付机构和数据中心等非金融机构的外包监管；荷兰监管机构在外包指引中提出了有关操作层面的具体细则，监管主要体现在对外部服务提供商的评估；德国金融监管局发布的外包指引中规定，金融科技外包业务不能扰乱金融市场秩序或在规避监管方面带来负面影响；新加坡金融管理局计划修订银行业法案以取得对银行外包项目提出强制要求的权力，新加坡金管局有权开展审计和终止重大外包项目。

五、提高我国金融科技外包风险监管的思考

现有的金融科技业务外包风险监管主要是针对金融机构，尚缺少明确对金融科技服务商的监管内容，监管机构在确保“服务外包，责任不外包”的核心监管理念下，也应该加强关注来自新兴金融科技外包方面的风险。

（一）将新兴金融科技纳入外包风险评估体系

金融机构应将外包公司的风险评估纳入项目计划的合作中，保证科技外包项目风险可控。监管机构应通过对金融科技服务公司的履约情况、信用状况、专业经验和技术风险等方面的全面审计，设计定性和定量的考核指标，识别和监控金融科技服务公司的风险集中程度，特别是对新兴金融科技外包中风险集中度高的科技服务公司开展直接监管。

（二）强化在新兴金融科技应用过程中的隐私保护

针对越来越多的金融机构开始建立大数据、云服务平台等可能产生的数据信息泄漏风险，监管机构应要求这些科技外包服务公司在处理外包数据时须严格遵守隐私法规。只有当科技外包服务公司已被确认能够为这些隐私数据提供充分保护时，才能被允许承接涉及金融机构客户信息的外包服务。

（三）完善新兴金融科技外包监管框架

拟订适应科技发展的监管框架，将新兴金融科技外包纳入监管范围，消除监管真空和套利空间，对风险较大的外包项目进行评估。同时加强对行业内具有垄断地位的科技公司监管，营造和维护金融科技服务外包行业良好的环境。通过嵌入式监管更有效地开展金融科技监管和风险防控，加强对跨市场、跨行业交叉性金融科技风险的识别、防范和化解。

（四）搭建金融科技外包服务平台，加强跨界监管协调

由于金融机构和监管机构往往对新兴技术掌控不足，可以考虑搭建多方共赢的金融科技外包服务平台，引入金融科技监理机构实现对科技外包服务的监督、考核、控制和协调，确保外包项目的成功实施，审计和评估。由监管机构负责整个平台的统筹管理，确定金融机构必须承担外包风险管理的主体责任的同时，将金融科技公司也纳入监管中，效化解金融科技外包风险。

（五）加强国际合作，防范跨国金融科技外包风险

加强与境外监管机构的合作，建立跨国信息共享机制，金融机构在选择跨国金融科技外包之前，应审核跨国金融科技服务公司的安全性，并向监管机构备案，明确跨国金融科技服务商可以获取的金融机构数据范围，保障我国金融数据信息安全，防范跨国外包风险。

（六）加强监管科技和监管沙箱建设

通过传统的监管模式对最新的金融科技展开监管往往很难奏效。监管科技作为新型监管手段，可以在数据安全、采集、报送和风险智能评估等方面发挥积极作用，提升监管协同度、科技化和智能化水平，有效提升对新兴金融科技外包监管能力。同时还可以引入金融科技外包的监管沙箱，实现金融科技创新和有效监管之间的平衡。