最近一些人在提倡助贷或联合贷的新业务形式,称之为创新。金融科技公司发挥获客和流量优势、银行发挥资金优势,可以为更多的小微客户和低收入人群提供贷款服务,是普惠金融的新形式。
创新,毫无疑问,值得鼓励。银行与金融科技公司创新合作模式,也是值得鼓励的。不过,金融创新,无论是什么模式,用什么名称,业务实质是最重要的,按照业务实质进行严格监管也是必要的。监管也要随着创新而不断创新。
助贷、联合贷,首先必须明确,是贷款业务。是贷款业务,就要按贷款的逻辑进行管理。其次,既然是贷款,需要明确贷款对象,即借款人。不能因为号称是普惠金融,就不问贷款的特定对象,笼统地说是小微企业、小微客户和普惠人群。再次,是贷款,资金用途必须明确,是经营性的还是消费性的。第三,贷款人是谁?是银行,还是金融科技公司?这个问题,实际上也可以表述为:银行和金融科技公司是什么关系?或者说,这是一种什么样的贷款?
如果是共同贷款,就需要在法律上明确,各自在贷款中的占比和承担的风险,同时以这样的风险共担比例分享贷款收益。如果叫联合贷,由银行承担全部贷款资金,银行和金融科技公司共同承担风险。那么,风险如何承担、如何兑现,包括收益的分享,也需要有明确的规定和监管。如果金融科技公司不承担贷款风险,只是提供客户,同样需要明确金融科技公司的具体责任。既然金融科技公司不是贷款人,贷款利率就应该由借贷双方协商确定,金融科技公司按贷款利率的一定比例或者向借款人、或者向贷款人收取中介费用。不应该由金融科技公司主导借款人的借贷成本,并主导收益的分配。金融科技公司收取费用的多少,不是简单的客户推介费,应该与其在推介过程中所承担的责任相关联。
所谓相关联的责任,就是金融科技公司在向银行推介客户或资产过程中,提供的所有与银行承担风险相关的各类有效资料,及金融科技公司对这些资料所承担的责任。之所以前面说,首先要明确借款人和借款用途,这是银行发放贷款进行风险评估的基本前提。如果借款人不属于银行贷款的合适对象,或者借款用途不符合银行贷款的要求,银行就不能发放贷款。所以,这样的合作,金融科技公司必须提供充分及有效的资料,以便银行可以进行充分的风险评估,金融科技公司必须对这些资料的真实性、有效性承担法律责任。转卖资产的道理也是相同的。现在,由于各个金融科技公司专业能力、技术水平的差别,在这类合作中向银行所提供的资料质量参差不齐,更没有具有法律效用的责任承担,隐含的风险不容小觑。
由此,又引出一个新的问题,即,在互联网、金融科技广泛应用的新形势下,新的业务模式、新的合作方式不断涌现,银行在发展自身业务的过程中,在与各类机构的合作中,会出现许多新的业务外包形式,目前的助贷、联合贷,也可以看作是一种业务外包形式,是一种获客业务的外包,也是一种数据业务(客户资料收集)的外包。实际上,经过这些年互联网金融的野蛮发展与整顿,许多金融科技公司正在寻找与银行合作的新模式,而不再追求自己直接做金融业务。市场上已经出现了一些新的合作模式,这些模式大多可以看作是银行业务和银行工作的外包,这些业务和工作,往往又都与金融科技和各类数据有关。我国银行及监管,以前对银行业务外包的研究和管理,比较零碎,不够系统。在新形势下,新的业务外包形式会越来越多,需要引起高度重视。首先要对各类外包业务进行分类;其次在分类的基础上,对各类外包业务依据业务的性质制定规则和管理程序。
目前,银行已有的外包业务包括:
仓储类:如凭证、资料的保管;金库;机房等。
通用类:现钞、凭证的出库、入库与押运。
业务拓展类:如信用卡营销等。
操作类:信用卡收单、后台清算对账等。
科技类:软件开发、ATM机运营维护等。
这些业务的外包,有些监管有要求,大多数是银行相关业务条线或机构自己在管理,不规范、不统一、不完善。相对而言,因为已经运营了较长时间,积累了一些经验,所以,进一步完善管理,虽然有挑战,难度不是很大。大多数外包,银行都定位在非核心业务的范围,总体风险影响不是很大。
现在更迫切需要关注的是与科技相关的外包业务监管。一,在社会经济、生活广泛数字化的条件下,这些新型外包业务,对银行,特别是包括中资和外资的小型银行来说,有迫切的需求。在数字化条件下,小银行有可能利用网络突破网点和服务时间的限制,但对科技的集中投入,是它们的不可承受之重。所以,确保银行新型外包业务有序、安全开展,对银行自身的发展,对银行有效支持实体经济,具有重要意义。二,是新问题,即新的业务类型、新的业务方式,并且与核心业务边界不清;三,业务类型多而复杂,有不同类型的合作贷款、风险评估结果的应用、风险评估模型的接入、客户的批量接入等等;四、参与方多而诉求复杂,比如有些外包服务提供方诉求的不仅仅是提供服务的机会,有的还企图获取银行所掌握的客户信息,有的更是企图直接做银行的相关业务;五,业务场景复杂,职责边界模糊。比如一些助贷或联合贷业务,有在消费场景中获客的,有直接从现金贷转移过来的,有些是金融科技公司提供法律职责不明的兜底的。再比如云服务中,系统、数据管理和运维的职责边界等等。
与科技相关的业务外包,可以考虑几个层面。第一个是硬件类的,机房外包、设备及运维外包等。第二个是软件类的,系统开发及运维外包等。第三个是涉及数据信息的外包业务,类型复杂。
第一类,已经有一些监管和管理规定,可以继续总结经验,完善管理办法。
第二类,有了新的发展形式。以前主要是一些非核心业务的软件开发和维护。现在除了系统开发和维护,还有大数据和云服务。这类服务,有点像数据储存外包服务,但又不完全是,还包括了数据处理与管理。对这类服务,需要监管提出明确的要求,不仅是技术要求,还有具体的服务方式的要求。比如,云服务,云服务提供商,提供的应该是云空间。对于上云的银行系统和数据,云服务提供商无权管理和应用。如果云服务商提供银行系统和数据的直接管理,则应对这类服务有明确的职责界定、数据和信息隔离要求。对于云服务提供商,监管要给予资格认定。认定的方式,可以由监管制订具体的资格要求,委托合资格第三方进行审计并向监管机构报告结果。监管机构每年委托合资格第三方对云服务提供商的服务进行检查审计。
对于第三类,需要进行项目细分,并建立一系列监管标准和规则,还要有相应的法规相配套。以上述助贷和联合贷为例。严格意义上,助贷也好、联合贷也好,既然是放贷款,合作双方都应该是有贷款资质的持牌机构。如果一方只是提供客户、客户信息,由贷款机构承担贷款风险,则这样的服务可以当作数据信息业务外包,即银行将客户信息的获取工作外包,也是客户营销外包的一种新的形式。监管应该对这样的外包服务提供商提出明确的监管要求,如,为贷款机构提供的信息,必须达到怎样的要求,以确保贷款机构能够据此进行独立的信贷风险评估和审查。贷款利率应当由贷款机构与借款人协商确定,信息提供方收取外包服务费。对于信息提供方,监管可以采用发牌制,也可以采用资格认定制。这可以借鉴律师事务所和会计师事务所的做法。银行可以聘用的律师事务所和会计师事务所,监管机构虽然不发牌,但哪些持牌的律师事务所和会计师事务所可以被银行聘用,是必须经监管机构认定的。对于提供信息不符合要求的,或者有欺诈行为的外包服务提供商,监管应该及时将其剔除出白名单。再比如贷款到期催收外包,也可以当作是数据信息业务外包。因为,催收工作外包,银行必须向外包服务提供商提供与贷款有关的客户信息。外包服务提供商如何恰当、安全地应用和保管这些银行所拥有的信息,也需要有明确的监管规定,同样对贷款催收外包服务提供商的资质,也要有明确的认定和撤销规定。再比如,部分风险评估工作的外包,其中的征信业务已经是牌照制。除征信外,目前还有提供信用评估服务的,也有提供客户信息数据治理和分析模型服务的。对这些服务,监管除了对银行提出必须自主评估风险的原则要求外,也要对服务提供商提供的服务有明确而具体的要求,如,数据来源的合法性、模型需经合资格第三方验证、银行数据信息的合法适度应用边界等。
关于新形势下对银行外包业务的管理,监管还可以考虑一个制度性安排,即,除了监管自己对银行和相关外包业务提供商进行制度规范和检查以外,可以委托合资格第三方,比如会计师事务所,对银行各类外包业务的制度建设、营运管理、外包服务提供商提供服务的能力和合规性等进行定期常规审计,特殊情况下,可以要求进行专项审计。当然,合资格第三方要为审计结果承担相应的责任。这方面是可以借鉴境外监管经验的。境外许多成熟市场的监管机构,许多监管工作,并不是自己直接做的,大多数都是委托合资格第三方进行的。即使业务资格申请这样初级的工作,往往也必须由合资格第三方提供材料。这一方面可以借助社会力量更全面地实施监管,另一方面也减轻了监管机构自身的压力。
最后,简单介绍一下美国纽约州关于科技工作外包的监管要求。美国纽约州金融服务局于2017年初,针对金融机构网络安全,专门发布了DFS 500规则,其中对服务供应商有单独的条款,该条款于2019年3月正式生效。金融机构需要建立针对互联网服务供应商管理的制度流程,包括:识别服务供应商的风险,网络及信息安全准入标准,尽职调查,定期风险评估。制度流程中还需要通过尽职调查和/或合同方式,约定服务供应商需要额外满足以下DFS 500 条款:
• DFS 500.12 关于访问控制及多因素验证的要求
• DFS 500.15关于数据传输加密和存储加密的要求
• 当发生影响金融机构信息系统的网络安全事件时,需及时通知金融机构
• 服务提供商的网络安全政策的陈述和保证
再比如,关于云服务外包,美国监管在基于普通外包管理的要求之上,于2012年发布了一个专门的附加指引。该指引大致有如下一些要求,也是非常值得我们参考的:
• 尽职调查:
o 数据分类:云中的数据的敏感程度(例如,机密的,关键的,公共的)以及应该采取哪些控制来确保这些数据是否得到妥善保护? 云服务提供商是否有采用适当的加密或其他保护数据的措施?
o 数据隔离:金融机构的数据是否与其他云客户共享资源? 例如,数据是否将通过相同的网络传输,并在其他客户端也使用的服务器上存储或处理? 如果是这样的话,服务提供商如何确保金融机构数据的完整性和机密性?
o 可恢复性:服务提供商将如何应对灾难并确保持续服务?金融机构在制定灾难恢复和业务连续性计划时应适当考虑服务提供商的灾难恢复和业务连续性计划以及与服务提供商之间必要的通信链接。
• 供应商管理:
需要考虑服务提供商是否了解相关的法律、监管要求,以及服务提供商能否及时响应相关要求的变化。此外,解除合同的过程也会比较复杂,需要在合同签订时确定数据归属、数据存储地点、方式,以及解决争议的方法。
• 审计:
为了确保金融机构能有效评估服务提供商的风险及其风险控制措施,金融机构的审计部门需要确保审计范围能覆盖外包云服务。
• 信息安全:
金融机构的信息安全需要考虑外包云服务带来的风险,并对高风险领域进行持续监测。
金融机构应该通过数据分类、数据加密、身份与访问控制管理等手段来保证客户数据的安全,确认服务提供商的数据处理流程,数据备份,以及服务提供商是否存在与其他提供商共享基础设施等情况。
数据存放在云上会增加信息安全事件、网络安全事件处理的复杂度,金融机构应持续监控威胁情报、信息安全事件或信息安全事故,金融机构应与服务提供商建立一个完善的事故响应计划,并涵盖对信息安全事件调查和证据收集的法庭取证策略。
2019年5月18日星期六
