央行發(fā)布三項金融科技安全相關規(guī)范！必須要看

2020年10月21日，人民銀行正式發(fā)布《金融科技創(chuàng)新應用測試規(guī)范》（JR/T 0198-2020）、《金融科技創(chuàng)新安全通用規(guī)范》（JR/T 0199-2020）、《金融科技創(chuàng)新風險監(jiān)控規(guī)范》（JR/T 0120-2020）三項金融行業(yè)標準，從不同的角度對金融科技創(chuàng)新進行管控。

金融科技創(chuàng)新應用指在符合現(xiàn)行法律法規(guī)、部門規(guī)章、規(guī)范性文件等要求前提下，在尚不具備管理細則的領域，利用新技術設計、面向金融用戶的產(chǎn)品或服務。

《金融科技創(chuàng)新應用測試規(guī)范》從事前公示聲明、事中投訴監(jiān)督、事后評價結束等全生命周期對金融科技創(chuàng)新監(jiān)管工具的運行流程進行規(guī)范，明確聲明書格式、測試流程、風控機制、評價方式等方面要求，為金融管理部門、自律組織、持牌金融機構、科技公司等開展創(chuàng)新測試提供依據(jù)。

《金融科技創(chuàng)新安全通用規(guī)范》從安全、服務質(zhì)量、算法安全、架構安全、數(shù)據(jù)安全、網(wǎng)絡安全、內(nèi)控管理、業(yè)務連續(xù)性保障等多方面，明確對金融科技創(chuàng)新相關科技產(chǎn)品的基礎性、通用性要求，為金融科技創(chuàng)新應用健康上線把好安全關口。

安全包括驗證、確認、監(jiān)控、風險處置。

算法安全規(guī)定了算法設計、算法可解釋性、算法可追溯性、算法攻擊防范的要求。

架構安全包括云計算架構、區(qū)塊鏈架構。

數(shù)據(jù)安全包括對數(shù)據(jù)質(zhì)量的要求，對個人金融信息進行全生命周期防護、符合相應安全管理要求。

網(wǎng)絡安全包括對基本安全要求、物聯(lián)網(wǎng)安全要求、安全防護要求的規(guī)定。

《金融科技創(chuàng)新風險監(jiān)控規(guī)范》明確了金融科技創(chuàng)新風險的監(jiān)控框架、對象、流程和機制，要求采用機構報送、接口采集、自動探測、信息共享等方式實時分析創(chuàng)新應用運行狀況，實現(xiàn)對潛在風險動態(tài)探測和綜合評估，確保金融科技創(chuàng)新應用的風險總體可控。

金融科技創(chuàng)新風險監(jiān)控主要通過對金融科技創(chuàng)新應用等進行數(shù)據(jù)采集、關聯(lián)分析，識別發(fā)現(xiàn)可能存在的安全時間和風險并進行展示和預警，掌握金融科技應用風險態(tài)勢，保證金融科技應用安全穩(wěn)定運行，保護消費者合法權益。

金融科技創(chuàng)新風險監(jiān)控框架如下圖。

在風險監(jiān)控實施方面，除了采用機構報送、接口采集、自動探測、信息共享等方式實時分析創(chuàng)新應用運行狀況之外，也需要進行人工核驗，即對運行中的系統(tǒng)，在不事先告知創(chuàng)新機構的情況下，模擬用戶進行核驗，驗證系統(tǒng)的業(yè)務功能、處理流程和控制措施等與事先報備的內(nèi)容是否一致。

監(jiān)控內(nèi)容主要包括個人金融信息保護、金融安全、業(yè)務連續(xù)性、服務質(zhì)量、技術使用安全、內(nèi)控管理、網(wǎng)絡安全、意見投訴、公開輿情等。

《金融科技創(chuàng)新風險監(jiān)控規(guī)范》也規(guī)定了對監(jiān)控內(nèi)容的各個方面，監(jiān)測機構、創(chuàng)新機構、自律組織、監(jiān)管機構分別應遵循怎樣的要求。

據(jù)悉，這三項標準既適用于持牌金融機構、科技公司、安全評估機構、風險監(jiān)測機構、自律組織等。此外，標準發(fā)布之前已投入運營的金融服務或科技產(chǎn)品進行金融科技創(chuàng)新時也可適用。