• 快捷搜索
  • 全站搜索

海外监管合规下的信息科技管理

2018-06-05 10:44:50作者:中国银行信息科技部 高岩编辑:金融咨询网
海外国家和地区信息科技监管大多具备“全面覆盖、重点突出”的监管体系。在中资金融机构数量快速扩张、网络布局持续优化、资产规模稳步攀升的同时,中资银行的海外拓展也遇到了前所未有的挑战。依托集中统一的技术平台满足各国差异化的监管要求即是面临的重大考验之一。

近年来,中国银行业契合国家“一带一路”发展倡议,大力拓展海外业务。截至2016年末,有20家中资银行在50多个国家和地区设立了逾千家海外分支机构,总资产破万亿美元。在机构数量快速扩张、网络布局持续优化、资产规模稳步攀升的同时,中资银行的海外拓展也遇到了前所未有的挑战。依托集中统一的技术平台满足各国差异化的监管要求即是面临的重大考验之一。

        海外国家和地区信息科技监管大多具备“全面覆盖、重点突出”的监管体系。其中,欧美发达国家对信息科技的监管较为严格,其监管要求几乎覆盖信息科技的所有领域;在亚太区域,以中国香港、新加坡、马来西亚、澳大利亚为代表的国家和地区,在历经金融业蓬勃发展及金融危机的重创后,监管态度更加审慎,其监管机构除定期对已发布的监管要求做出修订完善,还紧跟经济与科技发展形势,强化了网络安全、数据保护的监管要求;近年来欧洲国家的经济发展势头虽已大幅放缓,但欧盟在个人隐私保护方面的要求更趋严格,金融机构需从基础设施建设、系统访问控制和数据加密保护等多角度进行积极应对。
 
        总体来看,海外国家和地区对信息科技的监管重点聚焦于数据安全防护、外包风险控制、业务连续性管理、电子银行安全、信息系统安全与审计、IT基础设施与重要信息系统变更等多个方面。对中资银行而言,从新机构开立、业务准入到日常运营,均需要前瞻性考虑这些监管重点。
 
        以中国银行为例,我行正在实施以“集中统一、转型提升、延伸拓展”为目标的海外信息系统整合转型项目,旨在依托国内IT基础设施及技术架构,将海外机构的信息系统整合上收至国内数据中心运营。自2012年项目启动以来,中国银行已完成亚太、欧非、美洲地区44个国家分支机构的系统上收。项目实施须满足海外机构所在地的监管要求,通过报批报备获得各地监管的理解支持。本文将从中国银行海外信息科技合规的难点着眼,提出海外信息科技管理工作的几点思考和建议。
 
一、海外信息科技合规的难点
 
        1.欧盟个人数据保护法案
 
        欧盟委员会(European Commission)于1995年颁布了旨在保护欧盟成员国公民个人信息的数据保护指令(Directive 95/46/EC,以下简称“95/46指令”)。随后,英、法、德、意、荷、比、卢等欧盟成员国分别根据“95/46指令”在本国制定了更加细化的数据保护法案。2016年,欧盟发布《一般数据保护法案》(GDPR),为加强个人隐私保护、促进欧洲数字化经济发展发挥了积极的推进作用。
 
        欧盟数据保护法案严格禁止将个人数据传输到欧盟以外的国家或地区,除非目标传输国家或地区通过完善的数据保护法律体系对个人信息进行保护,并且其个人数据保护能力已得到欧盟数据保护机构的认可。目前瑞士、加拿大等国获得了这一认可。中国不在欧盟数据保护机构认可的国家之列。
 
        对中资银行而言,仅可通过两种途径合法传输欧盟公民的个人信息至欧盟境外:
 
        途径一,签订欧盟标准数据保护合同条款,明确数据传输方、数据接收方对个人信息保护的责任。数据传输方与数据接收方必须无条件同意并遵守条款要求。在数据传输方与数据接收方共同签署数据保护合同条款后,该合同条款需由数据传输方递交本国数据保护机构,在获得认可后方能向数据接收方跨境传输欧盟公民的个人信息。
 
        途径二,执行企业约束规则,在机构内部建立完善的数据保护机制,明确机构内部对数据的保护原则,并依据原则对企业内的个人信息进行保护。企业建立企业约束规则,并得到所有欧盟成员国数据保护机构的认可,欧盟分支机构方可在企业内部跨境传输个人信息。
 
        从实际操作角度而言,实施欧盟标准数据保护条款与企业约束规则均很复杂。如果采用欧盟标准数据保护条款,当一个数据接收方同时处理多个数据传输方的数据时,数据接收方需要与所有数据传输方分别签订独立的数据保护条款;其次,数据保护条款的签署只能“单次有效”。在数据处理的过程中一旦个人信息的传输类别、处理目的、处理方法、保护手段发生变化,数据接收方与数据传输方需要根据当次数据传输的实际情况签署新的数据保护条款,并重新向数据保护机构进行报告,以获取数据保护机构的认可。
 
        与欧盟标准数据保护条款相比,企业约束规则可覆盖企业内部所有的数据处理场景,而不局限于单次的数据处理。成功实施企业约束规则后,无需再为数据处理做任何申请或办理书面手续。但企业约束规则的实施难度比欧盟标准数据保护条款大很多,企业首先需要建立完善的数据保护机制,并在全机构范围内对数据保护机制予以严格的贯彻;其次需要向欧盟所有的数据保护机构提供大量的资料,证明企业已建立并执行了企业数据保护规则;最后由所有欧盟成员国的数据保护机构对企业约束规则申请进行传阅与批复,整体审批周期较长,从半年到一年不等。
 
        中国银行经充分评估利弊,决定由总行与欧洲各分支机构签署欧盟标准数据保护条款,比照欧盟数据保护要求严格落实。从签署协议起,中国银行总行承担了欧盟各机构数据保护的责任。一旦发生数据安全事件,欧盟数据保护局有权终止数据传输,并给予相应的处罚。
 
        2.禁止数据出境的监管规定
 
        目前,国内银行基本已完成“数据大集中”工作,这对银行的资源整合、业务创新、管理分析等提供了极大便利。因此,中资银行海外机构的IT建设也多沿用此模式。然而,部分国家和地区特殊的监管要求给中资银行海外机构的数据集中化管理带来了一定制约。例如,卢森堡金融监管机构严格禁止将可识别个人身份的敏感信息传输出境,除非对这些信息进行加密处理,并且加解密操作只能在卢森堡境内进行。“棱镜门”事件曝光后,俄罗斯发布总统令,要求采集个人信息的机构必须使用位于俄罗斯境内的数据库对俄罗斯联邦公民信息进行记录、加工、存储、更新和引用。在印度尼西亚,外资银行占比达27%。印度尼西亚政府出于维护本国金融体系稳定及促进本地就业的考虑,要求所有外资银行的当地机构必须在印度尼西亚境内建立数据中心及灾备中心。土耳其法律规定,银行的核心系统和备份系统必须部署在土耳其,且所有相关信息均须在土耳其境内保管。
 
        以中国银行为例,其雅加达分行信息系统已于2013年集中部署至国内运行。为落实印度尼西亚政府将境外系统回迁至印度尼西亚的总统令,唯一的合规方案就是在当地建立数据中心并进行单独信息处理。这给银行带来了两方面影响:一方面是当地分支机构无法及时分享集团产品创新成果,业务联动受限;另一方面是运营成本大增,银行需要在所在国家对基础设施、人力资源、技术支援等方面做持续投入。经测算,中国银行雅加达分行信息系统回迁项目投产前一次性投入费用占该分行年利润的95%,后续年度投入费用占该分行年利润的20%~30%。
 
        3.特殊的财税规定
 
        根据国际会计准则,包括我国在内的多数国家均采用权责发生制进行财务管理,相关业务系统也据此准则设计。然而,部分国家的财务管理仍处在收付实现制向权责发生制的过渡阶段。
 
        例如,俄罗斯监管在核算规则、账户规则、计息规则、损益归集、当地报表等方面与其他国家存在诸多差异。会计核算方面,俄联邦会计准则规定银行应对债务/债权持有人的国民及行业属性、债务/债权存续时间等条件分别进行会计确认,进行备查登记类表外登记;逐笔交易产生传票,按俄罗斯央行要求生成分录,逐笔体现兑换损益,配套生成表外登记;损益以卢布体现,应计利息进行差额计提,不做冲回,损益科目分为当年损益和历年损益,进行本年户、上年户之间的结转。账号规则方面,采用统一格式的20位账号。账户设立方面,面向核算设置分户账户。交易凭证方面,交易结束后除生成客户回单,还应生成会计传票。计息计税方面,采用“算尾不算头”的计息方法,同时存在特殊计息、计税的情况。
 
        又如,巴西在计息计税规则、业务流程监控、利率汇率发布、清算结算规则、会计核算等方面存在诸多特殊要求。计息计税规则方面,采用指数计息法,利息余额计算过程中保留9位小数,利息计算与通货膨胀率挂钩;其税收政策复杂,需银行配合收取的税种达26个,部分税款需随交易、随息收取。业务流程监控方面,开立客户、货币兑换、跨境汇款、税务申报等业务环节均需获得监管审批。利率汇率发布及清算时间方面,外汇管理机构下午发布当天汇率,晚间发布当日利率,银行应在次日6:30完成本期清算入账,次日9:30前完成上日账务的审核和补录,方可进行日期切换。会计核算方面,巴西央行发布了严格的明细核算要求,设置6000多个核算码,一些明细核算与国内银行核算体系无法映射。
 
        再如,智利政府为在高通胀环境下稳定物价、保障金融借贷方及社会保险受益人的权益,创立了“货币发展单位(UF)”和“月度税收单位(UTM)”两种金融市场计量方式。UF用于在贷款、保险、企业投资及各类商业合同中的定价。智利央行可根据消费者价格指数变化情况定期对UF进行调整,银行需要在贷款、贸易融资、债券、存款、费用等产品中与客户约定UF报价,最终以当地货币(比索)实际支付。UTM用于税收和罚款,以比索表示。智利央行根据消费者价格指数每月进行调整。UF和UTM的计算过程相当复杂,是当地与国内差异较大的业务。
 
        特殊的财税规定对中资银行信息系统的海外推广造成重大挑战。
 
        4.业务连续性管理要求
 
        随着科技手段在银行业务中的广泛运用,信息科技风险被视为“可能导致银行业务瞬间崩溃”的重大风险之一。海外监管对金融机构的信息系统稳定运行提出严格的要求。比如,智利是一个地震多发国家,全世界每年发生的有记录的地震中有21%发生在智利,近年来智利境内8级以上地震就发生过两次。由于地理环境的特殊性,智利金融监管局对业务连续性、灾备建设、信息安全提出了近乎严苛的规定。监管要求金融机构必须在智利当地拥有灾备处理中心。主数据处理中心与灾备中心在基础设施和软件版本方面应永久保持一致,以“双活”模式运作。数据处理中心应至少在99.98%的时间里正常运转,每年停机时长低于1.6小时。在监管验收银行IT系统灾备建设的环节,将断开分行与总行的网络线路,确认当地灾备中心支持业务连续运营的有效性。
 
        目前,大多数中资银行海外分支机构的信息系统都集中在中国境内的数据中心运营。智利银监局关于在智利境内建立灾备中心、保证数据中心和灾备中心以双活模式运营的要求,对灾备中心的服务水平提出了极大挑战。据统计,光纤通讯每千公里有近百毫秒的通讯延时。而中国与智利直线距离达19000公里,加之网络线路的绕行,很难实现总行数据中心与智利灾备中心的数据同步机制。
 
二、海外信息科技管理工作的思考和建议
 
        随着我国“一带一路”倡议不断深化,中资金融机构正加快全球化发展的步伐。面对各国复杂的监管要求,结合我行海外信息系统整合转型的实践,我们提出如下几点思考和建议。
 
        1.国家层面,加强个人数据保护的执法力度
 
        与一些国家相比,我国在个人数据保护方面起步较晚,全国信息安全标准化技术委员会在2012年制定了《信息安全技术公共及商用信息系统个人信息保护指南》;工业和信息化部在2013年发布了《电信和互联网用户个人信息保护规定》;2016年发布的《网络安全法》包含了个人信息保护相关内容,但个人数据保护的执法力度在我国亟待加强。我国社会整体上个人隐私保护意识薄弱,个人隐私买卖及泄露事件时有发生。在我国社会环境层面对个人隐私保护的关注度明显落后于发达国家和地区。
 
        国内对数据保护的力度不足导致外资企业可任意使用中国公民的个人信息。与此同时,中资机构却不得不为遵循境外个人信息保护要求付出巨大的合规成本。长此以往将导致中资企业在国际竞争中处于不利地位。我国应加强对个人隐私的保护力度,树立国家积极保护个人数据的正面形象,从而增强中资银行在海外的整体竞争力。
 
        2.行业层面,建立金融业消费者保护机制
 
        除了在国家层面通过立法的方式建立个人数据保护法律法规,也可借鉴美国监管机构的经验,建立行业层面的金融业消费者保护机制。
 
        美国在经历2008年金融危机后,对其金融业的整体运作环境与金融监管模式进行反思,于2011年成立了消费者金融保护局(Consumer Financial Protection Bureau,CFPB)。CFPB成立后,美联储、货币监理署、联邦存款保险公司、国家信用管理局等7家联邦监管机构,将相关权限移交至CFPB,由其负责对消费者金融产品及金融机构所提供服务进行监管,保护金融消费者权益。CFPB通过强化金融消费者教育,提高金融消费者安全意识;通过检查金融机构对消费者信息保护的合规情况,确保金融消费者的信息安全;通过构建并运作金融消费者投诉及处理体系,保障金融消费者的权益。
 
        因此,笔者建议进一步完善金融业消费者保护机制,通过相关法律明确对金融消费者权益的保护,特别是对金融消费者隐私权、知情权的保护,确立监管机构在金融消费者权益保护方面的法律地位。
 
        3.监管层面,建立跨国协同工作机制
 
        随着中资银行海外拓展步伐加快,越来越多的银行机构将直接面对海外司法管辖与监管检查。为维护我国银行的合法权益,建议从国际合作层面考虑与其他国家金融监管机构建立跨境协同工作机制。以平等互惠为前提,与俄罗斯、印度尼西亚等国监管机构探讨中资银行数据在境外处理的可行性;与其他海外监管机构探讨相互委托代理检查对方国家在本国开设银行机构的实施方案;此外,还可以通过签署谅解备忘录、共享信息、跨境监管、合作治理等方式,从国际合作层面与海外监管机构携手维护和谐稳定的国际金融市场环境。
 
        4.金融机构层面,审视全球化发展策略
 
        对于“走出去”的中资金融机构而言,全球化发展进程不可阻挡。尽管我们在海外监管的压力下遇到前所未有的挑战,但这并不是不可逾越的障碍。审视全球化发展策略,中资金融机构应努力熟悉海外当地的文化、市场、国情、民情,抱着积极的心态与监管机构合作,在各方面条件不断完善的基础上实现合规经营。
 
        中资金融在境外发展的过程中,信息系统建设既要考虑集中化管理的需要,也要兼顾不同国家差异化监管的客观要求。我们在设计信息系统时,应充分兼顾灵活性与延展性。
 
        展望未来,新兴技术方兴未艾,中国是金融科技创新的焦点。随着大数据、云计算、人工智能的广泛运用,海外监管对新技术的管控提出了更高要求。金融机构应从法律、文化、监管、社会公信层面给予充分的关注。
 
(文章来源:中国金融电脑杂志)

扫码即可手机
阅读转发此文

本文评论

相关文章