随着马来西亚国家银行 (Bank Negara Malaysia, ”BNM”) 推出《2022–2026年金融业蓝图概述》,其中列出五大战略重点,将数码银行列为重点发展方向。在 2022 年 4 月 29 日,国家银行宣布,三家公司在《2013年金融服务法》(Financial Services Act 2013, ”FSA 2013”) 下,成功申请数码银行执照,同时有两家公司在《2013年伊斯兰金融服务法》(Islamic Financial Services Act 2013, ”IFSA 2013”)下,成功申请伊斯兰数码银行执照。
随着数码银行执照的发出,这些公司将进入筹备运作阶段;并需通过国家银行的评估其运作模式,然后才可开始运营,整个过程预计需耗时 12 至24 个月。
本文将探讨马来西亚数码银行开始运营时适用的监管制度,并强调数个与之相关的数据保护注意事项。
01 什么是数码银行 (Digital Bank)?
数码银行是通过数码或电子方式进行其所有或主要银行业务的银行机构,例如欧洲的 Monzo Bank 和 Starling Bank 是在 COVID-19 爆发之前所推出的数码银行。这种马来西亚金融服务业的发展预计将为银行业注入动力,并促进金融包容,让那些未能获得充分服务的群众受益。
02 监管框架
基础阶段:
除了国家银行于 2020 年 12 月 31 日发布的数码银行许可框架中,规定的几项简化监管要求,在开始运营(基础阶段)后的最短 3 年至最长 5 年期间内,持牌数码银行必须遵守适用于现有持牌银行或持牌伊斯兰银行的监管要求(包括保障消费者和反洗钱/打击资助恐怖主义的要求)。这项基础阶段的目的是让持牌银行维持生存能力和稳步运营,并让国家银行观察持牌数码银行的表现,及该银行运营所带来的风险。
在基础阶段,适用于持牌数码银行的现有监管框架的简化或豁免领域如下:
1. 资产限额和业务限制
持牌数码银行必须—
(a) 在任何时候维持至少 1 亿令吉的未受损资本。
(b) 维持最低 8% 的总资本比率;以及
(c) 确保其资产总规模在任何时候都不超过 30 亿令吉的限额。
持牌数码银行的运营进展时间表概述如下所示:
2. 流动性
此外,持牌数码银行应持有充足存量的未抵押 1 级和 2A 级优质流动资产 (HQLA),相当于其资产负债表总额的至少 25%。1 级和 2A 级资产的定义阐明在流动性覆盖率政策文件中,其中包括:
(a) 1 级资产:现金、定期存款,以及符合流动性覆盖率政策文件要求,表明由主权国家或多边开发银行明确担保债权的有价证券。
(b) 2A 级资产:有价债务证券包括 Cagamas Berhad 发行的商业票据,并且获得认可的外部信用评估机构授予 AAA/P1 评级,或内部评级显示具有相应 AAA 信用评级的违约概率。
3. “压力”测试
持牌数码银行应免除“压力”测试政策文件的要求
4. 公开披露
持牌数码银行应免除风险加权资本充足率框架(巴塞尔协议 II)政策文件中的披露要求(第3 支柱),以及伊斯兰银行资本充足率框架(CAFIB) 政策文件中的披露要求(第3 支柱)。
然而,作为持牌数码银行财务报表的一部分,以下信息应作为解释性说明:
(a) 细分每个风险成分的风险加权资产总额;以及
(b) 对于信用风险加权资产,各类风险权重的细分。
5. 伊斯兰教法治理
对于从事伊斯兰数码银行业务的持牌数码银行,伊斯兰教法治理政策文件中的所有要求均适用,除了以下情况—数码银行的许可: 监管法规与数据保护注意事项
(a) 伊斯兰教法委员会必须包括至少 3 名成员;以及
(b) 伊斯兰教法委员会必须每年至少召开 2 次。
后基础阶段:
值得注意的是,持牌数码银行可以在开始运营 3 年后,向国家银行提交申请,以结束基础阶段。
无论如何,持牌数码银行在开始运营后的第5 年后,应始终遵守适用于现有持牌银行或持牌伊斯兰银行的现有法律和监管框架,例如 FSA 2013 和 IFSA 2013(视情况而定),以及国家银行不时发布的其他规则、标准和条例。上述监管要求的豁免和放宽将不再适用。
03 个人数据保护注意事项
因此,作为“数据用户”的数码银行,在提供数码银行服务的过程中,必须遵守《2010年个人数据保护法》(PDPA 2010) 和相关法规中规定的 7 项主要原则,即一般原则、告知和选择原则、披露原则、安全原则、保存原则、资料完整性原则和取览原则。违反这些原则的数据用户即属犯罪,一旦罪成可判处不超过 30 万令吉的罚款,或不超过 2 年监禁,或两者兼施。
此外,数码银行还需遵守银行和金融业(实践守则)的个人数据保护实践守则,当中针对 2013 年 FSA 下持牌银行和 2013 年 IFSA 下持牌伊斯兰银行,拥有或控制的个人数据规定的具体行为阐明了一定的标准。根据 2010年个人数据保护法第29 条,违反实践守则将构成刑事罪。
尽管高便利度和高效率能吸引用户,但加强用户者长期信心的关键,取决于数据的安全。因此,数码银行提供最高级别的数据安全性,以保护用户的个人数据和财务信息免受任何网络欺诈,是至关重要的。除了遵守《2010年个人数据保护法》和实践守则,持牌数码银行需要采取额外的预防措施,应用强大的保密控制系统结合到他们的数据存储系统中,并建立强大的网络安全治理框架,以降低网络安全风险。
04 总结
数码银行业的新进入者有望改变人们的金融生态系统和创造良好的金融环境、实现技术创新,同时造福马来西亚用户。当马来西亚在逐步实现这种数码化转型时,全新的数码产品浪潮和解决方案将随之出现,在强大的生态监管系统、创新技术和文化适应性的响应下,有助于刺激国民经济增长和促进金融的包容性。
马来西亚投资系列指南•法律篇(九)
作者:德恒西咸来源:德恒西咸新区律师事务所

随着马来西亚国家银行 (Bank Negara Malaysia, ”BNM”) 推出《2022–2026年金融业蓝图概述》,其中列出五大战略重点,将数码银行列为重点发展方向。