金融科技或称FinTech（Financial Technology）是指通过科技工具的变更推动金融体系的创新，形成对金融市场和金融服务供给产生重大影响的新业务模式、新技术应用、新产品服务。如何通过金融与科技的有机结合，探索完善金融服务和监管模式，实现创新与合法合规的平衡，引导金融科技生态建设良性发展，成为当下监管的重要课题。随着金融监管不断升级。在此背景下，使用金融科技进行合规管理已经成了券商数字化转型过程中的重要内容。本次研究的目标是通过研究分享行业内优秀的金融科技应用实践来防控风险的同时加强合规管理。本课题研究方向一是研究国内外金融科技的发展现状及趋势，并聚焦于分享金融科技在券商行业中合规管理的应用情况。课题研究小组通过调研国内外券商及科技公司，以合规管理框架维度整理了当下热门金融科技的应用实例。本课题的研究方向二是研究金融科技在应用中存在的风险，给出合规管理建议。研究小组通过对当下热门的金融科技技术：开放式平台、人工智能、区块链、云计算、大数据的风险进行了研究梳理以及风险评估并提出了风险控制机制以及预防和检查手段来防范金融科技使用过程中带来的风险。本课题的研究方向三是分析当下金融科技的监管要求，给出监管法规、制度建设建议。 关键字：金融科技；合规管理；技术风险；操作风险; 监管要求；沙盒监管 ‍‍‍‍ 一、金融科技在券商合规管理的应用实例 金融科技把大数据、云计算、区块链、人工智能等技术融入金融，减低金融服务成本，创新金融服务形式、提升金融服务效率、更好地监控金融风险，从一定程度上弥补了传统金融行业的不足。使用金融科技进行合规管理已经成了全球券商数字化转型过程中的重要内容。课题研究小组通过调研国内外券商及科技公司，以合规管理框架维度整理了当下热门金融科技的应用实例。 （一）合规审查 首先在合规审查方面，最常见的金融科技应用是通过人工智能技术进行合同审查，具体应用实例有： 日本监管科技公司GVA-TECH，其主营业务为运用AI与IT技术为企业提供法律服务，帮助公司解决合同中的法律差异。其核心产品是AI-CON及AI-CIN Pro，该产品可为企业提供AI合同审查服务。AI-CON在合规审查的法务合同审核过程中，通过运用人工智能技术对合同内容进行分析，并同时通过机器学习法律知识的AI会为每份合同确定“不利”、“有利”和“中间”三种评价，如果是“不利”，则AI可以检查原因，指出合同风险、历史类似情况以及更正示例。与此同时，AI-CON Pro在Microsoft Word上运行，使用Word的加载项功能安装AI-CON Pro，上传用户自己的合同模板并使用它。用户在审查第三方合同时，Word界面右侧将会显示已导入AI-CON Pro的内部合同，并通过研究两者之间的区别进行审查。 （二）合规检查 其次在合规检查方面，人工智能和开放式平台技术能够协助跟踪法律法规的更新情况,对合规检查提供依据和参考标准。举例来说，瑞士的监管科技公司 Apiax，其业务主要定位于将复杂的法规转换为数字化的合规规则，并以数字方式管理法规，为跨境金融活动、智能投顾、税务、数据保护等提供合规服务。Apiax的运作工具主要是基于REST和GraphQL等成熟技术的 API（Application Programming Interface，应用程序编程接口），通过 API 可以实现对智能解读的监管规则的访问。 （三）合规监测 在合规监测中，大数据监测与分析技术的应用情景相对比较普遍，该技术通过收集并分析金融机构交易过程中产生的数据，根据监测异常交易行为的规则，输出交易报告并进行预警。随着科技水平的发展，交易行为大部分通过线上渠道进行，产生的数据具有实时性、非结构化、高维度的特性，数据量呈现爆发式增长，人工的交易监控方式已经难以满足日常的合规管理需求。大数据监测这一技术使得在交易前可以利用大数据技术或各类数据收集工具完成海量数据的采集及数据库的搭建；交易中能够实现数据的实时采集、存储、处理，并通过数据分析模型进行高效和准确的分析；交易后通过清晰的数据可视化工具可以快速发现问题并进行反馈。 特别是近几年新型金融欺诈手法不断升级，黑色产业仍然猖獗，金融机构已使用大数据监测的方式来防范包括申请欺诈、交易欺诈和营销欺诈在内的各种欺诈行为，并对新型网络违法犯罪或黑产动向等外部风险态势进行跟踪，及时进行响应或应对。另外，随着反洗钱在国际国内受到的重视程度越来越高，金融机构也在使用大数据监测与分析技术做好客户身份识别与可疑交易监测等反洗钱重点工作，防范被违法分子利用开展洗钱等非法活动。 与此同时，人工智能技术可以帮助服务对象运用人工智能将客户尽职调查和了解客户(KYC)流程自动化，一是进行ID记录检查，将客户的身份证等证明材料与公安数据库和信用机构的信息进行匹配检查；二是利用人脸识别、指纹识别技术等实现客户身份识别验证，确保是客户本人，降低冒充欺诈的风险；三是通过API将多个KYC数据源集中到一个应用程序中，对决策者提供更丰富准确的数据，从而进行文件材料匹配检查，确保客户提供的资料不是伪造、篡改、丢失或被盗的，从而高效进行反洗钱、反欺诈的筛查和检测。运用监管科技能够有效节省认证时间，解放大量人力资源，降低合规成本，提高认证效率，助力反洗钱与反欺诈工作。举例来说，Trustdock是由日本GALAX公司开发的身份验证API平台，该平台使用JavaScript编译，可以嵌入各种应用程序之中，以便客户可以随时使用KYC功能。 （四）合规咨询 最后在合规咨询的金融科技应用中，主要利用人工智能技术进行智能问答。研究小组了解到澳大利亚有一家监管科技公司AtlasNLP通过使用人工智能技术将大量非结构化文档数字化于云平台上，为合规查询、合规咨询提供答案。该公司主要利用自然语言处理(NLP)技术对金融监管规则进行研究，使用者能快速和敏捷地获取合规咨询建议，感觉像在和合规专家一对一进行合规咨询。 （五）智能合规管理系统 除了以上四大合规管理框架外，证券公司目前也已引入合规管理系统来进行合规管理。合规管理系统在证券公司内部通过大数据技术实现各业务条线数据的自动更新、加工处理、分析统计，将合规数据集中化、标准化处理，灵活、动态地发掘合规风险隐患，自动发出预警并生成文档进行留痕。同时，通过在系统中对业务模块的耦合与隔离，实现各业务条线合规问题的分类和归集、合规文档的存储和查询、合规问题的反馈记录、合规风险解决方案的清晰化展示，使合规工作能够有序、高效地开展。此外，在与监管机构开展的外部活动中，合规管理系统可以帮助合规人员自动更新监管政策、人员、会议等相关信息，与监管机构动态保持同步，避免出现因信息传递不及时导致的违规行为和监管处罚。 二、金融科技技术风险研究 金融科技在带来业务发展的同时，也使得业务范围不断突破原有边界，金融风险出现跨行业、跨市场的交叉，同时技术风险和操作风险也更加突出，信息安全挑战也日益严峻。这一现状对证券行业的合规管理提出了更高、更迫切的要求。经过课题研究小组调研，我们认为目前风险主要分为以下几类。 （一）信息技术风险 1.人工智能 人工智能在证券行业应用存在隐私数据泄露、“算法黑箱”、模型问题和IT系统安全导致人工智能系统性风险等风险，并面临着监管对象复杂、责任主体与监管主体不明确、监管介入时机难把握等挑战。如何建立有效的AI算法审计程序、案例解释工具和AI压力测试模型是未来的重要挑战。 （1）隐私数据泄露风险 人工智能信息的采集需要对互联网通信技术进行有效运用，但互联网环境中网络安全漏洞较多，不法分子可予以攻击和破坏。在对人工智能进行应用的过程中涉及到采集和处理大量数据，会增加信息安全风险，大量的公众隐私信息数据可能会被泄露。 （2）算法黑箱风险 “算法黑箱”代表的是人工智能算法不公开、不透明的问题，导致的风险可以分成三类：一是监管缺失而引发的安全问题。人工智能的操作技能建立在大量程序基础之上，发生故障后，在现有的法律和监管体系下很难界定人工智能由于故障或行为引发的社会责任问题。二是算法监管的不确定。人工智能的核心是算法，对算法如何进行监管目前尚无定论。三是程序的错误。若人工智能的程序出现错误，基于错误程序对数据的分析结果也会不准确。 （3）模型问题风险 模型中存在的问题包括质量问题和管理问题。建模数据不正确、参数假设和估算方法不当、编码错误均会影响模型本身的质量；输入模型的信息不正确会传递虚假参数而扭曲经营管理者的决策，模型本身局限性传导到业务上对经营造成冲击等是模型存在的管理问题。 （4）由算法和模型问题导致的金融安全与稳定风险 人工智能金融交易是程序化、没有人工参与的交易，风险的放大将对金融安全带来挑战。任何模型及系统都不能保证100%没有问题。即使发生风险的概率很低，一旦发生的话，传染效应会很强。人工智能通过算法程序实现交易投资，最终金融市场会运用统一最优的算法来运作资金，使得相同投资行为产生。倘若利好信号出现，大量账户将一致买进，价格严重高估会给市场带来冲击，金融市场稳定性被打破，金融市场的安全性受到冲击，可能引发系统性风险。 （5）假借人工智能进行违法犯罪的风险 违法犯罪分子会打着人工智能的名义到处行骗和开展金融诈骗、非法集资等活动；同时，违法犯罪分子可借助人工智能技术来诈骗和对抗侦查。 2.云计算 随着越来越多的客户逐步进入崭新的“云时代”，未来更多业务开始在云端开展，更多的应用、更多的数据被部署在云端，其面临的安全问题也随之更为严峻。如何规划云安全架构、监控运行安全并且制定管理标准满足云安全需要将会是金融机构必须重视的一环。从细节上看，云计算安全风险主要包括： （1）虚拟化安全问题 利用虚拟化带来的可扩展性有利于加强在基础设施、平台、软件层面提供多租户云服务的能力，但虚拟化技术也会带来以下安全问题。如果物理主机受到破坏，其所管理的虚拟服务器由于存在和物理主机的交流，有可能被攻克，若物理主机和虚拟机不交流，则可能存在虚拟机逃逸。如果物理主机上的虚拟网络受到破坏，由于存在物理主机和虚拟机的交流，以及一台虚拟机监控另一台虚拟机的场景，导致虚拟机也会受到损害。计算环境也存在用户到用户的攻击;虚拟机和物理主机的共享漏洞有可能被不法之徒利用。同时，如果物理主机存在安全问题，那么其上的所有虚拟机都可能存在安全问题。 （2）数据集中的安全问题 用户的数据存储、处理、网络传输等都与云计算系统有关，数据集中也带来一定的安全问题，包括如何有效存储数据以避免数据丢失或损坏，如何避免数据被非法访问和篡改，如何对多租户应用进行数据隔离，如何避免数据服务被阻塞，如何确保云端退役数据的妥善保管或销毁等。 （3）云平台可用性问题 用户的数据和业务应用处于云平台遭受攻击的问题系统中，其业务流程将依赖于云平台服务连续性，这样对云平台的安全策略、事件处理和分析等均提出了挑战。另外，当发生系统故障时，如何保证用户数据的快速恢复也成为一个重要问题。 （4）云平台遭受攻击的问题 云计算平台由于其用户、信息资源的高度集中，容易成为黑客攻击的目标，由此拒绝服务造成的后果和破坏性将会明显超过传统的企业网应用环境。 （5）法律风险 云计算应用地域弱、信息流动性大，信息服务或用户数据可能分布在不同地区甚至是不同国家，在政府信息安全监管等方面存在法律差异与纠纷；同时由于虚拟化等技术引起的用户间物理界限模糊可能导致的司法取证问题也不容忽视。 3.区块链 区块链的开放性、全球性的特点，保证了交易活动可以在任何时间、任何地点进行，突破了传统贸易在时间和空间上的限制。然而，在区块链不断得到研究、应用的同时，在技术层面和应用层面依旧存在一定的安全局限性，在链上链下数据交互、共识机制、私钥防盗、智能合约、区块链应用与财务系统的对接等方面仍需提高安全意识并加强防范措施。此外，随区块链技术共同成长的加密货币所带来的洗钱风险及恐怖融资风险也已经成为监管机构的重点管理对象，金融机构必须对此投入足够的关注。 4.开放式平台 开放式平台是近年来金融机构的热点话题之一。金融机构大量通过API、SDK等方式进行跨界合作的同时，包括数据泄露、外部接口和API攻击、账户劫持、恶意攻击等网络安全风险也随之上升。金融机构应竭力保障使用开放式平台进行模块封装的合法合规性和安全性。 （二）操作风险 金融机构在搭建金融科技综合运营平台的过程中易引发操作风险。在近几年中，传统金融行业纷纷涉足，将金融服务、理财投资、证券交易、购买基金等金融业务植入网上平台，提升综合性经营水平，增强客户粘性。金融科技平台的简易性，方便了平台信息更新和用户操作。但也容易引发两方面问题：一方面由于网上开设账户简易，投资者对金融科技缺乏充足的专业知识，容易引发投资者操作不当；另一方面，由于业务交叉容易引发内部控制和操作程序的配置不当。以上两种情形，都容易发生投资者资金损失或身份信息泄露，从而引发操作风险。 （三）合规管理建议 针对日新月异的科技手段和与之带来的创新业务，研究小组认为合规管理应该从以下几方面入手，把住合规关口。 1.业务面市前的合规评审机制 金融科技本身作为新兴的金融形态，还没有经历足够多的市场经验和历史考验，尚没有一套成熟有效的预警、管控、干预和应急处置体系，所以要在金融科技产品面市之前进行合规评审，尽可能的揭示固有风险，合规漏洞，弥补业务流程、管理措施的缺陷。合规评审时的重点应该包括但不限于以下几点：一是法律法规、规章制度的遵循性；二是关注创新产品设计、授权审批、业务运行及效果预测中存在的制度性、机制性、系统性缺陷；三是关注风险缓释及控制措施、操作风险管理、人员管理中的合规薄弱点；四是重视并加强洗钱风险评估；五是加强对员工执业行为道德风险和操作风险的防范；六是关注消费者权益保护、适当性、适老服务和声誉风险等。 2.业务面市后的合规监控 根据金融科技创新业务的实际运作情况，对市场运行中出现重大异常情况、存在或发生严重合规风险的业务，应及时阻停，进行合规性重检和完善。 3.加强对员工执业行为中“道德风险”和“操作风险”的防范 首先应通过组织员工不断参加学习和职业操守教育，全面建设诚信企业文化。针对员工的具体情况，强化职业道德和风险意识教育，增强员工的责任心、意志力以及遵纪守法的自觉性和拒腐防变的能力，筑起坚实的思想防线。其次应强化内部管理制度和体制创新，规范员工业务操作行为。建立合理的选人、用人机制，坚持以德为先的用人原则，对行为失范的员工要及时进行教育，情节严重的要进行严肃处理。同时也应强化内部和外部监督机制、筑牢道德风险防线。并加强技术手段和管理，使用科学技术手段来提高监测和管理水平。 ‍‍ 三、金融机构监管要求研究 随着金融科技的飞速发展，其带来的新兴金融模式已经开始深刻地影响金融业态，与此同时，监管与创新的矛盾也不断地涌现出来。相关法律法规的更新不及时使得金融科技的发展存在监管漏洞以及法律和政策风险。 目前我国已经把金融科技纳入以宏观审慎管理为主导的“一委一行两会”金融监管体制中，近年连续推出了各类规划、指导意见或方案。国家层面的包括《金融科技(FinTech)发展规划（2019-2021年）》、《中国金融业信息技术“十三五”发展规划》、《国务院关于积极推进供应链创新与应用的指导意见》、《中国证监会监管科技总体建设方案》、《关于促进证券期货业金融科技健康发展的指导意见》、、《关于互联网金融从业机构接入互联网金融反洗钱和反恐怖融资网络监测平台的公告》等宏观监管政策法规。此外，许多省、市、自治区等地方政府也根据中央的相关政策制定符合自身实际、较为细化的执行政策。总体而言，金融科技监管政策体系基本与现行金融监管体制保持一致。 海外方面，国际清算银行下负责银行业监管的巴塞尔委员会，也发布了关于金融科技发展对银行和监管机构影响的良好实践文件，并将金融科技活动分为存贷款与融资服务、支付与清结算服务、投资管理服务、市场基础设施服务四类。除此之外，近年来境外各国家和地区的监管机构也陆续针对金融科技，发布了多项法案、指引和计划，对包括金融科技发展方向、潜在风险及管理框架进行了规范。如美国国会《金融科技创新及国防法案》、英国标准协会《支持金融科技与金融机构合作指南》、新加坡金融管理局《提供数字咨询服务的指引》、中国香港金融管理局《虚拟银行的认可（指引修订本）》、欧盟委员会《金融科技行动计划》及国际货币基金组织和世界银行集团联合发布的《巴厘金融科技议程》等。这些文件对我国金融机构搭建金融科技合规和风险管理体系工作都有重要的参考和借鉴意义。 根据金融科技的特性，研究小组建议监管部门在以下几个方面建立健全相关规章制度，推动金融科技在证券行业中的应用。 1.在入口层面建立健全准入体系 “FinTech+证券”业务准入体系分两个层面：第一个层面是参与机构的资格要求。以基于人工智能技术的智能投顾为例，研究小组认为当前在智能投顾准入监管中存在适用对象模糊的问题。从业务本质出发，监管层面可将证券智能投顾的运营商明确为证券智能投顾市场准入制度的适用对象。设置明确具体的准入监管标准，确定审批与备案相结合的监管方式，设置初步审查与持续审查相结合的监管环节，将具体的准入标准在法律上予以明确，使准入监管落到实处。第二个层面是开展智能证券业务的标准要求。具体而言，入口层面监管要素的设计可借鉴的思路如下：一个是系统专业，即系统设计应当客观合理，符合专业逻辑。另一个是目标单纯性要求，即为客户利益服务。以智能投顾为例，系统专业性要求系统设计要尽可能地模拟一位合格证券投资顾问的思维过程，科学、合理、全面地反映用户的投资偏好并提出恰当的建议。基于系统专业性要求，智能投顾在执行层面，一是应当注意问卷设计的合理性，对用户的信息持续跟踪，保证服务的精准性、有效性；二是研发人员应当时刻关注投资理论与市场环境的变化，定期对算法进行升级，不断提升算法的科学性；三是证券智能投顾应当具备预防、发现和应对各种类型网络攻击能力和维护投资者信息安全的保障能力。目标单纯性要求智能投顾业务应当单纯地为其客户的利益服务，不得进行不正当的诱导或者利益输送。基于目标单纯性要求，智能投顾在执行层面，应当针对运营商的牌照持有情况和系统的内在原理、技术局限、关键性假设、模型或算法、可能存在的风险、个人信息保密性等细节问题建立全面的披露制度；同时应当设置严密的内部合规程序，做到交易记录步步留痕，以便损害发生时，能够及时、准确地进行责任追究。 2.在出口层面设立宏观、微观的指标监管体系 对人工智能参与的市场交易活动，监管指标体系设计应包含宏观、微观、服务品质三部分。首先，宏观审慎指标监管是为了维护金融体系的稳定，防范局部应用风险对经济体系的负外部溢出采取的自上而下的监管模式。其次，微观行为监管是对金融交易活动中各类行为主体进行一定程度的规范或限制，防范因市场信息不对称或主观故意侵害客户权益的监管模式。最后，服务品质指标监管是通过对服务品质进行持续监督管理或分级评价，进而建立客户反馈互动机制，推动行业良性自我更新的监管模式。 3.在基础设施层面，建立健全数据采集和隐私保护制度 通过完善数据采集和隐私保护制度来保障信息安全和隐私安全。一是制定人工智能采集信息准则。在信息采集合法性和信息来源者利益不受到损害的基础上，通过制定严格的人工智能信息采集准则，人工智能允许采集信息的种类和强度得以明确，信息采集行为也更加规范。二是开发用户信息加密技术。我国当前在保障用户信息安全方面基础较薄弱，可积极鼓励研发人工智能技术的机构开发用户信息加密技术，以此来达到对隐私的安全保护。 4.完善法律法规和责任边界的认定 通过完善法律法规，提升金融法院在监管中的作用，明晰出口层中违法违规行为的认定。对于监管行为的认定，除了证监会的主要监管外，可以考虑进一步提升金融法院在监管中的作用。如果有金融创新把握不准其合法还是非法的情况，判断的权力可以转交给上海金融法院或北京金融法院等专门金融法院。法院是一个原告、被告以及公共舆论、专家等说理的场域，是一个理性对话的平台，法院所作出的金融创新是合法还是非法的裁决保持中立、公正和理性，从而促进金融市场的发展。 5.探索“沙盒监管”试验区 沙盒监管是指先要划定一个范围，对在“盒子”里面的企业，采取包容审慎的监管措施，同时杜绝将问题扩散到“盒子”外面，属于在可控的范围之内实行容错纠错机制，并由监管部门对运行过程进行全过程监管，以保证测试的安全性并作出最终的评价。沙盒监管可以理解为屏蔽外界干扰的安全控件，允许金融机构在内进行创新和认证，沙盒监管含有大量的企业和消费者数据，可以充分反映市场情况，企业可以根据监管沙盒的数据对产品进行有针对性的完善，可以大大减少金融产品和服务等投放市场的时间。监管沙盒的测试时间一般为3-6个月。沙盒监管最早应用在英国，是英国最具有创新和特色的金融科技监管模式，近年内新加坡、澳大利亚等国家也设立了沙盒型创新中心，帮助金融科技初创企业完成合规性工作。目前我国已经在开始运用，但存在应用范围狭窄，参与企业少及相关机制不完善等问题。 ‍‍ 四、课题总结 随着企业数字化发展进程的加快、券商所面临的合规风险日益严峻和复杂，尤其是针对金融科技的监管政策和规则不明晰，同时面临金融风险和科技风险的双重挑战。在此背景下使用金融科技进行合规管理已逐渐成为券商合规管理未来发展的趋势。通过研究我们了解到，如今云计算、大数据、人工智能以及智能合规系统等金融科技已经嵌入到合规审查、合规监测、合规检查以及合规咨询等全方位的合规管理当中。然而，金融科技的技术存在不完备性和风险不可知性，技术风险往往难以在事前得到直接且精准的识别和消除，需要通过事前引入合规评审机制、事中进行合规监控对技术风险进行监测和修复来避免技术风险的生成、传导和爆发。与此同时，金融科技监管的要求也应通过监管模式和监管制度的创新对技术风险进行有效监管，我们建议遵循从入口层面建立健全准入体系，从出口层面设立宏观、微观的指标监管体系，在基础设施层面建立健全数据采集和隐私保护制度，并探索使用“沙盒监管”试验区的方式确保金融科技的创新应用符合金融安全和金融效率，进而推动金融市场的稳定和发展。 参考文献 [1]巴曙松. 金融监管和合规科技：国际经验与场景应用. 2021. [2]王小丽. 金融科技时代英国监管沙盒对我国互联网金融监管的启示[J]. 哈尔滨师范大学社会科学学报, 2018, 9(5):3. [3]巴曙松, 李静, 朱元倩. 全球监管科技发展经验镜鉴[J]. 2021(2020-18):47-49. [4]李爱君. 《沙盒监管》对我国金融创新监管的启示[J]. 中国品牌, 2017(3):3. [5]袁康. 金融科技的技术风险及其法律治理[J]. 法学评论（双周刊）, 2021(1). [6]胡婕. 国际金融科技监管梳理及趋势研究[J]. 金融言行：杭州金融研修学院学报, 2019(1):4. [7]王小丽. 金融科技时代英国监管沙盒对我国互联网金融监管的启示[J]. 哈尔滨师范大学社会科学学报, 2018, 9(5):3. 课题组信息 牵头单位：平安证券 课题研究专家组成员： 平安证券           胡益民 平安证券           向涛 平安证券           宋辉 平安证券           肖亚男 平安证券           张欣 东亚前海证券   易立荣 华鑫证券           邹冬 长城证券           刘渝敏 长城证券           黄嘉欣 第一创业证券   崔楠楠 第一创业证券   陈婷婷 第一创业证券   许玉莹 艾芒科技           殷昊南 注：排名不分先后。