2021年12月

金融監理科技的核心,其實並不是金融機構

撰文:David Stinson孫維德

2021年的金融監理收穫豐富,銀行服務模式(BaaS)已經讓銀行可以把一些符合相關法規的服務外包給第三方業者,由於各地的需求快速變化,這種新模式讓許多新興的企業可以專門管理相關業務,也因而降低了成本,讓那些非金融機構也可以在自己的平台上提供支付服務。

不過今年也出現了一些沒那麼正面的事情:勒索病毒服務(RaaS)讓許多即使不熟駭客技術的人,也能在黑市上購買服務軟體,對自己想要攻擊的目標勒索指定的金額。勒索病毒服務跟銀行服務一樣,都讓新知識快速跨國傳播,也都讓人們更容易用錢買到自己想要的服務。但勒索病毒服務目前已經危害到台灣的宏碁以及世界各地的許多企業,許多人都認為這種服務的危險比目前以為的還嚴重很多。

在未來幾年,金融監理新科技之間的成本與效益競爭會是很值得關注的議題。所以,亞太經濟合作會議的金融監理官員培訓計畫(APEC-FRTI),就將此訂為今年的線上會議主題,會議由台灣金融研訓院和亞洲開發銀行共同主辦,在11月18日進行會議,由金研院院長黃崇哲開場。與會者指出,有些監理科技的出線是因為提供了新的功能;有些則是反映既有市場的發展需要。

資料傳輸危機四伏

金融資安資訊分享與分析中心(FS-ISAC)的亞太區總監Christophe Barel在會議中簡介資安的整體走向。今年的勒索軟體數量增加了93%,而資安和金融安全密不可分,他認為金融業若要克服這項威脅,就必須比敵人更加攜手合作,尤其是必須更即時跨國分享資訊。「而且亞太地區的監理環境還不夠成熟,分歧也比較多,這區的金融業者要避免被攻擊,就必須直接把相關資訊分享給監理機關。」

Barel指出,駭客攻擊的目標,通常都是不同金融機構之間的連結,所以金融科技公司在管理手中的資料以及選擇合作夥伴時都非常重要。而新創的企業,更是要在發展之初就建立這些能力,但許多企業都無法這麼做,原因往往是人力資源不夠用。

台灣金融研訓院副所長張凱君,在小組討論中指出「網路安全可說是金融科技的基礎」,並簡介了金研院最新推出的金融科技人才認證。雖然銀行、保險、證券業的金融科技,各自需要一些專屬於該領域的知識,但也都需要一些共通的基本技能,例如業務分析、數位產品設計、資料分析、UI╱UX等等。

張副所長表示,金融機構招募金融科技人才時經常碰到門檻,金融業的薪資低於科技業,難以搶到優秀的人才,而且資訊界信奉的「快速行動,打破成規」,剛好跟金融業的因循守舊性格衝突。最後,金融業者經常不懂該怎麼評估科技人才,也不懂該怎麼運用他們的能力,所以需要認證機制來幫忙。

交易資料必須徹底清理乾淨

金管會金融科技發展與創新中心執行秘書胡則華,也在會議上簡介台灣的《金融科技發展路徑報告書》。資料自動回報是金融監理的未來趨勢,而在許多意義上,台灣這方面的發展都已經領先全球。純網銀將是這項變革的關鍵之一,它不僅能讓金融機構檢驗自己開發的新系統,更重要的是可能還能用來檢驗新的資料回報機制。

但這也留下了一個新問題,交易資料如果留在監理機關那裡怎麼辦?勤業顧問公司(Deloitte)就有一份報告提到這件事,我們都把「金融科技」當成金融機構內部工作時使用的科技,把「監理科技」當成金融機構彼此之間,以及金融機構跟監理機關互動時所使用的科技;但對監理機關而言就是法遵科技(Regtech)和監理科技(Suptech)3.0。

根據目前的個別資料逐一回報模式,金融機構每出現一份交易,就會自動回報資料,儲存在一個巨大的倉庫中。但這些資料的維度已經太多,而且以多維度資料集(Cubes)的方式儲存,無法直接閱讀,所以那些負責業務決策的人,通常不會直接分析倉庫中的資料,而是用「資料市集」(Marts)整理出來的簡介決定整體大局。但同一份資料集用不同的方法去分析,就會產生不同意義。

臺灣集中保管結算所副理王浩宇指出,目前的資料回報是一種「義大利麵式的系統」。集保所應該相當了解目前台灣的股票、期貨、票據交易流程的操作細節,這些流程都有各自專屬的結算系統和回報機制,其中有一些報告流程根本疊床架屋,例如台灣大約60家銀行,都必須在不同法律的要求下,把同一份報告交給金管會檢查局的單一報告系統,又交給金管會銀行局的網路報告系統。

王浩宇認為,Suptech就像「鋼鐵人」的「弧型反應爐」一樣,是金融科技的運作心臟。等到資料共享、法規調整、數位基礎建設都陸續到位,Suptech就會變成台灣金融科技的發展核心。

亞洲開發銀行代表Tomo Yamadera針對上述問題也主持了一場富有啟發性的討論。除了上述演講者,台新金控資訊長孫一仕從業界的角度就如何加強產業與政府在網路安全方面的合作進行了資安與監理的議題。

面對新威脅,要未雨綢繆

會議中嘉賓的報告顯示,未來的金融監理將逐漸從被動轉為主動。目前在檢查交易數字的時候,會因為格式沒有統一,而無法及時處理大量的資料,但這未來不再是問題;反而監理未來的工作,不會只是檢查交易數字的比例是否合理,還得面對更多新威脅。目前虛擬貨幣還沒有變成犯罪工具,但隨著新的犯罪商業模式逐漸擴散,未來如何就很難說。

所以亞太地區的監理機關彼此分享經驗與知識,就變得極為重要。台灣升級金融業的過程相當優秀,值得提出來讓其他國家參考學習。(本文作者為台灣金融研訓院特聘外籍研究員;譯者為廖珮杏