有关此范畴的最新发展,请参阅本所于2018年6月5日发布的文章。
作者: Richard Mazzochi, 萧乃莹 和 Urszula McCormack.
2018年2月6日,香港金融管理局("金管局")发布了《虚拟银行的认可》指引修订本("《指引》")。该《指引》列出了金管局在决定是否认可虚拟银行在港开展银行业务时所考虑的原则。
为了推动香港迈向智慧银行新纪元,金管局曾公布了一系列措施和倡议,其中之一就是在香港引入虚拟银行。《指引》中多处使用"欢迎"虚拟银行的字眼即充分证明了这一点。公开征求意见期间截止于2018年3月15日。此后,金管局将考虑在此期间收到的意见,并于2018年5月发布新指引的最终版本。
与此同时,金管局也陆续收到关于虚拟银行的认可申请。金杜一方面正在协助银行业向金管局反馈意见,另一方面也正与创新者探讨下一步行动。
什么是虚拟银行?
"虚拟银行" 的定义是:主要通过互联网或其他形式的电子渠道而非实体分行提供零售银行服务的银行。
虚拟银行将为香港银行业带来什么价值?
设立虚拟银行的主要要求
金管局在《指引》中确认,2000年发布的《虚拟银行的认可》指引("原《指引》")中的部分原则仍继续适用于相关事项。此外,本次还对《指引》进行了更新和完善,以反映重大革新并适应新的市场变化。
这些要求主要包括如下方面:
下表列出虚拟银行申请人("申请人")和被认可的虚拟银行须遵守的主要要求。原《指引》与新《指引》详细的对比载于本文附表中。
| 要求 | 《指引》项下的原则 |
| 必须达到所有最低准则 | 这并非宽松或低干涉型的规定。 申请人必须同所有的持牌银行一样,应遵守《银行业条例》("条例")附表7所载之认可的最低准则。 更重要的是,申请人不能仅将利用流行新技术的提议停留在"概念"层面。此外,申请人还须确保安排适当人员担任控权人、董事和执行官,达到令金管局满意的水平。 |
| 对香港的价值 | 必须给香港客户带来价值。 要为行业带来价值,虚拟银行必须:
|
| 在香港设立,强有力的所有权结构 | 要求在本地设立——但对所有权的要求更为灵活 虚拟银行应以本地设立银行的形式经营。 金融机构(包括现有银行)和非金融机构(包括科技公司)可申请拥有和经营虚拟银行。 具体来说,申请人可以:
|
| 持续监管 | 董事和管理层必须拥有相关知识和经验 虚拟银行应遵守适用于传统银行的相同监管要求,并在此基础上有所调整。例如,虚拟银行的董事会和高管应拥有有效履职所必需的知识和经验。 |
| 不需要开设分行,但需有实体办事处 | 并非完全存在于网络空间…… 一家虚拟银行:
|
| 技术风险 | 有力的网络恢复力技术 申请人须委托有资质的独立专家对其计算机硬件、系统、安全、流程和控制出具独立评估报告。 采用的安全和技术控制措施应当适合相应目的(即适当)。虚拟银行同样应当建立相关程序,定期审查其安全和技术安排以应对技术的持续发展。 |
| 风险管理 | 必须包括所有基本风险 虚拟银行必须管理所有八种基本风险,涵盖信用、利率、市场、流动性、运营、声誉、法律和战略方面的风险,这是最低要求。 |
| 可信且可行的业务计划 |
是否具有实际可行性? 申请人必须有可信且可行的业务计划:
|
| 退出策略 |
做好最坏的打算 申请人必须提供退出计划,以确保必要时能够有序结束业务,而不会影响客户和扰乱金融秩序。 |
| 公平交易 | 适用公平交易规则 虚拟银行必须公平地对待其客户,并严格遵守下述行业指引:
|
| 客户条款 | 清晰、公平的条款 客户条款和条件必须规定银行与客户之间各自的权利和义务,并对银行和客户二者做到公平公正。 条款和条件应当强调银行与客户之间将如何分担安全漏洞、系统故障或人工错误造成的损失。 |
| 外包 | 适用严格的标准 重大外包必须得到有效批准并遵守金管局《监管政策手册》外包章节(SA-2)中的原则。 尤其须满足金管局的下述要求:
|
| 资本充足 | 资本和流动性必不可少 虚拟银行必须维持与其经营性质和所承担的风险相称的充足资本。在这方面,应与传统银行一样遵守相同的要求。 |
何时、如何申请认可?
金管局现正接受虚拟银行的认可申请。《指引》(尽管仍征求意见环节)将指导金管局对申请的评估。
流程通常如下:
自提交申请之日,取决于各项申请的具体情况(包括向金管局提交的信息是否完整以及文件的质量(包括内控政策和独立评估报告)),整体申请进程耗时应少于一年。对海外申请人而言,申请人自身的银行监管机构(或其他监管机构)答复金管局询问的耗时也将影响申请的处理时间。
如何使用虚拟银行?
虚拟银行应遵守适用于传统银行相同的监管要求,包括《打击洗钱及恐怖分子资金筹集(金融机构)条例》("AMLO")要求进行的客户尽职调查和金管局的相关指导意见。
香港反洗钱/恐怖分子筹集法律大部分在技术上是中立的。尤其是,虽然AMLO提出了很高的要求,但并未具体规定银行应如何遵守这些要求或者应使用(或不使用)何种媒介来遵守这些要求。
技术应用对于处理虚拟的客户引入工作大有帮助,可在客户无法亲自到场开户(一种高风险情形)时提供替代方法,也有助于随时验证。当然,技术可能会增加、减少银行面临的风险或改变风险的性质。
许多银行(特别是金融科技银行)已采用一些技术手段和其他方法进行客户尽职调查,包括:
- 实时视频设备;
- 生物识别,包括用于验证的人脸识别、指纹和声波识别;
- 集中数据库和账本,包括基于分布式账本技术/区块链的平台;及
- 其他核实和自动确认协议,如必须核实的独特二维码和特殊扫描仪。
这些技术均须进行适当的审查和控制。例如,实时视频设备的质量必须满足其服务目的,除此之处无需赘述。对于通常涉及敏感数据的生物识别技术,也需要慎重考虑数据保护问题。
如何在网络上签署文件?
《电子交易条例》(第553章)("ETO")在法律上承认电子合同。
具体规定如下:
(a) 凡使用电子记录成立任何合约,不得仅因以电子记录作此用而否定合约的有效性及可强制执行性;[1]及
(b) 在合约成立方面,凡要约或承约全部或部分以电子记录形式表示,则不得仅因某与该电子记录相连或在逻辑上相联的电子签署是电子签署而否定该电子签署的法律效力。[2]
这意味着,除特定例外和条件以外,虚拟银行和其客户可以以电子形式缔结合同,前提是满足电子记录和电子签名的要求,且不存在其他影响合同效力或可执行性的要素。
虚拟银行将主要通过互联网和其他电子方法与客户进行互动,大多数交易将以电子方式进行。这并非史无前例——许多银行与客户的互动大部分已经采取电子形式了。很多银行计划增加数字化应用。
但是,仅依赖ETO规定是不够的。列明将要涉及的具体文件至关重要,因为出于法律或监管原因,一些文件协议要求"亲手书写"(实体签名)并采取额外措施。例如:
- 例外文件——ETO附表1明确将信托文件和授权书、要求盖章的文书、宣誓书和转让文件等一系列文件排除于电子交易的适用范围;
- 监管要求——在特定情形下和针对特定产品,监管机关通常要求在处理电子文件和合同之前,进行某些披露、作出同意和/或采取措施。例如以电子方式进行的公开发售和与弱势客户交易的情形;
- 验证机制和电子签名机制——特定的验证机制和电子签名机制(包括生物识别工具和应用DocuSign等第三方服务)通常要求纳入额外条款,还需慎重考虑外包、数据隐私和网络安全问题;及
- 诈骗控制——按惯例某些文件(如契约)需由他人见证。这对电子合同而言可能是个问题(虽然并非不可能完成)。
在实践中,通过有力的法律和监管结构建议、服务供应商尽职调查、完备的客户登记记录,以及金管局和其他监管机构的适时参与可以解决这一问题。
隐私问题和跨境数据传输
虚拟银行在收集、存储和使用个人信息时也会遇到隐私问题。虚拟银行须遵守《个人资料(私隐)条例》和《银行营运守则》有关处理客户个人数据的各种规定。
数据包括以电子方式收集的信息。即使信息已经加密,依据外包安排或使用云端技术在香港之外进行的数据使用和传输可能涉及跨境数据流动,且要求仔细评估监管和网络安全要求。
虚拟银行必须在收集个人数据时进行必要的披露(且任何直接营销必须获得客户同意)。最佳的做法是:未经客户同意,虚拟银行在香港所收集、持有、处理或使用的个人数据不应转移至香港之外的任何地方。
能否在内地和香港经营虚拟银行?
可以,但两地的法律均适用。中国内地有大型虚拟银行营业,拥有庞大的客户群体。我们认为这些平台希望在香港寻求开拓的机会。
内地目前没有监管虚拟银行的具体规定或指导意见。虚拟银行通常须遵守适用于传统银行的相同法律法规。但是,作为推动金融创新的政策一部分,中国内地存在多种银行业务模式,与虚拟银行或微众银行和网商银行等"直销银行"[3]具有相似的经营形式。
中国人民银行("央行")[4]监管银行业的办法之一是依据客户接受服务模式将银行账户服务分为不同类型。例如,根据提供的服务类型和涉及的交易金额,中国的银行须受到不同程度的限制:
| 银行账户类型 | 限制 |
| Ⅰ类 |
传统银行服务模式——客户可接受所有类型的银行服务 |
| Ⅱ类 |
结合传统柜台和虚拟银行服务的模式——客户可通过关联现有的I类银行账户接受服务 |
| Ⅲ类 | 纯虚拟银行服务模式——完全可通过虚拟在线过程引入此类银行账户的客户可。客户通过III类银行账户进行交易、支付和存款余额的金额上限很低。III类银行账户的主要目的是方便支付小额多次的日常花费 |
同样,跨境客户数据共享须遵守中国网络安全法和数据隐私法。
我们认为香港和内地的有关机构应密切合作,共同推动虚拟银行的运营(包括面对内地的资本管制带来的挑战)。
公平的竞争环境?
《指引》为创新金融平台,尤其是那些具有较强的在线支付和交易技术的专业平台指明了清晰的道路,也同时也将对传统银行业模式提出挑战。有意向的机构包括已经开展虚拟服务和无现金交易的存量支付平台。
但传统银行也会利用这一契机,因为这会提高客户引进和提供服务的效率。
需要阐明的是,虚拟银行牌照对于银行牌照而言并非另辟蹊径。虚拟银行仍然需要确保资本非常充足,企业管理得力。虚拟银行还要为香港做出贡献并带来价值,尤其是在零售业和中小企业市场中。虚拟和传统银行模式的主要区别就是提供服务的方式不同。竞争环境是公平的——监管环境亦然。
金杜设有专门的团队处理虚拟银行业务。我们期盼与客户合作开展相关业务。如果您有任何问题,请随时联系我们。
谨此感谢金杜团队成员对本文的贡献。
附表1 -
金管局原《指引》和近期《指引》的主要区别
下文详细比较了原《指引》和近期发布的《指引》。近期《指引》中新增的主要信息标记为绿色,从原《指引》中删除的主要信息标记为红色。如果对现行原则进行了少量修改,则合为一列。
| 要求 | 现行原则(原《指引》) | 新原则(近期《指引》) |
| 一 |
金管局不反对在香港设立虚拟银行,前提是设立的虚拟银行须满足相关准则。 |
金局管欢迎在港设立虚拟银行。 |
| 在考虑是否批准或拒绝认可申请时,需要满足《条例》附表7中金管局认可的最低准则,尤其是《条例》第16(10)条的准则。 |
||
| 一家公司在申请设立虚拟银行时,满足的最低准则即指虚拟银行必须实际存在,而不仅仅是利用互联网新技术风行的"概念"。 申请人必须有详细计划具有可信的业务计划,列出打算如何进行业务和拟议如何持续遵守认可准则。 |
||
| 虚拟银行在提供银行服务时应当积极促进普惠金融。虽然无须设立实体分行,虚拟银行应尽力照顾其目标客户的需求,无论客户是个人还是中小企业。虚拟银行不得对客户有最低账户余额要求或就低余额加收账户管理费的要求。 | ||
| 在技术和相关风险之外,虚拟银行必须对信用、流动性和利率风险的管理予以同等重视。此外,必须满足金管局对申请人任用适当控权人、董事和执行官的要求。 |
||
| 所有权 |
虚拟银行应以本地设立银行的形式运营。 |
|
| 设立于香港的虚拟银行至少50%的所有权应由一家经营状况良好的银行或在金融业界声誉良好并有相应经验的其他受监管金融机构持有。 删除以下原则: 1. 关于与非银行合资及主席的任命/投票;和 2. 关于母行(或同等机构)监管虚拟银行业务和提供财务支持的具体责任。 |
金管局政策规定持有在港设立的银行超过50%股本的人士应为声誉良好的银行或金融机构,并受到香港或别处认可机关的监管。 如果在本地设立的申请人并非由此类银行或金融机构所有,金管局要求申请人通过一家设立于香港的控股公司所持有,附带监管条件。 需要满足的条件包括有关充足资本、风险管理和向金管局提交财务和其他信息等方面的监管要求。 金融机构(包括香港现有的银行)和非金融机构(包括科技公司)均可申请在港拥有和经营虚拟银行。 |
|
| 虚拟银行的所有权尤其重要,因为虚拟银行通常是新设企业,在经营的头几年面临的风险更高,背后须有强大的母行提供管理、财务和技术支持。 | ||
| 持续监管 |
虚拟银行应遵守适用于传统银行的相同监管要求,并在此基础上调整。例如,虚拟银行的董事会和高管应拥有有效履职所必需的知识和经验。 | |
| 实体办事处 |
如获认可,申请人必须在香港有实体办事处,作为在此地的主要营业地。例如,有了这样的办公室,客户能够亲自到场进行咨询或投诉,并使得银行在必要时核实客户身份。 | |
| 虚拟银行可设立一家或多家分行不必设立实体分行。在遵守《条例》第45A条通知要求的前提下,可设立一家或多家本地办公室。为方便金管局进行《条例》第55条规定的审查及调查,虚拟银行必须在香港保留完整的账簿、账目和交易记录。 | ||
| 技术风险 |
在这方面,申请人会被要求委托有资质的独立专家对其计算机硬件、系统、安全、流程和控制措施出具独立评估报告。向金管局提交申请文件时应同时提供该报告的一份副本。银行同样应当建立相关程序,定期审查其安全和技术安排,以确保这些安排始终适用于持续发展的技术。 |
|
| 风险管理 |
虚拟银行必须理解其面临的各类风险,并采用适当机制识别、衡量、监督和控制这些风险。虚拟银行应当清楚,由于其业务性质,某些类型的风险(如流动性、运营、声誉风险)可能加剧。 申请人必须全面梳理所有八种基本风险,涵盖信用、利率、市场、流动性、运营、声誉、法律和战略方面的风险,这是最低要求。 |
|
| 业务计划 |
虚拟银行必须提交可信且可行的业务计划,在获得市场份额和以资产和股权赚取合理回报之间达到适当的平衡。 |
|
| 虽然金管局不干涉各个机构的商业决定,但金管局会关注虚拟银行是否缺乏可信的中期盈利计划,而以在经营的头几年严重亏损为代价,冒进地占有市场份额。掠夺性策略会破坏银行业的稳定,并削弱大众对银行的信心。无论如何,虚拟银行不应快速业务扩张,以致其系统和风险管理能力承受过度的压力。. | ||
| 退出计划 |
由于虚拟银行在香港是一种新的业务模式,金管局会要求申请人提供退出计划,以防其业务模式最终失败。退出计划的目的是确保虚拟银行在必要时能够有序结束业务,不会影响客户和扰乱金融秩序。 |
|
| 客户保护 |
虚拟银行应当公平地对待其客户,并严格遵守《公平待客约章》。应当遵守香港银行公会和存款公司公会发布的《银行营运守则》中规定的标准。虚拟银行必须在其条款和条件中明确规定银行与客户之间各自的权利和义务。条款和条件必须对银行和客户二者做到公平公正。必须告知客户在使用虚拟银行服务时维护安全的责任,以及未能维护安全时的潜在责任。尤其是,条款和条件应当强调银行和客户之间将如何分担安全漏洞、系统故障或人工错误造成的损失。. | |
| 在这方面,金管局认为,除非客户有欺诈行为或重大疏忽,如未能妥善保护访问电子银行服务的个人设备或密码,否则客户不应承担通过其账户进行未授权交易所造成的任何直接损失。 |
||
| 外包 |
金管局原则上不反对虚拟银行向第三方服务供应商外包计算机或业务经营,第三方供应商不一定归持有虚拟银行的集团所有。虚拟银行应提前与金管局讨论其重大外包的相应计划。虚拟银行应表明会遵守《监管政策手册》"外包"章节(SA-2)中的原则。特别是,必须满足金管局的以下要求:外包的 |
|
| 资本要求 |
虚拟银行需要维持最低为3亿港元的股本(包括全部缴清的股本和股本溢价账户余额)。对于在香港之外设立的虚拟银行,资本要求适用于整个机构。 |
虚拟银行必须维持与其经营性质和所承担的银行风险相称的充足资本。 |
[1] "直销银行"指主要通过在线平台经营和提供服务的银行模式。
[2] 央行是中国的银行创新和虚拟银行项目的牵头监管机构。
[3] ETO第17(2)条。
[4] ETO第17(2A)条。
