为避免互联网金融实践多、理论少带来的风险，全球各国发展金融科技都遵循安全发展的理念，高度重视理论研究。中国人民银行在2019年发布《金融科技（FinTech）发展规划（2019-2021年）》，明确提出要遵循安全发展的要求，开展顶层设计和规划。

中国人民银行金融科技委员会结合我国实际，借鉴巴塞尔协议等国际监管框架，设计包容审慎创新试错容错机制，组织开展金融科技创新监管试点。在总结试点经验基础上，制定了30多项监管规则，开发了统一的管理服务平台，编制形成白皮书，推出符合我国国情、与国际接轨的创新监管工具。

同期，人民银行发布《金融科技创新应用测试规范》、《金融科技创新安全通用规范》、《金融科技创新风险监控》三项金融科技创新规范，支撑金融科技创新监管。

中国金融科技创新监管的理念，是破解“一管就死、一放就乱”的困局，提高监管适用性；摒弃“一刀切”简单模式，增强监管包容性；引入“多元联动”，公众监督机制，提升监管有效性；设置创新“刚性门槛”，强调监管审慎性。

在监管框架的设计思路方面，一是划定刚性底线，以现行法律法规、部门规章、基础规范性文件等为准绳，明确守正创新红线；二是设置柔性边界，运用信息披露、公众监管等柔性监管方式，营造适度宽松的发展环境；三是在守住安全底线基础上，给真正有价值的创新预留空间。

金融科技创新规范以《金融科技创新应用测试规范》为主线，三个规范之间互相关联：

一是依据《金融科技创新安全通用规范》开展事前评估工作，依据《金融科技创新风险监控规范》开展事中监控工作，防范金融科技风险。

二是通过金融科技创新应用测试，帮助金融机构创新机构不断完善自己的产品，逐步形成可复制、可推广的经验。

三是结合金融科技创新应用的特性，逐步出台新的金融科技标准，促进金融科技产品标准化。

金融科技创新三项规范适用于金融机构和科技公司、安全评估机构、风险监测机构、自律组织。金融机构和科技公司进行创新，接受安全评估机构的事前评估和风险监测机构的事中监测，并通过自律组织开展行业自律。

《金融科技创新应用测试规范》（JR/T 0198-2020）规定了金融科技创新应用测试的基本流程和相关要求，主要包括测试声明、测试运行、测试结束等3部分要求。

一、测试声明要求。规定了在金融领域创新应用申报提交阶段所需符合的要求，声明方式、声明流程等。金融科技创新首先要履行自我声明的义务，审视自身的功能和服务，明确创新的必要性和可行性，对关键技术的使用进行安全控制，对消费者的权益保护和风险防控措施等要素。

二、测试运行要求。规定了对测试运行中创新应用的风险监控、处置和投诉建议处理要求。切实保障“入盒”项目风险可控和保障金融消费者合法权益。

三、测试结束要求。规定了创新应用测试结束时测试评价的内容与方式，以及测试成功、测试退出的要求。确保符合测试通过条件的项目能按照流程结束创新测试。

《金融科技创新安全通用规范》（JR/T 0199-2020）主要包括八方面安全要求：

一、交易安全。金融最重要的过程就是资金的流转，无论是支付交易还是理财交易，都是金融科技创新中的热门。在交易过程中，要进行有效地交易验证和交易确认，通过智能化的方式开展交易监控。

二、服务质量。关注金融科技创新应用过程中关注于对金融消费者的服务能力。

三、业务连续性。业务连续性更多关注于金融科技创新机构的业务稳定运行水平。

四、算法安全。规范从算法的设计、算法的可解释性、算法的可追溯性以及算法的攻击防护这四个方面提出相关要求，保障金融科技创新安全性。

五、架构安全。云计算和区块链等不同架构，都深刻改变金融科技安全现状。采用相关架构时，应满足金融行业相关标准要求。

六、数据安全。首先是关注数据质量，保障数据的真实性和有效性，才能有效服务数字金融；其次是个人金融信息保护，要在遵循个人金融信息保护安全要求的基础上开展业务，保护金融消费者的合法权益。

七、网络安全。规范在网络安全等级保护的基础上，强化了漏洞管理、攻击防护和事件处置三方面能力要求。同时，关注了物联网给金融网络带来的变化风险。提出了防范外部仿冒钓鱼等风险的要求。

八、内控管理。主要包括技术管理、风险识别和内控保障。既提出了新技术选型、新技术研发以及新技术应用三方面流程化的要求，又高度关注技术复杂性与金融业务复杂性之间的关系，提出了一系列组织机构协调等保障措施。

JR/T 0199-2020《金融科技创新风险监控规范》重点提出了风险监控的基本框架。

一、风险监控技术。采用机构报送、接口采集的方式，又有外部自动化探测、人工核验，连接不同安全渠道进行信息共享，通过行业协会收集意见、投诉数据，对网络舆情进行感知，构建我们风险监控的方法。

二、风险监控对象。包括最主流的金融服务APP、面向未来以开放银行为代表的API和SDK，以及后端多种多样业务系统的监控。

三、风险监控指标。建立了从信息保护交易安全、业务连续性、服务质量、技术使用、内控管理、网络安全，意见投诉和公开舆情等方面的指标。不同的监控指标，既有与《安全通用规范》联动的指标，又有根据应用运行情况变化所设计的动态指标。

四、风险监控流程。分为4个阶段，通过不同的监控手段去采集数据，结合我们现有的业务规则、安全要求、漏洞库、风险库开展数据分析、风险识别，对需要关注的风险及时通报和预警，最后完成风险的处置。

结合金融科技创新监管，《金融科技创新监管工具》白皮书提出三个创新辅导方法，可用于识别金融科技创新风险。

第一是合作关系分析法。无论金融机构还是科技公司，在创新过程中，存在多方参与，技术供应链长的现象，关系非常复杂。有的机构只是提供产品，有的机构存在一定的运营角色。通过分析合作关系，能更精准地识别这种风险的暴露点是在产品上还是在运营上。

第二是数据流式分析法。数据已经成为我们金融服务的一个核心的要素，大多数创新都涉及数据的应用。分析数据走向，掌握个人金融信息的保护情况和机构之间的数据责任，对识别金融创新的风险也是非常重要的。

第三是资金链式分析法。金融交易过程中的资金流转，体现了金融业务的本质。通过资金链式的分析，更注意识别、认清金融科技创新的原始样貌，对于有效控制金融科技创新的边界，坚守持牌经营原则非常有帮助。

三个方法对金融机构以及科技公司在未来参与金融科技创新，做有效的自我安全认定是重要措施。

金融科技创新应遵循《金融科技创新应用测试规范》、《金融科技创新安全通用规范》、《金融科技创新风险监控规范》要求，保障金融科技创新安全发展。