香港证监会6月23日公告,因国信证券(香港)经纪有限公司(下称国信香港)前负责人员、董事兼交易部主管朱丽华在处理第三者存款时违规,禁止其重投业界12个月,由2020年6月23日起至2021年6月22日止。 香港证监会指出,该公司于2014年11月至2015年12月期间,在处理第三者存款时违反了打击洗钱及恐怖分子资金筹集的监管规定。而公司的违规行为可归因于朱丽华没有履行其作为负责人员及国信高级管理人员的职责。 调查指出,国信香港有职员于2013年向包括朱丽华在内的高级管理层提出,该公司对第三者存款的内部监控存在缺失。然而,朱丽华却认为该事与她无关,亦没有采取任何步骤来确保有关缺失已被纠正。朱丽华知而不行,使国信香港于关键时间内没有在打击洗钱及恐怖分子资金筹集方面制定充分的内部监控措施。 除对第三者存款所涉及的洗钱及恐怖分子资金筹集风险视而不见外,朱丽华身为开户申请的批核人之一,也没有确保公司职员遵从有关客户洗钱及恐怖分子资金筹集风险的评估程序,即没有按照公司的合规手册所规定将有关过程记录在案。 香港证监会认为,朱丽华的行为并不符合其作为持牌法团负责人员所须达到的标准。考虑到国信香港的监管违规情况严重,不过朱丽华此前并无遭受纪律处分的记录,香港证监会作出上述纪律处分决定。
无论哪一种方案,香港政府都有必要效仿美联储,对未来房价走势和已经采取的多重“辣招”(即针对非永久居民购房征收15%买家印花税,针对购买第二套住房的征收15%的双倍印花税,以及针对三年内卖出按购入年份征收不同税率的额外印花税)进行“前瞻指引”,制定明确的“加辣”、“减辣”和“撤辣”的计划,以引导购房者的合理预期,避免在不恰当的时机调整“辣招”带来的民意压力。 核心观点速读: 1、在珠海桂山岛填海建屋,可以避开香港缓慢繁琐的觅地、填海、建屋程序;有望在7年内为50万香港人提供住房,并可能改变“明日大屿”计划的建造规模; 2、单独的桂山岛方案,将部分影响大屿山的房地产市场,但不至于对香港房地产市场带来明显冲击;假如桂山岛方案整合葵涌的货柜码头,则影响会扩大到香港九龙和新界西部的房地产市场。 3、无论桂山岛方案,还是回归香港政府的填海建屋计划,或者思维突破下的新方案,都需细心谨慎规划,特别要避免在下一轮经济和金融危机发生时,对房地产市场产生叠加影响。 周日父亲节,我们一家人到好友在香港离岛大屿山的家中相聚,然后一起到附近的长沙泳滩(全长三公里,水清沙细,是香港最长的泳滩)畅游。我们本来原计划上一个周日家庭聚会的,但因为台风警报而推迟了一周,实际上当天台风并没有直接吹袭香港。 女儿勇气不小,除了海泳,还玩起了皮划艇。倒是平时喜欢玩水的儿子,这次居然连脚都懒得触碰海水,只以挖沙为乐。 周一傍晚下班前,突然看到香港媒体引述建制派消息报道,中央正在研究以创新手法助港解决困扰已久的住屋问题,在大屿山以南、珠海市的桂山岛填海,然后租借给香港建造房屋,包括兴建大量公屋以供50万人居住。参考“横琴模式”,在当地实施香港法律并由香港特区管辖,并筹划发展。 “横琴模式”就是中央授权澳门特区,对横琴口岸澳方口岸区及相关延伸区,依照澳门特区法律实施管辖,直至2049年。 这个消息,和5月21日人大常委会将制定“港区国安法”的消息一样,既让人意外,又不那么意外。 港区人大代表,香港工会联合会(简称“工联会”,建制派第二大政党)荣誉会长郑耀堂曾经在2018年和2020年两次建议,在中央政府支持下,香港向惠州、珠海、中山等城市租地,兴建港式新市镇,并效仿横琴模式,让香港拥有其行政管理权或高度自治权,全面实行香港法律、税制等,成为香港的第19个区。 我在《浅析港区国安法对香港经济和金融中心的影响》演讲中也提到,港区国安法的推出本身就非常有利于香港经济的长远稳定发展,中央也一定会同步推出促进香港经济繁荣,解决深层次矛盾的新政策。实际上,中央负责港澳事务的官员已经在5月底表示将在国安法通过后,帮助香港处理困扰多年的土地房屋问题。 但桂山岛方案还是比我预计的要快很多,而且我想桂山岛是一个让大多数人都没听说过的地名。桂山岛位于珠海水域,现时面积为10平方公里。距离大屿山以南约3海里,估计约30分钟至45分钟高速船程,即可到达香港中环及尖沙咀核心商业区。 从地图上看,我们昨天在沙滩上拍摄的各种照片都无法直接覆盖到桂山岛,我儿子照片头部背景的海岛应该位于香港水域边界以内,他们的面积小于桂山岛。 为什么是桂山岛? 不过,在香港水域边界内的南丫岛面积13.85平方公里,目前岛上居住约6000人,高速船距离中环约25分钟,应该是修建房屋更适合的选择。 不过,这个计划目前看来还没有任何进展。香港小政府模式下,政府工程的规划和实际建成之间往往有着20-30年的间隔。以广深港高铁香港段为例,长度26公里,2005年具体规划后,计划2015年建成,实际建成通车日是2018年9月23日。 在香港,这已经算是完工速度较快的工程。比这慢得多的政府工程比比皆是,例如西九龙文化区建设,启德机场发展计划,都有10多年都看不到明显进展的记录。 即使是私营地产发展商主导的建设,也不乏速度缓慢的例子。下图白色的建筑是尖沙咀的地标住宅“名铸”,2009年发售,由新世界发展和市区重建局合作开发,在老百姓看来,这样的建筑从开工到完工也就2年左右的时间。 看到建筑师的访谈,我才知道名铸由规划到落成一共用了20年,背后涉及屏风楼议题,绿化程序,休憩空间,古树去向,建筑师修改设计方案70次。事实上,他们负责的建筑工程几乎都要10多年完成,在外人看来,建筑师的工作成就非凡,他们自己就感受不到乐趣。 数据上,香港土地面积为1106.34平方公里,当中已发展的土地仅占四分一,约276.6平方公里;郊野公园和自然保护区则占4成,而用作住宅用途的土地则只占整体土地7%。值得一提的是,香港土地面积有6%来自于填海造地。 虽然只需要从郊野公园和自然保护区划出2.3%的土地,就可以获得和桂山岛一样10平方公里的土地,但这件事情就是一件不可能完成的任务。香港土地和房屋问题是一本天书,大家能够想到的地产商和有产者利益,环保主义者的诉求,但未必能够想到即使有了地,建房子,建交通配套的时间也要10-20年。 政府在《香港2030+》报告指出,香港长远需要增加约4,800公顷的土地供应,而现在的发展计划只能提供约3,600公顷土地,仍差约1,200公顷。 2018年政府提出的“明日大屿”发展建设计划,建议在香港岛和大屿山中间的水域建造多个人工岛,总面积约1,700公顷,耗资约5000亿港元(后更新估计为6240亿),在未来20年可以为70-110万人提供住所。 计划提出后立刻引起全港大辩论,客观评估,反对声音更大。其中占主导的意见是香港并不缺乏土地,只是没有好好利用,与其打海洋的主意,不如挖掘现有土地资源。下图就有三个建议。 至于“明日大屿”的进展,政府今年如果能够从立法会获得前期总共7.8亿港元的研究经费,并且分别在未来30个月和42个月完成两项研究,就算取得重大突破。剩下的难度就不用再以任何文字去形容了。 看明白这些,就知道桂山岛之所以成为候选目标,源于其面积大小合适,是距离香港最近的岛,又恰好在香港水域边界之外,可以避开香港社会各种力量的反对声音。 实际上,相比工联会目标地点模糊的建议,新民党主席叶刘淑仪在2018年就倡议港府应向中央政府申请在内地水域填海,并认为于大屿山以南、珠海市桂山岛填海最为合适。该党指,若以桂山岛作为填海工程基础,估计可为香港在5年内增加约2,000公顷土地供应,供50万人居住。叶刘建议应在当地实行普通法,并可整合葵涌货柜码头用地,释放空间用作建屋。 不仅如此,今年两会期间,不少港区人大代表和政协委员向中央提出了包括房屋土地方面的挺港建议。其中,建制派第一大党民主建港协进联盟(简称“民建联”)也建议在珠海市桂山岛填海建造香港城,并将相关土地一并租予香港,租期可考虑较长的时段例如50年,并加入续期机制。 该党认为岛上未发展的以西海域,属浅水区,适合用作填海。根据初步估算,浅水区可提供额外至少1,000公顷土地,足以进行具规模的规划及发展,若将两成土地用于住宅用途,将可提供16万至20万个单位,甚至可能解决50-80万人口的居住,可望大大纾缓本港房屋问题。 昨晚传出中央研究桂山岛方案,如果中央下定决心,我估计正式宣布的时间会在下任特首2022年上任之际宣布,考虑到国内无与伦比的建设速度,桂山岛计划可能在2027年之前就能完成建设目标。独家报道的媒体“香港01”上的读者评价非常正面,但我今日看到YouTube一则相关新闻下面则是反对声音为主。 桂山岛方案的利弊 桂山岛方案的有利之处很明显,就是可以在较快的时间解决香港50-80万人的居住问题,甚至可以较大程度替代“明日大屿”计划。 现在香港轮候公屋的人口约25-26万,申请居屋的人口约32万,预计到2043年前这部分人口数量都会保持稳定,之后开始减少。 香港2023至2058年人口預測(单位:百万) 桂山岛方案的不利之处也很明显,第一,桂山岛距离市区中环和尖沙咀等核心商业区较远,高速喷气船需要30-45分钟的时间(这比从桂山岛坐高速船到大屿山东涌地铁站,再前往核心商业区需要的时间更短),再转往非核心地区的工作地点可能还需要20-30分钟时间,可以说很不方便,实际上在核心商业区工作的人往往居住在30分钟路程之内。 从桂山岛建设一条连接大屿山东涌地铁站的海底地铁隧道,工程将会相当耗时,成本巨大,相对于高速船的优势不大,更可能的是建设连接大屿山和桂山岛的大桥,提供巴士服务(目前香港离岛住宅区均限制私家车出入)。 而明日大屿方案虽然建成时间稍长,但人工岛到核心商业区的时间会缩短三分之二。 第二,桂山岛计划会对临近的大屿山房地产市场(东涌,愉景湾等地)造成明显的冲击。原本东涌和愉景湾房地产市场就高度依赖在机场和迪士尼乐园工作的人口,今年因为疫情就遭受了程度超过其他各区的冲击。不过,单独的桂山岛计划应该不至于对香港其他地区产生明显冲击。 如果桂山岛计划还整合货柜生意,以替代葵涌货柜码头,释放出土地建屋,则会额外对九龙和新界西部(从马湾,青衣,到荃湾,再上到新界元朗,下到西九龙)的房地产市场产生冲击,并且会辐射到九龙和新界东部以及香港岛。 当然,这些利弊比较需要更加详细的数字分析。如果采取桂山岛方案,自然也会设法降低其弊端。 有了比较,反而可以体现出在市区内挖掘原有土地资源的重要性。实际上,《香港2030+》分析的1200公顷土地短缺,并非不能够在市区内弥补。例如,有地铁爱好者建议从南港岛线的海逸半岛站延伸修建地铁到南丫岛,就可以扩大南丫岛的发展计划,足够50万人居住。 在我看来,南丫岛方案明显好于桂山岛填海建屋,也可能好于“明日大屿”计划。我相信过去反对港府建屋计划的人,看到桂山岛方案,也会重新考虑利弊。 未来香港房地产市场的格局 无论哪种方案,远水不解近渴。香港房地产市场仍然可能保持今年四月底开始的反弹趋势,中原地产领先指数已经抹去疫情造成的冲击,回到了2019年11月底的水平。在全球零利率仍将长期持续的环境下,香港房地产继续上涨的概率更大,尽管上涨的速度可能会变慢。 尽管一些指标显示香港房地产的价格远远超过普通人的负担水平,以房价收入比比衡量的“泡沫”程度全球第一,但换成另外一些指标,例如房租收益率,香港可能比国内一线城市的“泡沫”程度还要低一些。 类似的,美股以传统的市盈率,市净率指标衡量处于历史的估值高点,高于绝大部分国家,但换成以国债收益率,或者货币增速来折算估值,那么美股也并没有超越历史的高位。 无论哪一种方案,都需要考虑如果遇到下一次经济和金融危机爆发时,如何降低填海建屋计划对房地产市场叠加的冲击,避免重蹈前特首董建华执政时期“八万五建屋计划”叠加“东亚金融危机”的覆辙。 假如当时采取暂停“八万五”,并在危机过后重启建设,今天香港的房屋问题恐怕大不相同。而当年实际采取的是彻底放弃“八万五”,续任特首曾荫权在危机过后的五年里仍然停止土地供应,造成今天难以挽回的施政失误。 无论哪一种方案,香港政府都有必要效仿美联储,对未来房价走势和已经采取的多重“辣招”(即针对非永久居民购房征收15%买家印花税,针对购买第二套住房的征收15%的双倍印花税,以及针对三年内卖出按购入年份征收不同税率的额外印花税)进行“前瞻指引”,制定明确的“加辣”、“减辣”和“撤辣”的计划,以引导购房者的合理预期,避免在不恰当的时机调整“辣招”带来的民意压力。 无论哪一种方案,都应该留意香港最深层的矛盾并非住房问题。我在香港生活12年,耳闻目睹就是香港住房问题引发的矛盾虽然严重,但从来都不是最尖锐,最主要,最激发民间不满的矛盾(以后有机会再对此详细说明)。国内对此长期存在误判,好在近期已经调整认识。希望中央在协助香港解决住房难题的过程中,把握节奏,降低冲击。
记者今日从陆金所获悉,日前,陆金所控股旗下公司陆国际(香港)有限公司(简称“陆金所香港”)正式获得香港证监会批复,取得第1类证券交易牌照。结合此前已获得的香港证监会第4类就证券提供意见牌照、第9类提供资产管理牌照,陆金所香港可正式向香港地区所有客户提供线上投资理财和财富管理服务。与此同时,陆金所控股旗下服务香港居民的线上财富管理平台“陆香港”APP预计将在8月上线。 香港是全球最重要的金融中心之一,监管架构的成熟度、公开交易市场的完善性及金融产品的丰富性等方面,均处于国际金融市场前列。香港目前也是最重要的全球资产配置中心和个人财富管理中心。根据香港当地监管要求,想要在香港地区提供财富管理/资产管理服务的金融机构,都必须持第“1、4、9”三类牌照,即第1类证券交易牌照、第4类就证券提供意见牌照和第9类提供资产管理牌照。 陆金所在香港抢滩注册第“1、4、9””类牌照,布局香港财富管理市场,正是看重香港市场的重要战略意义和重大机遇,抓住金融支持粤港澳大湾区建设的契机。 “陆金所先进的数字财富管理模式,不仅在境内有着巨大需求,在其他市场同样如此。此次获取牌照最重要的地方在于我们将直接在香港落地业务,上线后的陆香港APP,将引入港币投资理财产品和更多美元投资理财产品。香港本地用户,也可以跟内地投资者一样,通过陆香港APP,享受足不出户的线上投资理财服务,并获得线下难以获得的丰富产品选择与客户体验。”陆金所香港业务部负责人蔡华表示。 陆金所香港获得香港证监会第1类、第4类、第9类牌照,标志着陆金所科技与合规能力再获认可。陆金所香港秉承以金融科技为驱动、服务于广大个人客户、提供线上综合财富管理服务的定位和优势,将为香港个人客户提供线上一站式港币及美元投资理财服务。 除此次获批的第1类牌照,陆金所香港此前已申请并获得香港证监会第4类和第9类牌照,可以提供投资建议、并向专业投资人提供资产管理服务。此次增获第1类牌照,意味着陆金所香港将可以正式开展个人“账户建立、操作交易、资产持有”等服务。 事实上,香港已然是陆金所控股国际化业务第二站。2017年,陆金所控股正式出海,旗下陆国际(新加坡)金融资产交易所有限公司(简称“陆国际”)获得新加坡金融管理局“资本市场服务牌照(CMSL)”并正式开业,之后又于2019年2月再次获批新加坡金融管理局 “认可市场操作者(RMO)”牌照,获准正式向新加坡本地居民提供服务。
据中国人民银行6月23日消息,中国人民银行6月23日在香港成功发行了100亿元6个月期人民币央行票据,中标利率为2.21%。此次发行受到境外投资者广泛欢迎,包括美、欧、亚洲等多个国家和地区的银行、央行、基金等机构投资者以及国际金融组织踊跃参与认购,投标总量超过340亿元,为发行量的3.4倍,表明人民币资产对境外投资者具有较强吸引力,也体现了全球投资者看好中国经济的信心。 2018年11月以来,中国人民银行逐步建立了在香港发行人民币央行票据的常态机制。本次发行为到期滚动发行,发行后香港人民币央行票据余额仍为800亿元。香港人民币央行票据的稳定持续发行有利于丰富香港市场高信用等级人民币投资产品系列和人民币流动性管理工具,满足离岸市场投资者需求,完善离岸人民币收益率曲线,促进离岸人民币货币市场发展,以及带动其他发行主体在离岸市场发行人民币债券,推动人民币国际化。
6月23日,中国人民银行在香港成功发行了100亿元6个月期人民币央行票据,中标利率为2.21%。 此次发行受到境外投资者广泛欢迎,包括美、欧、亚洲等多个国家和地区的银行、央行、基金等机构投资者以及国际金融组织踊跃参与认购,投标总量超过340亿元,为发行量的3.4倍,表明人民币资产对境外投资者具有较强吸引力,也体现了全球投资者看好中国经济的信心。 2018年11月以来,中国人民银行逐步建立了在香港发行人民币央行票据的常态机制。本次发行为到期滚动发行,发行后香港人民币央行票据余额仍为800亿元。香港人民币央行票据的稳定持续发行有利于丰富香港市场高信用等级人民币投资产品系列和人民币流动性管理工具,满足离岸市场投资者需求,完善离岸人民币收益率曲线,促进离岸人民币货币市场发展,以及带动其他发行主体在离岸市场发行人民币债券,推动人民币国际化。
近日,中国银保监会修订了《保险公司偿付能力监管规则——问题解答第1号:偿付能力监管等效框架协议过渡期内的香港地区再保险交易对手违约风险因子》(以下称《问题解答第1号》),明确将过渡期内香港地区合格再保险机构分入内地直保公司业务时适用的再保险信用风险因子方案期限延长至2021年6月30日。 2017年5月,原保监会与原香港保监处签署了《关于开展偿付能力监管制度等效评估工作的框架协议》,承诺在等效互认过渡期内(2017年至2021年)相互给予监管便利政策。2018年6月,中国银保监会发布《问题解答第1号》,给予香港地区偿付能力信用风险方面为期1年的过渡期监管便利政策;2019年6月,中国银保监会发布修订通知,将政策适用期延长一年,至2020年6月30日。此次修订是中国银保监会第二次延长该政策适用期限。 《问题解答第1号》的实施,有利于增进两地保险监管互信,提升市场效率和监管效能,有利于内地保险风险更好地进行全球范围分散,促进两地保险市场共同发展。 与香港进行偿付能力监管制度等效互认并给予相应的监管便利政策,是中国银保监会深入贯彻落实党中央关于进一步扩大金融业开放部署要求、支持粤港澳大湾区建设的重要举措。中国银保监会将继续与香港保监局开展偿付能力监管合作,进一步加强跨区域风险防范,坚定不移地支持香港国际金融中心建设发展,维护香港经济金融稳定繁荣。附:中国银保监会关于修订《保险公司偿付能力监管规则——问题解答第1号:偿付能力监管等效框架协议过渡期内的香港地区再保险交易对手违约风险因子》的通知
近日,香港人工智能与机器人学会(HKSAIR)副理事长郑松岩做客HKSAIR《AI金融》系列线上讲座第一课,以“香港金融业网络安全和个人隐私数据保护”为主题进行分享。以下为郑松岩演讲全文,雷锋网做了不改变原意的整理:大家好,我是郑松岩,我今天跟大家分享一下香港金融业网络安全跟个人隐私数据保护的情况跟做法。香港金融主要还是银行、证券、保险,但三个细分行业监管的严谨程度存在较大的差异。银行监管最严谨,所以我们讲的主要是银行相关的部分。银行业“水深火热”的网络安全现状2018-2019这两年出现很多资料被盗的案例,不过不是在金融行业,而是在其他行业。2018年10月,国泰航空公司总共有900多万的客户资料被泄露。其实国泰内部早在2018年4月份就发现问题,只是延后公布。新加坡医疗集团Sing Health则丢失了150万病人的资料,这与国泰事件发生时间很接近,但两者处理事件的方式大不相同。Sing Health在出现问题的时候,政府监管马上跟进,几个月后公布调查报告并供公众查阅。万豪旗下的喜来登酒店也曾经丢失超过3亿用户的个人资料。Facebook更是频频通过心理测试或者各种游戏,窃取用户个人资料。Facebook近年不断出现一些系统漏洞,很多用户的个人电话、邮箱、信用卡或身份证资料都暴露了。这些案例看似与金融业务无关,但这些被泄露的客户资料有信用卡号码、身份证号码,都可能被盗用。将来用户在银行申请开户、贷款,这对客户本人就会产生危害。2019年也出现了很多泄露事件,比如新加坡另外一间医疗机构HSA,发现很多客户资料被挂在黑网上售卖。同时,像Instagram等社交媒体,都有很多信息外泄情况。还有第一资本也丢失了客户资料,它本身就是金融机构,丢失资料更容易导致客户信息被盗用,引起金融方面的损失。再往前看,2016-2017这两年,是全球银行经历最多线上劫案的时候。线上劫案,也就是网络攻击。Swift是跨国家或地区的一种汇款转账方式,该机构在各银行安装转账终端机器。孟加拉央行被黑客进入,通过Swift被盗取8100万美金。香港很多网上银行用户个人资料丢失后,被黑客冒用做股票交易进行现金套现。台湾第一银行ATM服务器被攻破,导致很多不同地区的ATM某天自动吐钱。泰国也出现过ATM被盗,是在机构更新ATM程序时趁虚而入。实际上,现在很多地下黑网都会给这种网络攻击明码标价,盗取的店面数量、账户总值都可以在网上看到。钓鱼工具典型案例之孟加拉央行这种盗取很多资金攻击,是不是很复杂?这里以孟加拉银行为例做出解释。黑客并不是直接攻击银行数据中心,因为数据中心的服务器比较复杂,而是利用钓鱼邮件,比如假装成求职简历,邮件发送到央行人事部门,部门人员点进去就中招。这样,接收文件的那台个人电脑就被黑客入侵了。除了用户自身操作以外,很多系统管理人员也在这台电脑安装过软件或是日常维护,黑客也就顺势拿到系统管理人员的密码,就可以尝试通过网络控制其他服务器。再利用服务器,安装一个能够获取用户键盘输入信息的程序。如果此时这台电脑是给用户用Swift做汇款操作的,那黑客就能获取Swift汇款的ID和信息,远程操控这台机器。这样的操作,一直持续了39天,央行一直不知情,直到有一次黑客打错收款人姓名,交易被中断。银行内部做检查,发现这不是内部人员所为,才追踪发现这件事情。这就是从终端电脑开始慢慢安装软件,潜伏,通过网络搜寻获取更高权限,层层递进,最终发动攻击。钓鱼工具典型案例之台湾第一银行而入侵台湾第一银行的程序,实际上它是从伦敦的一个终端机上进入的,通过网络掌控到传真式服务器。传真经常会和总部有资料往来,他们之间有连接。黑客通过传真式服务器、伦敦的服务器,再进入到台湾本部的服务器,一层层操作后掌控自动柜员机的服务器,黑客可以操作指定区域的ATM机器,给出取钱指令,直接得到现金。我们的惯性思维会认为,网络攻击就是攻击服务器、数据中心,但这是从技术层面来讲。钓鱼软件则是一种从终端用户切入的攻击,低成本高效益,操作更容易,也不容易被追踪。对用户来说,网上银行要输入ID,同时还有短信之类的双重认证。黑客用钓鱼软件,程序很简单,比如给用户发链接,点进去之后显示的银行登陆界面需要输入ID、密码、验证码,用户更容易信以为真。但这个弹出的网上银行界面,其实是黑客电脑上的,不是真正网银界面。用户在不知情的情况下,输入自己的ID、密码,被黑客获取,去真正网银上输入用户的账密,用户收到辅助验证的短信。一旦用户没有发现端疑,按照指示操作,黑客就能拿到短信完成双重认证,从而进行更多操作和交易。金融业的网络安全治理之道金融业的网络安全管制,不只是技术层面的。各业务部门和用户,全部都要有网络安全意识,无论是在哪个机构、哪个国家或地区都是如此。另外,不同银行的管控能力都不同,网络安全的治理跟管理要并行,这一点要分清楚。管理是日常的网络安全计划,采取一定措施监控和运行系统都是属于日常管理。但治理更重要,它处于更高层次,金融机构必须定出一种方向,去思考:1、对网络安全的容忍度有多少?2、网络安全在机构里,属于最高优先级吗?这些问题的答案,直接与机构对网络安全的重视程度挂钩,包括投入的资源、人才跟资金,因为要建构很多不同的措施,包括检查机构网络安全的水准是否达到一个水平。在座有不少朋友负责网络安全,或者从事科技行业,我想请问大家:当你的管理层或董事会问你,你觉得自家机构的网络安全与业界同行相比是什么水平?有多少差距?这个问题你会怎么来回答呢?网络安全是一件由上到下、遍及全民的要事。香港金管局就明确规定,保障银行的网络安全是机构董事会成员的责任,由董事会负最终责任。管理层必须根据董事会定下的网络安全优先级,去保证所有的资源架构配套能够到位。管理层监督管理层的下一级是科技或风险管理部门,甚至是一些前线。管理层要保证计划都能够执行到位,再具体到技术人员。只有管理层乃至机构董事会了解到整体安全保障情况,把它列入日常议程,整个机构的网络安全资源跟能力才能持续下去。网络安全永远没有“做到最好”这个说法,不是监管要求或者稽查就做一下,无人违纪就停止了,而是要持续执行下去。管理层监督的对象,就是有关网络安全的部门、科技部门,包括用户。有关部门应该收集报告,定期向高层管理、董事会汇报安全情况。现在很多培训,只面向科技人员,这不够。要把培训遍及到董事会跟高层管理,他们也充分了解当前网络安全整体趋势,才能引起足够重视。基层同事也要知道网络安全各方面保护,不断宣传,让所有的终端用户都有这种意识。除了全民意识,在技术层面可以有很多的手段,比如在电脑上安装不同防护工具、加密工具或监控工具。实际上不同机构都会不断互相学习,然后引进技术手段,辐射到终端用户和高层管理的培训。香港金融管理局(下称“金管局”)对科技的风险监管有不同的规范,以科技管制和技术措施为主。持续性业务,又称TM-G2,是指业务整体都要持续有留存备份,不只是科技中心的备份,还有业务操作备份、演练规划。演练包括技术和业务层面,应急启动等,都有很多不同规范。电子银行因为变化得很快,所以有专门的管理规范和相关指引。香港民众对个人隐私的保护意识很强,是好事,当然也没那么快接受新鲜事物。香港有专门的隐私条例,大概有6个原则:个人资料的收集、目的及方式。社会上不同的机构,像银行、商店要收集客户资料,就必须讲清楚收集资料的目的跟使用方式。个人资料的准确及保留期。讲清楚目的后,还有使用期限,多久之内必须要删除,资料不再留存。个人资料的使用。在使用的过程中,要遵循告知用户使用的方式且只能用于此事,用户一旦发现不妥,可以投诉。个人资料的保护。即是资料在处理中、传输中、存放中的保护。资讯需在一般情况下可以提供。查阅、修改个人资料的权利。根据隐私条例规定,用户可以随时要求查询收集记录的资料,也有权要求修改和删除。网络安全管理指引四大重点网络安保方面,金管局曾给出过银行指引,重点如下:1、董事会和高级管理层的监督银行网络安全的风险拥有人就是董事会,信息一旦泄漏就可能让黑客容易进入一些科技系统,因此必须建立科技跟业务并行的风险管理整体措施。风险出现时,我们要面对监管、客户、民众、媒体。所以这一系列活动中,业务部门、企业职能部门都是要并行运作的。风险管控的措施不只是科技,同时要保证多数人有网络安全措施跟意识,董事会跟高级管理层有责任建立这一种文化。2、定期评估及监察银行网络安全要建立一种控制基准,包括治理层面。类似的国际基准有CSC20,通过标准比对,找出差距,不断修改补充。2015年时金管局提问各个银行:网络安全团队有多少人?需要配备足够的人员及人才,足够的财务投入,才能把网络安保做好,定期向董事会汇报。3、业界合作及应急规划金融机构要跟其他行业机构、警方互相合作,共享一些网络信息;同行业间互相分享不同的安保信息。做好应变测试,确保能够及时处理。这里的应变测试是指整个机构面对问题的时候的应变处理。4、定期独立评估及测试足够的网络安保专业人才跟知识是衡量机构的标准。另外,要请有资质的顾问公司对机构进行独立评估,这也是监管要求之一。网络防卫评估框架金管局推出了「网络防卫评估框架」,近几年还在继续完善跟运作。评估框架要求:银行根据自身交易量、提供交易服务的复杂程度和自身规模,进行自我评估,判断固有风险的高中低程度。银行的规模越大、业务越复杂、提供的产品越多,固有风险就越高。还有网络安防成熟度的要求。固有风险越高,成熟度要求就越高,通过独立的顾问公司评估银行,逐项判断是否满足要求。再根据评估结果找出差距,银行必须优化改进。每个银行的评估结果最终都要上报,金管局根据结果提出意见,银行再根据意见和评估结果制定修订的计划进行整改。金管局还要求提供修订报告,独立顾问公司对银行做审查,评估整改的方案跟措施。半年后,会要求银行找顾问公司再做一次评估,确认方案是否仍然有效。全部做完后,再要求各个银行去找顾问公司,找出不同的场景在机构里测试,然后从端对端中看能否找出漏洞。网络评估的要素成熟度评估包括7个领域,水平分为基本、中级、高级,总共有366项,具体看是否完成,服务程度等。独立顾问公司帮忙审核,列出不符合的项目。其中,风险识别这一点是指如何保护系统,如何侦测到分别来自内部和外部的攻击活动,如何去法院处理,同时恢复服务,这就是风险意识。最后一点是第三方的风险管理。近年来,各国对第三方的风险管理要求趋严,相信接下来会有更多第三方服务商(相关条例出现)。比如银行将呼叫中心业务外发给第三方供应商去做,必须监控供应商是否存在漏洞,以免影响服务质量。还包括关键的硬件供应商,需要有替代方案应对突发问题。第三方扩展会越来越多,因为现在的银行讲究效率——传统银行要求客户到分行,或用专门手机银行做金融交易,但现在有Open API开放这些应用的接口,越来越趋向于B2B方式。B2B2C模式是银行跟其他非银机构合作提供服务,共同经营双方客户。在这种模式下,用户可以通过一些像网商或航空公司等非银机构,在他们的网站直接享受银行服务,例如开户、转账。同样,银行也可以建立这种平台,提供像汽车销售、旅游计划等商业合作。当第三方公司网站出现问题,银行必须采取行动,及时判断这些机构存在的问题,判断其可信资质。最近金管局对银行又提出关于人工智能的一些要求,指明如果银行采用AI产品,或与机构服务商合作,董事局跟高层管理也必须负责AI引起的结果。这就要求使用者对应用程序要有足够的专业知识,和对人工智能的认知。AI要用数据训练模型,因此也对数据质量有所要求。AI模型还要做好核实,包括模型的可审计性。如果采用外部机构的AI产品,比如NLP,涉及的编制也需核实。外部AI或服务如何管控,如何确定变更过的模型准确性不变,如何检测程序中是否有恶意部分……这些对银行来说都是不小的挑战。云在内地银行应用较广泛,香港银行相对较少,这与监管不无关系。如果银行使用外部云,(在香港)它会被当成是技术外包,那技术外包也有自己的条例,包括全程监控,可审计等。云计算上的复杂状况不一定完全符合监管要求,要明确监管条例,银行才能启用云。银行用云也分为很多情况。比如银行内部出于成本效益考虑,选择自建云。有些银行是跨国且有很多子公司,它需要让一些企业客户跟银行IT系统有连接,比如银企直联,企业的ERP也能够连到银行,在处理账务或资金调拨时更方便。欧盟GDPR VS 香港个人私隐条例1、香港私隐条例列出6大原则,基本是原则性条文。而欧盟在2018年推出的资料保护条例叫GDPR,罗列了99条具体细则,它比香港的条例更严格。2、香港把身份证、电话号码等算在隐私范畴,而GDPR则将生物特征、车牌号、相片、IP地址、色情网络记录等等都全部列进去。3、GDPR条例会覆盖到其他的国家和地区,比如别国网站的产品,如果销售对象是欧洲地区的客户,或是销售中用到欧洲语言,会被计入GDPR。4、如果有出现问题,你一定要72小时内上报到某一个机构。5、很多地区的私隐条例只讲了原则,没有具体的违规处罚方式。欧盟就规定很清楚,说最高可处以2000万欧元的罚款或者全球营业额的4%。如何持续优化一个金融机构的网络安全能力?第一,定期外聘一个具认受性的顾问公司对机构的网络安全做成熟度评估。这是多维度的考察,并不只是检查技术上的防护。比如毕马威的成熟度评估模型,总共分了6个维度,评估管制跟领导、整体信息风险管理、法律合规方面机制等;运作与科技只占一项,还有业务持续性、人员素质……每个维度又分成5个层次,从初始级到优化级,定出一个最适合自己的标准。金融机构如果期望更好的效果,就应该通过各个维度找出差距并整改补齐。整改时要对措施的有效性进行评估,整改后再对措施的持续性作评估。由于不同的顾问公司的评估模型稍有差异,因而找不同的公司作评估,可以从更多的方位找出改善的地方。第二,不断演练。机构应事先制定好不同的场景,像网络攻击、阻断式攻击、钓鱼等,并制定好每年演练场景的数量、所需时间,按照规划完成。从高级管理层到终端用户、科技人员、科技系统等全都会加入。另外也可以聘请外部机构进行网络安保方面的攻防演练,找出漏洞并修补。系统中的补丁,也是很多机构容易疏忽的一点。一个中大型的机构,比如服务器、网络设备、终端机等,时而有补丁可更改,但也要分析实际作用再做定夺。而且要及时知道新的补丁上线时间,这要跟供应商保持沟通,确定补丁需要的时间、风险优先级等。有没有出现过没按规定打补丁的事件?早几年的Wanna Cry(永恒之蓝)就是,它个病毒会锁掉所有档案资料,黑客收取比特币之后才能解锁。当时全球很多地方都中招了,如果及时打上Microsoft Shop的OS补丁,是可以避免的。第三,人员意识培训。负责网络安保的人员是否具备专业知识跟能力?这必须由专业人才进行培训。很多人认为,有充分的实战经验就行了,但还是必须要求有专业认证。因为经验会随人员流动,有专业认证起码能保证网络安保人员认知的水平在同一水平线。像科技风险管理或者网络安保之类的认证人员数量,至少要占团队90%以上。同时经常举办不同的网络安保培训活动。另外也可以通过攻防演练、座谈会、网络学习、钓鱼测试等培养安全意识。引入智能化分析工具很多机构有不同工具,例如防病毒、防攻击、防侵入等,在服务器上有防脆弱、防档案更改的工具,网络有一些像DDOS防阻塞式攻击的工具。监控,其实都是监控到不同前中后台、终端或是服务器网络设备日志。日志单独查看可能很难看出问题,需要引入智能化分析工具,像Cyber Security Analytic,把不同设备的访问日志以及一些来自外部的访问IP的信息聚合在一起通过工具进行关联性分析,找出较为隠蔽的问题。例如有些服务器或应用系统正常运行,但某时段有一个IP在极短时间内出现不合理的交易数量,便可藉此提示是否有使用机器人进行操作的可能。实际上,近两年病毒或DDOS类型的攻击反而较少,更危险的是APT攻击(Advanced Persistent Threat,高级持续性威胁)。它是在一个位置记录搜寻漏洞,找到更重要的一个设备,再在设备上找新漏洞,找到它认为合适的时候才发起攻击,手段非常隐蔽,攻击让人措手不及。这就需要建构大数据网络安保分析平台来应对。实际上,网络安全、信息安全是政府、企业跟个人的共同责任。政府要做好立法和执法。企业方面,各个企业的网络安控水准跟意识各不相同,有些中小型企业没有资金跟人才去部署,怎么保证他们都有这样一种安全意识也是问题所在。同时,个人也要提高安全防范意识,注意个人ID密码被盗,钓鱼邮件,WiFi安全性等等。甚至平时你填的表格信息,也要考虑到信息用途,说不定很多信息因此就丢失。即将启幕CCF-GAIR 全球人工智能与机器人峰会———AI金融专场历届 CCF-GAIR 已汇聚多位诺奖、图灵奖得主,28位海内外院士,21位世界A类顶会主席,103位Fellow,400多位知名企业家以及100余位VC创始人出席。8月7日-9日,《AI金融评论》将在第五届CCF-GAIR中举办「AI金融专场」,目前统计学“诺贝尔”— COPSS总统奖得主,摩根大通执行董事,世界顶级学会主席,金融巨头首席科学家、首席风控官,已确认出席。会议详情与合作,可联系专场负责人周蕾,微信:LorraineSummer更多会议安排点击https://gair.leiphone.com/gair/gair2020查看。
登录
工商服务
危机公关
金融律师
app开发
财税服务
金融牌照
网站建设
知识产权
企业征信
审计评估