肖翔表示，根据协会研究团队的调研，金融机构和金融科技公司合作主要有以下几个特点：

从合作内容来看，金融机构与金融科技公司的合作覆盖从前台的渠道、获客，到中后台的风控、合规等几乎所有环节，主要包括资金、业务、技术、客户等方面。
 

从合作载体来看，金融机构与金融科技公司落地合作的方式主要包括有，共同开发金融产品和服务、收购并购为子公司、共同控股合资公司、成立联合实验室等类型。
 

从利益分配来看，对于不同的合作内容与合作载体，利益分配方案有所不同，主要包括：按所有权益或合同约定的比例进行利润分成，对单个开放项目或技术产品按单件收费，以及依照需求定制整体业务解决方案并打包收费等类型。

 

金融机构和金融科技公司的开放合作有助于发挥双方各自优势和协同效应，有助于建立兼具竞争性和包容性的金融生态体系。当前，随着监管强化和业务深入，金融机构与金融科技公司的开放合作逐步从“蜜月期”步入“磨合期”，从“浅水滩”步入“深水区”。签订一纸协议不难，难的是把白纸黑字的协议变成真枪实弹、真金白银的行动。

 

肖翔指出，结合调研情况，各方需要高度关注以下几个方面的挑战：

第一，文化与管理差异带来的挑战。金融机构与金融科技公司的发展起点和发展沿革不同，面临的政策环境和监管要求也不同，所形成的管理方式与企业文化存在较大差异，对各方深化合作带来极大阻碍。比如，在管理方式，金融机构更趋层级式和体系化，金融科技公司则比较扁平化和开放式。这种差异可能导致合作中的冲突。再比如，一些机构盈利模式惯性较大，数字化思维欠缺，以客户为中心的服务理念还没有完全形成，文化理念上的差异给深化合作带来阻碍。
 

第二，风险管理“木桶效应”带来的挑战。金融业务的整体风控水平取决于产业链、价值链上最薄弱的环节，尤其是在关键合作方缺少完善的风控措施，风控制度执行存在“跑冒滴漏”的情况下，合作各方均可能遭受资产资金、商业机密、声誉口碑等方面的损失。2017年6月，金融稳定理事会在《金融科技对金融稳定的影响》报告中，就提到不同机构存在薄弱环节的系统越是互相联接，金融活动对网络攻击的敏感性可能越高。比如，2016年2月，黑客通过高级持续性威胁(APT)攻击劫持网络接入服务器、篡改交易报文，最终攻破环球银行金融电信协会(SWIFT)系统安全机制，从孟加拉国央行在纽约联邦储备银行的账户中非法转走8100万美元，事后调查发现孟加拉国央行不仅使用的是未安装防火墙的价值10美元的二手交换机，网络结构也未实现进一步的相互隔离，存在巨大安全隐患。当然，这是孟加拉央行和SWIFT的案例，不是金融机构的案例。但我觉得合作网络面临的风险和挑战还是有共同性的，需要各方高度关注。
 

第三，过度第三方依赖带来的挑战。2018年10月，世界银行和国际货币基金组织联合发布了《巴厘金融科技议程》，指出金融机构越来越多地与第三方服务提供商合作，或是将金融服务的运营支持外包给第三方，而规模经济可能推动金融机构之间或第三方服务提供商之间的更大整合，加剧集中度风险和网络风险。实践中，一些合作机构较多的金融科技公司日益扮演类金融基础设施的角色，如果缺乏有效的风险治理和监管，容易造成风险的单点积聚，其业务连续性可能影响金融市场的平稳运行。
 

第四，责任难以认定带来的挑战。在金融机构与金融科技公司的开放合作中，包括合作各方和金融消费者都可能面临合法权益受到侵害的情况，需要有效可行法律救济途径。但是，广泛的合作内容、多元的合作载体、多变的利益分配和风险共担方案，使得合作中的责任划分较为困难，法律救济可能面临难以确认责任主体、责任分配和损害赔偿数额等内容的情况。

 

中国互联网金融协会李东荣会长在第二届中国互联网金融论坛上指出，促进金融与科技融合发展过程中，需要把握好金融机构与科技公司的关系，“亲兄弟还要明算账”，在业务边界、法律关系、责任划分等方面不能游移不定、含糊不清。

 

那么具体怎么应对上述挑战，肖翔认为，可以从以下几个方面着手：

一是法律监管方面，建议研究推动相关立法和监管规则的制定，明确合作各方必须遵守的基本业务边界和权利义务，特别要强化金融消费者在个人信息安全、数据安全、隐私安全等方面权利的保障。近期，开放银行逐渐成为国内外关注的焦点，我们看到在其发源地英国，正是通过《通用数据保护规范》(GDPR)对数据主体的数据可携带权的创新，为推动开放银行发展提供了法律支持。所谓数据可携带权，就是在满足法律要求的情况下，如果数据主体向某数据控制者提供与其有关的个人数据，那么该数据主体有权从该数据控制者处获取结构化、通用化和可机读的上述数据；同时，数据主体有权将这些数据转移给其他数据控制者，原数据控制者不得进行阻碍。
 

二是自律标准方面，可考虑在国家有关标准体系的框架下发挥团体标准先行先试作用，加快建立有关金融机构与科技公司合作的数据、技术、产品、业务、安全等一系列标准规范。2018年3月，英国发布《金融科技行业战略》，提出通过金融科技标准化工作推动解决金融机构与金融科技公司合作中存在的挑战障碍。上个月，英国标准协会(BSI)发布了一份名为《支持金融科技公司与金融机构合作-指南(PAS201:2018)》的标准规范，为金融机构和金融科技公司的合作，提供了从流程、计划到风控、合规的一整套参考标准，值得参考借鉴。
 

三是机构内控方面，建议各类机构在建立开放合作关系的同时，按照监管和自律要求，切实加强相应管理规范、市场约束和应急安排。尤其是在涉及金融领域的关键业务运营、关键技术外包、关键系统托管、关键服务开放等方面的合作，金融机构更应严格审慎地遴选合作伙伴，把合作业务纳入操作风险框架之下，做好对合作方的尽职调查、风险评估和持续监测，并应承担风险管控的主体责任；金融科技公司也应切实提升风险管理水平，在关键环节上要执行与金融机构统一的风险管理标准，不能因科技属性和合作方式而降低金融风险防范的要求，更不能以合作的形式突破特许经营要求，没有资质但从事实质上的金融业务。此外，双方也应通过协议约定服务范围、清晰界定责任义务等。