原标题:监管科技之沙盒技术
作者:蔡维德 天德信链
根据英国金融行为监管局 FCA (Financial Conduct Authority)的主管 Christopher Woolard [1]:一些新型金融科技公司花大量金钱来精心设计新技术来躲避金融监管,另外由于部分科技的技术太先进,以至于监管单位不了解这些新技术,也不知道如何监管。并且,许多大公司不愿意开放自己的系统给新型金融科技公司,客户端和供给方之间存在严重的断层。同时间,这些大型金融公司的业务正在被新型金融科技公司所蚕食。如果大型金融公司不积极地开发新型技术,最终会吃亏。
断层问题,需要通过两方面来解决:一方面督导新型金融公司走向正轨,不但不躲避监管甚至还支持监管;另一方面,帮助大型金融公司有序地发现新技术,并且将这些新技术融合在自己的业务里面。因此英国金融行为监管局认为需要有一种沙盒系统(或沙箱系统,sandbox),新型公司可以在其中做实验、做测试,同时大公司会对其提供支持,监管单位也可以豁免新型公司一些法律上的责任[2]。
“监管沙盒” (regulatory sandbox) 是一个积极的做法[2]。 在监管方面,许多国家包括美国在内采取一种消极被动的方式,而英国采取的是主动积极的方式。 英国觉得应该由监管单位直接对接新型科技公司,和大公司连接,并且进行监管沙盒的工作。
什么叫做沙盒?沙盒就像是一盘沙子,在上面做任何事情并不能写进真实系统,因此做完之后只需要抹掉记录即可。最近由于 ICO的火爆,中国人民银行数字货币研究所所长姚前,在《中国金融》2017年第14期《数字货币的发展与监管》一文中提到 ICO需要监管,并再次提出了其之前数次撰文都曾提及的“沙箱监管”方式。
沙盒技术对于金融科技公司是非常重要的,但是沙盒技术并不是专门为 ICO所做的监管技术,也不是专门为区块链所设计的监管技术。一般来讲,沙盒技术可以用来监管所有金融科技。
三种沙盒模型
英国金融行为监管局提出三种沙盒模型[2]:
1) “
监管沙盒
”(Regulatory Sandbox):金融服务公司将软件运行在模拟控制系统下, 其中运行的数据只会记录在沙箱里面,而不会记录到真实系统中。由于每个公司所提供的服务不同,沙盒如何设置、如何测试是一事一议的,即监管单位以及金融科技公司需要讨论设计测试标准以及测试程序。但是进入沙盒计划的公司可以免受一些监管责任, 在这样的环境下,金融科技公司可以做实验。
由于沙盒的执行十分复杂,不是每个公司都可以进入沙盒系统。首先需要判断金融科技公司所提供的服务技术上是否有创新,是否能给消费者带来福利,同时是否有足够的资金和足够的技术能够支持沙盒的测试,如果没有的话,他们就会被拒绝。并且公司必须要承担保护消费者的重任,在沙盒测试的过程中不能对消费者或参与公司有任何的伤害。
英国是第一个做“监管沙盒”的国家,后来包括加拿大、新加坡、马来西亚、香港等他们都开始使用“监管沙盒”,现在有许多国家都有“监管沙盒”制度。
但是“监管沙盒”比较像一种行政流程,而且每个公司的沙盒测试经历都不一样。此外监管单位要对这个被监管的新技术十分了解,知道做什么样的测试能够检验这技术。因为参与公司技术都不一样,没有统一的标准。
2)“
产业沙盒
” (Industry Sandbox):“产业沙盒”就是行业内许多公司聚在一起成立一种虚拟的测试环境。产业可以决定对于一种新技术, 可以用某些测试来检验这种新技术。主要是让许多公司在产业内都能够在同一环境下做测试。由于使用的测试环境相同,参与测试公司可以得出比较客观的结果。
3) “
保护伞沙盒
” (Umbrella Sandbox):“保护伞沙盒”和“产业沙盒”相似,也是为整个产业做服务, 有同一标准。但它是被金融监管单位授权的, 由一个非盈利的公司来经营这项沙盒事业。
英国沙盒报告
英国今年已经出台了一个非常完整的沙盒的报告[3],包括“监管沙盒”、“产业沙盒”、“保护伞沙盒”的需求。但并没有涉及“保护伞沙盒”和“产业沙盒”的设计。其中规定“监管沙盒”的使用步骤如下:
第一步:公司向金融行为监管局提交使用沙盒的提案,其中需要包括新的解决方案以及它是如何满足相关标准的;
第二步:金融行为监管局审查评估提案,如果提案符合标准,就接受该提案并将案例官员分配给该公司作为联系人;
第三步:如果提案接受了,监管局与公司合作一起设置最佳沙盒选项、测试参数、测量结果、报告的要求和保护措施;
第四步:当沙盒选项正式交付后,金融行为监管局就允许公司开始进行测试;
第五步:公司根据步骤三达成的一致性意见与监管局进行磋商并开始测试;
第六步:公司提交关于测试的最终报告,金融行为监管局审查最终报告;
第七步:金融行为监管局审查最终报告后,公司据此决定是否会在沙盒之外提供相应的解决方案。
“监管沙盒”的经验
“监管沙盒”在英国已经做到第三期,第一期只有26%公司可以申请进入沙盒计划(还有许多公司没有申请因为认为还不能被测试),第二期只有40%的公司可以进入沙盒计划。
而且不是进入沙盒系统都能被通过,例如在第二期进入沙盒的公司中有25%的公司由于软件不能被测试而被拖到第三期(占申请公司10%)。因此只有30%的公司能够进入沙盒计划并且能够运行起来。
可以看到大部分申请的公司都被“监管沙盒”拒绝, 这还不包括那些看到“监管沙盒”的规则后自动放弃申请的公司。
以上面的数据可以清楚看出“监管沙盒”是有效用的:
-
许多金融科技公司没有申请进入沙盒, 因为他们知道从规则来看自己根本不可能通过“监管沙盒”的流程,例如如果他们只有PPT而没有软件可以被测试, 那就不可能通过沙盒。
2017年就有几个出名的 ICO项目,如果美国或是中国有“ICO监管沙盒”, 他们就不可能进行 ICO, 因为他们连申请进入“监管沙盒”计划的资格都不可能——他们只有“白皮书”和 PPT, 没有软件可以被测试! 但这些项目居然在2017年能從 ICO融到几千万到几亿美金,而且他们的代币在市场上市后还继续上涨。令人失望的是白皮书上的技术是有问题的,上面提的一些构想如果不改变白皮书上计划的话,很有可能不能完成原定的目标,连国外一些媒体都公开反对这些项目因为他们没有原型代码。
-
认为自己有可能通过“监管沙盒”的公司申请进入,也只有30%左右可以进入计划。可以看出许多申请进入沙盒的公司,以通过 “监管沙盒”的流程作为公司进步的手段, 因为知道被拒的可能性大(70%可能性会被拒)。
-
想进入“监管沙盒”计划的公司包括大银行,例如 HSBC(匯豐銀行)。 从而看出“监管沙盒”对大公司也有吸引力。通过“监管沙盒”的测试,代表该系统有一定的质量和创新, 所以大银行也有兴趣参加,愿意和新金融科技公司在同一平台上竞争。新技术不是金融科技公司的专利,大银行也可以有创新。
沙盒技术
沙盒技术原来是计算机系统安全的一项技术,在信息安全中攻和守是十分重要的,但在真实的系统中测试会产生无法预计的后果,因此都在沙盒中做实验。如果攻破沙盒,并不代表系统会被攻破,只是代表真实系统可能会被攻破。
许多公司/软件都有沙盒系统例如 IBM, 微软,PayPal, 亚马逊, ApplePay, 以太坊, JVM等都有沙盒系统,沙盒可以放在服务器中,也可以放在云上。下面是JVM沙盒系统的示意图 (从
www.softlab.ntua.gr
)。 根据 JDK 1.2 安全架构 (Security Model), 左端的箭头是指一个代码对所有资源都有访问权限;而右端的箭头正好相反, 没有任何的访问权限 (这就是沙盒,被测试的代码无法使用任何系统资源,所以代码执行后, 不能对系统有任何伤害)。中间的代码可以有部分权限。
这些沙盒应该成为公司沙盒(例如 PayPal沙盒)或是计算机语言沙盒(例如 JVM沙盒),跟英国所提的3种沙盒计划都不一样。公司沙盒只为一家公司或是产品服务,“监管沙盒”为金融科技公司服务,“产业沙盒”为整个产业服务,“保护伞沙盒”为整个产业和监管单位服务。
沙盒技术已经存在了很多年,但是最近沙盒技术走向了容器(container)技术(
https://en.wikipedia.org/wiki/Container
)。容器(container)技术是一门新的云计算技术,大大提高可扩展性和操作性。而且容器要比虚拟机强得多,下图表示随着时间增长,大家对容器的兴趣远远高于对虚拟机的兴趣。
沙盒系统就是一个测试系统,下面是 PayPal沙盒系统的界面
访问
https://developer.paypal.com
,点击“Sign Up Now” 按钮注册
填入相关信息然后点击“SignUp”提交注册
账户注册完毕,需要确认邮件。通过上述步骤,我们可以清楚地看到,沙盒系统就是一个测试环境。
区块链产业沙盒可以做支付、交易、清结算、征信、保险、共享经济、投资管理、供应链等,因为这几个系统是不同的,所以它们的沙盒设计也都不一样。
沙盒系统可以防范、识别、预警、告警、处置应对的区块链产业应用的风险。
“产业沙盒”案例
下图是英国 Innovate Finance 报告展示的现代“产业沙盒”系统 [3],可以看到现代已经完成的“产业沙盒”并不多。在这里介绍几家“产业沙盒”系统。
FintechSandbox (金融科技沙盒公司,fintechsandbox.org, 美国)
这是美国波士顿一家非盈利公司 Fintech Sandbox,它提供数据与基础设施环境给金融科技公司,让这些公司在上面做实验。该沙盒公司有70个初创公司加入,46个合作伙伴,其中30家公司提供金融数据,4家提供基础设施,12家公司提供加速器。
