"Knowledge sharing session" by BOT, Speaker for "FinTech regulations" (17 May 2017)

1. 1
FinTech regulations
**แชร์ข้อมูล throw some ideas, ปรับกับไทย, มุมมองจากindustry **
1. blockchain and smart contracts
a. Regulation approaches - Regulate? How? (from light touch to highest)
a. EU and SG
i. Regulation should follow, not lead, innovation – DLT adoption does not yet
warrant regulatory intervention or amendment
b. HK
i. unclear if risk/legal issues re DLT can be adequately dealt with using
"technology neutral stance" as in today
c. UK
i. FCA said it has been ‘technology neutral’ and decided against regulating
certain technologies.
ii. However, blockchain currently does not fit with certain regulations
iii. The FCA does not see a “clear need to consider changes to our regulatory
framework for blockchain solutions to be implemented” at this stage.
iv. To assess the potential risks with regulating blockchain, the FCA has asked
participants to consider if the technology fits with the current regulatory
framework.
v. The consultation ends on 17 July this year and the FCA will release its
findings.
vi. Their approach: Regulation evolve in parallel with technology  consider
both technical code and legal code
d. Gibraltar
i. Gibraltar Financial Services Commission has announced that it will introduce
regulations to regulate "blockchain businesses".
ii. Principles
1. Conduct its business with honest and integrity
2. Pay due regard to the interest and needs of its customers
3. Maintain adequate financial and non-financial resources
4. Manage and control risks
5. Protection of client assets
6. Corporate governance (mind and management of the firm in
Gibraltar)
7. Security systems
8. Financial crime systems
9. Contingency plans
iii. Covered: Businesses using blockchain for the transmission or storage of
value belonging to others and does so by way of business  ICOs,
custodians, exchanges.
iv. Effective: 1 Jan 18
b. Technical standards -
a. Private organizations in several countries like US, UK, Australia are getting together
to work on the ISO international standards for blockchain.
b. Standard Australia - Roadmap for development of blockchain standards by ISO/TC
307 Blockchain and electronic distributed ledger technologies.
c. The development of International Standards to support privacy, security, identity,
smart contract, governance and other matters related to blockchain technology may
contribute to further establishing market confidence in the use and application of the
technology
B21: Knowledge sharing session by BOT on FinTech regulations

2. 2
d. should ensure the relevant participation of regulators from all interested economies
to enable congruity of standards and the law.
e. may have a role in ensuring that a blockchain application is compatible with the
law (IT security standards, ETA ดูธรรมเนียมปฏิบัติของธุรกรรมนั้นๆ ใน market practice ด้วย)
c. Legal issues under current law
a. Operational risks and the prevention of crime: cyber attacks; identity theft; money
laundering
i. The technology relies on an assumption that it is very secure because
records would be almost impossible to decrypt. However, with the continued
development of quantum computing, this may not always be the case.
ii. ต้อง regulate ตัวคนเอาแพลตฟอร์มมาใช้และ make sure ว่าการใช้ blockchain จะยังทาให้เป็นไปตาม
IT security standard ได้อยู่ (แต่ก็ต้องรีวิว IT security standard ใหม่ เพราะเป็นระบบที่ assume
ว่าคนๆ หนึ่งมีอานาจในการควบคุมระบบ)
iii. อาจต้องอาศัย international standards เป็นตัวพิจารณาแก้IT security standard หรือ just
recognize international standards (PCI DSS, ISO 27001 for payment)
b. Data privacy
i. Regulators, DLT platforms and participants need to comply with data
protection laws.  ในประเทศไทยต้องกาหนดให้มี "พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล"  ปัจจุบันอาศัย
กฎหมายละเมิด และกฎหมายอาญาเฉพาะบางความผิด + กฎเกณฑ์เฉพาะสาหรับผู้ประกอบธุรกิจที่ถูกควบคุมเช่น
ธนาคาร ประกัน  blockchain ข้อมูลจะอยู่ในมือของ participants (ซึ่งอาจเป็นคนที่ไม่ได้ถูกควบคุม
เฉพาะ) จึงควรต้องมีกฎหมายเฉพาะเรื่องนี้มาคุ้มครอง
ii. There could be some issues in practice such as the fact that data in the
blockchain is immutable may raise issues against the "right to be forgotten",
"right to correct"  ร่างพ.ร.บ.ข้อมูลส่วนบุคคล ควรคานึงถึงจุดนี้ และเปิดช่องให้คณะกรรมการคุ้มครองฯ
ออกประกาศยกเว้นบางเรื่องได้ หรือเขียนไว้กว้างๆ ว่าถ้าระบบมันทาให้ทาไม่ได้ต้องทายังไง เช่นให้ลูกค้ารับทราบ
และยินยอมแต่แรก?
c. Validity and enforceability
i. the validity of tokens as a representation of ownership of any assets and
validity of smart contracts;
ii. record-keeping requirements and evidentiary rules.
iii. ต้องดูพ.ร.บ.ธุรกรรมทางอิเล็กทรอนิกส์ใหม่ว่าเพียงพอหรือไม่
1. ETA เขียนแบบ technology neutral  จึงน่าจะสามารถใช้ได้ตราบใดที่เป็นไปตามเงื่อนไข เช่น
"เข้าถึงได้โดยข้อมูลไม่เปลี่ยนแปลง
a. แต่ทุกวันนี้ปัญหาคือคนไม่แน่ใจว่าถ้าใช้ระบบใดๆ แล้วจะถือว่าเป็นไปตามเงื่อนไขหรือไม่ ฎีกา
น้อยมาก
b. Approaches
i. ทาง ETC ต้องออก guideline ให้ชัดกว่านี้? โดยลงตัวอย่างการใช้เทคโนโลยี
ที่จะใช้กันอย่างกว้างขวาง รวมถึง blockchain?
ii. BOT issue guideline (similar to cloud computing) or
change IT security standard
iii. อาศัย market practice, based on inter standards เพราะเป็นส่วน
หนึ่งในการพิจารณา  แต่คนที่จะ adopt เช่น FI ไม่มั่นใจ ก็จะไม่กล้าเริ่ม และ
ไม่เกิด market practice
2. smart contract -- auto execution -- ไม่ใช่การแสดงเจตนาทางอิเล็กทรอนิกส์ (ส่งคาเสนอคา
สนอง)  ไม่เมือนonline contract  "Automatic Exchange of Info" อาจ
ก่อให้เกิดสัญญา? ต้องให้ครอบคลุมถึง interaction ระหว่าง machine ด้วย เพราะอีกหน่อย ไม่ใช่แค่
DLT แต่ M2M, AI ก็จะไม่มีการกระทาของคนเข้ามาเกี่ยว
B21: Knowledge sharing session by BOT on FinTech regulations

3. 3
3. ธุรกรรมที่ต้องการลายมือชื่อ e-signature เกิดขึ้นหรือยัง ตอนไหน  ต้องดูว่าสอดคล้องกับ
เทคโนโลยีการใช้ private key ใน DLT, M2M, AI หรือไม่
d. Anti-money laundering / Counter terrorism financing
i. In permissioned DLT, there is at least one entity in charge. It is therefore
relatively easier for regulators to keep track of the entities in the network.
ii. In permissionless DLT, it may not be possible to know who is participating.
iii. So, only "permissioned DLT" should be used to disintermediate financial
institutions and central counterparties.  เพราะว่า Reporting entities ได้แก่ สง. (ตาม
นิยามปปง) รวมถึงผู้ประกอบอาชีพตามมาตรา 16 ซึ่งรวมถึง e-payment, e-money, P. loan, FX
service
iv. คนใช้ DLTก็ต้อง make sure ว่ายังทาตาม KYC (ตั้งแต่ onboard สมาชิก), CDD (ตั้งระบบอัตโนมัติว่า
กรณีไหนต้องทา CDD), Reporting, Record keeping (ได้มั้ยถ้าต้องอาศัยข้อมูลที่ Distributed
ประกอบเป็น record)
2. e-KYC + data
1. e-KYC ต้องดูทั้งกระบวนการ
a. database
i. what type of data (key KYC data (personal data), financial-related data (e.g. credit
data, financial status)
ii. centralized (designated authority e.g. DOPA, BOT)? distributed and sharing (e.g.
DLT among banks) open data (anyone can get info if got consent from data owner?)
b. How to access data (in other words how to provide data) -- collect data for KYC purpose
c. How to verify identity -- CDD
i. channel e.g. centralized system (link with business operators e.g. FI / FinTech) -- เชื่อม
กับ terminal ประเภทต่างๆ เช่น ตู้เปิดบัญชีเงินฝากอัตโนมัติ, POS, เว็บไซต์ให้data owner เข้าไป
อนุญาตให้ส่งข้อมูล
ii. DLT link ระหว่างสมาชิก
iii. other procedures ประกอบ เช่น VDO conference, selfie, etc.
2. Regulation Approaches
a. SG
i. The MAS recognizes that KYC processes can be costly and laborious and an
infrastructure solution is needed to solve this problem.
ii. "national KYC utility", which involves several layers of identity verification
depending on the purpose of the transaction, the extent of information involved
and the degree of rigour required.
iii. The basic building block is the MyInfo service, which is a personal data platform
containing government-verified personal details. This enables residents to provide
their personal data just once to the government, and retrieve their personal
details for all subsequent online transactions with the government.

4. 4
iv. Will expand the MyInfo service to the financial industry for more efficient KYC
using trusted government collected personal data.
v. The aim is to eliminate tedious form-filling and providing hardcopy documents
for manual verification by the FI, as well as reducing data entry errors.
vi. The Singapore government will run a MyInfo pilot with two banks in 2017, before
scaling up to other FIs progressively.
b. India
i. have Central KYC Records Registry (CKRR)
ii. RBI (India) allows banks to open new accounts using OTP on mobile phones, loan
accounts + with threshold or time limit
iii. News re breach of data at Unique Identification Authority of India (biometrics
info)  แต่ปฏิเสธ
c. Aus
i. Open data
1. Individuals and SMEs can actively use their own data (view, request edit,
correction, plus allow machine-readable copy of consumer data to be
provided to nominated third party (similar to SG - no more form fillings)
ii. Open financial data (personal financial data and small business financial data)
 not only "credit data"
1. Key issues: ownership, privacy, liability
d. HK - One of the key focus areas of FSDC (HK FS Development Council)  to have sector-
wide (sector by sector e.g. finance) digital ID utility to address KYC requirements
3. Legal issues - กฎหมายที่ต้องปรับไปพร้อมๆ กันคือ
a. พ.ร.บ. ข้อมูลทะเบียนราษฎร  central database (national KYC utility ของ SG, India) ให้คนเข้าถึงได้เช่น
สง., FinTech, Telco, หรือ คนที่เจ้าของข้อมูลอนุญาตเป็นรายๆ ไป
i. ฐานข้อมูลของ DOPA กรมการปกครอง  ต้องปรับให้ link กับระบบผู้ให้บริการ/สมาชิก, เข้าออนไลน์ได้
แชร์ได้ถ้าได้รับความยินยอมจากเจ้าของข้อมูล ไม่ต้องกรอกข้อมูล ไม่ต้องส่งเอกสารจริง
b. หลักเกณฑ์เฉพาะของ regulator ที่ต้องเกี่ยวข้องกับการทา KYC
- BOT เข้าใจว่าของไทยมีประกาศเรื่อง e-KYC สาหรับเงินฝาก แต่ต้องมีฐานข้อมูลรองรับด้วย เช่นสามารถเอาบัตร
ประชาชนเสียบเพื่ออ่านข้อมูลเรียลไทม์จากกรมการปกครอง และ ทา KYC, CDD ได้ทันที
- SEC
c. AML / CTF
 risk-based approach

5. 5
 การทา KYC กรณี non-face to face transaction ใน guideline ควรเขียนรองรับการทา e-KYC แบบใหม่
ให้ชัด โดยเฉพาะถ้ามี centralized database แล้ว
 การทา CDD โดยระบบอัตโนมัติ
 with threshold or time limit เพื่อลดความเสี่ยง กรณีทา e-KYC
d. พ.ร.บ. ธุรกิจข้อมูลเครดิต  รวมหรือแยกข้อมูลส่วนตัว กับข้อมูลเครดิต  เปิดเสรีธุรกิจข้อมูลเครดิต (credit
bureau หลากหลายเหมือน US?)
e. กฎหมาย Telco เพราะเกี่ยวข้องในการ identify คน เพราะ authentication หลายอย่างมาทาง mobile เช่น OTP,
fingerprint (hardware provider)
f. ร่างพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล  ควรผลักดันให้ออกโดยเร็ว
g. cybersecurity (NHS case)
3. แนวทางกฎหมายที่จะส่งเสริม FinTech
a. "FinTech environment in the UK"
ii. FCA Project Innovate
1. Innovation Hub
2. Advice Unit - regulatory feedback on personal recommendation or discretionary
investment management services focusing on investments, pensions, protection
 more SEC
3. Regulatory Sandbox
iii. BoE New Bank Start-up Unit
iv. BoE FinTech Accelerator
b. Open banking regime
i. SG - creating an API economy
MAS is looking to create an Application Programming Interface (“API”) economy
which allow systems to interact with one another without the need for human
intervention.
Pushing FIs to develop and adopt APIs, and to offer as many of them as possible to
the broader community.  MAS has published a “Finance-as-a-Service API Playbook”
which provides guidance on common and useful APIs that FIs could make available and
the standardization of APIs.
ii. UK ("Regulatory Innovation Plan")
open banking standard for API - allow authorized third parties to access bank data,
allowing innovative services tailored to customer needs -- full open API banking
standard by Q1 2018 for 9 largest UK banks

6. 6
iii. Aus - require banks to share product and customer data with consumer when requested 
allow FinTech companies to innovate
c. Cybersecurity
iv. wannacry malware  cyber risk management = new frontier for global regulatory
effort and supervisory cooperation
v. Thailand - พ.ร.บ.ความผิดเกี่ยวกับคอมพิวเตอร์ + พ.ร.บ.ความมั่นคงปลอดภัยทางไซเบอร์ + พ.ร.บ.
คุ้มครองข้อมูลส่วนบุคคล  controversial
1. Regulator: BOT's IT security requirements (review เพื่อ ensure ว่ายัง effective given
เทคโนโลยีปัจจุบัน และ cybersecurity ที่อาจจะต้องมีมากขึ้น?)
2. Industry: effective cyber defense strategy requires close co-operation and
sharing of cyber intelligence
a. Good model in US is "Financial Services - Information Sharing
and Analysis Centre, or FS-ISAC" -- global financial industry's go-
to resource for cyber threat intelligence analysis and sharing
d. FinTech international cooperation (1. cross-refer to each other innovative businesses that wish
to enter the other market and 2. share info on innovations in their markets)
i. FCA (UK) + JFSA (JP)
ii. FCA (UK) + SFC (HK)
iii. ไทยก็ทาอยู่แล้วกับหลายๆ ประเทศ
4. Others
1. P2P lending (especially client fund segregation issue) - escrow account
a. see BM's memo to BOT
b. SG
i. At present, internet-based payments or P2P lending that takes place outside regulated
banks are not regulated by the MAS because these lending platforms do not take
deposits.
ii. MAS has indicated that they are willing to consider regulation if they get very large
and pose macroprudential concerns. (Materiality and Proportionality)
c. See "Differences in the Regulatory Systems Governing P2P Lending Platforms Between the
UK and Malaysia"
d. "WEF "
2. AI:
a. In finance, professional ethics principles already practiced by professionals could form the
core of ethics modules for AI systems.
b. Privacy and data protection - AI applications need to protect privacy and confidentiality.
c. Accountability and liability - the one who uses the AI system

7. 7
d. Banks use AI
i. big data - just make sure comply with bank secrecy, data protection
ii. consumer facing e.g. AI chatbot - ก็ต้อง treat ลูกค้าตามแนวทางปกติของ bank, data
protection
3. Review of the Four Major Banks: First Report -- Australia