金融科技公司的监管框架
由于金融科技的迅速发展,金融行业已经成为国民经济中数字化程度最高、数据量最大的行业之一。数字科技为金融行业带来的变化是结构性的,有正面影响,也有负面影响。虽然金融和技术一直相互影响,但近十年来的变化速度前所未有,是金融机构与人工智能、大数据、云计算技术以及平台科技巨头作为新进入者共同演进的结果。金融科技创新在促进竞争、丰富金融产品的多样性、提升金融服务质量的同时,也出现了一系列问题。在提供巨大潜力的同时,金融科技创新也对监管机构提出了挑战。金融监管需要确保这些金融科技创新对社会和经济产生积极的影响。
金融科技监管的目标和原则
从全球最佳实践来看,金融监管的目标是在以下四个方面寻求平衡:包容性、稳定性、合规发展和消费者保护。这一监管框架同样适用于金融科技监管,但是,金融科技赋予了这一目标框架新的内涵。具体而言,包容性要求推动普惠金融发展,即所有个人和企业都能获得负担得起、负责任和可持续的金融服务;稳定性要求加强宏观审慎监管,防范系统性风险,维护金融体系的稳健和平稳运行;合规发展要求对金融科技市场的新进入者,不因特定的技术而豁免监管要求;消费者保护要求保护个人隐私,维护客户的资金安全,免受信息欺诈、技术缺陷、算法歧视和网络攻击的伤害。
为实现上述监管目标,需要明确相应的监管原则,具体如下。
风险为本
风险为本(risk-based)的金融监管,是指按照《巴塞尔资本协议》要求,查明主要风险来源,并建立适当的监管框架。一般可以将金融机构的风险划分为信用风险、市场风险、操作风险、支付风险和法律风险等,现行的《巴塞尔资本协议》主要包含前三大风险的资本要求和监管标准。
不过,在《巴塞尔资本协议》框架中,与技术和数据有关的风险被包含在操作(运营)风险中,相关的资本要求较低,风险管理和合规成本相对较小。这一框架在金融科技发展的浪潮中受到了一些质疑。
随着金融科技和数字经济的转型,巴塞尔的风险识别方法不再能全面应对金融系统所面临的主要风险。一个逐渐达成的监管共识是——数据化的出现意味着技术风险,包括网络安全、数据安全以及与个人隐私有关的风险,应被视为一种独立的风险形式,超越传统的操作风险范畴。更重要的是,技术风险同时受到宏观审慎的特别关注,因为技术风险极易在机构内部和机构之间传染,直接影响金融体系的信心和稳定。
从技术风险角度看,对具有系统重要性的金融科技公司(包括金融科技银行)的监管要求不再是一般意义上的资本要求,而是需要根据技术风险的重要性,附加更高的数据治理要求和监管标准。
技术中性
技术中性(technology-neutral)被全球公认为互联网政策的一项重要共识,在金融科技监管上也得到广泛认可。所谓技术中性,是指技术本身并无善恶之分,监管机构应在技术上保持中立态度,不寻求监管技术创新,而是应该关注技术支持的、应该受到监管的金融流程和活动。例如,监管机构关注的并非自动化投资技术本身,而是技术可能导致的欺诈和建议不当可能导致的风险。
技术中性,意味着无论何种技术,都应该适用于相同的监管原则。在一个高度动态变化的市场中,监管者应允许金融科技公司自由地选择最适合的技术,不应试图挑选技术赢家,而是交给市场来决定。换言之,监管机构不应对标榜“技术创新”的金融科技公司放松对产品、流程和行为的监管尺度,反之亦然。
结合“风险为本”和“技术中性”原则,要求监管机构在制定和执行监管框架和规范时,以金融交易的本质和可能衍生的风险为基本考量,不因采用不同的技术而做出特殊的豁免。在实践中要求监管者在拥抱金融科技创新的同时,更应平衡好对消费者和投资者的保护。
基于行为
金融科技催生新业态、新产品和新模式不断涌现,金融消费纠纷持续增加,不规范甚至非法的经营行为层出不穷,威胁金融体系的安全。从全球方面来看,各主要国家都在积极探索和加强以法律合规和消费者保护为主的行为监管。基于行为(activity based)的监管,其中的关键是关联交易、反垄断、投资者适当性、数据产权和个人隐私保护等问题。行为监管与审慎监管的专业要求不同,前者依靠大量的法律和执法专业人士,后者则以财务和风险管理专业背景为主。过去几年来,全球金融监管改革逐渐形成了“审慎监管+行为监管”的双峰模式,这对重塑我国金融科技监管架构具有借鉴意义。
功能监管
我国传统的监管模式是机构式监管(institutional regulation),即在分业经营框架下,监管部门对各自管辖的金融机构行使监管职权,包括市场准入、持续经营、风险管控、风险处置、市场退出等。至今,这套监管模式仍有实际的价值,也有提升和改善的空间。但是,在金融科技公司跨行业、跨市场的平台式发展背景下,机构监管模式明显不适应新形势的要求,这点已经成为市场共识。
改革方向是功能监管(functional regulation)与机构监管相结合,特别要重视功能监管。功能监管即根据金融活动的性质来进行监管,对相同功能、相同法律关系的金融产品按照相同的规则进行一致的监管,与所处机构无关。这一监管思路主要是为了消除潜在的套利风险。
金融科技公司的功能监管有几个值得关注的问题。一是金融科技介入的节点特征。科技公司通常专注于某项金融业务链条中的某些特定环节。功能监管应根据节点所在金融业务的性质,开展相应的监管。二是协调功能监管与机构监管,避免多头监管。金融科技公司介入多项金融业务的多项节点,对其监管需要有一个机构统筹推动和协调,国际上最常见的是中央银行。三是扩展监管部门的合作。相较于传统机构监管,金融科技的功能监管范围涉及支付、证券、保险和信贷等多个部门,包括地方和中央两个层级,甚至需要来自信息技术、网络安全、法律、工商等非金融监管部门的支持。因此,宏观经济管理部门内部的协调合作至关重要。建议扩大国务院金融稳定发展委员会的职责和组成,加入统筹协调金融科技、金融创新和数字经济发展及监管的内容。
平台金融科技公司数据治理的特有原则
考虑到平台金融科技公司面临的特有的数据治理风险,有必要针对金融科技的数据治理提出专门的监管原则。
一是促进效率,维护公平。考虑到数据非竞争性的巨大潜在价值,一方面,应尽可能地鼓励数据的广泛使用,保障公平竞争;另一方面,应该防范大型科技公司囤积数据、通过技术和资本优势挤压和收购潜在竞争者等不当行为。最激进的方式是推进数据开源,但强制数据共享可能导致出现“搭便车”现象,并抑制企业投资数据经济的积极性。因此,需要妥善平衡效率与公平的治理原则。
二是保护隐私。尽管加密技术的快速进化有助于解决部分隐私问题,但明确数据的所有权和使用权的归属,及其相应的交易机制仍是解决数据滥用问题的关键所在。监管机构应致力于推动数据市场的规范化、透明化,维护数据主体的正当权利。
三是数据安全。数据安全问题会降低公众信任,削弱分享意愿,不利于数据经济的长期健康发展,并可能引发金融风险。监管部门必须完善数据安全立法,提高全民数据安全意识,落实主体责任,进而提升企业投资网络安全建设的积极性。
平台金融科技公司数据治理的制度框架
反垄断
传统反垄断措施主要包括征税、反垄断诉讼和强制拆分。从2019年起,欧洲多国开始对互联网巨头课征数字服务税,打破了传统税收的属地原则。反垄断诉讼属于事后监管,目前全球最大的几家科技公司正在接受多起反垄断调查。随着平台科技公司的力量快速加强,拆分垄断巨头的呼声日益高涨,但由于数据经济的规模效应和网络效应,即使拆分巨头,也可能很快再度形成新的垄断。针对数据市场的这个特性,欧盟于2020年年末发布《数字市场法》草案,直接干预大型互联网平台企业运营,规定了判断和禁止不正当行为的统一规则,并提供了相应的执法机制,这一行为是反垄断法在数字领域的拓展和体现。
数据确权
构建数据权责框架的标志性措施是2018年欧盟颁布的《通用数据保护条例》。它将数据控制权赋予个人,确保数据处理基于个人自愿同意,个人拥有知情权、更正权、删除权、限制处理权和反对权。它帮助个人更好地权衡隐私和便利,并确保数据处理是出于合法、公平和透明的目的,被公认为全球对用户个人数据保护最严格的法律。同时,它要求企业通过加密和标记等手段,屏蔽敏感信息,实现数据匿名,保护数据隐私。不过,值得注意的是,过分强调公平和隐私会导致效率受损,严格的隐私控制很可能是欧洲在数字经济竞赛中落后于中美的重要原因。
数据安全
目前,防范数据安全隐患的法律包括欧盟发布的《数字服务法》草案和中国发布的《数据安全法》草案。欧盟的法案旨在打击网络非法和不安全行为、假冒商品及有害内容;中国的法案旨在建立数据安全制度,明确企业数据安全保护义务。