金融科技公司的監管框架
由于金融科技的迅速發展,金融行業已經成為國民經濟中數字化程度最高、數據量最大的行業之一。數字科技為金融行業帶來的變化是結構性的,有正面影響,也有負面影響。雖然金融和技術一直相互影響,但近十年來的變化速度前所未有,是金融機構與人工智能、大數據、云計算技術以及平臺科技巨頭作為新進入者共同演進的結果。金融科技創新在促進競爭、豐富金融產品的多樣性、提升金融服務質量的同時,也出現了一系列問題。在提供巨大潛力的同時,金融科技創新也對監管機構提出了挑戰。金融監管需要確保這些金融科技創新對社會和經濟產生積極的影響。
金融科技監管的目標和原則
從全球最佳實踐來看,金融監管的目標是在以下四個方面尋求平衡:包容性、穩定性、合規發展和消費者保護。這一監管框架同樣適用于金融科技監管,但是,金融科技賦予了這一目標框架新的內涵。具體而言,包容性要求推動普惠金融發展,即所有個人和企業都能獲得負擔得起、負責任和可持續的金融服務;穩定性要求加強宏觀審慎監管,防范系統性風險,維護金融體系的穩健和平穩運行;合規發展要求對金融科技市場的新進入者,不因特定的技術而豁免監管要求;消費者保護要求保護個人隱私,維護客戶的資金安全,免受信息欺詐、技術缺陷、算法歧視和網絡攻擊的傷害。
為實現上述監管目標,需要明確相應的監管原則,具體如下。
風險為本
風險為本(risk-based)的金融監管,是指按照《巴塞爾資本協議》要求,查明主要風險來源,并建立適當的監管框架。一般可以將金融機構的風險劃分為信用風險、市場風險、操作風險、支付風險和法律風險等,現行的《巴塞爾資本協議》主要包含前三大風險的資本要求和監管標準。
不過,在《巴塞爾資本協議》框架中,與技術和數據有關的風險被包含在操作(運營)風險中,相關的資本要求較低,風險管理和合規成本相對較小。這一框架在金融科技發展的浪潮中受到了一些質疑。
隨著金融科技和數字經濟的轉型,巴塞爾的風險識別方法不再能全面應對金融系統所面臨的主要風險。一個逐漸達成的監管共識是——數據化的出現意味著技術風險,包括網絡安全、數據安全以及與個人隱私有關的風險,應被視為一種獨立的風險形式,超越傳統的操作風險范疇。更重要的是,技術風險同時受到宏觀審慎的特別關注,因為技術風險極易在機構內部和機構之間傳染,直接影響金融體系的信心和穩定。
從技術風險角度看,對具有系統重要性的金融科技公司(包括金融科技銀行)的監管要求不再是一般意義上的資本要求,而是需要根據技術風險的重要性,附加更高的數據治理要求和監管標準。
技術中性
技術中性(technology-neutral)被全球公認為互聯網政策的一項重要共識,在金融科技監管上也得到廣泛認可。所謂技術中性,是指技術本身并無善惡之分,監管機構應在技術上保持中立態度,不尋求監管技術創新,而是應該關注技術支持的、應該受到監管的金融流程和活動。例如,監管機構關注的并非自動化投資技術本身,而是技術可能導致的欺詐和建議不當可能導致的風險。
技術中性,意味著無論何種技術,都應該適用于相同的監管原則。在一個高度動態變化的市場中,監管者應允許金融科技公司自由地選擇最適合的技術,不應試圖挑選技術贏家,而是交給市場來決定。換言之,監管機構不應對標榜“技術創新”的金融科技公司放松對產品、流程和行為的監管尺度,反之亦然。
結合“風險為本”和“技術中性”原則,要求監管機構在制定和執行監管框架和規范時,以金融交易的本質和可能衍生的風險為基本考量,不因采用不同的技術而做出特殊的豁免。在實踐中要求監管者在擁抱金融科技創新的同時,更應平衡好對消費者和投資者的保護。
基于行為
金融科技催生新業態、新產品和新模式不斷涌現,金融消費糾紛持續增加,不規范甚至非法的經營行為層出不窮,威脅金融體系的安全。從全球方面來看,各主要國家都在積極探索和加強以法律合規和消費者保護為主的行為監管。基于行為(activity based)的監管,其中的關鍵是關聯交易、反壟斷、投資者適當性、數據產權和個人隱私保護等問題。行為監管與審慎監管的專業要求不同,前者依靠大量的法律和執法專業人士,后者則以財務和風險管理專業背景為主。過去幾年來,全球金融監管改革逐漸形成了“審慎監管+行為監管”的雙峰模式,這對重塑我國金融科技監管架構具有借鑒意義。
功能監管
我國傳統的監管模式是機構式監管(institutional regulation),即在分業經營框架下,監管部門對各自管轄的金融機構行使監管職權,包括市場準入、持續經營、風險管控、風險處置、市場退出等。至今,這套監管模式仍有實際的價值,也有提升和改善的空間。但是,在金融科技公司跨行業、跨市場的平臺式發展背景下,機構監管模式明顯不適應新形勢的要求,這點已經成為市場共識。
改革方向是功能監管(functional regulation)與機構監管相結合,特別要重視功能監管。功能監管即根據金融活動的性質來進行監管,對相同功能、相同法律關系的金融產品按照相同的規則進行一致的監管,與所處機構無關。這一監管思路主要是為了消除潛在的套利風險。
金融科技公司的功能監管有幾個值得關注的問題。一是金融科技介入的節點特征。科技公司通常專注于某項金融業務鏈條中的某些特定環節。功能監管應根據節點所在金融業務的性質,開展相應的監管。二是協調功能監管與機構監管,避免多頭監管。金融科技公司介入多項金融業務的多項節點,對其監管需要有一個機構統籌推動和協調,國際上最常見的是中央銀行。三是擴展監管部門的合作。相較于傳統機構監管,金融科技的功能監管范圍涉及支付、證券、保險和信貸等多個部門,包括地方和中央兩個層級,甚至需要來自信息技術、網絡安全、法律、工商等非金融監管部門的支持。因此,宏觀經濟管理部門內部的協調合作至關重要。建議擴大國務院金融穩定發展委員會的職責和組成,加入統籌協調金融科技、金融創新和數字經濟發展及監管的內容。
平臺金融科技公司數據治理的特有原則
考慮到平臺金融科技公司面臨的特有的數據治理風險,有必要針對金融科技的數據治理提出專門的監管原則。
一是促進效率,維護公平。考慮到數據非競爭性的巨大潛在價值,一方面,應盡可能地鼓勵數據的廣泛使用,保障公平競爭;另一方面,應該防范大型科技公司囤積數據、通過技術和資本優勢擠壓和收購潛在競爭者等不當行為。最激進的方式是推進數據開源,但強制數據共享可能導致出現“搭便車”現象,并抑制企業投資數據經濟的積極性。因此,需要妥善平衡效率與公平的治理原則。
二是保護隱私。盡管加密技術的快速進化有助于解決部分隱私問題,但明確數據的所有權和使用權的歸屬,及其相應的交易機制仍是解決數據濫用問題的關鍵所在。監管機構應致力于推動數據市場的規范化、透明化,維護數據主體的正當權利。
三是數據安全。數據安全問題會降低公眾信任,削弱分享意愿,不利于數據經濟的長期健康發展,并可能引發金融風險。監管部門必須完善數據安全立法,提高全民數據安全意識,落實主體責任,進而提升企業投資網絡安全建設的積極性。
平臺金融科技公司數據治理的制度框架
反壟斷
傳統反壟斷措施主要包括征稅、反壟斷訴訟和強制拆分。從2019年起,歐洲多國開始對互聯網巨頭課征數字服務稅,打破了傳統稅收的屬地原則。反壟斷訴訟屬于事后監管,目前全球最大的幾家科技公司正在接受多起反壟斷調查。隨著平臺科技公司的力量快速加強,拆分壟斷巨頭的呼聲日益高漲,但由于數據經濟的規模效應和網絡效應,即使拆分巨頭,也可能很快再度形成新的壟斷。針對數據市場的這個特性,歐盟于2020年年末發布《數字市場法》草案,直接干預大型互聯網平臺企業運營,規定了判斷和禁止不正當行為的統一規則,并提供了相應的執法機制,這一行為是反壟斷法在數字領域的拓展和體現。
數據確權
構建數據權責框架的標志性措施是2018年歐盟頒布的《通用數據保護條例》。它將數據控制權賦予個人,確保數據處理基于個人自愿同意,個人擁有知情權、更正權、刪除權、限制處理權和反對權。它幫助個人更好地權衡隱私和便利,并確保數據處理是出于合法、公平和透明的目的,被公認為全球對用戶個人數據保護最嚴格的法律。同時,它要求企業通過加密和標記等手段,屏蔽敏感信息,實現數據匿名,保護數據隱私。不過,值得注意的是,過分強調公平和隱私會導致效率受損,嚴格的隱私控制很可能是歐洲在數字經濟競賽中落后于中美的重要原因。
數據安全
目前,防范數據安全隱患的法律包括歐盟發布的《數字服務法》草案和中國發布的《數據安全法》草案。歐盟的法案旨在打擊網絡非法和不安全行為、假冒商品及有害內容;中國的法案旨在建立數據安全制度,明確企業數據安全保護義務。