4月17日消息，2022清華五道口全球金融論壇15日至17日召開，會議主題為“行穩致遠，金融助力高質量發展”。清華大學金融科技研究院金融安全研究中心主任周道許出席并發表演講。

　　周道許指出，當前，金融行業已進入全面科技化階段。金融科技安全是國家金融安全的重要內容之一。面對金融科技創新帶來的多形式、多維度、多受眾風險，加快推進規范、系統、可預期的立法體系，既是宏觀視角下，加強全面依法治國、提升國家治理水平的應有之義，也是微觀視角下維護金融行業秩序、規制金融機構業務、提供金融創新指引和穩定金融政策環境的必然要求。

　　周道許強調，金融科技安全立法活動要立足于金融科技的轉型引擎、防范化解風險利器的定位，統籌國內外、各領域、各區域、各主體發展情況，更好引領金融科技安全創新。增強安全立法的普遍覆蓋性，逐步健全涵蓋金融科技安全主要業務領域、技術環節和金融產品全研發周期的全面立法體系，補充完善數據安全等監管標準；劃清政府與市場邊界，變強制為引導，制定完善政務數據開放目錄，合理制定定性定量監管指標，科學制定對運營方的準入與業務評估等監管要求，加強合規審計；逐步打破行業數據孤島，關注對長尾用戶開展服務的規范性與風險，統籌好發展與安全。

　　以下為周道許演講全文：

　　各位領導、各位專家、各位老師、各位同學，線上線下的朋友們：

　　大家下午好！我今天演講的題目是“加強金融科技安全立法，保障金融行業安全發展——關于我國金融科技安全立法的特點、難點和要點分析”。剛才張健華行長做了很好的啟發性報告，其中也提到了立法的問題。我今天主要分享三個方面：我國金融科技安全立法特點、我國金融科技安全立法難點、我國金融科技安全立法政策建議要點。

　　當前，金融行業已進入全面科技化階段。金融科技安全是國家金融安全的重要內容之一。面對金融科技創新帶來的多形式、多維度、多受眾風險，加快推進規范、系統、可預期的立法體系，既是宏觀視角下，加強全面依法治國、提升國家治理水平的應有之義，也是微觀視角下維護金融行業秩序、規制金融機構業務、提供金融創新指引和穩定金融政策環境的必然要求。

　　一、我國金融科技安全立法特點

　　一是形成了以全國人大立法為綱，以行業主管部門、監管部門和地方政府規范為目，涉及金融科技安全各個方面的立法體系。

　　近年來，黨中央、國務院高度重視金融科技安全方面的立法工作，為促進金融科技安全發展提供了有力保障。從全國人大、國務院、中央部委到地方人大，出臺大量專門法律，與修訂后的相關法律和部門制訂的各類規范性文件相配合，總體上涵蓋金融機構安全、金融業務安全、網絡安全、信息安全、數據安全及金融基礎設施安全等領域。目前，我國以《國家安全法》《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》以及4月6日公開征求意見的《中華人民共和國金融穩定法》等多部目的明確、條文細致的上下位法和配套法律、法規、條例、指導意見等，共同組成了我國金融科技安全法律體系，為金融行業安全發展提供了良好保障。

　　二是反映了總體國家安全觀的要義，勾勒出我國統籌發展和安全的立法邏輯主線。

　　在有關金融科技安全的立法活動中，統籌發展與安全的思想貫穿于多部法律，并具有原則化表述，如《國家安全法》第20條規定，“維護金融安全的任務是：國家健全金融宏觀審慎管理和金融風險防范、處置機制，加強金融基礎設施和基礎能力建設，防范和化解系統性、區域性金融風險，防范和抵御外部金融風險的沖擊。”

　　又如《數據安全法》第十三條規定，“國家統籌發展和安全，堅持以數據開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展。”

　　三是劃出了金融科技安全的界線和紅線，通過政策導向和重點管理內容使安全體系日臻成熟。

　　首先是界線。相關立法活動劃出了包羅機構、業務、信息、數據、技術、用戶、監管等多個維度安全的金融科技安全界線。如提供支付服務的機構在保障其金融業務必須滿足資本、杠桿等規定之余，還要滿足傳統金融安全界線之外的，由電信、網信等部門發布的，諸如移動端的系統等不受破解侵害、收集的數據處于“必要范圍”之中等安全要求。即一切與金融科技密切關聯的內容，都將受到法律規制，并處于金融科技安全的“界線”之內。其次是紅線。相關立法活動劃出了涵蓋個人隱私至上和系統性風險防范等方面的金融科技安全紅線。金融科技帶來的風險，最終都要作用到具體的人或企業上。對用戶來說，公民個人可能因接受金融服務而成為隱私數據泄露、竊取、非法買賣等行為的受害者，所享有的最基本權利直接面臨不法威脅；對企業來說，機構間可能存在交易密切關聯、業務復雜嵌套、算法技術近似等現象，一旦存在密切往來的龐大機構出現嚴重問題，就可能連帶恐慌情緒猛烈沖擊金融行業聲譽，進而發生恐慌擠兌，造成企業連環倒閉等系統性破壞。基于以民為本和對系統性風險“零容忍”的一貫監管取向，有關立法活動將對大量可能觸及這兩方面的內容作出層層限制或禁止規定，劃定了金融科技安全發展的“紅線”。

　　四是突出了對用戶隱私的保護，從多層次、多方面、多角度維護用戶的合法權益。

　　以反壟斷、反“殺熟”來消減用戶群體的交易劣勢，以限采集、選協議來消減用戶群體的使用劣勢，以限推薦、反跟蹤來消減消費者的認知劣勢，這些規定切實體現了以人民安全為宗旨，切實維護廣大人民群眾安全權益的安全管理要求。

　　二、我國金融科技安全立法難點

　　首先是關于數據所有權、交易權、收益分配權確權和數據交易的法律問題。現在全國各地成立了很多數據交易所，但是我們數據相關權利的立法遲遲沒有推出來，可能有以下三方面原因：

　　一是單一數據難以確認交易價值。數據不是一個普通的排他性的生產要素，它是非排他性的。只有大數據才有用，所以把數據單獨拆分在用戶手里，其實并沒有太多用處。數據必須是大數據、活數據才有價值，當把數據打散存放在用戶身上的時候，這種小數據、一次性的截面式的數據沒太大的價值。

　　二是數據開發使用和個人隱私的矛盾。基于商業目的的數據交易也常常伴隨著用戶隱私權被侵犯的風險。但如果不能夠方便使用數據，過度保護用戶隱私，數據技術進步就成了空話。

　　三是數據本身是生產要素，圍繞數據進行的交易行為會涉及要素分配，如果處理不好會影響社會公平。將數據交易產生的收益統歸于運營方無疑會擴大財富不均，甚至誘發平臺“掠奪式”收集數據的可能。

　　之后是關于網絡數據與司法證據間的法律問題。

　　一是網絡數據規模呈幾何式膨脹，流轉路徑龐大復雜，產生了溯源取證的客觀難題。從信息收集環節看，在同業機構的信息收集范圍，受相同約束的情況下，不同機構有對相同用戶提供服務并收集相似信息的可能；從信息流轉環節看，相同信息被多領域、多地域、多主體共享，且外界難以知曉機構對某一數據的實際掌握情況。一旦出現數據泄露，難以就被侵權的數據片段進行溯源取證并相應追責。

　　二是國際間的數據政策壁壘加大了跨境取證難度。于2018年生效的美國《澄清境外數據合法使用法案》中規定，“云上存儲數據的美國企業”和“與美國有足夠關聯且受美國管轄的企業”都要在美國政府提出要求時對其轉交數據，這便構建了美國對境外數據實施“長臂管轄”的法律基礎。而針對這一法律，歐盟的通用數據保護條例（GDPR）中也有類似規定。我國的《數據保護法》第三十六條對此要求“應當向主管機關報告，獲得批準后方可提供”，這些對抗立法，在客觀上增厚了國際間的數據壁壘，加大了跨境司法取證協作的難度。

　　三是由網絡數據得出的分析結論成為司法證據的條件不易滿足。基于證據的客觀真實性、合法性和關聯性要求，網絡數據本身需要保證其與事實相關內容的全面、完整、真實性，不能存在因故意隱瞞或增刪改原始材料而形成有利結論的基礎；提供的網絡數據需被合法取得，數據的處理分析過程需要保證真實、科學、嚴謹，分析方法與工具通常應得到業界的普遍認同或司法的認證同意；處理的過程和得出的結論需要滿足個人信息保護等要求，并得出與認定事實有關的結論，才可能被考慮認定為司法證據。這一系列限制條件，網絡數據本身要成為司法證據門檻很高，也很難達到，所以從網絡數據到證據的路比較長。

　　之后是關于人工智能等金融科技參與交易決策的法律責任認定問題。

　　當人工智能等金融科技作為輔助或自主進行交易決策，并產生歧視、損失或可能導致進一步損失的風險時，對機構的法律責任認定卻可能因“技術中性”或“技術黑箱”而被規避。

　　“技術中性”即技術本身無善惡、無目的，客觀的數學模型或程序在進行決策時不具有人類的主觀思考能力。但看似消除主觀偏見的算法卻可能在建構之初隱含著運營者的價值取向與利益導向，最初設置的歧視傾向也會在自主學習中逐漸成型，進而在形式上將主觀問題包裝成為客觀失誤，將自身從主要責任中剝離。

　　“技術黑箱”具有兩層含義：一是因底層算法的交織嵌套與不透明性而對用戶與監管部門及時了解識別風險造成阻礙的“外部黑箱”。二是由人工智能深度學習和自動優化的算法形成了可能對機構自身風險管理的“內部黑箱”。“技術中性”和“技術黑箱”兩方面因素，導致我們很難辯明有關主體是否有主觀惡意，并盡到保護責任，黑箱的存在使歸責的責任難度陡然上升，我們在做法律認定時很難。在這方面，中國人民銀行做出有益探索，也取得積極進展，受到業界好評。

　　為了全面提升人工智能技術在金融領域的應用和管理水平，推動金融與科技深度融合協調發展，中國人民銀行于2021年3月26日發布了《人工智能算法金融應用評價規范》，針對當前人工智能技術應用存在的算法黑箱、算法同質化、模型缺陷等潛在風險問題，建立了人工智能金融應用算法評價框架，從安全性、可解釋性、精準性和性能等方面系統化地提出基本要求、評價方法和判定準則，為金融機構加強智能算法應用風險管理提供指引。所以我們監管機構在這方面正引導人工智能健康發展，為金融賦能的同時防范風險、保障安全。

　　最后是關于基于區塊鏈的智能合約的法律問題。區塊鏈是我們金融科技最重要的底層技術之一，最終改變信用的分布方式，從中心信用轉變為分布式信用。智能合約是參與方基于雙方意思表示一致，而達成并自動執行的數字化契約。基于區塊鏈的智能合約具有不可篡改的特征，在智能合約代碼被編制到鏈上并經雙方確認同意后，代碼就能實現不被修改、不被終止地依據預設條件自動運行。

　　基于這一特征，便產生了智能合約法律有效性的多個問題。就是說對區塊鏈智能合約在法律上存在爭議有三方面難題：一是智能合約是否應當被視為法律意義上的合同。一個觀點是不應該視為法律意義上的合同，另一個觀點是可以視為法律意義上的合同。所以在智能合約方面大家有巨大的爭議。如果按照有關定義將智能合約看作專用于執行的代碼或應用程序，則更應將其視為合同履約工具；也有觀點認為，如果將智能合約視為滿足主體平等、意思表示一致等全部合同特征的契約，且滿足《民法典》關于合同成立和生效等內容的規定，便可以將其視為生效的合同。二是現有法律缺少對智能合約的約束能力。代碼不可篡改且自動執行的設計，突出了智能合約“代碼即法律”的特點。這代表著，在區塊鏈中，代碼不依賴于由司法提供的強制力保障，同時司法也不直接具有干涉合約自動執行的能力。這種代碼至上、邏輯至上的設計無疑構成了對法律約束力的挑戰。區塊鏈是技術層面的，法律是上層建筑，是國家制度層面的，所以變成了技術與國家制度之間的沖突。三是智能合約執行時的歸責問題。代碼是智能合約的存在基礎，當因合同雙方或由其聘請的第三方編寫的代碼出現錯誤，而導致交易不能執行或錯誤執行，抑或是在合同執行中，一方因發現合約漏洞，而要求另一方返還所得并重新訂立合約時，造成的損失應由誰來擔責尚不明確，而歸責的基礎依然建立在智能合約的法律認定之上。智能合約算不算合同的問題？類似于現在正在做的無人駕駛，技術上不是難題，一個是法律上的難題，一個是能力上的難題。比如設計一個無人駕駛程序時，是優先選擇乘客，還是優先選擇保護程序，我想機器人是不能識別的，需要算法決定，算法編制程序的人在決定誰的生命權至上的問題，這也是智能合約面臨的法律問題。

　　以上就是金融科技立法面臨的四大難題。

　　三、我國金融科技安全立法政策建議要點

　　要點一，堅持總體國家安全觀的立法思路，走中國特色的金融科技安全立法道路，防范和化解重大金融科技安全風險。

　　金融科技安全立法活動要立足于金融科技的轉型引擎、防范化解風險利器的定位，統籌國內外、各領域、各區域、各主體發展情況，更好引領金融科技安全創新。增強安全立法的普遍覆蓋性，逐步健全涵蓋金融科技安全主要業務領域、技術環節和金融產品全研發周期的全面立法體系，補充完善數據安全等監管標準；劃清政府與市場邊界，變強制為引導，制定完善政務數據開放目錄，合理制定定性定量監管指標，科學制定對運營方的準入與業務評估等監管要求，加強合規審計；逐步打破行業數據孤島，關注對長尾用戶開展服務的規范性與風險，統籌好發展與安全。

　　要點二，加快我國金融科技安全專業立法，更好地適應金融科技快速發展變化的需要，更好地保障金融科技行業安全發展。

　　金融科技安全立法活動要突出對創新的包容和指引性，形成寬嚴相濟的環境，以業績分級分類為基礎，允許金融機構在高風險、高危害范圍外適度創新。要建立監管部門與市場溝通對話機制，促進雙方相互了解行業發展趨勢和監管要求。

　　要點三，借鑒國際金融科技安全立法的理念和經驗，把握世界金融科技安全趨勢，共同推進金融科技全球安全。

　　加強全球金融科技發展評估與風險監測，探索建立金融科技監管信息共享，風險聯動應對和危機處置機制，加快網絡安全、數據治理、跨境支付、反洗錢等關鍵領域的金融科技國際標準規則體系建設，切實解決好金融科技跨境監管和監管套利的問題，努力在全球范圍內形成百舸爭流、百花齊放的金融科技發展新格局。

　　謝謝大家！

海量資訊、精準解讀，盡在新浪財經APP

責任編輯：李琳琳