文/吳曉靈(清華大學五道口金融學院理事長、中國人民銀行原副行長)
近幾年的平臺金融科技興起于第三方支付業務,并逐步介入金融領域的不同環節,實質開展節點型金融業務。其優點是拓展了金融服務的范圍,提升了金融服務的效率和客戶體驗,促進了金融體系的數字化轉型,但同時也帶來了新的風險和挑戰,如平臺公司的壟斷問題、個人隱私的保護問題、算法的歧視問題、介入金融業務后的便利性可能引發個人過度負債問題、信用風險問題和系統性金融風險問題等。
信貸是中國金融服務實體經濟的主要活動,也構成了中國銀行業金融機構最主要的收入來源。近年來,隨著數字技術的發展,金融科技公司逐漸介入信貸領域,在降低業務成本、觸達長尾客戶的同時,也在客觀上分拆了信貸業務流程,形成了節點型金融模式,給傳統金融機構和金融監管帶來了重要挑戰。
真正的創新往往是“無中生有”,應該如何認識金融科技公司介入信貸業務的實質?應該怎樣應對其帶來的壟斷風險、系統性風險和倫理道德問題?本文提出了金融科技公司監管的基本思路、基本原則和重點建議,嘗試構建面向數字時代的金融科技監管框架。
一、金融科技公司監管的基本思路
金融科技并沒有改變金融本質,金融監管的基本理念和邏輯也沒有發生變化。金融仍是人和人之間基于信任的資源跨時空配置,是人類的合作機制之一,金融監管仍需要著力于資本、行為以及投資者和消費者的保護三個方面。此外,金融科技的監管還需關注并應對以下三個方面的變化。一是金融分工細分,聯系網絡化。二是服務新客戶群,形成新的業務模式和組織方式,市場力量對比發生變化。三是數據驅動,需要在金融監管之外強化數據治理的規制。
首先,通過金融與數據空間的映射實現金融科技監管。金融將物理世界映射到金融空間,金融科技將傳統的金融空間進一步映射到數字空間,金融的呈現形態和技術實現方式發生了變化。因此,需要找到數字空間的“對應物”,根據相同的監管理念和邏輯,采用科技方式監管。具體而言,現實世界的自然人,法律意義上的法人轉變為數據空間中的節點——“人工智能人”,行為則對應于算法,與客戶、合作伙伴的觸達則從物理網點轉為網頁、App和API等,基礎設施等轉為物聯網、區塊鏈、數據治理等。監管可以在區塊鏈上設置特殊節點,通過算法監測和管理。
其次,適應分工細分和網絡化,從機構監管轉向功能和行為監管。金融分工細化和網絡化后,不再傳統地以單一機構為核心、全面承擔金融鏈條上的全部風險。金融監管既可以通過合并報表、表外回表內、“穿透”等技術,回到傳統的以機構為主的監管,也可以創新監管方式,深入領悟監管精神,把握監管原則,根據金融形態變化再創造監管技術。
金融監管本質上就是要保證每個參與主體的權責利對等,盡可能地將外部性內化。或者說,就是要確保合適的人(股東、高管、營銷和專業人員)和機構(資本金、專業和誠信、機構整體的資質、牌照管理)針對合適的客戶(合格投資者,需具備專業知識、風險承擔能力和民事能力)以合適的形式(行為監管,包括關聯交易、壟斷行為、信息披露)提供合適的產品和服務(在合適的人群之間,在信息必要披露和市場力量相對均衡的環境下,公開、公平、公正地開展合法活動,即保證參與方有足夠的信息知情、專業能力和風險承擔能力,相信市場能形成有效率的交易和價格)。可將這種監管精神分解到每個環節,保證每個節點和行為都遵循這些監管理念。節點(機構)的邊界,是除政府和法律調整的責任外,為且只為自己的行為承擔全部后果的行為主體集合。
第三,基于數字時代的金融管理。無論是基于映射下的金融監管,還是基于網絡化分工細化中的金融監管,都是在原有金融范式下的金融監管。金融的數字化,不僅是傳統金融關系和業務的數字化,還是金融范式的轉變。因此,需要將金融科技監管納入數字時代的數據治理范疇,推動基于數字時代的金融管理。這既包括數據治理的一般性要求,也包括貨幣、金融在數字空間的獨有形態和組織方式。貨幣(信任)和金融越來越“內生”,內嵌于生產生活中,“日用而不知”處于“隱”的狀態,數字貨幣和數字資產具有自我演化特性,通過迭代自我成長。在自組織的數字金融生態中,貨幣調控和金融監管的必要性將逐步降低。金融管理與引導數字經濟發展相融合,需要為多樣化的數字經濟主體、模式留下足夠的發展空間,更需要踐行“監管沙盒”所隱含的現實實驗和開放成長理念。
二、金融科技公司監管的基本原則
金融科技的監管應平衡技術、金融和社會倫理之間的不同訴求,平衡金融科技的系統性風險防控和數字產業的健康發展,注重監管的效率和適宜性。具體而言,金融科技監管宜遵循以下五點原則。
第一,無監管套利均衡(監管中性或功能監管)。爭取實現金融業務監管按整體和按環節分解無差異,由金融系統和非金融系統開展的監管無差異。即僅通過環節的細分、不同類型機構的合作不會帶來監管紅利,同時,監管也不會阻礙分工細化和機構間的合作。這并不要求一步到位。實際上只要市場存在套利機制即可,即監管保持足夠謙卑,認識到市場結果不合意既可能是市場主體的違法違規所致,也可能是監管政策不合理所致。如果是后者,則應及時調整監管政策。此外,監管對技術保持中性態度,對不同技術路徑不宜有價值判斷,保持開放態度,重點放在技術使用上。
第二,鼓勵創新、轉型風險可控和金融安全相統一。金融科技只是對金融形式的改造,而不涉及范式變革。為此,金融監管要順應數字化轉型的大趨勢,承認行業的深層次重構帶來的中心和主體變遷,要不拘泥于監管形式和現有做法,把握金融監管的精神實質,在技術和組織、流程重構后,于新空間中再創造性運用。當然,需要平衡“破”和“立”的程度和節奏,控制轉型風險,達到鼓勵創新、控制風險、維護安全。
第三,最小干預原則,注重監管效率。金融監管是應對市場失靈的重要措施。要重視監管效率,平衡好監管的收益與成本,不宜過度介入金融市場和機構的日常運營,以免給市場帶來過高成本。金融科技的監管要秉持最小干預原則,避免對市場的過度扭曲。以損失效率、付出極高成本來維護金融穩定既不利于金融的發展,也不利于維持和提高金融體系的競爭力。監管的組織,包括人員編制和科技手段的應用,宜與金融科技特點相適應,保證可行且有效。
第四,普惠、高效的服務與社會倫理的平衡。技術是中性的,使用得當能提升金融市場整體的效率。因此,社會達成共識的倫理道德觀需要通過一定的方式嵌入金融科技的業務、程序和監管之中。應防范金融科技公司打著“普惠金融”的旗號,過度觸及沒有風險評判能力、不能承擔風險的服務群體,演變為誘導消費、過度信貸。需強化金融科技公司的反競爭策略、歧視性定價等反壟斷審查,加大對其算法透明度的要求,防止出現算法歧視,保護個人數據隱私。
第五,宜區分金融風險、經營風險和技術風險,分類監管。金融科技公司介入金融領域后,金融鏈條上不同環節承擔的風險性質不同。有些是部分出資,承擔金融風險;有些是管理和操作成本,承擔經營風險;有些負責技術系統的開發和運營,承擔技術風險。金融中的尾部風險損失需要通過適度資本金吸收,但技術風險(信息技術和模型風險)、市場的商業風險(表現為經營或交易失敗)應有另外不同的管理機制。技術風險中的模型風險也要進一步區分:一是技術設計不當等設計開發的純技術風險,二是使用者決策采納并使用該模型所需要承擔的因模型不當引發的風險。前者為技術風險,應由技術提供方負責并承擔;后者宜由決策者負責并承擔,金融領域轉變為金融風險。
金融科技通過新一代的信息技術,將數據、技術和金融聯結起來,形成新的金融服務、組織和模式,需進一步創新金融科技的監管方法,我們要關注三個重點。
第一,明確金融科技含義,界定金融機構和金融行為。
科技公司和金融機構的監管文化和邏輯存在根本性差異,前者強調“法無禁止即可為”,后者則需要“持牌經營”“法有規定才可為”。因此,目前對金融科技公司性質的界定尤為重要。
需要嚴格界定金融科技公司的“金融”屬性。從監管的角度來看,是因為金融屬性(行為)存在外部性和系統性風險,會破壞市場力量均衡,損害消費者或投資者的利益。金融科技公司從事活動的風險種類較為復雜,涉及金融風險、技術風險和商業風險。金融科技公司介入的金融領域,往往只是某項金融業務多個環節中的一個或多個。金融業務邊界不斷模糊、缺乏所謂的“本源”業務,已使傳統從本源業務上認定“金融”屬性的方法不再適用,需回到相對穩定的金融功能,重新梳理金融的本質特征,根據新業務、新模式、新流程再認定。
機構是風險發生和承擔的“節點”。因而,可從金融風險發生和承擔主體上認定金融機構,要求“節點”有吸收損失的、充足的資本金,以及風險識別、定價和處置的專業能力(人才、組織和機制)。金融處理的是人與人之間關于現金流權利與義務的關系,可根據是否實現了資產或對象的現金流特征轉換,如期限、分布和風險承擔原則等判定是否發生金融風險的改變和承擔。
以金融產品或服務為標準認定金融行為。需要強化對客戶觸達節點的行為管理(銷售和服務)、與合作伙伴交易中的合理性管理。
第二,基于風險承擔的節點(機構)的審慎管理。
系統通過節點分散并承擔最終風險。為了保證金融系統的穩健,需要保證每個節點在微觀和宏觀上保持審慎態度。這需要對承擔風險節點的資本金、內部機制以及專業能力提出必要的要求。金融科技公司參與金融業務細分環節的某些環節,僅需對承擔最終風險的環節施加與其實際風險承擔相一致的資本等審慎管理要求。具體包括,需具備足夠的專業能力、設計并運行良好的機制,以及充足的資本金,并通過牌照或資質等方式加以確認。
考慮到當前金融科技公司承擔風險的特殊性,對其資本金的要求可不同于一般金融機構。
一是按實際風險承擔要求資本充足率。金融科技公司利用金融科技技術,累積用戶數據,不斷迭代風險控制模型,提高風險識別和控制能力。實際上,金融科技公司的消費性貸款和面向小微企業的流動性貸款的不良率,都低于銀行業同類業務的平均水平。因此,在正常經濟環境下,金融科技公司的資本充足率要求也可適當低于傳統銀行業,適當降低資本充足率要求或降低風險資產系數。
金融科技公司往往通過聯合貸款或助貸方式介入信貸領域,需具體判斷風險的最終承擔情況。如果能夠做到事實與法律意義上的獨立決策、獨立風控并獨立承擔責任,那么聯合貸款和助貸的金融風險,可根據雙方的出資額分別計算和承擔。如果無法證明或者事實上無法做到嚴格獨立,那么需要將雙方的業務合并,計算整體的資本充足率,加重雙方的資本要求。金融科技公司通過信貸資產買賣或資產證券化,將信貸資產移出表外,也需要根據其真實出表程度(即所謂的“表外回表”),計算金融科技公司為承擔這部分資產風險所需承擔的資本。
二是增加逆周期風險緩沖資本要求。考慮到肥尾和風險非線性特征,需對金融科技公司提出額外的逆周期風險緩沖資本要求。具體而言,金融科技公司在規模擴張時,需要額外儲備一筆逆周期風險緩沖資本直至達到總資產的一定比例,用于應對可能非線性增大的系統性金融風險。逆周期風險緩沖資本可考慮由獨立第三方受托管理。
金融科技公司的行為絕大部分是通過算法實現的。為此,除利用傳統的會計、審計、律師等中介組織外,還需要以算法為基礎,強化行為監管。行為監管主要在三個環節開展:客戶觸達和服務、與合作伙伴的交易、產品和服務的設計和提供。可將金融監管要求、社會倫理和反壟斷審查等都嵌入行為監控中。
一是將算法監管納入平臺監管中,在算法模型中構建監管要求、道德倫理和反壟斷等方面的檢測機制。二是構建算法審計。在算法開發階段“融入”可審計性。三是提高算法透明度,要求企業數據決策系統可追溯與可復盤,建立分級的監管體系。對于適合公開的數據,要求其公開源代碼或核心算法;對于涉及商業機密等因素不適合公開的數據,可規定其委托第三方專業機構出具審查報告或提供自我審查報告。
綜上所述,我們建議采取適合金融科技的監管方式和手段,具體如下。
首先,建立分類多級牌照和資質管理。
金融是具有強烈外部性和高度專業化的行業,需堅持“持牌經營”和資質管理。但金融科技的發展已將原有業務環節細化、分工社會化,單一綜合牌照容易束縛分工合作的自然演化。為了給數字金融保留足夠的空間和靈活性,可采取分類多級牌照和資質管理方式,按金融科技公司實際開展業務類型頒發相應的業務準入牌照,涉及專業職能和面對公眾的崗位時,需嚴格資質管理。
第二,大力發展監管科技,建設全國層面的“監管大數據平臺”。
金融的數字化,也需要監管的數字化,包括監管大數據的建設、監管規則的數字化和標準化,監管手段的數字化和智能化。為此,監管部門可與網絡安全部門(如國家互聯網應急中心)開展合作,聯合建設大數據監管平臺,利用科技手段推動監管工作信息化、智能化。一是被監管部門的基礎數據庫和業務操作系統需預留監管接口。即監管部門與被監管對象均基于相同的基礎數據庫和日常操作系統。可考慮通過應用程序接口(API)等方式,直聯金融科技公司的數據庫,隨時提取所需數據,提高監管的及時性和有效性。二是推動監管規則和監管行為的智能化轉型。可考慮在當前區塊鏈網絡中設置監督、審批等特殊節點,通過設計監管算法等方式,將監管規則和監管行為智能化地納入節點(機構)和行為(算法)的設計、運營中。三是運用AI技術前瞻性地研判風險情景,實時監督各類違法違規行為。利用網絡分析、機器學習等技術,智能識別海量數字金融交易,及時管控各類違法違規行為。
第三,調整監管組織和人員設置,進一步完善“監管沙盒”機制,解決監管滯后性。
為了與金融機構完成數字化轉型,特別是與金融科技公司的發展相適應,可考慮在監管機構內部設立高級別的首席科技官或者首席數據官及配套支持部門。為提高監管的前瞻性、有效性,我國還可考慮盡快建立區域性創新中心,加大“監管沙盒”試點推廣力度,提高試點的效率和適應性,更好地監測參與試點金融科技產品的風險規模及可行性。
數據在使用中實現價值,金融是數據價值變現的最重要領域之一。其中征信是輔助金融活動的重要基礎設施。因此,通過在大數據背景下探索征信體系的建設,將為我國數據共享和治理提供寶貴的經驗。
第五,合理平衡數據隱私保護和數據價值的挖掘。
數字經濟時代下,合理保護用戶隱私,發展數據產業鏈,充分挖掘數據價值,是國家的核心競爭力。隱私保護的法律設計是影響數字經濟發展的關鍵。美國是數字經濟的領先者,這與美國現有的隱私法案CCPA、計劃實行的法案CPRA,以及隱私保護標準相對寬松,給數字技術留下發展空間有一定的關系。歐洲沒有真正意義上的互聯網大數據公司,與歐洲較嚴格的隱私保護有關。歐洲通用數據保護法規(GDPR)對于歐盟用戶實行嚴格的數據權益保護,這在一定程度上限制了中國和美國等互聯網創新公司在歐洲的發展。數字經濟時代國家層面的競爭,實質上就是建立一套更合理有效的激勵約束機制和基礎設施,以實現數據收集、加工處理、共享使用的數據產業鏈的社會化分工合作。
個人隱私保護可通過以下三個方面的組合來實現。一是法律保障。通過界定個人信息主體的權屬和相關人員的行為空間來保護個人隱私。二是技術實現。通過數據處理、計算方法和管理技術等來確保個人隱私。三是利益平衡。通過市場交易,市場主體需承擔一定的隱私泄露風險來獲得更好的服務或收益。
隱私計算是隱私保護下數據共享的技術實現路徑。為了解決互不信任的多個機構間數據共享和數據價值挖掘,國際上開發出了在不共享原始數據情況下實現數據價值挖掘和流轉的方式,即“隱私計算”。“隱私計算”一般通過三個環節保證數據和模型隱私,實現數據的“可算不可識”“可用不可擁”“可用不可見”。具體做法如下。
一是原始數據的“去標識化”。確保合作第三方不能通過數據反向逆推出數據主體,即不能識別出消費者的“自然人”身份,同時,盡可能地保留數據中的“信息價值”,做到共享信息的“可算不可識”。
二是可信的執行環境。通過硬件化、“安全沙盒”、訪問控制、數據脫敏、流轉管控、實時風控及行為審計等管理實現,提升數據和模型計算環境的安全性,確保全程安全可控。
三是保護數據和模型隱私的智能計算技術。例如,多方安全計算、差分隱私、聯邦學習等。用戶的原始數據可以在不出域、不泄露的前提下共享并提取數據價值,實現信息的“可用不可見”。
國內外已有大量實踐利用隱私計算、平衡隱私保護和數據價值的流轉,取得了積極的成效。在個人隱私計算技術下,“去標識化”后的數據可以實現絕大部分個人隱私的保護要求。隱私計算過程中,在經過“去標識化”和多方安全計算分片處理后,第三方已經無法通過這些共享數據來反向逆推出數據主體的個人身份,將不會出現個人隱私泄露情況。因此,在“去標識化”數據加工處理的過程中不再需要獲得信息主體的確認授權。
同時,需要盡可能地減少必須使用“匿名化”數據的場景。“去標識化”數據在數據加工處理過程中,可以實現數據“可算不可識”,但保留了數據間除個人信息以外的關聯關系,可挖掘的信息價值較大,且僅在用戶“授權”的情況下可重新識別使用。一旦進行匿名化處理后,數據之間的關聯性將被不可逆地破壞,無法再將同一個人在不同時間、不同空間里產生的數據關聯起來,從而無法有效地進行數據融合和數據價值的提取,繼而喪失數據絕大部分的信息價值。“匿名化”后的信息不再屬于個人信息范疇,在數據共享給第三方時雖無須再取得個人的單獨同意,但也已經沒有多大的使用價值。
分級分類牌照,推動市場分層競爭。從個人信用數據收集、信用信息的挖掘,再到提供信用產品和服務,這是一個完整的產業鏈。隨著社會分工的發展,鏈條中的環節將被不斷細化,并由不同機構專業化地實現。當前,大部分的征信機構和征信業務已經明確定義了個人信用信息的收集、處理和使用的規則,并且絕大部分國家都對其制定了較為嚴格的規定。其中,為了保護消費者權益,要求金融科技公司需實施必要的牌照管理。但為了給市場分工留下空間,促進數據產業的健康發展,有必要根據使用信用數據與最終金融決策的相關性不同以及參與產業鏈分工的職能不同,實施分級分類牌照管理。最終形成以中國人民銀行征信中心為國家個人征信工作的基礎設施,幾家有限競爭的全牌照征信機構,數量較多的市場化的替代數據征信機構,其他與全牌照征信機構合作的、信息處理機構的、多層次競爭的市場格局。
重點管理數據的收集、發布和使用環節。個人信用數據的管理,應主要基于消費者權益保護和推動市場健康發展。從數據是現實世界的映射這一角度看,關鍵是管理好數據與現實世界的連接渠道,包括收集(數據形成時的連接)和應用場景(數據最終使用時的連接)兩個維度。個人信用數據在做出金融決策時,如信貸、保險等,以及部分重大經濟事項,如應聘、招聘等,對個人的生活具有重大影響。這部分決策所依據的個人信用數據應具有高度相關性和準確性,需嚴格限定其依據的信用數據來源。個人信用數據的發布也會對個人生活帶來影響,需要有資質的專業人士確保報告的準確和可信。因此,從數據治理的角度看,征信行業宜從數據的收集、使用(變現)和發布三個環節進行重點管理,在保證數據安全和隱私保護的前提下,為中間的數據加工、共享環節以及對個人生活產生較小影響的其他使用場景的市場化運作,留出足夠空間。
(本文內容摘編自《平臺金融新時代》,作者:吳曉靈、丁安華,2021年10月版)
書名:平臺金融新時代
作者:吳曉靈 丁安華 等
出版時間:2021.10
(本文作者介紹:中信出版集團·灰犀牛品牌專注于洞見人類社會在經濟、金融、政治、科技、生活等領域的發展趨勢,致力于打造提供前瞻性智識的先鋒話題平臺,在世界的變化中助你胸有萬壑,于危機與挑戰中醞釀制勝先機!)
責任編輯:張玫
新浪財經意見領袖專欄文章均為作者個人觀點,不代表新浪財經的立場和觀點。
歡迎關注官方微信“意見領袖”,閱讀更多精彩文章。點擊微信界面右上角的+號,選擇“添加朋友”,輸入意見領袖的微信號“kopleader”即可,也可以掃描下方二維碼添加關注。意見領袖將為您提供財經專業領域的專業分析。
