互联网金融系统性风险治理的法治化思考
——以“蚂蚁金服”平台为例

刘汉广

互联网金融是依托互联网技术提供资金融通、支付、投资和信息中介服务的新型金融业务模式，近年来在我国的支付、区块链、数字货币、大数据等细分领域的成就已处世界领先地位，蚂蚁金服等金融科技公司也多发展成为互联网金融巨头。但其风险也不可小觑，业务风险、技术风险等微观风险在互联网时代同质化愈发明显，而龙头企业则通过表外业务沉淀资金规避监管，微观风险借力技术特征无限迅速扩张也会导致系统性风险的不可控，最终损害实体经济。自蚂蚁金服上市暂缓消息公布以来，监管组合拳强力出击①。新规旨在通过更为广泛和严格的风控系统抑制系统性风险，倒逼互联网企业调整自身的业务模式，放缓增长速度，以适应新的监管环境，金融科技无序增长的潜在风险会得到抑制。在理论层面，我国学者对互联网金融监管方面的研究没有跟上实际发展进程，通常聚焦第三方支付、余额宝业务的沉淀资金法律问题等方面，对于新业务的监管研究多停留在宏观约束层面，对新型业务滋生的问题研究较少，系统性风险相关研究目前主要还限于传统金融领域，多产生于监管相关的一系列新规定出台前；在现实层面，目前我国实践中金融监管方技术上跑输互联网金融平台，具有滞后性。本文试图提出互联网金融系统性风险治理可能的进路和方法。

一、互联网金融系统性风险的形成

关于系统性风险的意涵，学界目前尚未达成统一意见，通说认为：系统性风险是一种基于金融主体之间的连结而发生的风险，指金融系统中部分主体或者个体的崩溃导致整个金融系统崩溃、引起巨大骚乱，导致金融系统基本功能丧失乃至于传导至其他经济领域的可能性②。风险的积累并非一蹴而就，每一次爆发都经历了一次完整的“萌芽——引爆——扩张”的过程。

（一）萌芽阶段

我国互联网金融发展近几年突飞猛进，根据投资心理学的分析，风险发酵往往发生在经济上行市场预期利好之时③。以蚂蚁金服为例，其主要风险在于技术和业务两方面。技术风险是由互联网金融自身的技术底色决定的衍生风险，这种缺陷可能是技术本身的脆弱性导致的，也可能是能力不足的从业人员所致④；业务风险中的流动性风险和信用风险都具有外部性，且针对投资风险的各种隐性或显性担保大量存在，风险定价机制部分失效⑤，法律风险和长尾风险也有增加，多头监管和其诱发的监管套利屡见不鲜。在 “普惠金融数字化”背景下⑥，互联网金融系统服务对象涵盖大批金融知识欠缺、识别能力不足的弱势群体⑦，他们的不当行为可能激化负外部性⑧。这些集合的风险增强了金融内在脆弱性，系统性风险一触即发。

（二）引爆阶段

随着业务和技术风险不断叠加，互联网金融的“明斯基时刻”也渐渐逼近。传统理论认为系统性风险的真正爆发是源于某一具有系统重要性的金融机构因偶然外部冲击倒闭，而当下主流的观点则认为是基于风险敞口的同质化，其爆发具有必然性⑨，笔者赞同主流观点。以蚂蚁金服为例讨论业务风险和技术风险，可从两个侧面审视：一是任何微小的技术或业务风险一旦发生在与蚂蚁金服一样体量巨大的系统重要性机构 （Systematically Important Financial Institution，简称 “SIFI”）上都容易迅速扩散；二是与蚂蚁金服合作的诸多主体遵照其业务、技术模型行事，导致合作业务、技术结构同质化，内生风险容易呈螺旋式上升为系统性风险。但不论是哪一方面，都以微观业务和技术风险为基础。

1. 业务风险

蚂蚁金服的实际业务主要分为三类：一是数字支付业务；二是依托数字金融科技平台算法的业务；三是其他试验阶段业务。风险主要集中在第二类业务中，不过自其暂缓上市以来，这些风险都已经在可控范围之内。

（1）资产证券化风险。在蚂蚁金服暂缓上市的消息公布后，有关知名人士关于蚂蚁金服资产证券化 （Asset Backed Securitization，简称 “ABS”）循环40 轮放贷的发言成为了全民关注的焦点，但不宜过于夸大这些风险，蚂蚁真实杠杆率只有1.2⑩。当然其因放贷产生的、针对整个经济体的杠杆仍然是现实存在的，加之严重的同质化风险也容易诱发系统性风险。目前 《网络小额贷款业务管理暂行办法 （征求意见稿）》 （简称 “《网络小贷暂行办法》”）已经对资产证券化循环次数作出明确约束，后续蚂蚁金服应会逐渐压缩资产证券化业务并增加注册资本以符合规定，这可能导致削弱以蚂蚁金服为代表的互联网金融平台的资产证券化资产表现（尤其是其中部分允许消费贷款借款人使用网络小贷偿还其债务余额或以贷养贷的平台表现下滑会更快）。新规将减少网络小贷供应，并在短期内导致这些借款人的再融资选择更少，但有利于未来消费贷资产证券化交易⑪，提升资产证券化业务整体表现。

（2）联合贷款风险。由蚂蚁金服的招股说明书可知，截至2020 年6 月，蚂蚁微贷平台98%的资金来源于100 多家合作银行的出资和自身信贷资产证券化。传统银行等机构由于获客能力不高且不具备全面的用户数据和分析能力，易沦为单纯的资金提供方。信贷资金提供方和信贷决策主体割裂，违约风险都由资金提供方承担，其中的道德风险不言而喻。 《商业银行互联网贷款管理暂行办法》、《网络小贷暂行办法》和 《关于加强小额贷款公司监督管理的通知》等文件将联合贷款定性为合法，但明确规定了共同出资中双方的权利义务并以合同形式固定下来，且要求资金提供方不得将授信审查、风险控制等核心业务外包，互联网金融平台不能承担风控、授信等角色，资金提供方需要自己设计风险模型和持续跟进，必要时进行独立的人工审核；对联合贷款或者提供贷款资金的对象之资质作出了要求，明确共同贷款时经营网络小额贷款业务的小额贷款公司的出资比例不得低于30%；对互联网贷款占银行一级资本和全部贷款的比例也作出了限定。不过，头部金融科技机构已经具备了高度的数字化和技术渗透能力，这将使其能够轻松过渡到新的监管环境⑫，可利用新的竞争格局提升自身影响力。反观小型区域性银行，或将面临两大风险：一是当金融科技公司贷款和助贷业务增速放缓时，若借款人无法实现展期，则此类银行的贷款逾期将增加；二是若其终止与金融科技企业的合作，此类银行可能会丧失贷款和存款增长的主要驱动力。互联网金融平台算法不准确、支付平台出差池、动态风险管理系统漏洞等问题都可能直接影响合作机构。

（3）沉淀资金风险。沉淀资金，又名备付金，根据2013 年的 《支付机构客户备付金存管办法》第二条，其内涵为 “支付机构为办理客户委托的支付业务而实际收到的预收待付货币资金”。备付金不仅包括电商购物时未确认收货之前的款项，还包括第三方支付账户的余额，用于客户支付、取现，成为了第三方支付机构利用时间差赚取利息的基础。以支付宝为例，若其自身信用缺乏担保，一旦动用沉淀资金进行高风险投资，负外部性易引发社会的不安定，难以保证不会发生非法行为或引发流动性枯竭的风险。央行 《关于支付机构客户备付金全部集中交存有关事宜的通知》将支付机构客户备付金集中交存比例逐步提高至100%，在2019 年1月14 日已经实现100%集中交存，支付机构的备付金收入占比为零。随着 “96 费改”等一系列严格监管政策的出台，第三方支付机构通道成本增加，账户和备付金管理权丧失，周边业务被削减从而导致利润空间被逐渐压缩。近期出台的规范代收新政，更是将第三方支付行业利润降至冰点。支付行业自身所涉及的监管叠加关联行业的监管，让支付机构一方面损失了备付金利息收入，另一方面丧失了来自于其他行业的收入。在被约谈后，蚂蚁金服主动提出降低余额宝余额，这将减少沉淀资金风险。未来我们应降低风控手段的附带损害，可借鉴巴塞尔体系，将重心放在保障本金和规避因挤兑带来的流动性风险上，对互联网金融产品进行压力检验，将部分沉淀资金纳入风险储蓄⑬，建立多情景流动性风险内部监控指标体系并提升流动性覆盖率⑭，以保证高流动性头寸的比例⑮。

2. 技术风险

（1）算法模型风险：高频之殇。蚂蚁金服利润最高的贷款业务和投资管理业务都极大程度上依靠大数据风控模型预测违约率，但这些算法背后可能隐匿着期限错配、风险低估等风险。这种风险在互联网金融行业过于向便利性妥协的情形下日益膨胀，底层金融资产的质量和效益排在了用户的良好体验之后。而监管层往往难以控制这种状况，即使是监管科技 （Regulation Technology, 简称 “Reg Tech”）也未必能够很好地识别乃至于控制互联网金融导致的波动，技术寡头采取的技术手段将会从较松的监管处迅速扩张，监管方面很难做到及时反应。这些因技术风险而产生的种种波动在量化交易高频交易过程中易将业务风险无限放大，给市场造成系统性风险的可能性也会大大上升：模型和算法于互联网金融平台而言是阿喀琉斯之踵，更新不及时极易产生巨额损失。算法设计的滞后性决定了即使在模型总体具有说服力的前提下也难免有一些误差，这些误差不仅会影响蚂蚁金服自身及其合作伙伴，还会影响出于对蚂蚁金服的用户数据保有量和数据分析能力之信任的诸多衍生证券。当次级贷款资产质量出问题后，模型本身也会因错误定价而扩散风险，进一步引起金融市场暴雷，这种风险在算法同质化的情况下会加剧金融活动的顺周期性，在“羊群效应”驱使下易使市场跌入万劫不复之地。

（2）基础设施风险：防御失当。第三方支付领域也有不可忽视的技术风险，支付过程中资金都会在第三方支付平台滞留，若黑客或病毒攻陷支付设备，则用户财务信息、数字密钥等都可能被窃取。黑客可获得进入任何账户的通行证，对存留资金乃至对用户通过第三方支付平台连接的银行账户造成重大威胁。其中，用户的身份信息、银行卡信息、密码信息都属于敏感信息，对其保护一直也是支付类机构的必然要求，其风险控制要求相对较高，出现泄漏的可能性相对较小；但黑客技术一旦攻破这些金融基础设施，抑或使这些金融基础设施瘫痪，对市场造成的震荡则不可估量，很可能会造成系统风险的传导。

（三）扩张阶段

系统性风险产生后会呈现出指数级扩张，导致流动性枯竭、信贷违约、股市债市价格下跌等后果，从而对整个金融市场造成影响。在这种影响下，市场信心易崩塌，恶性循环之下风险会愈发复杂，呈现扩大趋势，并基于合成谬误⑯进一步扩张，甚至可能因为 “季风效应”和 “溢出效应”波及其他领域。若进入扩张阶段，则已经难以控制，我们要将风险治理的预防放在前两个阶段。

二、互联网金融系统性风险的识别

系统性风险的触发一般通过两种路径：一是因系统重要性机构出错并触发系统危机，风险识别以系统重要性机构判断为中心；二是基于同质化风险敞口而引起，风险识别以捕捉日常经营中已经形成的微观风险为主。

（一）系统重要性机构识别标准

在金融风险变幻莫测的大前提下，最好的办法就是让监管机构定期审查公司，判断公司是否会因倒闭而造成诸多严重后果。出于防控系统性风险的目的，危机过后的金融稳定理事会 （Financial Stability Board，简称 “FSB”）确定了对 “全球系统重要性金融机构” （Globally Systemically Important Financial Institutions, 即 “G-系统重要性机构”）的确定方法和监管框架。尽管尚无互联网金融平台入选先例，但我国央行却早已承认部分互联网金融股平台已经具有系统重要性并具备传导风险、引起金融市场震荡的可能性⑰，蚂蚁金服作为我国互联网金融头部平台也无疑受到监管部门的重点监督。

我国目前只有针对系统重要性银行的评价细则，尚无针对系统重要性机构的配套细则⑱，但《关于完善系统重要性金融机构监管的指导意见》第三十条已经明确指出将会与FSB、巴塞尔银行监管委员会等机构密切合作。本文评价蚂蚁金服的相关标准以国际上通用的规模 （Size）、关联性 （Interconnectedness）和可替代性 （Substitutability）这三个指标为识别方法⑲。

1. 规模

国际上判断规模的做法一般有两种，一是直接以资产规模作为评估指标⑳；二是将金融机构的总资产除以国民生产总值的比率作为评估指标。G—系统重要性机构评价过程中这两种方法可共同使用，以规模计量为主，比率计量为辅。蚂蚁金服的体量在我国互联网金融平台中始终保持第一，无论是总资产、估值，还是细分领域的表现皆是如此。截至2020 年6 月，蚂蚁金服总资产 （资产负债表资产总计项）高达3158 亿元㉑，更是被权威金融咨询公司估值高达2 万亿元，已然超过G—系统重要性机构名单中的部分成员㉒。哪怕暂缓上市，其估值和规模仍然位列我国互联网金融平台第一㉓，具备系统重要性测试中的规模要素：一是在第三方电子支付提供和数字金融科技平台建设上处于绝对优势㉔，根据奥纬咨询的研究，其在第三方电子支付、小额信贷、线上理财、线上保险等领域占行业内市场份额最大且远超其他竞争企业；二是其创新业务（区块链领域）暂无对手，其规模之大、涉足领域之广都足以导致其若出现问题都将对实体经济传导造成重大的衍生影响。

2. 关联性

蚂蚁金服的高关联性主要体现在两个方面。一是内部高关联，蚂蚁金服上下游公司多、关联公司多，和阿里系的一众公司多有关联。蚂蚁金服截至2020 年6 月共有境内控股子公司70 家，境外控股子公司98 家，参股的合营及联营公司58 家，其主要股东之间、主要股东和蚂蚁金服子公司之间通过互相持股、共用大股东等方法建立起复杂的联系。二是外部高关联，蚂蚁金服和多家金融机构建立了紧密的合作关系，可能产生的溢出效应会波及整个市场。依托支付宝高用户覆盖率，蚂蚁金服和多家资产管理公司及保险机构建立深度合作关系，网络效应的自强效应凸显，用户使用的服务越多、平均获客的成本越低，业务的协同效应就越显著、蚂蚁金服的合作网络就越严密。

3. 可替代性

蚂蚁金服的技术基础设施、基础服务具有不易替代性：其在包括人工智能、风险管理、安全、区块链、计算及技术基础设施在内的多个领域有海量专利㉕。作为支付体系的技术基础设施提供者和线上支付的规则制定者，蚂蚁金服针对用户数据加密处理和传输、安全协议的使用、多方算法计算的技术基础设施都是我国最先进的，难以被其他机构取代；蚂蚁金服的系统性功能具有不易替代性：蚂蚁金服作为中介平台通过用户的征信记录进行大数据计算，以智能投顾的方式为客户定制投资组合，向客户和合作方同时收取服务费的业务模式使得合作机构和蚂蚁金服平台产生深度互联，当前很难找到第二个体量如此庞大、受众如此广泛且相对安全的平台。

（二）微观风险捕捉

在技术是核心竞争力的当下，任何微观风险的发现都无法脱离监管科技的帮助。互联网金融平台自诞生以来，体量增速快，外溢性风险大，科技依赖性强，大多数业务都需依托互联网科技进行。监管部门作为防御端的主体，在技术手段上长期以落后于被监管方的形态出现，很多监管工作仍然有赖人工形式进行，合规成本高昂。自监管科技概念在英国产生以来，用监管科技对抗金融科技俨然已经成为主流，我国监管部门也开始借助爬虫学习、AI、大数据等技术手段，达成监管部门的合规标准㉖。此外，互联网金融平台内部也应采用监管科技进行自律监管㉗。Reg Tech 和一般AI 算法相同的优势在此不再赘述，具体到系统性风险防控，Reg Tech 的运用也是大势所趋。蚂蚁金服等互联网金融平台常常会在运行中滋生微观的业务风险和技术风险，若不及时消除则容易依托金融科技爆炸式增长，提前预防尤为重要。

系统性风险识别的通行指标认定，有赖于对海量数据的全局性分析，这一直是宏观经济学领域面临的重大挑战，而我们有理由认为Reg Tech 可以更好地应对这些挑战：一是较之于传统人工监管较强的侵入性，监管科技运用云计算、适配器等技术以期将对现有系统的干扰降至最低；二是机器学习能力远超一般人类，可以通过研究过往系统性风险发生时的数据表现预测和模拟未来的情景，比较这些数据的相似性，进而选择最优对策以应对不同的金融场景；三是通过处理结构性数据，Reg Tech 可以比人类更快掌握全局，更快查找出技术漏洞、操作失误问题、不合规之处，促进发展自动化的合规流程。互联网金融主体接入监管部门的技术系统会促进发展自动化的合规流程㉘，并借助加密技术提高数据共享的安全性。将区块链、物联网等尖端技术纳入监管合规领域，通过机器学习促进监管科技提高识别风险的能力。以高频监管应对高频交易：对于高频风险进行模拟，对于监管政策进行建模，促进高效率低成本的监管评价体系对于互联网金融平台的技术漏洞、操作失误、算法隐患等定期检测并提供实时合规方案，主动排除风险㉙。Reg Tech可以极大改善以人为中心的传统监管的劣势：作为一种技术，其不存在 “被俘获”的可能性，在技术模型本身设计无误的前提下，Reg Tech 不会冲动行事或者被贪婪蒙蔽，且无需高额薪酬激励。通过科技手段进行穿透式监管，避免多头监管或者监管真空出现，以应对分业监管在面对互联网金融独角兽企业时遇到的难题。政府部门可以通过监管科技共享多渠道获得的数据，并基于这些数据制定统一的标准，从而实现宏观监管和微观监管的统一㉚，避免监管套利投机行为。

当然，Reg Tech 并非万能，机器学习的编程工作、编程的前提 （规则学习和案例学习）、Reg Tech 的定期维护等，都需要依靠人类完成。Reg Tech 的运用本身也需要有审慎的态度，确保其设计本身符合监管目标而不能 “被俘获”尤为重要，应经过反复测试后再投入使用。要按照监管规则和现实金融发展需求不断更新，根据微观风险的特征时常调整，以保证Reg Tech 真正起到防御金融风险的作用，达到不断更新的预防效果。

三、互联网金融系统性风险治理进路

（一）互联网时代的系统重要性机构治理

1. 前提：准确评估系统重要性机构

研究表明，很多机构都愿意通过额外支付百亿美金成为系统重要性机构，因为市场默认其有政府隐形担保从而产生良好预期㉛。但事实上构建系统重要性机构标准的目标，是通过创建一系列针对系统重要性机构的高要求，从而降低系统重要性机构这一头衔的诱惑。因此，准确评估系统重要性机构格外重要。银保监会已经在 《系统重要性银行评估办法》中明确了考核因素以及各自占比，但尚未对外公布具体的计算模型。此前银监会依据巴塞尔框架提出的腕骨 （“CARPALS”）监管的具体计算方式也未公开。应尽快公布尽可能精细的计算模型供大众动态监督，组建专门下属委员会和科研机构、监管主体和市场主体紧密合作，对系统重要性进行研究，基于市场状况对系统重要性机构标准进行实时调整，并定期公布系统重要性机构名单以及可能成为系统重要性机构的主体名单。

2. 规模：控制系统重要性机构体量

著名经济学家E. F. Schumacher 于1973 年提出“小即美”的概念㉜，政府应从一开始就阻止企业以扼杀竞争的方法扩张㉝。尽管目前我国尚无关于系统重要性机构的规模控制要求，蚂蚁金服也还没有达到 《反垄断法》第十九条推定具备市场支配地位的条件，但似乎已具备相对支配地位。

针对互联网金融平台进行规模控制，要认识到其扩张迅速的原因：一是传统金融领域供给不足，尤其是面向长尾客户的金融服务相对滞后；二是金融配套机制不成熟，社会信用体系建设滞后；三是有效监管的缺位；四是出于政策鼓励，互联网金融一直被视为普惠金融的有效实现路径；五是由于我国长尾市场广阔，获客成本较低。控制系统重要性机构的规模需要出台相应的政策：提升传统金融领域及其配套机制的竞争力、对监管内部关系进行肃清的同时收紧监管政策、开发普惠金融新路径、政府主导建设金融基础设施等，倒逼互联网金融平台自行控制规模。

3. 关联性：防火墙设置和监管协调

治理主要包括关联业务和关联公司的关系梳理、内外部防火墙建设、外部关联业务和外部监管的有效协调。内部防火墙建设对互联网金融平台尤其重要，以蚂蚁金服为首的互联网金融巨头横跨基础设施、支付清算、融资筹资等多项业务，混业经营的模式在分业监管的框架下处于尴尬的位置，不同业务之间很可能因边界缺失导致风险的迅速传导。我们可运用 “内部防火墙”制度，通过限制各业务部门一体化程度，形成资金、人事、报表、业务上的分立，建立强制信息披露机制㉞，减少通道业务和多层嵌套交易的监管套利现象㉟。同时也应建设外部防火墙，以避免行业间的交叉感染。蚂蚁金服各类业务分属银保监会、证监会、央行及其分支机构和征信局等监管，部门间信息不对称行动不一致的模式导致监管方对场外配资核心指标缺乏了解，对蚂蚁金服通过交叉持牌和交叉持股等方式构筑的跨市场金融产品加大了监管难度。同时，部门合规及风险监管目标与行业发展目标之间存在内在冲突，常以行业的发展为目标，事前鼓励机构高风险运作，事后却缺乏协调处置能力。目前实行的以分业经营、分业监管为主的架构符合我国经济金融发展现状㊱，应改良分业监管的模式，设立协调机构，统一各监管部门的风险底线。

4. 可替代性：政府主导建设金融基础设施

由央行主导统领金融基础设施和统计系统，负责优先建设部分重要的金融基础设施很有必要。目前互联网金融巨头内部信用体系并不健全，以蚂蚁金服为例，其招股说明书表明 “花呗”年利率是10.95%到14.60%，远高于传统金融机构，其主要吸引力在于其低门槛的贷款标准，但许多互联网金融平台的贷款业务的风控能力不足。由于互联网金融平台、互联网金融巨头均未取得个人征信牌照㊲，平台并未完全掌握借款人潜在的债务信息及他们不断下降的还款能力，平台信息保密容易导致多处借贷多处违约、以贷借贷㊳，故接入央行征信系统很有必要㊴，通过背书可规避部门壁垒减少坏账风险。笔者认为，可以借鉴国外政务网站的设计㊵，打造更贴合用户使用习惯的政府信息服务网站。通过明确互联网金融企业有强制信息披露的责任以及披露的事项㊶，确立统一风险上限，建立更合理的智能投顾系统，以保证征信状况不佳的公民在此系统中只能匹配到与其能力相匹配的产品。整合分散在各金融监管机构的消费者保护职能，在监管设计中强调互联网金融平台的受托职责，坚持确保客户利益高于自身利益的原则㊷。

5. 额外要求

《巴塞尔协议》和美国 《多德弗兰克法案》系统重要性机构治理的主要目标是促成系统重要性机构负外部性内部化，我国对系统重要性机构的额外要求只有银监会 2010 年报提出的针对资本监管的要求，且和发达国家尚有较大差距㊸，只是勉强达到 《巴塞尔协议》的规定标准。可考虑参考域外国家相关的做法，如设立系统性处置基金、专项税收、保证金、清算基金、自救债券等应急资金，定期提交 “生前遗嘱”详细说明破产安排，形成系统重要性机构的专门快速破产程序等。确保相关成本由金融业界而不是纳税人承担，建立合理的破产处置和自救机制，提升行业自律水平和道德水平，减轻纳税人负担。

（二）互联网金融微观风险治理

互联网金融的微观风险中主要包含技术风险和业务风险，由于业务风险目前基本可控，本部分主要针对技术风险。

1. 算法和模型的风险控制：算法解释

算法风险控制的最大难点在于，互联网金融平台通常躲在技术中立的外衣下主张其技术作为商业秘密不宜被披露或为监管部门所探知。目前主流的算法学习过程与结果输出的关联不为人知，导致打着普惠金融名号的互联网金融反而加剧了信息不对称，开发者在计算范式中表现出来的个人偏见、历史数据误差、技术自身漏洞或者错误，都使得算法歧视、算法欺诈、算法垄断、算法错误、算法失灵或不准确、智能匹配失当和错误评级成为可能。在技术可责性呼声愈高的当下， 《人民银行、银保监会、证监会、外汇局关于规范金融机构资产管理业务的指导意见》第二十三条要求对技术的核心逻辑、主要参数进行备案并对风险提示。新出台的《个人信息保护法》第四十八条中亦对数据解释权作出规定，但具体配套方案尚不明确。算法解释权在 《欧洲通用数据保护条例》中有多处提到， “鉴于”的第71 条，正文的第13 条、第14 条和第22条要求对数字逻辑进行解释，但对算法解释的条件、对象、程度、方法、边界没有说明。算法解释的边界划定困难之处，在于公平和效率的二律背反。对算法解释的高要求，会在一定程度上牵制技术创新。算法解释在学界一般包括两大类，即事前解释和事后解释。事后解释通常要求更高，一般是用户有足够理由认为平台侵权时才能提出；事前解释又分为针对用户的解释和针对公权力机关的解释，前者一般要求较低，后者一般以备案形式出现，要求较严格，但对外披露的内容应严格限定在帮助用户理解算法排序方式和原因上，不宜延伸到具体参数。我们可考虑采用对外说明+对内备案的机制，具体模式可参考欧洲证券市场监管局的规定，其要求投资机构每年向其备案交易策略、参数、核心风险及其压力测试结果㊹。此外，也可考虑要求进行算法设计、交易、监督相关人员的注册㊺。

2. 金融基础设施风险控制：自愈系统

目前蚂蚁金服的金融基础设施维护在国内可称得上顶级配置：针对支付宝基础设施的维护团队采取的主要措施是建立网络可靠性工程师 （Site Risk Engineer, 简称 “SRE”）体系㊻，以监管科技软件平台风险，开发故障自动定位、自适应容灾、防抖、精细化、高可用等功能。蚂蚁金服的可靠性工程师团队通过红蓝军深度交互沉淀，产生技术风险防控平台以实现故障自愈，在未见过的风险面前平台可自主建模，其容灾系统可做到在外力介入攻破的情况下自愈。但蚂蚁金服毕竟是我国头部互联网金融平台，而大多数互联网金融平台没有构建可靠性工程师的能力，安全性能也远不及蚂蚁金服，甚至很多平台还依赖人工风险审核，金融基础设施风控仍然任重道远。建议全国互联网金融平台学习蚂蚁金服矛盾相攻的可靠性工程师体系建设，以对抗式团队协作不断改进Reg Tech 模型，从模型出发进行自律监管，谋求平台自愈。

四、余论

随着互联网+的纵深发展，互联网系统性风险已经具备让整个金融系统瘫痪的可能性。从系统重要性机构的识别，到业务风险和技术风险治理，再到微观风险的捕捉，笔者偿试构建了一个较为粗略的反应机制，但作为抛砖引玉之作，很多问题尚未解决：金融科技不断创新决定了业务风险和技术风险的升级迭代，监管的滞后性也很难避免，金融科技和监管方作为互联网金融平台治理的两端，都需要安全港规则的庇护，这些规则是什么？金融科技监管俘获问题如何规避？监管在技术、人员、智识等方面和金融科技巨头的差距如何填补？这些问题都有待进一步研究。

注释：

① 2021 年2 月7 日 《关于平台经济领域的反垄断指南》出台，释放出政府会重点规制大型金融科技公司利用其规模和技术进行反竞争行为的信号。2021 年3 月5 日，我国宣布了强化金融科技行业监管的计划，其中的措施包括 “偏差矫正”机制，在需要时暂停和修正被认为存在问题的新金融产品。近几个月来，监管部门也出台了多项措施来降低金融科技行业的系统性风险，例如对小额贷款公司资本充足率和融资渠道的规定以及对信用打分和偿付的更严格检查等。2021 年4 月12 日，人民银行、银保监会、证监会、外汇局等金融管理部门约谈蚂蚁金服，首次公开了蚂蚁金服整改的五个方面：纠正支付业务不正当竞争行为、打破信息垄断、整体申设为金融控股公司、严格落实审慎监管要求和管控重要基金产品流动性风险。

② George G. Kaufman, Kenneth E. Scott, What Is Systemic Risk and Do Bank Regulators Retard or Contribute to It? The Independent Review, 2003, 7(3), pp.371-391.

③ 张晓朴、李濛： 《美国金融危机的救助措施与启示》， 《银行家》2009 年第 11 期。

④ 袁康： 《金融科技的技术风险及其法律治理》，《法学评论》2021 年第1 期。

⑤ 王曙光、张春霞： 《互联网金融发展的中国模式与金融创新》， 《长白学刊》2014 年第1 期。

⑥ 曾刚、何炜： 《中国普惠金融创新报告 （2020）》，社会科学文献出版社2020 年版，第98 页。

⑦ 谢平、邹传伟： 《互联网金融模式研究》， 《金融研究》2012 年第12 期。

⑧ 禹钟华、祁洞之： 《对全球金融监管的逻辑分析与历史分析》， 《国际金融研究》2013 年第3 期。

⑨C. Borio, The Macroprudential Approach to Regulation and Supervision: Where Do We Stand? Paper Prepared for the Special Volume Celebrating the 20th Anniversary of Kredittilsynet, pp.108-120.

⑩ 郭振华： 《蚂蚁金服的杠杆真有60 倍吗？》， 《上海保险》2020 年第11 期。

⑪ 李燕： 《金融科技监管新规对金融及非金融行业的信用影响》，资料来源于穆迪公司网站，最后访问时间2021 年 4 月 6 日。

⑫ 例如根据中国银行业协会 《2019 年中国银行业服务报告》的数据，2019 年银行业支付和结算交易总额中有89.8%是通过网络渠道完成的。

⑬ 参见 《巴塞尔协议II》中关于第二大支柱的论述。

⑭ 参见 《巴塞尔协议III》第二部分。

⑮ 参见谢平、邹传伟： 《银行宏观审慎监管的基础理论研究》，中国金融出版社2013 年版，第43-173 页。

⑯ 指的是单个金融机构为控制风险或提高流动性而出售资产是审慎的，但一旦金融机构都这样做，就会导致资产价格崩溃，引发系统性危机。

⑰ 参见 《2018 年中国金融稳定报告》。

⑱ 我国早在2018 年11 月就已经发布 《关于完善系统重要性金融机构监管的指导意见》，但配套细则仅发布了 《系统重要性银行评估办法》作为我国系统性重要银行的评选标准 (D-SIBs)。

⑲ 参见FSB 《评估金融机构、市场和工具系统重要性的指导原则》。

⑳ 比如美国 《多德弗兰克法案》规定资产规模超过500 亿美元的金融机构即为系统重要性金融机构，参见Gison Dunn, Title VII, the Payment, Clearing, and Settlement Supervision Act of 2010.

㉑ 参见内部控制审计报告安永华明 （2020）审专字第60798995_B57 号。

㉒ 我国登上金融稳定理事会 （FSB）全球系统重要性银行 （G-SIBs）的金融机构包括 “工农中建”四大行和中国平安保险集团。根据全球顶级金融资讯公司彭博计算，在上市之前，蚂蚁金服的估值达到2 万亿，超过连续数年被FSB 评为全球系统重要性银行的中国银行等金融主体。

㉓ 根据全球顶级金融资讯公司彭博计算，即使在暂缓上市的意见出台后，蚂蚁金服估值也还有7000 亿。

㉔ 根据艾瑞咨询和奥纬咨询的研究，分别按照总支付交易规模及数字金融交易的业务规模计算。

㉕ 截至 2020 年9 月15 日，发行人及其子公司在全球四十个国家或地区拥有专利或专利申请，共计26308项。根据IPRdaily 及IncoPat 的资料显示，蚂蚁金服2017年至今和区块链相关的专利申请数均排名全球第一。

㉖ 2017 年5 月，中国人民银行成立 “金融科技委员会”；2017 年6 月，中国人民银行发布 《中国金融业信息技术 “十三五”发展规划》；2018 年8 月，中国证券监督管理委员会印发 《中国证监会监管科技总体建设方案》。

㉗ 杜宁、沈筱彦、王一鹤： 《监管科技概念及作用》， 《中国金融》2017 年第 16 期。

㉘ 许多奇： 《金融科技的 “破坏性创新”本质与监管科技新思路》， 《东方法学》2018 年第2 期。

㉙ Douglas W. Arner, Janos Nathan Barberies, Ross P. Bukley, FinTech, RegTech and the Reconceptualization of Financial Regulation, University of Hong Kong Faculty of Law Research Paper, 2016, p.35.

㉚ 蔚赵春、徐剑刚： 《监管科技RegTech 的理论框架及发展应对》， 《上海金融》2017 年第10 期。

㉛ Elijah Brewer, Julapa Jagtiani, How Much Would Banks Be Willing to Pay to Become “Too Big to Fail”and to Capture Other Benefits, The Federal Reserve Bank of Kansas City Economic Research Department Research Working Paper, 2007, p.40.

㉜ 其论文系列 Small is Beautiful: A Study of Economics as if People Mattered 深刻阐述了这一观点。

㉝Duncan Watts, Too Big to Fail? How About Too Big to Exist? Harvard Business Review, 2009, p.35.

㉞ 郭洪林： 《对我国实行金融混业经营的分析与建议》， 《经济研究参考》2002 年第40 期。

㉟ 参见Micheal Taylor： 《中国影子银行季度监测报告》，资料来源于穆迪公司网站，最后访问时间2021 年4月6 日。

㊱ 参见 《央行：金融业分业经营、分业监管的架构应予以坚持》，资料来源于 《中国新闻网》，最后访问时间2021 年 4 月 12 日。

㊲ 目前仅百行征信有限公司和朴道征信有限公司有个人征信业务许可。

㊳ 参见网贷之家网站 “重复贷款人”词条，最后访问时间 2021 年 11 月 25 日。

㊴ 《花呗分批接入央行征信系统会影响个人的征信记录吗？》，资料来源于PConline 网站，最后访问时间2021年 3 月 22 日。

㊵ 比如新加坡和英国的政府信息公开网站。

㊶ 目前针对金融消费者作出细化规定的规范性文件《中国人民银行金融消费者权益保护实施办法》第十七条中仅仅对披露事项作泛化规定，缺乏具体指引。

㊷ 范文波、李黎明： 《美国金融监管改革法案及其对中国的启示》， 《当代财经》2011 年第2 期。

㊸ 英国、新加坡等国家和香港等地区将银行资本充足率的标准提高至12%~16%，而瑞士对系统重要性银行的资本充足率要求高达19%。

㊹ 金小野： 《规范高频交易是国际证券业监管焦点》， 《法制日报》2013 年 11 月 12 日。

㊺ 姜海燕、吴长凤： 《智能投顾的发展现状及监管建议》， 《证券市场导报》2016 年第12 期。

㊻ 可靠性工程师起源于国外大型互联网公司，直接掌管着互联网公司的机器和服务，保证网站不宕机是他们的使命。可靠性工程师基本是从软件研发工程师转型，有很强的编程算法能力，同时具备系统管理员的技能，熟悉网络架构，是一个高要求的职业。