王 镭 周有容
金融科技的发展使技术手段成为提升金融服务效率、降低金融交易成本、减少信息不对称性的重要驱动力。金融科技在推动金融业发展的同时,也带来了金融欺诈、数据泄露、网络安全隐患等风险,给金融监管带来了新的挑战。全面、深入分析我国金融科技发展的风险和带来的监管挑战,充分总结和借鉴国际经验,有助于推动我国金融科技监管机制和能力建设。
金融科技企业虚假宣传,违规运用资金。金融科技企业安全准入门槛较低,存在大量规模小、资金实力弱、技术水平低的进入者。这类企业风险意识薄弱,为获得客户资源和占有市场,伪造、虚构不实项目套取投资人资金;为提高产品收益,放松技术、安全、风控标准,违规将资金配置到高风险,甚至受限制的行业或领域。当资本金不足以承担其风险时,金融欺诈进一步发展成为“庞氏融资”风险和“跑路”风险。据统计,互联网金融风险专项整治工作开始至2018年7月,有5 074家互联网金融从业机构退出,封堵和关闭涉嫌非法从事外汇交易的境外和境内网络平台分别达330家和48家。金融欺诈风险不容忽视。同时,金融服务需求方也存在金融欺诈风险。金融科技服务对象常常是传统金融机构覆盖不到的“长尾人群”,其中不乏一些不法分子摸清金融机构的审核规则,利用金融科技安全标准不完善的漏洞,通过提供虚假资料、伪冒申请、多头借贷等方式突破金融机构风控审查,获取金融资源进行金融欺诈。
金融科技公司凭借其在互联网领域的固有优势,掌握大量数据,客观上形成数据寡头或数据垄断。数据的过度集中更易导致数据泄露和监听,存在侵犯客户个人隐私的风险。目前,国内数据泄露的情况较为普遍,即便法律上要求保护的信息,也常出现外泄及买卖。据报道,支付宝就曾有员工利用职务之便在公司后台下载用户资料内容超20G,多次出售给电商公司、数据公司。大数据技术使金融科技公司拥有前所未有的信息特权,造成数据泄露风险隐患。当数据监听的目标对准政府机构有针对性地收集信息,就可能泄露重要的国家金融信息,威胁国家金融安全。2013年爆发的“棱镜门”事件揭露了美国政府利用大数据技术从海量电话通讯及网络信息中,对他国政要和民众精确监听。而我国金融业核心设备,如四大银行及各城市商业银行数据中心,大多采用国外进口设备,具有军方背景的美国思科公司曾占我国金融行业设备70%以上的份额,不排除其曾直接参与美国政府对我国监控的可能性。
一方面,由于监管的不充分,虽然金融科技公司也像传统金融机构一样提供期限转换、信用转换等服务,但并不像传统银行业一样,需要满足资本充足率、资产负债率、信息披露等监管要求,从而使金融科技公司与传统金融机构相比享有不平等的监管待遇,产生监管套利。据研究公司Orient Capital Research测算,作为“科技”企业,蚂蚁金服公司消费贷业务的资本充足率仅为2%,而从事同类型业务的银行资本充足率普遍在10%以上。另一方面,金融科技发展加快了金融机构由分业经营向混业经营转变。金融科技公司很多业务处于相对模糊地带,监管者难以准确了解企业内部结构和风险状况。金融科技公司趁机在监管部门政策中分段选择,向对公司有利的政策靠拢。备付金集中缴存规定出台前,我国第三方支付机构曾挪用客户备付金直接或间接从事货币市场基金等金融业务,或将其用于其他金融市场投资,这是十分典型的监管套利。
近年来,网络攻击事件频发,互联网上的木马、蠕虫、勒索软件层出不穷,对网络安全形成严重威胁。互联网的公开性也让网络攻击者的攻击成本大大降低,普通用户就可轻松获得网络攻击工具。金融科技企业高度依赖于网络平台,暴露在网络攻击下的业务流程较多,遭受网络攻击的风险较大。金融科技企业在风险管理方面的安全漏洞,用户对客户端杀毒和对防毒软件、系统软件进行更新不及时,网络传输过程中的密钥或口令保密机制不完善,都可能面临遭受网络攻击的危险。仅2019年以来,国内科技巨头就曾出现多起网络安全事故,比如,2019年1月24日,微信发生系统崩溃,微信支付受到影响;3月3日,阿里云发生大规模宕机故障,支付宝用户受到影响;3月23日,腾讯云光纤故障等,这些都暴露其应急处理方面的不足。金融科技的发展与网络、科技相伴而生,由于许多业务都是在以技术支撑的网络平台上完成的,一旦出现网络攻击事件,技术、数据、信息安全风险将更加凸显。
一是“羊群效应”。金融科技公司经营模式、算法的趋同,会造成市场大起大落。原本债券市场是场外市场,采取分层交易模式,通过核心交易商和交易商与客户进行交易。近年来,越来越多的电子交易平台产生,金融市场趋向扁平化,一方面提高了效率,但另一方面一旦市场波动、出现问题,客户能够快速、便捷地撤回资金,更易引发“羊群效应”。当发生危机时,市场容易出现“闪电崩溃”等情况。
二是风险更具隐蔽性、传染性。金融科技公司多为介于市场与企业间的平台公司,跨行业、跨领域金融产品相互交错,涉及多部门、多领域,这种特征进一步强化了风险隐蔽性与破坏性。同时,金融科技的极度渗透性和风险的瞬时爆发性,将使金融风险传染更为快速。一旦风险暴露,短时间内便可能迅速演变为大规模的系统性风险,波及多个领域,为事后处置带来重重困难。
一是分业监管不适应金融科技的混业经营模式。2003年,银监会成立,我国“一行三会”的金融分业监管格局正式形成。分业监管模式提高了监管专业性和针对性,也增强了风险绝缘性,但近年来混业经营模式的壮大对其形成严重冲击。金融科技公司综合运用数字技术,沿着互联网支付、互联网借贷、综合金融服务的路径不断拓展其业务版图,具有很强的混业特征。混业经营具有一定复杂性,投资者和监管部门可能难以准确了解结构和风险状况,监管责任难以划分。面对方法不
一、标准各异的监管手段,出于利益最大化考虑,金融科技公司通过资金在不同业务之间的往来规避监管,将资产和风险向监管尺度较宽松的机构转移。监管部门之间由于信息不完全共享,难以根据掌握的局部信息识别金融科技机构的监管套利行为,并进一步影响系统性风险的识别和防范。当前分业监管的体制难以对金融科技机构进行穿透性监管。
二是地方金融监管机制对金融科技发展不适应。金融稳定与金融发展的矛盾导致监管缺位。地方金融办既要履行金融监管职责以实现中央政府的维稳要求,又要负责地方金融发展规划以配合地方政府的施政目标,二者存在内在冲突。我国目前对于地方金融监管尚无明确的法律规定或统一要求,地方政府开展金融监管工作往往从自身实际出发,各自为政,金融稳定目标往往服从于地方政府的施政目标。为争取更多的金融资源支持经济发展,地方政府通常以金融科技为载体鼓励金融组织创新,出现了P2P网贷、股权众筹等多种互联网金融组织形式,对民间资金形成巨大吸引力,也造成了线上非法集资屡禁不止、股权众筹跑路频发等一些金融乱象。地方政府过度包容的态度,导致金融科技发展与风险防范难以平衡。
一是金融科技发展对监管机构识别隐蔽性风险能力提出新挑战。金融科技跨界、混业、跨区域经营特征导致风险传染途径更加复杂隐蔽,监管机构缺乏充分监管能力和技术水平及时、全面了解被监管企业和金融市场运行情况。这就使得监管机构与金融科技企业之间存在一定程度的信息“孤岛”。另外,监管机构难以识别高科技“黑箱”应用于金融领域隐含的风险。例如,区块链技术在跨境支付领域的应用能够大幅简化汇款手续,缩短付款期限,但区块链网络通常由多个节点共同维护,一旦出现技术问题或服务中断,可能导致交易失败而引发经济损失,责任主体难以认定。
二是监管机构需要更强的监测和预警金融科技风险的能力。金融科技风险具有更强的传染性和破坏性,监管机构也需要有更强的监管能力对金融科技的风险进行实时、全面地监测。如果存在风险监测漏洞和空白,将会埋下风险隐患。监管机构即使能够全面监测金融科技的风险,如果监测滞后,也将影响事后处置风险的及时性。金融领域数据敏感性通常较高,在数据保护环境尚待完善的情况下,随着大数据技术的深化,每当数据主体(自然人)发起支付,存取款,购买金融产品,其个人、账户,甚至生物信息都在网络上留痕,难以避免被有意无意地搜集、存储和分析。这类活动通常难以被监管机构有效监测、即时预警,只有在信息泄漏导致网络诈骗等违法行为发生后才会做处置,必将对金融消费者身心健康和财产安全造成严重负面影响。
三是金融科技风险处置对监管机构提出新要求。金融科技业务的复杂性也增加了风险处置的困难。互联网支付、网络借贷和股权众筹等业务带来的风险隐患都涉及到对公众资金的快速、大范围、隐蔽性聚合和不透明管理,一旦发生风险,事后风险处置非常复杂。2019年处置非法集资部际联席会议指出,当前非法集资上网跨域特点明显,集资参与人量大面广。“e租宝”等风险处置事件就涉及到大量群体,处置工作还面临着较大的群体性事件风险。另外,属地监管与全国经营的矛盾也导致风险处置责任难以压实。去实体化经营和依托于互联网的销售渠道,使得金融科技机构摆脱了对物理网点的依赖,虽然设立于某一地区,但是经营却是涉及全国范围,地方风险处置的责任难以压实。
加强金融科技发展顶层设计,完善监管制度体系。一是在人民银行发布的《金融科技(FinTech)发展规划(2019—2021年)》基础上,完善相关配套保障措施,推动金融科技发展规划中各项目标的实现。二是围绕金融科技发展规划,明确金融科技监管重点领域和薄弱环节,及时补充监管力量。三是完善相关业务标准,推动金融科技合规发展,丰富政策体系,完善区块链、大数据等技术标准和风险规则。四是加强监管协调,推动监管机构之间数据和信息共享机制建设,提高监管政策在制定和执行等各个层面的协调。五是推动地方金融监管改革,压实地方金融监管责任,提升地方金融监管机构对金融科技的监管能力。
完善金融科技治理体系,加强金融消费者保护。一是严格法律约束,将金融科技活动全面纳入法治化轨道,根据《互联网金融从业机构反洗钱和反恐怖融资管理办法(试行)》,进一步制定网贷等各项业务从业机构反洗钱和反恐怖融资实施细则标准;二是强化行政监管,加强金融监管部门及中央和地方监管统筹协调,提高监管穿透性;三是加强行业自律,做好基础设施建设、统计监测、信息披露、标准规则、投资者保护等工作,引导从业机构合规审慎经营。
金融科技并未改变金融风险本质,现有监管原则和理念仍适用于金融科技领域。要坚持金融从业持牌经营原则,严格做好市场准入管理,所有的金融科技企业只要涉及到金融业务,都需要获得相应的经营牌照,接受相应的金融监管。对于未获经营牌照而违法、违规开展金融活动的主体,要依法清理整顿,使其有序退出。
防范金融科技平台、技术安全风险和金融欺诈行为,最根本的是要全面推行功能监管。微观功能监管采取穿透式监管,根据金融科技业务特征,按照相关业务类别进行监管,实现监管全覆盖,避免监管空白。微观功能监管还需坚持一致性原则,即在现有法律框架下,只要从事相同的金融业务,就要接受同样的监管,以维护公平竞争、防止监管套利。通过立法、补充细则等手段,延伸和扩充现有监管法规体系。无论是将金融科技纳入到已有的法律框架和监管体系,还是根据需要完善相应的法律和监管制度,都应该遵循和坚持一致性原则实行功能监管。
充分发挥“监管沙箱”制度特点,在风险可控的条件下,开展金融科技应用先行先试。允许企业在真实的市场环境中,测试创新性产品、服务和商业模式,减少创新理念进入市场时间与潜在成本,有效提高政策制定水平。2018年年底,北京、上海、广东等10个省市启动了金融科技应用试点部署工作。2019年12月5日,金融科技“监管沙箱”正式在京启动,试点项目共计46个。“监管沙箱”实际运行中应遵循以下原则:一是以坚持技术中性,给予所有新技术公平公正的市场参与机会;二是遵守现有业务规范,厘清技术创新表象下的金融本质,确保创新不偏离正确发展方向;三是以防范金融风险,运用信息技术手段强化风险态势感知和处置能力;四是服务金融业高质量发展,做好服务支撑,促进行业发展。
监管机构要大力发展监管科技。如发展人工智能和机器学习来自动化处理金融数据,获取大量较为全面的金融数据,及时掌握金融运行情况;发展大数据和人工智能分析技术等,提升数据信息处理能力及风险识别能力;系统构建基于互联网技术特别是大数据和云计算技术为核心的数字化监管体系,实现即时、动态监管和全方位监管,提升监管的实时性和精准性,全面提升风险防范和处置能力,将所有的金融风险事件尽可能地在单个交易日内及时处理,控制风险的跨时、跨机构和跨区域传染。
加强数据治理,推动数据标准化。当前金融科技发展呈现出“数据割裂”“信息孤岛”的态势,需要统一数据标准。因此,在不影响国家信息安全和用户隐私保护的前提下,监管机构可以制定金融科技行业数据标准,推动数据标准的统一、提升数据的机器可读性,增强企业、监管机构大数据分析能力,为决策提供充足的信息支持。
在平衡个人信息保护的基础上,促进数据自由流动。完善个人数据保护监管规则,增强居民对数据的控制权。强调个人信息收集与处理活动的透明性,首先企业获得和使用个人数据必须征得用户同意,个人拥有对数据收集的知情权及限制数据控制者数据使用范围的权力;其次数据控制者和数据处理者要披露采取的有效数据保护措施。防止数据滥用风险的同时,要兼顾数据开放。推动金融机构脱密数据共享,以及政府公共数据与私人数据之间的共享,打破信息“孤岛”,推动我国由“数据大国”向“数字强国”迈进。
金融科技企业全球化步伐加快,需要全球统一标准化的监管措施及国际监管合作。我国应立足本国实际,按照包容审慎、先行先试的原则,探索金融科技监管的中国模式,为全球防范化解金融风险提供中国智慧和中国方案。推动国际间金融科技监管协调机制建设,促进跨国间监管合作,构建有效的全球金融安全网,特别是在涉及反洗钱和反恐融资合规要求的领域,各国监管机构更要加强合作,维护世界经济安全和金融稳定。另外,可依托世界银行、国际货币基金组织、国际清算银行等平台,加强全球金融科技发展评估与风险监测,深化金融监管合作,探索建立针对金融科技监管信息共享、风险联动应对、危机处置等制度安排。各国监管机构还可以探索制定和实施“全球沙箱”计划,使金融科技企业可以同时在不同司法管辖区域开展测试,监管机构通过国际合作共同识别和解决跨境监管问题。