技法相融:应用监管科技防控金融风险的法治进路

○陈斌彬

一 问题的提出

金融发展史不仅是一部金融创新史，更是一部科技的迭代升级史。金融业的每一次创新发展都离不开科技的支持与推动。特别地，在新一轮科技革命和产业变革的背景下，伴随着移动互联网、大数据、云计算、区块链和人工智能等新兴信息技术在金融领域的广泛应用，科技更以前所未有的跨界化、去中心化和智能化形式重塑着金融业的演绎逻辑。放眼全球，拥抱和发展金融科技乃大势所趋，其不仅是今天各国谋求竞争新优势的战略方向，更是推动本国数字化转型、做大做强数字经济的重要引擎。(1)陈斌彬：《日本ICO法律监管制度研究及对我国的启示》，《现代日本经济》2022年第3期，第14页。2021年3月，我国公布的《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》也明确提出要稳妥发展金融科技，加快金融机构数字化转型和打造数字经济新优势。然而，稳妥发展金融科技首先就应关注和防范其所引发的新型金融风险。因此，在传统监管手段越来越无法胜任金融科技新风险监管之需的情境下，如何与时俱进地应用监管科技武装自我，提高风险的防控能力则成为摆在各监管机构面前亟待解决的时代课题。 有鉴于此，本文试图回归到科技治理的工具主义立场，主张在规制金融科技复合性风险上，监管科技的引入才是第一位的。法律应保持必要的谦抑，不宜“越俎代庖”，但其可通过规范监管科技的运作和防止监管科技失灵来间接发挥自身规制作用。是故，与现有的很多正面探讨法律应如何创新以更好规制金融科技风险的文献不同，(2)这类文献较为典型的有周仲飞、李敬伟：《金融科技背景下金融监管范式的转变》，《法学研究》2018年第5期，第3—19页；张永亮：《中国金融科技监管之法制体系构建》，《江海学刊》2019年第3期，第150—156页；靳文辉：《法权理论视角下的金融科技及风险防范》，《厦门大学学报(哲学社会科学版)》2019年第2期，第1—11页，袁康：《金融科技的技术风险及其法律治理》，《法学评论》2021年第1期，第115—130页等。本文将遵循“金融科技的风险及挑战——监管科技之因应——监管科技与法律规范相融——金融科技风险的良善治理”这一逻辑主线展开，把法治化的对象置于监管科技而非以往的金融科技之上，希冀通过构建监管科技的良法之治来间接实现对金融科技风险的良善防控。

二 金融科技时代下的金融风险及对金融监管的挑战

(一)金融科技与金融风险的新变化

金融科技是英文合成词“FinTech”的中译词，为金融(finance)与科技(technology)之融合，意指“技术驱动下的金融创新，它能创造新的产品、流程、应用和业务模式，从而对金融市场、金融机构或金融服务的提供方式产生重大影响”(3)FSB，“FinTech：Describing the Landscape and a Framework for Analysis”，March 2016.ech.。作为一种具有突破性的金融创新，金融科技虽能极大地提升金融服务效率和拓展金融服务的边界，但并没有从根本上改变金融跨期交易和信用交换所内生的风险属性。进言之，金融科技的本质是金融，其作用是最大限度发挥金融功能。因此，一方面，传统的金融业风险，如信用风险、市场风险、流动性风险、操作风险和系统性风险等依然存在；另一方面，金融科技自身的技术特性如底层新兴的信息技术和互联网等非金融因素的介入使其在上述传统的金融风险上烙上了诸如数据窃取、隐私侵犯、黑客攻击和大数据杀熟、算法歧视等技术风险的印记，从而出现两种风险的交织、叠加与变异，并在整体上呈现出以下的新变化和新特征：

1.风险更具隐蔽性。金融科技的发展促使金融业的经营出现了跨界化。这种跨界化不仅体现在金融系统内银行、证券、保险等子部门层面的跨界，还表现在金融系统与非金融系统如技术领域的跨界。正是在这种跨界化经营的背景下，一些金融科技产品或服务通过了复杂结构安排和程序编码，出现了业务上的交叉融合与层层嵌套。比如一些互联网平台整合其“场景+数据+支付”资源优势和银行信贷资金支持，形成了“支付+小额贷款+银行+资产证券化”业务模式。单独拆开这种模式，每项构成业务均为持牌经营，风险源一清二楚，但业务嵌套后边界变得模糊，各服务主体的责任“混为一体”，由此交织而成的风险难以被发现、确认和评估。并且，互联网的虚拟性及交易所需的技术支持都使得交易链被无形拉长，风险敞口早已不再限于金融服务机构、中介机构与金融消费者三方，而是延伸到背后研发和提供技术服务的科技公司和互联网运营商。相应地，金融科技的风险演化也从单纯的金融类风险扩充到涵盖非金融的技术风险在内，存在着明显的非线性特征，益加复杂和隐蔽。

2.风险更具频发性。技术驱动是金融科技发展的核心，而技术本身的特性及局限性使得各类金融科技产品所依赖的算法和数据来源高度集中，市场主体的交易决策出现趋同。在此情境下，相同的金融风险在相似技术的多重加持和放大下变得更加频发。比如随着人工智能在金融行业的深入应用，金融科技的算法越来越趋于同质化和集中性。一旦出现模型缺陷，程序错误，系统异常均可能造成“算法共振”，导致价格瞬时暴涨暴跌，使得周期变得更短、更剧烈，波动性加大，从而影响金融稳定与安全。以智能投顾为例，其在市场平稳运行之时，底层的算法设计就会通过高频数据捕捉价格波动，积极撮合交易。反之，在市场流动性紧张时期，其就会以更快的速度退出市场。这种交易上的快进快出势必加剧流动性风险的频发。同时，金融科技惯用的数字化交易手段(如移动支付、网上银行、 P2P、在线保险、众筹等)使金融科技业务逐步向县域、乡镇、农村与社区等基层场景下沉，吸纳了大量的诸如老人、年轻人、农民、中小企业和其他被传统金融排斥的长尾客户。这些客户不仅收入有限，还款能力低下，而且普遍缺乏专业知识，无力获取信息资源，在网络效应和羊群效应的双重驱动下，容易跟风交易形成过度借贷和违约，由此引发的信用风险无疑要比传统的金融市场更为频繁。

3.风险更具破坏性。如所周知，金融科技市场是由金融机构、金融科技公司、金融消费者等共同构成的多节点网络，具有数据高度集聚化特点，任何局部出现的交易风险会即刻随着数据快速集聚流动和网络物理节点的双向反馈而放大，并迅速传递到各参与节点，引发操作上的羊群效应，从而潜在地“升级”了交易风险的危害性和破坏力。即一旦出现交易失误，风险的量级相较于传统交易模式将呈几何级数增长。(4)廖凡：《论金融科技的包容审慎性监管》，《中外法学》2019年第3期，第805页。以高频交易为例，其报单速度快至以微秒(百万分之一秒)计，持仓时间短至以秒计。这就意味着一旦主体判断或操作失误而下达指令，则程序化形成的巨量订单就无法撤回，只能沿着算法预先设计的跟随策略方向进行交易，从而在瞬间导致价格和交易量过度反应，给市场带来极大的冲击，甚至引发市场“闪崩”。2010年5月6日美国道琼斯指数在半小时内暴跌700点，之后又戏剧性地反弹600点，让美国股市蒸发了1万亿美元就是典型明证。此外，金融科技系统是基于计算机软硬件的一系列方案。互联网的开放性、源代码的公开性(如公有区块链)和程序的不完备性使得具体金融科技场景在研发和应用中不可避免会遭遇如黑客攻击、数据窃取、计算机病毒侵袭和算法滥用等非金融因素引发的技术安全风险。无疑，这些技术安全风险也会从诱因和形成机制两个层面强化传统金融风险的辐射面，从而增强风险的危害性和破坏性。

4.风险更具涉众性。相比于传统的单一金融市场，金融科技的多维、跨界经营决定了其风险承担主体的种类和数量更多，风险天生更具泛化外溢的冲动。首先，金融科技端赖的(移动)互联网技术使之能快速地串联起全社会不同领域和时空的金融机构和金融消费者广泛参与储蓄、筹资、支付风险管理和风险处置等金融服务全环节，加之其面向的多为长尾客户，带有明显的公众性。是故，金融科技风险不仅能跨越地理、时空限制，在不同金融领域，不同金融服务环节快速传播，而且很容易通过终端客户外溢到金融系统之外。(5)蔚赵春、徐剑刚：《监管科技RegTech的理论框架及发展应对》，《上海金融》2017年第10期，第63页。其次，金融科技的去中心化交易模式(如区块链金融)正在不断地消解银行等传统金融机构在交易上所扮演的防火墙和安全门角色的中心地位，使得相同的金融风险不仅在交易主体间的传导路径变短，速度变快，而且这种传导又是分布式进行的，近乎于“畅通无阻”和“四通八达”，故而与传统的中心化交易模式下的金融风险相比，无疑更具泛化和外溢的社会特性。最后，金融科技对技术的依赖决定了金融机构与金融科技公司、互联网运营商等机构有着密不可分的技术供应链关系。这种供应链关系使得金融机构与科技公司乃至IT基础设施运营商等主体之间构成了一种多节点、高密度的社会网络。其中任何一个节点违约或算法代码编制的错误风险都极易通过技术和网络快速传导到其他平台，从而引发太快而不能倒和太多链接而不能倒的系统性风险。(6)许多奇：《互联网金融风险的社会特性与监管创新》，《法学研究》2018年第5期，第24页。故而，金融科技应用范围越广，风险的交叉性与传染性就越突出，所具有的涉众性就越明显，自然就越容易形成更大范围的系统性风险隐患。

(二)金融科技复合性风险对现有金融监管的挑战

由上可见，与金融科技作为金融与科技之融合相匹配，金融科技的风险本质上是传统金融风险与现代技术风险之融合，具有复合性。并且，这种复合性风险因技术的运用而较传统金融风险发生了量变乃至质变。其传导不仅早已突破时空限制，而且还因为第三方新兴金融科技公司的介入而波及到非金融领域，从而对我国现行的金融监管提出了一系列质与密度的挑战：

1.对监管模式的挑战。随着金融科技应用场景的不断铺开，我国金融产品趋同化、服务渗透化现象日益明显。金融机构间的物理界限早被打破，金融市场混业经营早已司空见惯。以支付宝为例，其本身既提供支付和存贷服务(如余额宝、花呗、借呗等)，也和第三方合作开展嵌套保险及基金、证券投资等服务，已然形成一条涵盖银行、证券和保险等在内综合性的金融服务产业链。然在金融监管上，不管是机构改革之前还是改革之后，我国在中央层面施行的仍是三大机构并立的分业监管模式。(7)2023年3月16日，中共中央、国务院印发了《党和国家机构改革方案》，决定在中国银保监会基础上组建国家金融监督管理总局，并将中国人民银行对金融控股公司等金融集团的日常监管职责、有关金融消费者保护职责，中国证券监督管理委员会的投资者保护职责划入其中。不过，该方案特别重申了国家金融监督管理总局负责除证券业之外的金融业监管，并将中国证券监督管理委员会由国务院直属事业单位调整为直属机构，统筹推进中国人民银行分支机构改革。由此可见，在中央金融监管机构设置层面，该方案施行的是中国人民银行、国家金融监督管理总局与中国证券监督管理委员会三大机构并立的分业监管模式。这种“谁家小孩，谁抱走”的监管模式存在着相互沟通不足的软肋，容易产生监管空白或监管重叠，还是无法因应金融科技跨市场、跨区域、跨行业以及分散化经营的运作生态。同时，这种模式下不可避免不同监管机构制定的监管标准不一。这就诱发一些金融科技公司可能会从中寻求监管套利，从而加剧金融风险的发酵与演化。

2.对监管方式的挑战。第一，金融科技模糊了金融与科技的边界，使得金融业的牌照与非牌照业务界限不再清晰。实践中，很多头部金融科技公司凭借其数据、流量和技术优势，强势介入或染指金融机构的产品设计、服务管理，客户推广，甚至暗渡陈仓，直接挤占金融机构固有的业务奶酪，极大地削弱了金融特许制的准入监管功效。(8)实践中，很多金融科技公司与金融机构的技术供应链关系不是简单的技术买卖关系，而是利益共同体关系，通过与金融机构进行价值分享，共同创造增量业务。第二，金融科技虽有客观的机理与构造，但本身并非必然是中立的。其在研发、应用乃至维护环节极易受到主体的钳制和影响，一旦不受约束就可能会为虎作伥，演化成技术风险。因此，一个完整的金融科技监管不仅要关注实体化的金融机构，还要将虚拟化的非实体技术纳入其中。在此，传统的以实体金融机构为抓手的金融审慎监管和行为监管鞭长莫及。(9)如审慎监管是着眼于金融机构的资本充足率、资产质量、流动性水平和盈利水平等指标的监管，而行为监管是着眼于金融机构对外交易行为及其对金融消费者侵害行为的监管。第三，金融科技作为数据驱动型的新金融产业，金融活动的实时性和分散性较为明显。监管机构依靠现场检查或基于金融机构的报表稽核等人工方式获取数据具有滞后性，显然不足以对金融科技业务当下的风险状态作出客观的评估和应对。

3.对监管能力的挑战。金融科技的复合性风险势必对监管机构的监管能力提出更高的挑战。第一，金融科技带来了海量的金融数据，且这些数据权属生成过程复杂多变。如何全面地捕获和触达这些数据，并在第一时间加以精准筛选为监管所用，这对那些没有技术工具辅助的监管机构而言并不容易；第二，金融科技的风险是动态多变的。监管机构欲对其有效防控，就须“以动制动”，将之纳入监管“雷达”实时探测范围，持续同步跟踪，并随时根据风险预警或在必要时提前采取风险缓释措施。然而，我国目前的中央和地方的金融监管机构在这方面的能力建设上乏善可陈；第三，监管报告是监管机构发现和评价金融风险是否存在的最终依据。以往监管报告主要依赖人工制作，存在成本高、编制时间长和数据碎片化等缺陷。这对日新月异的金融科技而言早已是明日黄花。因此，如何建立贯穿各个阶段的动态监管系统以对金融科技施以统一的监管，实时出具监管报告对监管机构也是个极大挑战。

三 监管科技：金融科技时代监管机构防控金融风险的必备利器

顾名思义，监管科技系科技与监管之融合。此概念最早由英国金融行为监管局(Financial Conduct Authority，FCA)于2015年11月正式提出，指“通过大数据、合规报告生成等新型科技以提高监管规则所实施的效率和结果”(10)Financial Conduct Authority (FCA)．Call for Input：Supporting the Development and Adoption of RegTech，(2015-11-23)[2022-08-11]https：//www.fca.org.uk/news/news-stories/call-input-supporting-development-and-adoption-regtech.。随后，国际金融协会(Institution of International Finance，IIF)将其定义为“能够高效地解决监管和合规性要求的新技术之总和”(11)The Institute of International Finance. Regtech：Exploring Solutions for Regulatory Challenges，(2015-10-03)[2022-08-11]https：//www.iif.com/Publications/ID/4229/Regtech--Exploring-Solutions-for-Regulatory-Challenges.。作为科技与金融监管深度融合产生的新事物，监管科技的提法近年来同金融科技一样风靡全球，引发了学界和业界广泛关注与讨论。如全球金融稳定理事会(Finacial Stability Board，FSB)按照应用主体不同，将监管科技分为适用于合规端的监管科技(RegTech)与应用于监管端的监管科技(SupTech)两大类。(12)FSB，The Use of Supervisory and Regulatory Technology by Authorities and Regulated Institutions：Market Developments and Finacial Stability Implications，(2020-10-09)[2022-08-11]https：//www.fsb.org/wp-content/uploads/P091020.pdf.前者又称“科技应对监管”，主体为金融机构，而后者称“科技执行监管”，主体为监管机构。鉴于我国 “监管”一词通常蕴含着主体为肩负某种公共管理职责的国家机构，属于公法主体，行使国家公权力，行为指向的被监管对象一般为私法主体。故若没有特别说明，本文所言“监管科技”是指面向金融监管端的监管科技，即特指金融监管机构将大数据、云计算、区块链、人工智能等新兴信息技术应用于某一具体场景以提升其监管(执法)效率和金融风险防控能力的一系列技术工具与解决方案的统称。概言之，监管科技赋能监管机构的功效主要体现如下：

(一)监管科技可有效弥补监管机构数据收集滞后的短板

我国监管机构对于金融科技风险的研判，目前主要依靠的是金融机构定期向其上报的各类财务统计报表。实践中，这些报表报送的数据经常一定程度上存在重复零散、粒度不够与成本高昂等问题。无疑，以这种被动方式收集的监管数据不仅范围有限，而且还存在滞后性，反映的并不是金融机构当下而是过去的运行状况。(13)周仲飞、李敬伟：《金融科技背景下金融监管范式的转变》，《法学研究》2018年第5期，第3—19页。有了监管科技的助力，监管机构便能有效地克服这种数据收集的短板。比如，通过应用程序接口(API)技术，监管机构可将监管科技系统与金融机构的合规评价系统形成对接联通，实现全天候获取监管所需的风险数据。又如，区块链自带的去中心化、去中介化特质，极大提高了监管信息的透明度。监管机构可利用区块链技术作为一个节点同其它金融机构节点共同参与到区块链交易网络中，与其他参与节点一样同步获得所有记录在分布式账本中的交易信息。总之，凭借监管科技，监管机构可以将以往线下、间断、分散的数据收集方式切换到在线、连续、集中的智能化模式，从而提高数据收集与管理能力。

(二)监管科技可提高监管机构对金融风险的识别、监测与处置能力

弥补数据收集滞后短板只是监管科技应用于防控金融风险的前奏，而如何对已采集数据进行深度挖掘识别，从中识别风险源则是关键。在此，监管科技亦可通过对所收集的数据进行机器清洗与解读，从中刻画金融科技参与主体的风险特征，从而助力监管机构对其识别、监测和处置能力。比如，在风险识别上，监管机构可利用大数据、云计算和机器学习等技术对海量的非标准化、非结构化数据进行深度关联分析和“降噪”处理，据此不断更新风险计量模型的指标、参数以提高风险的计量和预测精度，前瞻性地识别和研判风险场景，改善以往风险定价仅考量金融机构主动上报的标准、结构化数据这一不合理的人工风险管理困境。又如，在风险监测上，监管机构可利用分布式环境节点抓取金融机构的底层数据，通过流式大数据技术预先建立的监控指标体系以及机器数据分析和人工智能等手段，甄别每笔交易的触发者和交易对手，并持续进行全链条的风险跟踪监测，将其中可能出现的违规交易及可疑交易行为通过丰富的可视化途径如图形化面目展现出来，从而提前发现异动和实时报警，为风险的监管干预留下了时间窗口。再如，在风险处置上，监管机构可通过数字化手段实施自动化交易拦截、账户冻结、漏洞补救等应对措施，增强风险处置及时性、准确性，推动风险防控从“人防”向“技防”“智控”转变。

(三)监管科技可有效缓解我国分业监管存在的监管空白与监管套利

应用监管科技，除了可以增强监管机构自身的数据收集与风险识别、监测和处置能力，还可以有效缓解当前我国分业监管潜在的弊端。比如，监管机构一方面可应用深度机器学习对本机构出台的监管政策法规进行数字化转译，防止其他监管机构对监管规则理解的偏差而对跨行业的金融科技产品造成监管不当(如监管重叠或监管推诿)，另一方面可以利用大数据、云计算、API等手段实现的数据共享作为与其他监管机构相互协作的纽带，也可以对其他监管机构出台的监管政策进行比对，找到重合和不一致之处进行对接弥合，缓解分业监管下监管机构各自为政所导致的数据孤岛，避免监管套利的出现。

四 监管科技与法律规范相融的必要性

金融科技带来的复合性金融风险早已突破了金融监管机构传统的监管半径和监管能力，从而倒逼监管机构不得不寻求监管工具与手段的创新。实践证明，传统的以人工为主的金融监管“看不懂”“理不清”“防不住”的缺陷亟待通过监管科技来弥补。进言之，监管科技是与金融科技相匹配的监管工具。引入监管科技已成为各国监管当局探寻监管创新，防控金融科技风险的现实趋势和不二选择。然而，作为现代信息技术的一种创新应用，监管科技同金融科技一样存在未知的技术风险。这种技术风险除了依赖科技自身的不断优化完善，还尚需从法律层面建构相应的防范机制。同时，监管科技的有效发挥也赖以法律提供必要的基础设施以作支撑和保障。简言之，监管科技的成功施行离不开法律的保驾护航，推动监管科技与法律规范的相融不仅必要而且相当迫切。具体原因在于：

1.监管科技所需集成数据和技术标准亟需法律的规范和保障。不管监管科技应用的场景如何不同，其都离不开对跨业、跨界数据的共享与集成。倘若没有事先统一的金融数据共享标准可依，则监管科技的应用就会支离破碎和随心所欲，不仅会引发数据处理的规模性和侵入性，危及数据安全，而且还会让一些金融机构“有机可乘”，利用风险数据指标不统一的监管漏洞来规避监管和寻求监管套利，最终难以实现赋能监管机构改进金融监管效率和防范金融风险之功效。是故，如何通过立法“自上而下”地引领和规范监管科技各类技术的标准化建设，用统一的方式处理风险数据和统一的标准衡量数据风险，这对实现和确保监管科技的运作功效至关重要。

2.监管科技并非价值中立，而是具有价值负载。如所周知，监管机构并非信息技术领域的专家，加之受自身财政预算、人员编制的限制，监管机构往往很难具备自主开发面向某一应用场景监管科技系统的能力。现实中各国的通行做法是把监管科技系统的开发重任外包给第三方的监管科技公司。如此通常会衍生出两个层面的技术风险问题：第一，被外包出去的监管科技系统在研发中很容易受到研发者自身价值判断的影响，从而带有某种难以避免的偏见与利益冲突。尤其在某一具体的监管科技开发服务提供商数量有限和监管机构监督不力的情形下，监管科技公司在研发系统中可能会利用算法与智能合约设计上的代码化和隐蔽性强等技术特点作恶牟利。第二，监管科技系统的研发关乎具体领域的监管成效，作为后续应用方的监管机构在研发阶段肯定不能当“甩手掌柜”“一包了事”，而仍须就技术监管标准等基础性问题与科技公司进行充分的沟通与互动。然而，这种沟通与互动一旦过于密切，就会不自觉地捍卫被监管对象的利益，出现科技俘获监管的现象，造成潜在的更大危害和风险。(14)究其因是很多科技公司既为监管机构提供监管科技平台解决方案，也为金融机构提供金融产品(服务)改进方案。其身份经常在监管科技公司与金融科技公司两者间自由切换。如果监管机构和众多金融机构选择的都是为数不多的几家头部科技公司作为技术供应方，则这种监管俘获现象就容易出现。[英]斯特凡·勒施：《监管科技：重塑金融安全》，林华等译，北京：中信出版集团，2019年，第9页。

由上可见，监管科技系统外包研发的事实会令其在后续应用中陷入了“二律背反”的风险困局；一方面监管机构对第三方科技公司的技术依赖使科技公司在研发阶段极易挟技术的优势地位滋生道德风险；另一方面，为防范道德风险，监管机构又不得不花大量时间与科技公司接触交流，如此又可能打开监管俘获的新窗口，弱化整个监管科技后续运作的正当性基础。欲破解上述的困局，仅靠科技公司和监管机构的自我规制显然是难以奏效的，亟需借助外部的法律力量构建监管科技的安全优先规则，明确监管科技研发主体和应用主体在技术风险防范方面的合规义务和注意义务，从而从立法上对上述各方主体在研发阶段可能出现的道德风险行为和恣意加以有效约束。

3.监管科技参与主体责任存在缺失。监管科技施行所涉及的主体是监管科技公司与监管机构，其监管的对象是参与特定场景交易的金融机构和金融消费者。其中科技公司作为监管科技技术的提供方，扮演的角色是根据监管机构的需求开发面向某一场景的监管科技系统(平台)，并对该系统(平台)提供技术维保。监管机构是应用主体，其主要依据监管接口电子化协议书通过API将特定场景的监管对象嵌入业已运行的监管科技平台。而如前所析，监管科技公司在研发中滋生的道德风险行为会引发监管科技后续应用的技术风险甚或是系统性金融风险，从而对作为委托方的监管机构和监管对象存在着潜在利益侵害的可能，然在现行的金融分业监管模式下，这类公司却可以凭借其非金融机构身份游离于金融监管体系之外，从而无需对自己的风险行为带来的损害担责。同时，监管机构作为监管科技的应用方，若其内部工作人员没有遵循必要的操作流程而出现监管科技的滥用或误用，则此情形下监管机构是否应为这种错误操作给监管对象或公共利益带来的损害承担赔偿责任？这在实践中也是付诸阙如。无疑，这些责任规范的缺失委实难以对监管科技的参与主体尤其监管科技公司形成真正的约束力，明显不利于监管科技的可持续运营。因此，将法律作为确保公共问责的一种基本手段，通过补强法律责任以及畅通救济通道，引导受损的监管对象依法向监管科技主体追偿亟显必要。

总之，监管科技参与主体的自我规范无法代替外部制度规则的约束，法律才是维系监管科技有序运作的基石。我们应打破“科技中立”和“科技万能”的迷思，发挥法律对技术的引领和保障作用，推动监管科技与法律规范的有机相融：一方面让法律尤其是现行的金融监管法从传统的审慎监管范式解放出来，不仅关注实体化的金融机构，还应关注虚拟化技术，为监管科技确立各类研发和应用标准，以对监管科技参与主体的行为加以规范和约束；另一方面要构建起相应的主体责任承担机制，使在监管科技研发和应用环节中的每位受害方都能维权有道和索赔有据，以此倒逼监管科技参与主体勤勉尽职、谨慎中立。惟其如此，才能充分释放监管科技固有的良善功效，助力监管机构改进监管效能和提升风险防控的成效。

五 监管科技与法律规范有机相融的法治进路

上文分析表明，技法相融既是监管科技自身有效应用的前提，也是现代金融监管法治的必然要求。这种相融有两个维度：一是技术的法律化，即将监管科技研发和应用的技术安全标准纳入法律的调整范畴，并设置相应的主体责任机制；二是法律的技术化，即将监管政策和规则通过数字化技术转换成机器可读的语言，映射在代码中由计算机使用这种语言实现监管的自动化和智能化。两相比较，前者无疑是后者的基础与前提，后者是前者的次生品。因为技术的应用可能会因主体的原因失控。倘若没有先将技术主体关进法律的笼子里面，防杜其在技术研发和应用中可能出现的不当行为，则后面的法律技术化后也会出现方向性的偏差。是故，本文以下主要立基于前者视角来探讨技法相融的法治进路。

(一)数据与算法：监管科技法律化的落脚点

综合FSB、IIF和FCA等各类权威机构发布的研究报告，目前全球监管科技解决方案中，主要应用的为大数据、云计算、区块链、人工智能、生物识别、API及加密技术等。(15)杜宁等著：《监管科技：人工智能与区块链应用之大道》，北京：中国金融出版社，2018年，第66页。表面上看，这些技术的机理构造和程序应用存有差异，但它们本质上都属于数据与算法的有机耦合体，存在着相互渗透与支撑关系。易言之，无论这些技术被嵌于何种监管场景，穿透至最底层的核心元素无外乎就是数据和算法。其因在于：首先，数据不仅是金融业的生产要素，更是现代金融监管须臾不可离的基础设施。监管科技亦然，其高度依赖对数据的使用。没有事先高质量和及时有效的数据以作支撑，则监管科技就成了无本之木和无源之水。其次，作为一种受计算机程序驱动的解决特定问题的自动化决策机制，算法天生与数据紧密关联，共生共荣。可以说，没有数据的算法是空中楼阁，失去算法的数据则一潭死水。正是算法与数据的结构性耦合，监管科技才能用某种特定计算机语言将线下人工监管执法的过程分解设计为可供执行的应用程序，从而具备实时、动态和智能化之功效。最后，在“万物皆互联，无处不计算”的今天，数据和算法的耦合已不再是单纯的“技术工具”，而正以独特的运行逻辑对包括监管科技应用在内的各种人类日常行为构成潜移默化的塑造和控制，引发了一系列合法性挑战和伦理失范现象，包括抑制主体的自由空间、威胁个体的平等机会及阻碍制度正义的实现。(16)罗有成：《算法的价值挑战及其包容性治理》，《华侨大学学报(哲学社会科学版)》2022年第6期，第100页。因此为了防患于未然，我们更应居安思危地将有关监管科技算法开发及代码编写的伦理规则纳入到法治化框架中，使之与法律形成有效的对接。(17)我国的金融监管当局也已注意到科技伦理规制的重要性。2021年12月，中国人民银行在其印发的《金融科技发展规划(2022—2025年)》就提出了“加快出台符合国情、与国际接轨的金融科技伦理制度规则，健全多方参与、协同共治的金融科技伦理治理体系”的规划。

一言以蔽之，数据是监管科技的载体，算法是核心驱动力。两者安全与否决定了各类监管科技应用的成败。故此，推动监管科技与法律规范相融首当其冲就要将监管科技赖以运作的数据与算法法律化，通过发挥法律的规范作用实现两者应用风险与安全的平衡，继而夯实监管科技良善运作的基础。

(二)监管科技法律化的路径之一：确立金融数据的共享标准

实践中，监管科技在金融监管端的应用主要体现为数据采集和数据分析。数据采集着眼于形成报告(自动化合规报告、实时检测报告)、数据管理(数据解耦、数据整合、数据确认与可视化等)和引入虚拟助手(借助于虚拟助手采集市场信息，了解被监管对象的数据，与市场参与者之间进行互动交流)；数据分析则含市场交易行为的监管、不端行为的检测、微观审慎监管和宏观审慎监管四大核心领域。于监管机构而言，无论其应用的是面向何种场景的监管科技系统，欲有效地进行数据采集和数据分析，就不能不重视数据共享的标准化问题。所谓的数据共享标准化，是指在数据要素化背景下，一国为了维护数据安全和推动不同数据源的数据进行关联共享而对数据的定义、类别、格式、编码等基础统计参数及应用程序接口、传输交换协议等基础设施予以统一规范和确认的过程。数据共享的标准化，一方面可以解决不同类型、级别数据之间的匹配问题，扩大数据采集的覆盖面，帮助监管机构完整深入地理解金融机构的创新行为和业务风险态势；另一方面可以提高监管科技系统的集成度、模块的内聚性和扩展性，实现机器的可读性，从技术上消弭监管数据鸿沟和缓解我国“一行两会”分业监管带来的监管割裂与抵牾。

应该说，我国自完成“数据三法”即《网络安全法》《数据安全法》和《个人信息保护法》立法以来，在有关数据或个人信息的界定处理、安全保护、跨境流动方面已有有了较为完整的规定，但在涉及数据共享标准化方面仍语焉不详。(18)如《数据安全法》第十一条只是笼统地提到国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定。由此造成目前我国很多经济领域的数据共享标准要么付诸阙如，要么行业、团体和企业标准多重并存，缺乏“通用语言”。不同主管部门、机构对监管数据参数的归类和统计存在较大误差。数据在流通共享方面乏善可陈。以金融领域为例，目前数据共享的标准化进程仍局限在原有的“一行两会”各自负责的领域。典型的如人民银行发布的《金融数据安全 数据安全分级指南》、银保监会发布的《银行业金融机构监管数据标准化规范》及证监会发布的涉及证券、期货交易和开放式基金业务的《证券交易数据交换协议》等。由于这些数据标准在一些元数据描述和统计口径界定上并不一致，(19)如以资本构成为例，银行业标准将其分为核心一级资本及附属一、二级资本三类；保险业则分为核心一、二级资本和附属一、二级资本四类；证券业则干脆使用“净资本”说法，并分为核心净资本和附属净资本两类。所以目前我国监管科技发展的方向与着力点还是限定在银行、保险和证券等各金融子部门之内，并无跨部门、跨行业监管场景中的应用。(20)典型的如2012年9月中国银监会施行的面向银行业金融机构的检查分析系统(EAST)，2018年8月中国证监会印发的《中国证监会监管科技总体建设方案》。该方案所提的监管科技1.0、2.0、3.0三类信息化建设的内容和方向也主要面向证券业，不涵盖银行、保险等其它行业。显然，这种以分业为基础的局部分散的监管科技系统与现代意义上那种为因应金融科技跨界混业经营而生的统一的监管科技平台相去甚远。

因此，下一步我国应破除不同金融业态的数据壁垒，构筑支撑所有监管科技应用所需的跨行业金融数据标准体系，包括创建标准化的金融数据库、统一数据共享标准和开发自动化的共享机制等。虑及“一行两会”在分业监管中可能出现的相互掣肘，此一重任只能由新组建的中央金融委员会承担。是故，我国一方面应通过立法补强中央金融委员会的地位、职权和职责，从法律上确认其统筹协调金融监管的功能。(21)2023年3月16日中共中央国务院印发了《党和国家机构改革方案》，决定组建中央金融委员会，负责金融稳定和发展的顶层设计、统筹协调、整体推进、督促落实，研究审议金融领域重大政策、重大问题等。虽然该方案明确不再保留国务院金融稳定发展委员会及其办事机构，但却重申将国务院金融稳定发展委员会办公室职责划入中央金融委员会办公室。由此可见，国务院金融稳定发展委员会原有的协调金融监管的职责权力并没有因其被撤销而消失。另一方面应充分发挥中央金融委员会作为党中央金融决策议事协调机构的优势，由其牵头在人民银行既有的金融数据分级分类标准建设的基础上，协调国家金融监管总局、证监会与中国互联网金融协会等行业组织和一些头部平台金融科技公司，对标国际标准实践，制定横跨银行、证券、保险等业态的监管数据元标准和数据安全交互标准，以统一规范金融机构、金融工具、金融交易对手方所属经济部门的统计口径、编码及同一分级的数据定义、格式、应用程序接口及数据传输协议等，实现同类同级的数据字段关联标准与合标校验。需要指出的是，为提高这种金融数据共享标准的权威性和约束力，避免像一般标准那样沦为一种自愿适用的工作指南，我国应注重标准与法律的联动机制建设，即在今后涉及监管科技的立法中参鉴产品质量或环境保护领域立法的通行做法，通过设置专门的标准援引条款，将之纳入其中，使之具备法律属性，从而发挥法律在标准使用上的引领和保障作用，推动我国监管科技由目前分散式的局部系统开发向全局化的系统整合方向迈进。

(三)监管科技法律化路径之二：规制算法黑箱

算法作为一种用计算机程序解决某种问题的决策思路和方法，本身并无利益属性。但当算法碰上数据，被用作分析数据工具和实现某种特定任务时，此时的算法便不再是一种纯粹技术，而成了一种可以影响和改变社会秩序的软性权力。因为算法开发者的某种价值判断和寻求隐性利益的动机有可能会映射其中，使得算法规则的确定不再中性。再者，算法的外观是以“0”和“1”表示的二进制代码，个中参数的输入与输出之间存在大量复杂非线性变换。这对常规的未接受过相关专业训练的监管者和普罗大众而言，即使其内容完全披露(如源代码公开)，大家依旧看不懂其设计理念和运行逻辑，更遑论知晓其里头的分析与决策过程，由此形成的算法“黑箱”不仅不可避免，而且难以察觉。

更为关键的是，内含于监管科技系统的算法在大多场合也是由第三方监管科技公司开发和推广。在此情境下，设计者自身的利益诉求和价值偏好也不可避免地会“植入”算法系统之中。(22)许多奇：《论新发展理念下监管科技法治化的融合路径》，《东方法学》2023年第2期，第42页。因此，当外部科技公司开发的某种算法被嵌入到具体监管科技场景时，这种 “黑箱”带来的损害就会成为现实。比如算法中若设计侧重数据相关性而非因果性的分析指令，则其就会做出错误的勾连与判断，输出错误的监管决策误导监管科技智能化的作用指向，从而妨害监管权力的公平行使，出现异化的风险。因此，面对算法黑箱，除了强调对算法开发者的伦理性规制之外，法律和监管机构也绝不能置若罔闻。欧盟的《通用数据保护条例》(General Data Protection Regulation，GDPR)就率先在全球开创性地构筑了了以个体赋权为核心路径的算法黑箱治理体系。如其第22条就赋予数据主体对算法决策的反对权，即数据主体有权反对完全依靠自动化处理包括用户画像对数据主体做出具有法律影响或类似严重影响的决策。第13—15条则为数据主体创设了组合版的算法解释权。这种解释权嵌在事前的知情权(第13条和14条)和事中访问权(第15条)之中，赋予数据主体在数据控制者获取其数据前和在处理其数据过程中均可要求数据控制者提供自动化处理过程中运用的逻辑，以及该种数据处理对数据主体的重要性和可能产生的后果。欧盟法建构的这种算法解释权颇具启发意义。可以说，算法解释不仅是构建算法规制框架的关键节点，也是避免算法决策恣意武断、有效约束算法决策的前提。(23)Frank Pasquale，“Toward a Fourth Law of Robotics：Preserving Attribution，Responsibility，and Explainability in an Algorithmic Society”，Ohio State Law Journal，Vol.78，No.5，2017，p.1239．在传统的法律监管机制如信息披露等对算法黑箱约束失灵情境下，算法解释权无疑就是确认监管科技算法决策可信度和正当性的有效利器。

可喜的是，我国立法也注意到算法解释权的价值。如《个人信息保护法》第二十四条规定，通过自动化决策方式做出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明。然此条款仅限于个人信息处理方面，而且对说明的范围无置可否。2022年3月1日国家网信办、工信部、公安部和市场监督总局联合施行的《互联网信息服务算法推荐管理规定》虽有要求提供者告知用户算法的基本原理、目的意图和主要运行机制的，但这也是针对算法推荐服务领域而言。(24)《互联网信息服务算法推荐管理规定》第十六条。因此，今后我国还应在立法层面拓宽享有算法解释权的主体范畴，将之从个人信息主体、网络用户延展到受算法作用的数据主体与使用监管科技的监管机构，并借鉴欧盟法的做法补强算法解释权的行使环节和核心内容，以此对算法开发者和控制者形成法律震慑，从而达到减少和破解算法黑箱之目的。

(四)监管科技法律化路径之三：补强和完善主体的责任机制

道德风险是金融风险的重要表现形态，也是在金融交易活动中市场主体基于自利动机行事的固有风险。(25)袁康、邓阳立：《道德风险视域下的金融科技应用及其规制——以证券市场为例》，《证券市场导报》2019年第7期，第14页。前已析及，监管科技通常由外部的监管科技公司主导开发，在监管机构疏于监督或监督不力的情形下，这种委托代理的模式很可能因科技公司图谋私利的道德风险行为而使监管科技偏离预期的功能定位。比如研发者可能会操纵算法选择性地收集和分析数据，粉饰或掩盖被监管对象的实际风险状态；或者故意在系统中设置后门窥探、窃取未经监管对象许可上报的数据；或者向特定的监管对象提前透露监管重点而让之采取规避措施以不受系统作用，成为漏网之鱼；或者使用“超级推理”，以微妙而渐进方式塑造监管机构的偏好与行为，破坏监管机构的独立判断能力，误导其通过监管科技系统做出与实际偏离的监管策略，使一些本应被重点监管的金融机构或消费者变为“轻触式监管”对象。特别地，当承接基于特定场景研发任务的监管科技公司与所研发的监管科技系统拟作用监管的对象(如某一金融机构)是关联公司或与之存有利益合作关系时，则上述的道德风险行为可能会更加严重和明显。此时就会出现前文提到的监管俘获现象，即这些本应接受监管的金融机构就会在监管科技后续应用中摇身变为“隐性监管者”，既当“运动员”又当“裁判员”。由此可见，技术风险虽直接源于技术缺陷，但其根源是主体对技术的不当应用。为防范和治理这种不当应用，作为委托方的监管机构除了“以毒攻毒”，引入诸如“红帽”黑客之类的第三方专业机构协助其强化对监管科技研发过程持续监控和研发结果的校核检验外，(26)这里的“红帽”黑客是指互联网领域中那些始终以坚持正义为宗旨，专门研究或者从事网络、计算机技术开发以维护国家和公共网络设施安全而非为某特定市场主体服务的第三方专业机构。另外一个有效之径就是通过立法补强、完善监管科技参与主体的法律责任，以此调动所有监管对象参与和监督倒逼监管科技平台设计及运作的中立和可靠，具体包括：

1.对监管科技公司而言，因其是专门以提供监管科技平台开发和维保服务的商业性机构，故理应有义务保证其所研发和维护的监管科技系统安全有效，并在现有技术条件和专业水平能测控的范围内不存在技术风险。同时，由于算法“黑箱”的存在和技术风险的难以预测性，加之监管科技平台非接触性的运作特点，受害的第三方(有时也包括监管机构)往往很难证明监管科技公司在研发中是否存在过错及其过错大小与损害的关联性，所以为保证侵权法的实效与权威，立法在课以科技公司专家注意义务的同时，也应在其责任认定时采取无过错的责任原则，以更加直接和严格的归责原则对监管科技公司施加更为有效的约束。不仅如此，确立这种侵权法上的无过错责任还可让具体场景中受不良监管科技平台侵害的监管对象能径直突破合同上的相对性原理，上溯到研发和维护环节向监管科技公司追责，从而防杜其制造技术风险后又以自己并非应用主体身份抗辩监管科技受害对象的投机做法。此外，监管科技是一种公共物品。若监管科技公司向监管机构交付的是一个安全性、公平性均有缺陷的监管科技系统，则其带来的危害已不仅仅是那些直接受平台系统作用的个体对象权益的损害，还可能表现为对所在行业监管秩序的全面和系统性的扰动。因此，补强监管科技公司这种侵权法意义上的技术风险责任，还可为监管机构通过公益诉讼途径追究科技公司侵害金融公共秩序提供了可能，从而既弥补其只能依据委托开发合同这一约定责任规范科技公司商业行为的不足，又能堵住监管科技公司凭借非金融机构身份逃脱现有金融监管这一漏洞。当然，需要着力说明的是，笔者主张在监管科技运作中课以监管科技公司的这种无过错责任并非绝对，立法还应为之提供必要的安全港空间。详言之，如果科技公司能证明特定监管场景的技术风险是源自于监管科技系统自身或超出其认知范围的技术缺陷与漏洞，而非研发方没有尽到注意义务，则其理应可以获得无过错责任的豁免。惟其如此，才能保护科技公司研发的积极性和创造性，鼓励其开发与市场同步的试错型监管科技，从而展现新的金融监管立法对科技创新的包容。

2.对监管机构而言，其扮演着监管科技需求方与应用方的双重角色。这意味着除了科技公司的不当研发这一主要因素外，监管机构在研发环节被俘获或后续对监管科技的不当应用也会给被监管对象带来损害。因为监管科技实质上是监管机构监管权力的技术化延伸，且系统从启动到终止的运作全程均离不开监管机构的人工控制。在这其中，一旦监管机构因技术依赖被研发主体俘获或从事系统作业的监管工作人员不遵循系统预设的操控流程而滥用或误用监管科技，导致接入系统的金融机构或金融消费者发生额外的损害(如增加合规成本，过度采集风险数据、泄露隐私或技术秘密等)甚至对既有的金融监管秩序或公共利益造成冲击，那么其自不能挟国家机构的身份而从中脱责。不过，与监管科技公司不同，监管机构毕竟不是监管科技系统研发的直接当事人，且其运用监管科技系统开展监管工作是出自于更好地履行金融监管公共职能，维护金融安全与稳定、保护金融消费者利益之所需，并非商业行为，故这种操作不当带来的危害及负面效应显然不能与监管科技公司以图私利的不当研发行为相提并论。在此，立法若套用监管科技公司的无过错责任对监管机构加以归责难免有苛责之嫌。比较合理的方案是是确立监管机构的过错侵权责任，即规定监管机构只有在故意或严重过失情形下才会对其不当应用监管科技的侵权行为损害承担赔偿责任。当然，为了最大程度上杜绝上述现象的出现，监管机构在赔偿后还应对其内部负责监管科技系统操控的工作人员实施问责，以追究其鲁莽和怠慢操作行为的行政责任。

综上，在推动监管科技与法律规范相融的过程中，法律责任的意义在于能够与前面的数据共享标准和算法黑箱规制一起形成完整的制度闭环，从而实现强化行为约束的保障。进言之，只有确立和补强监管科技公司、监管机构等参与主体在侵权法上的法律责任，才能够使那些在监管科技研发或应用环节中权益受损的第三方获得充分的救济，同时也才能对监管科技的不当研发或应用行为形成真正的约束和威慑，让那些试图通过制造技术风险以图私利的参与主体产生约束和减缓自身道德风险的动力，并在“自作自受”中主动采取措施降低技术风险发生的可能性，从而确保监管科技系统全流程运作的安全向善。

六 结 语

美国制度经济学大儒弗里德曼(Friedman)教授曾言，“相对于技术变迁而言，法既是反应装置，又是推动装置。在这两种功能中，尽管法对技术的被动反应得到了更普遍的认知，但法对技术的积极推动作用正在逐步加强。(27)Wolfgang Friedman，Law in a Changing Society (2nd Edition)，Columbia University Press，1972，p.11.将此一论断用来描摹和诠释监管科技的法律化意义再合适不过了。作为伴随金融科技发展应运而生的新型监管工具，监管科技正以强大技术变革赋能各国监管机构，极大地提升其监管效能和防控金融风险的能力，从而重塑和引领着未来各国金融监管范式的变革。然而，这种提升和引领的功效并非自动而生的，其亟需法律装置的积极反应与推动。具体到我国，虽然官方层面才于2017年6月由中国人民银行正式提出监管科技的概念，(28)2017年6月27日，中国人民银行印发了《中国金融业信息技术“十三五”发展规划》，正式提出要加强金融科技和监管科技研究与应用。但在实践层面，监管科技在我国中央和地方各级的监管场景应用却早已有之。(29)如2005年9月，中国人民银行就开始建立和实施“反洗钱监测分析系统”。该系统经过两次的迭代升级，目前已涵盖了银行、保险、证券、信托、消费金融领域的各类金融机构，实现了反洗钱监测业务流程的全覆盖。故我国今后的相关金融监管立法也应及时予以跟进和回应，从数据与算法两个底层核心技术元素的规范切入，并配予相应的主体责任追究机制，从而实现完整的制度闭环以将监管科技的全流程运作纳入法治调整的轨道，使之既安全有序，又能切实发挥赋能监管机构提升金融监管效能和防控金融风险之功效。