吴晓灵

近几年的平台金融科技兴起于第三方支付业务，并逐步介入金融领域的不同环节，实质开展节点型金融业务。其优点是拓展了金融服务的范围，提升了金融服务的效率和客户体验，促进了金融体系的数字化转型，但同时也带来了新的风险和挑战，如平台公司的垄断问题、个人隐私的保护问题、算法的歧视问题，以及介入金融业务后的便利性可能引发的个人过度负债问题、信用风险问题和系统性金融风险问题等。

信贷是中国金融服务实体经济的主要活动，也构成了中国银行业金融机构最主要的收入来源。近年来，随着数字技术的发展，金融科技公司逐渐介入信贷领域，在降低业务成本、触达长尾客户的同时，也在客观上分拆了信贷业务流程，形成了节点型金融模式，给传统金融机构和金融监管带来了重要挑战。

真正的创新往往是“无中生有”，那么，应该如何认识金融科技公司介入信贷业务的实质？怎样应对其带来的垄断风险、系统性风险和伦理道德问题？

金融科技并没有改变金融本质，金融监管的基本理念和逻辑也没有发生变化，仍需要着力于资本、行为以及投资者和消费者的保护三个方面。此外，金融科技的监管需关注并应对以下三个方面的变化。一是金融分工细分，联系网络化。二是服务新客户群，形成新的业务模式和组织方式，市场力量对比发生变化。三是数据驱动，需要在金融监管之外强化数据治理的规制。

首先，通过金融与数据空间的映射实现金融科技监管。金融科技将传统的金融空间进一步映射到数字空间，因此，需要找到数字空间的“对应物”，根据相同的监管理念和逻辑，采用科技方式监管。具体而言，现实世界的自然人，法律意义上的法人转变为数据空间中的节点——“人工智能人”，行为则对应于算法，与客户、合作伙伴的触达则从物理网点转为网页、App和API（应用程序接口）等，基础设施转为物联网、区块链、数据治理等。监管可以在区块链上设置特殊节点，通过算法监测和管理。

其次，适应分工细分和网络化，从机构监管转向功能和行为监管。金融分工细化和网络化后，不再传统地以单一机构为核心、全面承担金融链条上的全部风险。金融监管既可以通过合并报表、表外回表内、“穿透”等技术，回到传统的以机构为主的监管，也可以根据金融形态变化再创造监管技术。

第三，基于数字时代的金融管理。需要将金融科技监管纳入数字时代的数据治理范畴。这既包括数据治理的一般性要求，也包括货币、金融在数字空间的獨有形态和组织方式。在自组织的数字金融生态中，货币调控和金融监管的必要性将逐步降低。金融管理与引导数字经济发展相融合，需要为多样化的数字经济主体、模式留下足够的发展空间，更需要践行“监管沙盒”所隐含的现实实验和开放成长理念。

金融科技的监管应平衡技术、金融和社会伦理之间的不同诉求，平衡金融科技的系统性风险防控和数字产业的健康发展，注重监管的效率和适宜性。具体而言，金融科技监管宜遵循以下五点原则。

第一，无监管套利均衡，即监管中性或功能监管。争取实现金融业务监管按整体和按环节分解无差异，由金融系统和非金融系统开展的监管无差异。仅通过环节的细分、不同类型机构的合作不会带来监管红利，同时，监管也不会阻碍分工细化和机构间的合作。此外，监管对技术保持中性态度，对不同技术路径不宜有价值判断，保持开放态度，重点放在技术使用上。

第二，鼓励创新、转型风险可控和金融安全相统一。金融监管要顺应数字化转型的大趋势，承认行业的深层次重构带来的中心和主体变迁，要不拘泥于监管形式和现有做法，把握金融监管的精神实质，在技术和组织、流程重构后，于新空间中再创造新运用。当然，需要平衡“破”和“立”的程度和节奏，控制转型风险，达到鼓励创新、控制风险、维护安全。

第三，最小干预原则，注重监管效率。金融监管是应对市场失灵的重要措施。要重视监管效率，平衡好监管的收益与成本，不宜过度介入金融市场和机构的日常运营，以免给市场带来过高成本。以损失效率、付出极高成本来维护金融稳定既不利于金融的发展，也不利于维持和提高金融体系的竞争力。监管的组织，包括人员编制和科技手段的应用，宜与金融科技特点相适应，保证可行且有效。

第四，普惠、高效的服务与社会伦理的平衡。社会达成共识的伦理道德观需要通过一定的方式嵌入金融科技的业务、程序和监管之中。应防范金融科技公司打着“普惠金融”的旗号，过度触及没有风险评判能力、不能承担风险的服务群体，演变为诱导消费、过度信贷。需强化金融科技公司的反竞争策略、歧视性定价等反垄断审查，加大对其算法透明度的要求，防止出现算法歧视，保护个人数据隐私。

第五，宜区分金融风险、经营风险和技术风险，分类监管。金融链条上不同环节承担的风险性质不同。有些是部分出资，承担金融风险；有些是管理和操作成本，承担经营风险；有些负责技术系统的开发和运营，承担技术风险。金融中的尾部风险损失需要通过适度资本金吸收，但技术风险，如信息技术和模型风险、市场的商业风险，表现为经营或交易失败，应有另外不同的管理机制。技术风险中的模型风险也要进一步区分：一是技术设计不当等设计开发的纯技术风险，二是使用者决策采纳并使用该模型所需要承担的因模型不当引发的风险。前者为技术风险，应由技术提供方负责并承担；后者宜由决策者负责并承担，金融领域转变为金融风险。

金融科技通过新一代的信息技术，将数据、技术和金融联结起来，形成新的金融服务、组织和模式，需进一步创新金融科技的监管方法，对此，要关注三个重点。

第一，明确金融科技含义，界定金融机构和金融行为。

严格界定金融科技公司的“金融”属性。金融科技公司介入的金融领域，往往只是某项金融业务多个环节中的一个或多个。金融业务边界不断模糊、缺乏所谓的“本源”业务，已使传统从本源业务上认定“金融”属性的方法不再适用，需回到相对稳定的金融功能，重新梳理金融的本质特征，根据新业务、新模式、新流程再认定。

机构是风险发生和承担的“节点”。因而，可从金融风险发生和承担主体上认定金融机构，要求“节点”有吸收损失的、充足的资本金，以及风险识别、定价和处置的专业能力，包含人才、组织和机制。

以金融产品或服务为标准认定金融行为。需要强化对客户触达节点的行为管理，包括销售和服务、与合作伙伴交易中的合理性管理。

第二，基于风险承担的节点的审慎管理。

系统通过节点分散并承担最终风险。金融科技公司参与金融业务细分环节的某些环节，仅需对承担最终风险的环节施加与其实际风险承担相一致的资本等审慎管理要求。具体包括，需具备足够的专业能力、设计并运行良好的机制，以及充足的资本金，并通过牌照或资质等方式加以确认。

考虑到当前金融科技公司承担风险的特殊性，对其资本金的要求可不同于一般金融机构。

一是按实际风险承担要求资本充足率。金融科技公司利用金融科技技术，累积用户数据，不断迭代风险控制模型，提高了风险识别和控制能力，进而表现为金融科技公司的消费性贷款和面向小微企业的流动性贷款的不良率，都低于银行业同类业务的平均水平。因此，在正常经济环境下，金融科技公司的资本充足率要求也可适当低于传统银行业，适当降低资本充足率要求或降低风险资产系数。

金融科技公司往往通过联合贷款或助贷方式介入信贷领域，需具体判断风险的最终承担情况。如果能够做到事实与法律意义上的独立决策、独立风控并独立承担责任，那么联合贷款和助贷的金融风险，可根据双方的出资额分别计算和承担。如果无法证明或者事实上无法做到严格独立，那么需要将双方的业务合并，计算整体的资本充足率，加重双方的资本要求。金融科技公司通过信贷资产买卖或资产证券化，将信贷资产移出表外，也需要根据其真实出表程度，即所谓的“表外回表”，计算金融科技公司为承担这部分资产风险所需承担的资本。

二是增加逆周期风险缓冲资本要求。考虑到肥尾和风险非线性特征，需对金融科技公司提出额外的逆周期风险缓冲资本要求。具体而言，金融科技公司在规模扩张时，需要额外储备一笔逆周期风险缓冲资本直至达到总资产的一定比例，用于应对可能非线性增大的系统性金融风险。逆周期风险缓冲资本可考虑由独立第三方受托管理。

第三，强化基于算法的行为监管。

金融科技公司的行为绝大部分是通过算法实现的。为此，除利用传统的会计、审计、律师等中介组织外，还需要以算法为基础，强化行为监管。行为监管主要在三个环节开展，即客户触达和服务、与合作伙伴的交易，以及产品和服务的设计和提供。可将金融监管要求、社会伦理和反垄断审查等都嵌入行为监控中。

一是将算法监管纳入平台监管中，在算法模型中构建监管要求、道德伦理和反垄断等方面的检测机制。二是构建算法审计。在算法开发阶段“融入”可审计性。三是提高算法透明度，要求企业数据决策系统可追溯与可复盘，建立分级的监管体系。对于适合公开的数据，要求其公开源代码或核心算法；对于涉及商业机密等因素不适合公开的數据，可规定其委托第三方专业机构出具审查报告或提供自我审查报告。

第四，可以采取适合金融科技的监管方式和手段。

首先，建立分类多级牌照和资质管理。

金融是具有强烈外部性和高度专业化的行业，需坚持“持牌经营”和资质管理。但金融科技的发展已将原有业务环节细化、分工社会化，单一综合牌照容易束缚分工合作的自然演化。为了给数字金融保留足够的空间和灵活性，可采取分类多级牌照和资质管理方式，按金融科技公司实际开展业务类型颁发相应的业务准入牌照，涉及专业职能和面对公众的岗位时，需严格资质管理。

其次，大力发展监管科技，建设全国层面的“监管大数据平台”。

金融的数字化，也需要监管的数字化，包括监管大数据的建设、监管规则的数字化和标准化，以及监管手段的数字化和智能化。为此，监管部门可与网络安全部门，如国家互联网应急中心开展合作，联合建设大数据监管平台，利用科技手段推动监管工作的信息化、智能化。一是被监管部门的基础数据库和业务操作系统需预留监管接口。即监管部门与被监管对象均基于相同的基础数据库和日常操作系统。可考虑通过API等方式，直联金融科技公司的数据库，随时提取所需数据，提高监管的及时性和有效性。二是推动监管规则和监管行为的智能化转型。可考虑在当前区块链网络中设置监督、审批等特殊节点，通过设计监管算法等方式，将监管规则和监管行为智能化地纳入节点（机构）和行为（算法）的设计、运营中。三是运用AI技术前瞻性地研判风险情景，实时监督各类违法违规行为。利用网络分析、机器学习等技术，智能识别海量数字金融交易，及时管控各类违法违规行为。

最后，调整监管组织和人员设置，进一步完善“监管沙盒”机制，解决监管滞后性。

为了与金融机构完成数字化转型，特别是与金融科技公司的发展相适应，可考虑在监管机构内部设立高级别的首席科技官或者首席数据官及配套支持部门。为提高监管的前瞻性、有效性，我国还可考虑尽快建立区域性创新中心，加大“监管沙盒”试点推广力度，提高试点的效率和适应性，更好地监测参与试点金融科技产品的风险规模及可行性。

第五，以征信体系建设为抓手，探索数据共享和治理。

数据在使用中实现价值，金融是数据价值变现的最重要领域之一，其中征信是辅助金融活动的重要基础设施。因此，通过在大数据背景下探索征信体系的建设，将为我国数据共享和治理提供宝贵的经验。

合理平衡数据隐私保护和数据价值的挖掘。隐私保护的法律设计是影响数字经济发展的关键。美国是数字经济的领先者，这与美国现有的隐私法案CCPA、计划实行的法案CPRA，以及隐私保护标准相对宽松，给数字技术留下发展空间有一定的关系。欧洲没有真正意义上的互联网大数据公司，与欧洲较严格的隐私保护有关。欧洲通用数据保护法规GDPR对于欧盟用户实行严格的数据权益保护，这在一定程度上限制了中国和美国等互联网创新公司在欧洲的发展。数字经济时代国家层面的竞争，实质上就是建立一套更合理有效的激励约束机制和基础设施，以实现数据收集、加工处理、共享使用的数据产业链的社会化分工合作。

个人隐私保护可通过以下三个方面的组合来实现。一是法律保障。通过界定个人信息主体的权属和相关人员的行为空间来保护个人隐私。二是技术实现。通过数据处理、计算方法和管理技术等来确保个人隐私。三是利益平衡。通过市场交易，市场主体需承担一定的隐私泄露风险来获得更好的服务或收益。

隐私计算是隐私保护下数据共享的技术实现路径。为了解决互不信任的多个机构间的数据共享和数据价值挖掘，国际上开发出了在不共享原始数据情况下实现数据价值挖掘和流转的方式，即“隐私计算”。“隐私计算”一般通过三个环节保证数据和模型隐私，实现数据的“可算不可识”“可用不可拥”“可用不可见”。

在个人隐私计算技术下，“去标识化”后的数据可以实现绝大部分个人隐私的保护要求。在经过“去标识化”和多方安全计算分片处理后，第三方已经无法通过这些共享数据来反向逆推出数据主体的个人身份，将不会出现个人隐私泄露情况。

同时，需要尽可能地减少必须使用“匿名化”数据的场景。一旦进行匿名化处理后，数据之间的关联性将被不可逆地破坏，从而无法有效地进行数据融合和数据价值的提取，继而丧失数据绝大部分的信息价值。

分级分类牌照，推動市场分层竞争。为了保护消费者权益，要求金融科技公司需实施必要的牌照管理。但为了给市场分工留下空间，促进数据产业的健康发展，有必要根据使用信用数据与最终金融决策的相关性不同以及参与产业链分工的职能不同，实施分级分类牌照管理。最终形成以中国人民银行征信中心为国家个人征信工作的基础设施，几家有限竞争的全牌照征信机构，数量较多的市场化的替代数据征信机构，其他与全牌照征信机构合作的、信息处理机构的、多层次竞争的市场格局。

重点管理数据的收集、发布和使用环节。个人信用数据的管理，应主要基于消费者权益保护和推动市场健康发展。关键是管理好数据与现实世界的连接渠道，包括收集，即数据形成时的连接和应用场景，及数据最终使用时的连接两个维度。个人信用数据在做出金融决策时，如信贷、保险等，以及部分重大经济事项，如应聘、招聘等，对个人的生活具有重大影响。这部分决策所依据的个人信用数据应具有高度相关性和准确性，需严格限定其依据的信用数据来源。个人信用数据的发布也会对个人生活带来影响，需要有资质的专业人士确保报告的准确和可信。因此，从数据治理的角度看，征信行业宜从数据的收集、使用（变现）和发布三个环节进行重点管理，在保证数据安全和隐私保护的前提下，为中间的数据加工、共享环节以及对个人生活产生较小影响的其他使用场景的市场化运作，留出足够空间。