平臺金融科技公司應如何監管？

吳曉靈

近幾年的平臺金融科技興起于第三方支付業務，并逐步介入金融領域的不同環節，實質開展節點型金融業務。其優點是拓展了金融服務的范圍，提升了金融服務的效率和客戶體驗，促進了金融體系的數字化轉型，但同時也帶來了新的風險和挑戰，如平臺公司的壟斷問題、個人隱私的保護問題、算法的歧視問題，以及介入金融業務后的便利性可能引發的個人過度負債問題、信用風險問題和系統性金融風險問題等。

信貸是中國金融服務實體經濟的主要活動，也構成了中國銀行業金融機構最主要的收入來源。近年來，隨著數字技術的發展，金融科技公司逐漸介入信貸領域，在降低業務成本、觸達長尾客戶的同時，也在客觀上分拆了信貸業務流程，形成了節點型金融模式，給傳統金融機構和金融監管帶來了重要挑戰。

真正的創新往往是“無中生有”，那么，應該如何認識金融科技公司介入信貸業務的實質？怎樣應對其帶來的壟斷風險、系統性風險和倫理道德問題？

金融科技并沒有改變金融本質，金融監管的基本理念和邏輯也沒有發生變化，仍需要著力于資本、行為以及投資者和消費者的保護三個方面。此外，金融科技的監管需關注并應對以下三個方面的變化。一是金融分工細分，聯系網絡化。二是服務新客戶群，形成新的業務模式和組織方式，市場力量對比發生變化。三是數據驅動，需要在金融監管之外強化數據治理的規制。

首先，通過金融與數據空間的映射實現金融科技監管。金融科技將傳統的金融空間進一步映射到數字空間，因此，需要找到數字空間的“對應物”，根據相同的監管理念和邏輯，采用科技方式監管。具體而言，現實世界的自然人，法律意義上的法人轉變為數據空間中的節點——“人工智能人”，行為則對應于算法，與客戶、合作伙伴的觸達則從物理網點轉為網頁、App和API（應用程序接口）等，基礎設施轉為物聯網、區塊鏈、數據治理等。監管可以在區塊鏈上設置特殊節點，通過算法監測和管理。

其次，適應分工細分和網絡化，從機構監管轉向功能和行為監管。金融分工細化和網絡化后，不再傳統地以單一機構為核心、全面承擔金融鏈條上的全部風險。金融監管既可以通過合并報表、表外回表內、“穿透”等技術，回到傳統的以機構為主的監管，也可以根據金融形態變化再創造監管技術。

第三，基于數字時代的金融管理。需要將金融科技監管納入數字時代的數據治理范疇。這既包括數據治理的一般性要求，也包括貨幣、金融在數字空間的獨有形態和組織方式。在自組織的數字金融生態中，貨幣調控和金融監管的必要性將逐步降低。金融管理與引導數字經濟發展相融合，需要為多樣化的數字經濟主體、模式留下足夠的發展空間，更需要踐行“監管沙盒”所隱含的現實實驗和開放成長理念。

金融科技的監管應平衡技術、金融和社會倫理之間的不同訴求，平衡金融科技的系統性風險防控和數字產業的健康發展，注重監管的效率和適宜性。具體而言，金融科技監管宜遵循以下五點原則。

第一，無監管套利均衡，即監管中性或功能監管。爭取實現金融業務監管按整體和按環節分解無差異，由金融系統和非金融系統開展的監管無差異。僅通過環節的細分、不同類型機構的合作不會帶來監管紅利，同時，監管也不會阻礙分工細化和機構間的合作。此外，監管對技術保持中性態度，對不同技術路徑不宜有價值判斷，保持開放態度，重點放在技術使用上。

第二，鼓勵創新、轉型風險可控和金融安全相統一。金融監管要順應數字化轉型的大趨勢，承認行業的深層次重構帶來的中心和主體變遷，要不拘泥于監管形式和現有做法，把握金融監管的精神實質，在技術和組織、流程重構后，于新空間中再創造新運用。當然，需要平衡“破”和“立”的程度和節奏，控制轉型風險，達到鼓勵創新、控制風險、維護安全。

第三，最小干預原則，注重監管效率。金融監管是應對市場失靈的重要措施。要重視監管效率，平衡好監管的收益與成本，不宜過度介入金融市場和機構的日常運營，以免給市場帶來過高成本。以損失效率、付出極高成本來維護金融穩定既不利于金融的發展，也不利于維持和提高金融體系的競爭力。監管的組織，包括人員編制和科技手段的應用，宜與金融科技特點相適應，保證可行且有效。

第四，普惠、高效的服務與社會倫理的平衡。社會達成共識的倫理道德觀需要通過一定的方式嵌入金融科技的業務、程序和監管之中。應防范金融科技公司打著“普惠金融”的旗號，過度觸及沒有風險評判能力、不能承擔風險的服務群體，演變為誘導消費、過度信貸。需強化金融科技公司的反競爭策略、歧視性定價等反壟斷審查，加大對其算法透明度的要求，防止出現算法歧視，保護個人數據隱私。

第五，宜區分金融風險、經營風險和技術風險，分類監管。金融鏈條上不同環節承擔的風險性質不同。有些是部分出資，承擔金融風險；有些是管理和操作成本，承擔經營風險；有些負責技術系統的開發和運營，承擔技術風險。金融中的尾部風險損失需要通過適度資本金吸收，但技術風險，如信息技術和模型風險、市場的商業風險，表現為經營或交易失敗，應有另外不同的管理機制。技術風險中的模型風險也要進一步區分：一是技術設計不當等設計開發的純技術風險，二是使用者決策采納并使用該模型所需要承擔的因模型不當引發的風險。前者為技術風險，應由技術提供方負責并承擔；后者宜由決策者負責并承擔，金融領域轉變為金融風險。

金融科技通過新一代的信息技術，將數據、技術和金融聯結起來，形成新的金融服務、組織和模式，需進一步創新金融科技的監管方法，對此，要關注三個重點。

第一，明確金融科技含義，界定金融機構和金融行為。

嚴格界定金融科技公司的“金融”屬性。金融科技公司介入的金融領域，往往只是某項金融業務多個環節中的一個或多個。金融業務邊界不斷模糊、缺乏所謂的“本源”業務，已使傳統從本源業務上認定“金融”屬性的方法不再適用，需回到相對穩定的金融功能，重新梳理金融的本質特征，根據新業務、新模式、新流程再認定。

機構是風險發生和承擔的“節點”。因而，可從金融風險發生和承擔主體上認定金融機構，要求“節點”有吸收損失的、充足的資本金，以及風險識別、定價和處置的專業能力，包含人才、組織和機制。

以金融產品或服務為標準認定金融行為。需要強化對客戶觸達節點的行為管理，包括銷售和服務、與合作伙伴交易中的合理性管理。

第二，基于風險承擔的節點的審慎管理。

系統通過節點分散并承擔最終風險。金融科技公司參與金融業務細分環節的某些環節，僅需對承擔最終風險的環節施加與其實際風險承擔相一致的資本等審慎管理要求。具體包括，需具備足夠的專業能力、設計并運行良好的機制，以及充足的資本金，并通過牌照或資質等方式加以確認。

考慮到當前金融科技公司承擔風險的特殊性，對其資本金的要求可不同于一般金融機構。

一是按實際風險承擔要求資本充足率。金融科技公司利用金融科技技術，累積用戶數據，不斷迭代風險控制模型，提高了風險識別和控制能力，進而表現為金融科技公司的消費性貸款和面向小微企業的流動性貸款的不良率，都低于銀行業同類業務的平均水平。因此，在正常經濟環境下，金融科技公司的資本充足率要求也可適當低于傳統銀行業，適當降低資本充足率要求或降低風險資產系數。

金融科技公司往往通過聯合貸款或助貸方式介入信貸領域，需具體判斷風險的最終承擔情況。如果能夠做到事實與法律意義上的獨立決策、獨立風控并獨立承擔責任，那么聯合貸款和助貸的金融風險，可根據雙方的出資額分別計算和承擔。如果無法證明或者事實上無法做到嚴格獨立，那么需要將雙方的業務合并，計算整體的資本充足率，加重雙方的資本要求。金融科技公司通過信貸資產買賣或資產證券化，將信貸資產移出表外，也需要根據其真實出表程度，即所謂的“表外回表”，計算金融科技公司為承擔這部分資產風險所需承擔的資本。

二是增加逆周期風險緩沖資本要求。考慮到肥尾和風險非線性特征，需對金融科技公司提出額外的逆周期風險緩沖資本要求。具體而言，金融科技公司在規模擴張時，需要額外儲備一筆逆周期風險緩沖資本直至達到總資產的一定比例，用于應對可能非線性增大的系統性金融風險。逆周期風險緩沖資本可考慮由獨立第三方受托管理。

第三，強化基于算法的行為監管。

金融科技公司的行為絕大部分是通過算法實現的。為此，除利用傳統的會計、審計、律師等中介組織外，還需要以算法為基礎，強化行為監管。行為監管主要在三個環節開展，即客戶觸達和服務、與合作伙伴的交易，以及產品和服務的設計和提供。可將金融監管要求、社會倫理和反壟斷審查等都嵌入行為監控中。

一是將算法監管納入平臺監管中，在算法模型中構建監管要求、道德倫理和反壟斷等方面的檢測機制。二是構建算法審計。在算法開發階段“融入”可審計性。三是提高算法透明度，要求企業數據決策系統可追溯與可復盤，建立分級的監管體系。對于適合公開的數據，要求其公開源代碼或核心算法；對于涉及商業機密等因素不適合公開的數據，可規定其委托第三方專業機構出具審查報告或提供自我審查報告。

第四，可以采取適合金融科技的監管方式和手段。

首先，建立分類多級牌照和資質管理。

金融是具有強烈外部性和高度專業化的行業，需堅持“持牌經營”和資質管理。但金融科技的發展已將原有業務環節細化、分工社會化，單一綜合牌照容易束縛分工合作的自然演化。為了給數字金融保留足夠的空間和靈活性，可采取分類多級牌照和資質管理方式，按金融科技公司實際開展業務類型頒發相應的業務準入牌照，涉及專業職能和面對公眾的崗位時，需嚴格資質管理。

其次，大力發展監管科技，建設全國層面的“監管大數據平臺”。

金融的數字化，也需要監管的數字化，包括監管大數據的建設、監管規則的數字化和標準化，以及監管手段的數字化和智能化。為此，監管部門可與網絡安全部門，如國家互聯網應急中心開展合作，聯合建設大數據監管平臺，利用科技手段推動監管工作的信息化、智能化。一是被監管部門的基礎數據庫和業務操作系統需預留監管接口。即監管部門與被監管對象均基于相同的基礎數據庫和日常操作系統。可考慮通過API等方式，直聯金融科技公司的數據庫，隨時提取所需數據，提高監管的及時性和有效性。二是推動監管規則和監管行為的智能化轉型?？煽紤]在當前區塊鏈網絡中設置監督、審批等特殊節點，通過設計監管算法等方式，將監管規則和監管行為智能化地納入節點（機構）和行為（算法）的設計、運營中。三是運用AI技術前瞻性地研判風險情景，實時監督各類違法違規行為。利用網絡分析、機器學習等技術，智能識別海量數字金融交易，及時管控各類違法違規行為。

最后，調整監管組織和人員設置，進一步完善“監管沙盒”機制，解決監管滯后性。

為了與金融機構完成數字化轉型，特別是與金融科技公司的發展相適應，可考慮在監管機構內部設立高級別的首席科技官或者首席數據官及配套支持部門。為提高監管的前瞻性、有效性，我國還可考慮盡快建立區域性創新中心，加大“監管沙盒”試點推廣力度，提高試點的效率和適應性，更好地監測參與試點金融科技產品的風險規模及可行性。

第五，以征信體系建設為抓手，探索數據共享和治理。

數據在使用中實現價值，金融是數據價值變現的最重要領域之一，其中征信是輔助金融活動的重要基礎設施。因此，通過在大數據背景下探索征信體系的建設，將為我國數據共享和治理提供寶貴的經驗。

合理平衡數據隱私保護和數據價值的挖掘。隱私保護的法律設計是影響數字經濟發展的關鍵。美國是數字經濟的領先者，這與美國現有的隱私法案CCPA、計劃實行的法案CPRA，以及隱私保護標準相對寬松，給數字技術留下發展空間有一定的關系。歐洲沒有真正意義上的互聯網大數據公司，與歐洲較嚴格的隱私保護有關。歐洲通用數據保護法規GDPR對于歐盟用戶實行嚴格的數據權益保護，這在一定程度上限制了中國和美國等互聯網創新公司在歐洲的發展。數字經濟時代國家層面的競爭，實質上就是建立一套更合理有效的激勵約束機制和基礎設施，以實現數據收集、加工處理、共享使用的數據產業鏈的社會化分工合作。

個人隱私保護可通過以下三個方面的組合來實現。一是法律保障。通過界定個人信息主體的權屬和相關人員的行為空間來保護個人隱私。二是技術實現。通過數據處理、計算方法和管理技術等來確保個人隱私。三是利益平衡。通過市場交易，市場主體需承擔一定的隱私泄露風險來獲得更好的服務或收益。

隱私計算是隱私保護下數據共享的技術實現路徑。為了解決互不信任的多個機構間的數據共享和數據價值挖掘，國際上開發出了在不共享原始數據情況下實現數據價值挖掘和流轉的方式，即“隱私計算”。“隱私計算”一般通過三個環節保證數據和模型隱私，實現數據的“可算不可識”“可用不可擁”“可用不可見”。

在個人隱私計算技術下，“去標識化”后的數據可以實現絕大部分個人隱私的保護要求。在經過“去標識化”和多方安全計算分片處理后，第三方已經無法通過這些共享數據來反向逆推出數據主體的個人身份，將不會出現個人隱私泄露情況。

同時，需要盡可能地減少必須使用“匿名化”數據的場景。一旦進行匿名化處理后，數據之間的關聯性將被不可逆地破壞，從而無法有效地進行數據融合和數據價值的提取，繼而喪失數據絕大部分的信息價值。

分級分類牌照，推動市場分層競爭。為了保護消費者權益，要求金融科技公司需實施必要的牌照管理。但為了給市場分工留下空間，促進數據產業的健康發展，有必要根據使用信用數據與最終金融決策的相關性不同以及參與產業鏈分工的職能不同，實施分級分類牌照管理。最終形成以中國人民銀行征信中心為國家個人征信工作的基礎設施，幾家有限競爭的全牌照征信機構，數量較多的市場化的替代數據征信機構，其他與全牌照征信機構合作的、信息處理機構的、多層次競爭的市場格局。

重點管理數據的收集、發布和使用環節。個人信用數據的管理，應主要基于消費者權益保護和推動市場健康發展。關鍵是管理好數據與現實世界的連接渠道，包括收集，即數據形成時的連接和應用場景，及數據最終使用時的連接兩個維度。個人信用數據在做出金融決策時，如信貸、保險等，以及部分重大經濟事項，如應聘、招聘等，對個人的生活具有重大影響。這部分決策所依據的個人信用數據應具有高度相關性和準確性，需嚴格限定其依據的信用數據來源。個人信用數據的發布也會對個人生活帶來影響，需要有資質的專業人士確保報告的準確和可信。因此，從數據治理的角度看，征信行業宜從數據的收集、使用（變現）和發布三個環節進行重點管理，在保證數據安全和隱私保護的前提下，為中間的數據加工、共享環節以及對個人生活產生較小影響的其他使用場景的市場化運作，留出足夠空間。