来源:中国财富管理50人论坛
6月10日,由中国财富管理50人论坛(CWM50)与清华大学五道口金融学院联合举办《平台金融科技公司监管研究》课题发布会。课题牵头人、中国财富管理50人论坛学术总顾问、清华大学五道口金融学院理事长吴晓灵代表课题组成员答记者问时,就如何判定一家机构是否开展金融科技业务,如何对平台金融科技公司进行监管,以及如何避免大型科技公司利用数据垄断优势阻碍市场公平竞争等媒体关注的热点问题进行回应。
以下为答记者问环节实录。
关于金融科技业务认定
北京商报记者:近年来,多家机构将转型金融科技作为业务方向,在对外宣传中也屡次强调自身金融科技属性,如何验证各类机构所称的开展金融科技业务属实?认定一家机构金融科技属性能否制定明确标准?
吴晓灵:判定一家机构是否开展金融科技业务的关键是明晰金融科技的定义和内涵。我们的课题报告中给金融科技(Fintech)下的定义是:通过新一代的信息技术,将数据、技术和金融联结起来,并形成新的金融服务、组织和模式。金融科技包括信息技术在传统金融机构的运用和平台公司、科技公司等非金融机构介入金融业务流程分工两部分。其中信息技术在传统金融机构的运用比较好分辨,比较难辨别的是平台公司、数据公司等非金融机构所从事的业务是否为金融科技业务。
我们认为,判定一家机构所称的开展的新业务是否属于金融科技业务,有两个要点。一是看这家机构的新业务是否使用了移动互联、云计算、大数据、人工智能和区块链等新一代技术手段;二是是否介入到传统金融获客、客服、风控、营销、支付和清算等前、中、后台业务中某一个节点,试图解决金融服务领域中的某一个或某些“痛点”问题,最终形成新的金融服务、组织或模式。比如代表性的金融科技创新业务有移动支付、大数据征信风控、智能投顾等,具备这些特征就代表这家机构实质开展了节点型金融业务,具有金融科技公司属性。
目前,对于认定一家机构的金融科技属性来说,我国的监管机构还没有出台明确的标准。我国传统的金融监管模式是机构式监管,市场上也出现了一些监管空白和监管套利现象,比如P2P网贷、网络互助等,给金融市场带来了风险。所以,我们应改革金融监管,在现有机构监管的基础上,结合功能监管,即根据金融活动的性质来进行监管。对相同功能、相同法律关系的金融产品按照相同的规则接受一致的监管,而不管发生在哪个机构。
鉴于金融科技公司对金融业务的节点式介入,我们的课题报告中提出,未来可以考虑根据现有的分工状况,拆解现有的全牌照,根据介入程度的深浅构建分级牌照体系,划分为全牌照和有限牌照。全牌照可以开展某项业务的全部节点,有限牌照,需要与全牌照或其它有限牌照结合才能构成从事某项业务的完整资质。我们应依据不同金融科技企业的业务特征制定合理的、有差别的准入门槛,以有效防范金融科技创新带来的风险。
关于反垄断
第一财经记者:在反垄断治理下,大型科技公司利用数据垄断阻碍公平竞争被诟病,同时也涉及到金融科技领域的垄断,对此,监管部门应如何采取有针对性的监管措施?
吴晓灵:大型科技公司通过建立平台,以丰富的业务场景为切入点,为供需双方提供对接和撮合服务。这种创新有别于传统的价值链某个具体环节的创新,是颠覆式创新。在这种模式下,用户是平台的客户,用户在平台上消费的过程使用户成为了平台的资产,也成就了平台对用户的支配地位。因此,每个平台都在不知疲倦地创造新场景,吸引新用户,留住老用户。
从某种意义上说,平台是市场运行的结果,支配地位是平台的内在要求。我们的反垄断,不是要反对具有市场支配地位的平台,而是要反对滥用市场支配地位的行为,这也是《反垄断法》的要求。市场地位的滥用表现为价格上的欺诈、定价杀熟、掠夺性定价、拒绝交易、限定交易、捆绑销售、差别待遇、排除或限制竞争的横向或纵向的垄断协议;旨在消除竞争对手的经营者集中行为等。
为了尽量避免大型科技公司利用数据垄断优势阻碍市场公平竞争,我们提出了探索建立个人数据账户制度的建议。大型科技公司的两大优势是数据优势和技术优势,尤其是其中的数据优势。当前市场中普遍存在数据孤岛的问题,不利于数据资产价值的发挥。探索个人数据账户制度,一方面赋予用户充分的知情权,让用户完整地知道平台公司到底收集了“我的哪些数据”,从而为后续权利的主张提供基础。另一方面我们要求,平台公司有义务在用户授权后将相关数据有偿向第三方公司开放,从而联通数据,解决孤岛问题。
对用户知情和授权的安排,充分体现了“我的数据我做主”的原则,同时为众多数据需求方提供了一个光明正大获取用户数据的途径,有利于解决当前数据交易中的灰色产业链的问题。同时,由于数据的协同过程中伴随着数据需求方向数据原始收集方的付费,因此该机制有利于提高大家合规收集用户数据的积极性,也有利于对数据资产形成市场定价,是一个兼顾权利保护和行业发展,兼顾多方利益的良好机制,能有效预防平台等大型科技公司利用数据垄断阻碍公平竞争等问题。
大型科技公司介入金融业务是其流量变现的最好途径,因此我们可以从平台金融科技公司入手规范平台企业的数据治理。如果平台金融科技公司确实存在利用数据垄断优势阻碍市场公平竞争的情况,那么就应当基于法治原则,及时采取干预措施,该阻止时就阻止,该处罚时处罚,该分拆时分拆。
关于监管力量
每日经济新闻记者:《报告》中建议将金融科技数据管理纳入监管体系,尽快建立我国的金融科技监管和数据治理体系,您认为以目前监管部门的技术力量和资源是否能做到对于大型互联网企业所使用先进信息技术/算法的监管?监管部门在技术方面还有哪些需要改进与提高呢?
吴晓灵:信息技术和数据的合法合规应用,关系到行业与市场的健康发展。监管部门在维护市场公平竞争、防范垄断、保护公民隐私方面有必要建立一套合理、有效的监管机制,并通过监管科技的运用,有效保护合法竞争、坚决防范系统性风险,为市场各参与方保驾护航。监管机构如何准确认知和理解信息科技的本质、技术的发展方向和技术的实际应用,解构大数据作用于整体业态的原理,是建立金融科技监管机制的必要前提。
近年来,监管部门通过学术探讨、课题研究与实地考察等方式,广泛收集并吸纳各领域智慧,充分调动并汇集全行业力量,已经完成了扎实的技术与资源储备。通过“监管沙盒”等一系列金融科技创新监管试点工作,监管部门在持续构建符合我国国情、与国际接轨的金融科技创新监管体系和工具,引导持牌金融机构在依法合规、保护消费者权益的前提下,运用现代信息技术赋能金融提质增效,营造守正、安全、普惠、开放的金融科技发展环境。可以说,我们监管部门进行了有效、有益、大量的先行实践与探索工作,为后续建立长效的监管机制打下了良好的基础。
在实践中,监管部门一定是基于监管目标和具体问题来作出技术方案选择。而技术只是解决方案的一部分,有效的监管实践,需要法律、法规的支撑,需要持续完善的运行机制,也需要相关主体的配合与自律。以算法为例,能否围绕透明度、可解释性、安全性和问责制建立框架,在保证相关人员履行必要的保密义务基础上,及时有效地掌握各市场参与方对算法的开发及使用情况,做到事前、事中和事后的全流程风险监控,不单是技术选择或评审的问题,而是一个综合的、需要各方协同的机制建设问题。
监管部门要适应数字化时代的金融监管要求,我们认为应加强三方面的能力,一是对金融业务的本质特征的认知分析能力。这样才能在金融科技企业介入金融服务节点时准确判断其本质,进行相应的监管。二是提高数据分析能力和对算法、模型评判的能力,否则即使被监管企业向监管部门提供了应用程序接口(API),向监管报备了算法、模型、数据,监管部门也难以有效地进行判断与监管。三是要提高监管协调能力。平台经济是多方链接的生态圈,对为其服务的金融科技企业的监管也会涉及多个监管部门,比如市场监管,信息监管和不同金融业务的监管,特别是对金融科技企业的数据治理监管离不开与信息主管部门的配合。
加强监管协调能力才能提高监管效率,做到既不留死角,又不把企业管死。监管部门提高这三方面的能力,需要增加既懂金融又懂信息技术的复合性人才,需要监管部门在组织架构上适应这种管理的要求。
关于技术风险监管
每日经济新闻记者:《报告》中提到“技术风险要纳入宏观审慎监管范畴,根据系统重要性程度附加更高的数据治理要求和监管标准”,对于技术风险的监管应该如何具体量化标准呢?
吴晓灵:金融科技的发展主要是体现在科技对金融的过程再造和在这一进程中所使用的科学技术的不断进步,在这种背景下,技术风险也在逐步积聚。因此,我们在《报告》中建议,技术风险首先要纳入宏观审慎监管范畴,并且根据系统重要性程度附加更高的数据治理要求和监管标准,确保监管模式和监管技术与时俱进并且始终具有针对性和有效性,对于目前还看不清的新业态可以试行“监管沙盒”机制,守住不发生系统性金融风险的底线,保证审慎监管、功能监管、行为监管、穿透监管的持续发力。
在具体的技术风险监管规范和标准方面,在2020年11月,由人民银行起草,会同全国金融标准化技术委员会(金标委)归口管理,已共同发布了三项重要的金融科技行业标准规范,包括:《金融科技创新应用测试规范》(JR/T 0198-2020)、《金融科技创新安全通用规范》(JR/T 0199-2020)、《金融科技创新风险监控规范》(JR/T 0120-2020)。
三项标准既适用于从事金融服务创新的持牌金融机构和从事相关业务系统、算力存储、算法模型等科技产品研发的科技公司,也适用于相关安全评估机构、风险监测机构、自律组织等。
具体三项标准规范所涵盖的主要内容分别如下:
(一) 金融科技创新应用测试规范
《金融科技创新应用测试规范》:明确了从事前公示声明、事中投诉监督、事后评价结束等全生命周期对金融科技创新监管工具的运行流程进行规范,明确声明书格式、测试流程、风控机制、评价方式等方面要求,为金融管理部门、自律组织、持牌金融机构、科技公司等开展创新测试提供了标准和依据。
(二)金融科技创新安全通用规范
《金融科技创新安全通用规范》:明确了对金融科技创新相关技术产品的基础性、通用性要求,例如在规范里规定了金融科技创新的基本安全要求,包括交易安全、服务质量、业务连续性、算法安全、架构安全、数据安全、网络安全、内控管理等。
在个人金融信息保护上,《规范》指出要进行全生命周期防护和安全管理。金融科技创新机构应从个人金融信息采集、传输、存储、使用、删除、销毁等方面建立全生命周期防护措施,并应从安全策略、访问控制、监测评估、事件处理等方面建立个人金融信息安全管理措施。
(三) 金融科技创新风险监控规范
《金融科技创新风险监控规范》:明确了金融科技创新技术风险的监控框架、对象、流程和机制,要求采用机构报送、接口采集、自动探测、信息共享等方式实时分析创新应用运行状况。
在技术监控对象上,包含了业务系统、API(应用程序接口)、SDK(软件开发工具包)、App四类,内容主要包括个人金融信息保护、金融交易安全、业务连续性、服务质量、技术使用安全内控管理、网络安全、意见投诉、公开舆情等。基本原则有四类:安全可控原则、开放共享原则、隐私保护原则、披露与监管原则。
规范中也包括了技术使用安全,要求对于人工智能(AI)、大数据、云计算、区块链和物联网等新技术进行监控,实现对潜在风险动态探测和综合评估,确保金融科技创新应用的风险总体可控,最大程度保护消费者的合法权益。
关于平台经济是否应当国有控股
经济日报记者:有观点认为,平台经济具有保障国民数据安全的责任,因此,应该国有控股。请问吴行长,您是否同意这个观点?
吴晓灵:社会经济数字化的大趋势下,平台经济的发展促进了我国社会和经济的发展,这方面我们走在了世界前列,我们要珍惜这一形势。当然,目前平台经济的发展也暴露了许多问题,我们要认真对待。特别是平台科技企业具有一定的基础设施属性和公共属性,既负有保障国民数据安全的责任,又具有提供市场秩序的职能,必须受到政府合理规制。应聚焦于平台集团中的数据治理问题,应从完善数据治理制度建设切入。
第一,我们建议对与金融机构合作的数据公司进行分级金融牌照监管并加强对其数据治理的监管。数据治理监管的重点,一是数据采集的规范性,明示数据用途,坚持“合法、正当、最少、必要”原则;二是对个人隐私的保护,如须加工必须保证脱敏处理,非经特别授权不可被恢复;三是算法、模型须可审计可监督,且符合伦理道德、非歧视。四是保护消费者利益,保障客户有质询、申述渠道。我们希望通过对平台金融科技公司的监管为加强数据公司监管积累经验。
第二,我们提出了探索建立身份认证数据与业务数据隔离的个人数据账户制度的建议。就是要让数据阳光化透明化,让数据有序交易,供社会运用,体现数据的公共属性。
第三,为了保证数据公司更好地保障公众利益,我们建议可以对系统重要性数据公司实行金股制度。即政府持有该公司的金股,对公司有违公众利益的决策实行否决,但不干预公司的日常经营。这可能比让某个国有企业控股重要的数据公司更有利于平衡保障公众利益与保持企业活力。因为国有企业控股也不如政府金股更能排除利益的诱惑、保障公众利益。当然,如果有业务协同的国有企业与平台公司合作且获取控股地位是市场选择的结果,也应当鼓励。
关于个人数据账户
凤凰网财经记者:在您的课题报告中已经提到,建议探索建立个人数据账户制度,平衡数据保护与挖掘。实际上现在平台金融科技公司已经对用户在互联网上产生的数据进行了深度学习和客户画像。在这种情况下,该如何保护用户隐私和数据安全?建立个人数据账户具体该如何推进?
吴晓灵:我们先把数据的本质和分类的维度作一个说明。数据是对物理世界和人类行为的观察记录和分析归类,是数字经济时代的基础生产资料。数据分为基础记录数据和基于这些记录数据的统计分析数据,用户画像和平时所说的大数据都是属于分析数据的范畴。对于人类行为的原始观察记录数据,一般带有用户个人的识别信息是当前相关问题频发的领域,因此我们对数据的管理应重点放在对带有用户识别数据的基础记录数据和统计分析数据的管理上。如果你是原始数据和分析数据,只要能够识别客户主体,就是我们保护的重点。记录数据要经历产生、采集、转换、存储、应用、协同、归档、销毁等过程,保护用户隐私和数据安全是我们最重要的任务,这些问题也都是在这些环节中产生的。
怎么样来保护个人的隐私?
第一,要通过立法来明确个人信息的范围和怎么样来保护它。
第二,要对这些客户,对于所有的运用程序、算法,各种App要进行审查。我们非常高兴地看到,全国人大现在已经对个人信息保护法进入到了二审,在个人信息法当中已经明确地界定了个人信息的界定和怎么样来有效地保护它。我们看到网信办、工信部发布了《常见类型移动互联网应用程序必要个人信息范围规定》。通过对应用程序的审查来保证对个人信息的搜集是依法合规的,最小必要的,而且现在工信部也在展开侵害用户权益App的整顿,大家从互联网上看到,通报了很多App的程序了,这两点是最关键的。
第三,从我们的角度提出来要建立个人数据账户。刚才对个人数据账户已经作了多方面介绍,总体上来说,如果你想保护个人信息必须有个抓手,这个抓手就是个人数据账户。至于个人数据账户怎么样来建立。现在的课题只是提出了这个理念、这个想法,还需要进一步地研究和大家一起来推动。
关于分级牌照
凤凰网财经记者:在金融科技监管方面,您提到了建立分级牌照体系,按平台金融科技公司实际从事的节点业务类型,颁发相应的业务准入牌照。但如阿里、腾讯、美团、京东等超大型科技平台都在追求金融全牌照。对于这些节点业务很难明确界定的平台巨头,该如何有效监管?
吴晓灵:报告中的分级分类牌照是相对于全过程金融业务与节点金融业务而言的。比如存款、贷款和支付结算是商业银行的主要业务,有商业银行牌照就有这三项基本业务。但在平台经济发展的过程中,平台公司做了商业银行的支付结算业务。这是在网上交易时由于个人支付工具不足产生的新业态。为了满足社会的需求,人民银行发放了支付牌照,成立了第三方支付公司。这是对商业银行牌照的细分。在支付牌照中,人行又分了网络支付、预付卡和银行卡收单等几种细项。
我们在报告中提到了金融科技公司介入贷款业务某个环节的现象。金融科技公司无论是引流、获客、助贷还是帮助银行做风控、做贷后管理,他们都不同程度地介入了信贷业务的某个环节。这是技术发展后的社会分工的新变化。我们称之为节点金融。这些活动都会对贷款质量产生或大或小的影响。为了落实金融活动要全覆盖监管的要求,我们提议用对他们发放有限牌照的方法进行管理。
至于通常说的超大型科技平台公司追求的金融全牌照,是指他们希望得到银行、证券、保险、信托等多种金融牌照,是拿全各类金融业务的牌照,与我们课题中讲的,与节点金融的有限牌照相对应的全牌照不一样。按目前的监管要求,一个集团控制了银行、证券、保险、基金等牌照中的两个及以上的牌照,就必须组建金融控股公司进行经营。
关于合作模式
当代金融家记者:随着科技公司、数据平台与金融机构越来多的合作,平台经济监管趋严的态势下,对金融机构尤其是银行业而言,有什么影响?金融机构和科技公司、互金平台合作的边界和领域如何把握?关于科技公司和金融机构的合作模式方面,这个课题有什么新的进展?
吴晓灵:平台科技公司与金融机构的合作是方方面面的,有的合作关系已经比较深入。不少科技巨头为了获得金融业务资质,也通过股权收购、发起设立等方式取得一些金融牌照。对于已经获得牌照的,就按其所持牌照的类型进行监管即可。
目前相对复杂的问题是平台科技公司从某一金融业务环节介入金融领域。从业务流程的角度,有最前端的广告、代销、助贷,有中端的支付收单、联合贷款,也有后端的模型服务、技术服务。从资金流向的角度,既包括金融机构借助互联网平台向客户吸取资金的模式,也包括金融机构借助互联网平台向客户提供资金的模式,还有金融机构联合互联网平台为客户提供资金转移的模式。
我们课题组认为,无论是哪种合作模式,本质上都是信息科技进步带来的金融业务的社会化分工。传统的金融业务是全流程“大工厂”生产组织方式,而信息技术的广泛应用,就催生出来了互联网+金融(注:不同于前些年的P2P互联网金融)的业务形式,呈现出个性化、分散化、数据化的特征。互联网平台在合作当中专注于金融业务链条中的某项节点型业务,例如数字化获客、产品销售渠道或大数据风控。所以课题报告称之为“节点型金融”。
平台科技公司从事节点型金融业务,本质上可以理解为平台科技公司将金融业务“反向外包”,即将重资产的业务环节外包给持牌金融机构,将轻资产的技术节点留在平台科技公司内部。此处的“反向”,是针对传统模式下金融机构将非核心业务外包给科技公司而言的。典型的例子,就是助贷和联合贷款。
客观上,平台金融科技的发展,促进了金融业务的社会化分工不断深化,提高了金融运行的效率。但另一方面,我们从“节点型金融”的视角就可以明确解答此前一直困扰我们的一个问题:金融科技到底属于金融还是属于科技。科技企业如果参与了金融分工,那就具备金融属性,应称为金融科技企业,自然就要纳入金融监管的范畴。这就是本课题研究的一个重要出发点。
如果明确了这一划分,对金融科技企业加强将监管不会对银行业产生负面影响,只会让他们之间的合作更加规范,风险更易控制。另外,明确了这一界线,对节点型金融业务实行有限牌照管理,有利于给金融科技公司正名,减少监管套利和监管盲区。
关于协调监管
财新记者:此前您发布过一份征信报告,建议对数据治理参考国际经验,设计专门的数据管理局。这次发布会上您也提到了很多对算法,包括算法歧视和算法公平等的审计和审查。但当前什么部门来做,并没有一个具体抓手。对数据的监管主要由传统金融监管部、工信部等部委管理,是不是也需要一个专门的、能够更全面监管的部门?
吴晓灵:成立专门的数据管理局,我们在几年前相关报告中提出过这个问题。但是按照目前情况来看,当前成立这样一个管理局可能并不够成熟和现实。所以本次报告提出,希望在加强对金融科技公司的数据治理工作方面加强协调,希望金融稳定委能够扩展成员,将工信部、市场监管局等部门纳入金融稳定委协调机制层面,加强对数据的治理。
我们也在报告中强调,希望通过对与金融机构合作的科技公司进行有限牌照的数据治理监管,为国家对其他企业数据治理探索经验。因为只有金融机构从上到下是有系统性监管力量的,这种监管体系可以应用到金融数据治理方面,并探索一些有益经验,让其他部委有经验可借鉴;建立大数据监管平台也是从金融系统着手更容易一些,所以我们的报告提出来,在数据治理方面,以金融科技公司为切入点来进行技术上的探讨。