● 《平台金融科技监管研究课题报告》建议将金融科技数据管理也纳入监管体系,并且尽快建立我国的金融科技监管和数据治理体系,还建议将技术风险视为一种独立的风险形式,并且要纳入宏观审慎监管范畴,这样的监管思路建议背后的逻辑是什么呢?
● 以目前监管部门的技术力量和资源是否能做到对于大型互联网企业所使用先进信息技术或者算法的监管?对于技术风险的监管又该如何具体来量化标准?
每经记者 张卓青 每经编辑 易启江
6月10日,由人民银行原副行长、中国财富管理50人论坛(CWM50)学术总顾问、清华大学五道口金融学院理事长吴晓灵牵头,CWM50和清华大学五道口金融学院联合撰写的《平台金融科技监管研究课题报告》(以下简称《报告》)正式亮相,该《报告》主要围绕平台金融科技公司(即新进入金融领域的平台型科技公司)的监管问题和数据治理问题展开研究。
对于平台金融科技公司所涉及的金融业务监管,目前业内已经形成共识,那就是“金融的归金融,科技的归科技”,一家公司只要从事的是金融核心业务,就应该接受金融监管。
除了对金融业务的监管以外,《报告》建议将金融科技数据管理也纳入监管体系,并且尽快建立我国的金融科技监管和数据治理体系,另外,《报告》还建议将技术风险视为一种独立的风险形式,并且要纳入宏观审慎监管范畴,那么,这样的监管思路建议背后的逻辑是什么?
以目前监管部门的技术力量和资源是否能做到对于大型互联网企业所使用先进信息技术或者算法的监管?监管部门在技术方面还有哪些需要改进与提高呢?对于技术风险的监管又该如何具体来量化标准?在发布会上,吴晓灵就以上问题回答了每经记者的提问。
吴晓灵在会上进行课题发布 图片来源:主办方供图
吴晓灵对《每日经济新闻》记者表示,信息技术和数据的合法合规应用,关系到行业与市场的健康发展。监管部门在维护市场公平竞争、防范垄断、保护公民隐私方面有必要建立一套合理、有效的监管机制,并通过监管科技的运用,有效保护合法竞争、坚决防范系统性风险,为市场各参与方保驾护航。
监管机构如何准确认知和理解信息科技的本质、技术的发展方向和技术的实际应用,解构大数据作用于整体业态的原理,是建立金融科技监管机制的必要前提。
她表示,近年来,监管部门通过学术探讨、课题研究与实地考察等方式,广泛收集并吸纳各领域智慧,充分调动并汇集全行业力量,已经完成了扎实的技术与资源储备。
通过“监管沙盒”等一系列金融科技创新监管试点工作,监管部门在持续地构建符合我国国情、与国际接轨的金融科技创新监管体系和工具,引导持牌金融机构在依法合规、保护消费者权益的前提下,运用现代信息技术赋能金融提质增效,营造守正、安全、普惠、开放的金融科技发展环境。
吴晓灵认为:“我们监管部门进行了有效、有益、大量的先行实践与探索工作,为后续建立长效的监管机制打下了良好的基础。”
同时,她也指出,在实践中,监管部门一定是基于监管目标和具体问题来做出技术方案选择。而技术只是解决方案的一部分,有效的监管实践,需要法律、法规的支撑,需要持续完善的运行机制,也需要相关主体的配合与自律。
以算法为例,能否围绕透明度、可解释性、安全性和问责制建立框架,在保证相关人员履行必要的保密义务基础上,及时有效地掌握各市场参与方对算法的开发及使用情况,做到事前、事中和事后的全流程风险监控,不单是技术选择或评审的问题,而是一个综合的、需要各方协同的机制建设问题。
监管部门如何适应数字化时代的金融监管要求?在吴晓灵看来,应加强三方面的能力,
一是对金融业务本质特征的认知分析能力。这样才能在金融科技企业介入金融服务节点时准确判断其本质,进行相应的监管。
二是提高数据分析能力和对算法、模型评判的能力,否则即使被监管企业向监管部门提供了应用程序接口(API),向监管报备了算法、模型、数据,监管部门也难以有效地进行判断与监管。
三是要提高监管协调能力。平台经济是多方链接的生态圈,对为其服务的金融科技企业的监管也会涉及多个监管部门,比如市场监管,信息监管和不同金融业务的监管,特别是对金融科技企业的数据治理监管离不开与信息主管部门的配合。加强监管协调能力才能提高监管效率,做到既不留死角,又不把企业管死。
吴晓灵认为,监管部门提高这三方面的能力,需要增加既懂金融又懂信息技术的复合性人才,需要监管部门在组织架构上适应这种管理的要求。
“以风险为本”实际上是所有金融企业都要注意的问题,目前世界银行业适应“风险为本”原则最主要的管理工具就是《巴塞尔协议》,该协议的逻辑很简单,首先识别风险的来源,然后形成监管的架构,最后附加资本的要求。
但在现在的《巴塞尔协议》框架里面,对技术风险仅归为操作风险,或者运营风险,但随着近年来金融科技的不断发展,目前国际上大部分观点认为,技术风险已经不能够简单地归在操作风险里,而应该要单独成为一个风险种类来应对当前全球的金融科技发展的要求。
因此,《报告》提出技术风险应被视为一种独立的风险形式,并且要纳入宏观审慎监管范畴,监管工具不能限于资本要求,而是要根据系统重要性程度附加更高的数据治理要求和监管标准。
吴晓灵对记者表示,金融科技的发展主要是体现在科技对金融的过程再造和在这一进程中所使用的科学技术的不断进步,在这种背景下,技术风险也在逐步积聚。
因此,课题组在《报告》中建议,技术风险首先要纳入宏观审慎监管范畴,并且根据系统重要性程度附加更高的数据治理要求和监管标准,确保监管模式和监管技术与时俱进并且始终具有针对性和有效性,对于目前还看不清的新业态可以试行“监管沙盒”机制,守住不发生系统性金融风险的底线,保证审慎监管、功能监管、行为监管、穿透监管的持续发力。
在具体的技术风险监管规范和标准方面,吴晓灵提到,在2020年11月,由人民银行起草,会同全国金融标准化技术委员会(金标委)归口管理,已共同发布了三项重要的金融科技行业标准规范,包括:《金融科技创新应用测试规范》《金融科技创新安全通用规范》《金融科技创新风险监控规范》。
她表示,三项标准既适用于从事金融服务创新的持牌金融机构和从事相关业务系统、算力存储、算法模型等科技产品研发的科技公司,也适用于相关安全评估机构、风险监测机构、自律组织等。
具体三项标准规范所涵盖的主要内容分别如下:
(一)《金融科技创新应用测试规范》:明确了从事前公示声明、事中投诉监督、事后评价结束等全生命周期对金融科技创新监管工具的运行流程进行规范,明确声明书格式、测试流程、风控机制、评价方式等方面要求,为金融管理部门、自律组织、持牌金融机构、科技公司等开展创新测试提供了标准和依据。
(二)《金融科技创新安全通用规范》:明确了对金融科技创新相关技术产品的基础性、通用性要求,例如在规范里规定了金融科技创新的基本安全要求,包括交易安全、服务质量、业务连续性、算法安全、架构安全、数据安全、网络安全、内控管理等。
在个人金融信息保护上,《规范》指出要进行全生命周期防护和安全管理。金融科技创新机构应从个人金融信息采集、传输、存储、使用、删除、销毁等方面建立全生命周期防护措施,并应从安全策略、访问控制、监测评估、事件处理等方面建立个人金融信息安全管理措施。
(三)《金融科技创新风险监控规范》:明确了金融科技创新技术风险的监控框架、对象、流程和机制,要求采用机构报送、接口采集、自动探测、信息共享等方式实时分析创新应用运行状况。
在技术监控对象上,包含了业务系统、API(应用程序接口)、SDK(软件开发工具包)、APP四类,内容主要包括个人金融信息保护、金融交易安全、业务连续性、服务质量、技术使用安全内控管理、网络安全、意见投诉、公开舆情等。基本原则有四类:安全可控原则、开放共享原则、隐私保护原则、披露与监管原则。
规范中也包括了技术使用安全,要求对于AI人工智能、大数据、云计算、区块链和物联网等新技术进行监控,实现对潜在风险动态探测和综合评估,确保金融科技创新应用的风险总体可控,最大程度保护消费者的合法权益。
封面图片来源:主办方供图
1本文为《每日经济新闻》原创作品。
2 未经《每日经济新闻》授权,不得以任何方式加以使用,包括但不限于转载、摘编、复制或建立镜像等,违者必究。