金融科技的技术风险及其法律治理
作者简介:袁康,法学博士,武汉大学法学院副教授,武汉大学网络治理研究院副院长。
文章来源:本文发表于《法学评论》2021年第1期。感谢作者授权发表。
内容摘要:金融科技的创新应用在为金融市场带来巨大机遇的同时也存在着未知的技术风险。将技术规则法律化并完善技术风险规制,按照制度理性与技术理性相统一的逻辑对金融科技的技术风险进行法律治理,能够为金融科技的有效应用提供法律保障。在我国金融科技快速发展的背景下,需要充分把握技术风险的技术实质,按照“技术中立”和“业务实质”原则,协调创新激励和风险防控的目标,建立金融科技应用主体的安全优先、风险评估和系统弹性规则,加强对技术风险的评估评级和日常监管,发挥自律规则和技术标准的自律约束,明确应用主体的责任豁免、归责原则和责任分担,系统构建强化行为约束、明确法律责任、完善金融监管的技术风险法律治理框架。
关键词:金融科技;技术风险;技术中立;业务实质;法律治理
随着以大数据、云计算、区块链和人工智能等为底层技术的金融科技蓬勃发展,金融机构和金融科技公司的技术创新蔚为风潮。金融科技的加速应用已成为行业共识和现实趋势,金融行业的格局正在迎来深刻变革。然而,技术驱动的金融科技使得金融体系在享受技术创新所带来的效率便利的同时,也不得不面临技术本身所伴生的风险。毋庸置疑,金融科技正在爆发其强大的能量和可能性,但如影随形的技术风险正如金融科技的“阿喀琉斯之踵”,成为了横亘在金融科技面前的最大障碍。除了依赖技术自身的不断优化完善,从法律制度层面构建金融科技的技术风险防范体系,能够为金融体系更好地依托金融科技实现进化提供重要保障。
一、技术是把双刃剑:
金融科技的机遇与风险
金融科技或称FinTech(Financial Technology)是指通过科技工具的变革推动金融体系的创新,形成对金融市场和金融服务供给产生重大影响的新业务模式、新技术应用、新产品服务。金融科技强调金融和科技的结合,意在通过科技给金融服务赋能,以提升金融服务效率,规避金融风险。对金融科技的理解通常包括两个方面,其一是能够实现金融创新的特定技术,例如大数据、人工智能;其二则是基于特定技术的业务形态,例如智能投顾、网络借贷、虚拟货币。从广义上理解,金融科技大致经历了三个发展阶段。第一阶段为金融信息技术阶段,即依托信息技术的发展,以电子化、信息化的技术和手段,为金融行业提供软硬件支持、服务和解决方案。自动提款机(ATM)、销售终端机(POS)、电子化登记结算系统等,都是该阶段的产物。第二阶段为互联网金融阶段,即网络技术与金融业务深度融合,开始为资产端、交易端、支付端和资金端的对接连通提供便捷的通道,形成依托互联网和移动终端的新型金融业务的载体和业态。网络借贷、移动支付、股权众筹、互联网理财等互联网金融模式,都是通过互联网技术的应用实现信息共享和业务撮合,拓展了传统金融行业的模式与渠道。第三阶段是真正意义上的金融科技阶段,即通过大数据、云计算、人工智能、区块链、移动互联等新一代信息技术的应用,改变传统的金融信息处理流程、投资决策过程、信用中介角色,通过自动化、智能化、去中心化等方式深刻变革传统金融市场基础设施和金融交易形态,从而大幅度提升金融效率、改善金融服务。这一阶段出现的量化交易、智能投顾、大数据征信、虚拟货币等,都体现了新型信息技术应用给金融行业带来的深刻变革。
尽管现在说金融科技将颠覆传统金融体系还为时尚早,但金融科技通过技术路径给传统金融市场结构带来的变革已成事实,并且在未来还具有巨大潜力和无限可能。金融科技的本质是通过科技和金融的融合,以技术驱动金融市场活动和金融创新,金融科技的应用无疑将会给金融发展带来巨大的机遇。一方面,技术进步的直接效应便是效率的提高。不论是早期的电子化,还是现在大数据和人工智能等技术的应用,都显著降低了金融活动的交易成本,能够以更加高效便捷的手段完成金融交易和金融服务的过程。另一方面,金融科技的应用能够优化金融市场结构,通过去中心化的结构安排能够改善金融市场基础设施的可信度和稳定性,通过自动化智能化的交易流程能够尽可能降低人为干预和道德风险对金融活动的不利影响。还有就是金融科技的应用能够最大限度地实现信息的即时采集与传递,有效地减少信息不对称,提高金融产品和金融服务的可得性和易得性,提升金融包容和金融普惠的程度。从整体上看,金融科技的应用不仅能够优化金融市场结构,而且能够改善金融市场运行的模式与流程,代表着未来金融发展的趋势。
然而金融科技并非完美无瑕的万能灵药,在其应用的过程中并不能完全地解决风险问题。金融市场中固有的信用风险、市场风险、系统性风险等传统风险,并不会因为金融科技的应用而消弭,而是仅在一定程度上得到抑制或者以其他更为隐蔽的方式存在。同时,金融科技在应用过程中产生的新模式新业态以及各监管部门之间的态度和对策不同步,容易导致监管套利风险和法律风险。更为重要的是,高度依赖计算机和互联网的金融科技,将金融活动的基础设施、流程、数据等全部付诸技术手段和软硬件,使得技术成为金融科技的关键,这就导致技术风险成为金融科技风险构成中最薄弱的环节。
金融科技的技术风险主要指由于金融科技自身及其应用过程中,由于技术漏洞、系统缺陷、技术失灵等原因导致的金融科技创新应用中的不确定性以及偏离金融科技目标结果的可能性。传统意义上的金融信息系统技术风险是金融科技技术风险的起点,但由于金融科技发展阶段的更迭以及大数据、人工智能等新型技术的应用,金融科技的技术风险在风险来源和风险构成上呈现出更大的特殊性和复杂性。金融科技自身的技术属性,决定了其因技术不完备和脆弱性而难以完全消除技术风险,而金融科技在研发、应用、运行、维护的流程中又因为涉及到诸多技术能力参差不齐的主体从而难免形成技术漏洞。同时,金融科技也可能因其底层技术的负面效应或技术特征而存在脆弱性,从而产生技术风险。
一方面,作为静态技术存在的金融科技本身不可避免地存在固有缺陷,技术的失灵或者脆弱会导致金融科技偏离其预设目标从而导致风险。技术不完备是金融科技技术风险的最主要的来源。金融科技本质上是基于软硬件的一系列方案。尽管软硬件技术发展迅猛,但就像创造软硬件的人类一样都难臻完美。以区块链技术为例,尽管其所依赖并引以为可信保证的共识机制在逻辑上无懈可击,但是当其面对掌握了51%算力的主体发起算力攻击时,标榜不可篡改的区块链技术也只得接受记录被篡改的事实。而随着密码破译技术的进步和量子计算的应用,运用密码学原理加密的区块链的软件和协议也都有被破解的可能。技术不完备所导致的系统漏洞或设计缺陷往往难以预先察觉,因此而造成的技术失灵或者受到攻击干扰都将严重影响金融安全。同时,网络安全威胁加剧了金融科技的脆弱性。随着网络攻击事件频发,网络空间安全形势日益严峻,金融行业也已经成为网络攻击的重要目标。恶意攻击者会借助安全漏洞、网络攻击、垃圾邮件、僵尸网络、恶意代码或者黑名单等手段造成网络安全威胁。金融科技对网络的高度依赖,不仅容易导致金融消费者的财产和信息暴露在网络风险之中,也容易导致金融市场基础设施在网络攻击中出现不稳定的问题。例如在The DAO事件中,黑客组织利用以太坊网络漏洞盗取以太币,导致了大量以太币被盗取和以太币价格大跌。美国FSOC在2015年的年度报告中指出,网络攻击已经引发了对其具备严重干扰金融体系运行的可能性的高度关切。一旦金融科技在应用过程中受到恶意网络攻击,可能会造成数据泄露、病毒感染、数据篡改、基础设施瘫痪等重大安全事故。
另一方面,金融科技在动态的应用过程可能因技术的不当应用或技术自身的负面效果导致金融科技偏离其预设目标从而导致风险。正如硬币之两面,金融科技在为金融行业带来革命性进步的同时,也因其技术特征而造成不可避免的弊端。例如算法在实现自动化智能化的同时,也将数据处理的规则和流程封装在“黑箱”之中,这既会导致透明度的缺失从而影响市场主体的知情权,也会造成因缺少人文关怀和社会理性的干预,技术理性机械运行而出现失控。金融科技自身极强的专业性和技术性,使依托金融科技开展的金融业务风险更加隐蔽复杂。基于大数据、云计算和人工智能等基层技术,金融科技借助算法将信息以数据形式进行搜集整理后作出自动化处理,从而得出有用结论或作出相应行为。例如大数据征信中,由于数据质量的偏差或者算法自身的设计缺陷,可能生成带有歧视或者错误的信用评定结论。在量化交易中,由于算法是在纯粹技术理性的基础上设计的金融行为方案,如果算法运行中其他相关因素考虑不周全,有可能造成因错误信息、偶发事件或其他原因,导致自动触发错误的交易行为,并进一步引发市场风险。数据高速且实时处理,在极大地降低成本提高效率的同时会造成数据处理结果快速传导的连锁反应,进而形成新的实时风险。金融科技尽管显著提升了金融效率,但是也正是因为数据的极速运算和实时处理,导致了金融风险能够跨行业、跨地域的迅速传导。在金融科技的应用过程中,技术漏洞或编程错误均会对金融市场产生巨大影响,衍生新的系统性风险,而内部控制和信息系统的缺陷,也可能导致不可预期的损失。技术的升级可能带来风险的升级,数据的实时高速处理可能带来市场风险的“多米诺骨牌效应”。一旦赖以作为业务支撑的金融科技被破解或攻击,相关金融业务体系会在短时间内陷入瘫痪,技术风险在特定情况下会由量变急剧升级为质变,甚至可能引发潜在的系统性风险,影响金融稳定。
二、法律何为:
技术风险的法律因应逻辑
金融科技的技术风险,不仅给金融科技在金融市场中的广泛应用带来了诸多不确定性,也给当前金融监管和金融法制带来了诸多挑战。诚然,技术发展和方案优化能够在一定程度上抑制和防范金融科技所带来的技术风险,然而旺盛的市场需求下市场主体的自发尝试,并不会等待技术成熟后才投入应用。如果寄希望于市场自发完成技术完善的过程,而不是提前通过法律制度的完善构建技术风险防范体系,则势必会造成金融消费者利益受损和金融市场波动的代价。因此,以法律制度回应技术风险、规制技术风险、防范技术风险,是金融科技不可或缺的制度保障。
(一)技术的归技术,法律的归法律?
从技术风险生成的路径来看,金融科技的技术风险直接来源于金融科技自身,即技术风险的成因是技术的固有缺陷或技术特征。就这个层面而言,技术风险的防范需要按照技术的逻辑进行全流程的风险治理,通过技术研发、应用和运维等阶段的优化和完善,填补技术漏洞,改进技术方案,阻断风险生成,尽量避免和消除技术风险。这就容易让人产生一种误解:以技术手段回应技术风险足矣,作为调整社会关系的法律并不能解决技术问题,因此对金融科技的技术风险应当依靠技术治理而非法律治理。而事实上,金融科技的技术风险防范不单只是技术问题,而且也是法律问题。仅仅依靠技术优化来防范金融科技的技术风险,低估甚至无视法律制度在技术风险治理中的重要角色,是一种狭隘的臆想。
首先,金融科技并不单单只是一种静态的技术存在,而同时也要动态地应用于金融行业的具体场景,这就涉及到社会利益或公共利益,进而触发法律对其进行调整。理解金融科技的技术风险,不能仅仅局限于金融科技本身,而是还需要关注金融科技运行的各个环节与流程。金融科技所涉及到的新技术,除了其自身漏洞或缺陷可能导致技术风险,还有可能因技术风险的外溢而造成金融业务上的风险,从而冲击金融市场的正常秩序和法律框架,侵害金融消费者的合法权益甚至危及金融稳定。例如技术的黑箱导致透明度降低和信息不对称加剧,从而造成因技术风险而衍生的欺诈风险,再如因过载导致系统崩溃以及算法错误导致的连锁反应,可能会加剧金融市场波动甚至造成系统性风险。而在信用征信、智能投顾中大数据和人工智能的算法不完备所导致的错误评级或者不当决策,也会给法律责任的认定带来新的挑战。这就需要通过法律治理对金融科技技术风险给金融市场和公共利益的冲击予以回应。
其次,金融科技的技术风险虽直接来源于技术缺陷,但其根源是应用主体对金融科技的滥用或不当应用,需要通过法律对金融科技的创新应用行为进行规制以避免风险。技术风险产生的根源不在于技术本身,而是在于技术的滥用,造成技术滥用的深层次原因是社会制度跟不上技术发展,缺少有效的技术规则制约机制。金融科技的技术不完备是客观规律,但只要在充分论证和试验的基础上审慎地应用,技术风险便能够得到有效抑制。但是随着金融科技创新日益持续化、复杂化和多样化,对于金融科技的盲目信仰以及背后的利益驱动,可能会激励应用主体对尚不成熟的金融科技尚盲目滥用或者不当应用,从而造成风险的生成和扩散。因此,防范金融科技技术风险的生成与扩散,有赖于对金融科技创新应用的行为进行约束,其中通过法律制度明确金融科技的研发和应用中的技术规则,从而以技术伦理制度化的方式确保金融科技的负责任创新应用。
再次,金融科技的创新应用过程中技术与法律呈现出交织甚至趋同的特征,因而法律需要对技术方案进行规范和调整。金融科技在软硬件环境下运行,从指令到结果之间的运行过程都是遵循以代码、算法等为代表的技术方案。因此在金融科技的世界里技术就是法律,如何实现技术和法律的同步,使技术运行规则与现实法律制度相协调,是金融科技所需要面临的现实问题。区块链技术中的“智能合约”即是代码即法律(code is law)的典型表现,智能合约通过基于代码设置的规则自动执行程序完成交易,而该规则可能因代码的错误或者不合理而导致技术风险。因此有学者也提出,可以按照法律规则进行代码设置实现法律即代码(law is code),从而可以将技术风险防控的法律规则融入到金融科技本身,以实现对金融科技技术风险的有效防控。
同时更为重要的是,技术发展自身也需要法律进行回应和规制。当技术的快速发展超乎现有法律能够有效规制的程度时,既不能盲目过度管制,又不能视而不见。未来金融科技创新将日益持续化、复杂化和多样化,为了避免鲁莽应用所带来的技术风险,立法者和监管者需要更加及时高效地针对金融科技的应用制定更为积极、动态和负责任的规则,以充分回应金融科技技术风险带来的挑战。而与此同时,法律制度也需要为金融科技创新应用创造有利的制度空间,以适应技术发展的趋势并实现金融行业的进步。易言之,针对金融科技的技术风险,需要法律制度因时而变,构建兼顾包容审慎和有效规制的监管体系,以在提高金融效率的同时有效地保护金融消费者权益和维护金融稳定。
因此,单单依靠技术治理而忽视法律治理,在一方面忽视了金融科技技术风险的法律投射。由于金融科技技术风险与法律风险的高度关联,从技术到技术的修补式进路很难构建起技术风险的系统化防范框架,也不能有效地处理好金融科技市场应用中技术与法律的冲突调和。另一方面也高估了金融科技在市场应用中的技术理性。金融科技的开发者具有尽快投入市场应用并在应用过程中进行优化的强烈动机,由此取得的先发优势和经济利益成为了相应市场主体鲁莽地应用金融科技的激励因素。如果没有相应的法律框架对此进行规范与调整,这些自发应用行为有可能就会无意间打开技术风险的潘多拉魔盒。概言之,金融科技的应用及其技术风险防范,不仅需要技术理性,同时制度理性也须臾不可或缺,需要将技术治理与法律治理充分结合。
(二)技术中立的再审思
既然法律应该而且可以在金融科技技术风险的防范和治理中发挥重要作用,那么法律需要如何对待金融科技及其技术风险,则成为制度理性必须首先明确的基础性命题。一方面,金融科技能够为金融机构和金融消费者赋能,为其更好地参与金融市场活动提供强大的技术支持。鉴于金融科技的优势和积极作用,法律制度应当为金融科技的发展提供宽松良好的制度环境。另一方面,金融科技也只是技术层面的优化方案,并不能替代金融的基本功能,亦不能改变金融体系本身的运作规律和内在风险属性。金融科技给金融市场带来的变革,取决于金融机构在开展金融业务过程中如何应用金融科技。所以针对金融科技的法律规制与监管,更多的是主张坚持“技术中立”原则,将规制和监管的重点放在金融科技的应用过程。
技术中立原则常常被用于反对法律对技术的监管,或者为技术服务者免责。技术中立可以从功能中立、责任中立和价值中立三个方面进行理解,即技术本身在实现功能的过程中对用户保持中立、没有主观故意的技术实施者不对技术的负面效果承担责任、技术因其自身的客观性而在价值判断中保持中立。但是由于技术在投入应用过程中往往会因为技术自身局限或者使用者的策略,会偏离技术本身的功能定位。技术本身是无意识的,技术的价值取向在很大程度上会受到技术设计者和实施者的影响,因此价值中立可能只是一厢情愿的空想。而责任中立,更多的是技术的设计者和使用者据以免责的主张,但免责的前提是他们对技术后果不存在过错。易言之,责任中立有赖于技术的设计者和使用者并未对技术的运行故意施加影响。在这层意义上,技术中立本身可能正是意味着非中立。就金融科技而言,从技术的研发到应用再到运行维护的整个流程,都不可避免地受到应用主体的控制或影响,金融科技自身存在的技术风险可能会被忽视甚至刻意掩盖,也有可能因金融科技的不当应用而造成技术风险。如果技术本身是否真正中立性的前提无法确定,那么以技术中立的理由否定技术风险的法律治理也是无法逻辑自洽的。
并且,尽管金融科技本质上是信息技术在金融领域的应用,但金融科技在具备技术属性的同时还具有金融属性和社会属性。一方面,金融科技创新除了为传统金融活动的进行提供了更为高效的解决方案之外,其自身也在催生着新的金融模式。如果说大数据征信、智能投顾是金融科技在传统意义上的征信和投顾等业务上的创新,那么区块链虚拟货币、网络借贷等则是在金融科技创新的基础上形成的新的金融业务形态。金融科技的发展趋势正在从“为了金融的科技”(technology for finance)走向“作为金融的科技”(technology as finance)。同时,金融科技对于金融体系运行模式和流程的改造,导致金融中介之间、金融中介与科技公司之间的界限逐渐模糊,这必然会形成新的金融风险样态,给金融稳定造成冲击与挑战,相应地也会推动金融监管方法和范式的转变。另一方面,金融科技的应用极大地降低了进入金融市场和获取金融服务的门槛,在助力金融包容和金融普惠促进社会公平方面具有巨大潜力。然而金融科技在便利弱势群体参与金融市场活动的同时,也可能让这些金融素养不足和风险承受能力较差的主体暴露在风险之中,从而成为加剧不平等的工具。易言之,金融科技的应用既有可能发挥积极的社会效果,也可能产生消极的社会效果,这取决于金融科技能否合理地投入应用。
即便技术本身是中立的,但金融科技的技术风险传导至金融体系则有可能衍生出金融风险乃至社会风险。从社会利益和公共利益的角度出发,法律也需要积极介入具有较高传导性和覆盖面的金融科技技术风险的预防和处置。因此,正如金融活动相比于一般商事活动需要接受更为严格的监管的基本逻辑,金融科技也不能与一般意义上的技术创新同日而语,而是需要综合考虑其所带来的金融风险和社会风险,以更加系统全面的思维进行监管和规制。就金融科技的技术属性而言,法律制度不宜对技术本身有过多的价值判断,而应该以中立的态度尊重和适应技术的创新发展。但是对于金融科技应用于金融业务的过程中因技术风险外溢导致的对金融稳定和金融消费者权益的威胁,法律制度也不可能视而不见。即所谓的技术中立原则,应该是法律对技术的中立而非对技术应用的中立。因此,技术中立原则可以是解决金融科技带来的技术与法律之间冲突和问题的一种思路,然而并不能成为忽视技术风险监管和规制的借口。既然金融科技是科技与金融的深度融合,那么对于金融科技的技术风险,也不能仅仅以技术中立的思维予以回应,而是应当融入金融监管和社会治理的思维实施有效的法律治理。
三、金融科技技术风险的
法律治理框架
不同于以技术升级和方案优化对金融科技流程进行完善的技术治理路径,金融科技技术风险的法律治理,主要通过构建法律制度体系,调整和约束主体行为,完善监管框架和监管措施,从而防范和控制金融科技的技术风险。申言之,法律治理的基本机制是以各类法律规范确定金融机构、金融科技公司、金融监管部门等主体的权利、义务和责任,明确其在应用金融科技过程中的行为模式与法律后果,限制其不理性、不成熟的鲁莽行为,完善技术风险监测处理机制,尽可能避免金融科技的技术风险。金融科技技术风险的法律治理,不仅仅关注金融科技的静态技术,而且关注金融科技的动态应用;不仅是惩罚思维下通过法律责任的结果控制,而且是预防思维下通过行为约束的过程控制。针对金融科技的技术风险,需要在把握风险生成、传导和爆发的流程和规律的基础上,从强化行为约束、明确法律责任、完善金融监管这三个方面建立起系统性的技术风险法律治理框架,通过行为约束框架指引和规范金融科技的创新行为以预防风险;通过法律责任框架明确和落实金融科技的创新后果以分配风险;通过金融监管框架监测和优化金融科技的创新流程以化解风险。
(一)行为约束框架
尽管金融科技的技术风险来源于技术本身,但技术风险的生成、传导乃至爆发主要是根源于金融科技不当应用的行为。因此,法律制度应当对金融科技的研发、应用、运维等环节的相应主体的行为进行规范和约束,既确保研发主体在金融科技开发的过程的谨慎与中立,又避免应用主体在金融科技在应用过程中鲁莽的不当行为,以实现对金融科技技术风险的审慎对待和有效防范。具体而言,就是要对金融机构和金融科技公司在开发和应用金融科技的过程中课以相应的注意义务,明确和约束其行为规则,将预防技术风险贯穿在金融科技开发应用流程的始终。
从一般流程和基本目标来看,金融科技不外乎依托相应底层技术设计和研发先进的科技手段和技术方案,用于创新和改进相应的金融交易模式和金融服务提供方式。因此金融科技创新可以分为研发和应用两个环节,所涉及的主体则包括了研发者、应用者和使用者。除非研发者和应用者系同一主体,研发者和应用者之间存在着技术服务合同关系,而应用者与使用者之间存在着金融服务合同关系,那么研发者和应用者的注意义务因合同约定的给付义务和合同附随义务而产生,即其有义务保证其所研发或应用的金融科技在现有和应有技术条件和专业水平能预测和控制的范围内不存在技术风险。这里的注意义务,是金融科技创新主体为避免技术风险而在研发和应用金融科技的过程中加以合理注意并谨慎行为的法律义务,其内涵既包括了侵权法意义上对技术风险造成损害的避免,又包括了合同法意义上金融服务合同和技术服务合同的合同附随义务的履行,还包括了金融法意义上金融服务机构对金融消费者的安全保障义务。从注意义务的功能来看,对金融科技创新主体课以注意义务,并非仅为判定过错以明确责任,而且还可以通过行为约束以预防风险。当然,仅依合同或者技术规范来确定金融科技创新主体的注意义务略显模糊和间接,在规范和指引金融科技创新行为上并不容易发挥明确和直接的作用,若以制定法的方式这类注意义务予以明文规定,实现通过法律规范细化具体的技术规则,确认金融科技创新主体的行为模式和行为边界,从而能够强化和明确对金融科技创新主体的行为约束。
一方面,确立审慎的金融科技应用规则,廓清金融科技应用主体的行为边界。规范金融科技应用主体的行为,是有效避免金融科技盲目应用带来技术风险外溢的直接手段。在这个层面,各国立法和金融科技监管政策都进行了诸多尝试和探索。新加坡金融管理局(MAS)针对金融业务中人工智能和数据分析的应用发布了FEAT原则,即公平(Fairness)、道德(Ethics)、问责(Accountability)和透明(Transparency),以促进这些技术在金融机构和金融科技公司被更负责任地使用而不是被滥用。公平原则,指人工智能数据分析的变量、算法和结果对于用户是合理设计的,数据和模型是精确相关且没有歧视的。道德原则要求人工智能和数据分析的使用需要符合道德标准。问责原则即金融科技的应用主体需要对研发和应用环节负责,受影响的数据主体能够对基于人工智能和数据分析的过程和结果进行监督和审查。透明原则是指数据的使用和人工智能的算法和流程需要向数据主体进行披露和解释。欧洲MIFID II(欧洲金融工具市场指令)要求,应用基于AI和机器学习的算法模型应该有一个文件的开发过程,金融机构需要确保流程的每个阶段都将潜在的风险考虑在内,确保采取合理步骤避免不必要的操作风险。从这些经验来看,主要可以从内部约束和外部约束两个角度规范金融科技的审慎应用。就内部约束而言,以相应的技术底线原则确保金融科技的研发和应用的合理性和正当性,通过法律制度设置一系列强制性规范、激励性规范和倡导性规范,对金融科技应用主体的创新行为进行约束和指引,明确创新主体的行为模式和其应负的注意义务,以确保负责任的金融科技创新,从而对技术风险起到一定的抑制作用。就外部约束而言,可以通过技术民主原则,对金融科技的技术信息和技术方案进行合理程度的公开,使公众能够知情并参与,从而有效监督和控制潜在的技术风险。
另一方面,明确稳健的金融科技应用条件,完善技术风险防范的策略与方案。金融科技应用主体除了应当规范其应用行为,而且有义务主动建立技术风险防控机制,以在金融科技的应用过程中能够及时甄别技术风险隐患、发现技术风险漏洞并处置技术风险事件。易言之,法律制度需要对金融科技应用主体课以义务,要求其制定技术风险预防和控制的流程与方案,从而为金融科技创新应用提供良好的体系环境。通过这种方式,将防范技术风险作为金融科技应用主体的法定义务,能够将风险防范与技术创新有机统一到金融科技的应用过程之中,更好地约束和规范金融科技应用主体的行为。例如国际清算银行(BIS)提出金融机构在应用创新金融科技时,应当确保其具有技术风险的管理流程和控制环境,以有效地控制技术风险。欧洲MIFID II(欧洲金融工具市场指令)要求从事算法交易的投资公司应建立适合其经营业务的有效系统和风险控制,以确保其交易系统具有弹性并具有足够的容量,受适当的交易门槛和限制约束并阻止发送错误的订单或以可能造成或促成无序市场的方式运作的系统。爱尔兰中央银行副行长Ed Sibley也提出金融机构和金融科技公司需要将其数据和系统的安全性、弹性和使用放在首位,建立抵御技术相关风险的能力。
(二)法律责任框架
强化行为约束能够实现在金融科技技术风险生成和传导的有效治理,而明确法律责任既是实现强化行为约束的保障,也是充分回应技术风险爆发和损害的基础。如果没有相应的法律责任,法律制度只会沦为宣示性条款或倡导性条款,对金融科技应用主体的行为难以产生真正的约束力。只有明确法律责任,才能够对金融科技应用主体真正起到约束作用从而规范其行为,同时也才能够为金融科技技术风险的爆发找到责任主体,使得在金融科技应用过程中利益受损的主体获得赔偿成为可能。在金融科技技术风险的法律治理框架中,法律责任的意义在于能够与行为约束一起形成完整的制度闭环,保障法律制度有效的拘束力。
从法律责任的来源和构成来看,作为因违反法定或约定义务而产生的不利后果,金融科技技术风险的法律责任所赖以产生的行为基础,即金融科技应用主体未能尽到审慎的注意义务,其鲁莽行为造成风险的,应承担法律责任。但是具体而言:首先,法律责任主体的过错应当如何认定。所谓过错无非故意或过失,因金融科技应用主体的故意导致技术风险的,例如在应用金融科技时故意设置后门或利用其实施欺诈行为的,因其主观恶意应当承担法律责任自不待言,然而过失的认定由于技术的复杂性和技术风险的难以预测性而难度颇大。因不能预料的技术风险而承担法律责任,可能会损害市场主体的积极性进而抑制金融科技创新,因此过失的认定应当限定为应用主体在对金融科技技术风险认知范围内的疏忽大意或者放任。但是由于金融科技应用主体自身应当具备相应的专业技术能力,因此其对于技术风险的认知应当按照专家标准予以确定。其次,导致法律责任的违法行为如何认定。由于金融科技技术风险不一定直接来源于某一个特定行为,现有法律也无法在全面了解可能导致金融科技技术风险的应用行为的情况下禁止应用主体的相应行为,只能通过规定原则性的行为模式确保应用主体的审慎行为。这种审慎行为的衡量标准即是否尽到了注意义务,如果违反了注意义务即视为实施了违法行为因而承担法律责任。再次,风险与损害之间的关系如何判断。金融科技的技术风险不一定意味着损害,而是产生损害的可能性。金融科技的技术风险造成损害后的侵权法律责任只是一个方面,而违反法律和监管规则盲目甚至擅自应用金融科技导致技术风险的,尽管不一定造成实际损害,但也可能需要承担相应的行政责任。同时,风险所导致的损害也不一定是特定的,在金融科技创新应用的背景下,技术风险的法律责任并非来源于传统的因侵害行为导致损害结果者需承担法律责任的追究模式,而是因为金融科技的应用诱致风险并传到至整个金融市场,导致金融消费者利益损害者需承担法律责任的追究模式。
由于金融科技的创新链条可能涉及多个主体,包括金融机构、金融科技公司、数据服务商、场景运营商、流量平台、云平台以及其他新兴基础设施平台等,这容易导致金融科技技术风险责任主体的模糊和混乱。这就需要我们运用“业务实质”的标准对金融科技应用过程中所涉及的主体进行筛查,只有真正的金融科技应用主体,即运用金融科技开展金融业务活动的主体,才对于金融科技应用的技术风险负有法律责任,而那些仅中立地提供工具或基础设施支持的主体因未从金融业务中获益,并不宜被认定为金融科技的应用主体。因为后者仅中立地提供技术服务,而并未参与和主导依托金融科技的金融服务,由于其并无金融科技应用的主观意图,因而除了向其提供服务的对象承担合同责任之外,无需就金融科技应用的技术风险负担法律责任。概言之,只有金融科技应用主体才应该被确定为技术风险的责任主体。从当前市场实践来看,金融科技的创新应用模式有以下三种类型:一是金融机构自主研发金融科技并应用于金融业务,即有技术能力的金融机构自行组织金融科技的研发,并自主将金融科技与自身所从事的金融业务相结合。二是金融机构依托金融科技公司提供技术外包应用金融科技,即金融机构向金融科技公司或者技术服务商采购技术服务,为金融科技应用于自身金融业务提供软硬件支持、服务和解决方案。三是金融科技公司凭借技术优势直接介入金融业务,即金融科技巨头凭借自身研发优势、流量优势、数据优势,借助金融机构通道将金融科技投入应用,或者直接开展尚未纳入监管的新型金融业务。在前两种情况下,核心金融服务都是由金融机构提供,客户、数据、系统运营都在金融机构控制的范围内形成闭环,金融机构对金融科技应用的整个过程享有完整的控制权,而金融科技公司被排除在核心金融服务环节之外,即金融机构才是金融科技应用主体。无控制即无责任,对于并未主导金融科技应用的金融科技公司课以技术风险的法律责任,难免有苛责之嫌。无论是自己研发应用金融科技还是将其外包给金融科技公司,责任依旧完全在金融机构。所以金融机构应该对金融科技的技术风险作出应对,包括必须对外包给第三方的业务进行尽职调查、风险评估和持续监控。证监会《证券基金经营机构信息技术管理办法》第43条也明确规定:证券基金经营机构借助信息技术手段从事证券基金业务活动的,可以委托信息技术服务机构提供产品或服务,但证券基金经营机构依法应当承担的责任不因委托而免除或减轻。而就第三种情况而言,金融科技公司在与金融机构合作时取得了主导地位,将后者作为金融科技应用的通道,一些实力雄厚的科技公司通过获取金融牌照来推动金融科技的应用,甚至成为互联网金融控股公司。还有就是金融科技的崛起推动了去中心化、去中介化趋势,使得金融科技公司开始直接作为金融产品和服务的提供者。由此金融科技公司已经取代金融机构,获得了实质性金融业务的管理权和主导权。为了避免游离在金融监管范围之外的金融科技公司鲁莽使用金融科技造成技术风险外溢,需要按照“业务实质”标准和“同一业务,同一风险,相同规则”的一般原则,让金融科技公司接受金融监管并承担与金融机构同样的法律责任。
(三)金融监管框架
金融科技的应用在很大程度上改变了传统金融业务活动的流程和样态,同样也给金融监管带来了巨大的挑战。金融科技能够提高金融交易效率,降低金融业的信息不对称和交易成本,但是由于金融监管体制和监管部门缺乏必要的技术支撑,难以从传统的金融监管框架下对金融科技的应用主体实施有效的行为约束。一方面金融科技所造成的业务模式的创新化、交易流程的隐蔽化、法律关系的多元化和风险传导的即时化,显著地增加了金融监管的难度;另一方面金融科技的技术属性,使得技术风险在金融风险防控体系中的地位和需求进一步凸显,以市场风险、信用风险和道德风险作为主要对象的金融监管在此背景下难免捉襟见肘。为有效应对金融科技的技术风险,需要建立更为合理的监管框架,进一步完善监管体制,更新监管理念,改进监管方式,优化监管措施,确保金融监管能够适应金融科技的需求与挑战。
首先,金融监管需要兼顾技术监管和业务监管,准确把握金融科技的技术实质和业务实质,并对其实施有效监管。金融科技是技术创新与金融业务的高度融合,技术与业务之于金融科技是一体两翼的关系,在对金融科技进行监管时,技术监管和业务监管不可偏废。对于金融科技所形成的创新业务模式,监管部门需要按照“实质重于形式”的原则,把握依托金融科技实施的金融业务模式的业务实质,明确监管主体和监管对象,准确把握金融科技的监管要求和风险要点。金融科技给监管部门最大的挑战,在于金融科技的多样性、创新性和复杂性导致长于业务监管而存在技术短板的监管部门在面对金融科技创新应用时,难以充分把握金融科技的技术本质、运行机理和风险要点。对此,监管部门需要准确把握金融科技的技术实质,厘清金融科技技术风险的生成来源和传导路径,关注金融科技的成熟度、安全性与稳定性,明确金融科技的技术规范与合规要求,建立技术风险控制体系。具体而言,监管部门需要对金融科技的技术方案和风险状况进行评估和指导,例如根据欧洲MIFID II(欧洲金融工具市场指令),欧洲证券市场监管局(ESMA)需要对算法交易所依托的算法进行适当测试,以确保算法交易系统不会造成市场上的无序交易,同时ESMA需要制定监管技术标准草案并向欧洲委员会提交。同时监管部门应加强对重要技术基础设施的风险监管,对金融机构的基础性和关键性信息系统进行定级备案和等级测试,明确相应的监管要求,例如要求金融机构建立防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,完善技术风险规制制度,采取技术手段和管理制度保障信息系统安全稳健运行,并定期检查监督。建立技术监督管理机制,对金融科技的相应技术例如数据信息真实性验证、第三方签名、电子认证等进行监督管理。此外,监管部门还需要与权威技术机构、行业协会等进行合作,针对金融科技的技术规范出台统一标准与技术指引。
其次,金融监管需要兼顾审慎监管和包容监管,运用“监管沙箱”等创新监管方式预防技术风险,实现鼓励创新与防范风险的平衡。正如前文所言,金融科技具有两面性,其既反映着技术变革给金融市场带来的创新动力,又暗含着技术应用过程中伴生的技术风险。对于金融科技而言,适当合理的金融监管能够起到防范风险的作用,但过度严格的金融监管则可能矫枉过正抑制金融创新。因此金融科技监管需要在鼓励金融市场技术创新和防范金融科技技术风险之间之间寻求平衡,既要通过审慎监管正确对待并防范技术风险,又要通过包容监管扶持和促进技术创新。2015年11月,英国率先推出“监管沙箱”(Regulatory Sandbox),通过为金融科技创设一个在一定条件和范围内豁免于金融监管的“安全港”,为金融机构和金融科技公司进行金融科技创新提供良好的政策空间,同时也通过安全隔离措施将金融科技限制在安全的测试环境之中,避免因包括技术风险在内的未知风险给金融消费者合法权益和金融市场安全带来的冲击。监管沙箱为金融科技创新提供了有效的应对方案,澳大利亚、新加坡、中国香港等国家和地区的监管部门纷纷效仿,在有效防范风险保障安全的情况下,有力地推动了金融科技的创新发展。除了监管沙箱之外,监管部门还可以通过“创新指导窗口”和“创新加速器”等监管手段积极引导和介入金融科技创新与应用,从而在市场主体自发应用金融科技的同时,由监管部门通过提示和指导,更加主动地参与到金融科技的技术风险防范。例如澳大利亚证券投资监管委员会(ASIC)就设立了创新指导窗口,从监管者的角度为金融科技企业指出技术创新中涉及到的监管问题,提前地明确风险规避的要点与路径。这些创新监管方法的运用,能够加强监管部门与金融科技应用主体的互动,增强监管部门对金融科技应用过程中技术风险要点的理解,进而有效防范技术风险。
再次,金融监管需要兼顾回应型监管和主动型监管,将监管科技应用于金融科技的技术风险防范,以技术手段监管金融科技的技术风险。从整体而言,监管金融科技的技术风险可以有两条路径,其一是结合技术风险的发生机理、客观表现和风险要点进行被动的回应,通过规范金融科技应用行为和健全技术风险处置应对机制实现技术风险监管;其二则是针对技术风险的技术属性和技术表征进行主动介入,通过技术手段对技术漏洞和缺陷进行及时侦测预警和修复完善,即以技术手段控制技术风险。伴随金融科技迅速发展而兴起的“监管科技”(RegTech)可堪重任。监管科技通常被认为是用于金融机构的合规工作,即通过创新技术来高效率低成本地满足监管部门日益提高的合规要求。然而随着监管科技的不断创新和金融活动的数字化,监管部门也日益重视监管科技在日常监管中的重要性,以监管科技应对快速发展和变迁的金融市场和新型金融业务运行模式,成为了监管者提高监管效率和监管能力的可行选择。借助机器学习、人工智能、大数据等技术手段,监管部门可以通过监管科技的创新,利用通用弱点评价体系(CVSS)等方法对于金融科技的系统漏洞、安全隐患、设计缺陷、算法漏洞等进行检测扫描、风险评估和方案优化,从而以一种自动化、智能化和全天候的技术方法对于金融科技的技术风险进行主动排除。
最后,金融监管需要兼顾行政监管和自律监管,在借助监管部门的强力约束预防和处置技术风险的同时,发挥金融科技行业自律监管机制的积极作用。行政监管是金融监管部门行使法律授予的行政职权,对金融科技的技术风险进行监管。自律监管则是行业协会以及金融科技应用主体等组织根据合意或者其他激励,从金融科技的研发、应用和运营维护的整个流程对技术风险实行自我监管。行政监管以行政执法权为基础,能够通过市场准入和技术规则的公共执行,对金融科技的应用主体和应用行为施加有效控制。然而受制于监管部门的技术能力和监管资源,行政监管并不总是能全面及时地覆盖所有的金融科技应用主体以及技术风险生成、传导和爆发的整个环节。金融科技的应用主体相比于监管部门更理解金融科技中的复杂信息和技术方案,更了解和适应金融科技发展的最新趋势和成果,也更能够识别金融科技的技术风险类型和风险点,因此他们比监管部门更有能力对其他金融科技应用主体的行为进行监管。同时,金融科技市场竞争激烈,通过竞争者之间的相互监督,也能够激发自律监管的动力和效能。充分发动金融机构、金融科技公司等应用主体自我约束、相互监督并通过行业协会的形式实施自律监管,能够充分弥补监管部门技术短板和人员缺乏带来的监管能力不足,同时也能够尽可能避免行政监管对金融科技行业的过度管制。
四、金融科技技术风险防范的
制度构建路径
相比于金融创新而言法律制度总是滞后的,这种规律同样适用于技术创新领域。在金融科技创新日新月异的全球趋势下,金融科技的技术风险防范制度尚不完备,境内境外概莫能外。从金融科技发展实践来看,我国已经走在世界的前列,然而我国金融科技法律制度建设并没有与金融科技行业发展水平相适应的表现。如何建立和完善相应的法律制度以有效防范金融科技所带来的各类风险,是当前立法机关和监管部门亟需解答的时代命题。就金融科技的技术风险而言,我们应该结合技术风险法律治理的基本逻辑和制度框架,构建金融科技技术风险防范制度的中国方案。
(一)建立金融科技应用主体的技术风险防控规则
金融科技应用主体(包括金融机构和金融科技公司)是金融科技从研发到运用的最直接的当事人,也是金融科技技术风险最直接的责任主体,因此首当其冲应当成为法律制度最直接的规制对象。由于金融科技应用主体掌握并理解着难以被外部人所理解的大量技术信息,例如智能投顾比任何人都了解其算法设计,这些主体比监管者更容易识别风险,因此通过明确金融科技应用主体的行为规则来防范技术风险是最为直接的有效途径。以法律制度确定金融科技应用主体在风险防控方面的行为规则和法定义务,以风控合规的路径推动金融科技应用主体建立完善的技术风险内部控制机制,实现从源头上控制金融科技的技术风险。我国对于金融机构的信息技术安全方面比较重视,出台了不少部门规章和指引性文件,例如《证券基金经营机构信息技术管理办法》、《商业银行信息科技风险管理指引》、《银行业金融机构数据治理指引》等等,然而目前的制度规则存在两个方面的不足:一方面,以监管部门为主体制定的制度规则仅针对在其监管范围内的金融机构,仍停留于机构监管范式只调整金融机构的信息技术应用行为,缺乏对金融科技公司的有效规制;另一方面,以传统信息技术为主要调整对象的制度规则,并不能全面适用于金融科技创新的未来需求,例如对于生物识别、人工智能等新兴技术风险防范的规定尚付阙如。为更为全面有效地建立金融科技应用主体技术风险防控规则体系,我国需要就金融科技创新的主体和业态建立更具针对性和包容性的制度规则。
首先,确立金融科技的安全优先规则,即金融科技应用主体在对金融科技进行研发、应用和运维的过程中对于技术安全负有注意义务,并将坚守技术安全底线贯穿在金融科技创新应用的始终。诚然我们强调对于金融科技的监管需要平衡创新与安全,但在市场机制作用下金融科技应用主体具有足够的创新激励,相反安全激励则明显缺乏。因此对于金融科技应用主体而言,必须以法律上的注意义务对其创新行为进行约束,确保金融科技创新在安全的范围之内。申言之,金融服务需要尽可能地维护安全保护金融消费者利益,以维持金融市场的信任基础,依托金融科技开展的金融业务也不例外。确立金融科技的安全优先规则,可以明确金融科技应用主体在技术风险防范方面的合规义务,从而约束金融科技应用主体的盲目研发和应用的短期冒险(risk-taking)行为。
其次,确立金融科技的风险评估规则,即金融科技应用主体有义务在研发和应用金融科技时需要建立完备的技术风险评估体系。所谓风险评估,是指金融科技应用主体在分析金融科技应用过程和业务的技术风险点和控制方法的基础上,对于技术风险发生的可能性和风险事件的影响进行系统的评估。风险评估包括了信息搜集整理、确认技术风险点、查找技术风险原因、报告和反馈评估结果的一整套流程。从已有研究来看,通过对技术风险的自我评估并根据评估结果采取可行的风险管理措施,能够有效地降低风险发生概率以及风险造成的损失。按照风险评估规则的要求,金融科技应用主体有义务建立技术风险评估体系,能够对金融科技的技术风险问题进行自我评估并向监管部门及时报告,发挥监测预警的实际功能,有利于技术风险第一时间被发现和化解。例如2016年香港金管局(HKMA)推行的网络安全设防倡议(CFI)中要求金融机构建立的网络弹性评估框架,就是基于风险框架评估金融机构的风险状况,提高其应对网络攻击时的抵御能力。
再次,确立金融科技的系统弹性规则,即金融科技应用主体有义务为维持系统的安全性和稳定性,制定技术风险应对处理预案,确保其具备技术风险的承受能力和化解能力。由于金融科技的应用很大程度上依赖于计算机系统和互联网技术,其中各类系统故障、算法缺陷、数据泄露、网络安全等都有可能成为技术风险的诱致因素,同时由于技术风险传导的即时性和隐蔽性,可能给整个金融体系带来不可预估的冲击。因此金融科技应用主体通过预先为技术风险预留弹性空间,通过相应的容错机制、错误纠正机制、数据备份机制等方式方法提高对技术风险的适应能力,从而尽可能降低风险损害。例如可以要求在高频交易算法中设置“断路器”(circuit-breaker)以减少市场波动引起的多米诺骨牌效应导致风险的传导。如果当年光大乌龙指事件中光大证券的量化交易系统有此设置,料想也不会引发如此影响巨大的事件。
(二)完善适应金融科技技术规律的风险监管制度
金融科技的兴起给监管部门带来了巨大挑战。对于金融科技而言,不论是监管制度还是监管经验,各国监管部门均无经验可循,立法部门和监管部门都需要不断加强对金融科技的理解和对技术手段的认知,提升自身的规制能力和监管能力。从金融监管的目标来看,维护金融稳定和保护金融消费者是监管部门的核心考量,因此防范金融科技带来的风险是金融监管制度的应有之义。值得关注的是,随着金融科技的不断发展,各国也积极地出台相应的法律制度充分应对金融科技风险。正如前文所提到的,我国需要进一步完善金融监管框架,其中很重要的内容即是充分将将金融科技技术规律融入到金融监管制度创新之中,兼顾技术监管和业务监管、审慎监管和包容监管、被动监管和主动监管。囿于我国当前金融监管体制和监管模式,针对金融科技的监管仍然受限于传统的“牌照思维”,即未经监管部门许可不得擅自应用,而未持有金融牌照的科技公司又游离在监管视野之外,这就导致了讳疾忌医式的因对风险的忌惮而抑制金融科技创新应用活力,同时金融监管也未全面覆盖金融科技创新应用的整个环节。就金融科技的技术风险而言,需要立法部门和监管部门出台更加精细化的监管制度,将具有创新性和协调性的监管理念、监管方式和监管措施予以法制化,在充分把握金融科技技术规律的基础上实施更有效的金融监管。
首先,引入监管沙箱制度,事先评估金融科技的技术风险。监管沙箱制度设计的目标就是在金融科技创新与风险防范之间寻求平衡,既为金融科技创新应用提供相对开放和宽松的环境,又能够通过试验的方法将金融科技的风险控制在一定的范围之内。对于金融科技的技术风险而言,采取监管沙箱的方式为金融科技提供试验环境,能够在其正式投入应用之前充分地评估技术风险的可能性,不断完善技术的成熟度。例如新加坡金融管理局(MAS)要求进入沙箱的金融科技应用主体要向其报告测试情况,若金融科技存在产生重大风险可能的应当评估如何减轻,并且要具备发现和减轻风险的预警方案。我国当前对于金融科技的监管主要采取以金融业务为中心的理念,金融科技公司由于没有金融业务牌照,只能以技术服务商的角色为金融机构提供技术外包服务,这容易导致金融科技的创新应用难以直接进入监管视野,造成金融科技风险的隐蔽化。引入监管沙箱制度,为各类主体提供金融科技创新应用的试验环境,能够在鼓励创新的同时实现对风险的甄别和评估。监管沙箱制度在我国有着先天的制度基因,“试点”、“先行先试”等政策话语在本质上与监管沙箱的制度逻辑并无二致。对于金融科技监管而言,需要以更为标准化、规范化的制度规则代替行政政策,将监管沙箱的准入条件、监测指标、风控手段和退出机制等予以制度化,形成兼具开放性和审慎性的金融科技试验机制,在金融科技创新应用的前端事先甄别和消除技术风险。
其次,创新技术风险评级制度,筛查金融科技应用主体的风险状况并根据技术风险流程和规律确定监管重点。由于金融监管部门自身监管任务繁重且监管队伍中技术专家的短缺,导致缺乏足够的技术能力和监管队伍对于所有金融科技进行全天候和全覆盖的监管。监管部门需要改进监管方法,提高监管效能,以系统化和标准化的方法评估金融科技的技术风险分布,识别具有技术风险隐患的金融科技应用主体并有针对性地采取监管措施。金融行业对于技术风险评级的经验可资借鉴,例如美国金融机构检查委员会(FFIEC)制定了统一信息技术风险评级体系(URSIT),主要用于监管者鉴别被评估机构技术风险暴露情况,通过综合评级和单项评级,迅速识别那些存在较大技术风险需要特别关注的金融机构和技术服务提供商,并以此确定相应的监管力度。我国可以将此制度创新应用于对金融科技技术风险的监管之中,结合金融科技技术风险的一般规律和客观表现,根据技术风险形成和暴露的核心指标制定风险评级体系,筛选出具有较大技术风险程度的机构和业务,并对其重点实施有针对性的监管。
再次,完善日常持续监管制度,对金融科技在应用过程中的技术风险进行全面监测和控制。各国监管机构对常规信息科技风险积累了较多的监管经验,并且形成了包括市场准入、现场检查和非现场检查的常规监管方法,也综合使用了技术风险内部控制、风险自评估、内部审计、外部审计等监管工具。在对金融科技技术风险的监管过程中,需要进一步完善和创新常规监管方法的运用,保证对金融科技创新应用保持持续监管。例如可以要求金融科技应用主体定期向监管部门提交由第三方技术机构出具的技术风险评估报告、监管部门委托第三方技术机构进行技术风险评估、监管部门开展窗口指导、开展压力测试等。此外,还可以加强监管科技在日常监管过程中的应用,要求金融科技应用主体接入监管部门的技术系统,满足实时合规的技术要求。
(三)确认金融科技行业自律监管机制与规则
就金融监管的体系构成而言,自律监管作为行政监管的有益补充,是金融监管的重要组成部分,也是最能发挥金融科技应用主体技术优势和一线优势的监管方式。申言之,金融科技应用主体能够直接介入金融科技研发、应用和运维的一线环节,对于金融科技的技术原理和运行方式有着更直观和更深刻的理解,从而更能把握技术风险的生成、传导和爆发的整个流程。由于金融科技在应用过程中涉及到金融科技公司和金融机构的主体交叉、技术和业务的高度融合、跨业合作甚至新型金融模式创新等特征,使得我国现有自律监管难以有效因应金融科技创新应用所带来的变革与挑战。行业协会等自律监管主体缺位、技术风险自律监管机制和规则的空白,都极大地限制了以自律监管方式因应金融科技技术风险的实现。通过法律制度的完善,赋予行业自律组织相应的法律地位并确认自律规则的法律效力,创新和完善技术风险自律监管的机制,对于完善金融科技技术风险监管框架,发挥自律监管功能并有效防范技术风险具有重要意义。
首先,明确自律组织的法律地位并确认其自律监管权力。自律组织能够约束和监管金融科技应用主体的行为,确保其对金融科技的审慎应用和负责任创新,从而有效地预防技术风险。然而从自律监管的权力基础来看,监管对象是作为会员基于对行业协会章程的认可而受到约束,即自律组织只能对其会员进行监管。由于金融科技应用主体除了金融机构之外还涉及到大量的金融科技公司,并不能直接纳入已有行业协会的自律监管范围。针对这一问题有两种解决方案:一是根据金融科技的具体行业类别,将包括金融科技公司在内的应用主体吸收进入相应的行业协会,由已取得自律监管主体身份和权力的行业协会对该行业的金融科技实施自律监管。但此方案须解决要求金融科技公司加入相应行业协会的法律依据的问题,从而才能以强制性义务的方式将金融科技公司纳入已有自律监管框架;二是以金融科技的应用行为作为基础,成立专门的金融科技行业协会,凡是正在进行或准备进行金融科技创新应用的主体,不论是金融机构、金融科技公司或者其他主体,均需申请加入该协会并受到自律监管,从而建立专门因应金融科技创新的自律监管框架。杭州、深圳等地已经成立了金融科技协会,但其定位还更多地停留于行业自发组织的社会团体,且主要承担的是行业发展的职能,并未得到法律授权的自律监管者的法律地位。因此,不论是采用上述哪种方案,都必须通过法律制度明确自律组织的法律地位并授予其自律监管权力,从而将金融科技创新主体纳入自律监管框架之中,并确保自律组织能有效实施自律监管。
其次,完善自律规则和技术标准并且确认其法律效力。制定和执行行业自律规则和技术标准,是自律监管的基本实施方式。行业协会等自律组织植根于金融科技创新应用的一线,对于金融科技的技术方案和可能存在的技术风险能够有最直接的理解和把握,由此也能制定最符合技术规律的自律规则。这类自律规则与技术标准,是作为“软法”通过自律组织的社会公权力、规则的利益诱导以及行业压力等发挥软性约束力。为了有效防范金融科技的技术风险,需要在认可自律组织的法律地位的基础上,在法律上确认其制定的自律规则和技术标准的法律效力,从而有效地优化自律规则与技术标准的实施,丰富技术风险法律治理的层次并提高其效能。尽管自律规则能够基于自律组织章程对其成员发挥约束力,但有必要通过法律制度明确其地位,使其具有社会公权力的支撑,从而对金融科技的研发、应用、运维等过程中的准入门槛、技术规范、风控体系等进行更具普遍约束力的规制。同时,也有必要推动行业协会等自律组织通过制定技术标准,对金融科技的应用提供指引,从而有助于引导金融科技应用主体规避在应用过程中的技术风险。
再次,创新金融科技技术风险的自律监管机制。除了按照传统意义上的自律监管思维,由自律组织对金融科技技术风险进行约束之外,还可以构建鼓励市场化的技术风险侦测和预警的创新机制。由于技术风险的内生性,可以借鉴证券执法中的“吹哨人”(whistleblower)制度,通过举报奖励制度和举报人保护制度,激励和引导内部人员针对技术风险隐患和金融科技应用主体隐瞒和放任技术风险进行检举或披露。同时由于技术风险的技术性,也可以从网络安全领域的“白帽黑客”中寻找启示,鼓励行业协会建立金融科技技术风险的主动侦测与预警机制,即在内部设置相应部门或者聘请外部专业机构对金融科技技术风险进行筛查和修复,从而与金融科技应用主体自身技术风险评估相配合,从自律监管的角度开展技术风险的监测预警。
(四)明确金融科技不当应用的法律责任
金融科技在应用过程中技术风险外溢产生的后果,可能造成金融消费者利益损害甚至威胁整个金融体系的安全。从法律治理框架和技术风险过程来看,法律制度在技术风险爆发之前系借助法定义务和监管规则对应用主体的行为进行约束,在技术风险爆发之后便通过追究应用主体的法律责任以使其承担相应的法律后果。法律责任具有惩罚、救济和预防的功能,金融科技不当应用的法律责任能够基于这三大功能通过使应用主体承担不利的法律后果,对违法不当应用金融科技的主体进行惩罚、为因金融科技滥用受到损害的金融消费者提供救济、对金融科技技术风险的生成扩散和爆发进行预防,从而保护利益相关者的权利并确保法律治理的效果。我国在对金融科技的技术风险进行有效的法律治理时,需要在法律责任方面明确责任豁免、归责原则和责任分配等法律制度,并在立法、执法和司法过程中精准适用。
立法需从两个层面考量金融科技创新应用的法律责任:既需要从鼓励创新的角度进行责任豁免,以消除相应主体在金融科技创新应用时的限制和障碍;又要从维护安全和保障金融消费者利益的角度明确相应的法律责任,以确保利益受损主体的权利能够得到救济并实现有效的行为约束。因此,明确法律责任豁免的条件与界限尤为必要。从各国“监管沙箱”制度设计的逻辑来看,对符合一定条件并经许可进入“沙箱”的应用主体,可以提供就其金融科技创新应用部分的特许和责任豁免,不将其纳入监管范畴因而也就无需承担监管责任,即便这些金融科技因存在技术缺陷和漏洞而导致技术风险事件,都可视为经监管部门特许的试验行为而豁免其法律责任。不论是监管部门还是应用主体都无法事先预知金融科技可能会存在哪些技术风险、这些技术风险可能造成何种后果,只要经过了监管部门的试验许可,同时应用主体不存在放任技术风险的主观故意,都应对金融科技应用主体的法律责任予以豁免。但是,如果应用主体明知存在技术风险而在未采取有效修复补救措施的情况下滥用金融科技,由此而产生的后果应视为应用主体存在主观故意的过错,则不能主张豁免其法律责任。
尽管监管部门基于“监管沙箱”对金融科技试验性应用进行了责任豁免,但金融科技应用主体仅是无需就得到许可的金融科技所产生的技术风险后果承担行政责任,而在金融科技投入应用的过程中给金融消费者造成损害的民事责任并不能因此而得以免除。原因有二:其一是金融科技的应用并非是虚拟性的试验,其技术风险事件所造成的影响并非是实验环境下的虚拟损害,而是给金融消费者造成了实际的损失,依托金融科技提供金融服务的应用主体不能仅以其不存在主观故意而主张侵权责任的免除;其二是当金融科技的技术风险造成损害,只有利益受损的金融消费者才是主张侵权损害赔偿责任的权利主体,监管部门无权以行政许可的方式排除受害者主张侵权损害赔偿的私权,金融科技应用主体也不能以该应用行为已得到监管部门责任豁免为由主张免除其侵权损害赔偿责任。尽管金融科技应用主体由于认知局限可能无法完全预判技术风险,但其应有义务确保其应用行为的安全稳定并及时修复技术缺陷和漏洞,不论应用主体已知还是应知特定技术风险的存在及其造成损害的可能性,都不应将此注意义务转嫁给并无相关专业知识且作为接受服务一方的金融消费者。申言之,金融科技的技术风险给金融消费者造成实际损害的,都应认定为应用主体故意或过失所致,应当向受损的金融消费者承担侵权损害赔偿的民事责任。
此外,金融机构和金融科技公司之间的责任分配也应当在立法、执法和司法中予以明确。立法部门有必要将金融科技的应用行为区分为技术支持和业务应用两种类型,并按照技术中立和业务实质的原则明确责任主体,即无需就技术本身承担责任,但须就技术应用于金融业务的行为承担责任。当技术支持与业务应用都由同一主体提供时,例如金融机构自行开发金融科技并投入应用的,由该主体承担相应的法律责任自不待言。但若技术支持与业务应用的主体存在分离的情况时,应当根据“应用者负责”的规则承担责任。例如金融机构委托金融科技公司提供技术外包服务,由金融机构将该金融科技投入应用的,应当明确金融科技公司仅是基于技术外包合同为金融机构提供技术支持,应用金融科技开展金融业务的直接主体系金融机构,在该应用过程中因技术风险产生的行政责任和民事责任,应当由直接主体即金融机构承担。金融机构在承担法律责任后,可以根据技术外包合同的约定,向金融科技公司主张违约责任。通过明确金融科技应用主体之间的责任分配,进而实现法律责任主体的明确和对应用主体的有效约束。
五、结语
金融科技的广泛应用将开启金融市场创新的新纪元。然而金融科技的技术属性意味着金融交易和金融服务都建立在金融科技的技术方案之上,导致金融体系的安全稳定和金融消费者保护在很大程度上受到技术方案的成熟度和稳定性的影响,这就要求我们高度重视金融科技技术风险的防范和控制。由于技术的不完备性和风险的不可知性,技术风险往往难以在事前得到直接且精准的识别和消除,只能通过在金融科技的创新应用过程中通过对应用主体进行行为约束、对技术风险进行监测和修复,从而避免技术风险的生成、传导和爆发。因此金融科技技术风险的法律治理应该遵循这一逻辑,通过应用规则和法律责任构建应用主体的行为约束规范,同时通过监管模式和监管制度的创新对技术风险进行有效监管,从而确保金融科技的创新应用符合金融安全和金融效率的基本原则和要求,推动金融市场的稳定和发展。
免责声明:
上文内容仅供天风证券股份有限公司(以下简称“本公司”)的客户使用。本公司不会因为任何机构或个人接收到上文而视其为本公司的当然客户。上文基于已公开的资料或信息撰写,但本公司不保证该等信息及资料的完整性、准确性。客户不应将上文为作出其投资决策的唯一参考因素,亦不应认为上文可以取代客户自身的投资判断与决策。客户应自主作出投资决策并自行承担投资风险。在任何情况下,上文中的信息或所表述的意见均不构成对任何人的投资建议。在任何情况下,本公司不对任何人因使用本文中的任何内容所引致的任何损失负任何责任。市场有风险,投资需谨慎。
金融科技的技术风险及其法律治理
作者简介:袁康,法学博士,武汉大学法学院副教授,武汉大学网络治理研究院副院长。
文章来源:本文发表于《法学评论》2021年第1期。感谢作者授权发表。
内容摘要:金融科技的创新应用在为金融市场带来巨大机遇的同时也存在着未知的技术风险。将技术规则法律化并完善技术风险规制,按照制度理性与技术理性相统一的逻辑对金融科技的技术风险进行法律治理,能够为金融科技的有效应用提供法律保障。在我国金融科技快速发展的背景下,需要充分把握技术风险的技术实质,按照“技术中立”和“业务实质”原则,协调创新激励和风险防控的目标,建立金融科技应用主体的安全优先、风险评估和系统弹性规则,加强对技术风险的评估评级和日常监管,发挥自律规则和技术标准的自律约束,明确应用主体的责任豁免、归责原则和责任分担,系统构建强化行为约束、明确法律责任、完善金融监管的技术风险法律治理框架。
关键词:金融科技;技术风险;技术中立;业务实质;法律治理
随着以大数据、云计算、区块链和人工智能等为底层技术的金融科技蓬勃发展,金融机构和金融科技公司的技术创新蔚为风潮。金融科技的加速应用已成为行业共识和现实趋势,金融行业的格局正在迎来深刻变革。然而,技术驱动的金融科技使得金融体系在享受技术创新所带来的效率便利的同时,也不得不面临技术本身所伴生的风险。毋庸置疑,金融科技正在爆发其强大的能量和可能性,但如影随形的技术风险正如金融科技的“阿喀琉斯之踵”,成为了横亘在金融科技面前的最大障碍。除了依赖技术自身的不断优化完善,从法律制度层面构建金融科技的技术风险防范体系,能够为金融体系更好地依托金融科技实现进化提供重要保障。
一、技术是把双刃剑:
金融科技的机遇与风险
金融科技或称FinTech(Financial Technology)是指通过科技工具的变革推动金融体系的创新,形成对金融市场和金融服务供给产生重大影响的新业务模式、新技术应用、新产品服务。金融科技强调金融和科技的结合,意在通过科技给金融服务赋能,以提升金融服务效率,规避金融风险。对金融科技的理解通常包括两个方面,其一是能够实现金融创新的特定技术,例如大数据、人工智能;其二则是基于特定技术的业务形态,例如智能投顾、网络借贷、虚拟货币。从广义上理解,金融科技大致经历了三个发展阶段。第一阶段为金融信息技术阶段,即依托信息技术的发展,以电子化、信息化的技术和手段,为金融行业提供软硬件支持、服务和解决方案。自动提款机(ATM)、销售终端机(POS)、电子化登记结算系统等,都是该阶段的产物。第二阶段为互联网金融阶段,即网络技术与金融业务深度融合,开始为资产端、交易端、支付端和资金端的对接连通提供便捷的通道,形成依托互联网和移动终端的新型金融业务的载体和业态。网络借贷、移动支付、股权众筹、互联网理财等互联网金融模式,都是通过互联网技术的应用实现信息共享和业务撮合,拓展了传统金融行业的模式与渠道。第三阶段是真正意义上的金融科技阶段,即通过大数据、云计算、人工智能、区块链、移动互联等新一代信息技术的应用,改变传统的金融信息处理流程、投资决策过程、信用中介角色,通过自动化、智能化、去中心化等方式深刻变革传统金融市场基础设施和金融交易形态,从而大幅度提升金融效率、改善金融服务。这一阶段出现的量化交易、智能投顾、大数据征信、虚拟货币等,都体现了新型信息技术应用给金融行业带来的深刻变革。
尽管现在说金融科技将颠覆传统金融体系还为时尚早,但金融科技通过技术路径给传统金融市场结构带来的变革已成事实,并且在未来还具有巨大潜力和无限可能。金融科技的本质是通过科技和金融的融合,以技术驱动金融市场活动和金融创新,金融科技的应用无疑将会给金融发展带来巨大的机遇。一方面,技术进步的直接效应便是效率的提高。不论是早期的电子化,还是现在大数据和人工智能等技术的应用,都显著降低了金融活动的交易成本,能够以更加高效便捷的手段完成金融交易和金融服务的过程。另一方面,金融科技的应用能够优化金融市场结构,通过去中心化的结构安排能够改善金融市场基础设施的可信度和稳定性,通过自动化智能化的交易流程能够尽可能降低人为干预和道德风险对金融活动的不利影响。还有就是金融科技的应用能够最大限度地实现信息的即时采集与传递,有效地减少信息不对称,提高金融产品和金融服务的可得性和易得性,提升金融包容和金融普惠的程度。从整体上看,金融科技的应用不仅能够优化金融市场结构,而且能够改善金融市场运行的模式与流程,代表着未来金融发展的趋势。
然而金融科技并非完美无瑕的万能灵药,在其应用的过程中并不能完全地解决风险问题。金融市场中固有的信用风险、市场风险、系统性风险等传统风险,并不会因为金融科技的应用而消弭,而是仅在一定程度上得到抑制或者以其他更为隐蔽的方式存在。同时,金融科技在应用过程中产生的新模式新业态以及各监管部门之间的态度和对策不同步,容易导致监管套利风险和法律风险。更为重要的是,高度依赖计算机和互联网的金融科技,将金融活动的基础设施、流程、数据等全部付诸技术手段和软硬件,使得技术成为金融科技的关键,这就导致技术风险成为金融科技风险构成中最薄弱的环节。
金融科技的技术风险主要指由于金融科技自身及其应用过程中,由于技术漏洞、系统缺陷、技术失灵等原因导致的金融科技创新应用中的不确定性以及偏离金融科技目标结果的可能性。传统意义上的金融信息系统技术风险是金融科技技术风险的起点,但由于金融科技发展阶段的更迭以及大数据、人工智能等新型技术的应用,金融科技的技术风险在风险来源和风险构成上呈现出更大的特殊性和复杂性。金融科技自身的技术属性,决定了其因技术不完备和脆弱性而难以完全消除技术风险,而金融科技在研发、应用、运行、维护的流程中又因为涉及到诸多技术能力参差不齐的主体从而难免形成技术漏洞。同时,金融科技也可能因其底层技术的负面效应或技术特征而存在脆弱性,从而产生技术风险。
一方面,作为静态技术存在的金融科技本身不可避免地存在固有缺陷,技术的失灵或者脆弱会导致金融科技偏离其预设目标从而导致风险。技术不完备是金融科技技术风险的最主要的来源。金融科技本质上是基于软硬件的一系列方案。尽管软硬件技术发展迅猛,但就像创造软硬件的人类一样都难臻完美。以区块链技术为例,尽管其所依赖并引以为可信保证的共识机制在逻辑上无懈可击,但是当其面对掌握了51%算力的主体发起算力攻击时,标榜不可篡改的区块链技术也只得接受记录被篡改的事实。而随着密码破译技术的进步和量子计算的应用,运用密码学原理加密的区块链的软件和协议也都有被破解的可能。技术不完备所导致的系统漏洞或设计缺陷往往难以预先察觉,因此而造成的技术失灵或者受到攻击干扰都将严重影响金融安全。同时,网络安全威胁加剧了金融科技的脆弱性。随着网络攻击事件频发,网络空间安全形势日益严峻,金融行业也已经成为网络攻击的重要目标。恶意攻击者会借助安全漏洞、网络攻击、垃圾邮件、僵尸网络、恶意代码或者黑名单等手段造成网络安全威胁。金融科技对网络的高度依赖,不仅容易导致金融消费者的财产和信息暴露在网络风险之中,也容易导致金融市场基础设施在网络攻击中出现不稳定的问题。例如在The DAO事件中,黑客组织利用以太坊网络漏洞盗取以太币,导致了大量以太币被盗取和以太币价格大跌。美国FSOC在2015年的年度报告中指出,网络攻击已经引发了对其具备严重干扰金融体系运行的可能性的高度关切。一旦金融科技在应用过程中受到恶意网络攻击,可能会造成数据泄露、病毒感染、数据篡改、基础设施瘫痪等重大安全事故。
另一方面,金融科技在动态的应用过程可能因技术的不当应用或技术自身的负面效果导致金融科技偏离其预设目标从而导致风险。正如硬币之两面,金融科技在为金融行业带来革命性进步的同时,也因其技术特征而造成不可避免的弊端。例如算法在实现自动化智能化的同时,也将数据处理的规则和流程封装在“黑箱”之中,这既会导致透明度的缺失从而影响市场主体的知情权,也会造成因缺少人文关怀和社会理性的干预,技术理性机械运行而出现失控。金融科技自身极强的专业性和技术性,使依托金融科技开展的金融业务风险更加隐蔽复杂。基于大数据、云计算和人工智能等基层技术,金融科技借助算法将信息以数据形式进行搜集整理后作出自动化处理,从而得出有用结论或作出相应行为。例如大数据征信中,由于数据质量的偏差或者算法自身的设计缺陷,可能生成带有歧视或者错误的信用评定结论。在量化交易中,由于算法是在纯粹技术理性的基础上设计的金融行为方案,如果算法运行中其他相关因素考虑不周全,有可能造成因错误信息、偶发事件或其他原因,导致自动触发错误的交易行为,并进一步引发市场风险。数据高速且实时处理,在极大地降低成本提高效率的同时会造成数据处理结果快速传导的连锁反应,进而形成新的实时风险。金融科技尽管显著提升了金融效率,但是也正是因为数据的极速运算和实时处理,导致了金融风险能够跨行业、跨地域的迅速传导。在金融科技的应用过程中,技术漏洞或编程错误均会对金融市场产生巨大影响,衍生新的系统性风险,而内部控制和信息系统的缺陷,也可能导致不可预期的损失。技术的升级可能带来风险的升级,数据的实时高速处理可能带来市场风险的“多米诺骨牌效应”。一旦赖以作为业务支撑的金融科技被破解或攻击,相关金融业务体系会在短时间内陷入瘫痪,技术风险在特定情况下会由量变急剧升级为质变,甚至可能引发潜在的系统性风险,影响金融稳定。
二、法律何为:
技术风险的法律因应逻辑
金融科技的技术风险,不仅给金融科技在金融市场中的广泛应用带来了诸多不确定性,也给当前金融监管和金融法制带来了诸多挑战。诚然,技术发展和方案优化能够在一定程度上抑制和防范金融科技所带来的技术风险,然而旺盛的市场需求下市场主体的自发尝试,并不会等待技术成熟后才投入应用。如果寄希望于市场自发完成技术完善的过程,而不是提前通过法律制度的完善构建技术风险防范体系,则势必会造成金融消费者利益受损和金融市场波动的代价。因此,以法律制度回应技术风险、规制技术风险、防范技术风险,是金融科技不可或缺的制度保障。
(一)技术的归技术,法律的归法律?
从技术风险生成的路径来看,金融科技的技术风险直接来源于金融科技自身,即技术风险的成因是技术的固有缺陷或技术特征。就这个层面而言,技术风险的防范需要按照技术的逻辑进行全流程的风险治理,通过技术研发、应用和运维等阶段的优化和完善,填补技术漏洞,改进技术方案,阻断风险生成,尽量避免和消除技术风险。这就容易让人产生一种误解:以技术手段回应技术风险足矣,作为调整社会关系的法律并不能解决技术问题,因此对金融科技的技术风险应当依靠技术治理而非法律治理。而事实上,金融科技的技术风险防范不单只是技术问题,而且也是法律问题。仅仅依靠技术优化来防范金融科技的技术风险,低估甚至无视法律制度在技术风险治理中的重要角色,是一种狭隘的臆想。
首先,金融科技并不单单只是一种静态的技术存在,而同时也要动态地应用于金融行业的具体场景,这就涉及到社会利益或公共利益,进而触发法律对其进行调整。理解金融科技的技术风险,不能仅仅局限于金融科技本身,而是还需要关注金融科技运行的各个环节与流程。金融科技所涉及到的新技术,除了其自身漏洞或缺陷可能导致技术风险,还有可能因技术风险的外溢而造成金融业务上的风险,从而冲击金融市场的正常秩序和法律框架,侵害金融消费者的合法权益甚至危及金融稳定。例如技术的黑箱导致透明度降低和信息不对称加剧,从而造成因技术风险而衍生的欺诈风险,再如因过载导致系统崩溃以及算法错误导致的连锁反应,可能会加剧金融市场波动甚至造成系统性风险。而在信用征信、智能投顾中大数据和人工智能的算法不完备所导致的错误评级或者不当决策,也会给法律责任的认定带来新的挑战。这就需要通过法律治理对金融科技技术风险给金融市场和公共利益的冲击予以回应。
其次,金融科技的技术风险虽直接来源于技术缺陷,但其根源是应用主体对金融科技的滥用或不当应用,需要通过法律对金融科技的创新应用行为进行规制以避免风险。技术风险产生的根源不在于技术本身,而是在于技术的滥用,造成技术滥用的深层次原因是社会制度跟不上技术发展,缺少有效的技术规则制约机制。金融科技的技术不完备是客观规律,但只要在充分论证和试验的基础上审慎地应用,技术风险便能够得到有效抑制。但是随着金融科技创新日益持续化、复杂化和多样化,对于金融科技的盲目信仰以及背后的利益驱动,可能会激励应用主体对尚不成熟的金融科技尚盲目滥用或者不当应用,从而造成风险的生成和扩散。因此,防范金融科技技术风险的生成与扩散,有赖于对金融科技创新应用的行为进行约束,其中通过法律制度明确金融科技的研发和应用中的技术规则,从而以技术伦理制度化的方式确保金融科技的负责任创新应用。
再次,金融科技的创新应用过程中技术与法律呈现出交织甚至趋同的特征,因而法律需要对技术方案进行规范和调整。金融科技在软硬件环境下运行,从指令到结果之间的运行过程都是遵循以代码、算法等为代表的技术方案。因此在金融科技的世界里技术就是法律,如何实现技术和法律的同步,使技术运行规则与现实法律制度相协调,是金融科技所需要面临的现实问题。区块链技术中的“智能合约”即是代码即法律(code is law)的典型表现,智能合约通过基于代码设置的规则自动执行程序完成交易,而该规则可能因代码的错误或者不合理而导致技术风险。因此有学者也提出,可以按照法律规则进行代码设置实现法律即代码(law is code),从而可以将技术风险防控的法律规则融入到金融科技本身,以实现对金融科技技术风险的有效防控。
同时更为重要的是,技术发展自身也需要法律进行回应和规制。当技术的快速发展超乎现有法律能够有效规制的程度时,既不能盲目过度管制,又不能视而不见。未来金融科技创新将日益持续化、复杂化和多样化,为了避免鲁莽应用所带来的技术风险,立法者和监管者需要更加及时高效地针对金融科技的应用制定更为积极、动态和负责任的规则,以充分回应金融科技技术风险带来的挑战。而与此同时,法律制度也需要为金融科技创新应用创造有利的制度空间,以适应技术发展的趋势并实现金融行业的进步。易言之,针对金融科技的技术风险,需要法律制度因时而变,构建兼顾包容审慎和有效规制的监管体系,以在提高金融效率的同时有效地保护金融消费者权益和维护金融稳定。
因此,单单依靠技术治理而忽视法律治理,在一方面忽视了金融科技技术风险的法律投射。由于金融科技技术风险与法律风险的高度关联,从技术到技术的修补式进路很难构建起技术风险的系统化防范框架,也不能有效地处理好金融科技市场应用中技术与法律的冲突调和。另一方面也高估了金融科技在市场应用中的技术理性。金融科技的开发者具有尽快投入市场应用并在应用过程中进行优化的强烈动机,由此取得的先发优势和经济利益成为了相应市场主体鲁莽地应用金融科技的激励因素。如果没有相应的法律框架对此进行规范与调整,这些自发应用行为有可能就会无意间打开技术风险的潘多拉魔盒。概言之,金融科技的应用及其技术风险防范,不仅需要技术理性,同时制度理性也须臾不可或缺,需要将技术治理与法律治理充分结合。
(二)技术中立的再审思
既然法律应该而且可以在金融科技技术风险的防范和治理中发挥重要作用,那么法律需要如何对待金融科技及其技术风险,则成为制度理性必须首先明确的基础性命题。一方面,金融科技能够为金融机构和金融消费者赋能,为其更好地参与金融市场活动提供强大的技术支持。鉴于金融科技的优势和积极作用,法律制度应当为金融科技的发展提供宽松良好的制度环境。另一方面,金融科技也只是技术层面的优化方案,并不能替代金融的基本功能,亦不能改变金融体系本身的运作规律和内在风险属性。金融科技给金融市场带来的变革,取决于金融机构在开展金融业务过程中如何应用金融科技。所以针对金融科技的法律规制与监管,更多的是主张坚持“技术中立”原则,将规制和监管的重点放在金融科技的应用过程。
技术中立原则常常被用于反对法律对技术的监管,或者为技术服务者免责。技术中立可以从功能中立、责任中立和价值中立三个方面进行理解,即技术本身在实现功能的过程中对用户保持中立、没有主观故意的技术实施者不对技术的负面效果承担责任、技术因其自身的客观性而在价值判断中保持中立。但是由于技术在投入应用过程中往往会因为技术自身局限或者使用者的策略,会偏离技术本身的功能定位。技术本身是无意识的,技术的价值取向在很大程度上会受到技术设计者和实施者的影响,因此价值中立可能只是一厢情愿的空想。而责任中立,更多的是技术的设计者和使用者据以免责的主张,但免责的前提是他们对技术后果不存在过错。易言之,责任中立有赖于技术的设计者和使用者并未对技术的运行故意施加影响。在这层意义上,技术中立本身可能正是意味着非中立。就金融科技而言,从技术的研发到应用再到运行维护的整个流程,都不可避免地受到应用主体的控制或影响,金融科技自身存在的技术风险可能会被忽视甚至刻意掩盖,也有可能因金融科技的不当应用而造成技术风险。如果技术本身是否真正中立性的前提无法确定,那么以技术中立的理由否定技术风险的法律治理也是无法逻辑自洽的。
并且,尽管金融科技本质上是信息技术在金融领域的应用,但金融科技在具备技术属性的同时还具有金融属性和社会属性。一方面,金融科技创新除了为传统金融活动的进行提供了更为高效的解决方案之外,其自身也在催生着新的金融模式。如果说大数据征信、智能投顾是金融科技在传统意义上的征信和投顾等业务上的创新,那么区块链虚拟货币、网络借贷等则是在金融科技创新的基础上形成的新的金融业务形态。金融科技的发展趋势正在从“为了金融的科技”(technology for finance)走向“作为金融的科技”(technology as finance)。同时,金融科技对于金融体系运行模式和流程的改造,导致金融中介之间、金融中介与科技公司之间的界限逐渐模糊,这必然会形成新的金融风险样态,给金融稳定造成冲击与挑战,相应地也会推动金融监管方法和范式的转变。另一方面,金融科技的应用极大地降低了进入金融市场和获取金融服务的门槛,在助力金融包容和金融普惠促进社会公平方面具有巨大潜力。然而金融科技在便利弱势群体参与金融市场活动的同时,也可能让这些金融素养不足和风险承受能力较差的主体暴露在风险之中,从而成为加剧不平等的工具。易言之,金融科技的应用既有可能发挥积极的社会效果,也可能产生消极的社会效果,这取决于金融科技能否合理地投入应用。
即便技术本身是中立的,但金融科技的技术风险传导至金融体系则有可能衍生出金融风险乃至社会风险。从社会利益和公共利益的角度出发,法律也需要积极介入具有较高传导性和覆盖面的金融科技技术风险的预防和处置。因此,正如金融活动相比于一般商事活动需要接受更为严格的监管的基本逻辑,金融科技也不能与一般意义上的技术创新同日而语,而是需要综合考虑其所带来的金融风险和社会风险,以更加系统全面的思维进行监管和规制。就金融科技的技术属性而言,法律制度不宜对技术本身有过多的价值判断,而应该以中立的态度尊重和适应技术的创新发展。但是对于金融科技应用于金融业务的过程中因技术风险外溢导致的对金融稳定和金融消费者权益的威胁,法律制度也不可能视而不见。即所谓的技术中立原则,应该是法律对技术的中立而非对技术应用的中立。因此,技术中立原则可以是解决金融科技带来的技术与法律之间冲突和问题的一种思路,然而并不能成为忽视技术风险监管和规制的借口。既然金融科技是科技与金融的深度融合,那么对于金融科技的技术风险,也不能仅仅以技术中立的思维予以回应,而是应当融入金融监管和社会治理的思维实施有效的法律治理。
三、金融科技技术风险的
法律治理框架
不同于以技术升级和方案优化对金融科技流程进行完善的技术治理路径,金融科技技术风险的法律治理,主要通过构建法律制度体系,调整和约束主体行为,完善监管框架和监管措施,从而防范和控制金融科技的技术风险。申言之,法律治理的基本机制是以各类法律规范确定金融机构、金融科技公司、金融监管部门等主体的权利、义务和责任,明确其在应用金融科技过程中的行为模式与法律后果,限制其不理性、不成熟的鲁莽行为,完善技术风险监测处理机制,尽可能避免金融科技的技术风险。金融科技技术风险的法律治理,不仅仅关注金融科技的静态技术,而且关注金融科技的动态应用;不仅是惩罚思维下通过法律责任的结果控制,而且是预防思维下通过行为约束的过程控制。针对金融科技的技术风险,需要在把握风险生成、传导和爆发的流程和规律的基础上,从强化行为约束、明确法律责任、完善金融监管这三个方面建立起系统性的技术风险法律治理框架,通过行为约束框架指引和规范金融科技的创新行为以预防风险;通过法律责任框架明确和落实金融科技的创新后果以分配风险;通过金融监管框架监测和优化金融科技的创新流程以化解风险。
(一)行为约束框架
尽管金融科技的技术风险来源于技术本身,但技术风险的生成、传导乃至爆发主要是根源于金融科技不当应用的行为。因此,法律制度应当对金融科技的研发、应用、运维等环节的相应主体的行为进行规范和约束,既确保研发主体在金融科技开发的过程的谨慎与中立,又避免应用主体在金融科技在应用过程中鲁莽的不当行为,以实现对金融科技技术风险的审慎对待和有效防范。具体而言,就是要对金融机构和金融科技公司在开发和应用金融科技的过程中课以相应的注意义务,明确和约束其行为规则,将预防技术风险贯穿在金融科技开发应用流程的始终。
从一般流程和基本目标来看,金融科技不外乎依托相应底层技术设计和研发先进的科技手段和技术方案,用于创新和改进相应的金融交易模式和金融服务提供方式。因此金融科技创新可以分为研发和应用两个环节,所涉及的主体则包括了研发者、应用者和使用者。除非研发者和应用者系同一主体,研发者和应用者之间存在着技术服务合同关系,而应用者与使用者之间存在着金融服务合同关系,那么研发者和应用者的注意义务因合同约定的给付义务和合同附随义务而产生,即其有义务保证其所研发或应用的金融科技在现有和应有技术条件和专业水平能预测和控制的范围内不存在技术风险。这里的注意义务,是金融科技创新主体为避免技术风险而在研发和应用金融科技的过程中加以合理注意并谨慎行为的法律义务,其内涵既包括了侵权法意义上对技术风险造成损害的避免,又包括了合同法意义上金融服务合同和技术服务合同的合同附随义务的履行,还包括了金融法意义上金融服务机构对金融消费者的安全保障义务。从注意义务的功能来看,对金融科技创新主体课以注意义务,并非仅为判定过错以明确责任,而且还可以通过行为约束以预防风险。当然,仅依合同或者技术规范来确定金融科技创新主体的注意义务略显模糊和间接,在规范和指引金融科技创新行为上并不容易发挥明确和直接的作用,若以制定法的方式这类注意义务予以明文规定,实现通过法律规范细化具体的技术规则,确认金融科技创新主体的行为模式和行为边界,从而能够强化和明确对金融科技创新主体的行为约束。
一方面,确立审慎的金融科技应用规则,廓清金融科技应用主体的行为边界。规范金融科技应用主体的行为,是有效避免金融科技盲目应用带来技术风险外溢的直接手段。在这个层面,各国立法和金融科技监管政策都进行了诸多尝试和探索。新加坡金融管理局(MAS)针对金融业务中人工智能和数据分析的应用发布了FEAT原则,即公平(Fairness)、道德(Ethics)、问责(Accountability)和透明(Transparency),以促进这些技术在金融机构和金融科技公司被更负责任地使用而不是被滥用。公平原则,指人工智能数据分析的变量、算法和结果对于用户是合理设计的,数据和模型是精确相关且没有歧视的。道德原则要求人工智能和数据分析的使用需要符合道德标准。问责原则即金融科技的应用主体需要对研发和应用环节负责,受影响的数据主体能够对基于人工智能和数据分析的过程和结果进行监督和审查。透明原则是指数据的使用和人工智能的算法和流程需要向数据主体进行披露和解释。欧洲MIFID II(欧洲金融工具市场指令)要求,应用基于AI和机器学习的算法模型应该有一个文件的开发过程,金融机构需要确保流程的每个阶段都将潜在的风险考虑在内,确保采取合理步骤避免不必要的操作风险。从这些经验来看,主要可以从内部约束和外部约束两个角度规范金融科技的审慎应用。就内部约束而言,以相应的技术底线原则确保金融科技的研发和应用的合理性和正当性,通过法律制度设置一系列强制性规范、激励性规范和倡导性规范,对金融科技应用主体的创新行为进行约束和指引,明确创新主体的行为模式和其应负的注意义务,以确保负责任的金融科技创新,从而对技术风险起到一定的抑制作用。就外部约束而言,可以通过技术民主原则,对金融科技的技术信息和技术方案进行合理程度的公开,使公众能够知情并参与,从而有效监督和控制潜在的技术风险。
另一方面,明确稳健的金融科技应用条件,完善技术风险防范的策略与方案。金融科技应用主体除了应当规范其应用行为,而且有义务主动建立技术风险防控机制,以在金融科技的应用过程中能够及时甄别技术风险隐患、发现技术风险漏洞并处置技术风险事件。易言之,法律制度需要对金融科技应用主体课以义务,要求其制定技术风险预防和控制的流程与方案,从而为金融科技创新应用提供良好的体系环境。通过这种方式,将防范技术风险作为金融科技应用主体的法定义务,能够将风险防范与技术创新有机统一到金融科技的应用过程之中,更好地约束和规范金融科技应用主体的行为。例如国际清算银行(BIS)提出金融机构在应用创新金融科技时,应当确保其具有技术风险的管理流程和控制环境,以有效地控制技术风险。欧洲MIFID II(欧洲金融工具市场指令)要求从事算法交易的投资公司应建立适合其经营业务的有效系统和风险控制,以确保其交易系统具有弹性并具有足够的容量,受适当的交易门槛和限制约束并阻止发送错误的订单或以可能造成或促成无序市场的方式运作的系统。爱尔兰中央银行副行长Ed Sibley也提出金融机构和金融科技公司需要将其数据和系统的安全性、弹性和使用放在首位,建立抵御技术相关风险的能力。
(二)法律责任框架
强化行为约束能够实现在金融科技技术风险生成和传导的有效治理,而明确法律责任既是实现强化行为约束的保障,也是充分回应技术风险爆发和损害的基础。如果没有相应的法律责任,法律制度只会沦为宣示性条款或倡导性条款,对金融科技应用主体的行为难以产生真正的约束力。只有明确法律责任,才能够对金融科技应用主体真正起到约束作用从而规范其行为,同时也才能够为金融科技技术风险的爆发找到责任主体,使得在金融科技应用过程中利益受损的主体获得赔偿成为可能。在金融科技技术风险的法律治理框架中,法律责任的意义在于能够与行为约束一起形成完整的制度闭环,保障法律制度有效的拘束力。
从法律责任的来源和构成来看,作为因违反法定或约定义务而产生的不利后果,金融科技技术风险的法律责任所赖以产生的行为基础,即金融科技应用主体未能尽到审慎的注意义务,其鲁莽行为造成风险的,应承担法律责任。但是具体而言:首先,法律责任主体的过错应当如何认定。所谓过错无非故意或过失,因金融科技应用主体的故意导致技术风险的,例如在应用金融科技时故意设置后门或利用其实施欺诈行为的,因其主观恶意应当承担法律责任自不待言,然而过失的认定由于技术的复杂性和技术风险的难以预测性而难度颇大。因不能预料的技术风险而承担法律责任,可能会损害市场主体的积极性进而抑制金融科技创新,因此过失的认定应当限定为应用主体在对金融科技技术风险认知范围内的疏忽大意或者放任。但是由于金融科技应用主体自身应当具备相应的专业技术能力,因此其对于技术风险的认知应当按照专家标准予以确定。其次,导致法律责任的违法行为如何认定。由于金融科技技术风险不一定直接来源于某一个特定行为,现有法律也无法在全面了解可能导致金融科技技术风险的应用行为的情况下禁止应用主体的相应行为,只能通过规定原则性的行为模式确保应用主体的审慎行为。这种审慎行为的衡量标准即是否尽到了注意义务,如果违反了注意义务即视为实施了违法行为因而承担法律责任。再次,风险与损害之间的关系如何判断。金融科技的技术风险不一定意味着损害,而是产生损害的可能性。金融科技的技术风险造成损害后的侵权法律责任只是一个方面,而违反法律和监管规则盲目甚至擅自应用金融科技导致技术风险的,尽管不一定造成实际损害,但也可能需要承担相应的行政责任。同时,风险所导致的损害也不一定是特定的,在金融科技创新应用的背景下,技术风险的法律责任并非来源于传统的因侵害行为导致损害结果者需承担法律责任的追究模式,而是因为金融科技的应用诱致风险并传到至整个金融市场,导致金融消费者利益损害者需承担法律责任的追究模式。
由于金融科技的创新链条可能涉及多个主体,包括金融机构、金融科技公司、数据服务商、场景运营商、流量平台、云平台以及其他新兴基础设施平台等,这容易导致金融科技技术风险责任主体的模糊和混乱。这就需要我们运用“业务实质”的标准对金融科技应用过程中所涉及的主体进行筛查,只有真正的金融科技应用主体,即运用金融科技开展金融业务活动的主体,才对于金融科技应用的技术风险负有法律责任,而那些仅中立地提供工具或基础设施支持的主体因未从金融业务中获益,并不宜被认定为金融科技的应用主体。因为后者仅中立地提供技术服务,而并未参与和主导依托金融科技的金融服务,由于其并无金融科技应用的主观意图,因而除了向其提供服务的对象承担合同责任之外,无需就金融科技应用的技术风险负担法律责任。概言之,只有金融科技应用主体才应该被确定为技术风险的责任主体。从当前市场实践来看,金融科技的创新应用模式有以下三种类型:一是金融机构自主研发金融科技并应用于金融业务,即有技术能力的金融机构自行组织金融科技的研发,并自主将金融科技与自身所从事的金融业务相结合。二是金融机构依托金融科技公司提供技术外包应用金融科技,即金融机构向金融科技公司或者技术服务商采购技术服务,为金融科技应用于自身金融业务提供软硬件支持、服务和解决方案。三是金融科技公司凭借技术优势直接介入金融业务,即金融科技巨头凭借自身研发优势、流量优势、数据优势,借助金融机构通道将金融科技投入应用,或者直接开展尚未纳入监管的新型金融业务。在前两种情况下,核心金融服务都是由金融机构提供,客户、数据、系统运营都在金融机构控制的范围内形成闭环,金融机构对金融科技应用的整个过程享有完整的控制权,而金融科技公司被排除在核心金融服务环节之外,即金融机构才是金融科技应用主体。无控制即无责任,对于并未主导金融科技应用的金融科技公司课以技术风险的法律责任,难免有苛责之嫌。无论是自己研发应用金融科技还是将其外包给金融科技公司,责任依旧完全在金融机构。所以金融机构应该对金融科技的技术风险作出应对,包括必须对外包给第三方的业务进行尽职调查、风险评估和持续监控。证监会《证券基金经营机构信息技术管理办法》第43条也明确规定:证券基金经营机构借助信息技术手段从事证券基金业务活动的,可以委托信息技术服务机构提供产品或服务,但证券基金经营机构依法应当承担的责任不因委托而免除或减轻。而就第三种情况而言,金融科技公司在与金融机构合作时取得了主导地位,将后者作为金融科技应用的通道,一些实力雄厚的科技公司通过获取金融牌照来推动金融科技的应用,甚至成为互联网金融控股公司。还有就是金融科技的崛起推动了去中心化、去中介化趋势,使得金融科技公司开始直接作为金融产品和服务的提供者。由此金融科技公司已经取代金融机构,获得了实质性金融业务的管理权和主导权。为了避免游离在金融监管范围之外的金融科技公司鲁莽使用金融科技造成技术风险外溢,需要按照“业务实质”标准和“同一业务,同一风险,相同规则”的一般原则,让金融科技公司接受金融监管并承担与金融机构同样的法律责任。
(三)金融监管框架
金融科技的应用在很大程度上改变了传统金融业务活动的流程和样态,同样也给金融监管带来了巨大的挑战。金融科技能够提高金融交易效率,降低金融业的信息不对称和交易成本,但是由于金融监管体制和监管部门缺乏必要的技术支撑,难以从传统的金融监管框架下对金融科技的应用主体实施有效的行为约束。一方面金融科技所造成的业务模式的创新化、交易流程的隐蔽化、法律关系的多元化和风险传导的即时化,显著地增加了金融监管的难度;另一方面金融科技的技术属性,使得技术风险在金融风险防控体系中的地位和需求进一步凸显,以市场风险、信用风险和道德风险作为主要对象的金融监管在此背景下难免捉襟见肘。为有效应对金融科技的技术风险,需要建立更为合理的监管框架,进一步完善监管体制,更新监管理念,改进监管方式,优化监管措施,确保金融监管能够适应金融科技的需求与挑战。
首先,金融监管需要兼顾技术监管和业务监管,准确把握金融科技的技术实质和业务实质,并对其实施有效监管。金融科技是技术创新与金融业务的高度融合,技术与业务之于金融科技是一体两翼的关系,在对金融科技进行监管时,技术监管和业务监管不可偏废。对于金融科技所形成的创新业务模式,监管部门需要按照“实质重于形式”的原则,把握依托金融科技实施的金融业务模式的业务实质,明确监管主体和监管对象,准确把握金融科技的监管要求和风险要点。金融科技给监管部门最大的挑战,在于金融科技的多样性、创新性和复杂性导致长于业务监管而存在技术短板的监管部门在面对金融科技创新应用时,难以充分把握金融科技的技术本质、运行机理和风险要点。对此,监管部门需要准确把握金融科技的技术实质,厘清金融科技技术风险的生成来源和传导路径,关注金融科技的成熟度、安全性与稳定性,明确金融科技的技术规范与合规要求,建立技术风险控制体系。具体而言,监管部门需要对金融科技的技术方案和风险状况进行评估和指导,例如根据欧洲MIFID II(欧洲金融工具市场指令),欧洲证券市场监管局(ESMA)需要对算法交易所依托的算法进行适当测试,以确保算法交易系统不会造成市场上的无序交易,同时ESMA需要制定监管技术标准草案并向欧洲委员会提交。同时监管部门应加强对重要技术基础设施的风险监管,对金融机构的基础性和关键性信息系统进行定级备案和等级测试,明确相应的监管要求,例如要求金融机构建立防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,完善技术风险规制制度,采取技术手段和管理制度保障信息系统安全稳健运行,并定期检查监督。建立技术监督管理机制,对金融科技的相应技术例如数据信息真实性验证、第三方签名、电子认证等进行监督管理。此外,监管部门还需要与权威技术机构、行业协会等进行合作,针对金融科技的技术规范出台统一标准与技术指引。
其次,金融监管需要兼顾审慎监管和包容监管,运用“监管沙箱”等创新监管方式预防技术风险,实现鼓励创新与防范风险的平衡。正如前文所言,金融科技具有两面性,其既反映着技术变革给金融市场带来的创新动力,又暗含着技术应用过程中伴生的技术风险。对于金融科技而言,适当合理的金融监管能够起到防范风险的作用,但过度严格的金融监管则可能矫枉过正抑制金融创新。因此金融科技监管需要在鼓励金融市场技术创新和防范金融科技技术风险之间之间寻求平衡,既要通过审慎监管正确对待并防范技术风险,又要通过包容监管扶持和促进技术创新。2015年11月,英国率先推出“监管沙箱”(Regulatory Sandbox),通过为金融科技创设一个在一定条件和范围内豁免于金融监管的“安全港”,为金融机构和金融科技公司进行金融科技创新提供良好的政策空间,同时也通过安全隔离措施将金融科技限制在安全的测试环境之中,避免因包括技术风险在内的未知风险给金融消费者合法权益和金融市场安全带来的冲击。监管沙箱为金融科技创新提供了有效的应对方案,澳大利亚、新加坡、中国香港等国家和地区的监管部门纷纷效仿,在有效防范风险保障安全的情况下,有力地推动了金融科技的创新发展。除了监管沙箱之外,监管部门还可以通过“创新指导窗口”和“创新加速器”等监管手段积极引导和介入金融科技创新与应用,从而在市场主体自发应用金融科技的同时,由监管部门通过提示和指导,更加主动地参与到金融科技的技术风险防范。例如澳大利亚证券投资监管委员会(ASIC)就设立了创新指导窗口,从监管者的角度为金融科技企业指出技术创新中涉及到的监管问题,提前地明确风险规避的要点与路径。这些创新监管方法的运用,能够加强监管部门与金融科技应用主体的互动,增强监管部门对金融科技应用过程中技术风险要点的理解,进而有效防范技术风险。
再次,金融监管需要兼顾回应型监管和主动型监管,将监管科技应用于金融科技的技术风险防范,以技术手段监管金融科技的技术风险。从整体而言,监管金融科技的技术风险可以有两条路径,其一是结合技术风险的发生机理、客观表现和风险要点进行被动的回应,通过规范金融科技应用行为和健全技术风险处置应对机制实现技术风险监管;其二则是针对技术风险的技术属性和技术表征进行主动介入,通过技术手段对技术漏洞和缺陷进行及时侦测预警和修复完善,即以技术手段控制技术风险。伴随金融科技迅速发展而兴起的“监管科技”(RegTech)可堪重任。监管科技通常被认为是用于金融机构的合规工作,即通过创新技术来高效率低成本地满足监管部门日益提高的合规要求。然而随着监管科技的不断创新和金融活动的数字化,监管部门也日益重视监管科技在日常监管中的重要性,以监管科技应对快速发展和变迁的金融市场和新型金融业务运行模式,成为了监管者提高监管效率和监管能力的可行选择。借助机器学习、人工智能、大数据等技术手段,监管部门可以通过监管科技的创新,利用通用弱点评价体系(CVSS)等方法对于金融科技的系统漏洞、安全隐患、设计缺陷、算法漏洞等进行检测扫描、风险评估和方案优化,从而以一种自动化、智能化和全天候的技术方法对于金融科技的技术风险进行主动排除。
最后,金融监管需要兼顾行政监管和自律监管,在借助监管部门的强力约束预防和处置技术风险的同时,发挥金融科技行业自律监管机制的积极作用。行政监管是金融监管部门行使法律授予的行政职权,对金融科技的技术风险进行监管。自律监管则是行业协会以及金融科技应用主体等组织根据合意或者其他激励,从金融科技的研发、应用和运营维护的整个流程对技术风险实行自我监管。行政监管以行政执法权为基础,能够通过市场准入和技术规则的公共执行,对金融科技的应用主体和应用行为施加有效控制。然而受制于监管部门的技术能力和监管资源,行政监管并不总是能全面及时地覆盖所有的金融科技应用主体以及技术风险生成、传导和爆发的整个环节。金融科技的应用主体相比于监管部门更理解金融科技中的复杂信息和技术方案,更了解和适应金融科技发展的最新趋势和成果,也更能够识别金融科技的技术风险类型和风险点,因此他们比监管部门更有能力对其他金融科技应用主体的行为进行监管。同时,金融科技市场竞争激烈,通过竞争者之间的相互监督,也能够激发自律监管的动力和效能。充分发动金融机构、金融科技公司等应用主体自我约束、相互监督并通过行业协会的形式实施自律监管,能够充分弥补监管部门技术短板和人员缺乏带来的监管能力不足,同时也能够尽可能避免行政监管对金融科技行业的过度管制。
四、金融科技技术风险防范的
制度构建路径
相比于金融创新而言法律制度总是滞后的,这种规律同样适用于技术创新领域。在金融科技创新日新月异的全球趋势下,金融科技的技术风险防范制度尚不完备,境内境外概莫能外。从金融科技发展实践来看,我国已经走在世界的前列,然而我国金融科技法律制度建设并没有与金融科技行业发展水平相适应的表现。如何建立和完善相应的法律制度以有效防范金融科技所带来的各类风险,是当前立法机关和监管部门亟需解答的时代命题。就金融科技的技术风险而言,我们应该结合技术风险法律治理的基本逻辑和制度框架,构建金融科技技术风险防范制度的中国方案。
(一)建立金融科技应用主体的技术风险防控规则
金融科技应用主体(包括金融机构和金融科技公司)是金融科技从研发到运用的最直接的当事人,也是金融科技技术风险最直接的责任主体,因此首当其冲应当成为法律制度最直接的规制对象。由于金融科技应用主体掌握并理解着难以被外部人所理解的大量技术信息,例如智能投顾比任何人都了解其算法设计,这些主体比监管者更容易识别风险,因此通过明确金融科技应用主体的行为规则来防范技术风险是最为直接的有效途径。以法律制度确定金融科技应用主体在风险防控方面的行为规则和法定义务,以风控合规的路径推动金融科技应用主体建立完善的技术风险内部控制机制,实现从源头上控制金融科技的技术风险。我国对于金融机构的信息技术安全方面比较重视,出台了不少部门规章和指引性文件,例如《证券基金经营机构信息技术管理办法》、《商业银行信息科技风险管理指引》、《银行业金融机构数据治理指引》等等,然而目前的制度规则存在两个方面的不足:一方面,以监管部门为主体制定的制度规则仅针对在其监管范围内的金融机构,仍停留于机构监管范式只调整金融机构的信息技术应用行为,缺乏对金融科技公司的有效规制;另一方面,以传统信息技术为主要调整对象的制度规则,并不能全面适用于金融科技创新的未来需求,例如对于生物识别、人工智能等新兴技术风险防范的规定尚付阙如。为更为全面有效地建立金融科技应用主体技术风险防控规则体系,我国需要就金融科技创新的主体和业态建立更具针对性和包容性的制度规则。
首先,确立金融科技的安全优先规则,即金融科技应用主体在对金融科技进行研发、应用和运维的过程中对于技术安全负有注意义务,并将坚守技术安全底线贯穿在金融科技创新应用的始终。诚然我们强调对于金融科技的监管需要平衡创新与安全,但在市场机制作用下金融科技应用主体具有足够的创新激励,相反安全激励则明显缺乏。因此对于金融科技应用主体而言,必须以法律上的注意义务对其创新行为进行约束,确保金融科技创新在安全的范围之内。申言之,金融服务需要尽可能地维护安全保护金融消费者利益,以维持金融市场的信任基础,依托金融科技开展的金融业务也不例外。确立金融科技的安全优先规则,可以明确金融科技应用主体在技术风险防范方面的合规义务,从而约束金融科技应用主体的盲目研发和应用的短期冒险(risk-taking)行为。
其次,确立金融科技的风险评估规则,即金融科技应用主体有义务在研发和应用金融科技时需要建立完备的技术风险评估体系。所谓风险评估,是指金融科技应用主体在分析金融科技应用过程和业务的技术风险点和控制方法的基础上,对于技术风险发生的可能性和风险事件的影响进行系统的评估。风险评估包括了信息搜集整理、确认技术风险点、查找技术风险原因、报告和反馈评估结果的一整套流程。从已有研究来看,通过对技术风险的自我评估并根据评估结果采取可行的风险管理措施,能够有效地降低风险发生概率以及风险造成的损失。按照风险评估规则的要求,金融科技应用主体有义务建立技术风险评估体系,能够对金融科技的技术风险问题进行自我评估并向监管部门及时报告,发挥监测预警的实际功能,有利于技术风险第一时间被发现和化解。例如2016年香港金管局(HKMA)推行的网络安全设防倡议(CFI)中要求金融机构建立的网络弹性评估框架,就是基于风险框架评估金融机构的风险状况,提高其应对网络攻击时的抵御能力。
再次,确立金融科技的系统弹性规则,即金融科技应用主体有义务为维持系统的安全性和稳定性,制定技术风险应对处理预案,确保其具备技术风险的承受能力和化解能力。由于金融科技的应用很大程度上依赖于计算机系统和互联网技术,其中各类系统故障、算法缺陷、数据泄露、网络安全等都有可能成为技术风险的诱致因素,同时由于技术风险传导的即时性和隐蔽性,可能给整个金融体系带来不可预估的冲击。因此金融科技应用主体通过预先为技术风险预留弹性空间,通过相应的容错机制、错误纠正机制、数据备份机制等方式方法提高对技术风险的适应能力,从而尽可能降低风险损害。例如可以要求在高频交易算法中设置“断路器”(circuit-breaker)以减少市场波动引起的多米诺骨牌效应导致风险的传导。如果当年光大乌龙指事件中光大证券的量化交易系统有此设置,料想也不会引发如此影响巨大的事件。
(二)完善适应金融科技技术规律的风险监管制度
金融科技的兴起给监管部门带来了巨大挑战。对于金融科技而言,不论是监管制度还是监管经验,各国监管部门均无经验可循,立法部门和监管部门都需要不断加强对金融科技的理解和对技术手段的认知,提升自身的规制能力和监管能力。从金融监管的目标来看,维护金融稳定和保护金融消费者是监管部门的核心考量,因此防范金融科技带来的风险是金融监管制度的应有之义。值得关注的是,随着金融科技的不断发展,各国也积极地出台相应的法律制度充分应对金融科技风险。正如前文所提到的,我国需要进一步完善金融监管框架,其中很重要的内容即是充分将将金融科技技术规律融入到金融监管制度创新之中,兼顾技术监管和业务监管、审慎监管和包容监管、被动监管和主动监管。囿于我国当前金融监管体制和监管模式,针对金融科技的监管仍然受限于传统的“牌照思维”,即未经监管部门许可不得擅自应用,而未持有金融牌照的科技公司又游离在监管视野之外,这就导致了讳疾忌医式的因对风险的忌惮而抑制金融科技创新应用活力,同时金融监管也未全面覆盖金融科技创新应用的整个环节。就金融科技的技术风险而言,需要立法部门和监管部门出台更加精细化的监管制度,将具有创新性和协调性的监管理念、监管方式和监管措施予以法制化,在充分把握金融科技技术规律的基础上实施更有效的金融监管。
首先,引入监管沙箱制度,事先评估金融科技的技术风险。监管沙箱制度设计的目标就是在金融科技创新与风险防范之间寻求平衡,既为金融科技创新应用提供相对开放和宽松的环境,又能够通过试验的方法将金融科技的风险控制在一定的范围之内。对于金融科技的技术风险而言,采取监管沙箱的方式为金融科技提供试验环境,能够在其正式投入应用之前充分地评估技术风险的可能性,不断完善技术的成熟度。例如新加坡金融管理局(MAS)要求进入沙箱的金融科技应用主体要向其报告测试情况,若金融科技存在产生重大风险可能的应当评估如何减轻,并且要具备发现和减轻风险的预警方案。我国当前对于金融科技的监管主要采取以金融业务为中心的理念,金融科技公司由于没有金融业务牌照,只能以技术服务商的角色为金融机构提供技术外包服务,这容易导致金融科技的创新应用难以直接进入监管视野,造成金融科技风险的隐蔽化。引入监管沙箱制度,为各类主体提供金融科技创新应用的试验环境,能够在鼓励创新的同时实现对风险的甄别和评估。监管沙箱制度在我国有着先天的制度基因,“试点”、“先行先试”等政策话语在本质上与监管沙箱的制度逻辑并无二致。对于金融科技监管而言,需要以更为标准化、规范化的制度规则代替行政政策,将监管沙箱的准入条件、监测指标、风控手段和退出机制等予以制度化,形成兼具开放性和审慎性的金融科技试验机制,在金融科技创新应用的前端事先甄别和消除技术风险。
其次,创新技术风险评级制度,筛查金融科技应用主体的风险状况并根据技术风险流程和规律确定监管重点。由于金融监管部门自身监管任务繁重且监管队伍中技术专家的短缺,导致缺乏足够的技术能力和监管队伍对于所有金融科技进行全天候和全覆盖的监管。监管部门需要改进监管方法,提高监管效能,以系统化和标准化的方法评估金融科技的技术风险分布,识别具有技术风险隐患的金融科技应用主体并有针对性地采取监管措施。金融行业对于技术风险评级的经验可资借鉴,例如美国金融机构检查委员会(FFIEC)制定了统一信息技术风险评级体系(URSIT),主要用于监管者鉴别被评估机构技术风险暴露情况,通过综合评级和单项评级,迅速识别那些存在较大技术风险需要特别关注的金融机构和技术服务提供商,并以此确定相应的监管力度。我国可以将此制度创新应用于对金融科技技术风险的监管之中,结合金融科技技术风险的一般规律和客观表现,根据技术风险形成和暴露的核心指标制定风险评级体系,筛选出具有较大技术风险程度的机构和业务,并对其重点实施有针对性的监管。
再次,完善日常持续监管制度,对金融科技在应用过程中的技术风险进行全面监测和控制。各国监管机构对常规信息科技风险积累了较多的监管经验,并且形成了包括市场准入、现场检查和非现场检查的常规监管方法,也综合使用了技术风险内部控制、风险自评估、内部审计、外部审计等监管工具。在对金融科技技术风险的监管过程中,需要进一步完善和创新常规监管方法的运用,保证对金融科技创新应用保持持续监管。例如可以要求金融科技应用主体定期向监管部门提交由第三方技术机构出具的技术风险评估报告、监管部门委托第三方技术机构进行技术风险评估、监管部门开展窗口指导、开展压力测试等。此外,还可以加强监管科技在日常监管过程中的应用,要求金融科技应用主体接入监管部门的技术系统,满足实时合规的技术要求。
(三)确认金融科技行业自律监管机制与规则
就金融监管的体系构成而言,自律监管作为行政监管的有益补充,是金融监管的重要组成部分,也是最能发挥金融科技应用主体技术优势和一线优势的监管方式。申言之,金融科技应用主体能够直接介入金融科技研发、应用和运维的一线环节,对于金融科技的技术原理和运行方式有着更直观和更深刻的理解,从而更能把握技术风险的生成、传导和爆发的整个流程。由于金融科技在应用过程中涉及到金融科技公司和金融机构的主体交叉、技术和业务的高度融合、跨业合作甚至新型金融模式创新等特征,使得我国现有自律监管难以有效因应金融科技创新应用所带来的变革与挑战。行业协会等自律监管主体缺位、技术风险自律监管机制和规则的空白,都极大地限制了以自律监管方式因应金融科技技术风险的实现。通过法律制度的完善,赋予行业自律组织相应的法律地位并确认自律规则的法律效力,创新和完善技术风险自律监管的机制,对于完善金融科技技术风险监管框架,发挥自律监管功能并有效防范技术风险具有重要意义。
首先,明确自律组织的法律地位并确认其自律监管权力。自律组织能够约束和监管金融科技应用主体的行为,确保其对金融科技的审慎应用和负责任创新,从而有效地预防技术风险。然而从自律监管的权力基础来看,监管对象是作为会员基于对行业协会章程的认可而受到约束,即自律组织只能对其会员进行监管。由于金融科技应用主体除了金融机构之外还涉及到大量的金融科技公司,并不能直接纳入已有行业协会的自律监管范围。针对这一问题有两种解决方案:一是根据金融科技的具体行业类别,将包括金融科技公司在内的应用主体吸收进入相应的行业协会,由已取得自律监管主体身份和权力的行业协会对该行业的金融科技实施自律监管。但此方案须解决要求金融科技公司加入相应行业协会的法律依据的问题,从而才能以强制性义务的方式将金融科技公司纳入已有自律监管框架;二是以金融科技的应用行为作为基础,成立专门的金融科技行业协会,凡是正在进行或准备进行金融科技创新应用的主体,不论是金融机构、金融科技公司或者其他主体,均需申请加入该协会并受到自律监管,从而建立专门因应金融科技创新的自律监管框架。杭州、深圳等地已经成立了金融科技协会,但其定位还更多地停留于行业自发组织的社会团体,且主要承担的是行业发展的职能,并未得到法律授权的自律监管者的法律地位。因此,不论是采用上述哪种方案,都必须通过法律制度明确自律组织的法律地位并授予其自律监管权力,从而将金融科技创新主体纳入自律监管框架之中,并确保自律组织能有效实施自律监管。
其次,完善自律规则和技术标准并且确认其法律效力。制定和执行行业自律规则和技术标准,是自律监管的基本实施方式。行业协会等自律组织植根于金融科技创新应用的一线,对于金融科技的技术方案和可能存在的技术风险能够有最直接的理解和把握,由此也能制定最符合技术规律的自律规则。这类自律规则与技术标准,是作为“软法”通过自律组织的社会公权力、规则的利益诱导以及行业压力等发挥软性约束力。为了有效防范金融科技的技术风险,需要在认可自律组织的法律地位的基础上,在法律上确认其制定的自律规则和技术标准的法律效力,从而有效地优化自律规则与技术标准的实施,丰富技术风险法律治理的层次并提高其效能。尽管自律规则能够基于自律组织章程对其成员发挥约束力,但有必要通过法律制度明确其地位,使其具有社会公权力的支撑,从而对金融科技的研发、应用、运维等过程中的准入门槛、技术规范、风控体系等进行更具普遍约束力的规制。同时,也有必要推动行业协会等自律组织通过制定技术标准,对金融科技的应用提供指引,从而有助于引导金融科技应用主体规避在应用过程中的技术风险。
再次,创新金融科技技术风险的自律监管机制。除了按照传统意义上的自律监管思维,由自律组织对金融科技技术风险进行约束之外,还可以构建鼓励市场化的技术风险侦测和预警的创新机制。由于技术风险的内生性,可以借鉴证券执法中的“吹哨人”(whistleblower)制度,通过举报奖励制度和举报人保护制度,激励和引导内部人员针对技术风险隐患和金融科技应用主体隐瞒和放任技术风险进行检举或披露。同时由于技术风险的技术性,也可以从网络安全领域的“白帽黑客”中寻找启示,鼓励行业协会建立金融科技技术风险的主动侦测与预警机制,即在内部设置相应部门或者聘请外部专业机构对金融科技技术风险进行筛查和修复,从而与金融科技应用主体自身技术风险评估相配合,从自律监管的角度开展技术风险的监测预警。
(四)明确金融科技不当应用的法律责任
金融科技在应用过程中技术风险外溢产生的后果,可能造成金融消费者利益损害甚至威胁整个金融体系的安全。从法律治理框架和技术风险过程来看,法律制度在技术风险爆发之前系借助法定义务和监管规则对应用主体的行为进行约束,在技术风险爆发之后便通过追究应用主体的法律责任以使其承担相应的法律后果。法律责任具有惩罚、救济和预防的功能,金融科技不当应用的法律责任能够基于这三大功能通过使应用主体承担不利的法律后果,对违法不当应用金融科技的主体进行惩罚、为因金融科技滥用受到损害的金融消费者提供救济、对金融科技技术风险的生成扩散和爆发进行预防,从而保护利益相关者的权利并确保法律治理的效果。我国在对金融科技的技术风险进行有效的法律治理时,需要在法律责任方面明确责任豁免、归责原则和责任分配等法律制度,并在立法、执法和司法过程中精准适用。
立法需从两个层面考量金融科技创新应用的法律责任:既需要从鼓励创新的角度进行责任豁免,以消除相应主体在金融科技创新应用时的限制和障碍;又要从维护安全和保障金融消费者利益的角度明确相应的法律责任,以确保利益受损主体的权利能够得到救济并实现有效的行为约束。因此,明确法律责任豁免的条件与界限尤为必要。从各国“监管沙箱”制度设计的逻辑来看,对符合一定条件并经许可进入“沙箱”的应用主体,可以提供就其金融科技创新应用部分的特许和责任豁免,不将其纳入监管范畴因而也就无需承担监管责任,即便这些金融科技因存在技术缺陷和漏洞而导致技术风险事件,都可视为经监管部门特许的试验行为而豁免其法律责任。不论是监管部门还是应用主体都无法事先预知金融科技可能会存在哪些技术风险、这些技术风险可能造成何种后果,只要经过了监管部门的试验许可,同时应用主体不存在放任技术风险的主观故意,都应对金融科技应用主体的法律责任予以豁免。但是,如果应用主体明知存在技术风险而在未采取有效修复补救措施的情况下滥用金融科技,由此而产生的后果应视为应用主体存在主观故意的过错,则不能主张豁免其法律责任。
尽管监管部门基于“监管沙箱”对金融科技试验性应用进行了责任豁免,但金融科技应用主体仅是无需就得到许可的金融科技所产生的技术风险后果承担行政责任,而在金融科技投入应用的过程中给金融消费者造成损害的民事责任并不能因此而得以免除。原因有二:其一是金融科技的应用并非是虚拟性的试验,其技术风险事件所造成的影响并非是实验环境下的虚拟损害,而是给金融消费者造成了实际的损失,依托金融科技提供金融服务的应用主体不能仅以其不存在主观故意而主张侵权责任的免除;其二是当金融科技的技术风险造成损害,只有利益受损的金融消费者才是主张侵权损害赔偿责任的权利主体,监管部门无权以行政许可的方式排除受害者主张侵权损害赔偿的私权,金融科技应用主体也不能以该应用行为已得到监管部门责任豁免为由主张免除其侵权损害赔偿责任。尽管金融科技应用主体由于认知局限可能无法完全预判技术风险,但其应有义务确保其应用行为的安全稳定并及时修复技术缺陷和漏洞,不论应用主体已知还是应知特定技术风险的存在及其造成损害的可能性,都不应将此注意义务转嫁给并无相关专业知识且作为接受服务一方的金融消费者。申言之,金融科技的技术风险给金融消费者造成实际损害的,都应认定为应用主体故意或过失所致,应当向受损的金融消费者承担侵权损害赔偿的民事责任。
此外,金融机构和金融科技公司之间的责任分配也应当在立法、执法和司法中予以明确。立法部门有必要将金融科技的应用行为区分为技术支持和业务应用两种类型,并按照技术中立和业务实质的原则明确责任主体,即无需就技术本身承担责任,但须就技术应用于金融业务的行为承担责任。当技术支持与业务应用都由同一主体提供时,例如金融机构自行开发金融科技并投入应用的,由该主体承担相应的法律责任自不待言。但若技术支持与业务应用的主体存在分离的情况时,应当根据“应用者负责”的规则承担责任。例如金融机构委托金融科技公司提供技术外包服务,由金融机构将该金融科技投入应用的,应当明确金融科技公司仅是基于技术外包合同为金融机构提供技术支持,应用金融科技开展金融业务的直接主体系金融机构,在该应用过程中因技术风险产生的行政责任和民事责任,应当由直接主体即金融机构承担。金融机构在承担法律责任后,可以根据技术外包合同的约定,向金融科技公司主张违约责任。通过明确金融科技应用主体之间的责任分配,进而实现法律责任主体的明确和对应用主体的有效约束。
五、结语
金融科技的广泛应用将开启金融市场创新的新纪元。然而金融科技的技术属性意味着金融交易和金融服务都建立在金融科技的技术方案之上,导致金融体系的安全稳定和金融消费者保护在很大程度上受到技术方案的成熟度和稳定性的影响,这就要求我们高度重视金融科技技术风险的防范和控制。由于技术的不完备性和风险的不可知性,技术风险往往难以在事前得到直接且精准的识别和消除,只能通过在金融科技的创新应用过程中通过对应用主体进行行为约束、对技术风险进行监测和修复,从而避免技术风险的生成、传导和爆发。因此金融科技技术风险的法律治理应该遵循这一逻辑,通过应用规则和法律责任构建应用主体的行为约束规范,同时通过监管模式和监管制度的创新对技术风险进行有效监管,从而确保金融科技的创新应用符合金融安全和金融效率的基本原则和要求,推动金融市场的稳定和发展。
免责声明:
上文内容仅供天风证券股份有限公司(以下简称“本公司”)的客户使用。本公司不会因为任何机构或个人接收到上文而视其为本公司的当然客户。上文基于已公开的资料或信息撰写,但本公司不保证该等信息及资料的完整性、准确性。客户不应将上文为作出其投资决策的唯一参考因素,亦不应认为上文可以取代客户自身的投资判断与决策。客户应自主作出投资决策并自行承担投资风险。在任何情况下,上文中的信息或所表述的意见均不构成对任何人的投资建议。在任何情况下,本公司不对任何人因使用本文中的任何内容所引致的任何损失负任何责任。市场有风险,投资需谨慎。