签到
EN

专栏 | 关于金融科技安全立法的探索与研究(一)

48浏览
2022/05/31 07:22发布
2022/05/31 07:24 已编辑
未央网
未央网
金融是国家重要的核心竞争力,金融安全是国家安全的重要组成部分。

文 | 清华大学金融科技研究院金融安全研究中心

 

周道许 王兆峰 张恩权 饶倩 彭天择

 

当前金融科技迅猛发展,以人工智能、区块链、云计算、大数据为代表的前沿技术与金融活动深度交织融合,数据的生产力被迅速释放,一方面通过整合重组,形成了能够产生价值的重要资产;另一方面逐渐形成了以算法为核心的行为逻辑,进而影响信用方式的重构和企业属性的转变,而新的金融风险也随这些变化产生。

“安全是发展的前提,发展是安全的保障。”[1]对于本轮由技术驱动带来的业态变革和新型风险,防化引导的重点之一就是将快速迭代的金融科技经营主体与业务等内容纳入逐步完善的、专注于或与金融科技相关联的法律体系内,通过及时调整补充或制定金融监管和网络信息安全等领域法律法规,让金融监管工作有法可依,让金融活动有章可循,从而有效保障金融科技和平台企业的规范健康发展。

一、我国金融科技安全立法的背景与现状

1.1 我国金融科技安全立法的风险背景

“当前金融科技与金融创新快速发展,必须处理好金融发展、金融稳定和金融安全的关系。”[2]在党中央、国务院印发的《法治政府建设实施纲要(2021-2025年)》中,对数字经济、互联网金融、人工智能、大数据、云计算等相关法律制度提出了“及时跟进研究”的新要求。[3]面对金融科技带来的挑战,推进金融科技安全立法刻不容缓。

总的来说,伴随金融与技术融合的进程,网络和信息领域的风险也以“多而广、演变快”的特征迅速向金融领域扩散,对国家、社会、行业和机构造成了从宏观治理到微观守序的多维影响。

(1)机构风险:技术应用与业务经营

第一,内部管理与外部防护是机构技术应用风险的重要方面。除技术自有的缺陷与风险外,从业机构还面临着以下风险:一是外部风险——安全系统被破解和控制而泄露重要信息,二是内部风险——搭建产品或服务的底层算法因缺乏透明而形成影响准确性与安全性的不可靠黑箱,三是操作风险——产品设计缺陷或职员操作失误而招致损失。

第二,线上化、趋同化与为追求长尾用户而过度下沉是机构业务经营风险的主要来源。它包括因业务线上化和风控流程简化而产生的交易与信用风险、机构间业务模型和模式因趋同而扩大的周期与波动风险、多领域业务交叉渗透而产生的系统性危机和传染性风险,这些风险进一步凸显了金融的内在脆弱性和强外部性属性。

(2)行业风险:垄断与数据孤岛

第一,金融科技具有加速金融资源集中的能力。从行业的构成角度看,金融科技独角兽企业多具有金融业或互联网巨头背景,这些巨头企业将其资本规模、人力资源、数据资源、技术资源等多方面优势用于探索业务,不断推进混业与跨区域展业,以争夺新兴市场份额并谋求控制地位与垄断能力。在这一过程中,大型科技公司广泛与金融机构进行风控系统、智能投顾等重要商业合作或技术输出,金融与技术风险也随之传递,一旦大型科技公司本身经营状况或其技术产品出现风险,会直接殃及多领域、多地域、多行业的交易主体,在垄断基础上显现“大而不能倒”的系统性风险。

第二,与打破数据壁垒的期望相反,金融科技反而催生了行业内的“大型孤岛”。在数据作为生产要素的时代,行业巨头企业依托各自的业务平台形成了分割独立、规模庞大的“数据孤岛”,进一步垄断数据资源,市场机构与监管机构都难以利用全面、实时、准确的数据来对行业的发展情况和面临风险情况做出及时有效的评估判断,从而在风险积累的同时再度陷入“信息不对称”难题中,放大了隐蔽性风险。

(3)社会风险:稳定就业与数据安全

第一,金融科技加速转变就业供需情况。[i]以人工智能为代表的金融科技正在兴起,逐渐提高的受教育与高技术要求正在改变金融机构的业务模式和用人需求,对金融乃至各行各业的现有就业格局造成了较大冲击。

第二,用户的数据权益面对来自机构管理和黑客盗取的多方挑战。在金融科技创造多元消费场景、优化支付渠道、发展零售业务的同时,海量的客户身份、行为与交易数据被金融科技机构所获取、处理、使用。在这一过程中,围绕着数据安全,存在着基于交易强势地位而触碰隐私红线的过度采集风险、基于智能化算法将低价值信息转化为对生活特点精确画像的过度处理和算法歧视风险、基于服务提供商对客户信息保护不周或盗卖的数据泄露风险,这些风险因常涉及客户的核心信息而极易产生社会问题。

(4)跨境风险:非法服务与监管套利

在金融科技发展的背景下,诈骗、境外赌博和非法跨境交付等违法违规跨境金融业务依托线上渠道和去中心化技术,更加易于扩散风险并以套利方式逃避监管。具体来说,一类是服务接受国内已有相应的法律或监管条例,但依然以伪造牌照、隐藏渠道等形式开展,如基于区块链技术开发的虚拟货币可以绕开银行,来承担洗钱或资金流转等中介职能[ii],从而进行非法集资转移等外汇交易;另一类是服务提供国内已有专门的监管措施,而服务接受国内缺乏内容对应、惩罚力度相近的监管措施,这时便产生跨境的“监管套利”空间。非法的跨境业务不但会导致一国公民财产在“现金贷”等骗局中遭受损失,也会对当地的金融市场秩序和信用体系造成冲击与破坏。

(5)监管风险:工具更新与治理难题

第一,快速更新的业态对监管科技提出了精准识别与及时更新的更高要求。所谓“工欲善其事,必先利其器”,监管科技是现阶段监管部门监测市场的重要辅助、识别风险的基础工具、制定决策的有效支撑,但人力、资金、技术上的天然劣势和职能等多重因素决定的后发地位常使监管科技的研发与升级滞后于市场前沿,难以保障其充分实现管理目的。

第二,迅速膨胀的数据资源为监管部门带来了全面保护与统筹治理[iii]的新难题。随着个人信息、商业数据和监管数据不断纳入规范管理范围,新兴场景与业务不断生产新的数据与数据类型,市场机构和监管部门要访问、管理和保护的数据成倍增长,除去数据的私密性和公共性矛盾,仅法律规定的责任主体充分履行职责的难度就在陡然上升,持续带来企业安全防护与政府监管资源的统筹难题。

1.2 我国金融科技安全立法的现状

(1)网络与信息安全领域的立法与政策规范

伴随金融科技阶段式发展,金融科技安全的内涵也由传统意义上的技术安全、互联网时代的网络安全逐步扩展为涵盖网络与信息等方面的金融生态安全。在此背景下,要实现现阶段的金融科技安全,重点之一就在于保障作为业务支撑的网络安全和关键生产要素的数据信息安全;要合理推进金融科技安全立法进程,首先要把握当前网络与信息安全的立法情况。

近年来,党中央、国务院高度重视网络和信息安全方面的立法工作,为促进金融科技安全发展提供了有力保障。全国人大已经出台大量专门法律,与修订后的相关法律和部门制订的各类规范性文件相配合,为网络和信息安全提供了良好保障(见表1-1)。

表1-1 现阶段我国网络和信息安全立法与政策规范(部分)

Image

undefined

结合上表,从全国人大、国务院、中央部委到地方人大,来自网络与信息安全领域的多层级、多角度规制在总体上涵盖了信息数据获取、管理、处理、使用等多环节和个人信息界定、跨境数据管理等重要方面,在经营活动越来越重视数据汲取、金融创新越来越重视数据处理、业务开展越来越依赖数据管理的当下,相关立法成果由原则化向精细化、由理论化向技术化、由统一化向差异化持续转变,部分规定对参与主体从认定范围和权利义务到分级标准详细列示,纳入公安、网安、行业主管部门等多维监管主体,不但提供了金融机构“跨界开展业务就要受到相应合规监管”[v]的基础,同时也为明确法律责任认定、优化从设施保护到综合监管的现代金融网络安全保障体系、推动以数据安全等为基础的业务长远发展迈出了重要一步。

(2)金融安全领域的立法与政策规范

金融科技的本质是金融,金融科技改变了金融业务的行为逻辑和信用分布、影响了金融机构的存在属性,但没有改变金融活动的核心功能、消除金融领域的固有风险。推进金融科技安全立法,在关注技术管理的同时也应回归金融本源,把握金融的核心本质,以办法、条例等对新兴业务和行业间的灰色地带形成及时有效约束。近年来,金融监管部门出台了大量政策文件,结合已有法律,对较为热点的金融科技问题形成了必要规范(见表1-2)。

表1-2 现阶段我国金融业务监管的立法与政策规范(部分)

Image

undefined

undefined

结合上表,当前由人大、中央金融监管部委和行业自律组织构建的、涉及金融科技安全的立法规范活动主要分为两方面,即对作为技术核心的“信息保护”和对作为创新结果的“业务监管”两方面。对于前者来说,金融安全领域立法更能体现对数据保护的针对性和对有关上位法的细化。如《个人金融信息保护技术规范》中,首先将“个人金融信息”与《个人信息保护法》中的“个人信息”做出专门区分与领域限定,在引言中规定其为“个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化”[4],基于此,其适用对象和风控要求更加针对于金融业机构,从而有助于更好地保障金融消费者的合法权益并稳定金融秩序;对于后者来说,金融安全领域立法更能体现对新兴金融业态的适应性与灵活性。金融科技风险随行业“做金融”思维的转变而加速转化扩散,对其监管的立法规范也相应逐步由事后转为源头、由处置转为识别、由刚性转为柔性,大到互联网贷款、小额贷款等业务经营的

总体规定,小到银行接口、算法应用等技术环节的具体标准,这些细化到业务的具体范围、设施的具体类型、数据的具体格式的规范依时而生、适时而变,有效促进立法步伐适应创新情况,针对特定时期的特定风险具有良好的减降效果。

二、我国金融科技安全立法的主要特点与作用

2.1 形成了以全国人大立法为纲,以行业主管部门、监管部门和地方政府规范为目,有关金融科技安全的全面立法体系

第一,由全国人大及其常委会制定的法律具有更高位阶和适用权威,其中涉及金融科技安全的法律由调整金融交易和监管关系的传统金融法律和调整信息数据存取用管等关系的网络信息法律有机结合而成。对于本质依然是金融的金融科技,《中国人民银行法》、《银行业监督管理法》、《商业银行法》、《证券法》等金融法律依然是行业发展和交易规范的总括性要求,依然是行业主管部门和监管部门等立法主体订立政策文件的基本参照;同样,对于重信息要素、受科技赋能的金融科技,《网络安全法》、《数据安全法》、《个人信息保护法》等法律及时为其划定运营、监管、使用等多方主体权责,负有监管责任的部门则在此职责范围内行使指导、监督等职能。如《网络安全法》中特别强调关键信息基础设施安全,并在其第三十二条和第三十四条规定,“负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作”[5]、“关键信息基础设施的运营者还应当履行下列安全保护义务......”[6]这些规定为随后的《关键信息基础设施安全保护条例》和多部金融监管部门制定的规范中细化各方职责定位与安保内容提供了范围与依据。总体来说,这些法律体现着方向性、指导性、稳定性的顶层管理思路与取向。

第二,由国务院及其各部委、地方政府制定的各类行政法规、部门规章、地方性法规与行业自律组织出台的行业规范、公约相配合,有效形成了由规划指南到业务规范、由大类管理到专项约束、由高指导性到强执行性的中层与底层细化规范体系,充分衔接补足顶层立法设计,使全面的法律体系能够渐进落实到金融科技安全治理的方方面面。如对于个人金融信息保护问题,中国人民银行发布的《个人金融信息保护技术规范》中,依照敏感和危害程度制定的数据分级要求就体现着《网络安全法》第二十一条对数据分类保护要求的细化,而《商业银行应用程序接口安全管理规范》等更为具体的技术规范则可与《个人金融信息保护技术规范》相配合[vi],形成信息安全的逐层防护,并使监管内容更加充实明确;再如结合辖区内丰富的数据资源和较为蓬勃的金融科技创新情况,深圳市充分利用地方立法的针对性优势,将区域内的突出问题如“一揽子授权”、“大数据杀熟”、“个性化推送”等均作出专门规定,在数据市场培育等方面也有较为积极的探索,如“自然人对个人数据享有法律、行政法规及本条例规定的人格权益”[7]、“自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益”[8]等,这些规定在某种程度上可以看作是《数据安全法》中“国家保护个人、组织与数据有关的权益”[9]等内容和推动数据要素市场化的具体延伸。

2.2 反映了总体国家安全观的要义,勾勒出我国统筹发展和安全的金融科技安全立法逻辑主线

第一,坚持总体国家安全观是新时代国家安全工作的重要内容。习总书记曾对此提出“坚持统筹发展和安全,实现高质量发展和高水平安全的良性互动”[10]等要求,国务院金融委也曾指出,“当前金融科技与金融创新快速发展,必须处理好金融发展、金融稳定和金融安全的关系。”[11]统筹发展和安全,在金融科技上更多表现为平衡好业务的“创新和风险”、数据的“流通与安全”,即在鼓励发展的同时防止产生重大的金融风险和社会风险,也有力求避免“野蛮生长,大乱大治”的深层含义[12]。

第二,在有关金融科技安全的立法活动中,统筹发展与安全的思想贯穿于多部法律,并具有原则化表述,如《网络安全法》第三条规定,“国家坚持网络安全与信息化发展并重......鼓励网络技术创新和应用”[13];《数据安全法》第十三条规定,“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。”[14]在具体内容上,这些法律一方面谋求直接提高安全防护水平,即由国家主导的安全标准制定和由企、学、研参与的安全产品开发“双管齐下”,逐步建成科学合理的安全防护体系;另一方面,限制行为更集中于对企业可能触碰到的公民基本权益和重点风险领域,而非直接强硬限制业务发展,如对个人敏感信息、关键信息基础设施保护的严格规定等。同时相较于欧美的监管标准,我国的总体力度与范围更对宽松适度。

2.3 体现了“以我为主”,适合我国金融科技安全发展实际的立法精神

国外立法各有侧重,无论是起步早、规制严还是偏创新、重流转的法律内容都有只适合当地发展要求的一面。而保障金融科技安全,更需要始终坚持中国特色国家安全道路,要深度结合国内金融科技的发展目标、金融科技的业态变化、金融科技的时空差异、金融科技的监管水平,综合拟定法律规范。

我国对于金融科技安全立法国际经验的扬弃取舍之一体现在个人数据保护上。目前国外关于数据保护的代表性法律有于2018年出台的欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)和于2018年通过的美国《加利福尼亚州消费者隐私法案》(California Consumer Privacy Act,CCPA)。其中前者以广管辖范围、重信息保护和高违法处罚而著称,尤其注重数据跨境监管。我国的《个人信息保护法》中的管辖范围设定、数据主体权利、信息处理原则、数据跨境监管等内容便体现了对《民法典》、《信息安全技术个人信息安全规范》等国内既有法律法规和GDPR等国外法律的继承、取舍与借鉴。如第三条规定了“在境外处理境内自然人个人信息的活动”受该法管辖的情形,与GDPR“目标指向”标准相对应[vii],体现域外管辖的新特点;第三十八条规定了“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息”的情形,和GDPR的“国家白名单”、BCR(形成有约束力的公司规则)等极其严格的、意在防止削弱数据保护能力[viii]的明确规定相比,我国的要求更侧重于体现国家网信部门对数据跨境的控制原则,在实际执行时留有更多的政策裁量空间,更易于科学管理经济全球化的背景下的跨境电商等国际商事活动[ix],体现了“因地制宜、以我为主”的立法精神。

2.4 构建了覆盖金融科技机构、金融科技业务、金融科技运行和金融科技监管的全方位法律支撑

第一,现有立法对金融科技安全的关键概念与内容做出了必要界定,构成了相关创新和监管活动的基础性支撑。《密码法》、《电子签名法》、《数据安全法》、《个人信息保护法(草案)》等法律在整合过去网络信息领域内位阶低、碎片化、分散化的立法成果,有效确立网络和信息安全制度、与国际先进理念相接轨的同时,对密码、电子签名、数据与个人信息等金融科技所涉及的关键概念、对信息数据的处理管理使用等行为范围和基本要求等方面做出了必要界定,为规范机构活动和业务创新、监管部门出台配套实施办法等活动提供了立法基础。

第二,现有立法逐渐覆盖金融科技安全的各方主体和业务内容,构成了相关创新和监管活动的必要性支撑。各类立法文件囊括了金融科技的技术提供方、业务运营方、用户方、监管方等各类参与主体,覆盖了金融与关联行业、重要与一般机构、核心与常规业务等各类管理内容,容纳了资本、技术、数据、设施等各类运行基础,构成了保障金融科技安全的全方位法律体系。

2.5 划出了金融科技安全的界线、红线与防线,通过政策导向和重点管理内容使安全体系日臻成熟

第一,相关立法活动划出了包罗机构、业务、信息、数据、技术、用户、监管等多个维度安全的金融科技安全界线。这些要素因与现阶段金融活动深度融合而将金融安全的内涵不断向外延伸拓展,通过立法活动渗透到多个领域、多个行业当中。如提供支付服务的机构在保障其金融业务必须满足资本、杠杆等规定之余,还要满足传统金融安全界线之外的,由电信、网信等部门发布的,诸如移动端的系统等不受破解侵害,收集的数据处于“必要范围”之中等安全要求。即一切与金融科技密切关联的内容,都将受到法律规制,并处于金融科技安全的“界线”之内。

第二,相关立法活动划出了涵盖个人隐私至上和系统性风险防范等方面的金融科技安全红线。金融科技带来的风险,最终都要作用到具体的人或企业上。对用户来说,公民个人可能因接受金融服务而成为隐私数据泄露、窃取、非法买卖等行为的受害者,所享有的最基本权利直接面临不法威胁;对企业来说,机构间可能存在交易密切关联、业务复杂嵌套、算法技术近似等现象,一旦存在密切往来的庞大机构出现严重问题,就可能连带恐慌情绪猛烈冲击行业声誉,进而发生恐慌挤兑,造成企业连环倒闭等系统性破坏。基于以民为本和对系统性风险“零容忍”的一贯监管取向,当前的立法活动将大量可能触及这两方面的内容均作出了层层限制或禁止规定,划定了金融科技安全发展的“红线”。

第三,相关立法活动划出了由控制重点事项、限制业务风险、鼓励安全研发构建的的金融科技安全防线。如对于“在公共通信、能源等重要领域或行业内,及其他一旦遭到破坏、丧失功能或者数据泄露,就可能严重危害国家安全、国计民生、公共利益”[1]的关键信息基础设施,《密码法》、《网络安全法》等法律和一系列条例法规中均将对其的保护工作作为重点强调,这也正体现了当前的各领域信息保护框架下,打造从基础设施至服务平台、从运营商到用户、从信息严格管理到产业长远发展的全方位防护体系关键一环的政策取向;对于金融业务中的风险,各类立法从机构自身的资本充足率和内控管理、交易对手的安全资质、业务开展的杠杆水平与技术应用等角度入手,逐步压实风险防控责任,结合鼓励各类主体参与研发安全产品、提升安全技术水平的规定,有效筑牢了金融科技安全的“防线”。

2.6 突出了对用户隐私的保护,从多层次、多方面、多角度维护用户的合法权益

作为有效保护各类参与主体合法权益的权威途径,金融科技安全立法活动以明确金融科技安全的核心与重要事项权责为路径,来自中央和地方、法律与规章、针对采集端和服务端的要求从多层次、多方面、多角度对在接受服务时常处于劣势地位的用户群体予以突出保护。以《数据安全法》、《个人隐私保护法》等关于用户隐私保护的内容为引领,各部门和地方政府制定的综合法规、技术规范围绕有关金融科技安全的社会热点和纠纷焦点层层推进,以反垄断、反“杀熟”来消减用户群体的交易劣势,以限采集、选协议来消减用户群体的使用劣势,以限推荐、反跟踪来消减消费者的认知劣势,这些规定切实体现了以人民安全为宗旨,切实维护广大人民群众安全权益的安全管理要求。

2.7 缓解了当前金融科技安全方面的突出矛盾,并为金融科技发展充分预留创新空间

第一,除上文中提到的个人信息保护问题外,金融科技安全立法亦对“赢者通吃”与系统性风险防化等随金融科技发展产生的突出矛盾着手处理。如在金融科技加速行业规模扩张、加深机构关联和业务关联的背景下,为防化银行业的“大而不能倒”风险,央行和银保监会以《中国人民银行法》、《银行业监督管理法》、《商业银行法》等为根据制定了《系统重要性银行评估办法》,根据规模、关联度、可替代性和复杂性等指标对系统重要性银行进行评估识别,并采取信息披露等差异化监管,为提升银行业抵御风险、加强自救能力起到了积极作用。

第二,金融科技安全立法在着力缓解突出矛盾之余,也为行业企业充分预留了创新空间。如《数据安全法》中规定“开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理”[16];《金融数据安全 数据安全分级指南》中依照影响对象和影响要素等因素对各类金融数据进行了安全定级与细分。这些科学合理的技术标准与全面客观的业务约束实际上为金融科技创新发展构建了相对稳定的政策环境和渐趋公平的营商环境,统一的标准为企业间数据共享和价值挖掘提供了坚实基础。在行业企业满足了这些原则性和基本约束性要求后,便可以在方向相对明确、空间较为广阔的法律环境中长期开展“守正创新、安全可控、普惠民生、开放共赢”[17]的创新活动。

(未完待续)

未央网
未央网
文章233
·
总浏览量92036
最新文章
更多
2024全球机器学习技术大会上海站圆满闭幕,共奏AGI变革新时代
杨展
5566
浏览
第七届机械工程与应用复合材料国际会议(MEACM 2024)
李思傲
6
浏览
世界读书日专题 | 新质生产力背后的管理之道
杨展
4472
浏览
【征稿】第七届水与环境可持续发展国际会议(ICSDWE 2024)
李思傲
11
浏览
【征稿】第七届水与环境可持续发展国际会议(ICSDWE 2024)
李思傲
5
浏览
【EI检索】2024年第一届先进能源材料、能源器件与能源系统国际会议(AEMDS 2024)
杜金桐
11
浏览
热门用户
学术前沿速递
学术前沿速递
文章
300
学说观点
学说观点
文章
300
AIGC交流社区
学说官方
文章
240
未央网
未央网
文章
233
毕宣
中央财经大学
文章
185
王凯
T. Rowe Price
文章
181
热门文章
更多
经济学入门必读书籍有哪些值得推荐?
楚健
·
1131
浏览
绿色信贷能否提高商业银行的核心竞争力?基于中国的准自然实验
创新研究
·
715
浏览
如果经济学家连股都不炒,那他们都在干什么呢?
李博
·
650
浏览
“特斯拉”打败了“星巴克”
张子瑞
·
626
浏览
最新综述!AIGC到底是什么?都有哪些应用?一文尽览!
AIGC交流社区
·
598
浏览
数电票的26个问题,税局统一回复!
张俊熙
·
590
浏览
研究方法 | 文献资料分析方法大全!收藏
周舟
·
578
浏览
会议预告|清华五道口绿色金融讲座第一期,邀您探讨“碳达峰碳中和——中国发展转型的机遇和挑战”
学术会议动态
·
3309
浏览
文献资料分析方法大全,建议收藏!
楚健
·
484
浏览
研究方法:文献资料分析方法
周舟
·
471
浏览