技術風險應納入宏觀審慎監管范疇！央行原副行長吳曉靈答每經問：技術風險在逐步積聚

每經記者｜張卓青    每經編輯｜易啟江    

6月10日，由人民銀行原副行長、中國財富管理50人論壇（CWM50）學術總顧問、清華大學五道口金融學院理事長吳曉靈牽頭，CWM50和清華大學五道口金融學院聯合撰寫的《平臺金融科技監管研究課題報告》（以下簡稱《報告》）正式亮相，該《報告》主要圍繞平臺金融科技公司（即新進入金融領域的平臺型科技公司）的監管問題和數據治理問題展開研究。

對于平臺金融科技公司所涉及的金融業務監管，目前業內已經形成共識，那就是“金融的歸金融，科技的歸科技”，一家公司只要從事的是金融核心業務，就應該接受金融監管。

除了對金融業務的監管以外，《報告》建議將金融科技數據管理也納入監管體系，并且盡快建立我國的金融科技監管和數據治理體系，另外，《報告》還建議將技術風險視為一種獨立的風險形式，并且要納入宏觀審慎監管范疇，那么,這樣的監管思路建議背后的邏輯是什么？

以目前監管部門的技術力量和資源是否能做到對于大型互聯網企業所使用先進信息技術或者算法的監管？監管部門在技術方面還有哪些需要改進與提高呢？對于技術風險的監管又該如何具體來量化標準？在發布會上，吳曉靈就以上問題回答了每經記者的提問。

吳曉靈在會上進行課題發布 圖片來源：主辦方供圖

技術只是一部分，有效監管實踐也需法律法規支撐

吳曉靈對《每日經濟新聞》記者表示，信息技術和數據的合法合規應用，關系到行業與市場的健康發展。監管部門在維護市場公平競爭、防范壟斷、保護公民隱私方面有必要建立一套合理、有效的監管機制，并通過監管科技的運用，有效保護合法競爭、堅決防范系統性風險，為市場各參與方保駕護航。

監管機構如何準確認知和理解信息科技的本質、技術的發展方向和技術的實際應用，解構大數據作用于整體業態的原理，是建立金融科技監管機制的必要前提。

她表示，近年來，監管部門通過學術探討、課題研究與實地考察等方式，廣泛收集并吸納各領域智慧，充分調動并匯集全行業力量，已經完成了扎實的技術與資源儲備。

通過“監管沙盒”等一系列金融科技創新監管試點工作，監管部門在持續地構建符合我國國情、與國際接軌的金融科技創新監管體系和工具，引導持牌金融機構在依法合規、保護消費者權益的前提下，運用現代信息技術賦能金融提質增效，營造守正、安全、普惠、開放的金融科技發展環境。

吳曉靈認為：“我們監管部門進行了有效、有益、大量的先行實踐與探索工作，為后續建立長效的監管機制打下了良好的基礎。”

同時，她也指出，在實踐中，監管部門一定是基于監管目標和具體問題來做出技術方案選擇。而技術只是解決方案的一部分，有效的監管實踐，需要法律、法規的支撐，需要持續完善的運行機制，也需要相關主體的配合與自律。

以算法為例，能否圍繞透明度、可解釋性、安全性和問責制建立框架，在保證相關人員履行必要的保密義務基礎上，及時有效地掌握各市場參與方對算法的開發及使用情況，做到事前、事中和事后的全流程風險監控，不單是技術選擇或評審的問題，而是一個綜合的、需要各方協同的機制建設問題。

監管部門要加強對金融業務本質特征的認知分析能力

監管部門如何適應數字化時代的金融監管要求？在吳曉靈看來，應加強三方面的能力，

一是對金融業務本質特征的認知分析能力。這樣才能在金融科技企業介入金融服務節點時準確判斷其本質，進行相應的監管。

二是提高數據分析能力和對算法、模型評判的能力，否則即使被監管企業向監管部門提供了應用程序接口（API），向監管報備了算法、模型、數據，監管部門也難以有效地進行判斷與監管。

三是要提高監管協調能力。平臺經濟是多方鏈接的生態圈，對為其服務的金融科技企業的監管也會涉及多個監管部門，比如市場監管，信息監管和不同金融業務的監管，特別是對金融科技企業的數據治理監管離不開與信息主管部門的配合。加強監管協調能力才能提高監管效率，做到既不留死角，又不把企業管死。

吳曉靈認為，監管部門提高這三方面的能力，需要增加既懂金融又懂信息技術的復合性人才，需要監管部門在組織架構上適應這種管理的要求。

對新業態可以試行“監管沙盒”機制

“以風險為本”實際上是所有金融企業都要注意的問題，目前世界銀行業適應“風險為本”原則最主要的管理工具就是《巴塞爾協議》，該協議的邏輯很簡單，首先識別風險的來源，然后形成監管的架構，最后附加資本的要求。

但在現在的《巴塞爾協議》框架里面，對技術風險僅歸為操作風險，或者運營風險，但隨著近年來金融科技的不斷發展，目前國際上大部分觀點認為，技術風險已經不能夠簡單地歸在操作風險里，而應該要單獨成為一個風險種類來應對當前全球的金融科技發展的要求。

因此，《報告》提出技術風險應被視為一種獨立的風險形式，并且要納入宏觀審慎監管范疇，監管工具不能限于資本要求，而是要根據系統重要性程度附加更高的數據治理要求和監管標準。

吳曉靈對記者表示，金融科技的發展主要是體現在科技對金融的過程再造和在這一進程中所使用的科學技術的不斷進步，在這種背景下，技術風險也在逐步積聚。

因此，課題組在《報告》中建議，技術風險首先要納入宏觀審慎監管范疇，并且根據系統重要性程度附加更高的數據治理要求和監管標準，確保監管模式和監管技術與時俱進并且始終具有針對性和有效性，對于目前還看不清的新業態可以試行“監管沙盒”機制，守住不發生系統性金融風險的底線，保證審慎監管、功能監管、行為監管、穿透監管的持續發力。

央行與金標委已發布三項重要金融科技行業標準規范

在具體的技術風險監管規范和標準方面，吳曉靈提到，在2020年11月，由人民銀行起草，會同全國金融標準化技術委員會（金標委）歸口管理，已共同發布了三項重要的金融科技行業標準規范，包括：《金融科技創新應用測試規范》《金融科技創新安全通用規范》《金融科技創新風險監控規范》。

她表示，三項標準既適用于從事金融服務創新的持牌金融機構和從事相關業務系統、算力存儲、算法模型等科技產品研發的科技公司，也適用于相關安全評估機構、風險監測機構、自律組織等。

具體三項標準規范所涵蓋的主要內容分別如下：

(一)《金融科技創新應用測試規范》：明確了從事前公示聲明、事中投訴監督、事后評價結束等全生命周期對金融科技創新監管工具的運行流程進行規范，明確聲明書格式、測試流程、風控機制、評價方式等方面要求，為金融管理部門、自律組織、持牌金融機構、科技公司等開展創新測試提供了標準和依據。

(二)《金融科技創新安全通用規范》：明確了對金融科技創新相關技術產品的基礎性、通用性要求，例如在規范里規定了金融科技創新的基本安全要求，包括交易安全、服務質量、業務連續性、算法安全、架構安全、數據安全、網絡安全、內控管理等。

在個人金融信息保護上，《規范》指出要進行全生命周期防護和安全管理。金融科技創新機構應從個人金融信息采集、傳輸、存儲、使用、刪除、銷毀等方面建立全生命周期防護措施，并應從安全策略、訪問控制、監測評估、事件處理等方面建立個人金融信息安全管理措施。

（三）《金融科技創新風險監控規范》：明確了金融科技創新技術風險的監控框架、對象、流程和機制，要求采用機構報送、接口采集、自動探測、信息共享等方式實時分析創新應用運行狀況。

在技術監控對象上，包含了業務系統、API（應用程序接口）、SDK（軟件開發工具包）、APP四類，內容主要包括個人金融信息保護、金融交易安全、業務連續性、服務質量、技術使用安全內控管理、網絡安全、意見投訴、公開輿情等。基本原則有四類：安全可控原則、開放共享原則、隱私保護原則、披露與監管原則。

規范中也包括了技術使用安全，要求對于AI人工智能、大數據、云計算、區塊鏈和物聯網等新技術進行監控，實現對潛在風險動態探測和綜合評估，確保金融科技創新應用的風險總體可控，最大程度保護消費者的合法權益。

封面圖片來源：主辦方供圖