摘 要：数字金融是新一代信息技术与金融相结合的产物，金融本质和监管理念没有发生变化。可通过金融与数据空间的映射，更多强调行为和功能监管，应对数字金融带来的行为空间转换、分工细化和网络化冲击，当然也需要为数据治理和数字经济发展留下充足的发展空间。

　　数字金融的监管应平衡技术、金融和社会伦理之间的不同诉求，平衡数字金融的系统性风险防控和数字产业的健康发展，注重监管的效率和适宜性。我国可重新界定金融机构和金融行为，推行基于风险承担节点的审慎管理和基于算法的行为监管，采用适用数字金融的监管方式和手段，以征信体系建设为抓手探索数据共享和治理。

　　关键词：数字金融 数据治理 监管

　　近期，关于数字金融公司的监管引起了社会的广泛关注。既有部分数字金融公司在细分行业的市场集中度较好，存在一些可能的垄断行为；也有科技金融特殊的参与金融方式，引发了特殊风险和对监管有效性争论；还有关于个人隐私保护、信息“茧房”和过度信贷等带有伦理学上的指责。面对即将开启的数字经济时代，数字金融将在其中发挥越来越重要的作用，有必要更准确认识数字金融的本质特征，设计监管的总体框架。

　　近些年市场中先后出现了“互联网金融”、“金融科技”和“数字金融”等概念，表达大致相同的含义，即通过新一代的信息技术，将数据、技术和金融连结起来，并形成新的金融服务、组织和模式。“互联网金融”是在“互联网+”语境下产生的概念，曾争议“互联网金融”与“金融互联网”概念，现实中主要指当时的P2P、众筹等金融形态。近期监管部门对金融机构通过互联网方式吸收存款、发放贷款等金融行为仍称为互联网金融。“金融科技”偏重于科技，强调金融领域中的科技服务。

　　考虑到金融领域的科技应用已经历了电子化、互联网化和数字化三阶段，目前正处于数字化阶段。金融与科技的结合同时保留了科技和金融属性，从社会角度仍侧重金融属性，科技仅改变金融的表现形式和组织方式，并没有改变金融的本质。因此，本文统一用“数字金融”概念表示新一代信息技术与金融的结合，侧重其中的金融属性。

　　一、数字金融公司监管的基本思路 

　　数字金融并没有改变金融本质，金融监管的基本理念和逻辑也没有变化。金融仍是人和人之间基于信任的资源跨时空配置，是人类的合作机制之一，金融监管仍需要着力于资本、行为和投资者消费者保护三个方面。

　　此外，数字金融的监管还需关注并应对以下三个方面的变化。一是金融分工细分，联系网络化。二是服务了新客户群，形成了新的业务模式和组织方式，市场力量对比发生变化。三是数据驱动，需要在金融监管之外强化数据治理的规制。

　　（一）通过金融与数据空间的映射实现数字金融监管 

　　金融将物理世界映射到金融空间，数字金融将传统的金融空间进一步映射到数字空间，金融的呈现形态和技术实现方式出现了变化。因而，需要找到数字空间的“对应物”，根据相同的监管理念和逻辑，采用科技方式监管。

　　具体而言，现实世界的自然人，法律意义上的法人转变为数据空间中的节点——“人工智能人”，行为则对应于算法，与客户、合作伙伴的触达则从物理网点转为网页、APP和API等，基础设施等转为物联网、区块链、数据治理等。监管可以在区块链上设置特殊节点，通过算法监测和管理。

　　（二）适应分工细分和网络化，从机构监管转向功能和行为监管 

　　金融分工细化和网络化后，不再是传统的以单一机构为核心、全面承担金融链条上的全部风险。金融监管既可以通过合并报表，表外回表内、“穿透”等技术，回到传统的机构为主的监管，也可以创新监管方式，深入领悟监管精神，把握监管原则，根据金融形态变化再创造监管技术。金融监管本质上就是要保证每个参与主体权责利对等，尽可能地将外部性内化。

　　或者说，就是要确保合适的人（股东、高管、营销和专业人员）和机构（资本金、专业和诚信、机构整体的资质、牌照管理）针对合适的客户（合格投资者：专业知识、风险承受能力和民事能力）以合适的形式（行为监管：关联交易、垄断行为、信息披露）提供合适的产品和服务（在合适的人群之间，在信息必要披露和市场力量相对均衡的环境下，公开公平公正开展合法活动，即保证参与方有足够的信息知情、专业能力和风险承担，相信市场能形成有效率的交易和价格）。

　　可将这种监管精神分解到每个环节，保证在每个节点和行为——都遵循这些监管理念。节点（机构）的边界，是除政府和法律调整的责任外，为且只为自己的行为承担全部后果的行为主体集合。

　　（三）基于数字时代的金融管理 

　　不论是基于映射的金融监管，还是基于网络化分工细化的金融监管，都是在原有金融范式下的金融监管。金融的数字化，不仅是传统金融关系和业务的数字化，还是金融范式的转变。因此，需要将数字金融监管纳入数字时代的数据治理范畴，推动基于数字时代的金融管理。

　　这既包括数据治理的一般性要求，也包括货币、金融在数字空间的独有形态和组织方式。货币（信任）和金融越来越“内生”，内嵌于生产生活中，“日用而不知”处于“隐”的状态，数字货币和数字资产具有自我演化特性，通过迭代自我成长。

　　在自组织的数字金融生态中，货币调控和金融监管的必要性将逐步降低。金融管理与引导数字经济发展相融合，需为多样化的数字经济主体、模式留下足够的发展空间，更需践行监管沙盒所隐含的现实实验和开放成长理念。

　　二、数字金融监管的基本原则思考 

　　数字金融的监管应平衡技术、金融和社会伦理之间的不同诉求，平衡数字金融的系统性风险防控和数字产业的健康发展，注重监管的效率和适宜性。具体而言，数字金融监管宜遵循以下原则。

　　（一）无监管套利均衡（监管中性或功能监管） 

　　争取实现金融业务监管按整体和按环节分解无差异，由金融系统和非金融系统开展的监管无差异。即仅仅通过环节的细分、不同类型机构的合作不会带来监管红利，监管也不会阻碍分工细化和机构间合作。这并不要求一步到位。实际上只要市场存在套利机制即可，即监管保留足够谦卑，认识到市场结果不合意既可能是市场主体的违法违规所致，也可能是监管政策不合理所致。如果是后者，应存在机制及时调整监管政策。此外，监管对技术保持中性，对不同技术路径不宜有价值判断，保持开放态度，重点放在技术使用上。

　　（二）鼓励创新、转型风险可控和金融安全相统一 

　　数字金融只是对金融形式的改造，而不涉及范式变革。为此，金融监管要顺应数字化转型大趋势，承认行业的深层次重构带来的中心和主体变迁，不拘泥于监管形式和现有做法，把握金融监管的精神实质，在技术和组织、流程重构后新空间中再创造性运用。当然，需要平衡“破”和“立”的度和速度，控制转型风险，达到鼓励创新、控制风险、维护安全。

　　（三）最小干预和市场扭曲，注重监管效率 

　　金融监管是应对市场失灵，要重视监管效率，平衡好监管的收益与成本，不宜过度介入金融市场和机构的日常运营，不宜给市场带来过大成本。数字金融的监管依旧要秉持最小干预原则，避免对市场的过度扭曲。以损失效率、付出极高成本来维护金融稳定既不利于金融发展，也不利于金融体系的竞争力。监管的组织，包括人员编制和科技手段应用，宜与数字金融特点相适应，保证可行且有效。

　　（四）普惠、效率和社会伦理的平衡 

　　技术是中性的，能提升效率，但技术的使用应该向善，社会形成共识的伦理道德观需要通过一定方式嵌入数字金融的业务、程序和监管之中。应防范数字金融公司借着“普惠金融”旗号，过度触及没有风险评判能力、不能承担风险的服务群体，演变为诱导消费、过度信贷。需强化数字金融公司的反竞争策略、歧视性定价等反垄断审查，加大算法透明度要求，防止算法歧视，保护个人隐私。

　　（五）宜区分金融风险、经营风险和技术风险，分类监管 

　　科技金融公司介入金融领域后，金融链条上不同环节承担的风险性质不同。有些是部分出资，承担金融风险；有些只是管理和操作成本，承担经营风险；有些负责技术系统的开发和运营，承担技术风险。

　　金融中的尾部风险损失需要通过适度资本金吸收，但技术风险（信息技术和模型风险）、市场的商业风险（表现为经营或交易失败）应有另外不同的管理机制。技术风险中的模型风险也要进一步区分：

　　一是技术设计不当等设计开发的纯技术风险。

　　二是使用者决策采纳并使用该模型所需要承担因模型不当引发的风险。

　　前者为技术风险，应由技术提供方负责并承担，后者宜由决策者负责并承担，金融领域转变为金融风险。

　　三、金融监管的重点及建议 

　　（一）明确数字金融含义，界定金融机构和金融行为 

　　数字金融是通过新一代的信息技术，将数据、技术和金融连结起来，并形成新的金融服务、组织和模式。科技公司和金融机构的监管文化和逻辑存在根本性差异，前者强调“法无禁止即可为”，后者需要“持牌经营”，“法有规定才可为”。因此，对数字金融公司性质的界定就显得尤为重要。

　　需要严格界定数字金融公司的“金融”属性，从监管的角度，是因为金融行为（属性）可能存在外部性和系统性风险，可能破坏市场力量均衡、损害消费者或投资者的利益。数字金融公司从事活动的风险种类较为复杂，涉及金融风险、技术风险和商业风险。

　　数字金融公司介入的金融领域，往往只是某项金融业务多个环节中的一个或多个。金融业务边界不断模煳、缺乏所谓的“本源”业务，已使得传统从本源业务认定“金融”属性的方法不再适用，需回到相对稳定的金融功能，重新梳理金融的本质特征，根据新业务、新模式、新流程再认定。

　　首先，机构是风险发生和承担的“节点”。因而可从金融风险发生和承担主体上认定金融机构，要求“节点”有吸收损失的充足的资本金，以及风险识别、定价和处置的专业能力（人才、组织和机制）。

　　金融是处理人与人之间关于现金流权利义务关系的，可根据是否实现了资产或对象的现金流特征转换，如期限、分布和风险承担原则等判定是否发生金融风险的改变和承担。其次以金融产品／服务为标准认定金融行为。需要强化对客户触达节点的行为管理（销售和服务）、与合作伙伴交易中的合理性管理。

　　（二）基于风险承担的节点（机构）的审慎管理 

　　系统通过节点分散并承担最终风险。为了保证系统的稳健，需要保证每个节点微观和宏观审慎。这需要对承担风险的节点的资本金、内部机制以及专业能力提出必要的要求。

　　数字金融公司参与金融业务细分环节的某些环节，仅需对承担最终风险的环节施加与其实际风险承担相一致的资本等审慎管理要求。具体包括，需具备足够的专业能力、设计并运行良好的机制以及充足的资本金，并通过牌照或资质等方式加以确认。

　　考虑到当前科技金融公司承担风险的特殊性，对其资本金要求可不同于一般金融机构。

　　1.按实际风险承担要求资本充足率。数字金融公司利用数字金融技术，累积用户数据，不断迭代风险控制模型，提高了风险识别和控制能力。实际上，数字金融公司的消费性贷款和面向小微企业的流动性贷款的不良率，都低于银行业同类业务的平均水平。因此，在正常经济环境下，数字金融公司的资本充足率要求也可适当低于传统银行业，可适当降低资本充足率要求或降低风险资产系数。

　　数字金融公司往往通过联合贷款或助贷方式介入信贷领域，需具体判断风险的最终承担情况。如果能够做到事实与法律意义上的独立决策、独立风控并独立承担责任，那么联合贷款和助贷的金融风险，可根据双方的出资额分别计算和承担。

　　如果无法证明或者事实上无法做到严格独立，那么需要将双方的业务合并，计算整体的资本充足率，加重双方的资本要求。数字金融公司通过信贷资产买卖或资产证券化，将信贷资产移出表外，也需要根据其真实出表程度（即所谓的“表外回表”），计算数字金融公司为承担这部分资产风险所需承担的资本。

　　2.增加逆周期风险缓冲资本要求。考虑到肥尾和风险非线性特征，需对数字金融企业提出额外的逆周期风险缓冲资本要求。具体而言，数字金融公司在规模扩张时，需要额外储备一笔逆周期风险缓冲资本直至达到总资产的一定比例，用于应对可能非线性增大的系统性金融风险。逆周期风险缓冲资本可考虑由独立第三方受托管理。

　　（三）强化基于算法的行为监管 

　　科技金融公司的行为绝大部分是通过算法实现的。为此，除利用传统的会计、审计、律师等中介组织外，还需要以算法为基础强化行为监管。行为监管可主要在三个环节开展：客户触达和服务、与合作伙伴的交易、产品和服务的设计和提供。可将金融监管要求、社会伦理和反垄断审查等都嵌入到行为监控中。

　　一是将算法监管纳入平台监管中，在算法模型中构建监管要求、道德伦理和反垄断等方面的检测机制。

　　二是构建算法审计。在算法开发阶段“融入”可审计性。

　　三是提高算法透明度，要求企业数据决策系统可追溯与可复盘，建立分级的监管体系。

　　对于适合公开的，要求其公开源代码或核心算法；对于涉及商业机密等因素不适合公开的，可规定其委托第三方专业机构出具审查报告或提供自我审查报告。

　　（四）采取适合数字金融的监管方式和手段 

　　1.分类多级牌照和资质管理。金融是具有强烈外部性和高度专业化的行业，仍需坚持“持牌经营”和资质管理。但数字金融的发展已将原有业务环节细化、分工社会化，单一综合牌照容易束缚分工合作的自然演化，为了给数字金融保留足够的空间和灵活性，可采取分类多级牌照和资质管理方式，按科技金融公司实际展业类型颁发相应的业务准入牌照，涉及专业职能和面对公众的岗位时，需严格资质管理。

　　2.大力发展监管科技，建设全国层面的“监管大数据平台”。金融的数字化，也需要监管数字化，包括监管大数据的建设、监管规则的数字化和标准化，监管手段的数字化和智能化。为此，监管部门可与网络安全部门（如国家互联网应急中心）合作，联合建设大数据监管平台，利用科技手段推动监管工作信息化、智能化。

　　一是被监管部门的基础数据库和业务操作系统需预留监管接口。即监管部门与被监管对象均基于相同的基础数据库和日常操作系统。可考虑通过应用程序接口（API）等方式，直联科技金融公司的数据库，随时提取所需数据，提高监管的及时性和有效性。

　　二是推动监管规则和监管行为的智能化转型。可考虑在当前区块链网络中设置监督、审批等特殊节点，通过设计监管算法等方式，将监管规则和监管行为智能化地纳入到节点（机构）和行为（算法）的设计、运营中。

　　三是运用AI技术前瞻性地研判风险情景，实时监督各类违法违规行为。利用网络分析、机器学习等技术，智能识别海量数字金融交易，及时管控各类违法违规行为。

　　3.调整监管组织和人员设置，进一步完善“监管沙箱”机制，解决监管滞后性。为了与金融机构数字化转型，特别是科技金融公司的发展相适应，可考虑在监管机构内部设立高级别的首席科技官或者首席数据官及配套支持部门。为提高监管的前瞻性、有效性，我国还可考虑尽快建立区域性创新中心，加大“监管沙盒”试点推广力度，提高试点的效率和适应性，更好监测参与试点数字金融产品的风险规模及可行性。

　　（五）以征信体系建设为抓手探索数据共享和治理 

　　数据在使用中实现价值，金融是数据价值变现的最重要领域之一。其中征信又是辅助金融活动的重要基础设施。因而通过在大数据背景下探索征信体系的建设，将为我国数据共享和治理提供宝贵的经验。

　　1.合理平衡数据隐私保护和数据价值挖掘。数字经济时代下，合理保护用户隐私，发展数据产业链，充分挖掘数据价值，是国家的核心竞争力。隐私保护的法律设计是影响数字经济发展的关键。

　　美国是数字经济的领先者，这与美国不论是现有的隐私法案CCPA，还是计划实行的CPRA，隐私保护标准相对宽松，给数字技术留下发展空间有相当关系。欧洲没有真正意义上的互联网大数据公司，与欧洲较严格的隐私保护有关。欧洲通用数据保护法规（GDPR）对于欧盟用户严格的数据权益保护，一定程度上是限制中国和美国等互联网创新公司。

　　数字经济时代国家层面的竞争，就是建立一套更合理有效的激励约束机制和基础设施，实现数据收集、加工处理、共享使用的数据产业链的社会化分工合作。

　　个人隐私保护可从以下三个方面的组合实现。 

　　一是法律保障。通过界定个人信息主体的权属和相关人员的行为空间来保护个人隐私。

　　二是技术实现。通过数据处理、计算方法和管理技术等确保个人隐私。

　　三是利益平衡。通过市场交易，承担一定的隐私泄漏风险获得更好的服务或收益。

　　隐私计算是隐私保护下数据共享的技术实现路径。为了解决互不信任的多个机构间数据共享和数据价值挖掘，国际上开发出了在不共享原始数据情况下实现数据价值挖掘和流转，即隐私计算。

　　隐私计算一般通过三个环节保证数据和模型隐私，实现数据“可用不可见”、“可算不可识”和“可用不可拥”。 

　　一是原始数据的“去标识化”。确保合作第三方不能通过数据反向逆推出数据主体，即不能识别出消费者的“自然人”身份，但又尽可能保留数据中的“信息”价值，做到共享信息的“可算不可识”。

　　二是可信的执行环境。通过硬件化、安全沙箱或通过访问控制、数据脱敏、流转管控、实时风控和行为审计等管理实现，提升数据和模型计算环境的安全性，确保全程安全可控。

　　三是能够保护数据和模型隐私的智能计算技术，如多方安全计算、差分隐私、联邦学习等。用户的原始数据可以在不出域、不泄漏的前提下共享并提取数据价值，实现信息的“可用不可见”。

　　国内外已有大量实践利用了隐私计算平衡隐私保护和数据价值流转，取得了积极的成效。在个人隐私计算技术下，“去标识化”后的数据可以实现绝大部分个人隐私保护要求。隐私计算过程中，在经过去标识化和多方安全计算分片处理后，第三方已经无法通过这些共享数据来反向逆推出数据主体的个人身份，不会出现个人隐私泄露情况。因而，并不需要在“去标识化”数据加工处理过程中再获得信息主体的确认“授权”。

　　同时，还需要尽可能减少必须使用“匿名化”数据的场景。“去标识化”数据在数据加工处理过程中，数据“可算不可识”，但保留了数据间除个人信息以外的关联关系，可挖掘的信息价值较大，且仅在用户“授权”的情况下可重新识别使用。

　　匿名化处理后的数据，无法将同一个人在不同时间、不同空间产生的数据关联起来，数据之间关联性已被不可逆地破坏，从而无法有效进行数据融合和数据价值提取，散乱为数据碎片，将丧失绝大部分信息价值。“匿名化”后的信息已不属于个人信息范围，在数据共享给第三方时虽无需再取得个人的单独同意，但已没有多大的使用价值。

　　2.分级分类牌照，推动市场分层竞争。从个人信用数据收集、信用信息的挖掘，再到提供信用产品和服务，是一个产业链。随着社会分工的发展，链条中的环节将不断细化，并由不同机构专业化实现。征信业务和征信机构是有明确定义的个人信用信息收集、处理和使用，绝大部分国家都对其施加较为严格的规定。为了保护消费者权益，需要实施必要的牌照管理。

　　但为了给市场分工留下空间，促进数据产业的健康发展，有必要根据使用信用数据与最终金融决策的相关性不同，根据参与产业链分工的职能不同，实施分级分类牌照管理。最终形成中国人民银行征信中心为国家个人征信工作的基础设施，几家有限竞争的全牌照征信机构，数量较多的市场化的替代数据征信机构，其他与全牌照征信机构合作的信息处理机构的多层次竞争的市场格局。

　　3.重点管理数据收集、发布和使用环节。个人信用数据的管理，应主要基于消费者权益保护和推动市场健康发展。从数据是现实世界映射的角度，关键是管理好数据与现实世界的连接渠道，包括收集（数据形成时的连接）和应用场景（数据最终使用时的连接）两个维度。

　　个人信用数据在金融决策，如信贷、保险等，以及部分重大经济事项，如招聘等，对个人的生活具有重大影响。这部分决策所依据的个人信用数据应具有高度相关性和准确性，需严格限定其依据的信用数据来源。

　　个人信用数据的发布也会对个人生活带来影响，需要有资质的专业人士确保报告的准确和可信。因此，从数据治理的角度，征信行业宜从数据的收集、使用（变现）和发布三个环节重点管理，为中间的数据加工、共享环节，为不会对个人生活产生重大影响的其他使用场景，在保证数据安全和隐私保护基础下的市场化运作留出足够空间。（注：本文转自《北方金融》2021年第6期；作者：陈道富。）