返回上一页

金融数字化科技创新、风控、监管与法律保障之边界探讨

杨帆中国企业管理研究会副理事长

我之所以选择“数字技术如何突破内控、突破监管、突破法律的边界？”、“内控、监管和法律对技术突破这个边界如何把握？”这个内容来探讨，是因为大家可能对这类问题比较模糊。所以，我来谈一谈自己的看法。

一、数字技术创新的边界

（一）技术的边界

金融数字技术创新，永远是没有边界的边界世界，也就是说技术创新是没有完结的。因为不管是风控、监管还是法律创新，相对于技术创新都是滞后的。金融技术创新中，最前沿的就是金融数字或是数字金融。对金融数字技术创新而言，最重要的是要把握数据赋能的真正含义。而数据赋能必须是金融数字化科技创新的标准，其核心又是从IT（Information Technology，信息技术）转化为DT（Data Technology，数据技术）。因此，如果没有实现IT到DT的转化，就意味着数据并没有真正实现赋能，也就意味着金融数字化创新依然停留在原来的IT时代。由此金融数字化有两个层次：一是IT层次的数字化；二是DT层次的数字化。前者仅停留在数字化而无法实现数智化；后者已经在数字化基础上可以实现数智化。因此后者才能够称之为真正的数据赋能。所以，任何一家金融机构，无论是银行、证券公司或保险公司，金融数字技术创新的核心必须让数字技术进入DT时代，只有在DT时代才能实现数字化的转型。

DT时代的标准，包括了数据中台、自动演化、动态拟合和进化辐射。数据中台意味着金融机构要能够把大量的数据归集起来，通过整合、清洗、演化、拟合、进化而变成有效的数据。只有进入了这四种状态，现有大量的无效数据才能变成有效数据，才能说进入了DT时代。在这四个过程中总可自由地创新自己的空间，并且总是通过新的边界，蚕食、吞噬旧的边界，再造新的空间与人产生新的关联与边界。这使得风控、监管和法律上的边界也被不断突破，不断形成新的边界和规则。中国的数字技术在这个方面的应用可以说是独步天下，比美国高不止一个数量级。所有金融机构，包括企业，政府，应该引起高度重视。这是中国超越美国，以至傲视全球的珠穆朗玛峰。

数字技术的边界到底是在模糊，还是正在融合业务的边界呢？我以图1为例（该图为“国云数据”-原阿里巴巴一个做中台数据的创始团队做业务拓展的视图），从中可以去观察分析数字技术是如何侵蚀、融合、重组与划分人与人、物与物、人与物的边界的，最终如何再通过数据实现智能互联的。比如第一个层面，通过低成本快速构建智能应用，实现了流量优化引擎、智能CRM、智能补货、智能排产、智能定价和智能推荐。这个智能应用中心不仅突破了旧的层面，同时在新的边界上实现了共同地融合。只有这样才能实现DT的转型，才能实现智能互联，才能够实现“数智化”。

图1 国云数据智能应用中心业务拓展视图

不断突破技术边界，是技术创新的根本要求。由此带来的技术边界不断逾越，也是造成所有边界模糊的根源。比如深度伪造是技术创新还是业务创新，其风险保障、监管保障和法律保障的边界如何确立，就是一个非常复杂、容易模糊的问题。技术创新需要不断突破边界，但只有人们正确地使用它们的时候，才能给社会带来好处。比如收集人脸等生物识别信息，是否得到了客户明确的同意，个人信息处理规则是否清晰，是否过度索取肖像权，是否存在著作权侵权、数据泄露或滥用风险等，需要在技术开发伊始，便充分考虑到这些问题。但实际上，绝大多数的技术创新并没有考虑这一点，或者说考虑得很不充分。正因为如此，技术创新往往存在正反两个方面边界的突破，一个是正面的，一个是负面的。在美国、欧洲、日本等其他国家和地区则对此高度重视，相关的监管政策与法律正在陆续出台，这些国家监管和法律紧跟技术的创新，值得肯定。尽管监管体制与判例法等法律体系相关；但问题是在这方面目前在国内监管与法律界并没有引起足够的重视。未来不排除有更大的风险将冲击业界后，才会引起监管与法律的调整。这也是中国国情所致。

（二）监管的边界

对于监管的边界而言，应该针对数字技术的发展，实施分类分场景监管、多层次逐步监管、行业自律、技术对抗协调等监管并举，以避免阻碍新技术、新应用的创新发展。更重要的是，监管的边界往往在处理旧的矛盾和新的矛盾的边界方面含糊不清。旧的矛盾是，监管是否允许市场在合法合规的边界内自由创新；新的矛盾是，新的“规矩”和边界如何与新的技术相融合。这些都是非常大的难题。矛盾的结果就使得技术创新总是突破旧边界，而技术本身又总是在描写新的边界，而且这种变化是日新月异的，使得监管与法律的跟踪显得疲乏无力。在这种情况下，仅仅依靠公司的内部风控，就跟随市场的需求，能够跟上技术的创新。由此可以解决监管、法律不能够及时改变的现状，解决“急迫性创新风险”监管难题。但这时又出现公司的内控、监管和法律这三个边界之间如何划分责权利，如何拉开了层次、差距与实效风控的问题。此时，最重要的还是得从技术层面入手，去实现监管的创新。因为技术创新总是突破旧边界，而技术本身又总是在描写新的边界，所以技术在突破旧的边界时，就需要懂风控、懂监管和懂法律的人员去了解技术、学习技术、把握技术。这并不意味着这些人员要成为一名技术专家，但只有理解技术，才能使风控、监管和法律跟技术创新融合在一起，才能确定好这些边界。内控人员需要在理解了技术的规则之后，将其转化为风险内控的规则，堵住内部的风险；监管人员需要在理解了技术和内控规则的基础上，确定监管的规则；法律人员只有在理解了前面三种规则的基础上，才能确定法律的规则。只有将这三个方面的边界、规则理清楚之后，才有可能真正控制或者解决技术创新的风险。

有幸的是，我是国家最早从事金融监管的从业者，历经国家三次大的金融监管整顿。最早实施行为监管的时候，技术创新没有现在这么迅速，也没有这么大的作用。内控、监管和法律都可以放到在事后慢慢完善；但现在的技术创新，速度之快，影响程度之大，不仅让监管、法律部门无所适从，而且让金融机构自身也瞠目结舌。典型的例子就是前几年证券市场的风险。有人说是外资之罪过，有人说内鬼之罪过，就是没有人寻找技术原因。过去炒股票，只要看到证券公司人头攒动，就知道股市一定是牛市；但现在证券公司大堂里面已经没有人了，甚至很多证券公司已经取消了大堂，大部分的交易都发生在手机上。现在市场景气指数只体现在开户数的增加，人们看不到，摸不着。做市及做市商本就是一个证券市场应该具有的健康因子，但问题是现在做市，只需要在手机里发个微信，一传十，十传百，一个亿的资金就可以很轻易地撬起百亿甚至上千亿的杠杆。这既是一种技术创新，也是技术风险的一个源头，需要从内控、监管与法律上去界定其边界。因此，现在的技术创新会给市场带来更大的挑战，更需要思考如何从内控、监管上来把握和控制技术创新所带来的全新影响。在这些方面，可能我国所遇到的问题是发达国家也没有经历过的问题。因为在先进技术应用创新方面，我们走在全球前列，那么内控、监管与法律创新方面，实践已经在推动我们也必须走在全球前列。

问题是，发展与监管的边界和技术的边界到底应该如何把握？新技术的应用和社会全面打通后，旧技术及其边界势必然出现调整。试图将新技术及其边界纳入旧的法律及其监管框架中的努力，如仍然用简单行政手段，甚至刑事手段，轻则会事倍功半，重则会毁掉数字技术的创新与数字经济的发展。以这次互联网金融整顿为例。所有的互联网金融公司几乎都没有严格设置内部风险管理机制，或者说其几乎没有发挥应有的作用。在监管上，过去的“一行三会”不愿意管，将其全部交给地方金融办，但地方金融办没有能力、没有监管业务手段，结果一出现问题，反而被看作是地方金融资源集聚的机遇而放任甚至鼓励野蛮生长，结果出现普遍性的“高风险、大问题”是必然的。问题发生后，国家又让公安牵头，通过刑事手段进行金融风险处置。问题是公安并不熟悉金融业务，更谈不上对互联网金融，以及技术创新的理解；使得互联网金融从原来鼓励“双创”，到现在的一刀切，导致现在很多金融机构谈互联网金融“色变”。严重打击了技术创新与金融创新，包括“双创”。面对新技术时，大家更应该去思考：新技术的应用和社会全面打通后，旧技术及其边界应该如何调整？包括新技术手段如何为政府监管和法治提供了新边界的控制能力；以及技术平台自主控制边界的重要性等等。

二、数字经济创新的边界

数字技术的快速发展，将推动经济数字化全面变革。以数字化为标志的数字经济，已经成为国家经济发展的重要组成部分，将成为新基建的核心。

首先，数字经济和实体经济之间的边界终将消失。这两者之间不是完全对立的，而是对立的统一。既不能用实体经济来否认数字经济，也不能用数字经济来否认实体经济。它是一个问题的两个方面——数字经济是实体经济发展的高级阶段，实体经济是数字经济的基础阶段。但是对于企业而言，必须认识到数字化已经成为切入传统行业边界的“搅局者”“颠覆者”；对于产业而言，数字化已经成为未来发展的“引导者”与“领导者”。对于全球而言，数字经济已经成为中美两个大国之间博弈的高地。中美两国是在互联网头部企业方面，在数字经济的高速公路上，互相竞赛的两匹宝马。二者谁先谁后，现在还难分难解。

其次，中美在数字经济创新争先的核心，在于数字经济发展过程中建设什么样的道路和使用什么样的模式问题。在传统金融上，日本和德国是综合型经营模式，中国是专业经营、间接金融模式；美国是直接金融模式。这两条道路、三种模式，形成了中国产融结合的数字经济发展模式。这个区别无论是从事金融创新研究的，科技金融创新研究，还是从事风险、监管和法律创新研究，值得人们了解和理解，因为这是确定“大风险”的核心。在这个过程中特别要明确哪些创新是“假创新、伪创新、口号式创新、敷衍塞责式创新”。因为只有数字技术才能突破行业边界，才能进行真正的业务创新。在中国，较多的民营企业，特别是东部地区的企业，是真心实意地在数字经济上进行创新。他们想方设法寻找新的技术去突破旧的边界，去提高生产效率，去重视经营风险。而与之相反，国有企业、大型企业更多是响应号召、喊口号，而真正要他们落到实处却又不作为、难作为，甚至阻碍作为。只有看到民营企业发展起来了，这些企业才开始跟随行动。这种行为虽然规避了创新风险，但给国有企业、大型企业经营带来市场经济经营最大的竞争性风险。

另一个较大的风险问题是公共服务数据边界的变化所产生与积累的风险。一方面，随着国家数字经济的发展，民营企业、先进企业等迫切地希望突破公共服务数据的边界，而且突破的边界是几乎难以想象的。众多企业携垄断性数字化平台从不同领域踏入公共服务领域。使公共服务数据转为更加强化垄断的商业化运作的数据。比如BAT，或平安等一些企业，在承担基本服务的同时，不仅为了直接获利，而且还从中得到许多公共数据资源，形成了企业数据市场资源的垄断。这使得政府对公共服务数据的垄断，转化为了企业对公共服务数据的垄断，导致其边界无限地扩张。另一方面，这些企业由此积累了把握大量国家数字经济的风险，阻碍了国家数字经济结构性健康发展。这种风险，无论是从企业风控还是监管、法律层面都应该引起高度重视。商业大平台获得全国各省市巨量数据资源，必须划分与治理互联网平台这类数据的边界。一方面互联网数字化平台号称需要更为自由的空间及边界；另一方面互联网平台对公共数据越来越走向垄断，由此就越需要加强政府对市场垄断的干预，没有任何企业可以例外。

三、数字金融创新的边界

数字金融是必然的发展方向，但其技术边界和业务边界的划分更重要。数字金融的边界是什么？对经营机构而言，对监管机构而言，对法律机构而言，这个边界不完全相同。对金融机构而言，数字金融管理有三条边界线不能越过。第一个是刑法层面红色边界线。这条“生死线”一旦触碰，就触犯刑法；第二个是行政法层面黄色边界线，触碰这条“监管线”即违反监管规范，会受到监管处罚；第三个是民商法层面白色边界线，在该层面上法无禁止皆可为。因此金融机构的经营者应该脚站在行为的白线外，眼盯行政法、金融监管层面的黄线，在大脑中要根深蒂固时刻想着绝不去逾越刑法的红线。监管机构层面同时要注意：不能随意把白线画成黄线，更不能随意把黄线画成红线。否则将成为阻碍数字技术、数字经济与数字金融创新的桎梏。

对于数字金融的边界，只讲被监管者而不讲监管者是不全面的。对监管机构而言，数字金融的监管应遵守以下原则边界。第一，政策目标的稳定监管与监管环境的波动的匹配。数字金融市场参与者最迫切的需求是，国家要形成一套相对稳定的监管政策目标来避免监管环境、框架的波动。第二，政府规制和自我规制合作式监管。第三，实施功能性监管。如果不能够了解这三个方面的差别，不深入了解技术创新的边界，监管就无法达到有效监管的目的，要么成为数字金融创新的桎梏，要么就陷入无法控制风险的窘境。

四、数字保险创新的边界

数字保险将彻底改变保险行业，其中包括保险人与被保险人，保险标的，以及大数法则，由此技术边界和业务边界的划分更为重要。

第一，数字化承保、保险标的边界将由此发生巨变。比如作为财产险第一大业务的车险的边界，将随着技术创新发生颠覆性改变。车险的标的在过去毫无疑问是汽车，然而无人驾驶、智能驾驶等先进技术，很可能近十年内就走进市场，人们也可能不会再购买自己的汽车。那么在这种情况下，汽车的所有人就会变成租赁公司、汽车厂商或是金融机构，也就是说，未来购买保险的被保险人和保险标的同现在相比会发生巨大的变化。由此人们更多购买的是人身意外险、服务险，使财产险 “寿险化”。同样作为寿险，现在智能机器人越来越多地取代了人的工作，那么寿险就可能发生颠覆性改变，甚至向财险方向发展。因此数字化承保将会让保险标的以及保险本身也突破边界而发生巨大的变化。美国大都会保险全球运营部主管兼执行副总裁Chris Smith也曾说过：“新的保险产品一旦拥有实时的数据驱动型解决方案，将对保险公司的总收入、利润、市场份额和风险管理产生深远的影响。”

第二，数据和数据分析的边界也在被突破。比如推出车险的保险公司，可以从信用卡、社交媒体、物联网等平台，获得人们开车的速度、制动的力度，甚至在社交媒体上获得实时新数据，可以比从传统渠道获得的数据，分析出更有价值的结果，更有利于评估风险。

第三，数字化保险精算法则的边界将发生巨变。过去是在对旧的保险要素大数分布的基础上，利用习惯性概率算法进行精算；如今可能突破旧的大数边界，而在完全不同的数据（如行为数据、图形数据和轨迹数据，未来甚至是思维预测数据）的边界上，用新的计算架构，与新的算法，完全不等同于原有的精算方法来控制风险。

第四，在经营方面，数字化也将使其发生剧变。比如在图1中，客户已经完全产生了新的交互模式。在这种新的数据平台下，原来的业务流程被打破，形成了全新的操作规则，最终形成风险边界的扩展和可保边界的突破，让数字化保险带来边际利润的提高。

最终由此带来的是数字化风险管理的智能化，将由原来的人力监管转化为智能化监管和风控。这种智能化的风控可以做到从汽车的传感器，到中央处理器，再到数据平台和保险公司，只使用一个数据、一个算法、一个模型、一个架构，实现智能化监控更新。在这种情况下，将从根本上改变保险风险管理、监管和法律的理念、规则和边界。

未来，数字化保险带来的最大的变化，是数字化保险将“突破行业边界”，最典型的例子是现在各家保险公司都在踊跃成立金融服务公司，让保险公司走向了综合化、集团化经营的道路。在这一过程中，要注意主业和副业之间的关系。很多保险公司的领导认为，既然80%的保险业务的利润是由20%的营销员获得的，那就不用雇佣这剩余80%的营销员了。但实际上，没有这80%的营销员，也没有这20%的利润。主业和副业间关键的问题是随着数字化和科技的发展，在未来的5-10年，到底什么是主业、什么是副业？保险公司成立金融服务公司、科技公司、银行理财公司就一定是副业吗？如果保险公司现在不进入副业的边际，那么没有数据将没有一切，最后可能将导致主业也走向消亡。何况未来恰恰是这些副业会成为真正的主业。因此，保险公司更加注重与相关企业、科技公司的合作，特别是注重与保险业务相关行业的科技初创企业的合作，一定是未来保险公司新的增长机会与空间；而与成熟大型企业（比如BAT）的合作，只会把自己的数据交给别人，而不要指望别人能够给自己带来更多机会。

五、数字法律规范创新保障的边界

（一）个人信息保护的边界

当前数字法律规范保障突出矛盾的焦点，是个人信息保护边界的认定。个人信息保护在我国原有若干立法中均有定义，其核心是界定个人信息公开和个人信息保护之间的关系，明确展示与保护之间的平衡点和边界。并且《个人信息保护法》也很快就会通过。当前社会普遍存在过度收集用户信息与滥用个人信用信息行为，而App也普遍存在涉嫌过度收集或使用个人信息的情况。这种越权行为看似是一件小事，其实是一件大事。个人信息的收集要在合法性边界、正当性边界和必要性边界之内。风险管理部、法律部的高层必须理解、把握这三个边界，以文字形式向公司管理层阐述清楚。最重要的是，金融机构的管理层要对个人信息保护加以高度的重视，避免因为泄露个人信息而触犯民法、刑法。

那么什么机构可以依法检查个人通信信息或电子数据及其边界？其必须同时具备以下两个法定条件，网络运营者才能依法予以支持和协助。第一，法定主体，只有公安机关、国家安全机关、人民检察院有权检查用户的通信信息或个人电子数据；第二，法定条件，即使是上述机关也必须是因维护国家安全或者追查刑事犯罪的需要，才可以检查。人民法院调查个人电子数据的法律边界，应该在遵守我国宪法的基本原则和全国人大的《决定》的前提下，在确保公民隐私权不受非法侵害的基础上，依法调取个人的电子数据（证据）。这些要求是相关从事人员必须理清楚的边界。

商业机构也应当把握好对个人信息查询、保管，以及查询机关查询后的法律责任边界。相关商业机构要对如何建立征信机构及相关人员信用档案和违规经营的“黑名单”，如何向数字化信用服务提供数据有充分的认识。但需要强调的一点是，数字技术的价值并不中立，使用数字技术的行为也不中立。数字技术“中立帮助行为”是一个多余的法的概念，因为对于法律来说，有意义的只有正价值或者负价值，没有中立的价值。在数字时代，数字平台服务提供者要根据不同的数字技术来确定风控、监管和法律的边界，承担相对广泛的安全保障义务。

（二）数据爬虫技术应用的法律边界

数据爬虫合规边界包括数据融合、数据的流转、数据的共享、数据的二次开发以及用户推送等诸多法律问题。可以说，爬虫技术是所有的商业企业技术创新中广泛使用，也是最有效的一种创新技术；但在未来个人信息保护中也是最容易突破风控、监管和法律边界的一种技术。对于爬虫能爬取什么，何渊总结为“三全一稳定，两秘密一隐私”边界（“三全”是指国家安全、公共安全、经济安全，“一稳定”指社会稳定，“两秘密一隐私”是指国家秘密、商业秘密和个人隐私）。在爬取数据时，其核心是如何在技术上对一级数据、二级数据和三级数据进行把握，如何得到客户的认可，如何在监管检查中做到“不可逆”，如何做到获取的信息不转让给别人。数据爬取后的使用，要明确“三授权”边界。这都是需要风控、监管和法律三方面所注重的问题。

（三）人脸识别技术应用的法律边界

在国外，针对人脸识别技术的深度伪造，制定了相关法案，回答了“你是什么人，什么角色，有什么权利，进入什么地方，用什么手段提取数字信息”的问题。法案中强调了以下三点：第一，要求划定红线，禁止某些目的的深度伪造；第二，设置披露义务，要求制作者以适当方式披露、标记合成内容；第三，加强技术攻防，呼吁开发检测识别技术。通过建立方案，设立了个人信息数据获取的访问控制边界，规范其地位、权利和业务范围。在中国，关于人脸识别滥用暴露风险的法律相对滞后，但也不会拖得太长，因此企业需要对此高度重视。