技法相融：應用監管科技防控金融風險的法治進路

摘要：站在兩個“一百年”的歷史交匯期，守住不發生系統性金融風險，維護金融安全和穩定既是我國金融業永恒的主題，也是我國金融監管的重要使命。當前，以移動互聯網、大數據、云計算、區塊鏈和人工智能等為底層技術的金融科技正以前所未有的跨界化、去中心化和智能化形式重塑著金融業，使得傳統金融風險在與技術風險交織疊加中發生了變異，不僅較以往更具隱蔽性、頻發性和破壞性，而且在表征上還形成一種隨時會泛化外溢的社會特性，更具涉眾性，極大地增加了系統性金融風險的隱患。金融科技帶來的這種復合性金融風險還對當下的金融監管方式提出了挑戰，對其防控亟需引入監管科技。我國應努力推動監管科技與法律規范的有機融合，將其賴以運作的數據和算法這兩種底層核心技術元素納入法律調整范疇，并補強相應的主體責任承擔機制，以形成完整的制度閉環，確保監管科技在運作中的安全向善。

關鍵詞：金融科技；復合性金融風險；監管科技；法律化

作者簡介：陳斌彬，華僑大學法學院教授，法學博士，主要研究方向：國際經濟法與金融法? （E-mail：xmucbb@sina.com；福建 泉州 362021）。

基金項目：國家社會科學基金項目“數字中國建設背景下我國因應金融科技的監管法制創新研究”（20BFX152）

中圖分類號：D912.28文獻標識碼：A文章編號：1006-1398（2023）04-0111-13

一問題的提出

金融發展史不僅是一部金融創新史，更是一部科技的迭代升級史。金融業的每一次創新發展都離不開科技的支持與推動。特別地，在新一輪科技革命和產業變革的背景下，伴隨著移動互聯網、大數據、云計算、區塊鏈和人工智能等新興信息技術在金融領域的廣泛應用，科技更以前所未有的跨界化、去中心化和智能化形式重塑著金融業的演繹邏輯。放眼全球，擁抱和發展金融科技乃大勢所趨，其不僅是今天各國謀求競爭新優勢的戰略方向，更是推動本國數字化轉型、做大做強數字經濟的重要引擎。2021年3月，我國公布的《國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》也明確提出要穩妥發展金融科技，加快金融機構數字化轉型和打造數字經濟新優勢。然而，穩妥發展金融科技首先就應關注和防范其所引發的新型金融風險。因此，在傳統監管手段越來越無法勝任金融科技新風險監管之需的情境下，如何與時俱進地應用監管科技武裝自我，提高風險的防控能力則成為擺在各監管機構面前亟待解決的時代課題。? ? 有鑒于此，本文試圖回歸到科技治理的工具主義立場，主張在規制金融科技復合性風險上，監管科技的引入

才是第一位的。法律應保持必要的謙抑，不宜“越俎代庖”，但其可通過規范監管科技的運作和防止監管科技失靈來間接發揮自身規制作用。是故，與現有的很多正面探討法律應如何創新以更好規制金融科技風險的文獻不同，本文將遵循“金融科技的風險及挑戰——監管科技之因應——監管科技與法律規范相融——金融科技風險的良善治理”這一邏輯主線展開，把法治化的對象置于監管科技而非以往的金融科技之上，希冀通過構建監管科技的良法之治來間接實現對金融科技風險的良善防控。

二金融科技時代下的金融風險及對金融監管的挑戰

（一）金融科技與金融風險的新變化

金融科技是英文合成詞“FinTech”的中譯詞，為金融（finance）與科技（technology）之融合，意指“技術驅動下的金融創新，它能創造新的產品、流程、應用和業務模式，從而對金融市場、金融機構或金融服務的提供方式產生重大影響”。作為一種具有突破性的金融創新，金融科技雖能極大地提升金融服務效率和拓展金融服務的邊界，但并沒有從根本上改變金融跨期交易和信用交換所內生的風險屬性。進言之，金融科技的本質是金融，其作用是最大限度發揮金融功能。因此，一方面，傳統的金融業風險，如信用風險、市場風險、流動性風險、操作風險和系統性風險等依然存在；另一方面，金融科技自身的技術特性如底層新興的信息技術和互聯網等非金融因素的介入使其在上述傳統的金融風險上烙上了諸如數據竊取、隱私侵犯、黑客攻擊和大數據殺熟、算法歧視等技術風險的印記，從而出現兩種風險的交織、疊加與變異，并在整體上呈現出以下的新變化和新特征：

1.風險更具隱蔽性。金融科技的發展促使金融業的經營出現了跨界化。這種跨界化不僅體現在金融系統內銀行、證券、保險等子部門層面的跨界，還表現在金融系統與非金融系統如技術領域的跨界。正是在這種跨界化經營的背景下，一些金融科技產品或服務通過了復雜結構安排和程序編碼，出現了業務上的交叉融合與層層嵌套。比如一些互聯網平臺整合其“場景+數據+支付”資源優勢和銀行信貸資金支持，形成了“支付+小額貸款+銀行+資產證券化”業務模式。單獨拆開這種模式，每項構成業務均為持牌經營，風險源一清二楚，但業務嵌套后邊界變得模糊，各服務主體的責任“混為一體”，由此交織而成的風險難以被發現、確認和評估。并且，互聯網的虛擬性及交易所需的技術支持都使得交易鏈被無形拉長，風險敞口早已不再限于金融服務機構、中介機構與金融消費者三方，而是延伸到背后研發和提供技術服務的科技公司和互聯網運營商。相應地，金融科技的風險演化也從單純的金融類風險擴充到涵蓋非金融的技術風險在內，存在著明顯的非線性特征，益加復雜和隱蔽。

2.風險更具頻發性。技術驅動是金融科技發展的核心，而技術本身的特性及局限性使得各類金融科技產品所依賴的算法和數據來源高度集中，市場主體的交易決策出現趨同。在此情境下，相同的金融風險在相似技術的多重加持和放大下變得更加頻發。比如隨著人工智能在金融行業的深入應用，金融科技的算法越來越趨于同質化和集中性。一旦出現模型缺陷，程序錯誤，系統異常均可能造成“算法共振”，導致價格瞬時暴漲暴跌，使得周期變得更短、更劇烈，波動性加大，從而影響金融穩定與安全。以智能投顧為例，其在市場平穩運行之時，底層的算法設計就會通過高頻數據捕捉價格波動，積極撮合交易。反之，在市場流動性緊張時期，其就會以更快的速度退出市場。這種交易上的快進快出勢必加劇流動性風險的頻發。同時，金融科技慣用的數字化交易手段（如移動支付、網上銀行、 P2P、在線保險、眾籌等）使金融科技業務逐步向縣域、鄉鎮、農村與社區等基層場景下沉，吸納了大量的諸如老人、年輕人、農民、中小企業和其他被傳統金融排斥的長尾客戶。這些客戶不僅收入有限，還款能力低下，而且普遍缺乏專業知識，無力獲取信息資源，在網絡效應和羊群效應的雙重驅動下，容易跟風交易形成過度借貸和違約，由此引發的信用風險無疑要比傳統的金融市場更為頻繁。

3.風險更具破壞性。如所周知，金融科技市場是由金融機構、金融科技公司、金融消費者等共同構成的多節點網絡，具有數據高度集聚化特點，任何局部出現的交易風險會即刻隨著數據快速集聚流動和網絡物理節點的雙向反饋而放大，并迅速傳遞到各參與節點，引發操作上的羊群效應，從而潛在地“升級”了交易風險的危害性和破壞力。即一旦出現交易失誤，風險的量級相較于傳統交易模式將呈幾何級數增長。以高頻交易為例，其報單速度快至以微秒（百萬分之一秒）計，持倉時間短至以秒計。這就意味著一旦主體判斷或操作失誤而下達指令，則程序化形成的巨量訂單就無法撤回，只能沿著算法預先設計的跟隨策略方向進行交易，從而在瞬間導致價格和交易量過度反應，給市場帶來極大的沖擊，甚至引發市場“閃崩”。2010年5月6日美國道瓊斯指數在半小時內暴跌700點，之后又戲劇性地反彈600點，讓美國股市蒸發了1萬億美元就是典型明證。此外，金融科技系統是基于計算機軟硬件的一系列方案?；ヂ摼W的開放性、源代碼的公開性（如公有區塊鏈）和程序的不完備性使得具體金融科技場景在研發和應用中不可避免會遭遇如黑客攻擊、數據竊取、計算機病毒侵襲和算法濫用等非金融因素引發的技術安全風險。無疑，這些技術安全風險也會從誘因和形成機制兩個層面強化傳統金融風險的輻射面，從而增強風險的危害性和破壞性。

4.風險更具涉眾性。相比于傳統的單一金融市場，金融科技的多維、跨界經營決定了其風險承擔主體的種類和數量更多，風險天生更具泛化外溢的沖動。首先，金融科技端賴的（移動）互聯網技術使之能快速地串聯起全社會不同領域和時空的金融機構和金融消費者廣泛參與儲蓄、籌資、支付風險管理和風險處置等金融服務全環節，加之其面向的多為長尾客戶，帶有明顯的公眾性。是故，金融科技風險不僅能跨越地理、時空限制，在不同金融領域，不同金融服務環節快速傳播，而且很容易通過終端客戶外溢到金融系統之外。其次，金融科技的去中心化交易模式（如區塊鏈金融）正在不斷地消解銀行等傳統金融機構在交易上所扮演的防火墻和安全門角色的中心地位，使得相同的金融風險不僅在交易主體間的傳導路徑變短，速度變快，而且這種傳導又是分布式進行的，近乎于“暢通無阻”和“四通八達”，故而與傳統的中心化交易模式下的金融風險相比，無疑更具泛化和外溢的社會特性。最后，金融科技對技術的依賴決定了金融機構與金融科技公司、互聯網運營商等機構有著密不可分的技術供應鏈關系。這種供應鏈關系使得金融機構與科技公司乃至IT基礎設施運營商等主體之間構成了一種多節點、高密度的社會網絡。其中任何一個節點違約或算法代碼編制的錯誤風險都極易通過技術和網絡快速傳導到其他平臺，從而引發太快而不能倒和太多鏈接而不能倒的系統性風險。故而，金融科技應用范圍越廣，風險的交叉性與傳染性就越突出，所具有的涉眾性就越明顯，自然就越容易形成更大范圍的系統性風險隱患。

（二）金融科技復合性風險對現有金融監管的挑戰

由上可見，與金融科技作為金融與科技之融合相匹配，金融科技的風險本質上是傳統金融風險與現代技術風險之融合，具有復合性。并且，這種復合性風險因技術的運用而較傳統金融風險發生了量變乃至質變。其傳導不僅早已突破時空限制，而且還因為第三方新興金融科技公司的介入而波及到非金融領域，從而對我國現行的金融監管提出了一系列質與密度的挑戰：

1.對監管模式的挑戰。隨著金融科技應用場景的不斷鋪開，我國金融產品趨同化、服務滲透化現象日益明顯。金融機構間的物理界限早被打破，金融市場混業經營早已司空見慣。以支付寶為例，其本身既提供支付和存貸服務（如余額寶、花唄、借唄等），也和第三方合作開展嵌套保險及基金、證券投資等服務，已然形成一條涵蓋銀行、證券和保險等在內綜合性的金融服務產業鏈。然在金融監管上，不管是機構改革之前還是改革之后，我國在中央層面施行的仍是三大機構并立的分業監管模式。 這種“誰家小孩，誰抱走”的監管模式存在著相互溝通不足的軟肋，容易產生監管空白或監管重疊，還是無法因應金融科技跨市場、跨區域、跨行業以及分散化經營的運作生態。同時，這種模式下不可避免不同監管機構制定的監管標準不一。這就誘發一些金融科技公司可能會從中尋求監管套利，從而加劇金融風險的發酵與演化。

2.對監管方式的挑戰。第一，金融科技模糊了金融與科技的邊界，使得金融業的牌照與非牌照業務界限不再清晰。實踐中，很多頭部金融科技公司憑借其數據、流量和技術優勢，強勢介入或染指金融機構的產品設計、服務管理，客戶推廣，甚至暗渡陳倉，直接擠占金融機構固有的業務奶酪，極大地削弱了金融特許制的準入監管功效。第二，金融科技雖有客觀的機理與構造，但本身并非必然是中立的。其在研發、應用乃至維護環節極易受到主體的鉗制和影響，一旦不受約束就可能會為虎作倀，演化成技術風險。因此，一個完整的金融科技監管不僅要關注實體化的金融機構，還要將虛擬化的非實體技術納入其中。在此，傳統的以實體金融機構為抓手的金融審慎監管和行為監管鞭長莫及。第三，金融科技作為數據驅動型的新金融產業，金融活動的實時性和分散性較為明顯。監管機構依靠現場檢查或基于金融機構的報表稽核等人工方式獲取數據具有滯后性，顯然不足以對金融科技業務當下的風險狀態作出客觀的評估和應對。

3.對監管能力的挑戰。金融科技的復合性風險勢必對監管機構的監管能力提出更高的挑戰。第一，金融科技帶來了海量的金融數據，且這些數據權屬生成過程復雜多變。如何全面地捕獲和觸達這些數據，并在第一時間加以精準篩選為監管所用，這對那些沒有技術工具輔助的監管機構而言并不容易；第二，金融科技的風險是動態多變的。監管機構欲對其有效防控，就須“以動制動”，將之納入監管“雷達”實時探測范圍，持續同步跟蹤，并隨時根據風險預警或在必要時提前采取風險緩釋措施。然而，我國目前的中央和地方的金融監管機構在這方面的能力建設上乏善可陳；第三，監管報告是監管機構發現和評價金融風險是否存在的最終依據。以往監管報告主要依賴人工制作，存在成本高、編制時間長和數據碎片化等缺陷。這對日新月異的金融科技而言早已是明日黃花。因此，如何建立貫穿各個階段的動態監管系統以對金融科技施以統一的監管，實時出具監管報告對監管機構也是個極大挑戰。

三監管科技：金融科技時代監管機構防控金融風險的必備利器

顧名思義，監管科技系科技與監管之融合。此概念最早由英國金融行為監管局（Financial Conduct Authority，FCA）于2015年11月正式提出，指“通過大數據、合規報告生成等新型科技以提高監管規則所實施的效率和結果”。隨后，國際金融協會（Institution of International Finance， IIF）將其定義為“能夠高效地解決監管和合規性要求的新技術之總和”。作為科技與金融監管深度融合產生的新事物，監管科技的提法近年來同金融科技一樣風靡全球，引發了學界和業界廣泛關注與討論。如全球金融穩定理事會（Finacial Stability Board，FSB）按照應用主體不同，將監管科技分為適用于合規端的監管科技（RegTech）與應用于監管端的監管科技（SupTech）兩大類。前者又稱“科技應對監管”，主體為金融機構，而后者稱“科技執行監管”，主體為監管機構。鑒于我國 “監管”一詞通常蘊含著主體為肩負某種公共管理職責的國家機構，屬于公法主體，行使國家公權力，行為指向的被監管對象一般為私法主體。故若沒有特別說明，本文所言“監管科技”是指面向金融監管端的監管科技，即特指金融監管機構將大數據、云計算、區塊鏈、人工智能等新興信息技術應用于某一具體場景以提升其監管（執法）效率和金融風險防控能力的一系列技術工具與解決方案的統稱。概言之，監管科技賦能監管機構的功效主要體現如下：

（一）監管科技可有效彌補監管機構數據收集滯后的短板

我國監管機構對于金融科技風險的研判，目前主要依靠的是金融機構定期向其上報的各類財務統計報表。實踐中，這些報表報送的數據經常一定程度上存在重復零散、粒度不夠與成本高昂等問題。無疑，以這種被動方式收集的監管數據不僅范圍有限，而且還存在滯后性，反映的并不是金融機構當下而是過去的運行狀況。有了監管科技的助力，監管機構便能有效地克服這種數據收集的短板。比如，通過應用程序接口（API）技術，監管機構可將監管科技系統與金融機構的合規評價系統形成對接聯通，實現全天候獲取監管所需的風險數據。又如，區塊鏈自帶的去中心化、去中介化特質，極大提高了監管信息的透明度。監管機構可利用區塊鏈技術作為一個節點同其它金融機構節點共同參與到區塊鏈交易網絡中，與其他參與節點一樣同步獲得所有記錄在分布式賬本中的交易信息?？傊?，憑借監管科技，監管機構可以將以往線下、間斷、分散的數據收集方式切換到在線、連續、集中的智能化模式，從而提高數據收集與管理能力。

（二）監管科技可提高監管機構對金融風險的識別、監測與處置能力

彌補數據收集滯后短板只是監管科技應用于防控金融風險的前奏，而如何對已采集數據進行深度挖掘識別，從中識別風險源則是關鍵。在此，監管科技亦可通過對所收集的數據進行機器清洗與解讀，從中刻畫金融科技參與主體的風險特征，從而助力監管機構對其識別、監測和處置能力。比如，在風險識別上，監管機構可利用大數據、云計算和機器學習等技術對海量的非標準化、非結構化數據進行深度關聯分析和“降噪”處理，據此不斷更新風險計量模型的指標、參數以提高風險的計量和預測精度，前瞻性地識別和研判風險場景，改善以往風險定價僅考量金融機構主動上報的標準、結構化數據這一不合理的人工風險管理困境。又如，在風險監測上，監管機構可利用分布式環境節點抓取金融機構的底層數據，通過流式大數據技術預先建立的監控指標體系以及機器數據分析和人工智能等手段，甄別每筆交易的觸發者和交易對手，并持續進行全鏈條的風險跟蹤監測，將其中可能出現的違規交易及可疑交易行為通過豐富的可視化途徑如圖形化面目展現出來，從而提前發現異動和實時報警，為風險的監管干預留下了時間窗口。再如，在風險處置上，監管機構可通過數字化手段實施自動化交易攔截、賬戶凍結、漏洞補救等應對措施，增強風險處置及時性、準確性，推動風險防控從“人防”向“技防”“智控”轉變。

（三）監管科技可有效緩解我國分業監管存在的監管空白與監管套利

應用監管科技，除了可以增強監管機構自身的數據收集與風險識別、監測和處置能力，還可以有效緩解當前我國分業監管潛在的弊端。比如，監管機構一方面可應用深度機器學習對本機構出臺的監管政策法規進行數字化轉譯，防止其他監管機構對監管規則理解的偏差而對跨行業的金融科技產品造成監管不當（如監管重疊或監管推諉），另一方面可以利用大數據、云計算、API等手段實現的數據共享作為與其他監管機構相互協作的紐帶，也可以對其他監管機構出臺的監管政策進行比對，找到重合和不一致之處進行對接彌合，緩解分業監管下監管機構各自為政所導致的數據孤島，避免監管套利的出現。

四監管科技與法律規范相融的必要性

金融科技帶來的復合性金融風險早已突破了金融監管機構傳統的監管半徑和監管能力，從而倒逼監管機構不得不尋求監管工具與手段的創新。實踐證明，傳統的以人工為主的金融監管“看不懂”“理不清”“防不住”的缺陷亟待通過監管科技來彌補。進言之，監管科技是與金融科技相匹配的監管工具。引入監管科技已成為各國監管當局探尋監管創新，防控金融科技風險的現實趨勢和不二選擇。然而，作為現代信息技術的一種創新應用，監管科技同金融科技一樣存在未知的技術風險。這種技術風險除了依賴科技自身的不斷優化完善，還尚需從法律層面建構相應的防范機制。同時，監管科技的有效發揮也賴以法律提供必要的基礎設施以作支撐和保障。簡言之，監管科技的成功施行離不開法律的保駕護航，推動監管科技與法律規范的相融不僅必要而且相當迫切。具體原因在于：

1.監管科技所需集成數據和技術標準亟需法律的規范和保障。不管監管科技應用的場景如何不同，其都離不開對跨業、跨界數據的共享與集成。倘若沒有事先統一的金融數據共享標準可依，則監管科技的應用就會支離破碎和隨心所欲，不僅會引發數據處理的規模性和侵入性，危及數據安全，而且還會讓一些金融機構“有機可乘”，利用風險數據指標不統一的監管漏洞來規避監管和尋求監管套利，最終難以實現賦能監管機構改進金融監管效率和防范金融風險之功效。是故，如何通過立法“自上而下”地引領和規范監管科技各類技術的標準化建設，用統一的方式處理風險數據和統一的標準衡量數據風險，這對實現和確保監管科技的運作功效至關重要。

2.監管科技并非價值中立，而是具有價值負載。如所周知，監管機構并非信息技術領域的專家，加之受自身財政預算、人員編制的限制，監管機構往往很難具備自主開發面向某一應用場景監管科技系統的能力?，F實中各國的通行做法是把監管科技系統的開發重任外包給第三方的監管科技公司。如此通常會衍生出兩個層面的技術風險問題：第一，被外包出去的監管科技系統在研發中很容易受到研發者自身價值判斷的影響，從而帶有某種難以避免的偏見與利益沖突。尤其在某一具體的監管科技開發服務提供商數量有限和監管機構監督不力的情形下，監管科技公司在研發系統中可能會利用算法與智能合約設計上的代碼化和隱蔽性強等技術特點作惡牟利。第二，監管科技系統的研發關乎具體領域的監管成效，作為后續應用方的監管機構在研發階段肯定不能當“甩手掌柜”“一包了事”，而仍須就技術監管標準等基礎性問題與科技公司進行充分的溝通與互動。然而，這種溝通與互動一旦過于密切，就會不自覺地捍衛被監管對象的利益，出現科技俘獲監管的現象，造成潛在的更大危害和風險。

由上可見，監管科技系統外包研發的事實會令其在后續應用中陷入了“二律背反”的風險困局；一方面監管機構對第三方科技公司的技術依賴使科技公司在研發階段極易挾技術的優勢地位滋生道德風險；另一方面，為防范道德風險，監管機構又不得不花大量時間與科技公司接觸交流，如此又可能打開監管俘獲的新窗口，弱化整個監管科技后續運作的正當性基礎。欲破解上述的困局，僅靠科技公司和監管機構的自我規制顯然是難以奏效的，亟需借助外部的法律力量構建監管科技的安全優先規則，明確監管科技研發主體和應用主體在技術風險防范方面的合規義務和注意義務，從而從立法上對上述各方主體在研發階段可能出現的道德風險行為和恣意加以有效約束。

3.監管科技參與主體責任存在缺失。監管科技施行所涉及的主體是監管科技公司與監管機構，其監管的對象是參與特定場景交易的金融機構和金融消費者。其中科技公司作為監管科技技術的提供方，扮演的角色是根據監管機構的需求開發面向某一場景的監管科技系統（平臺），并對該系統（平臺）提供技術維保。監管機構是應用主體，其主要依據監管接口電子化協議書通過API將特定場景的監管對象嵌入業已運行的監管科技平臺。而如前所析，監管科技公司在研發中滋生的道德風險行為會引發監管科技后續應用的技術風險甚或是系統性金融風險，從而對作為委托方的監管機構和監管對象存在著潛在利益侵害的可能，然在現行的金融分業監管模式下，這類公司卻可以憑借其非金融機構身份游離于金融監管體系之外，從而無需對自己的風險行為帶來的損害擔責。同時，監管機構作為監管科技的應用方，若其內部工作人員沒有遵循必要的操作流程而出現監管科技的濫用或誤用，則此情形下監管機構是否應為這種錯誤操作給監管對象或公共利益帶來的損害承擔賠償責任？這在實踐中也是付諸闕如。無疑，這些責任規范的缺失委實難以對監管科技的參與主體尤其監管科技公司形成真正的約束力，明顯不利于監管科技的可持續運營。因此，將法律作為確保公共問責的一種基本手段，通過補強法律責任以及暢通救濟通道，引導受損的監管對象依法向監管科技主體追償亟顯必要。

總之，監管科技參與主體的自我規范無法代替外部制度規則的約束，法律才是維系監管科技有序運作的基石。我們應打破“科技中立”和“科技萬能”的迷思，發揮法律對技術的引領和保障作用，推動監管科技與法律規范的有機相融：一方面讓法律尤其是現行的金融監管法從傳統的審慎監管范式解放出來，不僅關注實體化的金融機構，還應關注虛擬化技術，為監管科技確立各類研發和應用標準，以對監管科技參與主體的行為加以規范和約束；另一方面要構建起相應的主體責任承擔機制，使在監管科技研發和應用環節中的每位受害方都能維權有道和索賠有據，以此倒逼監管科技參與主體勤勉盡職、謹慎中立。惟其如此，才能充分釋放監管科技固有的良善功效，助力監管機構改進監管效能和提升風險防控的成效。

五監管科技與法律規范有機相融的法治進路

上文分析表明，技法相融既是監管科技自身有效應用的前提，也是現代金融監管法治的必然要求。這種相融有兩個維度：一是技術的法律化，即將監管科技研發和應用的技術安全標準納入法律的調整范疇，并設置相應的主體責任機制；二是法律的技術化，即將監管政策和規則通過數字化技術轉換成機器可讀的語言，映射在代碼中由計算機使用這種語言實現監管的自動化和智能化。兩相比較，前者無疑是后者的基礎與前提，后者是前者的次生品。因為技術的應用可能會因主體的原因失控。倘若沒有先將技術主體關進法律的籠子里面，防杜其在技術研發和應用中可能出現的不當行為，則后面的法律技術化后也會出現方向性的偏差。是故，本文以下主要立基于前者視角來探討技法相融的法治進路。

（一）數據與算法：監管科技法律化的落腳點

綜合FSB、IIF和FCA等各類權威機構發布的研究報告，目前全球監管科技解決方案中，主要應用的為大數據、云計算、區塊鏈、人工智能、生物識別、API及加密技術等。表面上看，這些技術的機理構造和程序應用存有差異，但它們本質上都屬于數據與算法的有機耦合體，存在著相互滲透與支撐關系。易言之，無論這些技術被嵌于何種監管場景，穿透至最底層的核心元素無外乎就是數據和算法。其因在于：首先，數據不僅是金融業的生產要素，更是現代金融監管須臾不可離的基礎設施。監管科技亦然，其高度依賴對數據的使用。沒有事先高質量和及時有效的數據以作支撐，則監管科技就成了無本之木和無源之水。其次，作為一種受計算機程序驅動的解決特定問題的自動化決策機制，算法天生與數據緊密關聯，共生共榮?？梢哉f，沒有數據的算法是空中樓閣，失去算法的數據則一潭死水。正是算法與數據的結構性耦合，監管科技才能用某種特定計算機語言將線下人工監管執法的過程分解設計為可供執行的應用程序，從而具備實時、動態和智能化之功效。最后，在“萬物皆互聯，無處不計算”的今天，數據和算法的耦合已不再是單純的“技術工具”，而正以獨特的運行邏輯對包括監管科技應用在內的各種人類日常行為構成潛移默化的塑造和控制，引發了一系列合法性挑戰和倫理失范現象，包括抑制主體的自由空間、威脅個體的平等機會及阻礙制度正義的實現。因此為了防患于未然，我們更應居安思危地將有關監管科技算法開發及代碼編寫的倫理規則納入到法治化框架中，使之與法律形成有效的對接。

一言以蔽之，數據是監管科技的載體，算法是核心驅動力。兩者安全與否決定了各類監管科技應用的成敗。故此，推動監管科技與法律規范相融首當其沖就要將監管科技賴以運作的數據與算法法律化，通過發揮法律的規范作用實現兩者應用風險與安全的平衡，繼而夯實監管科技良善運作的基礎。

（二）監管科技法律化的路徑之一：確立金融數據的共享標準

實踐中，監管科技在金融監管端的應用主要體現為數據采集和數據分析。數據采集著眼于形成報告（自動化合規報告、實時檢測報告）、數據管理（數據解耦、數據整合、數據確認與可視化等）和引入虛擬助手（借助于虛擬助手采集市場信息，了解被監管對象的數據，與市場參與者之間進行互動交流）；數據分析則含市場交易行為的監管、不端行為的檢測、微觀審慎監管和宏觀審慎監管四大核心領域。于監管機構而言，無論其應用的是面向何種場景的監管科技系統，欲有效地進行數據采集和數據分析，就不能不重視數據共享的標準化問題。所謂的數據共享標準化，是指在數據要素化背景下，一國為了維護數據安全和推動不同數據源的數據進行關聯共享而對數據的定義、類別、格式、編碼等基礎統計參數及應用程序接口、傳輸交換協議等基礎設施予以統一規范和確認的過程。數據共享的標準化，一方面可以解決不同類型、級別數據之間的匹配問題，擴大數據采集的覆蓋面，幫助監管機構完整深入地理解金融機構的創新行為和業務風險態勢；另一方面可以提高監管科技系統的集成度、模塊的內聚性和擴展性，實現機器的可讀性，從技術上消弭監管數據鴻溝和緩解我國“一行兩會”分業監管帶來的監管割裂與抵牾。

應該說，我國自完成“數據三法”即《網絡安全法》《數據安全法》和《個人信息保護法》立法以來，在有關數據或個人信息的界定處理、安全保護、跨境流動方面已有有了較為完整的規定，但在涉及數據共享標準化方面仍語焉不詳。由此造成目前我國很多經濟領域的數據共享標準要么付諸闕如，要么行業、團體和企業標準多重并存，缺乏“通用語言”。不同主管部門、機構對監管數據參數的歸類和統計存在較大誤差。數據在流通共享方面乏善可陳。以金融領域為例，目前數據共享的標準化進程仍局限在原有的“一行兩會”各自負責的領域。典型的如人民銀行發布的《金融數據安全 數據安全分級指南》、銀保監會發布的《銀行業金融機構監管數據標準化規范》及證監會發布的涉及證券、期貨交易和開放式基金業務的《證券交易數據交換協議》等。由于這些數據標準在一些元數據描述和統計口徑界定上并不一致，所以目前我國監管科技發展的方向與著力點還是限定在銀行、保險和證券等各金融子部門之內，并無跨部門、跨行業監管場景中的應用。顯然，這種以分業為基礎的局部分散的監管科技系統與現代意義上那種為因應金融科技跨界混業經營而生的統一的監管科技平臺相去甚遠。

因此，下一步我國應破除不同金融業態的數據壁壘，構筑支撐所有監管科技應用所需的跨行業金融數據標準體系，包括創建標準化的金融數據庫、統一數據共享標準和開發自動化的共享機制等。慮及“一行兩會”在分業監管中可能出現的相互掣肘，此一重任只能由新組建的中央金融委員會承擔。是故，我國一方面應通過立法補強中央金融委員會的地位、職權和職責，從法律上確認其統籌協調金融監管的功能。另一方面應充分發揮中央金融委員會作為黨中央金融決策議事協調機構的優勢，由其牽頭在人民銀行既有的金融數據分級分類標準建設的基礎上，協調國家金融監管總局、證監會與中國互聯網金融協會等行業組織和一些頭部平臺金融科技公司，對標國際標準實踐，制定橫跨銀行、證券、保險等業態的監管數據元標準和數據安全交互標準，以統一規范金融機構、金融工具、金融交易對手方所屬經濟部門的統計口徑、編碼及同一分級的數據定義、格式、應用程序接口及數據傳輸協議等，實現同類同級的數據字段關聯標準與合標校驗。需要指出的是，為提高這種金融數據共享標準的權威性和約束力，避免像一般標準那樣淪為一種自愿適用的工作指南，我國應注重標準與法律的聯動機制建設，即在今后涉及監管科技的立法中參鑒產品質量或環境保護領域立法的通行做法，通過設置專門的標準援引條款，將之納入其中，使之具備法律屬性，從而發揮法律在標準使用上的引領和保障作用，推動我國監管科技由目前分散式的局部系統開發向全局化的系統整合方向邁進。

（三）監管科技法律化路徑之二：規制算法黑箱

算法作為一種用計算機程序解決某種問題的決策思路和方法，本身并無利益屬性。但當算法碰上數據，被用作分析數據工具和實現某種特定任務時，此時的算法便不再是一種純粹技術，而成了一種可以影響和改變社會秩序的軟性權力。因為算法開發者的某種價值判斷和尋求隱性利益的動機有可能會映射其中，使得算法規則的確定不再中性。再者，算法的外觀是以“0”和“1”表示的二進制代碼，個中參數的輸入與輸出之間存在大量復雜非線性變換。這對常規的未接受過相關專業訓練的監管者和普羅大眾而言，即使其內容完全披露（如源代碼公開），大家依舊看不懂其設計理念和運行邏輯，更遑論知曉其里頭的分析與決策過程，由此形成的算法“黑箱”不僅不可避免，而且難以察覺。

更為關鍵的是，內含于監管科技系統的算法在大多場合也是由第三方監管科技公司開發和推廣。在此情境下，設計者自身的利益訴求和價值偏好也不可避免地會“植入”算法系統之中。因此，當外部科技公司開發的某種算法被嵌入到具體監管科技場景時，這種 “黑箱”帶來的損害就會成為現實。比如算法中若設計側重數據相關性而非因果性的分析指令，則其就會做出錯誤的勾連與判斷，輸出錯誤的監管決策誤導監管科技智能化的作用指向，從而妨害監管權力的公平行使，出現異化的風險。因此，面對算法黑箱，除了強調對算法開發者的倫理性規制之外，法律和監管機構也絕不能置若罔聞。歐盟的《通用數據保護條例》（General Data Protection Regulation，GDPR）就率先在全球開創性地構筑了了以個體賦權為核心路徑的算法黑箱治理體系。如其第22條就賦予數據主體對算法決策的反對權，即數據主體有權反對完全依靠自動化處理包括用戶畫像對數據主體做出具有法律影響或類似嚴重影響的決策。第13—15條則為數據主體創設了組合版的算法解釋權。這種解釋權嵌在事前的知情權（第13條和14條）和事中訪問權（第15條）之中，賦予數據主體在數據控制者獲取其數據前和在處理其數據過程中均可要求數據控制者提供自動化處理過程中運用的邏輯，以及該種數據處理對數據主體的重要性和可能產生的后果。歐盟法建構的這種算法解釋權頗具啟發意義?？梢哉f，算法解釋不僅是構建算法規制框架的關鍵節點，也是避免算法決策恣意武斷、有效約束算法決策的前提。在傳統的法律監管機制如信息披露等對算法黑箱約束失靈情境下，算法解釋權無疑就是確認監管科技算法決策可信度和正當性的有效利器。

可喜的是，我國立法也注意到算法解釋權的價值。如《個人信息保護法》第二十四條規定，通過自動化決策方式做出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明。然此條款僅限于個人信息處理方面，而且對說明的范圍無置可否。2022年3月1日國家網信辦、工信部、公安部和市場監督總局聯合施行的《互聯網信息服務算法推薦管理規定》雖有要求提供者告知用戶算法的基本原理、目的意圖和主要運行機制的，但這也是針對算法推薦服務領域而言。因此，今后我國還應在立法層面拓寬享有算法解釋權的主體范疇，將之從個人信息主體、網絡用戶延展到受算法作用的數據主體與使用監管科技的監管機構，并借鑒歐盟法的做法補強算法解釋權的行使環節和核心內容，以此對算法開發者和控制者形成法律震懾，從而達到減少和破解算法黑箱之目的。

（四）監管科技法律化路徑之三：補強和完善主體的責任機制

道德風險是金融風險的重要表現形態，也是在金融交易活動中市場主體基于自利動機行事的固有風險。前已析及，監管科技通常由外部的監管科技公司主導開發，在監管機構疏于監督或監督不力的情形下，這種委托代理的模式很可能因科技公司圖謀私利的道德風險行為而使監管科技偏離預期的功能定位。比如研發者可能會操縱算法選擇性地收集和分析數據，粉飾或掩蓋被監管對象的實際風險狀態；或者故意在系統中設置后門窺探、竊取未經監管對象許可上報的數據；或者向特定的監管對象提前透露監管重點而讓之采取規避措施以不受系統作用，成為漏網之魚；或者使用“超級推理”，以微妙而漸進方式塑造監管機構的偏好與行為，破壞監管機構的獨立判斷能力，誤導其通過監管科技系統做出與實際偏離的監管策略，使一些本應被重點監管的金融機構或消費者變為“輕觸式監管”對象。特別地，當承接基于特定場景研發任務的監管科技公司與所研發的監管科技系統擬作用監管的對象（如某一金融機構）是關聯公司或與之存有利益合作關系時，則上述的道德風險行為可能會更加嚴重和明顯。此時就會出現前文提到的監管俘獲現象，即這些本應接受監管的金融機構就會在監管科技后續應用中搖身變為“隱性監管者”，既當“運動員”又當“裁判員”。由此可見，技術風險雖直接源于技術缺陷，但其根源是主體對技術的不當應用。為防范和治理這種不當應用，作為委托方的監管機構除了“以毒攻毒”，引入諸如“紅帽”黑客之類的第三方專業機構協助其強化對監管科技研發過程持續監控和研發結果的校核檢驗外，另外一個有效之徑就是通過立法補強、完善監管科技參與主體的法律責任，以此調動所有監管對象參與和監督倒逼監管科技平臺設計及運作的中立和可靠，具體包括：

1.對監管科技公司而言，因其是專門以提供監管科技平臺開發和維保服務的商業性機構，故理應有義務保證其所研發和維護的監管科技系統安全有效，并在現有技術條件和專業水平能測控的范圍內不存在技術風險。同時，由于算法“黑箱”的存在和技術風險的難以預測性，加之監管科技平臺非接觸性的運作特點，受害的第三方（有時也包括監管機構）往往很難證明監管科技公司在研發中是否存在過錯及其過錯大小與損害的關聯性，所以為保證侵權法的實效與權威，立法在課以科技公司專家注意義務的同時，也應在其責任認定時采取無過錯的責任原則，以更加直接和嚴格的歸責原則對監管科技公司施加更為有效的約束。不僅如此，確立這種侵權法上的無過錯責任還可讓具體場景中受不良監管科技平臺侵害的監管對象能徑直突破合同上的相對性原理，上溯到研發和維護環節向監管科技公司追責，從而防杜其制造技術風險后又以自己并非應用主體身份抗辯監管科技受害對象的投機做法。此外，監管科技是一種公共物品。若監管科技公司向監管機構交付的是一個安全性、公平性均有缺陷的監管科技系統，則其帶來的危害已不僅僅是那些直接受平臺系統作用的個體對象權益的損害，還可能表現為對所在行業監管秩序的全面和系統性的擾動。因此，補強監管科技公司這種侵權法意義上的技術風險責任，還可為監管機構通過公益訴訟途徑追究科技公司侵害金融公共秩序提供了可能，從而既彌補其只能依據委托開發合同這一約定責任規范科技公司商業行為的不足，又能堵住監管科技公司憑借非金融機構身份逃脫現有金融監管這一漏洞。當然，需要著力說明的是，筆者主張在監管科技運作中課以監管科技公司的這種無過錯責任并非絕對，立法還應為之提供必要的安全港空間。詳言之，如果科技公司能證明特定監管場景的技術風險是源自于監管科技系統自身或超出其認知范圍的技術缺陷與漏洞，而非研發方沒有盡到注意義務，則其理應可以獲得無過錯責任的豁免。惟其如此，才能保護科技公司研發的積極性和創造性，鼓勵其開發與市場同步的試錯型監管科技，從而展現新的金融監管立法對科技創新的包容。

2.對監管機構而言，其扮演著監管科技需求方與應用方的雙重角色。這意味著除了科技公司的不當研發這一主要因素外，監管機構在研發環節被俘獲或后續對監管科技的不當應用也會給被監管對象帶來損害。因為監管科技實質上是監管機構監管權力的技術化延伸，且系統從啟動到終止的運作全程均離不開監管機構的人工控制。在這其中，一旦監管機構因技術依賴被研發主體俘獲或從事系統作業的監管工作人員不遵循系統預設的操控流程而濫用或誤用監管科技，導致接入系統的金融機構或金融消費者發生額外的損害（如增加合規成本，過度采集風險數據、泄露隱私或技術秘密等）甚至對既有的金融監管秩序或公共利益造成沖擊，那么其自不能挾國家機構的身份而從中脫責。不過，與監管科技公司不同，監管機構畢竟不是監管科技系統研發的直接當事人，且其運用監管科技系統開展監管工作是出自于更好地履行金融監管公共職能，維護金融安全與穩定、保護金融消費者利益之所需，并非商業行為，故這種操作不當帶來的危害及負面效應顯然不能與監管科技公司以圖私利的不當研發行為相提并論。在此，立法若套用監管科技公司的無過錯責任對監管機構加以歸責難免有苛責之嫌。比較合理的方案是是確立監管機構的過錯侵權責任，即規定監管機構只有在故意或嚴重過失情形下才會對其不當應用監管科技的侵權行為損害承擔賠償責任。當然，為了最大程度上杜絕上述現象的出現，監管機構在賠償后還應對其內部負責監管科技系統操控的工作人員實施問責，以追究其魯莽和怠慢操作行為的行政責任。

綜上，在推動監管科技與法律規范相融的過程中，法律責任的意義在于能夠與前面的數據共享標準和算法黑箱規制一起形成完整的制度閉環，從而實現強化行為約束的保障。進言之，只有確立和補強監管科技公司、監管機構等參與主體在侵權法上的法律責任，才能夠使那些在監管科技研發或應用環節中權益受損的第三方獲得充分的救濟，同時也才能對監管科技的不當研發或應用行為形成真正的約束和威懾，讓那些試圖通過制造技術風險以圖私利的參與主體產生約束和減緩自身道德風險的動力，并在“自作自受”中主動采取措施降低技術風險發生的可能性，從而確保監管科技系統全流程運作的安全向善。

六結語

美國制度經濟學大儒弗里德曼（Friedman）教授曾言，“相對于技術變遷而言，法既是反應裝置，又是推動裝置。在這兩種功能中，盡管法對技術的被動反應得到了更普遍的認知，但法對技術的積極推動作用正在逐步加強。將此一論斷用來描摹和詮釋監管科技的法律化意義再合適不過了。作為伴隨金融科技發展應運而生的新型監管工具，監管科技正以強大技術變革賦能各國監管機構，極大地提升其監管效能和防控金融風險的能力，從而重塑和引領著未來各國金融監管范式的變革。然而，這種提升和引領的功效并非自動而生的，其亟需法律裝置的積極反應與推動。具體到我國，雖然官方層面才于2017年6月由中國人民銀行正式提出監管科技的概念， 2017年6月27日，中國人民銀行印發了《中國金融業信息技術“十三五”發展規劃》，正式提出要加強金融科技和監管科技研究與應用。但在實踐層面，監管科技在我國中央和地方各級的監管場景應用卻早已有之。 如2005年9月，中國人民銀行就開始建立和實施“反洗錢監測分析系統”。該系統經過兩次的迭代升級，目前已涵蓋了銀行、保險、證券、信托、消費金融領域的各類金融機構，實現了反洗錢監測業務流程的全覆蓋。故我國今后的相關金融監管立法也應及時予以跟進和回應，從數據與算法兩個底層核心技術元素的規范切入，并配予相應的主體責任追究機制，從而實現完整的制度閉環以將監管科技的全流程運作納入法治調整的軌道，使之既安全有序，又能切實發揮賦能監管機構提升金融監管效能和防控金融風險之功效。

Technology in Law： A Legal Approach to Applying Reg-tech

to Prevent and Control Financial Risks

CHEN Bin-bin

Abstract： During the intersection of two “hundred years” of history， preventing occurrence of systematic financial risk and maintaining financial security and stability can be regarded as the permanent theme as well as significant mission of financial sector. At present， Fin-tech with the Internet， big data， cloud computing， blockchain and artificial intelligence， is reshaping the financial industry in an unprecedented form of cross-border， decentralized and intelligent， making traditional risks vary in the overlapping of technical risks， which is not only more insidious， frequent and destructive than before， but also forms a social characteristic that will generalize and overflow at any time， which greatly increases the hidden dangers of systemic financial risks. The complex financial risks brought about by Fin-tech are posing a challenge to the traditional financial supervision methods， and it is urgent to introduce reg-tech for its prevention and control. On account of the aim of ensuring Reg-tech can be used in a proper way， and exerting the impact of regulation institutions on control and prevent the financial risks， China should strive to promote the organic integration of Reg-tech and lexis， putting the two technical elements of data and algorithms on which it operates into the legal system， and strengthen the corresponding mechanism for assuming the main responsibility to form a complete institutional loop， ensuring the safety of reg-tech in operation.

Keywords： fin-tech; compound financial risks; reg-tech; legalization

【責任編輯：陳西玲】