江南APP平台金融科技:技术风险金融科技是一个长期性、全球性的金融数字化进程,而这一进程与数字化、云计算、区块链、大数据、人工智能等新技术的结合日益紧密。同时,网络安全与技术风险正在演变为金融稳定和的重大威胁。这一趋势被新冠疫情进一步放大——人们对数字技术的依赖加剧,相当一部分人使用安全问题严重的设备在家办公。此外,大型科技企业的进入带来了两个全新的议题:第一,全新的潜在系统重要性基础设施带来许多新问题。第二,数据行业如金融行业一样从范围和规模经济和网络效应中获益。可是,数据行业甚至比金融行业更可能带来垄断或寡头垄断的结果。这可能导致以“太大而不能倒”和“太多连接而不能倒”为代表的系统性风险的出现。本文将对如何应对这一系列风险提出了一些基本原则。
在过去半个世纪中,金融经历了一个数字化转型的进程,这一进程包括数字化(digitization)与数据化(datafication)。现在,金融不仅是世界经济中最为全球化的一部分,而且是最为数字化和数据化的一部分。
这一过程可以从四个维度观察:全球性零售市场的出现、金融科技(Fintech)初创企业数量的爆炸性增长、发生在发展中国家(尤其是中国)的金融数字化转型以及大型科技企业在金融服务方面日益增长的作用和系统互联性。金融数字化转型的过程带来了结构性的变化,尽管这些变化有积极的一面,可也带来了新的风险。尽管金融和技术一直相互影响、相互支持,但自2008年全球金融危机以来,变革速度之快和新进入者的规模之大是前所未有的。“ABCD”等新技术是变革速度的一个缩影:人工智能(AI)、区块链(Blockchain)、云(Cloud)和数据(Data)与金融正在以越来越快的速度共同发展。许多学者还会将移动互联网和物联网(IoT)加入到这个框架中。
在金融科技的新时代中,长期的金融数字化与数据化进程已经越来越多地与技术相结合,包括大数据、人工智能、分布式账本、区块链,首次代币发售(ICOs),智能合约、监管科技(RegTech)、数字身份等。
当前的金融科技发展阶段主要有两大趋势。首先,由技术商品化、大数据分析、机器学习推动的变革速度日益加快。其次,金融领域的新进入者数量和类别日益增加,包括现存的技术公司和电子商务公司。目前,人们将目光集中于科技化金融服务的总体发展轨道以及它们应受到怎样的监管上。此外,金融科技对银行和支付服务行业的影响也得到了特别的关注,比如众筹和众贷可能对现有中介机构产生的颠覆性影响。然而,金融数字化转型的消极面可能令人不安,因为它带来了许多问题,而最近发生的新冠疫情尤其凸显了对数字基础设施的依赖问题,由此产生的风险和挑战是本文关注的焦点。
2019年,Facebook宣布其将领导一个联盟建立Libra。Libra是一种全新的加密数字货币,其将通过新的全球电子支付系统(实际上是Facebook / WhatsApp / Instagram Pay)运行并与Facebook主导的数字识别基础设施相结合。Facebook的主要目的是为其社交媒体应用生态系统创建新的电子支付系统。这一电子支付系统将以一种与法定货币储备池挂钩的新的支付工具为基础(即“稳定币”),并且可以将全球30亿用户的互联货币化,尤其是在缺乏类似基础设施的发展中国家。
该提议凸显了金融数字化转型引发的许多主要顾虑:如果Libra遭到黑客攻击和破坏该怎么办?(网络安全风险)如果Facebook将获取的数据用于自身目的该怎么办?(数据保护和隐私风险)如果用户数据被盗怎么办?(数据安全风险)如果Facebook凭借Libra的地位主导了国际金融体系该怎么办?(新系统重要性金融机构风险)如果Libra成为主要的国际货币形式会怎么样?(技术基础设施风险,竞争威胁)这些问题一定程度上解释了为什么全球金融监管机构对Libra反应冷淡。
这些风险是金融监管的关键考量因素。在金融监管方面,其目标可归纳为四大类:(1)金融稳定;(2)金融公平;(3)消费者保护;(4)金融效率、发展与包容(金融市场正常运作)。金融稳定既可以视为消极的(避免危机),也可以视为积极的(金融系统的适当运作)。金融公平侧重于预防利用金融市场从事的犯罪活动,例如洗钱、资助恐怖主义、国际犯罪组织甚至组织恐怖袭击。消费者保护的重点是建立制度以防止用户(消费者、储户和投资者)滥用金融服务。金融效率、发展和包容重点是支持和加强金融系统的积极运作。
虽然金融科技在这些领域都引起了人们的顾虑,本文更为关注的是金融稳定——这是2008年以来全球监管机构的关注核心。在2008年以前,支持金融稳定和预防危机的重点是识别风险的主要形式并建立适当的监管框架。而《巴塞尔协议II》正是这一阶段最先进监管理念的体现。2008年前,《巴塞尔协议II》和金融稳定监管总体上侧重于“微观审慎”方法,即监管机构通过审慎监管标准最大程度地强调单个金融机构的安全和稳健。该方法集中于五大类风险:信贷/交易对手风险、市场风险、支付风险、运营风险和法律风险。《巴塞尔协议II》包括了前四项的资本收费及其相关监管标准(对法律风险的关注相对较少)。
该框架下,与技术和数据有关的风险属于运营风险的范畴(不属于独立的风险类别),因此企业在资本收费及其相关风险管理和合规的成本相对较小。2008年以后,金融稳定监管开始更多注重应对“宏观审慎”风险:风险不仅来自于单一机构的倒闭,还来自于市场的相互依赖性。宏观审慎风险是2008年金融危机的核心问题,因此成为后危机时代金融监管改革进程的核心。
本文认为,在金融数字化转型时代,这种应对方式已不足以充分和适当地捕捉金融系统面临的风险。在看待金融数字化转型时,适当的分析框架包括:(1)传统风险形式的新来源;(2)新形式的风险;(3)包括监管体系在内的全新的市场和体系(如监管科技)。本文将重点讨论金融数字化转型过程中出现的一些关键领域,特别是网络安全、数据安全和数据隐私、全新的系统重要性金融机构的出现,以及新的金融市场基础设施及对其依赖性的出现。
传统上,与技术相关的问题被纳入运营风险的范畴,与信贷风险、市场风险和法律风险一起被视为金融风险的一种形式。由于数字化和数据化的出现,本文建议技术风险(包括与网络安全和数据隐私相关的风险)应被视为独立的风险形式,而不是传统的运营风险。技术风险可能出现在单个机构的背景下以及机构之间的相互联系中。在新冠疫情期间,保护所有权人和第三方网络活动的技术难题就是这种风险的缩影。更为重要的是,技术风险有可能直接影响人们对金融部门的信心与金融稳定。因此,在金融数字化转型背景下,网络安全已成为金融系统性风险的主要来源之一。
长期以来,系统性风险一直是金融监管,特别是银行监管演变过程中的一个主要焦点。根据二十国集团(G20)的报告,系统性金融风险是指一种可能对实体经济产生重大不利影响的风险,将导致经济的下滑和市场信心的丧失,以及对金融体系不确定性的增加。在2008年全球金融危机之前,金融稳定监管已成为一项核心监管职能,其重点是系统性风险的识别、预防与管理。监管的对象一般是银行(通常不包括非银行金融机构)江南APP官方网站,特别是个别规模极大的机构和支付系统。尽管有几十年的经验江南APP官方网站,系统性风险仍然成为了2008年全球金融危机的核心特征,这一点突显出金融稳定监管的失败。
在2008年全球金融危机之后,人们普遍认为,系统性风险通常是金融中介机构规模(“太大而不能倒”)或中介机构间的相互关系(“太多联系而不能倒”)的结果。无论从微观审慎还是宏观审慎的角度来看,“太大而不能倒”和“太多联系而不能倒”现在都被视为金融稳定监管的核心方面。
全球金融危机以来,学者对系统性风险进行了大量的的研究。人们普遍认为,中介机构的规模和互联性是系统性风险的核心来源。根据前美联储主席伯南克的定义,系统重要性金融机构(SIFI)的规模、复杂性和互联性极其重要,如果系统重要性金融机构意外倒闭,金融体系的其他部分甚至整个经济将面临严重的不利后果。系统重要性金融机构,特别是全球系统重要性金融机构,由此也成为G20/金融稳定委员会(FSB)危机后监管改革议程的中心焦点和近十年各国改革的重点。
在“太大而不能倒”问题中,系统重要性源于金融机构的规模;在“太多联系而不能倒”问题中,系统重要性源于其他金融中介机构与该金融机构建立的业务联系,这对许多其他金融中介机构至关重要,因为中介机构这个整体对金融体系而言是不可替代的。人们在危机后观察到,相互联系的形式不仅包括支付的相互联系,还包括场外(OTC)衍生品的联系及其相关的交易对手方风险。此外,相互联系可能源于共同的商业模式(例如从发起到分销)、合同(例如国际掉期和衍生品协会的标准化文件)和同样的风险管理系统。
系统重要性的一个后果是,如果系统重要性金融机构面临问题,政府将向它们提供支持。因此,G20/FSB危机后监管议程的大部分内容侧重于通过金融稳定体系预防系统性风险,包括:(1)对系统重要性金融机构,特别是全球系统性重要金融机构的微观审慎监管;(2)在危机发生之前识别互联性与风险的宏观审慎监管;(3)强化支付系统、证券结算系统和中央对手方等领域的系统重要性基础设施的监管措施。金融稳定体系的建立是通过国内、区域和国际一系列改革进行的,包括监管改革(比如设立金融稳定委员会)和监管规定适用范围的改变(比如在特定法域)、建立新的系统性风险监管机构(如欧盟的欧洲系统性风险委员会(European Systemic Risk Board)和美国的金融稳定监督委员会(Financial Stability supervisory Council))。
网络安全威胁已成为全球金融监管机构以及各国政府、金融和科技企业关注的主要领域之一。网络安全威胁现在是系统性风险的最重要来源,也是的重要关切之一。网络攻击的严重性和频率不断增加,与前一年相比,2018年报告经历过网络安全事件的企业增加了15%。相比2018年,2020年的网络保险费增长了两倍,而再保险公司更是对业务的可行性提出了质疑。网络犯罪的经济影响在过去六年里上升了五倍。间谍活动和中断业务仍然是黑客攻击的重要动机。疫情造成的技术混乱也带来了各种新的安全漏洞。因此,网络安全风险可以看作是传统风险的新来源,也是一种全新的风险形式,具有潜在的灾难性后果。例如,一家俄罗斯银行遭到黑客攻击,导致一笔4亿美元的交易被执行,使美元/卢布汇率波动了15%。虽然国际风险极其重要,但跨境处理这些风险尤其具有挑战性,因为其中不仅存在金融稳定问题江南APP官方网站,还存在问题。
从系统重要性金融机构的角度来看,黑客攻击、网络盗窃、网络恐怖主义、网络激进主义和网络攻击构成了严重的风险。即使是金融机构长期关注的各种形式的欺诈和盗窃风险,数字化和全球化都可能提高其规模:与其抢劫一个账户、办公室或企业,攻击者可能同时抢劫或攻击多个国家多家企业的所有账户和办公室。
尽管各个国家以及国际和地区的监管机构都在关注相关问题,广泛的参与者和参与动机仍然是一大挑战:金融机构和基础设施提供商确实有必要将大量资源和精力集中在网络安全上,但国家和国家支持的行动者的广泛存在表明让金融部门处理全部问题是极为困难的。同时,向金融科技的转变加剧了金融体系特有的某些网络安全威胁,进而影响金融稳定。金融体系的脆弱性源于高杠杆率、资产转换链和顺周期性。社会越来越依赖于复杂而不可替代的数字化信息技术中心,正如新冠疫情期间金融科技企业生命线般的角色,但与之形成鲜明对比的是金融科技企业面临的越来越多的外部风险。网络黑客可以利用安全漏洞破坏支付系统,破坏托管银行或中央证券托管机构的数据,或破坏金融系统所依赖的基础设施。虽然这些都是低风险事件,但如果不加以控制将可能产生重大后果,甚至可能如滚雪球般地导致金融不稳定。
由于国家在网络活动(包括网络战)中的存在有所增加,除了私人和监管部门对网络安全问题的关注外,各国需要在建立监测制度和支持金融部门等制度方面发挥主导作用。本文提出将网络安全风险细分为新风险形式的三种因素:(1)金融领域技术发展和应用的增长速度;(2)国际金融科技治理的滞后和分歧;(3)网络领域和金融稳定的融合导致的信任缺失。
网络风险的第一层来源于技术的快速发展、类型的增多和数字系统在金融领域的应用。向云基础设施的过渡产生了更集中的数据节点,但是软件多样性更少,因此需要更高的安全措施。此类节点的内生威胁源于公司内部或客户信息的泄露,以及用户或员工未经授权访问系统。外来威胁可能源于与其他第三方系统接口的漏洞,或使用欺诈获取的特权账户证书访问数据和执行交易。由于对第三方软件安全性的依赖,这些威胁形成了安全风险,如(1)托管中心保存主服务器数据,或(2)员工手机和其他物联网设备。例如,2016年,犯罪分子用恶意软件感染SWIFT服务器,从孟加拉国中央银行窃取了8100万美元。
新的金融科技,如分布式账本技术(如区块链)或稳定币都带来了一定威胁。尽管他们新颖的中心化(或去中心化)方法为用户提供了独特的价值,但他们仍然是基于传统的或基于云的基础设施。例如,利用网络钓鱼和病毒,犯罪分子世界上最大的加密货币交易所之一窃取了7000枚比特币,导致比特币市值下降约3%。类似案例还有Mt.Gox和DAO遭到的黑客攻击。根据中心化水平和“链”相关状态,更新技术基础设施可能也是困难的。在没有明确的应急机制的情况下,安全漏洞可能会立即破坏此类网络,而此类网络对资源的输送越来越重要,从而使越来越多的人在获取重要资源时面临风险。
第二层风险源于不同国家网络治理的滞后和分歧。虽然网络空间是一个高速的全球网络,但它的监管是支离破碎的,甚至可以说是不同监管者之间的规范冲突。在国家一级,特别是在不太成熟的监管环境中,严重的差异使较小的私人和公共实体易受攻击,从而使大的体系受到连锁效应的影响。而减少这种部门间差异的尝试尚处于起步阶段。
例如,美国已经开始了公私部门的合作,2015年的《网络安全信息共享法案》(Cybersecurity Information Sharing Act)邀请私人实体和某些政府机构与联邦机构共享有关威胁的信息。国家标准与技术研究所和金融业监管机构收集、识别、评估和应对公共和实体之间的风险,交流最佳做法。然而,这些基本上都是软性措施,各部门和规模的成员数目各不相同。产生系统性保护的硬措施是罕见的,而且存在分歧。纽约最近实施了全面的网络安全规则,要求金融服务公司任命首席信息安全官,并定期进行风险评估和保护敏感数据。加利福尼亚州则未实施强制性要求,而是以消费者数据保护为中心制定相关政策。
同样,2016年通过的《欧盟网络和信息安全指令》(the EU Network and Information Security Directive)规定了成员国间的最低协调水平,设立了单一联络点,并成立了计算机应急响应小组(Computer Security Incident Response Team, “CSIRT”)。然而,各个国家的监管有巨大差异,拉脱维亚有8个部门主管当局,爱沙尼亚却只有一个;西班牙则将它们分为公共部门和部门。由此,执法部门之间的合作是困难:跨境合作涉及的法域众多,而且效率低下。监管差异可能给合作的尝试带来额外的负担,而给黑客的业务提供便利,并增加网络事件蔓延的可能性。
第三层风险与网络领域和金融稳定的融合有关。传统上,网络安全被理解为国家责任,旨在保护内部关键基础设施和网络空间免受事件的影响。然而,日益关联的数据和交易流需要扩大网络安全的范围。网络安全威胁来源的不同可能导致跨国网络安全合作的方式千差万别,这可能妨碍与网络安全相关的情报收集。计算机应急响应小组近期面临的挑战是一个典型缩影。
全球数百个计算机应急响应小组在公共和私人部门执行着类似的重要职能:(1)协调对网络威胁的预防工作,(2)传递网络安全实践的信息,(3)通过保护被侵犯的数据来救济损害,(4)在国家基础设施遭受网络攻击后恢复公共和私人系统。为了更好地传播信息,他们建立了各种非正式的安全网络,将各个计算机安全事件响应小组连接起来以促进集体网络安全。这样的“围墙花园”(walled-gardens)仍然是计算机应急响应小组彼此交流的主要方式。
随着计算机应急响应小组不断改变职能以满足各自政府的需求,其职能可以扩大到执法或情报活动。这可能会改变他们发现系统脆弱性的能力,或让网络成员怀疑他们将收集到的信息用于目的。尽管他们自身没有过错,计算机应急响应小组仍然面临着不被信任的风险,导致他们难以发现最新的漏洞,使他们处于信息真空中。计算机应急响应小组联合可以比单兵作战创造更多的网络弹性。由于这些网络由公共和私人部门团队组成,某国政府限制其中一个部分可能会削弱网络安全能力,增加金融不稳定风险。
在更高的政策层面上也存在类似的错位。例如,美国的战略将某些私人企业列为对国家经济安全造成灾难性影响的关键基础设施的一个子集。然而,目前美国的网络安全政策已从防御转向威慑。由美国8家大型金融服务提供商的负责人于2016年成立的金融系统分析与恢复中心(Financial System Analysis and Resilience Center)与美国政府共同启动了一个试点项目,以共享可能对美国造成威胁的数据。在情报中增加金融机构的角色是一大挑战。各国现在必须仔细考虑美国金融服务提供商的分支机构在其管辖范围内收集和传输信息的程度,这一举措可能会阻止一些信息的共享。随着其他国家采取类似的做法,信息碎片化的风险也增加了。最后一个挑战来自敌对政权故意和秘密地利用网络发动攻击。这种情况下,可以完全排除为了金融稳定在网络领域进行的合作。然而,这种情况下,各国和各地区往往有独立的、相互独立的金融科技网络。
另一网络风险来自于网络多样性的缺乏,即大多数大型机构使用相同的IT系统(软件、基础设施、云计算),针对一家机构的网络攻击也可能成功针对另一家使用类似IT系统的机构。新冠疫情的流行说明了向数字化的过渡的风险,特别是远程工作可能并不完全安全。因此,不仅是技术的使用,而且技术应用的一致性(这是技术经济固有的)都会产生新的风险。
传统的关键基础设施的网络安全防护通常被认为是成熟的,但金融科技带来的数据和资金流的增长可能会产生一种危险的相互依赖关系,从而使利益相关者忽视网络弹性的问题。为了解决上述风险,本文建议在国际上扩大网络事件的广度,不仅评估系统弱点和成本,而且明确责任分配,这可能有助于减少网络危机的不确定性并有且促进法律责任框架的构建。这一举措也可能会使道德风险“太大而不能倒”和“太多连接而不能倒”的相关问题显现出来。
在问题上,本文还建议在现在的基础上开展全面的监管工作,仔细审查与确定易受网络攻击和有可能影响金融稳定的实体,并在国际层面上与其他相关方分享情报。政策差异可能导致相关方的不信任,因此非机制可能是更为合适的。红十字国际委员会提供了一种能够追踪国际风险传递威胁的协调者模式。这样一种模式对于在动荡时期实现最低水平的合作可能特别重要。
在国内层面,显然需要采取多层次的办法,即在单个机构和整个金融业的“三道防线”(管理控制,风险控制和合规控制,第三方审议)的背景下,在国家(处理问题)、部门(例如金融部门,处理金融稳定问题)和行业进行协调。
除了网络安全之外,数据在金融领域的作用日益重要。不同的经济体针对数据保护制定不同的政策。美国、中国和欧盟是制定法律规制数据使用、数据所有权和数据保护的主要例子。值得注意的是,欧盟的《通用数据保护条例》(General Data Protection Regulation, “GDPR”)可能是迄今为止最雄心勃勃、最协调的法律方法,反映了对个人隐私的关注;美国目前则普遍采取了一种商业友好的做法,其基础是有限的监管和完全的可转让性,数据治理问题的细微差别只能通过联邦贸易委员会(Federal Trade Commission)等联邦机构来解决。然而,这一方式正在迅速变化,加利福尼亚州颁布的新立法在许多方面与GDPR相似。政党和大多数主要技术公司现在都同意需要在该地区制定新的联邦立法。中国在数据市场上基本采用了美国式的自由放任政策,但在国家数据收集和使用方面却有着非常高的自由度。这些变化深刻反映了数据在数字化社会和经济中的问题:谁拥有和控制数据,以及所有权和控制到底意味着什么?
在研究相关问题时,必须区分数据安全或保护风险(关于数据保护,通常与网络安全风险重叠)和数据隐私相关风险(关于个人数据的收集和使用,特别是在具有广泛隐私保护的法域,如GDPR)。由于国家法律规制的不同往往会增加数据安全和隐私技术风险,本文特别确定了三种数据安全和隐私风险:(1)数据处理不确定性风险,(2)金融科技系统整合风险,(3)监管科技介入和风险承受能力。
越来越集中的数据节点与更多层次和形式的分析和使用的复合效应尚不清楚。鉴于当前倾向于建立“基于实证的政策”,以避免过度限制增长,法律框架的构建通常不会考虑宏观审慎数据风险。因此,数据和隐私的预防原则仍然是全新的。例如,根据欧盟GDPR,数据控制者要求的影响评估测试仍然是抽象的或不精确的。监管机构对恶意或过失数据接合和跨法域传输造成的损害缺乏清晰的认识。为了避免因设定狭隘的基于目标的规则而误解数据风险,监管部门正在通过审查算法的技术结构及其数据分析的可审计性来增加数据处理者的责任。虽然这些措施有助于回顾过往发生的事件,但在减轻或防止损失方面效果不佳。
2018年,卡斯滕斯强调了金融科技向金融中介或“在线货币市场基金”(online money market funds)扩张的相关风险。某些金融科技企业的规模是造成信贷风险、流动性风险以及投资者连锁反应风险的原因。传统银行将小额存款合并成大额,而金融科技则依赖于内部来源、银团和网上销售信贷的混合。使用专有或二手的非传统银行数据可能会由于可用数据样本的大小带来不同程度的风险。由此,一刀切的监管解决方案可能并不可行。例如,中国为大型科技企业制定了单独的规范,要求托管账户的准备金以及通过授权结算的支付准备金达到一定要求。
能够访问大数据的企业所享受的复合网络效应使旁人难以参与,从而抑制了竞争。即使监管政策试图通过限制数据收集和保留来弥补这种不平衡,现有数据也提供了大量可规避传统合规要求的阅读和分析形式,这一现象给监管者带来了持续的挑战。能够获取大量数据的企业还受益于运营市场中信息的高度对称性,任何试图激励企业向某一方向发展的努力都必然会面临国际上的挑战(译者注:例如将企业转移至其他法域),而碎片化的监管框架又加剧了这一挑战。
如果公共部门和私人部门分担数据风险,监管机构将需要足够的法律和技术能力来有效评估和影响数据驱动的经济。在这方面,数据的三个属性带来了特殊的挑战:(1)数据的广泛性为全面调查和监测带来了压力,(2)数据结构的多样性为标准形式的转换带来了困难,(3)数据质量评估需要了解和比较上游和纵向数据来源和点,使调查负担指数化增长。数据调查还受到跨法域协调的影响,比如不同的调查方式和调查授权、调查能力。
在全球范围内,标准化措施,如法律实体标识(legal entity identifiers, “LEI”),对数据校正有很大帮助,但它们发展缓慢。数据访问共享是稀缺的,甚至是有争议的。例如,美国《澄清域外合法使用数据法案》(Clarifying Lawful Overseas Use of Data Act)规定,谷歌和亚马逊等云服务提供商有义务根据保证或传票向执法部门提交数据,即使数据在另一个国家。欧盟当局报告称,该法案与欧盟的GDPR相冲突,体现了更新包括比例性和数据最小化原则的司法协助条约的迫切需要。企业为了同时遵守这两项规定,可能需要对自己的网络进行全面细分,将漏洞转移到被剥离的分支机构。如果数据访问仍然是一个不公平的竞争环境,信息不对称将限制预防性和反应性风险管理。
数据安全与隐私风险与网络安全的不同之处在于,数据安全与隐私风险与已收集数据的收集、利用过程与真实性有关,而不是与数据的保护有关。因此,监管者应持续关注公共部门的完整性缺陷、重新识别的风险等。这需要足够的资源和授权来调查复杂的数据流。一旦开始调查,法律风险管理框架需要创建和更新。为了有效跟踪数据,监管应该在国际上进行协调。与网络活动类似,数据专家的交流是推进更有效数据评估的最佳方式。本文支持现有的方案,加强公私合作关系,以便更好地理解技术风险。
除了网络安全和数据保护之外,新金融参与者(如金融科技企业和大型科技企业)也引发了潜在的担忧。从系统性风险的角度来看,风险并不源于金融科技企业本身。金融科技企业是由问题驱动的企业,往往从初创企业逐渐做大。大多数金融科技企业并不寻求破坏现有的中介机构;相反,他们希望与中介机构合作并使其成为他们的客户。由此,真正的金融科技创新才得以快速发生。因此,平衡比例的监管方法是最合适的。然而,大型科技企业参与金融事务是一个值得关注的问题,特别是考虑到它们在市场供应链中日益重要的作用。
根据巴塞尔银行监管委员会的定义,大型科技企业是指在全球范围内活动并在数字技术方面具有相对优势的科技企业。大型科技企业通常通过互联网和/或IT平台向最终用户提供网络服务(搜索引擎、社交网络、电子商务等),或者为其他企业提供基础设施服务(数据存储和处理能力)。这些大型科技企业通过两种方式与金融市场相连。首先,它们可以作为金融中介机构的第三方服务提供商,比如亚马逊和其他企业提供的云服务,或者提供给银行和资产管理公司用于通知风险模型和计算的数据源。其次,大型科技企业可以直接提供金融服务。随着时间的推移,最初充当金融服务提供商与客户渠道的大型科技企业可能开始作为科技金融企业直接向客户提供金融服务。
无论是第三方IT服务还是类似科技金融的金融服务,大型科技企业的商业模式都有可能产生系统性风险。比如规模快速增长带来的“太大而不能倒”风险,以科技金融企业(亚马逊和阿里巴巴)为例,大型科技企业越来越多地进入金融领域,通常受益于:(1)与传统金融机构的监管缺口/差距;(2)范围经济和规模经济;(3)网络效应(即数据和金融集中的趋势)。这一现象表明,科技金融企业事实上可能会增加“太大而不能倒”风险,此外还会引发对竞争和数据保护的问题。再如“太多连接而不能倒”风险,在数字化金融的世界里,所有的东西都是通过数据源连接起来的,这种连接会增加系统性风险,特别是传统的银行所有和运营的基础设施都被其他具有系统重要性的金融机构取代。其他机构可能不是传统意义上的金融中介机构,即根本不受监管,也不受我们与系统性风险相关的措施的约束,比如在数据源、云服务(为金融企业和监管机构提供数据和托管服务的非金融企业)等领域的市场集中。此外,金融方面的网络安全风险也急剧上升。
本文认为,金融领域的大型科技企业兼具规模性与连接性,这会产生相当大的潜在系统性风险。缺乏透明度以及金融服务业规模的迅速扩大,有力地说明了有关大型科技企业的监管行动应列入监管议程。
与金融科技企业(Fintechs)不同的是,科技金融企业(进入金融领域的大型科技企业)往往是金融领域之外非常重要的企业。由于其规模,科技金融企业从进入金融服务市场的那一刻起就与许多机构建立了联系,例如,它们充当了和持牌机构连接的渠道。此外,由于其数据能力,科技金融企业从进入时起就对相关金融机构产生影响,并在它们开始提供受监管的金融服务时就迅速控制整个细分市场。
金融服务的治理和披露框架并不是为科技金融企业而设计的:金融中介机构应该是处理金融信息的专家,以便根据预期风险回报率将现金流引导至最需要的地方。这一范式受到科技金融企业的挑战。如果科技金融企业拥有比传统金融机构更好的数据,即可以更有效地提供金融中介的功能。然而,至少在今天,科技金融企业的大部分业务都是在不受监管的环境中进行的。科技金融企业直到在申请金融服务牌照时(进入金融服务市场很长一段时间后)才开始受客户/投资者保护规则与确保金融市场运作和防止系统性风险积聚的规则的约束。
此外,从现有持牌金融中介机构的角度来看,科技金融企业提供了不平衡的,甚至可以说是不公平的竞争。初始牌照的固定成本、监督和相关审查的持续成本,意味着持牌中介机构比无牌中介机构承担更高的支出。长期来看,持牌金融中介机构注定会输掉这种竞争,因为它们的基础成本较高,应对竞争挑战的灵活性有限。这种不平等的竞争环境显然增加了监管套利和不公平竞争的风险。
风险来自于科技金融企业快速扩展的潜力。一个企业或产品现在可以从“太小而无暇顾及”快速转变为“太大而不能倒”——这是过去十年金融科技时代的核心特征。例如,蚂蚁金服运营的余额宝在其运营的前十个月里成为全球第四大货币市场基金,这导致中国监管机构做出了迅速、严格的回应。2017年4月,中国监管机构取消了一些监管,余额宝在成立仅四年后在全球所有货币市场基金中占据首位。2014年10月,阿里巴巴决定将蚂蚁分拆为一家独立的持牌金融服务控股公司(尽管仍由其继续控制)。这是监管机构担心支付宝和余额宝可能产生系统性风险的直接结果,并导致中国决定建立一个监管机构专门处理金融机构产生的问题。同样,移动货币平台也有类似现象,如M-Pesa在一些非洲国家有很大的系统重要性,MercadoLibre(有支付和金融子公司)和俄罗斯金融平台提供商Tinkoff在各自的国内市场也都具有系统重要性。
虽然科技金融企业为消费者带来的很大的便利,但它们的出现体现了一些潜在风险。这些风险来自于它们的规模、互联性以及在提供系统重要性基础设施方面的作用。从历史来看,少数人控制金融服务领域重要细分市场往往会导致重大的金融危机,例如21世纪初的会计欺诈和2008年危机中的信用评级机构,以及过往许多危机中的系统重要性金融机构。会计师事务所和评级机构仅仅是与系统相连的数据提供者(类似于早期的科技金融企业),而系统重要性金融机构通常规模庞大(如提供受监管服务的科技金融企业)。与科技金融企业不同,这三类机构如今已经受到严格的监管。
然而,科技金融企业绝不是没有风险的。只要科技金融企业不在监控或监管范围内,向金融监管机构提供信息就不是强制性的。因此,如果没有经验和监控,我们根本不知道技术带来的所有风险。这一风险的后果往往出人意料,尤其是当人工智能和机器学习(AI/ML)应用于大型/新型数据集在金融服务中变得越来越普遍时,因为底层算法非常复杂且几乎不透明,而且自我学习算法的行为通常无法预测。此外,我们缺乏对基于AI/ML定价模型的经验。如果金融法不做出规制,潜在的系统性风险可能会在未被观察、未被缓解的和不受控制的情况下积聚起来,而且从长远来看,下一次全球金融危机很可能来自科技金融企业的漏洞,而不是持牌的金融机构。这种担忧导致中国决定在2018年末将蚂蚁金服列为系统重要性金融机构。
在大型科技企业的案例中,数据源多样化可以化解连接性带来的系统性风险。但在科技金融企业的案例中,数据源多样化无法化解同时由规模和连接性带来的风险。其中一个重要问题是科技金融企业早期阶段在金融中介和客户之间的渠道功能。有人可能认为,科技金融企业早期的渠道功能仅仅是数据传输的功能;而数据传输并非需要监管的特殊活动。然而,高度集中的市场促使监管机构要求金融机构实现数据源的多样化。与科技金融企业的不同之处在于,数据传输是一项后端功能,而科技金融企业还为金融机构提供前端、覆盖式服务(又被称作金融生态系统或平台技术)。科技金融企业的渠道功能不能通过监管机构的数据源多样化要求来解决,因为金融机构不能轻易地改变“服务提供商”而终止与科技金融企业的合作的后端关系,这将使金融机构失去与其最宝贵资产——客户——的联系。因此,正如下文会提到的那样,本文建议通过适度的监管介入来监管数据收集和分析。
由于科技金融企业通常不直接获得客户资金,许多基于资产负债表规模、风险敞口或资产管理的既定金融监管门槛将不会被触发。为了设定适当的门槛,监管机构必须制定新的标准。这些标准可能包括数据点的总数,或持有人口数据的比例,或反映非常重要数据集的其他措施。
如果金融数据收集和分析成为受监管的活动,一旦科技金融企业对金融稳定产生重要影响,防范系统性风险的措施将立即适用,这将由“太大而不能倒”或“太多连接而不能倒”测试决定。如果科技金融企业是一家重要银行或多家具有系统重要性的银行的主要客户渠道,科技金融企业将变得像新的首席执行官或新的商业模式一样重要。正如新的银行首席执行官和其他关键员工将受到监管审查,监管将要求科技金融企业满足“适当”的要求,并要求科技金融企业提供足够的资源来维持这一职能。
一旦监管机构得出科技金融企业具有系统重要性的结论(例如科技金融企业的数据对具有系统重要性的金融机构至关重要,或者科技金融企业为几个具有系统重要性的金融机构提供主要客户接入),本文建议采取措施控制和限制系统性风险。在第一种情况下,这可能需要重要金融机构使其数据来源多样化。在第二种情况下,我们建议(1)科技金融企业的结构要求(与实体、IT、资本有关的金融隔离规定;维护和清算的最低资本;以及分别按国家或市场划分的活动),(2)授权监管机构停止该活动(同时保留客户数据),或(c)任命一名专员出于公共利益的需要而负责科技金融企业业务中隔离的部分。作为危机处置计划的一部分,监管机构必须询问服务提供商如何确保在危机时期基本设施的可访问性。对于数据驱动的业务模式,如科技金融企业的业务模式,危机处置计划必须说明即使金融业务破产,如何确保他人能继续访问数据。例如,监管应要求数据密集型金融公司与其母公司签订许可合同,以确保即使金融公司破产的情况下,其数据提供服务仍然具有连续性。因为没有这些数据,整个公司都会受到威胁,而且大数据公司的科技金融部门很少能完全拥有它所提供的数据。
介入系统性风险的举措甚至可以更进一步。由于为公众利益专门运营数据提供商不是一个长期的解决方案,在某些情况下强制实施开放数据政策作为一种特定系统性风险措施,可能会减少对长期额外监管介入的需要。值得注意的是,与开放银行的支持者相比,本文并不主张在任何情况下都采用开放数据的政策,而只是将其作为一种对数据驱动的大型金融服务企业采取的特定危机措施。
除了数字环境(特别是网络安全、数据保护和隐私)和新金融机构(特别是规模和网络效应)带来的新风险外,新形式的数字金融基础设施也带来了新的风险。大型科技企业在这一发展过程中发挥了重要作用。例如,在中国,大型科技企业通过使用第三方支付服务(而非传统银行)为超过一半的人口提供服务,这一业务在2017年达到了国内生产总值(GDP)的16%。这些企业的活动正迅速扩展到信贷、保险、投资服务,并在多个行业建立复杂的互联网络。肯尼亚、印度、俄罗斯等其他国家的情况也与中国类似。
尽管在美国或欧洲等银行现时支付占主导地位的地区,新的支付服务仍由传统银行基础设施支撑,但金融科技企业不断增长的市场份额预示着传统银行业务将融合到新的基础设施中。以中国为例,这种变化的速度和范围会导致金融结构的整体性变化。
对金融基础设施的关注并不新鲜,自1974年赫斯塔特银行和1987年香港证券和期货交易所倒闭以来,金融监管的重点放在了支付系统和证券清算和交收系统上。这两个问题都由国际清算银行(BIS)支付和结算系统委员会和国际证券事务监察委员会(IOSCO)处理。自2008年以来,随着金融稳定委员会和国际清算银行-国际证监会组织(BIS-IOSCO)支付和市场基础设施联合委员会(Joint Committee on Payment and Market Infrastructures)的更名,人们对“金融基础设施”(FMIs)的关注急剧增加。自2008年以来,人们一直在讨论中央结算所的风险,以及集中和系统性依赖的新风险是否超过了降低交易对手方风险的好处。新冠肺炎危机也突显了升级数字金融框架的迫切需要。显然,网络安全问题与衍生品中央交易对手方(central counterparties, “CCP”)和类似基础设施直接相关;还有“太大而不能倒”与“太多连接而不能倒”问题,特别是在使用区块链或稳定币等新技术的新进入者试图扰乱现有市场和参与者的情况下。
然而,除此之外,我们也看到了新形式的数字金融基础设施的出现,特别是在云服务的背景下。云服务在金融领域发挥着越来越大的作用。新的金融科技企业通常整个业务都是基于“云”的——这是数字化和数据化发展一个范例。与此同时,传统金融机构不仅使用云服务为现有系统提供备份,而且越来越多地通过云服务构建新系统和替换现有过时的系统。
在向金融中介机构提供IT或数据的情况下,中介机构面临来自第三方服务供应商的运营风险,特别是网络风险。例如,当亚马逊在香港的云计算数据中心出现故障时,美国证券交易委员会(SEC)的网站以及Netflix等许多面向消费者的服务都瘫痪了。此外,许多金融中介机构将核心职能外包给这些平台。例如,全球最大的资产管理公司黑石公司开发的后台软件平台“阿拉丁”受到全球约25,000名专业投资人士的依赖,用于管理全球约7%的金融资产,包括其他十大资产管理公司的资产。而金融监管通常不适用于大数据提供商。IT或数据提供商通常不属于金融监管的范围:金融监管机构不仅缺乏这些公司及其在整个金融部门互联互通中作用的信息,也缺乏监督或监管的工具。
金融法通常通过对金融企业施加严格的外包要求来应对非监管范围的企业造成的风险。无论信息技术是否外包,金融企业都需要确保系统稳定。但一家银行应该如何确保一家大型科技企业提供适当的服务?(即使是摩根大通或高盛也难以做到)银行不可能监管市值是自己数倍的企业,也不能实施控制措施,以确保大型科技企业的云中心正常运行。云服务背景下的此类问题引发了越来越多的讨论,即这些企业是否应该被视为具有系统重要性的基础设施提供商,并进行相应的监管,就像某些支付系统或证券一样。关于云服务是否是一种公用事业,是否需要与其他科技企业分开的相关讨论也在进行中。
控务提供商的另一种选择是多样化。例如,金融法可以要求任何金融企业必须在三个彼此不相关的提供商上拥有镜像云服务器。虽然强制多样化确保了一些安全性,也对供应商的市场结构产生了一些积极影响,但它也带来了成本增加和其他问题。首先是网络安全。提供商持有中介机构的金融数据越多,内部数据(窃取、操纵或滥用)或外部网络攻击的风险就越大。其次,数据流和服务器空间的强制多样化剥夺了数据通信的一些好处。这会减慢网络速度,并造成混淆风险:如果数据存储在由许多不同云服务提供商组成的区块链上,那么在区块链上存储数据本身就会耗费额外的时间和资源。如果经纪系统同时在三个不同的数据流上运行,并且其中一个数据流显示的数据与其他两个数据流不同,那么哪个数据是正确的,经纪人应该基于哪个数据流进行数十亿美元的交易?云存储以及为金融服务提供数据的市场的高度集中也加剧了这些风险。其他例子来自对少数数据提供商的依赖,这反过来因为相似的商业模式也增加了互联性的风险、集中度的风险和依赖度风险。(2008年之前的资产证券化发生了这种情况)
无论是区块链、加密数字货币还是代币销售,现在的系统性风险都没有大到需要对科技产品进行新形式的科技投资干预的程度。虽然首次代币发售数量的增长确实令人震惊,但目前缺乏受监管的金融中介机构大量参与此类产品的证据。相反,银行首席执行官的公开声明表明他们并未参与此类活动。然而,这种情况可能会改变,这种变化的最初迹象可能会在越来越多的所谓的加密对冲基金和受监管的投资基金中找到。鉴于首次代币发售市场的迅速增长,监管机构需要严格执行现行法律,密切监测市场,并在全球范围内合作,以确保系统性风险得到控制。
数字化更为明显的风险是安全风险,即网络安全和数据保护。数字化过程在许多情况下涵盖了整个行业。即使政策制定者和监管机构遵循我们的建议,有一件事不会也不可能改变:对技术的依赖,以及暴露在技术和人为失误的风险。与此同时,金融风险并未降低,网络风险、数据风险、技术风险、金融风险不断积聚。技术风险这一新类型的风险现在构成了风险的一种主要形式,与其他传统的金融风险类别并驾齐驱。数字化(数据通信)、网络安全和“太大而不能倒”“太多连接而不能倒”问题共同创造了一个金融体系比以往更脆弱的世界。与此同时,正如当前的疫情所表明的那样,数字化在现代社会的运行中正变得越来越关键。在技术风险是不稳定的新驱动因素的情况下,监管机构需要关注这些新形式的风险上,无论是独立风险还是它们与其他形式的联系风险。
从某种意义上说,国际金融体系及其参与者的许多特征可以类比国际数据网络,特别是其参与者科技金融企业。两者都涉及大量集中、相对无摩擦的活动,需要增加透明度和控制。双方都在讨论国际集中化或区域化的好处,区别仅在于国际数据网络讨论的对象是数据而不是货币。现在这两个领域都因为其潜在的波动性、风险敏感性和传染效应被仔细审查,且两者都需要在结构层面特别关注。因此,科技金融企业由于其在金融等多个并行领域中的日益增强的作用而需要审慎监管也就不足为奇了。
总之,我们介绍了监管和监控网络安全和技术风险的一些基本原则,同时也概述了现有或传统方法的不足。就重要性而言,网络安全和技术风险,作为运营风险的一部分,与传统金融风险相辅相成。技术风险会更多带来潜在不稳定性而非市场发展,因此,本文建议监管机构关注这一新的风险类别。在应对方案上,监管体系在全球技术风险方面的缺陷与我们在全球金融中心之前经历的其他新形式的系统性风险类似。这些缺陷包括监管漏洞、监管机构之间缺乏协调、信息不对称、金融中介机构和监管机构方面缺乏专业知识,以及中介机构方面缺乏意识或投资。
本文鼓励制定新的风险议程,积极应对全球技术风险。它应该包括从新冠疫情中获得的洞见,包括寻求政策协调和行动以利用数字渠道更好地引导资源,以及这些渠道必须在危机时期发挥良好作用。从监管的角度来看,这样的议程必须包括七个步骤。
首先,监管机构必须优先考虑内部和外部的技术风险。技术风险应该与金融风险应该得到同等重视。在监测新的风险和收集非传统形式的信息方面,这一点尤为重要。为此,可以监管机构可以要求任命一名首席技术风险官(Chief Technology Risk Officer, “CTRO”),或在董事会层面设立一个类似的职位,以强调这类风险的重要性。与此同时,监管机构应要求金融中介机构任命负责网络、技术和数据风险的首席技术官或同级别的高级管理人员,或者至少在任何一家公司的风险委员会中任命一名此类人员。此外,首席技术官所做的网络风险的报告应成为当局以及中介机构高级管理层会议的核心议程。
其次,监管机构需要加强内部的技术专业知识,以了解他们所监控的金融系统的这些新风险来源,并能够与中介机构讨论技术问题。本文尤其鼓励FSB、IOSCO等全球政策机构设立技术委员会和技术专家小组。
第三,监管机构必须继续加强对中介机构关于技术风险管理战略、用于系统稳定和网络安全的预算和人力资源等细节的报告要求。这些报告应当包括技术细节,并由监管机构的技术部门审阅。
第四,监管机构必须在现场和非现场监管的背景下优先考虑这类风险,以了解中介机构是否了解这些风险,以及它们如何应对这些风险;在走访时,监管者需要与技术人员而不是高层管理人员或法律部门沟通。当然,在监管机构方面,技术专家和监管专家也应当出席。
第五,监管机构必须努力将与金融稳定相关的网络安全去化,以促进政府间或部门间合作的发展,使之能够预防和防御网络事件,特别是考虑到日益增长的金融互联性。连接到金融数字化网络的“网络安全孤岛”增加了风险传递的风险。
第六,监管者需要利用新技术。由于全球性金融危机后的额外报告要求,监管机构需要应对巨大数据流。新技术是利用监管科技应对数据流的重要部分。尽管监管机构可能也会受到技术故障的影响,但是新技术将会使他们学会处理大型科技项目,并知道他们应当向中介机构提出何种要求。
第七,监管机构应继续协调网络和数据政策,以避免摩擦和不确定性,及时改变或废止可能影响金融稳定的规则。这一举措对防止可能加剧破坏稳定行为的“逐底竞争”有一定作用。
由于金融科技的原因,技术风险正在成为风险水平的主要标准。新的技术风险迟早会转化为金融风险。然而,监管机构不能等到技术风险现实化才开始监管。监管机构需要面对未知事物,并提升技术专业知识以监管大型科技企业。对于所有监管者和学者来说,这都是一个非常艰巨但无法避免的挑战。