清华大学金融科技研究院周道许：加强金融科技安全立法，保障金融行业安全发展

　　4月17日消息，2022清华五道口全球金融论坛15日至17日召开，会议主题为“行稳致远，金融助力高质量发展”。清华大学金融科技研究院金融安全研究中心主任周道许出席并发表演讲。

　　周道许指出，当前，金融行业已进入全面科技化阶段。金融科技安全是国家金融安全的重要内容之一。面对金融科技创新带来的多形式、多维度、多受众风险，加快推进规范、系统、可预期的立法体系，既是宏观视角下，加强全面依法治国、提升国家治理水平的应有之义，也是微观视角下维护金融行业秩序、规制金融机构业务、提供金融创新指引和稳定金融政策环境的必然要求。

　　周道许强调，金融科技安全立法活动要立足于金融科技的转型引擎、防范化解风险利器的定位，统筹国内外、各领域、各区域、各主体发展情况，更好引领金融科技安全创新。增强安全立法的普遍覆盖性，逐步健全涵盖金融科技安全主要业务领域、技术环节和金融产品全研发周期的全面立法体系，补充完善数据安全等监管标准；划清政府与市场边界，变强制为引导，制定完善政务数据开放目录，合理制定定性定量监管指标，科学制定对运营方的准入与业务评估等监管要求，加强合规审计；逐步打破行业数据孤岛，关注对长尾用户开展服务的规范性与风险，统筹好发展与安全。

　　以下为周道许演讲全文：

　　各位领导、各位专家、各位老师、各位同学，线上线下的朋友们：

　　大家下午好！我今天演讲的题目是“加强金融科技安全立法，保障金融行业安全发展——关于我国金融科技安全立法的特点、难点和要点分析”。刚才张健华行长做了很好的启发性报告，其中也提到了立法的问题。我今天主要分享三个方面：我国金融科技安全立法特点、我国金融科技安全立法难点、我国金融科技安全立法政策建议要点。

　　当前，金融行业已进入全面科技化阶段。金融科技安全是国家金融安全的重要内容之一。面对金融科技创新带来的多形式、多维度、多受众风险，加快推进规范、系统、可预期的立法体系，既是宏观视角下，加强全面依法治国、提升国家治理水平的应有之义，也是微观视角下维护金融行业秩序、规制金融机构业务、提供金融创新指引和稳定金融政策环境的必然要求。

　　一、我国金融科技安全立法特点

　　一是形成了以全国人大立法为纲，以行业主管部门、监管部门和地方政府规范为目，涉及金融科技安全各个方面的立法体系。

　　近年来，党中央、国务院高度重视金融科技安全方面的立法工作，为促进金融科技安全发展提供了有力保障。从全国人大、国务院、中央部委到地方人大，出台大量专门法律，与修订后的相关法律和部门制订的各类规范性文件相配合，总体上涵盖金融机构安全、金融业务安全、网络安全、信息安全、数据安全及金融基础设施安全等领域。目前，我国以《国家安全法》《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》以及4月6日公开征求意见的《中华人民共和国金融稳定法》等多部目的明确、条文细致的上下位法和配套法律、法规、条例、指导意见等，共同组成了我国金融科技安全法律体系，为金融行业安全发展提供了良好保障。

　　二是反映了总体国家安全观的要义，勾勒出我国统筹发展和安全的立法逻辑主线。

　　在有关金融科技安全的立法活动中，统筹发展与安全的思想贯穿于多部法律，并具有原则化表述，如《国家安全法》第20条规定，“维护金融安全的任务是：国家健全金融宏观审慎管理和金融风险防范、处置机制，加强金融基础设施和基础能力建设，防范和化解系统性、区域性金融风险，防范和抵御外部金融风险的冲击。”

　　又如《数据安全法》第十三条规定，“国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。”

　　三是划出了金融科技安全的界线和红线，通过政策导向和重点管理内容使安全体系日臻成熟。

　　首先是界线。相关立法活动划出了包罗机构、业务、信息、数据、技术、用户、监管等多个维度安全的金融科技安全界线。如提供支付服务的机构在保障其金融业务必须满足资本、杠杆等规定之余，还要满足传统金融安全界线之外的，由电信、网信等部门发布的，诸如移动端的系统等不受破解侵害、收集的数据处于“必要范围”之中等安全要求。即一切与金融科技密切关联的内容，都将受到法律规制，并处于金融科技安全的“界线”之内。其次是红线。相关立法活动划出了涵盖个人隐私至上和系统性风险防范等方面的金融科技安全红线。金融科技带来的风险，最终都要作用到具体的人或企业上。对用户来说，公民个人可能因接受金融服务而成为隐私数据泄露、窃取、非法买卖等行为的受害者，所享有的最基本权利直接面临不法威胁；对企业来说，机构间可能存在交易密切关联、业务复杂嵌套、算法技术近似等现象，一旦存在密切往来的庞大机构出现严重问题，就可能连带恐慌情绪猛烈冲击金融行业声誉，进而发生恐慌挤兑，造成企业连环倒闭等系统性破坏。基于以民为本和对系统性风险“零容忍”的一贯监管取向，有关立法活动将对大量可能触及这两方面的内容作出层层限制或禁止规定，划定了金融科技安全发展的“红线”。

　　四是突出了对用户隐私的保护，从多层次、多方面、多角度维护用户的合法权益。

　　以反垄断、反“杀熟”来消减用户群体的交易劣势，以限采集、选协议来消减用户群体的使用劣势，以限推荐、反跟踪来消减消费者的认知劣势，这些规定切实体现了以人民安全为宗旨，切实维护广大人民群众安全权益的安全管理要求。

　　二、我国金融科技安全立法难点

　　首先是关于数据所有权、交易权、收益分配权确权和数据交易的法律问题。现在全国各地成立了很多数据交易所，但是我们数据相关权利的立法迟迟没有推出来，可能有以下三方面原因：

　　一是单一数据难以确认交易价值。数据不是一个普通的排他性的生产要素，它是非排他性的。只有大数据才有用，所以把数据单独拆分在用户手里，其实并没有太多用处。数据必须是大数据、活数据才有价值，当把数据打散存放在用户身上的时候，这种小数据、一次性的截面式的数据没太大的价值。

　　二是数据开发使用和个人隐私的矛盾。基于商业目的的数据交易也常常伴随着用户隐私权被侵犯的风险。但如果不能够方便使用数据，过度保护用户隐私，数据技术进步就成了空话。

　　三是数据本身是生产要素，围绕数据进行的交易行为会涉及要素分配，如果处理不好会影响社会公平。将数据交易产生的收益统归于运营方无疑会扩大财富不均，甚至诱发平台“掠夺式”收集数据的可能。

　　之后是关于网络数据与司法证据间的法律问题。

　　一是网络数据规模呈几何式膨胀，流转路径庞大复杂，产生了溯源取证的客观难题。从信息收集环节看，在同业机构的信息收集范围，受相同约束的情况下，不同机构有对相同用户提供服务并收集相似信息的可能；从信息流转环节看，相同信息被多领域、多地域、多主体共享，且外界难以知晓机构对某一数据的实际掌握情况。一旦出现数据泄露，难以就被侵权的数据片段进行溯源取证并相应追责。

　　二是国际间的数据政策壁垒加大了跨境取证难度。于2018年生效的美国《澄清境外数据合法使用法案》中规定，“云上存储数据的美国企业”和“与美国有足够关联且受美国管辖的企业”都要在美国政府提出要求时对其转交数据，这便构建了美国对境外数据实施“长臂管辖”的法律基础。而针对这一法律，欧盟的通用数据保护条例（GDPR）中也有类似规定。我国的《数据保护法》第三十六条对此要求“应当向主管机关报告，获得批准后方可提供”，这些对抗立法，在客观上增厚了国际间的数据壁垒，加大了跨境司法取证协作的难度。

　　三是由网络数据得出的分析结论成为司法证据的条件不易满足。基于证据的客观真实性、合法性和关联性要求，网络数据本身需要保证其与事实相关内容的全面、完整、真实性，不能存在因故意隐瞒或增删改原始材料而形成有利结论的基础；提供的网络数据需被合法取得，数据的处理分析过程需要保证真实、科学、严谨，分析方法与工具通常应得到业界的普遍认同或司法的认证同意；处理的过程和得出的结论需要满足个人信息保护等要求，并得出与认定事实有关的结论，才可能被考虑认定为司法证据。这一系列限制条件，网络数据本身要成为司法证据门槛很高，也很难达到，所以从网络数据到证据的路比较长。

　　之后是关于人工智能等金融科技参与交易决策的法律责任认定问题。

　　当人工智能等金融科技作为辅助或自主进行交易决策，并产生歧视、损失或可能导致进一步损失的风险时，对机构的法律责任认定却可能因“技术中性”或“技术黑箱”而被规避。

　　“技术中性”即技术本身无善恶、无目的，客观的数学模型或程序在进行决策时不具有人类的主观思考能力。但看似消除主观偏见的算法却可能在建构之初隐含着运营者的价值取向与利益导向，最初设置的歧视倾向也会在自主学习中逐渐成型，进而在形式上将主观问题包装成为客观失误，将自身从主要责任中剥离。

　　“技术黑箱”具有两层含义：一是因底层算法的交织嵌套与不透明性而对用户与监管部门及时了解识别风险造成阻碍的“外部黑箱”。二是由人工智能深度学习和自动优化的算法形成了可能对机构自身风险管理的“内部黑箱”。“技术中性”和“技术黑箱”两方面因素，导致我们很难辩明有关主体是否有主观恶意，并尽到保护责任，黑箱的存在使归责的责任难度陡然上升，我们在做法律认定时很难。在这方面，中国人民银行做出有益探索，也取得积极进展，受到业界好评。

　　为了全面提升人工智能技术在金融领域的应用和管理水平，推动金融与科技深度融合协调发展，中国人民银行于2021年3月26日发布了《人工智能算法金融应用评价规范》，针对当前人工智能技术应用存在的算法黑箱、算法同质化、模型缺陷等潜在风险问题，建立了人工智能金融应用算法评价框架，从安全性、可解释性、精准性和性能等方面系统化地提出基本要求、评价方法和判定准则，为金融机构加强智能算法应用风险管理提供指引。所以我们监管机构在这方面正引导人工智能健康发展，为金融赋能的同时防范风险、保障安全。

　　最后是关于基于区块链的智能合约的法律问题。区块链是我们金融科技最重要的底层技术之一，最终改变信用的分布方式，从中心信用转变为分布式信用。智能合约是参与方基于双方意思表示一致，而达成并自动执行的数字化契约。基于区块链的智能合约具有不可篡改的特征，在智能合约代码被编制到链上并经双方确认同意后，代码就能实现不被修改、不被终止地依据预设条件自动运行。

　　基于这一特征，便产生了智能合约法律有效性的多个问题。就是说对区块链智能合约在法律上存在争议有三方面难题：一是智能合约是否应当被视为法律意义上的合同。一个观点是不应该视为法律意义上的合同，另一个观点是可以视为法律意义上的合同。所以在智能合约方面大家有巨大的争议。如果按照有关定义将智能合约看作专用于执行的代码或应用程序，则更应将其视为合同履约工具；也有观点认为，如果将智能合约视为满足主体平等、意思表示一致等全部合同特征的契约，且满足《民法典》关于合同成立和生效等内容的规定，便可以将其视为生效的合同。二是现有法律缺少对智能合约的约束能力。代码不可篡改且自动执行的设计，突出了智能合约“代码即法律”的特点。这代表着，在区块链中，代码不依赖于由司法提供的强制力保障，同时司法也不直接具有干涉合约自动执行的能力。这种代码至上、逻辑至上的设计无疑构成了对法律约束力的挑战。区块链是技术层面的，法律是上层建筑，是国家制度层面的，所以变成了技术与国家制度之间的冲突。三是智能合约执行时的归责问题。代码是智能合约的存在基础，当因合同双方或由其聘请的第三方编写的代码出现错误，而导致交易不能执行或错误执行，抑或是在合同执行中，一方因发现合约漏洞，而要求另一方返还所得并重新订立合约时，造成的损失应由谁来担责尚不明确，而归责的基础依然建立在智能合约的法律认定之上。智能合约算不算合同的问题？类似于现在正在做的无人驾驶，技术上不是难题，一个是法律上的难题，一个是能力上的难题。比如设计一个无人驾驶程序时，是优先选择乘客，还是优先选择保护程序，我想机器人是不能识别的，需要算法决定，算法编制程序的人在决定谁的生命权至上的问题，这也是智能合约面临的法律问题。

　　以上就是金融科技立法面临的四大难题。

　　三、我国金融科技安全立法政策建议要点

　　要点一，坚持总体国家安全观的立法思路，走中国特色的金融科技安全立法道路，防范和化解重大金融科技安全风险。

　　金融科技安全立法活动要立足于金融科技的转型引擎、防范化解风险利器的定位，统筹国内外、各领域、各区域、各主体发展情况，更好引领金融科技安全创新。增强安全立法的普遍覆盖性，逐步健全涵盖金融科技安全主要业务领域、技术环节和金融产品全研发周期的全面立法体系，补充完善数据安全等监管标准；划清政府与市场边界，变强制为引导，制定完善政务数据开放目录，合理制定定性定量监管指标，科学制定对运营方的准入与业务评估等监管要求，加强合规审计；逐步打破行业数据孤岛，关注对长尾用户开展服务的规范性与风险，统筹好发展与安全。

　　要点二，加快我国金融科技安全专业立法，更好地适应金融科技快速发展变化的需要，更好地保障金融科技行业安全发展。

　　金融科技安全立法活动要突出对创新的包容和指引性，形成宽严相济的环境，以业绩分级分类为基础，允许金融机构在高风险、高危害范围外适度创新。要建立监管部门与市场沟通对话机制，促进双方相互了解行业发展趋势和监管要求。

　　要点三，借鉴国际金融科技安全立法的理念和经验，把握世界金融科技安全趋势，共同推进金融科技全球安全。

　　加强全球金融科技发展评估与风险监测，探索建立金融科技监管信息共享，风险联动应对和危机处置机制，加快网络安全、数据治理、跨境支付、反洗钱等关键领域的金融科技国际标准规则体系建设，切实解决好金融科技跨境监管和监管套利的问题，努力在全球范围内形成百舸争流、百花齐放的金融科技发展新格局。

　　谢谢大家！

海量资讯、精准解读，尽在新浪财经APP

责任编辑：李琳琳