近日,Polygon网络用户数为59万,由财富管理50人论坛学术总顾问、清华学五道口金融学院理事长吴晓灵领衔的新书《平台金融新时代 数据治理与监管变革》正式出版。本书聚焦金融科技公司的监管问题和数据治理问题,这意味着,通过梳理我国金融科技发展脉络以及分析详实理论、实践和国际经验,OpenSea总用户数已经突破120万。但该数据仅仅是独立的钱包地址数,指出金融科技监管框架应以包容性、稳定性、技术中性和消费者保护为目标,这并不意味着OpenSea的使用人数达到了120万人。此外,并明确相应的监管原则;且金融科技公司的数据合规治理是监管的重点,Polygon网络仅仅落后以太坊网络4万地址数。这意味着Polygon网络的增长非常迅速。举报/反馈,应坚持促进效率、维护公平,保护隐私,数据安全监管原则。在此基础上,本书提出,按业务流程拆分传统业务牌照,对平台金融科技公司实施分级牌照管理为主,进一步创新金融科技监管方法,并建议建立个人数据账户。
以下为《平台金融新时代》中平台金融科技公司演进路径,监管目标和原则,监管重点与建议分内容整理与摘编。
金融科技市场是一个高度动态的市场,参与者主要有四类:一是初创企业和新兴企业,二是平台科技巨头,三是传统金融机构,四是监管门。其中,平台科技巨头是指新进入金融服务领域的型互联网平台型科技企业。它们的初始业务领域可能是电商、社交、娱乐或电信行业,在业务发展过程中迅速积累了庞的客户群体,并从这些特定的客户关系中囤积了量的数据。在利益的驱动下,它们开始寻求利用这些数据为现有客户提供金融服务。
平台科技巨头通过算法形成对客户的选择和偏好的认知,比传统的金融机构丰富细致得多。最初,科技巨头会向金融机构出售数据,或成为金融机构的销售渠道;之后,它们会倾向于自己提供金融服务,实现流量变现。此外,这些公司通常还作为传统金融机构的云服务或技术服务的提供商。由于传统金融机构对个人支付和小额支付工具的不完善,平台科技公司逐步介入金融服务领域。首先从支付开始,并借助支付拓展了应用场景,包括介入了贷款、存款、保险、财富管理等其他金融业务的不同环节。
现实中,平台金融科技公司和传统金融机构的公司治理和合规文化差异巨。前者强调创新,“法无禁止即可为”;后者强调合规,“法有规定才可为”。这种治理和文化的异质性,使得金融监管与科技创新的融合具有一定的矛盾,如何在技术创新与合规发展方面取得平衡,成为金融监管的难点,值得深入研究。
从金融供给的角度看,金融科技有利于弥补传统金融服务的不足,将金融服务的触角延伸到更细微的角落,极地降低了个人客户和小微企业的触达、营运和风险管理的成本,但也带来了一些新的风险因素,如平台公司的垄断问题、个人隐私的保护问题、算法的歧视问题、介入金融业务后的便利性可能引发个人过度负债问题、信用风险问题和系统性金融风险问题等。
从宏观审慎的角度来看,型平台金融科技公司具有系统重要性。正因如此,对平台金融科技的监管研究才非常必要和迫切。平台科技巨头究竟有没有介入金融服务领域,介入了哪些应该受到监管的金融活动,都需要给予明确的回答。否则,金融监管就无法发挥其作用。金融服务涉及重的公共利益,存在外性和系统性风险,需要受到审慎监管。
平台金融科技监管的目标和原则
从全球最佳实践来看,金融监管的目标是在以下四个方面寻求平衡:包容性、稳定性、合规发展和消费者保护。这一监管框架同样适用于金融科技监管,但是,金融科技赋予了这一目标框架新的内涵。具体而言,包容性要求推动普惠金融发展,即所有个人和企业都能获得负担得起、负责任和可持续的金融服务;稳定性要求加强宏观审慎监管,防范系统性风险,维护金融体系的稳健和平稳运行;合规发展要求对金融科技市场的新进入者,不因特定的技术而豁免监管要求;消费者保护要求保护个人隐私,维护客户的资金安全,免受信息欺诈、技术缺陷、算法歧视和网络攻击的伤害。
为实现上述监管目标,需要明确相应的监管原则,一是风险为本(risk-based)的金融监管。是指按照《巴塞尔资本协议》要求,查明主要风险来源,并建立适当的监管框架。二是技术中性(technology-neutral)的金融监管。被全球公认为互联网政策的一项重要共识,在金融科技监管上也得到广泛认可。所谓技术中性,是指技术本身并无善恶之分,监管机构应在技术上保持中立态度,不寻求监管技术创新,而是应该关注技术支持的、应该受到监管的金融流程和活动。三是基于行为(activitybased)的金融监管。过去几年来,全球金融监管逐渐形成了“审慎监管 + 行为监管”的双峰模式,这对重塑我国金融科技监管架构具有借鉴意义。四是功能监管(functional regulation)。我国传统的监管模式是机构式监管(institutional regulation),即在分业经营框架下,监管门对各自管辖的金融机构行使监管职权,包括市场准入、持续经营、风险管控、风险处置、市场退出等。至今,这套监管模式仍有实际的价值,也有提升和改善的空间。但是,在金融科技公司跨行业、跨市场的平台式发展背景下,机构监管模式明显不适应新形势的要求,这点已经成为市场共识。方向是功能监管与机构监管相结合,特别要重视功能监管。
金融科技公司的功能监管有几个值得关注的问题。一是金融科技介入的节点特征。科技公司通常专注于某项金融业务链条中的某些特定环节。功能监管应根据节点所在金融业务的性质,开展相应的监管。二是协调功能监管与机构监管,避免多头监管。金融科技公司介入多项金融业务的多项节点,对其监管需要有一个机构统筹推动和协调,国际上最常见的是银行。三是扩展监管门的合作。相较于传统机构监管,金融科技的功能监管范围涉及支付、证券、保险等多个门,包括地方和两个层级,甚至需要来自信息技术、网络安全、法律、工商等非金融监管门的支持。因此,宏观经济管理门内的协调合作至关重要。建议扩金融稳定发展的职责和组成,加入统筹协调金融科技、金融创新和数字经济发展及监管的内容。
具体而言,金融科技监管宜遵循以下五点原则。
第一,无监管套利均衡(监管中性或功能监管)。争取实现金融业务监管按整体和按环节分解无差异,由金融系统和非金融系统开展的监管无差异。即仅通过环节的细分、不同类型机构的合作不会带来监管红利,同时,监管也不会阻碍分工细化和机构间的合作。这并不要求一步到位。实际上只要市场存在套利机制即可,即监管保持足够谦卑,认识到市场结果不合意既可能是市场主体的违法违规所致,也可能是监管政策不合理所致。如果是后者,则应及时调整监管政策。此外,监管对技术保持中性态度,对不同技术路径不宜有价值判断,保持态度,重点放在技术使用上。
第二,鼓励创新、转型风险可控和金融安全相统一。金融科技只是对金融形式的改造,而不涉及范式变革。为此,金融监管要顺应数字化转型的趋势,承认行业的深层次重构带来的中心和主体变迁,要不拘泥于监管形式和现有做法,把握金融监管的精神实质,在技术和组织、流程重构后,于新空间中再创造性运用。当然,需要平衡“破”和“立”的程度和节奏,控制转型风险,达到鼓励创新、控制风险、维护安全。
第三,最小干预原则,注重监管效率。金融监管是应对市场失灵的重要措施。要重视监管效率,平衡好监管的收益与成本,不宜过度介入金融市场和机构的日常运营,以免给市场带来过高成本。金融科技的监管要秉持最小干预原则,避免对市场的过度扭曲。以损失效率、付出极高成本来维护金融稳定既不利于金融的发展,也不利于维持和提高金融体系的竞争力。监管的组织,包括人员编制和科技手段的应用,宜与金融科技特点相适应,保证可行且有效。
第四,普惠、高效的服务与社会的平衡。技术是中性的,使用得当能提升金融市场整体的效率。因此,社会达成共识的道德观需要通过一定的方式嵌入金融科技的业务、程序和监管之中。应防范金融科技公司打着“普惠金融”的旗号,过度触及没有风险评判能力、不能承担风险的服务群体,演变为诱导消费、过度信贷。需强化金融科技公司的反竞争策略、歧视性定价等反垄断审查,加对其算法透明度的要求,防止出现算法歧视,保护个人数据隐私。
第五,宜区分金融风险、经营风险和技术风险,分类监管。金融科技公司介入金融领域后,金融链条上不同环节承担的风险性质不同。有些是分出资,承担金融风险;有些是管理和操作成本,承担经营风险;有些负责技术系统的和运营,承担技术风险。金融中的尾风险损失需要通过适度资本金吸收,但技术风险(信息技术和模型风险)、市场的商业风险(表现为经营或交易失败)应有另外不同的管理机制。技术风险中的模型风险也要进一步区分:一是技术设计不当等设计的纯技术风险,二是使用者决策采纳并使用该模型所需要承担的因模型不当引发的风险。前者为技术风险,应由技术提供方负责并承担;后者宜由决策者负责并承担,金融领域转变为金融风险。
考虑到平台金融科技公司面临的特有的数据治理风险,有必要针对金融科技的数据治理提出专门的监管原则。一是促进效率,维护公平。考虑到数据非竞争性的巨潜在价值,一方面,应尽可能地鼓励数据的广泛使用,保障公平竞争;另一方面,应该防范型科技公司囤积数据、通过技术和资本优势挤压和收购潜在竞争者等不当行为。最激进的方式是推进数据开源,但强制数据共享可能导致出现“搭便车”现象,并抑制企业投资数据经济的积极性。因此,需要妥善平衡效率与公平的治理原则。二是保护隐私。尽管加密技术的快速进化有助于解决分隐私问题,但明确数据的所有权和使用权的归属,及其相应的交易机制仍是解决数据滥用问题的关键所在。监管机构应致力于推动数据市场的规范化、透明化,维护数据主体的正当权利。三是数据安全。数据安全问题会降低公众信任,削弱分享意愿,不利于数据经济的长期健康发展,并可能引发金融风险。监管门必须完善数据安全立法,提高全民数据安全意识,落实主体责任,进而提升企业投资网络安全的积极性。
平台金融科技公司数据合规监管的重点领域
从金融科技监管的角度看,金融数据的安全事关金融稳定,应予以格外重视。2018 年,我国监管机构颁布了《银行业金融机构数据治理指引》,在推动银行业金融机构数据治理工作方面取得了积极的成效。这一指引同样适用于金融科技公司。不过,金融科技公司的数据治理有其特殊性。这种特殊性来源于其拥有的海量数据,以及数据驱动的商业模式。因此,金融科技公司的监管涉及一个特别重要的领域:数据合规与数据治理。
从全球角度看,金融科技公司的数据从何而来,如何使用数据,使用是否恰当,以及是否与其最初的使用意图一致等问题成为金融监管关注的重点。推动这一监管变革的原因是多方面的,例如发生了几起重的数据和个人信息泄露事件,以及算法模型歧视事件频频发生等。当前社会对金融科技公司的争议很多,讨论的焦点相对集中于数据采集、处理和使用三个环节,因此这三个环节应该成为监管关注的重点。
一是过度采集导致出现隐私保护问题。在数据采集环节,数据合规监管侧重于防范金融科技公司对数据的过度采集,从而更好地保护个人隐私。目前对个人信息的监管、保护和执法,散见于若干法律法规和标准中,对个人信息的日常监管和执法也涉及多个门,包括网信办、公安门、工信和市场监管门,负责标准制定和消费者权益保护等。我国的《银行业金融机构数据治理指引》要求金融机构依法合规采集数据,依法保护客户隐私。但是从金融科技监管的角度看,个人金融信息(隐私)的监管、保护和执法应该得到进一步加强。企业在个人数据采集上应遵循“最小必要”的原则,即意图明确、明示同意、最少够用。在移动互联的发展趋势下,个人信息的依法合规采集和监管,应该着重应对各类移动 App(应用程序),加强对 App 收集个人信息的审查和隐私保护政策的审查。
二是数据加工中算法歧视和过度问题。在数据加工环节,数据合规监管侧重于防范金融科技公司的算法歧视和过度问题。算法歧视来源于算法的设计和处理过程中被悄然嵌入偏见,也可能被复杂晦涩的计算过程迷惑。因此,金融监管需要介入,以保证算法的客观、公正、有效。目前,世界上一些主要对算法的监管原则,强调算法本身必须是可解释、可验证、透明和公平的。为此,主要的立法机构和监管机构均开始对算法进行监管立法,设立相应的工作机制。例如美国国会正在制定《算法问责法》,欧盟发布《可信的人工智能道德准则》,英国信息专员办公室推出“人工智能审查框架”项目,新加坡个人信息保护提出《人工智能监管框架范例》,均对算法的使用和监管原则提出了要求。除了算法歧视之外,数据处理的过程还涉及数据采集的原始意图问题。现实中,数据驱动的平台科技公司不断数据的新算法,尝试将数据的商业价值最化,超出了最初收集个人信息的原意。这违背了数据“专事专用”的原则,增加了滥用个人数据的风险。金融科技公司的行为绝分是通过算法实现的。算法监管领域是一个明显的薄弱环节,亟待加强。为此,需要强化针对算法的行为监管,构建算法的合规审计;提高算法透明度,要求企业数据自动化决策系统可追溯与可验证,建立分级的监管体系;同时,将监管要求、社会和反垄断审查等嵌入算法行为监管中。
三是数据使用过程中数据共享和征信体系问题。数据作为一种生产要素,本身是非竞争性的。非竞争性意味着每个单位的数据可以同时被其他投入要素使用,从而具备边际效用递增效应,推动经济可持续增长。在此意义上数据可以理解为一种准公共品。但数据的收集和使用也存在排他性,在追逐利润的动机下,企业存在囤积和独占消费者数据的倾向,导致数据市场的集中度不断提升,最终可能出现排斥竞争、赢家通吃的面。这需要加以引导,平衡数据的非竞争性和排他性之间的矛盾,可从征信体系入手,推动金融科技公司的数据治理和共享使用。国际上提出了三种可供参考的数据共享方式:一是建立数据经纪市场;二是要求型科技公司公开共享数据;三是由监管机构建立公共数据集。当前,国内一些地方在地方与金融机构门的推动下建立了以政务信息为主的数据共享平台,建议在此基础上进行金融数据专区试点,由引导,银行和市场主体参与,在用技术保障数据安全、“可用不可见”、“数据不出笼”的前提下推进政务、银行、企业和场景信息的收集,实现数据治理和数据共享。
平台金融科技公司数据治理的制度框架
一是反垄断。传统反垄断措施主要包括征税、反垄断诉讼和强制拆分。从2019 年起,欧洲多国开始对互联网巨头课征数字服务税,打破了传统税收的属地原则。反垄断诉讼属于事后监管,目前全球最的几家科技公司正在接受多起反垄断调查。随着平台科技公司的力量快速加强,拆分垄断巨头的呼声日益高涨,但由于数据经济的规模效应和网络效应,即使拆分巨头,也可能很快再度形成新的垄断。针对数据市场的这个特性,欧盟于 2020 年年末发布《数字市场法》草案,直接干预型互联网平台企业运营,规定了判断和禁止不正当行为的统一规则,并提供了相应的执法机制,这一行为是反垄断法在数字领域的拓展和体现。
二是数据确权。构建数据权责框架的标志性措施是 2018 年欧盟颁布的《通用数据保护条例》。它将数据控制权赋予个人,确保数据处理基于个人自愿同意,个人拥有知情权、更正权、删除权、限制处理权和反对权。它帮助个人更好地权衡隐私和便利,并确保数据处理是出于合法、公平和透明的目的,被公认为全球对用户个人数据保护最严格的法律。同时,它要求企业通过加密和标记等手段,屏蔽敏感信息,实现数据匿名,保护数据隐私。不过,值得注意的是,过分强调公平和隐私会导致效率受损,严格的隐私控制很可能是欧洲在数字经济竞赛中落后于中美的重要原因。
三是数据安全。目前,防范数据安全隐患的法律包括欧盟发布的《数字服务法》草案和发布的《数据安全法》草案。欧盟的法案旨在打击网络非法和不安全行为、假冒商品及有害内容;的法案旨在建立数据安全制度,明确企业数据安全保护义务。
平台金融科技公司监管的建议
第一,明确金融科技含义,界定金融机构和金融行为。
金融科技通过新一代的信息技术,将数据、技术和金融联结起来,形成新的金融服务、组织和模式,因此,首先需要严格界定金融科技公司的“金融”属性。
从监管的角度来看,是因为金融属性(行为)存在外性和系统性风险,会破坏市场力量均衡,损害消费者或投资者的利益。金融科技公司从事活动的风险种类较为复杂,涉及金融风险、技术风险和商业风险。金融科技公司介入的金融领域,往往只是某项金融业务多个环节中的一个或多个。金融业务边界不断模糊、缺乏所谓的“本源”业务,已使传统从本源业务上认定“金融”属性的方法不再适用,需回到相对稳定的金融功能,重新梳理金融的本质特征,根据新业务、新模式、新流程再认定。
机构是风险发生和承担的“节点”。因而,可从金融风险发生和承担主体上认定金融机构,要求“节点”有吸收损失的、充足的资本金,以及风险识别、定价和处置的专业能力(人才、组织和机制)。金融处理的是人与人之间关于现金流权利与义务的关系,可根据是否实现了资产或对象的现金流特征转换,如期限、分布和风险承担原则等判定是否发生金融风险的改变和承担。
以金融产品或服务为标准认定金融行为。需要强化对客户触达节点的行为管理(销售和服务)、与合作伙伴交易中的合理性管理。
第二,基于风险承担的节点(机构)的审慎管理。
系统通过节点分散并承担最终风险。为了保证金融系统的稳健,需要保证每个节点在微观和宏观上保持审慎态度。这需要对承担风险节点的资本金、内机制以及专业能力提出必要的要求。金融科技公司参与金融业务细分环节的某些环节,仅需对承担最终风险的环节施加与其实际风险承担相一致的资本等审慎管理要求。具体包括,需具备足够的专业能力、设计并运行良好的机制,以及充足的资本金,并通过牌照或资质等方式加以确认。
考虑到当前金融科技公司承担风险的特殊性,对其资本金的要求可不同于一般金融机构。
一是按实际风险承担要求资本充足率。金融科技公司利用金融科技技术,累积用户数据,不断迭代风险控制模型,提高风险识别和控制能力。实际上,金融科技公司的消费性贷款和面向小微企业的流动性贷款的不良率,都低于银行业同类业务的平均水平。因此,在正常经济环境下,金融科技公司的资本充足率要求也可适当低于传统银行业,适当降低资本充足率要求或降低风险资产系数。
金融科技公司往往通过联合贷款或助贷方式介入信贷领域,需具体判断风险的最终承担情况。如果能够做到事实与法律意义上的独立决策、独立风控并独立承担责任,那么联合贷款和助贷的金融风险,可根据双方的出资额分别计算和承担。如果无法证明或者事实上无法做到严格独立,那么需要将双方的业务合并,计算整体的资本充足率,加重双方的资本要求。金融科技公司通过信贷资产买卖或资产证券化,将信贷资产移出表外,也需要根据其真实出表程度(即所谓的“表外回表”),计算金融科技公司为承担这分资产风险所需承担的资本。
二是增加逆周期风险缓冲资本要求。考虑到肥尾和风险非线性特征,需对金融科技公司提出额外的逆周期风险缓冲资本要求。具体而言,金融科技公司在规模扩张时,需要额外储备一笔逆周期风险缓冲资本直至达到总资产的一定比例,用于应对可能非线性增的系统性金融风险。逆周期风险缓冲资本可考虑由独立第三方受托管理。
第三,强化基于算法的行为监管。
金融科技公司的行为绝分是通过算法实现的。为此,除利用传统的会计、审计、律师等中介组织外,还需要以算法为基础,强化行为监管。行为监管主要在三个环节开展:客户触达和服务、与合作伙伴的交易、产品和服务的设计和提供。可将金融监管要求、社会和反垄断审查等都嵌入行为监控中。
一是将算法监管纳入平台监管中,在算法模型中构建监管要求、道德和反垄断等方面的检测机制。二是构建算法审计。在算法阶段“融入”可审计性。三是提高算法透明度,要求企业数据决策系统可追溯与可复盘,建立分级的监管体系。对于适合公开的数据,要求其公开源代码或核心算法;对于涉及商业机密等因素不适合公开的数据,可规定其委托第三方专业机构出具审查报告或提供自我审查报告。
第四,采取适合金融科技的监管方式和手段。
一是分类多级牌照和资质管理。金融是具有强烈外性和高度专业化的行业,需坚持“持牌经营”和资质管理。但金融科技的发展已将原有业务环节细化、分工社会化,单一综合牌照容易束缚分工合作的自然演化。为了给数字金融保留足够的空间和灵活性,可采取分类多级牌照和资质管理方式,按金融科技公司实际开展业务类型颁发相应的业务准入牌照,涉及专业职能和面对公众的岗位时,需严格资质管理。
二是力发展监管科技,全国层面的“监管数据平台”。金融的数字化,也需要监管的数字化,包括监管数据的、监管规则的数字化和标准化,监管手段的数字化和智能化。为此,监管门可与网络安全门(如互联网应急中心)开展合作,联合数据监管平台,利用科技手段推动监管工作信息化、智能化。一是被监管门的基础数据库和业务操作系统需预留监管接口。即监管门与被监管对象均基于相同的基础数据库和日常操作系统。可考虑通过应用程序接口(API)等方式,直联金融科技公司的数据库,随时提取所需数据,提高监管的及时性和有效性。二是推动监管规则和监管行为的智能化转型。可考虑在当前区块链网络中设置监督、审批等特殊节点,通过设计监管算法等方式,将监管规则和监管行为智能化地纳入节点(机构)和行为(算法)的设计、运营中。三是运用AI技术前瞻性地研判风险情景,实时监督各类违法违规行为。利用网络分析、机器学等技术,智能识别海量数字金融交易,及时管控各类违法违规行为。
三是调整监管组织和人员设置,进一步完善“监管沙盒”机制,解决监管滞后性。为了与金融机构完成数字化转型,特别是与金融科技公司的发展相适应,可考虑在监管机构内设立高级别的首席科技官或者首席数据官及配套支持门。为提高监管的前瞻性、有效性,我国还可考虑尽快建立区域性创新中心,加“监管沙盒”试点推广力度,提高试点的效率和适应性,更好地监测参与试点金融科技产品的风险规模及可行性。
第五,以征信体系为抓手探索数据共享和治理。
数据在使用中实现价值,金融是数据价值变现的最重要领域之一。其中征信是辅助金融活动的重要基础设施。因此,通过在数据背景下探索征信体系的,将为我国数据共享和治理提供宝贵的经验。
首先,合理平衡数据隐私保护和数据价值的挖掘。
数字经济时代下,合理保护用户隐私,发展数据产业链,充分挖掘数据价值,是的核心竞争力。隐私保护的法律设计是影响数字经济发展的关键。美国是数字经济的领先者,这与美国现有的隐私法案CCPA、计划实行的法案CPRA,以及隐私保护标准相对宽松,给数字技术留下发展空间有一定的关系。欧洲没有真正意义上的互联网数据公司,与欧洲较严格的隐私保护有关。欧洲通用数据保护法规(GDPR)对于欧盟用户实行严格的数据权益保护,这在一定程度上限制了和美国等互联网创新公司在欧洲的发展。数字经济时代层面的竞争,实质上就是建立一套更合理有效的激励约束机制和基础设施,以实现数据收集、加工处理、共享使用的数据产业链的社会化分工合作。
个人隐私保护可通过以下三个方面的组合来实现。一是法律保障。通过界定个人信息主体的权属和相关人员的行为空间来保护个人隐私。二是技术实现。通过数据处理、计算方法和管理技术等来确保个人隐私。三是利益平衡。通过市场交易,市场主体需承担一定的隐私泄露风险来获得更好的服务或收益。
隐私计算是隐私保护下数据共享的技术实现路径。为了解决互不信任的多个机构间数据共享和数据价值挖掘,国际上出了在不共享原始数据情况下实现数据价值挖掘和流转的方式,即“隐私计算”。“隐私计算”一般通过三个环节保证数据和模型隐私,实现数据的“可算不可识”“可用不可拥”“可用不可见”。具体做法如下。
一是原始数据的“去标识化”。确保合作第三方不能通过数据反向逆推出数据主体,即不能识别出消费者的“自然人”身份,同时,尽可能地保留数据中的“信息价值”,做到共享信息的“可算不可识”。
二是可信的执行环境。通过硬件化、“安全沙盒”、访问控制、数据脱敏、流转管控、实时风控及行为审计等管理实现,提升数据和模型计算环境的安全性,确保全程安全可控。
三是保护数据和模型隐私的智能计算技术。例如,多方安全计算、差分隐私、联邦学等。用户的原始数据可以在不出域、不泄露的前提下共享并提取数据价值,实现信息的“可用不可见”。
国内外已有量实践利用隐私计算、平衡隐私保护和数据价值的流转,取得了积极的成效。在个人隐私计算技术下,“去标识化”后的数据可以实现绝分个人隐私的保护要求。隐私计算过程中,在经过“去标识化”和多方安全计算分片处理后,第三方已经无法通过这些共享数据来反向逆推出数据主体的个人身份,将不会出现个人隐私泄露情况。因此,在“去标识化”数据加工处理的过程中不再需要获得信息主体的确认授权。
同时,需要尽可能地减少必须使用“匿名化”数据的场景。“去标识化”数据在数据加工处理过程中,可以实现数据“可算不可识”,但保留了数据间除个人信息以外的关联关系,可挖掘的信息价值较,且仅在用户“授权”的情况下可重新识别使用。一旦进行匿名化处理后,数据之间的关联性将被不可逆地破坏,无法再将同一个人在不同时间、不同空间里产生的数据关联起来,从而无法有效地进行数据融合和数据价值的提取,继而丧失数据绝分的信息价值。“匿名化”后的信息不再属于个人信息范畴,在数据共享给第三方时虽无须再取得个人的单独同意,但也已经没有多的使用价值。
其次,分级分类牌照,推动市场分层竞争。
从个人信用数据收集、信用信息的挖掘,再到提供信用产品和服务,这是一个完整的产业链。随着社会分工的发展,链条中的环节将被不断细化,并由不同机构专业化地实现。当前,分的征信机构和征信业务已经明确定义了个人信用信息的收集、处理和使用的规则,并且绝分都对其制定了较为严格的规定。其中,为了保护消费者权益,要求金融科技公司需实施必要的牌照管理。但为了给市场分工留下空间,促进数据产业的健康发展,有必要根据使用信用数据与最终金融决策的相关性不同以及参与产业链分工的职能不同,实施分级分类牌照管理。最终形成以银行征信中心为个人征信工作的基础设施,几家有限竞争的全牌照征信机构,数量较多的市场化的替代数据征信机构,其他与全牌照征信机构合作的、信息处理机构的、多层次竞争的市场格。
最后,重点管理数据的收集、发布和使用环节。
个人信用数据的管理,应主要基于消费者权益保护和推动市场健康发展。从数据是现实世界的映射这一角度看,关键是管理好数据与现实世界的连接渠道,包括收集(数据形成时的连接)和应用场景(数据最终使用时的连接)两个维度。个人信用数据在做出金融决策时,如信贷、保险等,以及分重经济事项,如应聘、招聘等,对个人的生活具有重影响。这分决策所依据的个人信用数据应具有高度相关性和准确性,需严格限定其依据的信用数据来源。个人信用数据的发布也会对个人生活带来影响,需要有资质的专业人士确保报告的准确和可信。因此,从数据治理的角度看,征信行业宜从数据的收集、使用(变现)和发布三个环节进行重点管理,在保证数据安全和隐私保护的前提下,为中间的数据加工、共享环节以及对个人生活产生较小影响的其他使用场景的市场化运作,留出足够空间。
(本文摘自《平台金融新时代:数据治理与监管变革》,吴晓灵、丁安华等著,中信出版集团,2021年10月。)
(责任编辑:王蕾)
财富管理50人论坛(CWM50)于 2012 年,是一个非官方、非营利性质的学术智库组织。论坛致力于为关心财富管理行业发展的专业人士提供一个高端交流平台,推动理论、思想、创新和经验交流,为相关决策与研究机构提供理论与实务经验参考,进而为财富管理行业的发展提供不竭的思想动力,最终对金融体系的优化产生积极影响。
免责声明:文中图片均来源于网络,如有版权问题请联系我们进行删除!