学习并增进了解,所形成的网络信用可用于治理逆向选择和道德风险,如阿里巴巴、腾讯和网易等社交和交易网络积累形成的客户信用信息,已经成为互联网企业挑战传统金融最主要的优势。三是信息收集和处理能力持续提升。随着社会信息化和信息成本的降低,出现了专业处理信息的组织和技术,如利用谷歌和百度等网络搜索引擎,在一定程度上已经可根据风险管理需要收集和甄别有关信息,而大数据和云计算等信息技术则能实现对海量信息的标准化处理,并有利于建立起网络信息与金融交易相关信息的价值关联。同时根据梅特卡夫定律和摩尔定律,网络信息对互联网金融的有用性和处理能力还将呈量级增长趋势。
3.信息技术风险更加突出。由于过度依赖支付账户、终端和功能等技术创新及互联网信息资源,对信息制造、传播和加工利用方式的改变,均会给互联网金融带来新型信息技术风险。一是随着电子信息及其商业价值的提升,对金融消费者个人及其交易和社会行为信息的采集、存储、处理和利甩过程中,侵犯消费者权益以及相关信息被泄漏、盗用、篡改等风险与日俱增。二是在互联网信息发生、发送和传播认证及监管机制未配套、信用体系不健全的情况下,虚假、欺诈和误导性的信息,加之网络用户的信息行为“搭便车”现象,均增加了互联网金融的系统性风险,支付清算、计算机病毒和电脑黑客攻击等信息安全问题也更加突出。三是互联网拓展了金融交易的可能性边界,形成的“长尾”风险使个体非理性和集体非理性更为突出,金融风险的负外部性更容易通过网络传播和蔓延。
(二)基于支付创新的金融风险管理
支付创新不仅决定着互联网金融的风险特性,同时也对传统金融的风险特性及其管理产生影响。巴塞尔委员会2001年就要求银行业预估技术进步带来的各种风险,提出要针对办理特定业务的客户设计特别风险识别和管理措施。FATF在2013年修订的反洗钱国际标准中,要求金融机构制定措施管理非面对面业务带来的风险。此外,欧盟和美国等在规制网络信息行为方面,也已经形成了一套较为成熟的立法和管理模式,相关经验均可运用于互联网金融风险管理。
1.基于风险配套管理措施。欧盟2005年采纳了市场观点,认为完全的客户尽职调查不适用于所有电子支付,而且可能因此阻碍市场的创新发展,建议根据电子工具的风险程度引入相对简化的客户尽职调查措施,以满足更加灵活、低风险、低成本的支付需求。为此,欧盟监管机构允许其成员对一定限额内的电子货币执行简化客户尽职调查,如150欧元以下不可充值的电子货币,年度总额度不超过2500欧元的可充值电子货币。FATF在2011年提出,可按照“客户尽职调查程序越完备、支付限额越高”的原则处理对电子交易的客户身份识别,哥伦比亚、加拿大和墨西哥在监管法律中已经参照这些建议,简化了对小额账户、小额支付的客户身份识别要求。
2.充分依托可靠、独立来源的信息来源。FATF在2011年提出了这一原则,允许各国自行确定客户身份验证措施,金融机构可按照风险为本的原则(Risk-Based Approach)确定各种验证措施的适用性。目前,已经有少部分国家在限制业务种类和账户额度的情况下,拓展了客户身份验证资料的来源,如墨西哥监管机构将选票、护照、执业许可证、军队服役卡、领事馆登记证明、老年证、驾驶证、联邦政府或市政府颁发的凭证、经银行监管机构认可的其他证明文件均列入了身份证明文件清单,作为官方认可的有效身份证明文件。巴塞尔委员会提出管理电子支付风险的措施,主要包括要求客户提供额外补充性文件资料,与客户单独接触,利用第三方引荐,以及要求客户的第一笔支付来自其他已采取相同标准开展客户尽职调查的账户等。
3.立法严格管制信息行为。基于信息化社会的发展和互联网信息技术对信息数据商业价值的不断挖掘,各国逐步将包括公共机构和市场组织等主题的信息收集、存储、处理、利用和共享的等一系列信息行为纳入规制,并主要确定了几大原则。一是信息行为目的正当原则。如欧盟《数据保护指令》明确规定,不论个人信息是否由信息主体直接提供或是间接获得,信息控制者都必须告知数据主体以下信息:信息控制者或者其代理人的身份、信息处理的目的、信息的接受者、获取个人信息的权利、对个人信息的修正权等。二是确保个人信息安全、完整的原则。如德国的《个人资料保护法》要求处理个人资料应该采取技术上和组织上的必要措施,并就人口管制、资料库管制、输入管制、利用者管制等安全细节问题做出明确规定。欧盟《数据保护指令》要求个人信息控制者要确保个人信息的准确和完整,必要的情况下还应及时更新,并有义务采取合理措施确保对不准确数据信息的修正和消除。三是个人信息自由原则,即信息主体对其个人信息的收集、处理、存储、传输和利用等享有全部利益。这些权益主要分为知情权、获取权、修改权、异议权和救济权,欧盟《数据保护指令》明确要求成员国在国内法中将以上权利作为信息主体的基本权利。四是敏感信息妥善处理原则。如欧盟《数据保护指令》规定种族血缘、政治意向、宗教或哲学信仰、商会会员、健康等皆属于敏感资料,英国《信息自由法》规定任何信息的披露将或者有可能危害个人的肉体和精神健康,或者威胁任何个人的安全,则该信息属于敏感信息,原则上禁止处理。
4.根据业务实质实施监管。如美国法律规定,所有金钱或价值转移服务的提供者,在美国提供相关支付服务前必须注册且得到授权许可,并按照“业务实质”开展监管。如Paypal一直宣称自己仅是第三方支付机构,但美国纽约州分析其从事的业务和交易后,要求其要么遵照与银行同样的监管标准,要么改变业务模式退回真正的“支付机构”。欧盟《电子货币指引》和《电子货币机构指引》也规定,电子支付权限应限定在传统信用机构和受监管的新型支付机构,非银行电子支付服务商必须取得执照并在监管账户中预留准备金,才能办理相关业务。
四、结论和政策建议
2015年,互联网金融连续第二次被写进《政府工作报告》,在2014年“促进互联网金融健康发展”的基础上更强调对互联网金融的监管,反映出互联网金融在被我国社会公众和政府认可后,风险管理已成为其健康持续发展的核心。本文从支付创新的技术角度研究包括互联网金融在内的金融创新发展,从支付创新改变了金融信息行为从而构成互联网金融的风险特性,主要得出以下结论:
第一,支付在账户、终端和功能等方面的技术创新,是互联网金融创新发展的源泉和基础,信息技术革命引发支付体系变革发展后,才最终支撑起基于互联网信息技术配置资源和管理风险等金融新业态的发展和运营。
第二,支付创新改变了传统金融组织主要以直接面对面获取和核实金融交易信息的方式,更依赖于以非面对面的方式获取金融交易相关信息,使互联网金融难于获得与传统金融相同真实准确的信息。但随着社会信息化、信息网络化、信息处理技术发展和能力提升,多元化信息来源及其与金融交易建立起的价值关联,给互联网金融识别和管理风险提供新的资源和技术,但也带来了更多信息技术风险。
第三,在应对支付创新带来的金融风险特性和管理方式方面,传统金融已经形成了一系列管理措施和立法经验,总结起来主要有四个方面,即基于风险配套管理措施,充分依托可靠、独立来源的信息来源,立法严格管制信息行为,以及根据业务实质实施监管。这些经验在互联网金融风险管理中同样适用。
在互联网金融风险管理和监管方面,2015年7月中国人民银行等十部委联合印发了《关于促进互联网金融健康发展的指导意见》,该意见主要明确了对不同类型互联网金融业务的监管责任,并确立了“依法监管、适度监管、分类监管、协同监管、创新监管”的监管原则。2015年12月,中国人民银行在三年内四易其稿后,最终出台了《非银行支付机构网络支付业务管理办法》,在互联网金融风险管理方面跨出关键性一步。其中,对个人支付账户进行分类并与支付功能和身份核实方式相匹配,体现了“基于风险配套管理措施”的原则;强调支付账户实名制和多渠道验证客户身份信息,体现了“充分依托可靠、独立来源的信息来源”的原则;同时,还在保证客户的知情权、选择权和信息及资金安全方面监理了诸多配套措施。可见,该办法充分吸纳了国际上对支付创新的金融风险管理经验,为我国互联网金融的健康可持续发展奠定了扎实的基础。
同时,基于本文研究结果,在互联网金融风险管理和监管方面,还应着手加强以下几个方面的工作:
第一,加快信息保护立法,规范全社会的信息行为。对信息数据资源的保护和对信息技术风险的防范管理,已经成为互联网金融风险管理的基础和核心。因此,要在加快立法的基础上,指导互联网金融企业科学评估自身的信息行为、技术安全和内控措施,严厉查处和防控可能侵害消费者权益、存在信息安全管理漏洞以及错误识别和信息滥用等行为,维护金融市场信息流通和加工管理的正常合法秩序。
第二,打造大数据库,提升互联网金融风险管理能力。互联网金融风险管理最稀缺真实准确来源的信息,因此可将传统金融直接获取的信息资源和互联网信息资源有机整合、彼此印证,提升金融信息的真实准确性,并有效扩大金融业的风险管理边界。同时,应全面整合分散于不同政府部门、不同商业主体、彼此割裂且标准不一的宏微观数据库,建设完善社会信用体系并充分开发利用,降低金融风险管理信息成本。
第三,深化改革金融监管体制。随着互联网金融创新推进我国的金融体制改革逐步走向深入,配套深化监管体制改革是必然之举。互联网金融的开放、跨界、包容特征,必然不断创新出跨市场、跨行业甚至跨界经营的金融产品。在当前分业监管体制下,在划分监管责任的同时,有必要进一步明确互联网金融行业主管部门,以跟进创新及时研究风险影响、划分监管责任和落实监管措施。在适当时机应从宏观和微观审慎管理两个层面对我国现有的金融监管体制进行整合和重构,在监管方式方法上从重审批向重风险监测和风险监管转变,从重行为监管向重推动创新主体落实自身风险管理责任转变,在有效管控风险的基础上为市场创新营造宽松包容的环境。
