作者刘玉书系中国人民大学重阳金融研究院宏观研究部主任,本文刊于9月7日《金融时报》,原标题为《非传统金融风险防范的数字变局》。
摘要:为进一步完善金融数据监管配套措施,培育发展金融数据要素市场,加快金融数据资产化进程,构建金融数据治理监管体系,使金融数据要素充分参与市场配置,推动经济高质量发展,需要重视三大变化:一是由金融数据管理向柔性数据治理转变;二是由对金融数据流通过程的安全监管为主向防止金融信息数据诱发战略性金融经济风险转变;三是由重视纯数据监管向金融信息服务语料与纯数据监管并重转变。
近期,中国人民银行党委书记、中国银保监会主席郭树清就“非传统金融风险”进行了专门论述。他指出:“近些年迅速发展的金融科技,既为我们带来许多机遇,也带来很大挑战。我国金融科技在部分领域位居世界前列,在风险防控方面没有现成经验可以借鉴。由于大数据、云计算、人工智能等高新技术广泛应用,传统金融风险的表现形式、传染路径发生深刻改变,数据安全等非传统风险日益突出。这些风险具有较强的突发性、隐蔽性和破坏力,不能不引起我们高度警惕。”
本文试图从数字化的视角,就金融系统非传统风险防范的数字变局问题进行探讨。
数字货币变局
全球将迎来数字货币战略制高点的大博弈
数字货币是一个比较宽泛的概念,主要分为两大类:一类是私人数字货币,私人数字货币有加密或者非加密的形式,可以是中心化的,也可以是去中心化的。例如目前大众广为知晓的比特币等是一种去中心化的加密虚拟货币,综合全球情况看,虽然关于比特币等私人数字货币的炒作不断,但大众对该领域的投资总体趋于理性。随着计算力等相关软硬件不断发展,私人数字货币市场未来将会在充分竞争中走向更加规范。
广受全球关注的数字货币是与私人数字货币相对应的另一类数字货币——“法定数字货币”。目前多国央行都在积极推进数字货币相关工作。
据国际清算银行2020年1月发布的一项调查研究显示,在其调查的全球66家央行中,约80%的央行在开展数字货币相关研究,其中40%已经从理论概念研究阶段进入了实验和概念、相关理论验证阶段;约10%的央行已经在进行数字货币的开放和试点工作。综合公开国际新闻报道看,发达国家法定数字货币更注重支付的个人隐私保护、系统安全和本国金融系统的稳定等;对于新兴市场国家而言更希望通过数字货币增强金融对本国经济发展的作用,提高支付效率,增加流动性,增强本国货币主权等。
值得注意的是,数字货币问题与数据主权密切相关,而目前欧美数据主权方面的博弈多于合作。2020年7月16日,欧洲法院正式判定2016年签署的《欧美隐私护盾》“无效”。这是一套对美国企业将欧盟用户数据传输到美国的规定。欧洲法院认为,该协定允许美国对欧盟公民的个人数据进行大规模监控,不符合欧盟对隐私保护的要求。这一判决会对美国的互联网巨头企业,例如脸书、谷歌、亚马逊等带来挑战。最直接的影响是这些企业将要被迫停止在美国的服务器上存储欧盟居民的数据信息。美国对此反应也比较激烈,据美国国务院方面的表态表明,未来欧美在数据隐私保护方面的主权矛盾还会加剧。
孙宇晨:下一个加密牛市取决于中国人,而不是美国人:金色财经报道,孙宇晨发推特表示,做一个不受欢迎的预测,下一个加密牛市取决于中国人,而不是美国人。[2022/12/7 21:28:21]
因此,在数据主权竞争大于合作的大前提下,欧美对数字货币是否会“革命”自己已经占有优势的国际金融地位显得更为审慎。例如2019年以来,美国监管机构对数字货币的积极性并不高,并持续向计划推出Libra数字货币的脸书公司施加压力。
从Libra白皮书2.0看,虽然Libra已经弱化了对抗美元的特性,但依然存在对美元以及其他主权国家构成结构性的威胁。例如Libra的用户理论上可以绕过美元体系直接用Libra结算,这将直接威胁美元在国际结算中的主导性地位。
另外,Libra并非锚定单一货币,在国际货币市场取得一定地位后完全可以有能力做到与美元等任何主权货币脱钩。从Libra的情况看,美国如果不再积极推动数字货币发展,美元将遭受前所未有的“降维”打击。数字货币革命,动摇了原有国际经济秩序的地基,成为了当前全球数字经济时代的战略制高点,也是国际金融领域未来大国竞争的必争之地。
数字货币发展的路径选择关乎我国未来金融体系全局
我国在数字货币研发领域已经走在了世界前列,为我国进一步深化金融系统改革,推动金融与实业的紧密结合提供了全新的抓手。一是我国央行数字货币有利于构建金融和实体经济和谐统一、内外部金融和谐共融的全球化大金融体系。二是当前我国央行数字货币的研发工作在全球处于领先地位,有利于抢占数字货币时代国际市场先机。三是DC/EP将有利于增强区域化合作的金融黏性。四是将促进金融体系与财政体系并行、相对独立的稳健发展。
国际金融基础设施变局
近年来,随着数据技术的飞速发展,全球各国国际金融部门所受到的信息安全攻击也越来越复杂。在过去十年中,全球金融系统所遭受的网络威胁已经从零散式个人黑客投机性破坏行为向规模化的指向全球性金融基础设施的系统攻击转变。与十年前相对技术含量较低的网络黑客攻击相比,例如2011年前后黑客针对美国银行发起的分布式拒绝服务攻击等,近年来随着大数据技术和人工高智能技术的发展,全球各地针对金融系统的网络攻击变得愈加复杂。例如最近两年来频繁爆出的在支付系统上部署恶意软件获取用户信息以进行针对性欺诈行为等。全球性国际金融基础设施已成为全球金融系统安全较为脆弱的环节。
中心化的国际金融基础设施风险在加剧
以SWIFT国际资金清算系统为例,近年来,SWIFT遭受过至少6次较为重大的网络攻击。SWIFT作为全球关键的国际资金清算系统的可靠性也引起了广泛的质疑。整个国际资金清算设施的发展面临着前所未有的改革需求。
中国人民大学法学院成立数字法学教研中心:金色财经报道,中国人民大学法学院成立数字法学教研中心,把互联网、大数据、云计算、区块链、人工智能、算法等统一于“数字科技”。(人民网)[2022/4/1 14:31:22]
2013年索纳利银行案。入侵者使用收集用户信息的键盘记录器软件感染银行的内部系统。然后再以此入侵银行的网络,以达到访问银行的内部SWIFT系统的目的。涉案金额达25万美元。
2015年厄瓜多尔银行失窃案。入侵者窃取了银行员工的信息,并使用这些信息访问员工的Outlook电子邮件账户。使用此访问权限入侵者通过操纵SWIFT转账,涉案金额1200万美元。
2015年越南先锋银行案。入侵者使用了专门针对某种PDF阅读器的恶意软件窃取该银行涉及的SWIFT的相关信息。后被越南先锋银行员工发现了可疑的SWIFT信息,及时阻止了涉及113万美元的黑客盗窃案。
2016年孟加拉国银行案。2016年2月,孟加拉国中央银行在美国纽约联邦储备银行开设的账户遭黑客攻击。该攻击针对SWIFTAllianceAccess应用程序,绕过其安全控制措施,并删除了证据以掩盖其欺诈性转移的踪迹。黑客总共进行了35笔SWIFT交易,被盗走了约1亿美元。这笔资金随后被转移到斯里兰卡和菲律宾,孟加拉国有关部门从斯里兰卡追回2000万美元,其余8100万美元已流入菲律宾机构,很难进一步追查。
2017年远东国际银行案。入侵者在银行内部网络植入恶意软件以窃取银行员工信息,然后再冒用员工信息通过SWIFT身份验证,并发出总计6000余万美元的欺诈性交易。尽管该次入侵被及时发现并止损,但据金融监督委员会报告称,远东银行最终损失了16万美元。
2017年NIC亚洲银行。在尼泊尔最大的节日之一神牲节(Tihar)期间,入侵者专门针对该银行发起攻击。据报道,案发期间共发起了440万美元的欺诈性SWIFT交易。NIC发现了该可疑活动,并通知了尼泊尔中央银行,收回了其中大部分涉案款项。
综合SWIFT近年来遭受的攻击来看,在算力飞速发展的时代,中心化金融基础设施的安全性显得越来越脆弱。因此像SWIFT等这种全球性金融基础设施近年来也开始考虑去中心化的转型问题。
去中心化不是“万灵丹”
2016年4月,SWIFT与埃森哲发布了一份联合报告,研究了金融服务中分布式分类账技术的使用。该报告承认了区块链在数据安全方面的一些优势,例如可靠信息传播,可追溯性,简化的对账和高鲁棒性等。但是依托区块链的去中心化技术一定是未来国际金融基础设施的最佳选择吗?综合目前文献看,以区块链为基础的去中心化技术在应用到国际金融基础设施时,同样存在系列问题,其中最主要的问题有两个方面。
中国人民银行数字货币研究所加入多边央行数字货币桥研究项目:2月24日,香港金融管理局、泰国中央银行、阿拉伯联合酋长国中央银行及中国人民银行数字货币研究所宣布联合发起多边央行数字货币桥研究项目(m-CBDC Bridge),旨在探索央行数字货币在跨境支付中的应用。该项目得到了国际清算银行香港创新中心的支持。多边央行数字货币桥研究项目将进一步构建有利环境,让更多亚洲及其他地区的央行共同研究提升金融基础设施的跨境支付能力,以解决跨境支付中的效率低、成本高及透明度低等难题。(中国央行官网)[2021/2/24 17:47:08]
共识机制的安全问题
区块链通过共识协议进行更新,以确保交易和区块的通用,明确排序,并确保跨地理分布节点的区块链的完整性和一致性。但是共识机制也存在被恶意攻击的风险。例如比较典型的“女巫攻击”。
Sybil攻击是指利用社交网络中的少数节点控制多个虚假身份,从而利用这些身份控制或影响网络的大量正常节点的攻击方式。这种攻击方式可以允许单个用户生成多个在线身份以影响和操纵共识过程。主导权也可以通过其他方式实现,因为共识结果可以由能够控制大多数哈希率的单个或一组实体操纵。在这种情况下,入侵者将具有足够的挖掘能力来有意影响交易。此外“51%攻击”难题的挑战也在随着算力增长而增加。
以区块链为基础的国际支付基础架构中的运营难题
从全球区块链发展实际情况看,并非所有区块链网络都是平等的,并且特定网络的鲁棒性很大程度上取决于其多样性和节点数量以及哈希率。基于目前区块链最新发展,完全开放和公共的区块链基础设施依然难以胜任全球银行间高效跨境支付。
造成这种情况的主要原因是多方面的,其中最重要的是系统运行依然是相对低效率的。理论上,公共分类账平台可以更有效地进行金融交易,但这种说法忽略了维护分布广泛的分类账所需的巨大计算能力,而计算力直接与效率相关。此外,使用带有工作量证明共识的公共区块链进行大笔支付交易的可行性仍然有待进一步接受实践的检验。
例如,与VISA和万事达相比,比特币支持的每秒交易依然是较低的。并且,系统的运维也是很大的难题。根据SWIFT组织进行的区块链实验表明,采用公共分类账时,机密数据隐私保护难度较大:在实际运行中,为了保护客户隐私,需要银行和金融机构建立成千上万的私有小分类账。这在技术和经济上都非常繁重,运营和维护的成本也是很大的问题,而且是有小分类账部分抵消了大型分布式分类账的安全性。
总体而言,通过对比可以看出,在国际金融基础设施中广泛采用去中心化的区块链技术,依然还有很长的路要走。因此,如果去中心化的区块链技术暂时难以取得突破性进展,未来国际金融基础设施较长一段时间内爆发系统性危机的可能性会增大,在国际金融基础设施的转型升级方面,依然存在较大的变数。
霍比特区块链研究院与中国人民大学区块链研究院共建协同创新实验室:据霍比特研究院官方消息,霍比特区块链研究院与中国人民大学区块链研究院共建中国人民大学区块链-霍比特区块链协同创新实验室,并在中国人民大学教育基金会设立“霍比特奖学金与区块链研究基金”,专项用于支持区块链相关研究及人才培养。
霍比特区块链研究院院长巨建华表示,霍比特区块链研究院与人民大学区块链研究院的合作,实现了产业界与高等院校的强强联合、优势互补。与此同时,协同创新实验室作为学术理论与实践结合的有效平台,将更加注重相关创新研究及应用落地,共同推进区块链产业健康发展。[2020/12/9 14:40:35]
金融数据跨境安全流通变局
美国在金融数据跨境流通方面的“双标”机制阻碍了全球金融数据的跨境安全流通
在金融数据安全方面,美国并不能保证外国实体在美国可以受到美国法律的保护。综合目前已有的案例看,美国对于证券、金融领域的涉外案件,越来越频繁引用“排除域外适用假设”。即针对非美国籍原告,法院在确定准据法时需要开启另一套判断体系来断定在某一案件中能否适用美国法律,涉及法条的适用空间问题等。这意味着非美国籍原告未必能够在美国享受相对公平的法律保护,美国对海外在美原告是“双标”的。
“排除域外适用假设”与Morrison案和Kiobel案有关。美国法院在判断是否实际行使管辖权的问题时,会考虑采取Morrison-Kiobel两步分析法。即先后参考了2010年宣判的Morrison案和2013年宣判的Kiobel案。这两个案例是美国决定是否行使“排除域外适用假设”的重要参考案例。简而言之,Morrison案的审判法官批判了之前在证券法领域广泛使用的“行为与影响标准”,将境外证券诉讼的权限缩窄在“交易标准”之内。
Morrison案的影响力超出了证券诉讼领域。而Kiobel案中,美最高法院更进一步将“排除域外适用假设”推广适用于《外国人侵权法》。因此,美国司法过程中所采用的Morrison-Kiobel两步分析法具有“高度灵活性”。以金融数据安全为例,即使在美国提起诉讼,由于“排除域外适用假设”的存在,并不能受到公平的法律待遇。同时,美国又可以依据《外国人侵权法》等,以“人权”等为缘由展开针对性诉讼。因此如果非美国人或机构受到了来自美国方面的金融数据安全相关侵犯,例如非法监控等,很难获得起诉权利和平等诉讼权。这一点也引起了欧洲法庭的高度关注。
美国认为在金融数据安全领域,其他国家和地区的数据保护法须让位于美国的银行法律体系。以欧洲为例,美国认为美国银行法优先于欧盟GDPR。目前在美欧金融数据管辖权方面,认为GDPR必须服从于美国银行法对相关金融数据的要求,主要援引的是美国的《对外关系法》第403条。在《对外关系法》403(3)条款中规定,当两国均对某人或某项活动行使管辖权并非不合理,但两国的规定发生冲突时,两国都有义务评估自己以及另一国在行使管辖权方面的利益。考虑到所有相关因素,包括第403款中规定的因素:如果一国的利益明显更大,则该国应顺从另一国。
中国人寿集团法律总监杨帆:区块链在保险行业应用场景虽多,但目前尚未有成熟的应用落地:区块链安全研究中心联席理事长、中国人寿集团法律总监杨帆表示,目前区块链在银行领域的应用走在前列,而在保险行业虽然应用场景很多,但是目前尚未有成熟的应用落地。“未来,应加快利用区块链的特性尤其是不可篡改性,从而将区块链落地并实现产业化。”在他看来,探索、研究并把握好区块链技术的安全边界对发展区块链技术及产业十分关键。[2018/5/9]
其中《对外关系法》第403条款涉及的评估管辖权是否合理包含8个方面:活动与管制国领土的联系,即活动在领土内发生的程度,或对领土具有实质、直接和可预见的影响;管制国与主要负责被管制活动的人之间,或该国与该管制旨在保护的人之间的联系,例如国籍,住所或经济活动;拟管制活动的性质,管制对管制国的重要性,其他国家管制此类活动的程度以及普遍接受这种管制的必要性;是否存在可能受到该法规保护或损害的合理期望;该法规对国际,法律或经济体系的重要性;该法规在多大程度上与国际制度的传统相符;另一个国家可能对调节活动有兴趣的程度;与另一国的法规相抵触的可能性。
综合以上两点看,美国在金融数据跨境安全流通方面,贯彻的是“美国优先”原则。在法律上就落实了“我的数据你不能动,但你的数据我可以随意动”的要求。而美国作为全球头号大国,这种数据保护主义行为挑起了全球的矛盾,加速了全球金融数据跨境流通的变局。下面以欧洲的回击进行说明。
美国在数据安全领域的双标引起了欧洲的强硬反击,不排除其他地区参与博弈
2020年7月初,欧盟最高法院欧洲法院裁定欧盟与美国之间已经使用了近四年的《欧美数据隐私护盾》无效。这是对美国关于数据安全方面的一个重要反击。根据《欧美数据隐私护盾》,用于商业目的个人数据从欧洲传输到美国后,将享受与在欧盟境内同样的数据保护标准。但欧洲法院认为,协议条款没有为那些个人信息从欧洲转移到美国的人,提供充分的隐私和数据保护。同时,在美国服务器上存储的欧盟居民信息使欧洲人可能受到美国政府的监控,但欧洲人没有应对这种监控的起诉权利。
美国国务院警告称,美国正在审查这一判决对5300多家欧洲和美国企业的后果与影响,这些公司为双方带来数百万个跨大西洋的工作岗位和超过7.1万亿美元的商业交易。这一判决会对美国的互联网巨头企业,例如脸书、谷歌、亚马逊等带来挑战,例如这些企业将要被迫停止在美国的服务器上存储欧盟居民的数据信息。
从目前看,美国在数据安全领域的强势和“双标”有其深远的战略考虑。这事关美国未来数字价值链的全球化,欧洲法院的判定无疑将会成为一块美国争霸未来大数据时代全球数字经济霸权的绊脚石。欲夺取未来全球数字经济市场霸权,欧洲是非常关键的一环,因此美国方面不会就此罢休。据美国国务院方面的表态,表明后续欧美在数据隐私保护方面的主权博弈还会更加激烈。
金融数据监管变局
2020年4月9日,《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》正式发布。数据作为一种新型生产要素,正式成为了国家经济发展的核心动能之一。
《意见》提出,要推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护并强调引导培育大数据交易市场,为数据要素市场化配置指明了方向,也为我国金融数据的监管工作提出了新的要求。但是目前我国数据要素市场化配置尚处于起步阶段,在此基础上的金融数据监管面临诸多挑战。数字时代的金融数据监管如何在维持有序和保持活力之间取得平衡,需要重视三个问题。
金融数据产权模糊、缺乏监管有效抓手
当前我国金融数据产权界定工作仍然有待进一步细化。金融数据权属不同于传统物权,可以被直接支配。金融数据权在数据的全生命周期中有不同的支配主体,其所有权并不一定完全属于某个经济主体。同时,当前金融数据价值和成本的计量方法并不统一,金融数据因行业特殊性,很难将其数据价值和成本从业务中剥离,难以通过市场直接定价。
随着数字经济日益蓬勃发展,金融数据权属生成过程将会愈加复杂,这对金融数据监管将会是巨大挑战。当前对于金融数据监管的行政立法、行业标准和市场准则建设是全球性难题。因数字经济的转型与高速发展,相关问题也在不断地变化发展过程中,难以形成相对稳定的有效抓手。
金融数据安全保障与交易成本存在矛盾
数据交易成本是推动数据要素市场化配置的关键。一方面金融数据涉及国家金融经济命脉,在数据安全保障方面存在诸多要求;另一方面数据要素市场化,需要降低金融数据交易成本,推动金融数据的流动。这两者之间的矛盾将会随着数据要素市场化而愈加突出。金融企业更重视构建闭合生态,数据孤岛普遍存在。同时,由于缺少相适应的技术标准、规范化的市场环境和成熟的分配机制,在促进金融数据流通方面,各类机构顾虑重重,可信流通难以达成。对于金融数据滥用、非法交易等的监管难度较大,不利于数据要素市场化配置的效率提升和市场秩序的建立。
我国金融数据的国际影响力越来越大,对境外金融信息服务机构的有效监管将更为迫切
随着全球化国际秩序不确定的加剧,我国在全球主要经济体中的重要性不断增加。我国金融数据的价值也越来越高。中国的金融信息数据已经成为全球经济重要的方向标和指示器。当前境外金融信息服务机构对中国市场的重视程度前所未有。对境外金融信息服务机构的有效监管,将直接关系到我国金融和经济的稳定发展,关系到全球各国对我国金融经济状况的预期和风险管理。对境外金融信息服务机构的有效监管将会成为构建未来中国国际信用体系的重要事项。
建议
立足“大金融”体系,防范金融风险应警惕安全问题泛化
根据“大金融”体系框架,影响一国金融竞争力的核心因素可以概括为三个基本方面,即效率性、稳定性和危机控制能力。前两大因素是金融竞争力的两大基本支柱,而危机应对能力则在很大程度上决定了当突发事件发生时,一国的金融体系在何种程度上能重返效率性和稳定性。
从“大金融”的视角看,金融危机的防范的最终目的是维持国家金融体系的“效率性”和“稳定性”之间的平衡,这是一个动态的过程。具体到金融数据领域,就是需要兼顾金融数据安全性与有效利用。在防范非传统金融风险过程中,金融数据安全是首要问题而非首要目的。数据安全服务于提高金融数据可靠供给和使用效率,因此要警惕安全问题泛化的趋势,维护金融体系的活力。
积极推进数据要素市场化配置,金融数据监管需要重视三大转变
为进一步完善金融数据监管配套措施,培育发展金融数据要素市场,加快金融数据资产化进程,构建金融数据治理监管体系,使金融数据要素充分参与市场配置,推动经济高质量发展,需要重视三大变化。
一是由金融数据管理向柔性数据治理转变。在推动数据要素市场化配置的发展趋势下,随着数据要素市场化的发展,除做好金融数据的行政管理工作外,对市场化的金融数据治理方式的需求会愈加凸显。在执行好金融数据刚性规范和中央相关精神的同时,将需要更多对相关市场的柔性引导,确保对金融数据监管的综合施策能朝着推动数据要素市场化配置的方向发展。
二是由对金融数据流通过程的安全监管为主向防止金融数据价值链诱发战略性金融经济风险转变。当前我国数字化技术发展迅速。近年来我国在网络空间安全及数据流通安全方面均有较大科技进展。金融数据的安全问题已经成为常态化的运维工作。金融数据的安全问题也逐渐由面向数据流通的过程监管转变成金融数据的价值链和战略风险管理。相关部门加大了对关键金融数据传导机制的监管和甄别力度,防止金融数据的扭曲传导对国家经济金融预期造成重大影响。数字经济时代,数据已成为金融的基本构成单元,金融数据服务对金融经济发展本身的影响越来越大;数据对经济金融的关联影响将会是未来金融数据监管的重点。
三是由重视纯数据监管向金融信息服务语料与纯数据监管并重转变。随着互联网大面积普及,特别是5G商用以来移动互联网的快速发展,金融信息数据中与人相关的语料数据的存储、监测和智能分析的能力也越来越强。金融语料数据已经成为重要的金融信息服务资源。传统的金融数据监管对于语料数据的关注度较少。语料数据与个体的金融经济行为密切相关,是对市场精准认知的重要途径,也会是未来金融数据的重要组成部分。
深入认识计算社会时代非传统金融风险治理
近年来,数字中国的快速发展,社会的可计算性在横向和纵向上都达到了前所未有的高度。在计算社会时代,过于强调数字治理的精准性不可避免地将影响到社会的多元性、包容性增长。当金融治理体系建设能够建立在占有极大丰富数据基础上的时候,过于安全可能会成为金融体系最大的风险。因此,展望未来,创造选择性是否比强化确定性更重要?这将会成为未来重新审视非传统金融风险难以绕开的问题。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。