巴曙松:欧盟监管科技的发展现状研究
摘 要:欧盟致力于在成员国内部推行数字化单一市场,完善监管生态体系,为监管科技发展提供沃土。本文梳理欧盟金融监管框架,介绍欧洲及其主要成员国在金融科技监管方面的主要做法和经验,再从监管端和合规端两方面梳理监管科技的实际应用。最后,回顾欧盟监管科技的发展,总结欧盟监管科技的推动因素,并为我国监管科技发展提供经验。
关键词:欧盟监管;科技监管;生态体系
2008年美国次贷危机演变至全球金融危机,受金融危机影响美元债大量下跌,欧盟银行大量持有美国国债造成银行产生流动性风险,再进一步传导到实体经济,引发欧洲主权债务危机。此次危机暴露了金融机构过度追求金融自由化,追求金融效率而忽视金融监管的严重缺陷。受危机影响的国家普遍意识到金融监管的缺失是导致金融危机的主要原因。欧盟也重新审视其监管框架,着手构建新的金融监管体系:建立系统风险委员会加强对金融体系宏观审慎监管,并负责评估系统性风险;建立泛欧监管机构,强化欧盟对内部成员国监管的一致性,推动监管信息数据的共享。
近年来,大数据、AI、云计算和区块链等技术推动金融科技快速发展。得益于历史发展教训,欧盟高度重视金融科技的发展,期望以此全面推进欧盟金融基础设施建设,给金融市场提供新的发展引擎。欧盟委员会从2018年4月份就提出要把欧盟发展为全球金融科技中心,并提出包括建立欧盟金融科技实验室在内的一系列行动计划,以期金融科技快速发展并反哺实体经济。2019年金融科技投资公司H2 Ventures与毕马威金融科技联合发布的Fintech100报告显示,在全球排名前100名的金融科技公司中有19家注册地在欧盟。金融科技一方面提升了金融效率,另一方面也造成金融风险的关联度不断提升,金融行业边界变得愈加模糊,给欧盟监管机构带来了新挑战,监管机构如何既促进金融业态的高效发展,又确保金融监管到位?欧盟监管机构目前一方面不断通过立法完善监管生态,将金融新业态纳入到监管框架中;另一方面,金融监管机构采用金融科技的分支监管科技,“以技术之道还治技术之险”,并积极探索监管沙盒等新兴监管模式。
一、欧盟的金融科技监管体系概述
全球金融危机过后,欧盟委员会提议构建新的金融监管框架,以便更好地应对危机,防止出现监管空白和系统性金融风险。新的金融框架包括两大支柱,一大支柱是欧盟系统性风险委员会(ESRB),另一大支柱是由欧盟银行监管局(EBA)、欧洲保险和职业年金管理局(EIOPA)、欧洲证券和市场管理局(ESMA)共同组成的欧盟监管机构(ESAs)。此外,欧洲中央银行(ECB)负责实行欧元区银行业的单一监管机制(SSM)。图1欧盟监管体系架构
1.欧盟金融监管体系的特点
欧盟金融监管体系是确保超主权法律能够充分实施的基础。欧盟委员会是欧盟唯一有权起草法令的机构,在制定欧盟整体战略以及相关政策方面发挥着积极作用。泛欧监管机构和风险委员会根据其获取的监管信息,向欧盟委员会就如何确保金融监管框架的灵活性和完善性提出建设性意见,欧盟委员会内部就相关问题的解决办法进行探讨,决定是否有必要针对这些领域实施新的法规。同时,欧盟监管体系的两大支柱和欧盟成员国监管当局共同监管欧盟成员国金融机构,确保成员国金融机构遵守超主权法律。
欧盟金融监管体系关注的是区域内金融体系的系统性风险。欧盟风险委员会作为超主权监管机构将欧盟境内系统性重要性金融机构纳入监管范围内进行统一监管,通过监控和评估系统性风险的可能性,在必要的时候对金融市场做出警告和建议。若ESRB检测到潜在的系统性风险或是影响金融体系稳定的问题时,将就具体问题向欧盟成员国内部监管机构和欧盟监管机构提出建议,监管机构若接受建议则需要根据ESRB提供的建议处理该潜在风险。如果监管机构未接受相关意见,也未采取相关行动,则需要向ESRB提供解释性答复,ESRB若认为答复不合理,则有权将该决议提交至欧洲议会评判。
欧盟金融监管体系更侧重于成员国监管标准的一致性和公平性。欧盟银行监管局、欧洲保险和职业年金管理局、欧洲证券和市场管理局,则分别负责对欧盟成员国中的银行、保险和年金以及证券市场进行微观审慎监管。欧盟超主权监管机构负责起草统一技术标准,便于成员国在欧盟内部使用,促进不同成员国内部金融监管标准的一致性。在共同法律基础(包含技术标准)的前提下,为避免成员国内部监管机构对金融监管规则的不同解读造成监管不一致,ESAs有权对未正确使用欧盟法律行为展开调查,并在必要时候向成员国监管机构提出行动建议。同时当出现潜在威胁欧盟整个金融体系稳定的不利事态时,欧盟委员会有权认定紧急情况,在紧急情况下,ESAs有权要求成员国监管机构采取必要的行动。欧盟超主权监管机构通过这一系列措施促进不同成员国内部金融监管标准的一致性,避免产生监管套利,确保金融市场的稳健运行。
欧盟金融监管更多体现为各国或地区监管当局的协调。在新的监管体系下,ESAs在成员国的监管机构中发挥总协调作用,具体可以分为三部分。一是欧盟成员国监管机构之间争议协调,在成员国监管机构之间发生监管冲突时,相关监管机构可以申请由ESAs进行调解裁定。二是信息共享,ESAs促进母国和东道国之间的信息流通,同时成立了联合委员会(Joint Committee),加强欧盟超主权监管机构在其职权下监管信息的共享,强化相关监管措施。尤其在微观审慎监管中涉及跨部门监管、金融集团监管以及打击洗钱措施等方面,联合委员会发挥着重要的作用。三是任务委派和合作监管文化,各国监管当局可以通过协议委派给其他成员国监管当局任务,ESAs通过识别相关任务的最优执行方式来提高监管效率。同时受益于统一的监管法规和技术性标准,ESAs可向成员国监管当局提供意见,促进监管信息流通,提升监管的一致性,有利于建设欧盟成员国内共同监管的文化。
2.欧盟金融科技监管:注重完善欧盟层面的金融科技立法
欧盟金融科技监管体系由欧盟委员会负责顶层设计,ESAs和成员国监管机构负责超主权法律的落地实施。欧盟监管机构还注重和金融科技公司沟通,以加深金融科技的理解,以便更好地实施监管。欧盟近年来不断完善金融科技相关的立法,并成立一个专家小组,专门负责审查现有欧盟法律法规对金融科技行业的适用性。通过收集多方机构相关意见和对风险、机会和监管框架的适用性评估,欧盟委员会最终决定是否在欧盟一级采取监管行动,修订相关法规或将金融科技公司的产品/商业模式囊括进现有欧盟监管框架之内,避免部分成员国在内部制定不同监管制度,阻碍金融科技新业态在欧盟单一市场内的发展。目前欧盟委员会已经颁布了《欧洲金融工具市场法令II》《支付服务法令2》《通用数据保护条例》等一系列法令,促进金融科技新业态的发展。
《欧洲金融工具市场法令II》(MiFID2)的实施,为金融科技创新提供了更加稳健的环境。2018年1月《欧洲金融工具市场法令II》正式实施,其主要目标是在整个欧盟金融市场中寻求统一的监管,加强欧盟金融市场内部的竞争,为金融科技创新提供更加稳健的环境,并适当加强投资者保护。MiFID2对金融科技的影响可以概括为两个方面。一是明确金融科技方面的技术标准,对交易前后的透明度、高频交易和算法交易提出新的要求,使金融科技的创新有标可依。二是明确金融科技公司的准入标准。MiFID2提供第三国机构进入欧盟市场的两种模式,一种是在欧盟设立分支机构或独立法人实体,由分支机构或独立法人提供相关服务;另一种是“等效监管”的第三国机构准入原则,即基于第三国监管等效评估基础的审批制度,通过审核的第三国机构被允许进入欧盟市场,确保欧盟市场内部金融科技公司的监管的一致性,促使金融科技行稳致远。
《通用数据保护条例》从数据安全的合规需求方面促进金融科技发展。2018年5月生效的《通用数据保护条例》适用于任何收集、传输、处理涉及欧盟成员国内个人信息的机构组织,有效保护欧洲公民的隐私权,避免其受数据泄漏的侵害。该条例堪称史上最严苛的数据保护条例,面向消费者的互联网、金融服务业等企业需要重构原有信息应用框架以满足合规要求。而金融科技公司可以依托大数据和前沿技术创新产品和服务,助力企业深入了解信息,并以合规为前提重构经营框架,进行数据管理。法案的推出致使金融机构有内生动力去采用金融科技重构其数据管理框架,从供需的角度推进金融科技的发展。
《支付服务法令2》从数据共享的角度对金融科技发展起到了巨大的推动作用。《支付服务法令2》要求从2019年3月14日起,银行必须为第三方机构创建和开放测试环境,以方便第三方机构利用应用程序编程接口(API)收集信息。《支付服务法令2》通过法律禁止银行对用户数据的垄断,打破新支付服务企业进入市场存在的壁垒,推动支付价值链上参与者的创新与竞争,并给新参与者进入市场提供一个制度框架。金融科技公司是基于大数据进行价值创造的。一方面,银行业作为欧盟金融机构的支柱行业具有庞大的数据量,其数据共享无疑给金融科技的发展提供重要的信息基础。另一方面,银行必须采用金融科技构建新的数据框架,对数据进行更高效的管理,避免受困于同质化而失去竞争力。
此外,欧盟设立一系列金融科技平台和论坛促进金融科技监管发展。2014年6月,欧盟委员会设立了欧盟众筹利益相关者论坛。一方面,该论坛帮助欧盟委员会制定众筹领域的相关政策,促使欧盟委员会在2018年3月发布关于对欧洲众筹服务提供商进行监管的第一项提案。另一方面,论坛提供相关众筹业务监管信息和基础训练模型给众筹领域的金融科技公司,指导金融科技公司业务完成合规要求。2018年2月1日,欧盟委员会建立了欧洲区块链观察站论坛,该论坛由两个工作小组构成,分别是区块链政策框架工作组,多场景案例工作组。前者着眼于解决跨地区和跨行业区块链监管政策问题,积极寻求区块链监管的最优框架,促进欧盟区块链监管的立法。后者将重点放在社会公共部门机构区块链的应用,如身份识别和政府服务、医疗保健、能源和环境报告等。2019年1月,欧洲创新促进者论坛成立,给金融监管当局提供了一个固定的平台,通过定期开会分享通过创新监管手段(如监管沙盒和创新中心)与公司互动得到的经验,再展开多边协调,在创新产品、服务和商业模式的监管方式上达成共识,确保监管的一致性和完备性。
二、欧盟各成员国金融科技监管概述
欧盟层面的金融科技监管法规条例在欧盟成员国内部同样适用。成员国金融科技监管体系在欧盟层面监管框架下进行顶层设计,以确保金融科技监管的完备性,避免监管不一致阻碍金融科技的发展及欧洲数字一体化进程。
1.监管模式:功能性金融监管
在欧盟层面金融科技监管框架下,欧盟各成员国对金融科技采取功能性金融监管。欧盟各成员国没有专门设立金融科技的监管机构,金融科技公司遵守的法规受哪家监管机构监管取决于其商业活动,与公司是否将自己标识为金融科技公司无关。功能性金融监管模式适应金融科技背景下不断涌现的金融创新,着力解决各种金融创新产品的监管问题,有利于促进金融科技的发展和维护金融业的稳定。比如,在德国,金融科技公司根据其商业模式被划分为信贷机构、投资公司、支付机构或保险公司。这些类型的机构(包括金融科技产品)由德国联邦金融监管局(BaFin)和德意志联邦银行进行监督。德意志银行专注于事实调查和数据收集(特别是偿付能力、流动性、统计和风险管理),BaFin主要负责准入许可程序以及对机构的持续监督。
基于功能性金融监管,欧盟成员国金融科技监管可概括几大原则。第一条:监管应更多基于活动和产品,而不是基于经济实体。第二条:法规是技术中立的,给予各类技术非歧视待遇,促进竞争和金融科技发展。第三条:金融科技监管遵循“比例”原则,即监管标准基于“相同业务,相同风险,相同规则”的原则实行“比例”监管,具体可解释为低风险的小型企业与具有高风险的大型企业的监管有所不同。第四条:法规和法规解释应在欧盟成员国内部统一,确保监管的一致性。第五条:立法者和监管者应以“适度心态”来实施监管,即在实施立法时,监管者应与金融科技公司保持互动,并关注立法的基本原则和宗旨。第六条:规章制度,特别是以“比例”原则为基础设计的规章制度,应辅之以适当的补救措施,包括赔偿责任机制等,以此确保监管过程中遵守相关原则,有利于保持监管的一致性和减少风险外溢的可能性。
2.监管依据:立法框架
欧盟各成员国金融科技监管普遍与欧盟层面的金融科技法律框架保持一致。但由于欧盟的立法进程相对比较缓慢,与金融科技相关的新兴产业常常被发现是“不受监管的”,而部分成员国立法机构又较为侧重立法的时效性,因此部分欧盟成员国在金融科技监管立法上走在欧盟之前。例如,法国注重完善金融科技监管立法框架并侧重立法的时效性。法国作为欧盟的成员国,除了执行欧盟制定的金融行业法规,还通过立法将部分未受监管的金融科技产品纳入监管框架。法国在2014年通过了一项规范众筹的监管框架,而欧盟委员会在2018年3月才发布了其关于对欧洲众筹服务提供商进行监管的第一项提案。同样,在2018年上半年,法国采纳一项关于首次币发行(ICO)和加密资产服务提供商的法案草案,而欧盟当局仍在进行初步磋商,评估在欧盟层面就ICO和加密资产进行立法的必要性。
3.监管工具:创新枢纽和监管沙盒
截止到2019年1月,已有21个欧盟成员国建立了创新枢纽(innovation hub),5个欧盟成员国设置监管沙盒,不同欧盟成员国的创新枢纽和监管沙盒具有共性。
在欧盟成员国内部,创新枢纽普遍指金融监管机构设立在其内部的组织,其为相关金融企业提供对话渠道,便于监管当局向金融科技企业阐明相关监管思路,指导企业实施相应合规措施,也便于增强企业对监管的认知、对监管机构预期的认知。不同成员国创新中心所共有的核心功能是主管当局提供的金融机构联络点,企业可以用作专门的联系渠道,以解决有关创新金融产品、服务、商业模式或交付机制是否符合监管和/或许可要求的问题。
目前,5个欧盟成员国的监管沙盒都可以被概述为“安全空间”,即在严防风险外溢的前提下,监管机构主动放松监管要求,金融科技公司可以在“安全空间”内对其产品/商业模式进行测试,减少对金融创新的制度阻碍。同时,监管当局在金融产品测试期间会对相关产品进行持续性监管,发现潜在风险,以便在监管层面上对其量体裁衣,制定相关监管条例。监管沙盒的共同点可被概括为以下几点。一是拥有共同的目标,即增强企业对相关监管规则的理解,尤其是现有监管框架对创新业务模型、产品和服务的适用性;增加监管部门对金融创新所带来的风险和提供的机遇的认知,并通过相关测试优化监管科技监管框架,同时确保监管当局向相关公司提供实质性帮助,使公司更快适应相应监管方案。二是准入要求具有共性,虽然不同欧盟成员国对参加沙盒的金融服务或产品有着不同的要求,但其具有共性,即相关产品服务或商业模式必须满足创新性,且产品和现有的监管框架并不匹配或存在较大的风险。若公司从事存在准入门槛的活动,公司进行监管沙盒测试前,需获得相关部门许可,并满足法律规定持续监管的相关要求。三是面向的对象均较为开放,欧盟监管沙盒均向现有机构、新设机构开放,也包括向金融机构提供金融服务的技术公司〔例如监管(RegTech)或其他合规解决方案的提供商〕,只要它们与受监管的金融机构签署了相关协议,则这些公司可以参与监管沙盒。此外,监管沙盒不限定于金融行业的某个部门,它们更多来自跨部门机构(例如银行、投资服务、支付服务、保险、市场基础设施)。监管沙盒也存在一定的差异。一是申请时间存在差异,波兰、立陶宛和荷兰的监管沙盒允许公司随时提交申请参加监管沙盒,而在丹麦和英国,主管当局则执行队列程序,根据程序,申请人可以在指定时期内申请测试,申请时间长达两个月。二是监管透明度存在差异,英国监管沙盒在运营年末发布监管沙盒报告,内容覆盖了测试的命题、存在的潜在机会以及局限性,丹麦的监管沙盒测试结果都在主管当局的网站上以摘要形式进行报告。
三、欧盟监管科技在合规端的应用
欧盟的监管科技发展较为成熟。由于监管制度较为严格,金融机构已经将人工智能、大数据和机器学习等技术用于实现报告自动化,分析大量结构化或非结构化数据,缓解合规压力等。本文将监管科技在合规端的应用分成八个类别:身份识别和控制(identity management & control)、监管报告(regulatory reporting)、风险数据管理(riskdata management)、交易监控(transaction monitoring)、市场监督(market surveillance)、通信监控(communication monitoring)、合规管理(compliance management)和控制自动化(controls automation)。AEC和Sia Partners联合发布的欧洲监管科技市场发展报告,对欧洲80家金融监管领军公司进行统计调查,发现27.2%的监管科技公司专注于身份识别和控制,27.2%的公司主要将监管科技应用于监管报告方向,还有13.6%和11.1%的公司分别将监管科技应用于风险数据管理和交易监控。下文主要讨论监管科技应用最多的四个方向。图2欧洲80家监管科技公司应用方向
1.监管报告
在欧盟的金融监管框架下,欧洲金融机构需要同时向欧盟和当地的监管机构提供监管报告。在多头监管、多标准监管的情况下,传统监管报告报送需满足不同的监管格式,即费事又容易出错。在金融科技的助力下,可基于云技术和应用程序接口(API)等技术用端到端的解决办法来自动化生成报告,使监管机构能够通过基于Web的数据提交端口,实时接收金融公司的相关报告,实现从系统数据源到根据业务规则生成报告的自动化过程。据相关统计,欧盟监管报告监管科技公司的客户大约46.7%是资产管理公司,16.7%是投资银行。
例如,在波兰成立的BRAG公司致力于减少金融机构的合规工作,通过自动化最大限度地挖掘保险、银行及养老基金等不同部门数据的价值。例如,欧盟发布的偿付能力指令II(Solvency II Directive)要求保险公司定期向监管机构提供详细的报告,其中应包括其资产结构和资本充足率等内容。该指令在几年前已经生效,并定期更新偿付能力可扩展商业报告语言(Solvency II XBRL)分类标准,重新设定数据提交方式。法规的变更要求被监管机构必须采取适当的措施保证合规性。BRAG公司提供的名为“原子”的软件,可用于快速无缝地生成Solvency II报告,从而降低了违规风险并提高了数据质量。它使用户可以创建、编辑、更正和验证相关报告,并跟踪不符合要求的条目。而且,软件的高性能引擎允许使用者同时处理多个报告,节省了归档者的时间和精力。
2.身份识别和控制
身份识别和控制是监管科技另一广泛的应用方向,主要通过用户的行为识别概况,识别从网络安全漏洞到欺诈的各种风险,从而满足“了解你的客户”(Know Your Customer,KYC)和“反洗钱”(Anti Money Laundering, AML)的合规要求。根据汤森路透的数据,一家大型金融机构每年平均要耗费6000万美元用于KYC合规要求。对于跨国金融机构来说,由于不同地区监管合规存在差异性,满足合规方面效率更加低下,耗费的资金量更大。监管科技的应用能够有效地降低金融机构KYC的成本,减轻合规压力。身份识别和控制监管科技公司的客户中大约16.7%是商业银行,10%是资产管理公司,6.7%是保险公司。
熟悉KYC的框架有助于我们理解监管科技在合规过程中的作用。KYC的合规框架可分为三个部分。第一部分是客户识别,在核准客户的身份证明文件之前,需要通过检查所有可用信息验证客户身份,以确保信息的准确性。同时,机构还需要确保其潜在客户不在任何制裁名单(例如国际刑警通缉名单)上。第二部分是客户尽职调查(CDD),尽职调查措施应包括从受信来源收集客户的所有可用数据,确认客户的业务目的。完成相应调查后,仍需保持对客户的持续监控以确保其所有活动与记录的客户信息一致。第三部分为加强尽职调查(EDD),如果认为客户的风险比预期的高,即一些与竞争对手之间存在关系的客户或原籍国位于“高风险第三国”列表中的人,则需要加强尽职调查措施。加强尽职调查通常包含对客户关系更严格的监控和更深入的调查研究。
例如,2013年总部设立在卢森堡的KYC3监管科技公司成立,能够给被监管公司提供一个在线工具,提供给受监管的公司完成KYC和AML尽职调查所需要的一切信息。该公司构建了一个FACT4风险情报数据库,数据库包含关于政治、犯罪和声誉风险的全球情报,媒体和商业注册数据,还含有通过AI技术分析超过1.5亿份文档提炼出的相关风险因素。FACT4每30分钟更新一次,以确保数据的时效性,并减少了机构人工数据传输的冗余以及错误。在客户识别方面,监管工具可以从包含机器可读区域的国际旅行证件中提取身份数据,并将实时自拍照或小型视频与官方证件上的面部图片进行比较,完成客户识别。在CDD和EDD方面,受监管公司仅需输入名字即可通过检索FACT4数据库得到快速报告,再决定是否进一步调查深层信息。当金融机构决定深入调查时,在线监管工具基于人工智能深入研究整个风险数据库,完成尽职调查并生成PDF报表以供公司记录。同时,监管工具还支持实时监管功能,即曾经调查过的客户可以被设定为持续监管的对象,一旦数据库出现了相关客户新的风险因素,信息会马上反馈到金融机构,以便下一步决策,避免信息时效性导致的合规风险。
3.风险数据管理
风险数据管理旨在通过技术改进风险数据管理,其主要依赖于大数据进行价值创造。具体来说,风险数据管理涉及数据治理、数据监控和数据保护等各个方面,其主要从监管文件和执行条例中提取相关潜在合规风险,对相关信息进行分类,并找到与受监管公司相关的数据进一步分析,以确定是否满足监管(如《巴塞尔协议3》)和会计要求。Sia Partners全球管理咨询公司估算欧洲一家一级银行实施风险数据管理所需的平均预算为2亿欧元,监管科技的应用可以显著减少风险数据管理的成本。据欧洲样本数据统计,风险数据管理的监管科技应用主要集中于商业银行和资产管理公司。
例如,在法国创立的Scaled Risk金融监管公司,其产品战略是为企业的风险数据(交易、金融产品、客户)提供一个集中、便于组织全面审计的平台。该平台具有开放性的系统,允许接入其他软件或程序的API,以便整合不同的软件(监管科技)于同一平台,便于和客户原监管生态无缝对接。在平台上,相关数据集和文件汇集成数据湖,业务部门成员和合规部门成员可随时管理和使用这些原始数据,并不会改变数据源。数据湖通过集成同类数据,审查数据质量以及智能化数据储存形成数据集,并通过内置的分析和可视化控制模块处理数据集满足不同的合规需求,如优化计算风险加权资产,实时的客户信用评分。
4.交易监控
数字技术正在改变人们访问银行服务的方式,也造成数字银行欺诈行为的激增。当前,监管规则正在不断更新迭代减缓相关风险。从2018年初开始,欧盟的第二个支付服务指令(PSD2)生效,迫使银行通过开放应用程序接口(API)与第三方服务提供商共享客户数据。对于历来注重保护客户数据的银行而言,PSD2规则是一个巨大的挑战。同时规则要求,银行需对由于开放API而导致的客户账户上发生的未经授权交易负责。这迫使银行增强对客户交易的实时监控,确保交易的安全性。
交易监控类监管科技公司服务内容主要包括:实时监控所有客户的数据,发现异常情况及时处理;识别加密货币可能从事的非法活动,并向监管机构和执法机构提供加密交易的可审计资料等。目前调查的欧洲交易监管类监管科技公司的客户可细分为资产管理(27.3%)、零售银行(27.3%)、投资银行(9.1%)和其他(36.3%)。
例如,NetGuardians是一家瑞士监管科技公司,其提供了首个为银行主动防范欺诈风险而设计的增强智能解决方案。它通过将预先设定的程序与银行核心系统连接,提取分析相关数据,发现并阻止实时交易中存在的欺诈行为。使用NetGuardians解决方案可以将银行欺诈交易的报误率降低83%,节省93%的欺诈调查时间,有效防止新的欺诈案件发生。具体来说,该数字银行的防欺诈方案基于一个风险模型,该模型获取每个客户的历史交易记录,并根据他们的数字银行行为建立详细的行为模式档案——他们通常在何时何地进行交易、交易对手的范围、他们通常使用银行系统的方式以及通常的交易规模等。行为模式档案是模型的一部分,未来的每一个交易都与该模型相关联。当发生交易时,风险模型将根据交易发生的特定条件以及与该账户相关的行为模式的差异程度来计算涉嫌交易欺诈的可能性。反欺诈系统采用大数据技术,使其能够应用分析技术实时处理大量交易。
四、欧盟监管科技在监管端的应用
监管科技(Suptech)指的是监管机构使用创新技术来改善监管流程,提升监管效率。目前,并非所有监管机构都采用了监管科技,但无论是否采用监管科技,其都可在组织内部建立创新实验室,对监管科技的应用进行统筹推进。欧盟内部已有不少国家采用创新实验室,如奥地利共和国中央银行(OeNB)拥有一个全银行范围的创新实验室,可以在其中启动和评估与监管科技有关的项目构想。法国审慎监管与决议管理局(ACPR)实施了一项“企业内创业”计划,旨在鼓励工作人员提出创新项目,以改善ACPR的监管工具和流程。
1.监管报告
监管科技在监管报告的应用方面可进一步分为自动化报告和实时监控,其中自动化报告主要指利用大数据技术自动化收集受监管实体的数据,并形成报告。实时监控指利用API、网络抓取、聊天机器人、文本挖掘等方式获取数据,然后将实时数据与动态可视化仪表盘相结合,提供的一个动态、清晰的监管工具。
OeNB开发了一个自动化平台,以减轻银行的合规压力,提升监管效率。具体来谈,银行部门需将法规要求的合规数据传输到该自动化平台,自动化平台根据数据的类型和预先制定的转换规则对相关数据进行筛选、整合,并分类转化为贷款立方体、存款立方体、证券立方体等其他智能立方体(Smart Cubes)。智能立方体可以自动形成无冗余、完整、具有一致性的数据报告并传输给OeNB,同时,OeNB也可以在任意时间内下载银行的相关原始数据。自动化报告体系有两大支柱,分别是自动化报告平台和一体化报告数据模型,其中自动化平台由奥地利报告服务公司(AuRep)维护运营,一体化报告数据模型由银行和OeNB之间的标准委员会设定。据统计,该平台覆盖了奥地利银行业约90%的市场,具有规模经济的效应,其通过数据的一致性、便捷性,减少监管机构的监管压力。图4AuRep监管报告自动化平台
2.数据管理和市场监督
监管科技在数据管理上的应用主要指:数据验证、数据整合以及数据可视化。
数据验证:主要指检查数据的完整性、正确性、合理性以及一致性。数据的验证能够提升监管效率。保证数据质量才能确保模型输出结果的准确性,不然可能导致“垃圾进,垃圾出”的负反馈现象,从而无法得到有效结论。数据整合:通过汇集零散数据形成庞大数据集。Suptech能够结合多个数据源(结构化和非结构化数据)以支持分析工作。例如,意大利中央银行(BoI)将可疑交易举报(结构化数据)与新闻评论(非结构化数据)结合起来进行反洗钱调查。数据可视化:数据并不直接等同于信息,运用数据可视化工具将大量的、密集的、复杂的数据以容易理解的方式呈现给监管者。
市场监督则指通过Suptech进行大数据分析并对市场进行实时监视,检测出可疑的交易。金融市场每个交易日都产生巨大的数据,监管机构将其转化为可用于监控市场的量化指标,并进行可视化处理。欧盟的《市场滥用行为监督条例》(MAR)就制定了一系列异常交易的预警指标,将可能涉及量价的显著变化和影响市场的稳定性都纳入可疑交易范畴。
例如,荷兰中央银行(DNB)的交通灯监管项目就应用到了数据管理和市场监管。DNB把风险定义成一堆变量(观测值、基准),其中观测值是风险指标在特定时间点的特定值。基准值则是指基于大数据分析得出的风险指标的正常值。如果观测值偏离基准值一定程度,则表明存在风险。荷兰央行把泛欧实时金额自动清算系统(TRAGET)2级的金融市场交易数据转换为相应指标,通过观测值和基准值的偏离度实时提供有关操作风险和流动性风险的信息。同时基于偏离值设定相应的信号阈值,分别使用绿灯、琥珀灯或红灯来表示指示器的微小、中度或实质性变化,便于监管者的动态监管。
3.不当行为分析和宏微观审慎监管
在宏微观审慎监管方面,监管科技可以通过大数据和AI分析一些结构化数据和难以解析的非结构化数据,识别出潜在的宏观和微观的风险因素。在不当行为分析中,Suptech可以被用来打击数字技术带来的新形式的洗钱、恐怖分子融资、销售不当和欺诈行为。图5每日交易数据量(SLA服务级别协议)
例如,意大利银行(Bol)成立一支由经济学家、统计学家和计算机学家组成的大数据团队。该团队建立了硬件和软件基础架构,包含Matlab,Python等软件,以便搭建一个处理各种类大数据的环境基础。然后,该数据团队通过大数据和AI分析传统数据仓库中的结构化数据和社交媒体中的非结构化文本数据,提炼宏微观风险因素,研究相关问题。其中一些研究数据集来源于推特(Twitter)等社交媒体,可以通过AI和机器学习对这种大量的非结构化数据进行情感分析,衡量民众的通胀预期或零售储户对银行的信任,评估客户对特定公司的情绪以及对股票回报的影响、波动性和交易量等。
五、欧盟监管科技的展望
在监管科技领域,欧盟取得了一定的成绩。欧盟提供了一个较为完善的监管生态体系,推动了金融机构和监管机构在合规端和监管端监管科技的应用。回顾欧盟发展监管科技的历程,可以发现四个因素共同促进监管科技飞速发展。第一个因素是强化的合规要求,金融危机之后,监管机构为控制系统性风险,要求被监管部门提供关于决策、风险敞口等详细的报告,不断上升的合规成本引发了欧洲金融机构的RegTech革命。第二个因素是欧盟通过的《通用数据保护条例》,该条例一方面有效地保护了欧洲公民的隐私权,避免其受数据泄露的侵害。另一方面,其阻碍了个人数据的集中化,导致一些个人数据驱动的行业发展受到阻碍,也促使相关机构重新审视其数据管理框架,并在安全边际下,寻求新的技术推进数据的应用。第三个因素是《支付服务法令2》,该法令要求金融机构开放其客户数据给第三方机构,一定程度上加强了数据共享,打破银行业垄断地位,便利与第三方机构(主要是金融科技创业公司)开展业务,促进金融科技和监管科技生态。第四个因素是欧盟的数字化单一市场战略。数字化单一市场的一大支柱是数据战略,欧洲数据战略旨在建立一个单一的数据市场,以确保欧盟的全球竞争力和数据主权,也在一定程度上推进欧盟共建共同数据空间,促进了监管科技发展。
展望欧盟监管科技发展的未来,仍有几点需要注意。一是监管科技不能消除风险,其通过大数据、API和人工智能等技术使一些传统的风险被新的风险取代。例如,以人为基础的操作风险降低,而网络安全和技术风险将增加。监管层必须确保技术和金融的紧密结合,并增强对处理数据模块和监管流程的审查,最大程度上避免新风险发生。二是要不断推动和加强监管机构和被监管机构的沟通,以及欧盟监管机构成员国之间的沟通。这可以深化金融机构对监管法规的理解,有利于缩短金融产品周期,增强机构的合规能力。监管机构也能加深对金融产品的了解,搭建合理的监管科技框架,促进监管生态完备性。三是合规科技并不是对监管科技的简单重复,而需要流程再造。合规监管并不应该简单地把现有的监管过程转换为数据驱动环境下的监管,而是需要将这些监管流程进行重新设计。监管科技公司可以采用一种数字尽职调查的方式,将流程划分成多个步骤,放弃原来的流程结构,重新根据监管科技的特性进行设计。
作者信息
巴曙松,1969年生,中国科学技术大学管理学院教授、博士生导师,中国科学技术大学国际金融研究院新金融研究中心主任,中国银行业协会首席经济学家,香港交易所集团董事总经理兼首席中国经济学家。
来源
文章原载:欧盟监管科技的发展现状研究,《国外社会科学》2020年第5期。
因文章篇幅原因略去注释。
推荐阅读
国外社会科学
长按二维码
关注我们