资本市场新兴技术监管的国际比较与启示研究

本文转自《中国证券》2023年第1期

近年来，资本市场开放政策不断深化，注册制改革深度推进，叠加新兴技术赋能带来的助力，资本市场迎来高速发展期。然而，随着科技与资本市场深度融合，科技应用风险逐渐凸显，网络安全事件时有发生。对此，监管机构对新兴技术在资本市场应用监管的重视程度不断提高，对新兴技术应用监管的前瞻性研究不断加强。

本文通过深入分析美国、英国、新加坡等资本市场发达国家新兴技术应用监管实践，总结其先进经验，结合我国资本市场科技监管情况，为我国监管机构开展科技监管工作提供参考。

一

随着人工智能、区块链、云计算、大数据等技术不断落地，科技与金融业务融合程度持续加深， 资本市场金融科技应用开始从聚焦于前端服务渠道互联网化转移到强调业务前台、中台、后台的全流程变革。具体看来，各国资本市场金融科技应用主要集中在推动实现业务增长、提升客户体验、实现流程智能化和自动化等方面，例如，将智能化投顾应用于财富管理类业务，2014年开始美国、英国、新加坡的投资银行、证券经营机构纷纷相继推出智能化投顾平台；交易类业务领域，打造智能化、自动化、高效、精准的交易系统，如摩根大通、高盛、花旗集团等国际头部投资银行近两年探索量子计算在产品定价、交易算法等场景中的应用；投行业务领域，美国投资银行不断探索利用大数据、人工智能技术实现业务智能化、自动化；英国、新加坡的金融机构则探索利用区块链技术发行证券产品等。

二

资本市场新兴技术应用的风险主要来源于以下三个方面：

一是系统稳定性风险。新兴技术在资本市场上的应用已经覆盖了经纪、财富管理、资管、投行等各领域，系统涉及前、中、后台各个环节，系统的安全稳定对于经营机构十分重要。然而，应用系统的构建首先基于电力、网络、主机、柜台、服务器等硬件设施，一旦基础设施发生故障将导致系统瘫痪，进而引发技术风险；此外，技术系统仍然建立在代码基础上，如果技术部门未能排查代码漏洞， 导致交易系统故障，也会影响市场的正常运行。

二是操作风险。技术系统尽管具有一定的智能化，但部分环节还是要通过人为操作，因此，存在因为操作规则不清晰或者操作失误导致的操作风险。例如，2020年某基金公司测试人员误把实际环境当作测试环境进行操作，最终导致交易异常， 拉抬市场股价而受到监管处罚；2022年1月，由于摩根士丹利未能妥善关闭两个客户数据中心，并由于软件漏洞使得客户信息被泄露，货币监理署（OCC）对摩根士丹利处以6000万美元的罚款，并提起诉讼。

三是外部攻击的风险。科技在应用于资本市场的同时也被众多黑客使用。近年来，网络攻击事件频发，网络空间安全形势日益严峻，证券行业作为资金流动性较大的行业也已经成为网络攻击的重要目标。例如，2016年国内某证券公司短信平台系统被不法分子从外部攻入，向85万名客户发送诈骗短信；2021年12月中国台湾多家券商的交易系统，疑似遭遇了撞库攻击，大量投资者的证券账号被暴力破解后，其账户被自动下单，最终导致用户损失惨重。诸如此类攻击事件频发，进一步表明新兴技术面临一定风险。

三

1.监管体系及监管范围

美国市场监管体系主要是分级分层监管，形成金字塔式的监管体制。美国证券交易委员会（SEC，Securities and Exchange Commission）居于金字塔顶部，对整个市场进行监管，拥有法定的最高监管权力；金字塔的中部是自律组织，如证券交易所、金融业监管局（FINRA，The Financial Industry Regulatory Authority）、清算机构等，主要负责监督市场主体的交易行为和经营活动；上市公司的监督部门、证券交易中介机构和社会舆论形成金字塔的基础，监督金融机构与投资者的市场交易。SEC作为享有最高权威的监管单位，不仅要对整个市场的交易情况进行监督管理，还特别注意新兴技术在市场上的应用情况。

2007年以来，SEC分别成立交易和市场部、经济和风险分析部门、创新和金融技术战略中心 （FinHub） ，协调SEC对新兴技术在金融、监管和监督系统中的应用情况进行监督和反馈，包括分布式账本技术、自动投资建议、数字市场融资和人工智能等。目前，SEC将Finhub从部门升级为独立办公室。

2.监管思路及措施

在过去几年里，SEC不断根据市场发展情况、市场产品更迭和市场意愿调整监管方式及方向。

一是主要基于技术的应用进行监管。SEC设立的Finhub办公室主要对四个方向进行监管：一是区块链/ 分布式账本技术，SEC监管该技术在数字资产合约上的合法合规使用；二是对数字市场融资，主要监管融资门户平台等进行的数字市场融资活动；三是自动化投资建议，针对基于算法的在线程序提供资管服务的投资顾问，目的是确保新兴技术应用在改变投顾服务方式的同时，依然履行证券法规定的义务；四是人工智能/机器学习，目前SEC对该类技术的监管仅限于讨论阶段，尚未出台针对性的政策法规。

二是从事后监管转向事前监管。自1991年开始，SEC要求每个市场参与主体都应由独立审查员每年对其自动化交易系统的交易负载评估、规划周期、压力测试、应急预案、系统漏洞风险等进行审查，并出具完善建议，即构建自动化交易审查政策（ARP，Automation Review Policy）。如今，美国SEC设立了分布式账本技术小组，启动了创新和技术战略中心，任命了数字资产和创新高级顾问以及召开金融科技论坛，主动与市场参与者互动了解市场的金融科技创新情况，在技术刚开始应用或者尚未应用时就评估其可能对金融领域产生的影响。

1.监管体系及监管范围

2015年，英国金融市场行为监管局（FCA， Financial Conduct Authority）率先提出监管科技的概念，且不断寻求创新。FCA通过名为“Project Innovate”的计划开始探索创新监管，并逐渐从仅两人负责创新金融商业模式提供监管意见反馈发展至独立的创新部门，通过外部创新合作、阶段性整合和推动大规模创新多种方式提高行业在金融科技上的创新能力。如面向涉及创新想法企业提供直接的监管援助；面向开发自动化模型公司提供的监管咨询服务；面向金融服务行业，如监管科技公司、金融科技公司、相关研究学者、技术专家和创新创意团队的黑客马拉松（TechSprint）竞赛；面向处于早期开发阶段产品和服务的数字沙盒；面向金融服务公司和前沿技术创新公司的监管沙盒，以及通过举行圆桌会议和研讨会等，吸收金融科技发展的优秀思路，进一步改进和增强监管方式。

2.监管思路及措施

英国新兴技术监管主要采取以下思路：一是基于公司金融活动进行监管。在实际监管过程中，并不规范特定技术的使用场景，而是监管使用这些技术的金融活动是否合规以及开展金融活动的公司是否合规。二是要求企业建立全面的技术风险控制防线。FCA认为行业内所有经营机构需要强化自身系统评估能力，并汇报出公司所有部门的技术能力和需要改进的领域。三是提供讨论新兴技术在金融领域应用方向的平台。FCA于2020年10月和英格兰银行共同定期举办人工智能公私应用论坛，探讨人工智能应用在金融行业的潜在优劣点以及技术变革如何产生对投资者和市场有益的创新。

1.监管体系及监管范围

目前，新加坡形成以金融管理局（MAS）为核心的监管框架。新加坡政府授权MAS作为金融科技创新发展的政策主体，全面负责金融科技发展的战略规划、政策框架和政策协调等工作，监管范围涵盖银行、保险、证券、支付等领域，具体包括营销获客、移动支付、财富管理、智能风控等广泛的金融行为，并将金融科技公司纳入监管范畴。

MAS为推动金融科技高效发展，2015年8月成立金融科技及创新团队（FTIG），主要负责制定金融创新计划、建立创新和研发中心、构建新加坡智能金融中心等，并任命首席金融科技官领导FTIG。2016年10月联合新加坡创新机构（SG－ Innovate）成立金融科技署（Fintech Office），主要承担国家金融科技的监管协调和政策制定职能， 负责对金融科技企业提供监管一站式审批援助。

2.监管思路及措施

新加坡作为早期开展金融科技建设的国家之一， MAS已逐渐牵头形成了应用领域、新兴技术、国际合作三大方面的金融科技生态系统。其中，电子支付和绿色金融科技的高度被提高到行业级别，金融行业的智能化、可持续化发展受到重视。在合作协议方面，不仅覆盖了国内外金融组织，MAS还特别设立了技术咨询小组，探索新兴技术与金融服务的结合方式。在技术方面，除了新兴技术，MAS还强调了API和知识产权保护等注重提高细节效率和持续创新保障的技术。新加坡金融科技政策主要围绕监管沙盒、人工智能与数据分析以及数字支付法案等方面展开。

四

纵览国际监管机构在新兴技术融合过程中的监管思路及措施，总结以下三个特点。

一是监管机构发力提升自身新兴技术能力。如果不够了解新兴技术的基本原理和应用方向， 就无法判断这项技术与金融业务结合的方式和场景，无法控制技术应用后为行业带来的变化和风险，从而丧失对市场的监管能力。为了大幅提高监管效率，提升自身技术能力，美国SEC设立了信息技术办公室为内部工作人员提供技术支持， 并考虑将技术能力作为入职考试的重要部分，还通过访问学者计划吸收技术领域的先进思想；新加坡方面则提到了利用技术提升对金融科技的监管，以完善整体监管措施。

二是扩展行业技术相关创新渠道。为了在控制金融风险的同时鼓励金融行业应用新兴技术，监管机构纷纷开通了金融科技相关项目监管的咨询通道，例如英国FCA提供的直接支持和监管咨询服务；美国SEC设立的创新和金融技术战略办公室；日本FSA设立的金融市场准入办公室。监管机构还通过监管沙盒和行业峰会等活动为有创新想法的金融机构提供平台和监管支持，且各有特色。例如英国FCA将监管沙盒由阶段性开放变为全年开放；新加坡MAS将监管沙盒分为普通版、快捷版和升级版；日本的监管沙盒则直接由内阁主办，允许所有行业参与试验。

三是探索构建监管科技生态体系。随着各国金融行业的发展和技术的深入应用，监管机构发现市场运行的“短板效应”日趋明显，各市场主体的技术能力都限制着市场整体的运行效率，因此需要在行业内构建监管科技生态体系，共同应对市场风险和突发情况。例如，英国FCA通过鼓励监管科技行业峰会或举行TechSprint活动强化行业交流，提高金融机构运用技术解决合规、行业风险问题的能力，包括反欺诈技术、数字化监管报告、市场风险监测、舆情分析、审慎分析等。

针对我国监管机构在资本市场新兴技术应用领域监管存在的难题，在借鉴国际监管经验的基础上，结合我国资本市场监管现状，带来以下启示：

资本市场新兴技术监管涉及核心机构，证券、基金、期货等经营机构，以及新兴技术公司等多类主体，且随着新兴技术的应用广度、深度不断增加， 面临的风险越来越多，监管难度也越来越大。鉴于目前我国资本市场新兴技术的监管体系尚待完善，存在专业人员不足等问题，监管机构亟须强化协同监管机制，一方面可以统一监管口径，避免出现不同辖区监管要求不一致问题；另一方面可以通过构建协同机制减少各机构间的沟通障碍，提高监管效率。如建立统一数据报送和风险监测反馈机制等，通过统一的数据报送系统，实现数据的统一归口管理、减少数据多头报送；还可以建立统一的风险事件互通机制，利用大数据分析，提高风险监测和预防能力等。此外，各部委在新兴技术监管方面，也可以借鉴国际经验，通过信息共享进一步提高监管效率。

目前我国资本市场新兴技术监管体系主要是以《证券基金经营机构信息技术管理办法》《证券期货业信息安全事件报告与调查处理办法》为核心， 同时配套出台《信息安全等级保护管理办法》《证券公司证券营业部信息技术指引》等相关法规对新兴技术在资本市场的应用进行监管。但从政策法规的细分程度来看，除上述总括性监管，以及基金投顾、投行电子化底稿、程序化交易出台细分领域的监管规定外，对于新兴技术应用于更具体的场景、环节的相关政策还较少，亟待完善。同时，国际监管机构已经将资本市场新兴技术风险作为经营机构全面风险管理体系的一部分，而我国尚未将其纳入经营机构全面风险监管规则，重视程度尚须强化。此外，在强化资本市场新兴技术应用监管过程中， 不仅要加强对经营机构信息技术应用的监管，也要注重对信息技术服务机构的监管，例如美国、英国等国际监管机构均建立了较为完善的新兴技术事前评估体系，能够从一定程度上提前评估新兴技术应用的安全性，有效降低风险发生。基于上述国际经验，监管机构一方面可以修订《证券公司全面风险管理规范》将技术风险从操作风险中分离，明确纳入经营机构全面风险管理范畴；另一方面可以不断完善新兴技术监管细则，建立针对经营机构及新兴技术相关信息技术服务机构的各项管理政策或行业标准，如《资本市场新兴技术风险评估标准》等， 将风险监管前置，有效防控新兴技术应用风险。

目前国内资本市场“监管沙盒”主要通过各地证监局组织的金融科技创新试点开展，截至2022年上半年，已有5地陆续开展试点工作，成效显著， 行业呼声很高，后续可总结经验，进一步完善相关工作。例如，完善事中事后监督机制，考虑将金融科技试点与经营机构分类评价考核体系挂钩等；建立健全试点退出机制，对于参与试点的创新技术， 在确保其稳定运行前提下，建立有效的退出机制， 有序退出并向行业推广。

资本市场新兴技术应用监管不仅要依托监管政策、治理机制，还要注重强化监管科技的应用及创新，否则新兴技术在业务领域的应用远远超过监管科技可以监测追踪的范围，监管的诸多措施将受到极大的掣肘。然而，从我国监管机构现有编制来看，仅仅依靠自身研发实现监管科技的创新难度较大，成本较高，对此可以借鉴国际经验，通过完善信息技术服务机构监管评估体系，并将监管科技创新情况作为一项评估标准，以此激发信息技术服务机构创新热情，使其能够为监管机构提供源源不断的新技术、新产品， 以满足新兴技术快速发展背景下的监管需求。此外， 监管机构还可以不定期组织行业技术相关交流，使科技企业能够更好地理解监管需求，实现高效自主创新，为监管提供科技支持。

新兴技术监管对于监管人员的要求较高，特别是懂监管、懂技术又懂业务的复合型人才稀少，且复合型人才培养需要较长的时间和丰富的从业经验，最好是从事过监管工作又同时对新兴技术应用场景有深入研究的人员。如果仅仅通过监管体系内人员自学来培养，则需要较长的时间和精力，给本就承担繁重监管工作的人员带来更大压力。因此， 监管机构一方面可以通过去各类相关机构信息技术条线挂职来进一步了解行业现状，另一方面也可以通过与外部高校、研究机构、科技企业合作，借助研讨会、论坛、沙龙等方式进行交流学习，还可以订阅新兴技术相关专业资讯类信息，时刻把握市场新兴技术应用动向，提高监管人才培养效率。

从国际监管情况来看，对于新兴技术应用，美国、英国、新加坡等国家监管机构采用了加强事前评估技术风险以及事后监管处罚的监管方式，对于新兴技术在业务场景中的应用主要依托经营机构主动管理的方式。例如，通过监管沙盒或者技术沙龙事前评估某一业务场景下新兴技术应用的风险程度，一旦通过评估，经营机构可以在金融活动中使用该技术，但经营过程中需要审慎使用，如果发生重大网络安全事件，监管机构将会对使用该技术的机构重罚。例如，美国投行摩根大通2021年12月17 日承认在监管员工通讯方面存在过失，将向美国证券交易委员会、美国商品期货交易委员会两家监管机构支付共计2亿美元罚款。对此，我国可以借鉴国际经验，在给予创新包容的同时，同步建立“事前审慎评估+事后重罚”的措施，激发经营机构主动管理新兴技术应用风险的意识，从而有效降低风险。

在资本市场实际运行过程中，面临最多问题、承担损失风险的往往是没有足够金融知识的投资者，在越来越多的技术工具出现的金融科技时代， 投资者教育的重要性愈发凸显。因此，经营机构不仅要被动式地保护投资者，还要主动帮助投资者学会如何在使用技术工具时保护自己。一方面，经营机构可以借助技术工具了解和持续矫正投资者的风险承受能力及投资需求，针对不同风险偏好的投资者，结合市场状态精准投放适合投资者的投教内容，划清交易功能和投资建议边界，审慎推荐金融产品，避免功能“娱乐化”引导投资者投资；另一方面，经营机构可以通过基础金融知识、市场解读、资产配置月报等内容，详细讲解不同技术工具实现的功能以及需要承担的投资风险，帮助用户理性投资，也可以通过解析典型案例，让投资者识别投资陷阱，避免资金损失。