金融科技安全立法探索与研究（二）

当使用人工智能等金融技术辅助或自主做出交易决策并造成歧视、损失或进一步损失的风险时，可能因“技术中立”或“技术黑匣子”而确定机构的法律责任并避免。

“技术中立”是指技术本身没有善恶，没有目的，客观的数学模型或程序在决策时不具备人类主观思维能力。但是，看似消除主观偏见的算法，可能在构建之初就暗含了运营商的价值取向和利益取向，而一开始设定的歧视倾向会在自学习中逐渐形成，然后主观问题就会出现。包装为形式上的客观问题。错误，脱离主要责任[xvi]。

上述情况实际上反映了“技术黑盒”或“算法黑盒”的问题。 “技术黑匣子”有两层含义。一是底层算法的交织和不透明，阻碍用户和监管者及时了解和识别风险的“外部黑匣子”；另一种是人工智能深度学习自动优化的算法。形成了可能对机构自身风险管理产生一定影响的“内部黑匣子”。无法认定相关主体是否存在主观恶意并履行保护责任，黑匣子的存在使得归属难度陡增。

明确人工智能参与交易决策活动的法律责任，首先要“拆解黑匣子”，定期全面评估算法的运行逻辑和可靠性。目前，央行发布的《人工智能算法金融应用评价规范》已经建立了基于资本和非资本场景的人工智能金融应用的安全性、可解释性、准确性和性能评价框架。详细规定了应用层级，形成了黑盒治理的初步依据。也就是说，对于人工智能决策业务，其安全性和准确性不仅会被监管部门逐步掌握，还会被索引和披露，及时警示消费者风险。但在此基础上，还有两部分需要讨论：责任分类和处罚措施。一方面，鉴于金融科技创新速度快、频率高，现有的评价框架可能无法及时调整，建立实质性约束。提前明确该领域的职责，避免过度创新，避免处罚；安全发展的需要、稳定的市场秩序和维护消费者信任也是法律责任相关的重要问题。

3.关于基于区块链的智能合约的4个法律问题

智能合约是参与者根据双方协议达成并自动执行的数字合约。基于区块链的智能合约具有不可篡改的特点。智能合约代码编译入链并经双方确认同意后，代码可以根据预设条件自动运行，无需修改或终止。基于这一特点，智能合约的法律效力产生了多重问题。

首先，智能合约是否应视为法律意义上的合约。如果根据相关定义将智能合约视为专用于执行的代码或应用程序，则应将其视为合约执行工具[xvii]；也有观点认为，如果智能合约被视为满足主体平等、意义一致等，则具有合约的全部特征，并符合民法典合同篇关于成立和成立的规定的合同。合同生效[xviii]可视为有效合同。

第二，现有法律对智能合约缺乏约束力。代码的不可变和自执行设计突出了智能合约的“代码就是法律”的特点。这意味着在区块链中，代码不依赖于司法机关提供的强制力保障[[iv]]，司法机关不直接具有干预合约自动执行的能力。这种代码优先、逻辑优先的设计无疑带来了具有法律约束力的挑战。

第三个是执行智能合约时的归属问题。代码是智能合约存在的基础。当合同双方或其聘请的第三方编写的代码出现错误时，交易无法执行或执行不正确，或一方在合同执行中发现合同漏洞，向另一方索取返还收益的一方，并且在合同重签时，造成的损失由谁来承担尚不清楚，归属依据仍以智能合约的法律认定为依据。

四、关于加强我国金融科技安全立法的政策建议

4.1坚持总体国家安全观的立法思路，走中国特色金融科技安全立法道路，防范化解重大金融科技安全风险

(1）做好宏观规划，充分发挥安全立法的引领作用

金融科技安全立法活动要立足金融科技转型引擎和反化武定位，统筹国内外、各领域、各地区、各主体发展，更好引领金融科技安全创新。结合人类命运共同体理念，建立与国际主要国家接轨的制度标准，提升跨境法律数据主权保护能力，推动数字法币等前沿创新，加强中国在制定国际金融安全标准方面的声音和行动；提升安全立法的普适性，逐步完善覆盖金融产品主要业务领域、技术环节和全研发周期的综合立法体系，补充和完善数据安全等监管标准和逆周期监管政策工具；结合不同地区的金融科技业务 在中央以重大风险管理为重点的立法框架下，鼓励分批开展区域立法探索和制度试验；划清政府与市场的界限，变强制为引导，制定和完善政务数据公开目录，制定合理的定性定量监管指标，科学制定运营商准入和业务评估监管要求，加强合规审计；逐步打破行业数据孤岛，关注长尾用户的规范和风险服务，协调发展与安全。

(2）加强重点管理，突出安全立法的针对性

金融科技安全立法活动要围绕金融安全管理核心，强化重点管理，形成重大风险防范屏障。完善宏观审慎政策框架，明确政策目标，在现有评价指标和方法的基础上，全面识别监管对象的风险防范能力，并根据结果制定系统重要性个体一致性和差异化管理办法；探索人工智能、大数据等前沿技术在金融科技监管中的应用方向，推进政企金融基础设施安全建设，鼓励企业积极参与安全技术研发和安全人才培养，增强监管部门获取行业各类安全信息的效率和大局意识和把握能力，化解影子银行风险，提高穿透式监管水平；科学制定重大突发事件应急预案，提高行业应急管理能力。关注数字平台的垄断情况，定期评估其与银行业金融机构的业务联系和杠杆水平；充分保障用户、儿童等特殊群体的权益，制定重要金融机构业务状况和数据保护能力的信息披露要求，逐步解决信息不对称和隐私隐患问题。

4.2不断优化我国金融科技安全立法的法律结构，加强我国金融科技安全立法的统筹协调，提高金融科技安全立法的质量和效率

(1）完善法律制度，增强安全立法的系统性

从系统论的角度来看立法的特点，脱离系统的要素很难在系统中有效地发挥作用。因此，金融科技安全立法活动应与行业发展战略相结合，探索在法治领域建立以金融科技安全为核心的健全制度。继续丰富金融科技安全立法的总体框架，统筹立法和行政部门的立法规划，逐步整合和清理以往行政部门发布的规范性文件，将碎片化、短暂的监管结果转化为整体性和长期性长期法律。该系统将分散的各种规范性文件有机地整合为一个逐步完善的系统。全面推进人大立法进程，加快形成高水平、针对性、系统性的立法成果，以期对经营主体或交易行为形成长效约束；科学推进部门立法进程，充分发挥中央部门、地方、行业协会的立法法规作用。灵活性和实用性优势，构建和完善从法律到准则和公约的三层体系，弥补精细化金融服务快速创新下法律法规的缺失。

(2）协调部门立法，缓解安全立法冲突

金融科技安全立法活动要加强不同部门立法过程中多方面、多环节、多层次、多主体的协调联动，平衡立法秩序和管理目的，拓展监管领域。基于金融科技跨领域、跨市场、跨区域融合的特点，及时完善和更新国内法律法规目录检索工具，严格参照现有立法文件，避免规则适用冲突，监管漏洞，多层次监管中的监管套利问题。严防因客观形势快速变化而“急转弯”式制定政策，导致相关领域监管主管部门立法或实施不稳定、不确定的负面影响，科学有效提高效率监督。

(3）明确监管责任，提高安全立法效能

金融科技安全立法活动应形成清晰的权责界限。及时明确监管主体和职责，加强对灰色地带创新行为的监管。完善现行做法，及时将国务院财委和财委办公室有效的地方协调机制纳入法律框架，在有效的横向和纵向沟通中夯实主体责任；细化监管内容和要求，完善重大违法违规行为的技术标准、类型化认定标准和归属内容[[v]]，如将算法模型纳入金融风险评估体系，增加数字平台认定要素除了市场份额之外的垄断，以补充现有立法中的原则性规定，以提高定量或定性监管和执行处罚的能力。

4.3 加快我国金融科技安全专业立法，更好适应金融科技快速发展变化的需要，更好保障金融科技行业安全发展

(1)科学调整周期，减少安全立法滞后

金融科技安全立法活动必须遵循金融科技发展规律，科学有序推进安全立法进程。把握金融创新的营利性和科技发展的二元性客观现实，加快立法速度和重点基础性法律的修订频率，让法律充分发挥其对发展的正确引导作用。避免因没有特别法律而导致的处罚不平等和限制性业务引进和创新等问题；重视行政主管部门出台规范性文件的重要性和必要性，结合行业涉及的行业、演进路径、变革方向等创新趋势，制定中长期专项发展规划，提升行业高管水平监管部门对混合业务和跨区域业务经营的了解和应对水平，以评价标准和技术规范为依据，首先培育有序的创新发展环境，并在业务实践中及时跟进建立管理原则，逐步填写对象、要求、权利、要求和处罚等立法内容。

(2)加快专业立法，提高安全立法的可预见性

金融科技安全立法活动应注重管理效率，提高立法的专业性和可预见性，成为提高国家金融治理效率的有力支撑。整体而言，将推动金融风险处置思路由运动型向应对型转变[[vi]]，调整重后因、轻前瞻的危机补救立法逻辑。完善行业机构信息披露和报告机制，定期开展金融风险排查和技术攻防演练，根据安全策略的合理性、程序的严谨性等因素，科学设计安全评估内容，加强源头治理；警惕人工智能自主学习的意外发生。性交易的风险，研究并确定确定其法律责任的原则；优化许可证管理制度，充分发挥许可证制度对行业准入的风险约束和资格过滤作用，对有限业务经营主体发放有限许可证，对同类业务采取一致措施。以增强地方金融监管能力为重点，研究地方金融监管部门跨区域发展的管理权责，在中央指导下选择适度上移或尝试建立多区域协同监管机制重视一线风险预警作用，疏通政府部门、行业组织、用户群体的举报申诉渠道，能够及时发现和处理风险，避免更大的损失。

(3)探索包容性立法，加强对安全立法的支持

金融科技安全立法活动要突出创新的包容性和引导性，形成宽严相济的关爱环境。以业务分类分类为基础，让行业机构在高风险、高危害范围之外适度创新，避免因过早框定、严格监管而对新兴业态造成巨大封锁；对于国内已有足够试点经验和良好效果的监管沙箱，其他制度的具体要求由立法活动确定，包括准入机构、类别、期限和内容、用户资格、监管权责、处罚清单等；实施差异化监管，可考虑适当的技术和数据密集领域。初创企业应放宽资金门槛或提供支持性贷款，适当简化低风险成熟领域的审批程序；建立监管部门与市场的沟通对话机制，促进行业发展趋势和监管要求的相互了解。

4.4 借鉴国际金融科技安全立法理念和经验，把握世界金融科技安全趋势，共同推动全球金融科技安全

从消费者信息和维权立法的国际经验来看，上述GDPR和CCPA对消费者权益和处理者义务有很多特别规定值得关注。关于消费者权利，有数据主体有权根据要求删除，有权在未经个人同意的情况下反对处理[xxii]，以及为主动隐私保护而不受歧视的权利，可选信息不得出售和撤回权利等；在处理者义务方面，有很多方面体现了处理者在履行义务时的成本考虑和企业实体保护。如果实施成本是确保数据处理安全的要素之一，当需要付出不成比例的努力时，可能无法履行通知数据主体泄露的义务，企业需要建立数据保护具有专业能力的官员（Data Protection Officer）个人信息保护负责人有点类似）提供合规协助和实现主体的数据权利。另一个例子是消费者的信息完整性和隐私保护，美国202年综合信用报告增强、披露、创新和透明度法案0）[xxiii][xxiv]提到当消费者质疑自己的信用报告时，征信机构和信息提供者分别负责信息披露和真实性认证；提供者在规定时间内提供特定负面信息时，必须告知消费者；信用报告机构删除或缩短一些不良信息在信用报告中的保留时间。

从加强金融科技监管的国际经验来看，《201 年促进创新和新技术使企业家创造和雇用法案》9）[xxv] 和新加坡支付服务法案（PAYMENT SERVICES ACT 201 9）[xxvi])对我国加强监管协调和细化具体业务监管有一定的启示，比如前者提出设立专门机构管理金融科技初创企业，还规定金融科技初创企业如技术创新、提高产品或服务的可用性、不对消费者保护构成风险、不产生金融系统性风险等 证明要素；要求监管机构在采取行动时进行沟通和协调；机构就监管优化提供非强制性建议，执行失败等，例如咨询委员会等[xxvii]。后者指的是进入门槛支付服务（运营需要执照，机构可以提供的支付类型或金额以执照为准。类别限制），支付机构定期向主管部门报告的事项，监管部门在一般和紧急情况下的监管权限，以及提供国际监管协助的条件、因素和范围。

从推动金融科技创新创业立法的国际经验来看，2019年通过的《菲律宾创新法》和《创新创业法》是政府对创新创业活动的直接支持。中小企业发展的典型案例。主要包括成立国家创新委员会，这是一个由总统、多部门领导、商界和学术界人士组成的专门机构，以“制定国家的创新目标、优先事项和长期国家战略”，以及该机构负责制定重要的支持计划和长期创新发展战略[xxviii]；积极支持国家重点可持续发展产业创新，包括可持续农业、数字经济、教育、健康、安全、基础设施、气候等；由有关部门制定的涵盖技术推广、会计、专利等方面的指导项目和创业援助计划，促进中小企业发展和并购，走向国际；设立10亿比索的初始周转基金，用于商业补贴、自主研发等[[xiv]]。这对于我国制定针对因资金紧张而抗风险能力较弱的初创企业的专项鼓励、保护和扶持政策具有一定的参考意义。

注意：

[1]2016年4月，习近平总书记在网络安全和信息化工作座谈会上的讲话指出：“网络安全与信息化相辅相成。安全是发展的前提，发展是安全的保障，而安全 我们必须认识到，很多技术古往今来都是“双刃剑”，一方面可以造福社会、造福人民，另一方面也可以被某些人利用，危害社会。公共利益和人民利益。”

[2] 2020年10月31日，国务院金融稳定发展委员会召开专题会议指出，当前金融科技和金融创新快速发展立法的特点，要求金融发展与金融稳定之间的关系必须妥善处理财务安全问题。

[3]2021年8月，中共中央、国务院印发的《依法治国政府建设实施纲要（2021-2025年）》第三部分规定：及时跟踪研究数字经济、互联网金融、人工智能、大数据、云计算等相关法律制度，及时补齐短板，以法制好、治好新业态新模式健康发展.

[4]中国人民银行于2020年2月13日发布的《个人金融信息保护技术规范》的介绍中规定，个人金融信息是对身份信息、财产信息、贷款的扩展和细化。信息等是金融机构在提供金融产品和服务过程中积累的重要基础数据，也是个人隐私的重要组成部分。

[5]中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过的《中华人民共和国网络安全法》第三十二条规定：根据负责关键信息基础设施安全保护的部门按照国务院规定的职责分工，分别制定并组织实施本行业和领域的关键信息基础设施安全规划，指导和监督安全保护工作。关键信息基础设施运营。

[6]中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过的《中华人民共和国网络安全法》第三十四条规定：关键信息基础设施还应履行以下安全保护义务：（一）设立专门的安全管理机构和安全管理负责人，对负责人和关键岗位人员进行安全背景调查；（ 二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定网络安全事件应急预案，并进行定期排练；（五）法律、行政法规规定的其他义务。

[7] 2021年7月6日，深圳市第七届人民代表大会常务委员会发布的《深圳市经济特区数据条例》第三条规定，自然人享有个人数据的权利，依照法律、行政法规和本条例的规定。人格权。

[8] 2021年7月6日，深圳市第七届人民代表大会常务委员会发布的《深圳市经济特区数据条例》第四条规定，以自然人、法人和非法人组织为依据因为他们对数据的合法处理。公司的数据产品和服务享有法律、行政法规和本条例规定的财产权益。但不得危害国家安全和公共利益，不得损害他人合法权益。

[9]中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过的《中华人民共和国数据安全法》第七条规定：维护与数据相关的个人和组织的权益，鼓励依法合理有效使用数据，保障数据依法有序自由流动，促进以数据为主体的数字经济发展关键元素。

[10]2020年12月11日，习近平总书记在中央政治局第二十六次集体学习中强调：“坚持统筹发展与安全，坚持发展与安全并重，实现高质量发展、高水平安全、良性互动。”

[11]2020年10月31日，国务院金融稳定发展委员会召开专题会议，指出当前金融科技和金融创新快速发展，金融发展、金融稳定与必须妥善处理财务安全问题。

[12]2020年10月31日，国务院金融稳定发展委员会召开专题会议，指出要妥善处理好政府与市场的关系。既要鼓励创新，弘扬创业精神，又要加强监管，依法将金融活动全面纳入监管，有效防范风险。

[13]中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过的《中华人民共和国网络安全法》第三条规定：网络安全与信息化发展并重，坚持积极利用、科学发展、依法管理、保障安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立和完善网络安全。提高网络安全防护能力。

[14] Article 13 of the "Data Security Law of the People's Republic of China" passed by the 29th meeting of the Standing Committee of the 13th National People's Congress of the People's Republic of China on June 10, 2021 stipulates: Coordinate development and security, insist on promoting data security through data development and utilization and industrial development, and ensure data development, utilization and industrial development with data security.

[15] On April 27, 2021, Article 2 of the "Regulations on the Security Protection of Critical Information Infrastructures" promulgated by the State Council stipulates: "Critical information infrastructure" as used in these regulations refers to public communication and information services, energy, transportation , water conservancy, finance, public services, e-government, national defense technology industry and other important industries and fields, as well as other important network facilities and information that may seriously endanger national security, national economy and people's livelihood, and public interests once damaged, lose function or data leakage system, etc.

[16] Article 28 of the "Data Security Law of the People's Republic of China" passed by the 29th meeting of the Standing Committee of the 13th National People's Congress of the People's Republic of China on June 10, 2021 stipulates: Carrying out data processing activities and researching and developing new technologies for data should be conducive to promoting economic and social development, enhancing people's well-being, and conforming to social morality and ethics.

[17] On September 6, 2019, the "FinTech Development Plan (2019-2021)" issued by the People's Bank of The basic principle of "health, openness and win-win".

[18] Article 48 of the EU General Data Protection Regulation GDPR stipulates that any court judgment, arbitral award or decision of an administrative agency of a third country, if the controller or processor is required to transfer or disclose personal data, meets the requirements of It can only be recognized or enforced if: first, the judgment, award or decision must be based on an international treaty such as a mutual legal assistance agreement between the requesting third country and the European Union or its member states; second, the judgment, award or decision is not will have a negative impact on other forms of transfers specified in this chapter.

参考资料：

[i]

[ii]

[iii]

[iv]]

[v]

[vi]

[vii]

[viii]

[ix]

[x]%7B%22search%22%3A%5B%22FINTECH+Act+of+2019%22%5D%7D&r=1&s=2

[xi]

[xii]

[xiii]

[xiv]