标题：金涛、金超：互联网金融安全与未来
时间：2017年2月10日 (上午9:34)
分类：互联网金融, 互联网金融-总39期, 总39期, 清华金融评论杂志文章
标签：无
作者：清华金融评论

自问世以来，互联网金融诸业态的安全问题就备受关注。本文回顾了针对网络互助、第三方支付、P2P借贷平台这三大业态的监管方案，提出加强风险识别和风险控制是互联网金融的发展方向。 互联网金融行业是新兴行业，但实际上对互联网金融行业服务的需求，早已有之。提高资金需求方和供给方之间的搜寻—匹配效率，是金融行业核心竞争力。一次成功的匹配往往是一个三赢局面：资金需求方获得可用的资金，资金供给方获得收益，金融中介获得撮合费用。互联网技术大大降低了搜寻—匹配摩擦中的两个容易被忽视的部分——皮鞋成本和时间成本。在资金撮合这点上，在互联网技术不够成熟的时代，资金需求方需要跑到银行去递交申请，获批后才能得到资金。互联网技术成熟后，需求方不仅可以在线提交申请材料，还可以从非银行渠道获得贷款——例如P2P平台。互联网金融行业的出现增加了经济活力，缓解了困扰各国已久的信贷配给（Credit Rationing）现象。 自问世以来，互联网金融诸业态的安全问题就广受关注。经过几年的发展，不少问题浮出水面，各界也理清了其中的逻辑。笔者认为，大家主要关注三个方面的安全性：一是偿付能力，二是支付，三是个人信息。其中，偿付能力的保证，是监管问题。而支付安全和个人信息安全，则是技术问题。对于监管问题，相关部委已经针对部分业态推出了法规和整治方案。对于技术问题，则需要互联网金融企业自己解决。 互联网金融行业刚出现时，我国在本领域曾出现过多个立法真空。近年来，随着互联网金融快速发展，立法机构对互联网金融的认识也越来越深刻。最近出台的法律法规明确了互联网的金融监管思路：规范恶性竞争，界定已有业态边界。 在逐渐清晰的监管环境下，行业需要寻求新增长点。笔者认为，加强风险识别和风险控制是互联网金融的发展方向。 四大业态的监管方案 目前的监管方案，核心思路是两条：引导行业良性发展，界定行业边界。首先回顾一下这两条思路在三个业态上的具体实现方式。这三个业态分别是网络互助、第三方支付和P2P。网络互助的监管方案是保监会2015年2月发布的《相互保险组织监管试行办法》，第三方支付的监管方案是中国人民银行2015年12月发布的《非银行支付机构网络支付业务管理办法》，P2P的监管方案则是银监会、工信部、公安部和网信办四部委2016年8月联合发布的《网络借贷信息中介机构业务活动管理暂行办法》。另外，国务院办公厅2016年10月发布了《互联网金融风险专项整治工作实施方案》，对整个互联网金融行业的专项整治工作。 网络互助 网络互助，或叫相互保险组织，是一种类似保险的互联网金融业态。最初起源于BBS论坛，具有公益性质。最初组织形式是：一个或几个在论坛上具有公信力的人发起号召，对每个参与者收取几十元至上百元不等的会费。互助组织承诺若发生某一类重病，则从收取的会费中给予资助。各类肿瘤、白血病等开销较大的病种均出现了专门的互助组织。 上述这种业态应与互联网保险区分开来。所谓互联网保险，无非是把传统保险的销售渠道挪到了互联网上。保险购买者对于企业来说，是客户。而网络互助组织的“保险购买者”则是会员，享有分红权利，而且可以监督企业运营，享有一部分股东具有而客户不具有的权利。 在网络论坛上依靠个人信用发起的互助组织，无法把规模做大。有人嗅到其中商机后，开办专门的网络互助组织，扩大业务范围，即覆盖病种，以收取更多会费。开办者往往承诺收取的会费将投资于安全资产以增值。这样的发展过程，实际上部分复刻了保险业在互联网时代开始之前发展成大公司大行业的历程。理论上来说，网络互助这个业态可以填补保险行业的一些空白。 网络互助在理论上可以降低收集信息的成本，但相应地没有能力提供保险公司能提供的完善服务。同时，由于网络互助组织往往不具备生命表和保险精算相关的专业知识，所以难以为保费定出合理的价格。再者，网络互助组织在很长一段时间内，资金运用没有专门的法律法规约束，客户也难以监督，跑路事件频发，甚至出现过涉嫌传销的网络互助平台。 在法律真空中的异化，偏离了网络互助初衷。保监会2015年2月发布了《相互保险组织监管试行办法》，力求规范业态。法规有四大要点：审批制、开办门槛、资金只能投固收产品、信息披露与报送制度。 保监会的监管方案有着浓重的行业特色，可以看作是《保险公司管理规定》的低配版。从这个方案看来，保监会认为网络互助组织无非是规模小一点的保险公司，保险公司需要满足偿付能力标准，网络互助组织基本都要满足一个平行的要求。在这个标准下，网络互助汇集的资金只能投低风险固收类产品。这限制住其盈利能力的上限。下面来一一解说这四大要点。 国家对经营资质要求较高的业态一贯采取审批制。“审批通过”在我国语境下，有增信意味。 在开办门槛方面，监管方案体现了两个要素：风险足够分散、支付能力足够强。对于一般相互保险组织，需要有至少1亿元人民币的初始运营资金和500个一般发起会员；对于专业性和区域性相互保险组织，需要有1000万元人民币的初始运营资金和100个一般发起会员；对于以农民和农村专业组织为主要服务对象的涉农相互保险组织，资金要求进一步降低为100万元，对于一般发起会员人数的要求，则保留了一定的自由裁量权。但无论何种互助组织，都需要有承担资金募集、运营等工作的主要发起会员。相比于保险公司的2亿元实缴货币资本门槛，网络互助的成立门槛看上去不算低。但考虑到成立保险公司要提交大量公司制度文件和经营计划，在软件上的门槛要远高于成立网络互助组织。 在资金运用方面，监管方案比《保险法》中对保险公司资金运用的限制更加严格。《保险法》中明文规定保险公司可以购买不动产和股票，而网络互助组织则只能购买低风险固收产品，或者将资金存入银行。对于资金运用的严格规制，与保监会要求网络互助组织满足保险公司的偿付能力要求的出发点是一致的。 在信息披露和报送上，对互助组织的要求要低于保险公司。不过“麻雀虽小，五脏俱全”，偿付能力报告、财务会计报告、精算报告、合规报告等报表也都是保险公司需要报送的材料的核心组成部分。 目前，国内有三家互助保险组织获得了保监会许可建立，分别是众惠财产相互保险社、汇友建工财产相互保险社和信美人寿相互保险社。其中信美有阿里背景，另外两家并无很强的互联网背景。三家互助保险组织均处于筹备阶段。 第三方支付 第三方支付是生活中最常用的互联网金融服务。支付宝、微信支付等都属于第三方支付。支付业务归中国人民银行管理。人民银行对支付业务进行了详细的划分。支付机构分为两类，一类是银行类支付机构，一类是非银行类支付机构。通常说的“第三方支付”，指的就是由非银行支付机构提供的支付服务。 支付业务涉及大量多笔资金流动、大量账户信息和大量私人信息，十分敏感。人民银行对支付业务实行许可证制度，首次核准颁发后，每五年重新审查一次。2016年有一次14部委联合整治，对于持证支付机构，整治重点在备付金和跨机构清算合规上。本次整治中，三家持牌第三方支付机构被吊销牌照，目前共有267家机构持有非银行支付机构牌照。 2016年7月1日正式生效的《非银行支付机构网络支付业务管理办法》有四个要点：实名制、不得经营银行其他业务、账户分级、支付机构评级。 实名制与央行反洗钱、打击非法融资的任务是一致的。在《非银行支付机构网络支付业务管理办法》中也明确规定了应“对疑似欺诈、套现、洗钱、非法融资、恐怖融资等交易，及时采取调查核实、延迟结算、终止服务等措施”。 禁止第三方支付机构经营银行经营的非支付类业务，与银行业现行的监管体制是一致的。银行业采取许可证制度，并需要满足严格的流动性标准、资本充足率标准、杠杆率标准。若支付机构绕开这些监管从事银行的非支付类业务，对金融稳定的潜在危害极大。 账户分级的基准是身份验证信息的完整程度。身份验证信息越完整，可信度越高，账户级别就越高。支付机构评级制度与账户分级类似。法律允许的业务范围与评级和实名化比例挂钩。评级越高，实名化比例越高，允许的业务范围越大。反之，如果评级低于C级，监管机构有权提高其信息披露要求，并进行非现场监管和现场检查。 笔者认为，人民银行的监管方案体现了“胡萝卜加大棒”原则。既以负面清单形式明确划定了业态边界，又提供了推进实名制和提升服务质量和信息安全的激励。目前，非银行支付机构网络支付清算平台（俗称“网联”）的具体方案逐渐浮出水面。业界普遍预期，央行和支付清算协会将在“网联”中起到重要作用，一旦落地，很可能实现非银行支付机构间清算的职能，重新组织第三方支付行业。期待支付行业进入良性循环，成为现有的基于银行系统的支付体系的良好补充。 P2P P2P借贷可能是互联网金融诸业态中曝光度最高的业态之一。它具有一定的普惠性质。互联网金融抓住的市场痛点是信贷配给，换句话说，就是让原来难以从金融机构贷款的主体有机会从个人投资者那里贷到款。普惠金融的难点是信息的收集—发布以及合同的订立。这两点正是互联网金融的优势所在。P2P平台的存在几乎将发布信息的成本降到了最低。而P2P平台提供的标准化合同也降低了合同订立的难度。从这两点来说，P2P在推动金融普惠化上有先天优势。 但是，2015年和2016年上半年出现的几期数额较大的P2P“跑路”事件严重影响了P2P乃至整个互联网金融行业的声誉。这些“跑路”平台的经营方式严重偏离了互联网金融的初衷，相当于打着互联网金融的名号，行诈骗之实。在四部委于2016年8月联合发布《网络借贷信息中介机构业务活动管理暂行办法》后，国务院办公厅公布了《互联网金融风险专项整治工作实施方案》，传达了政府对恶性竞争坚决不手软的态度。如果执行得当，可以起到净化互联网金融行业竞争环境，塑造良性竞争的作用。 银监会、工信部、公安部和网信办四部委2016年8月联合发布的《网络借贷信息中介机构业务活动管理暂行办法》，有五个要点：备案制、只能作为信息发布平台、只能发布借贷信息、平台有责任鉴别信息真伪、自然人和法人分别设融资上限。 比起采用审批制的网络互助以及核准制的第三方支付，采用备案制的P2P在开业材料审核上并不像前两个业态那么严苛。然而四部委文件依然严格划定了行业边界。笔者认为，备案制是风险和效率权衡取舍后的结果。 只能作为信息发布平台是P2P行业的第一条红线，它决定了P2P平台不能依托互联网做类似公募基金或者银行业务。这条红线确立后，P2P平台无法设立资金池。加上必须使用第三方托收托付要求，确立了跑路行为的法律责任。 只能发布借贷信息是P2P行业第二条红线，它决定了P2P平台不能为股权融资和场外配资进行撮合。其中，不能为场外配资撮合这一条，体现在不允许发布投资目标为股票的标上。 划定了业务红线后，鉴别信息质量成为了P2P业务质量的支柱。监管方案同时要求P2P平台建立在线争议处理机制，以及对借款人做资信评估。 P2P的融资上限是：自然人单个平台20万元，所有平台共100万元。法人单个平台100万元，所有平台共500万元。作为参考，常见的针对小微企业的贷款，上限在3000万元左右。公司债发行规模的下限也在千万量级上。 P2P的监管细则表明了政府的态度：P2P只能做借贷信息发布平台。同时，作为一个掌握大量私人信息的信息平台，P2P需要遵守一系列规章。同时，对P2P平台上放出的项目规模做了规制。P2P的上限和公司债的下限之间仍有距离。这也代表国家态度：P2P这个业态是服务于抵押品不足的小微企业的，是一种替代性的融资手段。同时，为了具体操作便利，方案规定省级政府可具体制定实施细则。期待P2P行业能在监管方案出台后扭转声誉，健康发展。 支付安全与信息安全 互联网金融的诸业态都涉及在线资金划转。在支付安全方面，业界早已非常重视，并且受到完善的法律法规约束。发展到今天，使用互联网金融服务的人已经不太担心支付安全。随着个人的身份信息、账户信息和交易信息通过互联网传递的比例越来越高，个人信息安全也受到了越来越广泛的关注。 按照2016年11月发布，2017年7月1日正式生效的《中华人民共和国网络安全法》规定，违法收集、使用和泄露个人信息者将处以违法所得一倍至十倍的罚款。无违法所得的情形，罚款上限也达到100万元。个人信息也具有一定的资产属性。个人信息的产权视角已逐渐开始走出学术圈，走进投资者的视野。尽管相关立法未正式落地，但在不远的将来，个人信息是一种资产。具备产权的观点进入法律，概率不小，一旦个人信息财产权进入法律，相应的国家技术标准也会出台。对此进行提前布局不失为一个好的经营方针。 互联网金融发展展望 目前的监管方案界定了部分已有业态的边界，国家也对各业态分别出台了整治方案，以遏止恶性竞争。笔者认为，在目前的政策环境下，对于互联网金融企业来说，技术为王。技术是互联网金融企业的核心竞争力，它为互联网金融带来两项竞争力：降低成本的能力和赢取声誉的能力。而这两项能力，事实上是与金融机构两个核心功能密切相关，这两个功能是风险识别和风险控制。风险识别和风险控制直接决定了互联网金融企业的产品质量。 风险识别 互联网金融主要的服务对象是个人和小微企业。对个体风险识别既是监管要求，也是核心竞争力。目前，互联网金融行业的主流合同是借贷合同。对于借贷合同，最主要的风险是违约风险。学术界一般认为，违约行为有两种来源，一种是因为流动性不足而被迫违约，一种是在流动性充足的情况下因为其他原因选择违约。前一种违约者称为流动性违约者，后一种违约者称为策略性违约者。对于流动性违约者，可以通过考察财务指标和现金流来识别。而对于策略性违约者，识别起来则复杂得多。金融危机后，芝加哥大学的Zingales教授牵头开展了一项针对人们对策略性违约行为态度和决定因素的调查，发现包括宗教信仰、党派、种族在内的十几个因素都会影响策略性违约的倾向。 传统金融机构评估这两种违约风险的方法，一般是以根据申报信息计算的违约倾向评分为基础，结合尽职调查对申报信息进行核查和修正。这种方法适用于规模较大的贷款项目。对于规模较小的贷款项目，沿用这种工作方式会受制于成本因素。互联网金融企业面对的挑战是开发一套成本更低的风险评估体系来替代传统的工作方式。当然，开发这样一套风险评估体系并非一日之功。同时，通过互联网收集信息，还要面临信噪比低、问卷完成率低等其他使用非面对面问卷的调查方式共同面临的问题。但是，如果希望在信息收集时就提高信息的质量，必将带来较高的成本。因此，互联网金融企业应把精力放在事后除噪上。早期的除噪手段发源于无线电通信领域，原理是噪声与有效信息频率不同，可以通过各类滤波器进行分离。近年来，随着图像处理领域的发展，基于机器学习的除噪方法开始涌现。互联网金融企业或许能从中得到启发，开发自己的除噪算法。 风险控制 与传统金融机构不同，互联网金融风险控制核心不在于调整投资组合，而在于信息安全与支付安全。互联网金融行业掌握大量个人私密信息，涉及大批量资金往来。安全将是互联网金融企业的核心竞争力。信息安全和支付安全是对立统一的。从技术上来说，两者可被攻击的结点稍有不同，但也有交集。对于信息安全和支付安全，有多种解决方案。例如，国家层面正在起草标准的区块链方案，以及传统的多重加密方案等。摸透各种解决方案的利弊，做出适合互联网金融诸业态的选择，是互联网金融企业必须面对的挑战。 信息安全和支付安全是利用互联网金融理财投资者关心的话题。技术背景雄厚的平台可以为安全性提供较好的保障，更容易吸引投资者。由于客户在互联网金融平台之间转换成本极低，预计在安全性上，互联网金融行业竞争将异常激烈。 互联网金融企业本身就是变化的推动者，有拥抱变化的基因。面对法律法规的建立以及产业政策的大潮，相信优秀的互联网金融企业有能力拨开迷雾，找出获胜之道。笔者认为，企业和政府应该共同努力，培养一个健康发展的互联网金融行业。利用规模经济，打通以前因为成本太高无法通行的资金通道，是互联网金融的特色。正因为如此，一个健康发展的互联网金融行业可以对提高社会福利做出可观的贡献。 （金涛为清华大学五道口金融学院助理教授、清华大学恒隆房地产研究中心货币与财政政策研究室主任，金超为清华大学五道口金融学院博士研究生。本文编辑/丁开艳）
上一篇：王家强、王有鑫：特朗普新政对中美经济的影响
下一篇：高见、尹小兵：FOF是大众理财和养老金投资管理的利器