近日,央行发布公告《中国人民银行副行长潘功胜就金融管理部门再次约谈蚂蚁集团情况答记者问》,人民银行、银保监会、证监会、外汇局等金融管理部门再次联合约谈蚂蚁集团,对蚂蚁集团提出了多项整改要求,涉及蚂蚁集团的支付、信贷、征信、理财和保险等多项业务,体现了监管部门对大型金融科技企业的进一步关注和加强监管。蚂蚁集团也通过官方公众号发表了《以整改为革新契机,更加坚定服务小微》的文章,进行了回应。下面主要以非银支付机构为例,结合近期的法律法规和监管政策及本次蚂蚁集团约谈的内容探讨一下金融科技机构合法持牌经营、金融创新合规性、如何善用和保护个人信息、金融控股公司等金融合规实务问题。
为直观地探讨问题,我们先简要梳理一下目前蚂蚁集团的相关业务、业务资质[1]及对应的本次整改内容。其中,支付业务是蚂蚁集团的核心业务,受人民银行监管。
一般来说,企业超范围经营属于违规行为。但是,在涉及前置审批的领域特别是金融领域,未经审批从事相关业务的,情节严重的,则可能涉及刑事犯罪,一般定性为非法经营罪等罪名。比如,非法从事支付清算业务(《刑法》第二百二十五条、《关于办理非法从事资金支付结算业务、非法买卖外汇刑事案件适用法律若干问题的解释》等,非法经营罪);非法从事证券、期货业务(《刑法》第二百二十五条,非法经营罪);非法从事放贷业务(《关于办理非法放贷刑事案件若干问题的意见》,非法经营罪);非法吸收公众存款(《刑法》第一百七十六条和第一百九十二条,非法吸收公众存款、集资诈骗罪)等。
本次整改方案中提到“严格落实《征信业管理条例》要求,依法持牌经营个人征信业务”。目前蚂蚁集团旗下的征信平台为芝麻信用,已持有企业征信牌照,并通过芝麻信用间接持有百行征信的部分股权,而百行征信是目前国内少数持有个人征信牌照的公司。根据公布的整改方案,监管机构将芝麻信用所提供的服务定性为征信业务,包括企业和个人征信,由于蚂蚁集团尚未获得个人征信牌照,因此属于未合法持牌经营。
合规观点:由于非银支付机构本身接受人民银行的严格监管,因此,非银支付机构在跨领域从事其他金融业务时与一般互联网公司、投资咨询公司等完全不受监管有本质不同。非银支付机构等金融科技机构应当注意合法持牌经营,并注意业务内容不得突破现有的持牌经营范围。另外,非银支付机构还应该注意在与其他机构合作时,核实相关机构是否属于持牌经营或者属于风险较大的企业,进行适当背景调查,避免风险传递。
非银支付机构由于具备金融科技赋能和商务客户群广泛的特点,在从事金融相关业务时具备先天优势。由于金融创新和混业经营的发展,而法律总是滞后的,支付机构主要依靠现有监管政策从事创新型业务,势必存在已有业务违反新的法律规定和监管政策的情况,如何在法律和监管政策允许的范围内从事创新业务需要更为谨慎的考量,及在新的法律规定和监管政策出台后及时进行适当的业务重组、转型。
比如,这次整改方案中提到的“断开支付宝与“花呗”“借呗”等其他金融产品的不当连接,纠正在支付链路中嵌套信贷业务等违规行为”,实际上在本次约谈前,支付机构为银行信用卡、小贷等信贷产品导流的业务普遍存在,监管层并未明确叫停,属于灰色地带,相关规定是《关于进一步规范金融营销宣传行为的通知》等规范性文件。
合规观点:蚂蚁集团就支付业务和信贷业务已分别持有支付、消费金融(2020年9月新近获得)及互联网小额贷款等牌照,目前相关业务都为持牌经营。那么如何最大程度地利用现有客户群和业务资源实现合规的交叉销售?由于“花呗”和“借呗”系蚂蚁集团自身信贷业务,那么如果是非银支付机构与商业银行等其他金融机构合作进行导流,是否属于违规?这涉及到监管层对“在支付链路中嵌套信贷业务”如何认定的问题。从监管逻辑考虑,后一种模式仍然存在支付机构与其他金融机构风险传递的可能,较大概率仍属于违规。
近几年互联网平台经济飞速发展,与之相伴的是,部分互联网平台公司以“大数据”为名,对个人信息的采集和使用可谓相当混乱,国内个人信息保护领域还处于比较野蛮生长的阶段。有鉴于此,国家出台了一系列与个人信息保护有关的法律法规并采取了切实的举措,出台了《中华人民共和国网络安全法》(2017年6月1日施行)、GB/T 35273-2020《个人信息安全规范》(2020年10月1日施行)等法律法规,同时2021年1月1日起施行的《中华人民共和国民法典》于第四编第六章第1032条至1039条共计8条,涉及对自然人的隐私权和个人信息保护的实操性规定。除此之外,自2019年初起,中央网信办、工信部、公安部、市场监管总局四部门发布《App违法违规收集使用个人信息行为认定方法》等指引,针对消费者集中反映的App强制授权、过度授权、超范围收集个人信息等突出问题,组织开展App违法违规收集使用个人信息专项治理。
本次整改方案中,提到“打破信息垄断,严格落实《征信业管理条例》要求,依法持牌经营个人征信业务,遵循“合法、最低、必要”原则收集和使用个人信息,保障个人和国家信息安全”。
个人征信业务的相关法律规定主要为《征信业管理条例》,以及尚未生效的《征信业务管理办法(征求意见稿)》。其中,根据《征信业务管理办法(征求意见稿)》第三条,“本办法所称信用信息,是指为金融经济活动提供服务,用于判断个人和企业信用状况的各类信息。包括但不限于:个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息。”因此,判断是否属于个人征信业务的范畴有两点,即为金融活动提供服务,以及采集、整理、保存、加工个人信用信息。
根据《征信业务管理办法(征求意见稿)》第五条,“征信机构采集信用信息,应当遵循“最少、必要”的原则,不得过度采集。”如何做到最少和必要,目前尚无明确规定。欧美等发达国家对于Facebook、Google等多个互联网巨头侵犯个人隐私已开具巨额罚单,其中Facebook曾于2019年被美国联邦贸易委员会开具高达50亿美元的巨额罚单。可以预见,随着个人信息保护法律法规的完善,我国这方面的监管也会日益成熟。同时,随着民法典的实施和消费者对于个人信息保护意识的觉醒,在这方面会产生更多争议。
合规观点:芝麻信用的商业模式究竟是个人征信业务还是广义上的助贷业务?芝麻信用的商业模式虽然与助贷业务类似,但根据前述《征信业务管理办法(征求意见稿)》,显然落入了个人征信业务范畴。实际上很多提供助贷业务的互联网平台企业,在与金融机构合作时都可能落入征信业务的范畴。
本次整改方案中提到“蚂蚁集团整体申设为金融控股公司,所有从事金融活动的机构全部纳入金融控股公司接受监管,健全风险隔离措施,规范关联交易。”我国的金融体系目前仍然以分业监管为主、功能监管为辅,但是,从宏观审慎角度,对大型金融集团实施专门金融监管是目前的监管方向之一。
目前金融控股公司的主要规定为《金融控股公司监督管理试行办法》。适用对象为:一是控股股东、实际控制人为境内非金融企业、自然人以及经认可的法人;二是实质控制两类或两类以上金融机构;三是实质控制的金融机构的总资产或受托管理资产达到一定规模,或者按照宏观审慎监管要求需要设立金融控股公司。对于金融机构跨业投资控股形成的金融集团,参照《金控办法》确定监管政策标准。
合规观点:由于目前尚无细则规定,暂时未有公司申请金融控股公司。近几年部分大型集团,如安邦系、明天系、华信系出现风险的原因很多都是通过金融机构借款、靠发债及运用自己控制的金融机构进行关联交易放大杠杆、野蛮扩张[2],导致风险层层叠加,最终崩塌。今后监管层通过金融控股公司作为抓手对金融集团甚至是带有金融属性的大型实体企业纳入监管是可能的,如何防范关联交易和金融风险传递是关键。
金融创新带给我们的生活更多的便利,同时也带来了一定的风险,包括个人隐私、数据安全等等。作为一名外部律师,在与金融科技企业合作过程中,我深感合规对于金融科技企业的重要性。鉴于目前我国混业经营和金融创新的发展,且囿于分业监管的基本现状,金融业务特别是金融科技业务存在一定的监管空白。但是,随着法律法规和监管方法的日益完善,对现有业务一定会有不断的挑战,如何在法律法规和现有监管政策允许的范围内从事业务,并在新的法律法规和监管政策出台后及时调整业务,需要企业负责人、合规人员具备敏锐的眼光和高度的智慧。换一个角度来想,这对于企业来说既是危机也是契机。
注释:
1. 来源于《蚂蚁集团招股说明书》(上会稿)等网上公开信息。
2. 周小川,周小川谈明天系、华信系、安邦系,《中国金融》,2020年第15期。
