《金融法(草案)》金融机构的应对策略与刑法角度修订建议
2026-03-27
2026年3月20日,备受瞩目的《金融法(草案)》(以下简称“草案”)正式向社会公开征求意见。这是我国金融法治建设史上具有里程碑意义的事件。长期以来,我国金融领域遵循“分业经营、分业监管”的模式,法律体系由《中国人民银行法》、《商业银行法》、《证券法》、《保险法》等单行法构成。然而,随着金融混业经营深化、金融科技崛起以及系统性金融风险形态的演变,原有的“铁路警察、各管一段”的立法模式已显滞后。
草案的出台,标志着中国金融监管从“机构监管”向“功能监管+行为监管”的实质性跨越,旨在构建一个覆盖全部金融活动、贯穿市场全周期、强化风险处置能力的“超级基本法”。
对于企业而言,这部崭新的法律不仅仅是合规成本的增加,更是对业务逻辑、组织架构乃至生存法则的重构,通过金融领域的实践创新、理论创新、制度创新,必将开启一个注重合规与高质量发展并行的金融发展新时代。本文将从企业端风险、合规动作、责任边界、落地清单四个维度进行深度拆解,并结合草案现有条文,以及笔者多年从事刑事法律工作的实践经验,从刑法学角度提出针对性的完善建议。
一、企业端:机遇与风险并存——正在逼近的四大“灰犀牛”
草案确立的“全覆盖”监管原则,意味着只要从事的是“金融业务”,无论披着何种科技外衣或嵌套在何种商业模式中,都将被纳入监管视野。企业面临的风险从以往的“合规风险”升级为“生存性风险”。
(一)准入风险:无牌经营的“死刑条款”
草案明确规定了“金融业务特许经营”原则。任何单位或个人,未经依法批准,不得从事金融业务活动,不得在名称中使用“金融”“交易所”“理财”“基金”等字样。
●风险点:过去大量存在的“借科技之名,行金融之实”的企业(如部分助贷机构、虚拟资产交易平台、供应链金融平台),若无法在过渡期内取得金融牌照,将面临直接取缔的风险。
●机遇期:合规能力将成为企业把握新时代下,整合“金融+互联网+AI”发展命脉的关键,不仅仅是传统金融机构,大量互联网平台、数据公司、类金融组织都将面临业务合规性的重新审视,市场中极有可能出现一轮“合规性洗牌”。
(二)系统性风险:大型平台的“特别监管”
草案借鉴了国际“系统重要性金融机构”的监管思路,授权监管部门认定“系统重要性金融机构”并施加附加监管要求,包括附加资本、杠杆率、流动性、数据报送等。
●风险点:对于头部金融科技平台、大型金控集团,一旦被认定为系统重要性机构,其资本充足率要求将显著提高,业务扩张将受到严格约束。过去“野蛮生长、大而不倒”的模式将难以为继。
●机遇期:“系统重要性金融机构”的强监管,同时也伴随着新兴市场的工业化与中产扩张带来零售、对公及跨境业务新机遇,金融科技助力数字化风控与获客。“系统重要性金融机构”的规模化效应,使得人工智能的应用场景更为丰富高效,抢占新兴市场红利并完成数字化升级将成为决定“系统重要性金融机构”未来竞争优势的关键。
(三)数据与科技风险:技术中立的“法律红线”
草案强调完善金融科技监管,保护金融消费者、投资者的合法权益,即要求金融机构使用技术手段需确保金融消费端的安全性、可控性。当前情况下,尤其是禁止利用算法、技术优势进行不公平竞争或侵害消费者权益。
●风险点:利用大数据“杀熟”、通过算法诱导过度借贷、算法黑箱导致信贷歧视等行为,将被明确界定为违法行为。企业需对外披露算法的核心逻辑,这对于依赖算法作为核心商业秘密的企业构成巨大挑战。
●机遇期:以数据合规、个人信息合规为前提,人工智能和算法支持,正帮助有科技创新能力的金融机构,不断整合与分析多维度数据,除传统的结构化信用数据外,结合AI模型,能够更高效地处理与客户互动、经营活动等相关的非结构化数据,更为领先的金融机构甚至已经将数据资产作为金融领域业务的一项重要增信保障。
(四)跨境风险:资金出海的“紧箍咒”
草案强化了跨境金融活动的监管,即要求境内企业境外上市、跨境资金流动、跨境数据流动需履行特定的监管程序。
●风险点:中概股企业、开展跨境支付结算的企业、涉足虚拟货币跨境交易的企业,将面临境内监管与境外监管的双重夹击。未履行备案或审批程序的跨境资本运作,可能被认定为非法金融活动。
●机遇期:金融法的出台,将极大推动人民币国际化的进程,强有力的促进我国"一带一路" 建设过程中的投融资便捷性,金融机构依托RCEP、金砖国家合作机制等多边平台,在区域金融一体化进程中,必将迎来更大的市场空间。
二、合规动作:从“被动防御”到“主动治理”
面对草案确立的严监管基调,企业不能再将合规视为后台部门的“成本中心”,而必须将其上升为战略级的“生命线工程”。以下六大合规动作需在草案正式通过前启动布局。
(一)开展“全牌照”合规自查与补正
企业应立即成立由法务、合规、业务、财务组成的专项工作组,对照草案确立的“金融业务”定义,对集团内所有业务线进行穿透式审查。
具体动作:
●厘清哪些业务属于“金融业务”(如信贷、支付、理财、保险、征信等),哪些属于“辅助服务”。
●对于已持有牌照的,核查牌照范围是否覆盖实际业务;对于未持牌的,评估是申请牌照、剥离业务还是彻底退出。
●对于名称中包含“金融”等敏感字样的非持牌企业,提前准备工商变更。
(二)构建“功能监管”导向的防火墙
对于金控集团或多元化经营的大型企业,必须建立严格的法人隔离与业务防火墙。
具体动作:
●清理层层嵌套的股权结构,确保实际控制人、最终受益人清晰可查。
●严格区分金融业务与实业业务,防止风险交叉传染。严禁通过关联交易向股东输送利益或规避监管。
●建立内部数据隔离机制,确保消费者个人金融信息在不同业务板块(如银行与电商)之间的合规使用。
(三)建立“算法备案”与“可解释性”机制
鉴于草案对金融科技的态度趋严,企业必须将算法从“黑箱”变为“白箱”。
具体动作:
●提前梳理核心业务算法(如风控模型、定价模型、智能投顾策略),按照监管要求进行备案或登记。
●确保在发生纠纷或监管问询时,企业能够用清晰、易懂的语言向消费者和监管解释算法的决策逻辑,尤其是拒绝贷款、差异化定价的理由。
●定期对算法进行歧视性检测,排除基于种族、性别、地域等不合理因素的歧视。
(四)升级“消费者权益保护”体系
草案将金融消费者权益保护提到了前所未有的高度,确立了“卖者尽责、买者自负”的原则,且强化了适当性管理义务。
具体动作:
●建立能够精准评估消费者风险承受能力、投资经验、财务状况的系统,确保“将合适的产品卖给合适的人”。
●对金融产品的销售过程(特别是线上销售)进行全程录音录像或留痕,确保在发生争议时能自证清白。
●按照即将出台的《银行保险机构金融消费投诉处理管理办法》要求,建立独立的、高效的投诉处理与多元化解机制。
(五)强化“数据安全”与“跨境流动”合规
金融数据是金融业的核心资产,也是监管的重中之重。
具体动作:
●依据《数据安全法》,对金融数据进行分类分级,明确核心数据、重要数据、一般数据的保护措施。
●建立跨境数据流动的内部审批流程,涉及个人信息出境的,需依法进行安全评估或认证。
●确保核心信息系统、云服务等关键信息基础设施符合国家等级保护及供应链安全要求。
(六)建立“恢复与处置计划”
对于系统重要性金融机构或潜在风险较大的机构,草案要求制定恢复与处置计划(即“生前遗嘱”)。
具体动作:
●定期进行极端情景下的压力测试,评估资本充足性和流动性韧性。
●提前规划在面临破产、接管、重组时,如何平稳剥离业务、保护消费者权益,避免因无序退出引发系统性风险。
三、责任边界:穿透式监管下的“无限责任”迷思
草案确立了“穿透式监管”原则,旨在看透金融活动的实质,识别最终投资者、最终融资方以及实际控制人。这导致企业责任边界发生了根本性变化:责任不再是有限责任或公司法人层面的隔离,而是向上穿透至实际控制人,向下穿透至业务实质。
(一)实际控制人的“连带责任”风险
草案在法律责任章节,往往不仅处罚机构,还明确追究“直接负责的主管人员和其他直接责任人员”的责任。对于通过隐名代持、VIE架构、多层嵌套等方式实际控制金融机构的“幕后”实控人,草案赋予了监管机构“揭开公司面纱”的权力。
一旦金融机构发生重大风险或违规,实际控制人不仅可能面临巨额罚款,还可能被采取“行业禁入”、限制出境、甚至追究刑事责任。过去通过复杂股权结构隐藏身份的实控人,将面临被直接追责的风险。草案实际上打破了公司有限责任的传统屏障,将监管触角延伸至自然人。
(二)中介机构的“看门人”责任
草案强化了会计师事务所、律师事务所、信用评级机构等中介机构在金融活动中的责任。如果中介机构出具虚假文件,帮助金融机构或融资方规避监管、欺诈投资者,将被追究连带赔偿责任,情节严重的可能被吊销执业资格。
中介机构不能再以“仅对文件形式审查”为由免责,必须对业务实质进行独立核查。这意味着中介机构需要投入更多资源进行尽职调查,否则可能面临远超服务费的索赔风险。
(三)科技平台的“主体责任”
对于利用自身平台流量为金融机构导流的互联网平台,草案明确了其“协助监管”及“消费者保护”的主体责任。
平台不能仅仅作为“技术通道”而自居。如果平台明知或应知入驻的金融机构存在违规销售、虚假宣传行为而未采取必要措施,平台需承担连带责任。平台收集的消费者数据,若用于金融机构的风控或营销,需取得消费者单独授权,平台与金融机构需承担“共同处理者”的责任。
依赖流量分润的“助贷”平台,需重新审视其在整个金融链条中的角色定位。简单的“导流+收费”模式,可能因无法满足主体责任要求而被叫停。
(四)金融消费者的“知情权”与金融机构的“举证责任倒置”
草案在消费者保护部分,实质性地加重了金融机构的举证责任。对于是否存在适当性义务履行瑕疵、是否存在误导销售等问题,机构需承担证明自身无过错的举证责任。
这意味着金融机构必须建立完善的销售留痕系统,确保每一次销售行为都有据可查。在争议发生时,若机构无法提供有效证据证明已履行适当性义务,将面临败诉风险。
四、律师视角:从刑法学角度对草案的相关完善建议
草案作为一部综合性基本法,其原则性较强,但部分条款在可操作性、公平性及与现有法律体系,尤其是刑事法律规范体系的衔接上仍有完善空间。笔者结合多年刑法实务经验,提出以下五点建议:
(一)进一步明确“金融业务”的定义,避免“兜底条款”和“兜底罪名”被滥用
草案对“金融业务”的定义较为宽泛,且设置了“国务院金融管理部门认定的其他金融业务”这一兜底条款。这虽然有利于应对未来创新,但也可能导致监管自由裁量权过大,增加企业合规的不确定性。
建议在附则或授权条款中,要求监管部门以“白名单”或“正面清单”的方式公布“需持牌经营的金融业务目录”,并明确非清单内的业务不属于金融业务,避免“事事需审批、处处需牌照”的僵局,也避免《金融法》颁布实施后,非法经营罪可能面临的扩大适用。同时,对于新兴金融业态,应建立“监管沙盒”机制,允许符合条件的创新业务在限定范围内先行先试,而非直接套用准入管制。例如,目前证监部门对于上市公司从事供应链贸易认定标准不统一,有时会将部分存在真实物权转移的贸易认定为融资行为,从而做出违规信披等行政处罚,进而产生一定法律争议,需要进一步界定融资行为与贸易行为的行政、司法认定边界,规范上市公司经营和信息披露。
(二)完善相关金融主体的认定标准、认定程序和救济途径
一是完善“系统重要性金融机构”的认定标准、认定程序和救济途径。草案规定了系统重要性金融机构的附加监管要求,但对于如何认定、认定后的权利义务、以及不服认定的救济程序,未作明确规定。这可能导致“被认定为系统重要性”的机构缺乏有效的申辩渠道。建议增加条款,明确认定标准应当公开、透明,认定过程应当听取机构陈述和申辩。机构对认定结论不服的,有权依法申请行政复议或提起行政诉讼。同时,应建立动态调整机制,对于风险状况改善的机构,应及时解除附加监管要求,避免“一次认定、终身受限”。
二是做好“其他金融机构”和“地方金融组织”在法律体系解释中的衔接。我国《刑法》中仅有“其他金融机构”的表述,暂无“地方金融组织”的表述,目前司法实践中,对于例如小额贷款公司等地位存有争议的单位,能够作为骗取贷款、贷款诈骗罪等刑法条文的保护对象,各地存在争议,对此应当做好法律体系解释的衔接,统一金融法与刑法的适用标准。建议将“地方金融组织”在刑法中的主体定位、是否受刑法相关条文的保护,予以明确。
三是关于“私募投资基金”的地位认定,草案将私募基金排除在其他金融机构之外参照适用金融法,使得私募基金管理人不受刑法中“背信运用受托财产罪”的规制,不利于私募基金监管。建议将私募基金管理人纳入“背信运用受托财产罪”的规制范畴中,以强化对私募基金的监管震慑力度。
(三)细化“数据监管”的尺度,保护金融企业合法商业秘密
草案要求监管机构对金融数据进行强化和分级监管,但未明确监管的具体范围和方式,也未明确自主创新的“算法”与基础“数据”之间的界限。过度披露算法细节可能侵犯企业的商业秘密和知识产权。当前部分监管实践已出现“要求企业提交源代码”的趋势,这可能引发知识产权保护与监管穿透之间的冲突,甚至在金融企业需要得到商业秘密刑事保护时,因核心数据丧失秘密性而无法启动刑事程序。
建议增加“保护商业秘密”的专门条款,明确监管部门对获取的算法、模型、数据负有保密义务,不得将其用于非监管目的或向第三方披露。同时,建立“分级监管”机制,对于非系统重要性机构,原则上以结果监管为主(即关注算法是否导致不公平结果),而非强制要求公开算法源代码。对于必须提交的核心算法,应建立独立的第三方保密审查机制。在数据的分级管理中,明确区分需要上报备案的金融数据、公民信息数据、企业自主算法数据,以便金融企业通过非法获取计算机信息系统数据罪、侵犯公民个人信息罪、侵犯商业秘密罪等不同维度的刑法条款得到法律保障。
(四)厘清“金融消费者”与“金融投资者”的刑事法律适用
草案将“金融消费者权益保护”纳入其中,但在实践中,机构投资者与个人消费者的保护力度应有所区分。现行条款未明确区分,可能导致将机构投资者适用与个人消费者同等的保护标准,既不符合“买者自负”的市场原则,也过度加重金融机构的合规负担。
建议参考《证券法》中“专业投资者”与“普通投资者”的划分,明确“金融消费者”主要指为生活需要购买金融产品的自然人。对于具备专业知识和风险承受能力的机构投资者,应允许通过合同约定适当降低金融机构的“适当性管理”义务,避免“一刀切”导致交易成本过高。同时,对于高净值个人投资者,可设立“合格投资者”门槛,实施差异化保护。具体对应刑事法律保护,建议在处置非法集资类案件中,亦对“金融消费者”与“金融投资者”予以区别对待,优先赔付“金融消费者”损失,对“金融投资者”则应当追回本金以外的因非法集资而获得的不法收益。
(五)设置合理的过渡期与“安全港”条款以及行政处罚前置,避免刑事底线资源被“一线化”使用
草案一旦通过,将对现有商业模式产生剧烈冲击。若过渡期过短,可能导致大量企业因无法及时整改而陷入经营危机,引发次生风险。特别是对于涉及系统建设、组织架构调整、存量业务清退等复杂事项,企业需要足够的时间窗口。
·建议设置不少于18个月的过渡期,对于涉及系统建设、业务模式重构的重大事项,允许企业申请额外宽限期。明确在过渡期内,企业按照监管要求积极整改的,对于存量业务的既往行为,至多优先考量以行政处罚前置的方式予以规制,避免因草案出台直接动用刑事手段规制。对于在过渡期内主动报告违规行为并配合整改的,亦应从轻或减轻处罚。这一条款将激励企业主动暴露问题、积极整改,而非隐匿风险以逃避监管。
(六)通过跨部门监管协调机制对接“两高”,避免“多头监管、处处红线”
可以预见,草案出台后,金融监管业务必将涉及央行、证监会、外汇局等多个监管部门。如果缺乏有效的协调机制,诸多部门均可能会结合草案新规,划出不同刑事红线,企业可能面临标准不一、多头触线的困境。
建议在草案中增加“监管协调”专条,明确建立金融监管协调机制,对跨市场、跨行业、跨区域的金融活动实施统一监管。同时,由“监管协调”对接“两高”,就草案所涉及的刑事法律规范调整事宜,由“两高”通过司法解释统一颁布实施,以便金融企业明确红线底线。
五、结语:合规不是成本,而是新的竞争力
《金融法(草案)》的出台,是中国金融治理现代化的必然选择。它预示着金融行业将从“野蛮生长、监管套利”的时代,全面迈向“功能监管、实质合规”的时代。
对于企业而言,这既是严峻的挑战,也是重构竞争优势的机遇。那些能够深刻理解监管逻辑、主动拥抱合规、将消费者权益保护内化为核心竞争力的企业,将在新的法律框架下获得更稳健的发展空间——它们将获得更低的融资成本、更强的品牌信任、更可持续的商业模式;而那些仍试图通过灰色地带、技术伪装规避监管的企业,将面临被行政、刑事法律规范严厉规制,被市场无情淘汰的命运。
在草案征求意见阶段,企业应积极通过行业协会、专业机构等渠道,理性、建设性地提出修改意见,争取更为科学、合理的规则设定。唯有法律制定者与市场参与者良性互动,方能共同构建一个安全、高效、公平的现代金融体系。
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
