00 星期六深夜

2026年3月21日的深夜，和国内某“头部金融科技SaaS公司”的CEO大猛哥约酒聊天。

过去五年，大猛哥的公司靠着给地方中小银行提供“智能信贷风控系统”和“智能分账方案”赚得盆满钵满。他们对外宣称自己是“纯粹的数科公司”，绝不碰资金；但业务的内里是，他们不仅向银行收取按贷款规模分润的“技术服务费”，还通过隐蔽的关联担保公司为这批贷款兜底，并通过和银行的“内部户SaaS系统”完成贷款的发放和收回。

推杯换盏之间，大猛哥一如既往地对于自己的商业模式洋洋得意，也例行地向我求证现在的监管环境有没有啥新变化，会不会让他不稳。

于是，我开始给他讲前一天出台的《金融法（草案）》。

当我逐渐深入到“功能监管”、“穿透式监管”以及“追究实控人和第三方技术提供商责任”的条款时，大猛哥的笑容也逐渐凝固了。

他一定意识到，属于他的狂欢时代，或许就要走向终点。

今天，我们也把讲给大猛哥的故事，讲给你听。

01 一部总法

来看看立法脉络。

2023年10月中央金融工作会议提出，要“依法将所有金融活动全部纳入监管”，强化机构监管、行为监管、功能监管、穿透式监管、持续监管。2024年7月，二十届三中全会《决定》进一步明确提出“制定金融法”。到2026年3月草案公开征求意见，这部法律的任务已经非常清楚：

它是在为新一轮金融治理重构搭一部总法。

草案说明写得直白：党的十八大以来，我国金融实践、理论和制度创新持续推进，但同时也面临金融风险隐患多、监管和治理能力薄弱、服务实体经济质效不高、金融法律体系协调性不足、缺乏基础性法律规制等问题，因此需要制定一部金融领域基础性法律，把这些年形成的改革成果和有效做法转化为统一法律规范。

一部总法的意义是什么？

解决监管套利。同样的信用中介活动，有的人披着银行外衣，有的人披着平台外衣，有的人披着技术服务外衣，但只要实质上都在做信用配置和风险转移，监管就不会只限于按包装盒征税、按包装盒执法。

解决风险传导。谁在吸纳资金、谁在放大杠杆、谁在主导授信、谁在定价、谁在持有客户数据和交易控制权，这些环节决定了风险在哪里生成、沿着什么路径扩散。金融市场最怕的不是创新本身，而是创新把风险做得很复杂，责任却做得很模糊。

解决规则碎片化。以前很多金融科技问题，并不是没有规则，而是规则分散在银行、支付、证券、消费者保护、金融数据、反洗钱、地方金融等多条线上。业务一跨界，法律关系就容易打结。而草案的意义，就在于把这些千头万绪的监管线重新拧回一个总坐标系。

简单来说，金融法并不是针对某一类产品、某一类主体、某一类机构的监管法，它是无差别地审视与金融相关的一切，并定义：

什么叫金融，谁在做金融，谁该被看见，谁该被监管，谁应当担责。

02 功能监管：别解释了你就是鸭子

啥是功能监管？same activity, same risk, same regulation.

这是最早由诺贝尔经济学奖得主罗伯特·默顿（Robert C. Merton）在1995年提出的理论。他指出，金融机构的形式千变万化，且经常随着技术进步和监管套利而消亡或重组，但金融体系的基本经济功能（如资源配置、风险转移、支付清算）是长期稳定的。因此，监管不应基于机构的类型（如银行、保险、科技公司），而应基于其发挥的实际金融功能。

西方司法界有一个很著名的“鸭子测试”逻辑，其实是完全相同的逻辑：如果一个动物看起来像鸭子，游起泳来像鸭子，叫起来也像鸭子，那么它就是一只鸭子。在功能监管下，监管部门的逻辑就是这样：如果你的App能让人存钱（像银行），能让人借钱（像信贷），能帮人理财生息（像基金），不管你在工商局注册的名字叫“人工智能大数据SaaS数科公司”，在金融监管眼里，你就需要被纳入金融监管的范畴，审视你合不合规、该不该持牌、该不该受约束。

看看域外是怎么做的：

美国：美国是功能监管的发源地。1999年《格雷斯-弗特法案》（GLBA）废除了银行业与证券业的隔离，美国全面确立了功能监管与机构监管相结合的模式。

在金融科技领域，美国高度依赖“鸭子测试”的监管逻辑。比如，美国证券交易委员会（SEC）并不在乎一个加密资产（Token）自称是什么，只要它满足“豪威测试”（Howey Test）的标准（即资金投资于共同企业，且期望通过他人的努力获取利润），它就被定义为“证券”，必须受SEC监管。

欧盟：欧盟在数字金融方面的立法也体现了功能监管的强烈特征。

其于近期全面生效的《数字运营韧性法案》（DORA），将监管的触角直接伸向了金融体系背后的“送水人”——提供云计算、数据分析等信息通信技术（ICT）的第三方科技服务商。DORA要求，哪怕你只是个给银行提供云服务器的纯科技公司，只要你的系统崩溃会影响金融稳定，你就必须接受金融监管的直接约束和审查。而《加密资产市场法规》（MiCA）则为加密资产服务提供商设定了极其严格的许可制度、反洗钱（AML）和防范市场滥用机制。

新加坡：新加坡金融管理局（MAS）在2016年推出了著名的“监管沙盒”（Regulatory Sandbox），并在近年来升级为“Sandbox Plus”。它允许金融科技企业在限定的环境内测试创新产品，期间豁免部分合规要求。新加坡的逻辑是：在风险可控的前提下，给创新留出“试错空间”。

再来看看金融法是怎么写的：

草案第3条先做了最大的框定：金融活动包括与存款、贷款、保险、证券、期货和衍生品、基金、信托、支付结算、征信等直接相关的货币和信用活动，并明确“国家将金融活动全部纳入监管”。同时，草案把非银行支付机构明确纳入金融机构范围。第8条又提出，要强化机构监管、行为监管、功能监管、穿透式监管、持续监管，实现监管全覆盖。到了第50条，草案进一步要求，对同类金融活动制定和执行一致的监管标准；第51条又要求金融管理部门按照“实质重于形式”的原则实施监督管理，对需要进一步明确监管责任主体的，由国家确定的国务院金融管理部门牵头建立监管责任归属认领机制，建立健全兜底监管机制。

把这几条放在一起看，信号很明确：

以后很多模式的监管判断，不会先从“你是什么牌照”开始，而会先从“你在干什么”开始。

你说自己是平台，可以。

你说自己是科技公司，也可以。

你说自己只是提供技术能力、营销能力、数据能力、系统能力，都可以。

但如果你的产品在实质上已经完成了风险定价、支付清算、财富管理、客户资金沉淀、收益承诺、类份额拆分、类集合运作等金融功能，那么监管越来越可能顺着功能往里走，而不是在公司简介那一页就停下。

这就是功能监管的核心含义。

03 穿透式监管：公司的面纱一刺就破

 啥是穿透式监管？

就是被检查被处罚的对象，不会那么机械地限定于法律上实施对应行为的主体。传统的公司法讲究“法人人格独立”和“有限责任”，这就给了市场主体一定的空间，通过设计复杂的股权嵌套、多层SPV（特殊目的实体）以及表外业务来隐藏真实的风险敞口。但在金融稳定面前，法学上的“法人面纱”很容易就会被刺破。在穿透式监管的逻辑下，检查和处罚的范围，都可以扩大，向上可以穿透到股东、实控人、向左向右可以穿透到关联公司和合作机构。

金融法在穿透式监管上的安排，比想象中更有力度。

先看股东和实控人。草案第21条到第23条，对股东、实际控制人、股权结构、出资来源、隐名持股、违规干预经营、违规占用资产等都作了明确约束。第22条还特别强调，非金融企业或者自然人设立、收购、参股金融机构，应当采取必要措施加强实业与金融风险隔离。

再看监管对象。第54条规定，金融管理部门在职责范围内，可以对金融机构、其董事高管、实际控制人、股东及其实际控制人、金融机构实际控制的企业，以及上市公司及其股东、实控人等实施监督管理。更关键的是，这一条还明确：国务院金融管理部门对第三方服务机构及其有关人员为金融活动提供服务实施监督管理。配合第37条和附则定义，“第三方服务机构”包括会计师事务所、律师事务所、评估评级机构、信息技术服务机构等为金融活动提供服务的机构。

这意味着什么？

意味着未来很多企业很难再单纯期待“法人实体切分”帮自己把责任隔得干干净净。

法律人格当然仍然重要，合同安排当然仍然重要，集团架构当然仍然重要；但如果控制链、收益链、数据链、系统链和业务管理链是通的，监管就完全可能沿着这些链条一路看过去。

所以，未来大型互联网平台和金融科技公司很需要警惕的一件事，就是把“主体隔离”误以为“责任隔离”。

二者不是一回事。主体隔离是公司法工具；责任隔离能不能成立，还要更多地看业务实质、控制事实和监管评价。

很多时候，法律人最容易被业务问到的一句话是：“这个环节不是另一家主体做的吗？”金融法时代更可能出现的回答会是：“对，但另一家主体是谁在控制、谁在指挥、谁在受益、谁在提供关键能力，监管都会关注。”

04 处罚升级：满满一包兵器

这是互联网大厂和Fintech公司的老板和高管们最需要关注的。

金融法第55条赋予了监管机关广泛的检查、调查和处置手段，包括进入场所调查取证、询问相关人员、查阅复制资料、检查电子计算机管理业务数据的系统、查询相关账户信息，必要时可以冻结或者查封，并对相关人限制出境。

第56条则列出一整套监管措施，包括责令改正、限制或暂停业务、停止批准新业务、限制分红、限制向高管支付报酬和福利、限制财产转让、调整监管指标、责令转让资产或业务、责令主要股东补充资本、责令责任股东转让股权或退回红利、认定不适当人选、调整高管、追索扣回一定期限内报酬福利等。

再到第87条，草案再把行政处罚拉了上来：没收违法所得并处罚款；情节特别严重的，可以并处上一年度营业额5%以下或者交易额等值以下罚款，责令暂停或禁止相关业务、停业整顿或者吊销金融许可证。对责任人员，还可以取消一定期限直至终身的任职资格、禁止一定期限直至终身进入相应行业，甚至禁止一定期限直至终身从事特定金融活动。

显而易见地，通过《金融法（草案）》的出台，监管机关极大地丰富了检查和处罚环节的兵器库，特别是限制出境、调整监管指标、责令股东补充资本、直接处罚股东等等，其实都是过去五六年中监管频繁使用的执法手段，但既往也多多少少存在一些“欠缺法律依据”的非议。

而这一次，金融法把它们，全部升级为官方正式合法监管武器。

这如果再进一步叠加功能监管、穿透式监管，是不是无比值得互联网大厂和Fintech公司的老板和高管们，好好掂量掂量。过往多年在“机构监管”的大逻辑下的那套没人查、没人罚、甚至没法查、没法罚的局面，就彻底划上休止符了。

05 金融科技不再远离监管

如果把上面的法律条文和国际经验都压缩成一句话来总结对中国金融科技行业的影响，那会是：

科技和金融边界不清的产品，会越来越难做。

这里的“难”，不是说监管马上要把所有创新都堵死。草案第35条、第74条一定要浓墨重彩地再引用一遍：“国家支持金融产品和服务依法创新”、“国家鼓励发展科技金融、绿色金融、普惠金融、养老金融和数字金融。”

所以以后的问题并不是能不能创新，而是：以后创新最好别靠边界模糊吃饭。

所以，那些“看着像信贷”、“看着像支付”和“看着像理财”的业务，以后最有风险。

类信贷：只要产品已经深度介入授信触发、风险定价、还款安排、贷后管理或者信用增级，即便页面上写的是“会员权益”“借条服务”“场景支持”，它也很容易进入贷款监管的视野。

现有互联网贷款规则本来就要求商业银行承担贷款管理主体责任，助贷也被明确纳入互联网贷款监管框架。2025年的9号文还特别点出行业存在总行管理不到位、权责收益不匹配、定价机制不合理、业务发展不审慎、消费者保护不完善等问题。金融法草案再把“同类金融活动同标准”“实质重于形式”“未经批准不得提供或者变相提供金融产品和服务”放在总法层面，类信贷产品继续打擦边球的空间只会更小。

商品加价、会员权益、无资质主体担保兜底等等，都可能成为监管检查、处罚和叫停的对象。

类支付：在金融法时代，最该担忧合规性的是那些目前多多少少游离于现行支付监管之外的业务。无牌照的资金二清首当其冲，过往由于“人行日常只管持牌支付机构”的监管思路，导致市场上的二清几乎处在“不出资金窟窿”就没人管的状态。类似地，信息二清、银行基于内部户的XX宝分账产品、“科技SaaS+内部户”的收款解决方案、多用户电子钱包等等，都会是监管范围。

很多金融科技企业以为，只要我不碰资金，用银行的内部过渡户做资金存管/监管/托管，自己只是提供分账系统的技术服务，就没问题。但实际上，如果你实际控制了资金的清算、分账、结算流程，哪怕资金不在你的账户里，也会被认定为变相从事支付结算业务，依然违法。

金融法时代，合规的支付相关业务，只有两种模式：要么，你拿到支付牌照，成为持牌支付机构，遵守支付业务的所有监管规则；要么，你只做纯技术服务，为持牌支付机构、银行提供支付系统的开发、运维服务，不碰任何资金清算、结算的核心环节，所有的支付、清算、结算，全部由持牌机构自主完成，你只收取技术服务费。

类理财：这是金融法最能大展拳脚，也给监管机关带来最大日常监管压力的领域，市场上各种千奇百怪的有集资利诱属性的产品，都会落入。

不管你用什么名义，比如“理财”“投资”“合伙”“众筹”，亦或是“消费返利”“数字藏品升值”“会员卡预充”“共享经济”“加盟连锁”，只要你面向不特定的公众，募集资金，承诺保本、保收益、固定回报，就会被认定为非法吸收公众存款，这是刑法规定的刑事犯罪，最高可判十年以上有期徒刑。

很多金融科技业务最习惯的一种自我安慰是：“不是我们收的钱”“不是我们放的款”“不是我们签的主合同”“不是我们持有客户资产”， 这些说法以后当然仍然重要，但它们的防御力在穿透式监管和功能监管的围剿之下，势必会下降。

因为穿透式监管关注的，除了名义的服务主体和服务内容，还可能包括：谁发起了业务、谁主导了产品设计、谁掌握了客户入口、谁控制了关键算法和数据、谁决定了展示逻辑和交易触发、谁拿走了主要收益、谁对业务链条有实际支配力。

所以，从实操角度说，以下几种“安全感”都要打折：

法人隔离不是绝对安全。不同主体之间的合同切分、牌照切分、数据切分，仍然有法律意义；但如果实际控制关系模糊、核心业务混同、资金和数据指挥链条高度近似，监管就可能穿过多个主体一起看。尤其是集团化金融科技平台，过去习惯把支付、流量、系统、营销、风控、客服、数据、品牌分散到不同主体，以后这种组织方式本身不会自动构成风险，但也不会必然带来免责。

技术合作不是绝对安全。草案第37条和第54条已经把第三方服务机构写进来了，信息技术服务机构就在名单里。也就是说，只要你的技术支持已经深度嵌入金融活动的关键环节，你就很难再简单把自己理解为“离监管有一层防火墙”。做得越深、越关键、越不可替代、越影响金融决策和客户结果，你就越要准备好用金融级别的标准回答监管问题。

股东和实控人不是绝对安全。过去不少人把股东责任理解得比较“静态”——出资、分红、股权比例、表决权，差不多就这些。草案把监管视角明显往前推了：股权来源、隐名安排、实际控制、违规干预经营、股东权利限制、补充资本责任、红利返还、股权转让义务，都被放进了明确规则里。再叠加法律责任部分对责任人员任职资格和行业准入的限制，股东和实控人的风险不再只是民商事意义上的股东风险，而越来越接近真正的金融监管风险。

06 罚则究竟改变了什么

处罚手段一丰富，行业的成本函数就会变。

以前很多金融科技企业做合规预算时，想的主要是三类成本：制度建设成本，报批报备成本，处罚概率乘以罚款金额的预期成本。

这个算法以后会越来越不够，金融法草案下的真实风险成本，至少多了四层：

业务中断成本：一旦监管工具可以直接落到暂停业务、限制新业务、停业整顿、限制部分业务开展，企业的损失就不再是一个罚款数字，而可能直接变成用户流失、合作中断、系统停摆和估值折价。

控制权成本：限制分红、限制股东权利、责令补充资本、责令转让股权、追索报酬福利，这些都不是传统意义上的“罚款”，但它们对创始团队、投资人和管理层的压力，往往比罚款更大。

职业资格成本：一旦责任人员面临任职资格取消、一定期限直至终身禁入行业或者禁止从事特定金融活动，打击的就是个人职业生命周期。对很多高度依赖关键人物的金融科技企业来说，这是实打实的组织性风险。

外部融资和合作成本：一家公司如果被穿透认定存在重大边界风险，受影响的通常不只是一项业务。银行合作会更谨慎，支付通道会更谨慎，资方会更谨慎，外部审计和上市审核也会更谨慎。处罚并不只发生在处罚决定书那一页，很多时候它会沿着市场信号继续扩散。

所以，站在企业经营角度看，金融法时代的合规，不再只是“避免被罚”，而是“避免整个商业模式的资金成本、合作成本和组织成本一起上行”。

07 金融法时代的金融创新怎么做

那么说到这里，金融法时代的金融创新应该怎么做？我们确实值得在现在的时间节点上，尝试开始改变我们的思维。

第一，先别急着证明自己不是金融，而是先把自己在金融链条上的位置讲清楚。

我们具体提供了什么功能？我们的产品在哪些环节影响了客户资金、信用或风险结果？我们和持牌机构、合作方、技术方之间的责任怎么分？用户主观上认为谁在向他提供金融服务？我们的收益是不是和金融结果深度绑定？

先回答清楚这些问题，才值得继续谈边界。

第二，产品设计要做“功能体检”。对每一个新功能，最好都做一次功能体检。重点看四件事：它像不像信贷；它像不像支付；它像不像理财；它会不会碰到公众资金归集和收益承诺。如果四个问题里有答案已经比较接近“像”，那法务和合规就不应该只在合同里简单地修修补补，而应当把牌照、流程、展示、收费和责任链条放在一起着重看。

第三，集团和合作结构要做“穿透演练”。谁是股东，谁是实控人，谁控制技术，谁控制数据，谁控制客服和营销，谁控制品牌和用户认知，谁从这个金融结果里分得最多。如果一张穿透图画完以后，连企业自己都发现责任和收益分配很难解释，那最好在监管来问之前先自己动手调整。

第四，建立金融级留痕和问责能力。对系统商、模型商、云服务商、数据服务商来说，未来一个很现实的变化是：你未必需要持牌，但你可能需要具备金融级别的内控、留痕、访问管理、权限管理、变更管理、审计配合和应急响应能力。DORA之所以会去盯关键ICT第三方，中国草案之所以会把信息技术服务机构写进第三方服务机构定义里，道理是一样的：关键服务商已经不只是“供应商”，它们有时就是风险的转运站。

最后，狠狠地前置合规步骤吧！这是最重要的一点。金融科技行业过去最容易犯的错，就是把合规当成“最后一公里修补”。业务先跑，产品先上，数据先接，用户先做起来，法务最后来补协议、补授权、补披露、补说明。在功能监管和穿透式监管时代，这个顺序势必会越来越痛苦。很多风险不是文本风险，而是结构风险。结构没搭对，文案再漂亮，最后还是无济于事。

08 结语：最稀缺的能力

当下中国的金融科技市场，确实时常让我们想起鸭子测试。

只要我把页面做得更轻、协议写得更薄、主体拆得更多、名字取得更软，监管也许就会觉得我离金融远一点。

这就像极了把一只会下水、会扇翅膀、会叫、会走路的鸭子，认真包装成“水陆两栖生活方式平台鸟类”。

可当它下水一游，开口一叫，大家都知道，它就是鸭子。

金融法时代真正的变化就在这里：监管以后会更少和你讨论“你说自己是什么”，会更多和你讨论“你到底在做什么”。

所以，未来金融科技行业最稀缺的产品力，就会是“经得起追问”的能力。

产品能跑起来，很重要。产品能卖出去，也很重要。但更重要的是，监管、审计、资方、董事会、合作银行、上市审核、境外伙伴一层一层问下来时，你能不能把这套东西讲清楚。

“讲不清楚，很多故事到此为止。能讲清楚，广阔天地大有可为。”

---

说完这一句，我又敬了大猛哥一杯。

夜，也更深了一些。