近年來,開放銀行及數據共享的理念在歐美興起。開放銀行是一種包括但不限於依託應用程序接口(ApplicationProgrammingInterface,API)技術的金融服務模式,商業銀行通過API連接在線平臺服務商,與其合作開展基於具體、特定消費場景的服務。英國、歐盟、澳大利亞、香港等國家和地區的開放銀行業務走在前列,監管較為完備,值得借鑑。
1、開放銀行發展及監管的國際經驗
(一)開展調查,提出促進發展措施
2014年6月,英國開放數據研究所(ODI)等機構針對個人活期賬戶和中小企業貸款開展調查研究,認為API和開放數據對銀行和中小企業發展有利。2016年8月,英國競爭和市場管理局(CMA)提出以開放銀行為核心的促進金融機構創新與競爭的措施。2018年1月,包括匯豐銀行在內的9家金融機構已共享數據,英國成為首個實施開放銀行理念的國家。
2018年7月,香港金管局提出4項開放銀行的支持措施:
一是在香港科技園數據工作室網頁內創建中央資料庫,用於記錄所有香港境內銀行的API;
二是建議銀行在自己的網站上公佈每個API的功能、架構、安全性等細項說明;
三是銀行應提供示例代碼和沙盒,以協助第三方使用API;
四是計劃以研討會、競賽等形式進行詳細探究。
(二)統一標準,制定監管框架,規範市場行為
英國於2015年9月成立開放銀行工作組(OBWG),並於同年底發佈《開放銀行標準框架》,此後由CMA主導開放銀行服務計劃。《開放銀行標準框架》由數據標準、API標準、安全標準三大標準和一個治理模式組成。澳大利亞政府採納金杜律師事務所的《開放銀行調查建議》,於2018年5月出臺了開放銀行監管框架,對監管原則、推行範圍、數據共享機制、實施計劃等作出了全面規定。中國香港地區主要由香港金管局負責實施開放銀行計劃。2018年1月,香港金管局發佈《香港銀行業OpenAPI框架諮詢文件》;同年7月,香港金管局發佈銀行業開放應用程序接口(API)框架,將API劃分為4個類型,包括提供銀行的產品和服務細節、產品和服務訂閱與申請API、賬戶信息API、交易API。香港金管局要求銀行提供核心銀行板塊的所有功能,並分步提供4類API。新加坡金融管理局於2018年11月聯合新加坡銀行協會發布了API指導手冊(APIPlaybook),提供了API的選擇、設計、使用環節的最佳指導,以及相應的數據和安全標準建議。
(三)加強立法,保護信息安全和客戶的隱私
歐盟先後發佈實施《新的支付服務指令》(PSD2)和《一般數據保護條例》(GDPR),將一系列創新支付方式納入監管。其中,PSD2要求銀行在獲取客戶授權後應向滿足條件的第三方機構開放賬戶數據訪問權限,GDPR則對包括銀行業在內的網絡安全、數字經濟提出了嚴格的監管要求和禁止行為。兩部法律法規成為數據開放共享的前提,確保了歐盟消費者在法律上擁有對自己賬戶的控制權。
澳大利亞先後發佈《競爭與消費者法令(2010)》與《隱私法案》等法律法規,為開放銀行提供了消費者保護的法律基礎。美國消費者金融保護局於2017年10月發佈《消費者金融數據共享和整合原則》,保障向第三方共享數據時的用戶安全。
(四)明確開放的範圍和邊界,制定各階段的實施路徑
英國的開放銀行分三步走:2017年底前完成低敏感數據的分享;2018年實施個人現金支付賬戶數據的共享;2019年完成企業現金賬戶及中小企業貸款賬戶數據的共享。根據不同類型數據開放的難度制定階段性任務,有利於開放銀行的有序、健康發展。澳大利亞明確開放銀行覆蓋的數據範圍和具體執行計劃,即客戶提供的數據、交易數據屬於開放銀行範圍,而增值客戶數據、聚合數據由於會增加客戶身份被盜竊的風險等原因不屬於開放銀行開放數據的範圍。具體執行計劃包括髮布調查意見、政府對調查意見的反饋、立法通過、規則發佈、標準公佈、銀行公開技術沙盒、開放銀行生效6個階段。香港金管局的《香港銀行業OpenAPI框架諮詢文件》規定,該文件發佈後的6個月內金融機構應提供產品和服務信息API,12-15個月內,提供產品和服務訂閱與申請API,最後賬戶信息和交易類API的實施時間將在一年內再行決定。
新加坡沒有專門出臺監管政策和條例要求行業實施開放銀行API,其政府發揮的是引導作用,傾向於開放銀行的“有機發展”。
(五)各類型的機構根據發展規模選擇發展模式
大型銀行一般通過構建自有平臺直接開放API,通常採用“自建+投資+孵化”的模式,既內部開發API技術又從外部引入開發合作。
一是通過自建平臺對外公開API;
二是成立風險投資基金獲取外部資源;
三是通過設立加速孵化器服務金融創新,如BBVA、巴克萊、花旗、美國運通等大型金融機構均多采用這種模式。中小型銀行由於受地域、客戶群體等因素的限制,主要通過尋找第三方平臺為其提供定製化的開放銀行解決方案。
2、我國開放銀行發展概況及存在的主要問題
2012年,中國銀行提出開放平臺的概念,並於2013年推出中銀開放平臺。2018年被稱為中國開放銀行發展元年,這一年裡,股份制和國有大行紛紛加快了對開放銀行的開發。同年7月,浦發銀行推出業界首個APIBank無界開放銀行;8月,工商銀行在半年報中提出要打造無所不包的開放銀行;9月,建設銀行在中國銀行家論壇上表示要將數據以服務的方式向社會開放;招商銀行宣佈迭代上線招商銀行App7.0和掌上生活App7.0,並宣佈將藉此契機開放用戶和支付體系,通過API,H5和App跳轉等連接方式,實現金融和生活場景的銜接。
當前,我國開放銀行發展中主要存在以下問題。
(一)監管和宏觀層面
一是數據割裂造成數據聚合困難。開放銀行的核心就是數據的開放共享。現實生活中的數據分散分佈在政府部門、金融機構和第三方機構,出於數據保密性及商業秘密的考慮,數據的聚合存在法律上、技術上和思想上的障礙。
二是未明確監管主體。當前我國尚未明確對開放銀行監管的主要監管機構,也未出臺與開放銀行業務相關的指導意見或監管框架,這就造成各金融機構在開放銀行業務上“各自創新”。
三是缺乏統一的規範標準及接口接入標準等。目前,監管部門尚未對開放銀行的發展提出規範標準,行業的發展缺乏數據標準、API標準和安全標準。此外,由於缺少准入機制,合作各方資質參差不齊,增加了風險性。
(二)金融機構層面
一是存在用戶隱私和數據洩露風險。一方面,接入主體較多導致數據安全風險加大。開放銀行通過API的方式連接了多方主體,如果任何連接一方存在安全薄弱環節或服務接口有設計缺陷,或權限設置不當都可能提升整個系統數據洩露的風險,進而導致客戶數據被非法獲取。另一方面,依託互聯網渠道導致數據安全風險。API通過互聯網共享數據,當接口被惡意佔用時,可能導致商業銀行業務的連接中斷,影響客戶正常使用。此外,開放銀行接口屬於外部服務,面臨著訪問漏洞等安全風險,一旦漏洞被惡意利用,將導致服務器被入侵等不良後果。如果安全性校驗、安全加固等保護措施實施不到位,還存在被應用方惡意篡改、逆向調試、二次打包等風險。
二是業務開放存在風險。從業務流程看,商業銀行在提供API服務時,為保證業務的靈活性,會將現有業務流程拆分出更多步驟及多個業務接口,而接口的穩定性和控制的嚴格程度將影響業務流程是否按照預期執行。此外,業務開放後,還存在糾紛責任認定風險。當前的法律法規尚未針對開放銀行建立糾紛責任認定及劃分依據,債務償付、責任認定等機制尚未完善。若發生風險事件,很有可能損害消費者的合法權益。
三是存在操作風險。開放銀行的發展依賴先進的技術,而技術漏洞往往不可避免。再者,不適當的操作、信息系統失靈等會引發不可預期的風險,從而增加開放銀行在實踐中的操作風險。四是系統性風險增加。開放銀行的發展模式意味著共享網絡內的主體彼此之間相互緊密聯繫,一家銀行或者金融科技公司的風險會迅速蔓延到其他關聯方,導致系統性風險。數據的開放意味著風險的開放,數據的使用者更多的是提供服務,風險控制的核心主體仍然是金融機構本身,金融機構需要單方面承擔輸入風險、輸出風險以及內外部風險疊加形成的新風險。這種合作模式需要金融機構提前建立充分的緩衝和隔離機制,以免造成嚴重的後果。五是專業化人才匱乏。金融機構發展開放銀行需要重新構建業務流程、產品設計,並連接多方主體,所需要的人才不僅需要熟練掌握銀行業、金融科技、計算機等知識,還需要掌握大數據、雲計算、物聯網等其他領域的知識。當前,複合型人才較匱乏以及銀行業對人才的吸引力降低等成為人才引進的難題,如何打造強有力的專業化隊伍是亟待解決的問題。
(三)市場發展層面
一是精確的用戶形象刻畫容易過度壓榨用戶資源。精確的用戶形象刻畫容易導致數據使用方通過誘導來放大用戶某些細微的需求,最終達成消費目的;甚至由此養成不良消費習慣,進而影響市場的構成。此外,數據使用方還能通過行為偏好分析、掌握用戶的承受極限,導致市場脆弱。
二是精細的用戶分級容易加劇金融排斥。開放銀行所形成的大數據抓取和分析本質上是對用戶質量的區分,曾有過“不良資質”或“資質空白”的群體,容易被現有的金融體系排斥,加劇金融資源分配不均現象。三是短期內資金投入與回收不對等。自主開發開放式平臺需要大量的資金投入和技術投入,且資金的回收期較長,前期回報率低。如何有效推動開放銀行的發展,是監管層需要面臨和解決的問題。
3、啟示及建議
(一)將開放銀行納入監管並建立監管細則
一是消除監管上的障礙,鼓勵金融創新。在明確主要監管機構的基礎上,監管機構應堅持嚴監管與鼓勵金融創新相結合,並探索建立新的監管方式,通過監管科技等新興方式建立數字化監管,創建開放銀行的統一管理平臺。
二是建立完善的事前准入、事中監督、事後退出機制。監管機構需要對金融機構是否具備開展開放銀行的條件進行嚴格的資質審核,加強事中監督,並明確市場退出機制。
三是明確風險的責任邊界。監管機構需明確開放銀行業務的範圍,督促金融機構嚴格遵守。金融機構應對API接入方開展嚴格的資質審核,明確雙方在風險管理中的職責,督促數據使用者合法合規使用數據。
(二)儘快出臺發展開放銀行的指導意見,制定分階段實施計劃
一是加強資源整合,促進各方合作共享。監管機構應加強對資源的整合,如對中小規模的金融機構,提供交流合作的機會,推動其聯合發展;促進金融機構和科技公司優勢互補,建立合作共贏的開發模式。
二是出臺指導意見,引導金融市場健康發展。加強對金融機構和數據使用方的引導,禁止“探索市場極限”等行為,避免對市場的過度開發和過度加槓桿的不良影響;此外,可以規定數據的有效時間,減輕精細的用戶分級帶來的金融排斥現象。
三是制定分階段實施計劃。根據不同接口類型的開放程度,借鑑國際經驗,按照低敏感數據的分享-個人賬戶數據共享-企業賬戶數據共享等順序擬定實施計劃。
(三)建立統一的開放銀行標準規範
監管機構應儘快明確開放銀行的接口類型與安全級別、安全設計、安全部署、安全集成、安全運維、服務終止與系統下線、安全管理等要求,並對開放銀行服務運營過程中的安全監測、風險控制等方面提出基本的安全保障要求,減少開放銀行參與者的參與成本,引導市場規範發展。
(四)加強對用戶隱私保護的監管
監管機構應當加強對用戶隱私保護的監管,督促開放銀行參與者嚴格遵守信息安全法律法規的要求,建立和完善技術安全性和標準符合性評估、風險監測及處置長效機制,建立開放服務風險審核、應用方准入及退出機制,完善信息發佈和開放服務風險補償機制,特別應注重對客戶信息、交易數據等內容的保護。
(五)督促金融機構健全風險管理機制,提升風險管理能力
監管機構應督促金融機構增強安全意識,建立健全開放銀行安全防範體系。鼓勵金融機構應用科技手段強化身份認證和內部管理,定期組織開展風險排查及安全性評估,根據業務重要程度、信息敏感程度對開放銀行業務實施分級管理和採取差異化的安全措施,以提升數據安全和風險管理水平。
(六)通過政策便利,支持開放銀行發展
建議監管機構建立一箇中央資料庫,用於記錄所有境內銀行的API信息,並要求各銀行詳細說明每個API的功能、架構和安全性等信息,便於其他開放銀行參與者高效、靈活地引用銀行數據。
本文作者(蔡文德 )
- “地方金融監管”除非特別註明,本公眾號所載內容來源於互聯網、微信公眾號等公開渠道,不代表本公眾號觀點,僅供參考、交流之目的。轉載的稿件版權歸原作者或機構所有,如有侵權,請聯繫刪除。
閱讀更多 地方金融監管 的文章
