數(shù)字化轉(zhuǎn)型背景下開放銀行的推進邏輯與問題研究

◎文/王 靜

一、引言

2018年巴塞爾委員會在發(fā)布的報告《金融科技發(fā)展對銀行和銀行監(jiān)管機構(gòu)的影響》中指出，技術(shù)進步可能導(dǎo)致出現(xiàn)“分布式銀行場景”和“降級銀行場景”?！胺植际姐y行場景”是指金融服務(wù)在專業(yè)金融科技公司和現(xiàn)有銀行之間的分散化；“降級銀行場景”是指現(xiàn)有銀行成為商品化服務(wù)提供商，客戶關(guān)系由新的中介機構(gòu)擁有。立足于數(shù)據(jù)分享機制的開放銀行在眾多國家的發(fā)展即是最大化數(shù)據(jù)價值的典型例子。技術(shù)進步使得數(shù)據(jù)的價值凸顯并不斷被開發(fā)，雖然國內(nèi)金融業(yè)數(shù)據(jù)開放與數(shù)據(jù)保護的基礎(chǔ)設(shè)施與營運模式尚不成熟，但銀行數(shù)字化轉(zhuǎn)型發(fā)展成為必然。因此，本文探討開放銀行在全球的推進邏輯及發(fā)展中的關(guān)鍵問題，以期對我國銀行數(shù)字化轉(zhuǎn)型提供更多參考。

二、開放銀行界定與推進邏輯

（一）開放銀行的界定

隨著金融科技的發(fā)展，商業(yè)銀行面臨數(shù)字化轉(zhuǎn)型，在實踐中或是對已有產(chǎn)品、業(yè)務(wù)流程及渠道進行數(shù)字化改造，或是探索數(shù)字化、開放化的商業(yè)模式變革，發(fā)展平臺化、場景化的金融服務(wù)模式。開放銀行屬于后者，即由銀行自建或第三方機構(gòu)開發(fā)的即插即用式的金融科技API（Application Programming Interface，應(yīng)用程序接口），在獲取金融消費者授權(quán)后通過接入銀行，共享銀行開放的金融數(shù)據(jù)，讓第三方開發(fā)人員開發(fā)金融應(yīng)用和服務(wù)。按照英國開放銀行的實施機構(gòu)OBIE （Open Banking Implementation Entity，開放銀行實施機構(gòu)）的定義，開放銀行是一種為包括小企業(yè)在內(nèi)的客戶提供全新、安全的信息共享，從而方便為新舊公司提供超快捷支付方法和創(chuàng)新銀行產(chǎn)品的方式。

（二）開放銀行在全球的推進邏輯

雖然與第三方共享銀行擁有的客戶許可數(shù)據(jù)已存在多年，但數(shù)字設(shè)備使用的增加和快速發(fā)展的數(shù)據(jù)聚合技術(shù)正在改變?nèi)虻牧闶坫y行服務(wù)業(yè)。2016年之后，基于數(shù)據(jù)共享理念的開放銀行在歐美國家興起，旨在通過開放實現(xiàn)數(shù)據(jù)的共享，實現(xiàn)數(shù)據(jù)價值最大化，進而確保金融領(lǐng)域能夠充分競爭并更具創(chuàng)新性，提高中小企業(yè)生產(chǎn)率和金融消費者福祉?？紤]到銀行擁有最主要的金融數(shù)據(jù)源，推動數(shù)據(jù)共享的行動以開放銀行為切入點展開，推進邏輯主要在于兩個方面：

1.提升金融體系效率與創(chuàng)新能力

無論是在金融基礎(chǔ)設(shè)施建設(shè)還是在科技的應(yīng)用上，發(fā)達經(jīng)濟體的金融體系通常被認為是比較有效率的。但Philippon（2015）發(fā)現(xiàn)，1878—2008年間美國金融中介的單位成本一直保持在2%左右，Bazot（2013）對于德國、英國和法國的研究也證實了這一點。近期的研究同樣發(fā)現(xiàn)許多發(fā)達經(jīng)濟體已經(jīng)到達了一個臨界點——更多的金融服務(wù)是無用的或沒有幫助的，這說明信息技術(shù)的進步并未傳遞到金融服務(wù)的終端用戶。金融服務(wù)進步帶來的社會福利改善，在技術(shù)上可行，但只能在新企業(yè)進入該行業(yè)后才可能發(fā)生。以率先推行開放銀行戰(zhàn)略的英國為例，2013年英國競爭和市場管理局（CMA）面向個人和中小企業(yè)進行銀行服務(wù)情況市場調(diào)查，發(fā)現(xiàn)用戶更換銀行的比例極低（3%），形成傳統(tǒng)大型銀行競爭不充分、新興小型銀行發(fā)展艱難、消費者支出高于合理價格且未能從新服務(wù)中獲益的局面。CMA為實現(xiàn)市場公平競爭并使用戶享受到技術(shù)進步帶來的好處，2015年推出銀行業(yè)數(shù)據(jù)共享與數(shù)據(jù)開發(fā)計劃，目的是在客戶同意且兼顧個人隱私保護的前提下，營造一個開放的數(shù)據(jù)環(huán)境，銀行將客戶信息開放給第三方服務(wù)業(yè)者，如金融科技企業(yè)使用，以便讓其提供給消費者更好的服務(wù)。

新興經(jīng)濟體與發(fā)展中經(jīng)濟體在開放銀行上的實踐更多是場景驅(qū)動以及規(guī)模化應(yīng)用。金融科技企業(yè)通過連接消費者的日常生活場景，提供支付服務(wù)，在客戶獲取及黏度上升基礎(chǔ)上，進一步提供投資、保險等金融服務(wù)。

2.最大化數(shù)據(jù)價值

數(shù)據(jù)既是金融交易的結(jié)果，又可用于后續(xù)金融服務(wù)的提供。數(shù)據(jù)本身具有價值，是能夠以零邊際成本獲得的非競爭品，因此，對數(shù)據(jù)的廣泛訪問是有益的。過往傳統(tǒng)金融機構(gòu)對于自身業(yè)務(wù)保護的考量，在數(shù)據(jù)開放共享上持有保守態(tài)度，數(shù)據(jù)壟斷、數(shù)據(jù)割裂形成的數(shù)據(jù)孤島現(xiàn)象嚴重，數(shù)據(jù)庫重復(fù)建設(shè)，造成數(shù)據(jù)使用的低效率以及對消費者的不合理定價。數(shù)據(jù)的核心價值在于連接與共享，金融數(shù)據(jù)打通后和應(yīng)用場景結(jié)合才更實用（肖鋼，2020）。數(shù)據(jù)連接把不同來源的數(shù)據(jù)進行匹配和融合，強調(diào)數(shù)據(jù)觸及和返回的廣度和豐富程度。開放銀行本質(zhì)上是引入競爭，打破傳統(tǒng)銀行的數(shù)據(jù)資源壟斷，創(chuàng)造數(shù)據(jù)共享機制，以確保數(shù)字公司持續(xù)創(chuàng)新；支持新進入市場的企業(yè)，促進數(shù)據(jù)價值的充分挖掘，降低客戶的轉(zhuǎn)換成本并確保消費者權(quán)利受保護并能獲得更好的產(chǎn)品。從商業(yè)的角度來看，數(shù)據(jù)可以作為新產(chǎn)品和商業(yè)模式的催化劑，通過與金融科技企業(yè)的合作，催生出更為開放多樣的銀行業(yè)態(tài)。

國外的開放銀行大多是自上而下頂層推動，強調(diào)數(shù)據(jù)的共享；國內(nèi)的開放銀行一部分是市場自發(fā)推動，更多的是銀行服務(wù)和產(chǎn)品的輸出，依賴場景提供（各國家/地區(qū)開放銀行的比較如表1所示、數(shù)據(jù)共享特點如表2所示）。

表1 各國家/地區(qū)開放銀行開放的銀行數(shù)據(jù)與活動類型以及監(jiān)管情況

表2 主要國家/地區(qū)數(shù)據(jù)共享進展特點

三、開放銀行推進中的關(guān)鍵問題

開放銀行圍繞數(shù)據(jù)共享展開，推進中的主要問題涉及到數(shù)據(jù)確權(quán)和授權(quán)、金融消費者隱私保護、安全性問題以及監(jiān)管挑戰(zhàn)。表3中列出了數(shù)據(jù)共享的潛在優(yōu)勢與弊端的對比。

表3 數(shù)據(jù)共享的潛在優(yōu)勢與弊端

（一）數(shù)據(jù)確權(quán)和授權(quán)

首先需要明確數(shù)據(jù)的范圍、來源、類型和所屬權(quán)。從數(shù)據(jù)產(chǎn)生的類型來看，數(shù)據(jù)可以分為：①用戶基本資料數(shù)據(jù)，包括身份信息、生物識別信息，姓名、身份證、住址、通信聯(lián)系方式、指紋、聲紋、虹膜、面部特征（這些數(shù)據(jù)的所有權(quán)應(yīng)歸于用戶）；②用戶在銀行的交易原始數(shù)據(jù)，包括交易記錄、信貸記錄、征信信息、流水記錄；③用戶原始交易數(shù)據(jù)的二次加工；④銀行金融產(chǎn)品的數(shù)據(jù)（2018年底，新加坡金融管理局MAS開放42個應(yīng)用程序接口查詢金融業(yè)公開信息）。數(shù)據(jù)的確權(quán)應(yīng)根據(jù)數(shù)據(jù)所屬類型進行，涉及的權(quán)利包括所有權(quán)、知情權(quán)、使用權(quán)、攜帶權(quán)等。以歐盟和美國兩種不同方式作為對比來看：

歐盟是通過《通用數(shù)據(jù)保護條例》（GDPR）和《非個人數(shù)據(jù)在歐盟境內(nèi)自由流動框架條例》，確立了個人和非個人數(shù)據(jù)的架構(gòu)。任何已識別或可識別的自然人相關(guān)的個人數(shù)據(jù)，其權(quán)利歸屬于該自然人，享有包括知情同意權(quán)、修改權(quán)、刪除權(quán)、拒絕和限制處理權(quán)、遺忘權(quán)、可攜帶權(quán)等一系列廣泛且絕對的權(quán)利。針對個人數(shù)據(jù)以外的非個人數(shù)據(jù)，企業(yè)享有“數(shù)據(jù)生產(chǎn)者權(quán)”，但權(quán)利并非是絕對的。

與歐盟不同的是，美國在數(shù)據(jù)確權(quán)上采取的方式為：從立法層面看，將個人數(shù)據(jù)置于傳統(tǒng)隱私權(quán)的架構(gòu)下，使用“信息隱私權(quán)”來化解互聯(lián)網(wǎng)對私人信息的威脅，同時，通過《公平信用報告法》《財務(wù)隱私法》《有線通信信息法》《健康保險攜帶和責(zé)任法》等，在金融、醫(yī)療、通信等領(lǐng)域制定行業(yè)隱私法，配合網(wǎng)絡(luò)隱私認證、建議性行業(yè)指引等行業(yè)自律機制。

（二）金融消費者隱私保護

在數(shù)據(jù)共享中，金融消費者隱私保護最受關(guān)注。消費者所使用的服務(wù)類型大致可分為生活方式應(yīng)用（如網(wǎng)約車服務(wù)）、商務(wù)服務(wù)（如會計、費用管理、稅務(wù)和預(yù)算服務(wù)）、支付服務(wù)、貸款服務(wù)、投資的產(chǎn)品和服務(wù)、賬戶服務(wù)等。實踐中，App（應(yīng)用程序）私自或超范圍收集個人信息、過度索權(quán)、侵害用戶權(quán)益等問題（具體見表4）突出。例如，為了評估借款者的信譽，貸款者并不需要知道他們的社交習(xí)慣或旅行計劃。同理，并不是所有類型的服務(wù)提供商都有權(quán)訪問客戶的財務(wù)數(shù)據(jù)。因此，開放銀行的監(jiān)管必須限制可以傳輸?shù)臄?shù)據(jù)范圍（如金融交易數(shù)據(jù)）以及可以共享這些數(shù)據(jù)的機構(gòu)類型，監(jiān)管機構(gòu)需要明確誰可以擁有這些數(shù)據(jù)以及如何存儲和使用這些數(shù)據(jù)。

表4 工信部整治的App主要違規(guī)內(nèi)容

（三）應(yīng)用程序接口安全性問題

開放銀行給銀行和客戶帶來潛在的好處，一是可共享客戶許可的數(shù)據(jù)增多，二是參與提供金融服務(wù)的各實體之間的聯(lián)系日益密切。與此同時，風(fēng)險也伴隨而來，巴塞爾委員會確定的與應(yīng)用程序接口使用相關(guān)的各種潛在操作風(fēng)險、運營問題和網(wǎng)絡(luò)安全問題，例如數(shù)據(jù)泄露、誤用、篡改、拒絕服務(wù)攻擊和未加密登錄。其他類型的風(fēng)險還包括基礎(chǔ)設(shè)施故障、執(zhí)行和操作速度、中間人攻擊、令牌（Token）攻擊和互聯(lián)網(wǎng)協(xié)議地址欺騙等。目前，部分銀行用來降低上述風(fēng)險的機制包括更嚴格的訪問權(quán)限、授權(quán)的端到端加密、認證機制、漏洞測試、建立審計跟蹤、設(shè)置令牌過期時間、互聯(lián)網(wǎng)協(xié)議地址白名單、防火墻和應(yīng)用程序接口相關(guān)網(wǎng)絡(luò)事件監(jiān)控。但部分銀行使用現(xiàn)有的風(fēng)險管理政策來應(yīng)對開放銀行風(fēng)險，將會形成潛在隱患，危害金融安全。對應(yīng)用程序接口進行單獨評估，特別是在網(wǎng)絡(luò)安全和操作風(fēng)險方面是非常有必要的。

（四）監(jiān)管挑戰(zhàn)

首先是客戶授權(quán)可共享數(shù)據(jù)的增加和參與共享的人增多，會增加數(shù)據(jù)泄露的風(fēng)險，因此，亟需有效的數(shù)據(jù)管理；其次是銀行與各方之間不斷增強的連通性帶來風(fēng)險，監(jiān)管機構(gòu)需從宏觀和微觀審慎管理的視角去評估并防范相關(guān)風(fēng)險；再次是需要統(tǒng)一應(yīng)用程序接口標(biāo)準(zhǔn)和技術(shù)規(guī)范，不同的應(yīng)用程序接口標(biāo)準(zhǔn)會導(dǎo)致第三方效率低下或數(shù)字金融生態(tài)系統(tǒng)分裂，增加監(jiān)管難度；最后是開放銀行的多學(xué)科特征需要更高層次的監(jiān)管協(xié)調(diào)，譬如在解決銀行與第三方共享客戶許可數(shù)據(jù)方面，涉及的監(jiān)管部門包括了銀行監(jiān)管部門、競爭主管部門、消費者保護主管部門，考慮到涉及不同權(quán)限以及不同權(quán)限任務(wù)，就需要在監(jiān)管上形成協(xié)調(diào)，以確保監(jiān)管的一致性。

四、建議

（一）構(gòu)建完整數(shù)字金融生態(tài)體系

全面的開放銀行框架應(yīng)包括一系列問題的規(guī)則、標(biāo)準(zhǔn)和/或行業(yè)實踐及相應(yīng)的監(jiān)管機構(gòu)。參與開放銀行業(yè)務(wù)的監(jiān)管機構(gòu)包括：①銀行監(jiān)管機構(gòu)，設(shè)定要求并監(jiān)管被監(jiān)管銀行的傳統(tǒng)機構(gòu)；②應(yīng)用程序接口或技術(shù)標(biāo)準(zhǔn)設(shè)置機構(gòu)，建立標(biāo)準(zhǔn)和認證實體的機構(gòu)；③競爭管理局，監(jiān)督、促進并在必要時采取行動以確保市場運作良好的管理局；④消費者保護機構(gòu)，確保消費者不會因組織的壟斷和寡頭壟斷行為、不公平、欺騙或濫用行為而處于不利地位；⑤數(shù)據(jù)隱私權(quán)限，設(shè)置與保護個人和/或客戶數(shù)據(jù)相關(guān)的要求的權(quán)限；⑥爭端解決機制，為消費者和組織之間的爭端提供調(diào)解平臺或過程；⑦其他，對從事開放銀行業(yè)務(wù)的實體擁有授權(quán)的其他機構(gòu)。

其中，保護客戶的數(shù)據(jù)應(yīng)該是首要任務(wù)，應(yīng)定義一個框架，以確保生態(tài)系統(tǒng)中的所有參與者都采取必要措施遵守這一規(guī)定。雖然客戶通常知道他們的銀行或保險公司持有個人信息，但來自“大型科技”公司的服務(wù)用戶并不總是有這種洞察力。因此需要創(chuàng)建一個數(shù)字金融生態(tài)系統(tǒng)，確保安全的數(shù)據(jù)共享，并且需要明確誰可以擁有這些數(shù)據(jù)以及如何存儲和使用這些數(shù)據(jù)。政府要處理隱私問題、道德問題、倫理問題，明確數(shù)據(jù)開放范圍和授權(quán)問題以及如何開放這些數(shù)據(jù)，建立治理和糾紛處理機制，納入金融監(jiān)管，從而形成一個有信任的生態(tài)系統(tǒng)。

（二）切實保護金融消費者權(quán)益

在金融機構(gòu)層面，應(yīng)強化賣者有其責(zé)，維護消費者知情權(quán)。數(shù)據(jù)共享的關(guān)鍵是數(shù)據(jù)流通，需要警惕數(shù)字服務(wù)的“特權(quán)濫用”。新興金融機構(gòu)存在未經(jīng)授權(quán)濫用數(shù)據(jù)和向第三方非法銷售數(shù)據(jù)等行為，致使銀行和消費者都面臨數(shù)據(jù)被竊取和隱私泄露的風(fēng)險。特別是涉及個人隱私核心領(lǐng)域，應(yīng)加強保護那些一旦公開或利用會產(chǎn)生重大影響的個人敏感數(shù)據(jù)，需建立消費者的安全感、信任感，才能推動開放銀行的良性發(fā)展。

（三）應(yīng)用監(jiān)管科技，加強監(jiān)管協(xié)調(diào)

開放銀行給客戶和銀行業(yè)帶來了潛在的好處，但也帶來了風(fēng)險和挑戰(zhàn)。從監(jiān)管層面來看，首先，要將所有使用開放銀行提供服務(wù)的主體全部納入監(jiān)管范圍，這些主體均需得到監(jiān)管機構(gòu)的授權(quán)；其次，對如何創(chuàng)造、共享和使用開放銀行數(shù)據(jù)以及安全傳遞消息標(biāo)準(zhǔn)提供指引；再次，鑒于開放銀行圍繞數(shù)據(jù)共享展開，在監(jiān)管方式上，應(yīng)用監(jiān)管科技手段實現(xiàn)實時數(shù)據(jù)監(jiān)管；最后，開放銀行涉及多方監(jiān)管部門，需加強監(jiān)管協(xié)調(diào)，防止監(jiān)管重疊與監(jiān)管空白，實現(xiàn)金融創(chuàng)新與金融安全之間的平衡。