科技發展給銀行帶來了轉型動力。
021年9月,中國人民大學金融科技研究所於《清華金融評論》發表《開放銀行全球監管:國際經驗與中國實踐》,文章指出:近年來,科技發展給銀行帶來了轉型動力,而開放銀行即為一種可預見的發展形態。在開放生態逐步形成的過程中,全球範圍內都將面臨技術風險、數據安全、個人隱私以及標準缺失等諸多挑戰,急需開放銀行在自身不斷完善的同時,依靠監管部門提供有效公共產品,進一步完善法律法規建設,通過多方協作構建開放共贏的生態。
作者| 宋科(中國人民大學金融科技研究所執行所長)、袁陽(中國人民大學金融科技研究所助理研究員)
來源| 清華金融評論
開放銀行發展急需更好的監管政策環境
近年來,科技發展給銀行帶來了轉型動力,而開放銀行即為一種可預見的發展形態。放眼全球,儘管開放順序有先後、內容有差異、重點有不同,但在新一輪技術革命推動下,加快開放已是全球大勢。目前,已有30多個國家和地區採納或正在考慮採納開放銀行模式。從移動互聯到萬物互聯,從消費互聯網到產業互聯網,開放銀行將擁有更多的應用場景和發展空間,未來還將形成至少包括“賬戶層-中間層-生態層-監管層”等四層在內的廣義開放銀行生態。其中,由金融機構組成的賬戶層主要為開放生態提供數據及底層金融服務,中間層在開放生態中主要承擔數據流通和技術支持作用,擁有大量應用場景的生態層作為開放生態中最接近客戶的一層,直接面向個人端(C端)、企業端(B端)用戶提供產品和解決方案,而監管層則提供監管支持與政策規範,致力於促進多方共同協作,實現消費者價值最大化。
當前,在開放生態逐步形成的過程中,全球範圍內都將面臨技術風險、數據安全、個人隱私以及標準缺失等諸多挑戰,急需開放銀行在自身不斷完善的同時,依靠監管部門提供有效公共產品,進一步完善法律法規建設,通過多方協作構建開放共贏的生態。
構建開放銀行監管體系的全球經驗
當前,全球各地對開放銀行的監管態度和政策各有不同。作為先驅者的歐盟和英國分別出台了《支付服務指令Ⅱ》(PSD 2)和《開放銀行標準框架》等政策文件,以促進市場競爭,倒逼銀行創新並增強用戶體驗。新加坡政府更像是開放環境建設者,不僅主動開放政務數據,還通過發布應用程序接口(Application Programming Interface,簡稱API)手冊,建立各方交流平台等措施營造良好外部環境。而同樣處於亞太地區的中國香港對於數據隱私的開放相對謹慎,主要採取觀察與跟隨策略,根據其他地區實踐經驗分階段推進開放。美國則屬於典型的市場引導模式,政府只站在整體角度出台一些原則性指南,而共享標準、技術規範等基本都由市場自行開發製定。與早期領先的國家和地區相比,我國開放銀行的早期政策關注度不高,此前只有《商業銀行應用程序接口安全管理規範》(JR/T0185—2020)等較少的監管規範出台。
歐盟:破局銀行轉型,引領開放潮流
歐盟針對開放銀行監管政策源於2007年發布的《支付服務指令》(Payment Service Directive,簡稱PSD)和2015 年發布的《支付服務指令Ⅱ》(PSD 2),無論是在開放銀行發展,還是在全球監管政策方面,均處於全球領先地位。
一是引導與規範性政策。從PSD到PSD2,歐盟監管呈現出分類逐漸細化,對金融科技重視程度逐步提升的趨勢。 PSD規定了可以提供支付服務的信用機構、部分當局和電子貨幣機構三類機構(PSP)。 PSD2對支付服務提供商作了進一步細分,開放生態參與方分為最終用戶(PSU)、提供API服務的賬戶服務支付服務提供商(ASPSP)以及第三方支付服務提供商(TPP)。 TPP又進一步分為提供支付發起服務商、提供賬戶信息服務商和卡基支付服務提供商。不同的第三方支付服務提供商在使用ASPSP提供的API時,其數據訪問權限也不同。二是監督與限制性政策。上述兩個文件都非常重視對消費者的保護,這不僅體現在交易安全上,還包括用戶隱私等方面。對於准入管理,PSD 2要求在在線登錄、電子支付和遠程支付等應用場景下,PSP必須使用強客戶身份驗證;如發生未經用戶授權的支付交易,付款方的PSP負有首要責任,用戶自身只須承擔很小的責任;對數據隱私安全的規定則依照《個人數據保護指令》(Directive 95/46/EC)及《通用數據保護條例》(GDPR)等相關法律執行。 PSD 2的實施從根本上改變了歐洲經濟區提供支付服務的監管環境。自2015年11月PSD 2實施以來,歐洲支付科技企業數量出現了迅速而短暫的激增。隨著該指令在各國轉化為法律文件,2018年新進入者的數量有所下降,但仍保持在高於PSD2通過前的水平。
英國:明晰標準規劃,促進市場競爭
英國監管政策以2016年開放銀行工作組(OBWG)發布的《開放銀行標準框架》為代表,其中核心內容為“三大標準”和“一個治理模式”。此外,英國金融市場行為管理局已將英國脫歐引起的某些監管政策變化置於“停頓”狀態。目前,英國開放銀行仍遵循PSD2的條例規定。
一是引導與規範性政策。 OBWG將數據分為開放數據、客戶交易數據、客戶參考數據、聚合數據、商業敏感數據五類,對不同的第三方合作機構匹配不同的數據共享權限。二是監督與限制性政策。 OBWG在用戶同意、身份認證、欺詐監控、用戶授權四個方面提出了相關意見。銀行與第三方共享數據的過程必須徵得用戶同意,並建議使用和新一代互聯網開放標準相協同的身份認證協議,為防範用戶授權的惡意使用情況,還要求給予用戶及數據提供者撤銷數據授權的選擇,對授權的持續時間進行約束。此外,為確保開放銀行標準的落實和推進,OBWG還呼籲採用一個有效的治理模式來統籌全局,如設置獨立機構以跟踪並監督開放銀行標準的落實,賦予其審查第三方的權力,創建事故處理機制,在兼顧PSD2相關要求及資金成本的情況下分階段逐步引入治理模式。三是行業自律。 2018年11月,英國標準協會發布《支持金融科技公司與金融機構合作-指南(PAS201:2018)》,內容包括流程範圍、術語和定義、合作篩選流程、合作篩選總體要求、商業計劃及市場定位等九個部分,要求金融機構和金融科技公司承擔更多用戶信息的保護責任。
新加坡:營造開放環境,加強國際協作
從開放銀行生態結構來看,新加坡政府強勢主導中間層建設,金融管理局(MAS)提供數據流通和技術支持,與銀行及其他創新型企業一同構建開放生態環境。
一是引導與規範性政策。 2013年,新加坡政府推出SingPass(類似自然人憑證)服務,作為新加坡政府網站的通行證。 2016年11月,MAS與新加坡銀行協會合作發布一份路線圖《金融即服務:API手冊》,根據重要性篩選了411個API(對應700多個業務流程),並對每一個API提供了詳細的功能說明,在API選擇、設計、使用環節給出相應指導。該手冊把API參與者分為四類:通過API將數據共享出去的API提供者、使用API來訪問或發送數據的API消費者、作為行業創新先鋒的金融科技公司和開發者社區。該手冊還涵蓋了數據標準、API標準和安全標準三種標準。數據標準對通過API傳輸的數據(消息)語義、語法等進行了統一,為整個開放銀行行業提供一種通用的交流語言。實際應用中還要基於交換數據的類型、涉及的行業、區域差異三種不同條件確定最終要採納的數據標準。 API標准在API架構、開發與部署、授權、版本等方面做了統一規範,以便於在整個行業內形成統一的API設計語言。二是監督與限制性政策。該手冊提出的安全標準涵蓋了身份認證、授權、加密三塊內容,主要被用於保護通過API傳輸的信息,從而確保客戶數據的安排。 2020年10月,新加坡通信和信息部和個人數據保護委員會還聯合發布《個人數據保護法(修訂)》,增加了嚴重不當處理個人數據罪行,並提高了罰款上限。三是國際協作。 MAS與國際清算銀行進行了金融科技系列合作,並於2019年成立新加坡創新中心。其重點項目領域包括監管科技、中央銀行數字貨幣和下一代金融市場基礎設施相關開發等。
中國香港:借鑒各地經驗,逐步推進開放
中國香港以《香港銀行業開放API框架》為依托,分階段、分步驟推進銀行業務開放與監管。
具體來看,一是引導與規範性政策。 2018年7月,香港金融管理局發布《香港銀行業開放API框架》,將API劃分為銀行的產品和服務細節API、產品和服務訂閱與申請API、賬戶信息API以及交易API四個類型,並提出設立中央資料庫、要求銀行在網站上公示所有API功能與架構等詳細說明、銀行提供示例代碼和沙盒以及積極開展相關研討會和競賽四項支持措施。具體實施分四個階段:2019年1月開始第一階段,主要開放銀行產品及服務資訊,共20家商業銀行參與其中,提供開放API超過500個。 2019年10月開始第二階段,主要開放信用卡和貸款申請等內容,香港金管局在第二階段的規劃中提到,銀行在與第三方服務供應商(TSP)進行開放API合作時,要對第三方服務供應商進行審查並保持監管。第三、四階段涉及對用戶資料和金融交易流程的詳細讀取,香港金管局計劃結合前期商業銀行的反饋和國際經驗,再對API的開放制定更嚴格的監管措施。二是監督與限制性政策。中國香港極其重視數據隱私保護。 《香港銀行業開放API框架第二階段共同基準》明確提到,TSP需要提供合理充分的文件與信息,向銀行證明收集客戶的個人數據是公平和透明的。此外,還要將不同用途的數據庫分開,確保數據庫保密性和完整性,並定期進行安全檢測。
美國:設立基本準則,市場自發驅動
得益於美國強大且成熟的金融系統與科技生態,美國開放銀行在沒有很強勢的監管層介入的情況下,市場仍然能夠自發驅動並發展起來。
具體來看,一是引導與規範性政策。美國較為註重金融基礎設施建設,通過推動人工智能(AI)、第五代移動通信技術(5G)和政府民營並行的支付清算體系建設,營造了利於創新開放的良好外部環境。在數據開放方面,最為代表性的條例為“一個法案”和“九條指南”,即2010年通過的《多德-弗蘭克法案》和2017年發布的包括支付數據訪問、數據使用、消費者知情權、數據使用授權費用等在內的九條金融數據共享指南。 2018年7月,美國財政部建議消費者金融保護局能夠根據《多德-弗蘭克法案》讓消費者授權的第三方訪問金融賬戶和交易數據。此外還希望讓企業從屏幕抓取轉向更安全的數據訪問方法,但表示解決方案應該由私營部門開發。直到目前,美國對數據開放相關技術的使用仍沒有統一標準,金融科技公司在申請數據開放時須與金融機構簽訂合作協議,設定責任條款。二是監督與限制性政策。在數據隱私監管方面,《格雷姆-里奇-比利雷法》和紐約州金融服務部通過的網絡安全法規“23NYCRR500”均對用戶數據的使用進行規範。 2018年6月28日,《加州消費者隱私保護法案》(CCPA)問世,對個人信息範圍、消費者權利、企業義務和處罰力度等作出相關規定,被認為是美國“最貴”的數據法案。三是行業自律。 2018年3月,美國自律性監管組織金融業監管局發布的《投資者警示》指出,API在開放數據方面提供了相較屏幕抓取更為安全的選擇。另外,金融數據標準組織平台(FDX)主要為公司層面的客戶提供開放銀行數據接入的解決方案,旗下最新產品為FDXAPI4.2框架,主要包括金融數據分享準則、身份識別與授權準則、用戶使用準則與協議,其製定的API準則在一定程度上影響了開放銀行未來API的普適行業規則。
中國:提供技術指引,促進多方參與
不同於國外發展模式,國內相關監管部門雖未對開放銀行提出具體指導意見,但是在開放模式創新、數據治理、助力小微企業發展等方面持續發聲,開放銀行逐步得到重視。
具體來看,一是引導與規範性政策。除開宏觀層面的發展規劃外,國家也出台了API安全管理標準,為開放銀行的發展提供了指引。 《商業銀行應用程序接口安全管理規範》(JR/T0185—2020)詳細規定了商業銀行應用程序接口的類型、安全技術與安全保障要求,指出商業銀行應用程序接口服務的主要參與方有用戶、應用方及商業銀行,並界定了各方扮演的角色及承擔的責任。用戶發起商業銀行應用程序接口應用請求,並接收處理結果。應用方負責接收並通過應用程序接口向商業銀行提交相關請求、接收返還結果,依照流程進行服務請求處理或反饋用戶。商業銀行通過API直接連接或用軟件開發工具包(SDK)間接連接的方式提供應用程序接口服務,實現商業銀行服務的對外輸出。二是監督與限制性政策。在信息保護方面,《網絡安全法》《中國人民銀行金融消費者權益保護實施辦法》等已對消費者金融信息的收集和使用設立了合法、正當、必要的原則,《個人信息法》也將施行;在機構資質方面,《非金融機構支付服務管理辦法》也宣布對國內第三方支付行業實施正式的監管,要求在提供支付服務前取得“支付業務許可證”。三是行業自律。目前,浦發銀行、太保集團、國泰君安證券等橫跨銀證保三個業態的12家機構簽署了開放金融聯盟協議,旨在聚合銀行、保險、證券等金融業態,加強成員間業務共享、科技賦能、生態共建等深度合作,隨著未來交流的深入,也將對國內開放銀行的發展起到推動作用。
加強我國開放銀行監管的若干建議
基於開放銀行全球監管經驗與我國實際,現就當前和今後一個時期我國開放銀行監管提出如下建議:
一是鼓勵開放共享,完善數據治理。要充分認識到開放是未來的必然趨勢,逐步加深開放程度,探索賬戶認證、信用評估等數據價值實現的可能性。除了提供良好的外部發展環境,也要充分發揮市場主體的作用,明確收益共享和風險分擔機制,以更好地平衡數據保護和開放的關係。要盡快出台針對性的法律法規,明確各方權利和義務並加強教育和約束,從內到外保障數據隱私安全,加強數據治理成效。
二是明確開放範圍,促進多方共識。要對開放數據范圍進行有效界定,以應對開放生態各參與方對開放數據范圍界定存在的普遍差異,更好地促進開放銀行的有效推進。考慮到部分用戶數據的敏感性,可明確針對不同階段或者不同目標群體的數據開放範圍,持續推進開放生態的建設和發展。
三是加強分級引導,逐步有序開放。要在充分借鑒和吸收不同國家和地區經驗的基礎上,結合我國國情合理有序地推進開放銀行發展,在入口端完善第三方資質審核,增強准入管理,加強對消費者的數據授權安全保護,並把促進政務數據開放作為突破口,構建合理的開放模式和技術標準,在政策框架等方面進一步完善“軟設施”,在此基礎上根據風險治理能力對銀行等金融機構進行分級並引導其依次、有序開放。
以下為文章部分截圖
展開全文打開碳鏈價值APP 查看更多精彩資訊
