开放银行在开放中走向成熟

备受关注开放银行正成为世界金融业发展的新趋势，全球有30多个国家和地区采纳或正在考虑采纳开放银行的模式。5月30日大金融思想沙龙第163期《开放银行全球监管报告》（以下简称《报告》）发布，此次发布是由中国人民大学财政金融学院主办，中国人民大学金融科技研究所、国际货币研究所、中国银行业研究中心以及数字金融开放研究尖峰计划联合承办。

报告认为，5G时代的到来，将吸引更多的中小商业银行和非银机构参与进来，无疑会推动更高质量的发展新阶段。但同时也要关注在开放生态发展过程中可能潜在的问题和挑战，比如参与方良莠不齐、多样化的技术形态会带来较高的成本和一定的风险的问题，可能会出现数据泄露和滥用的风险，各主体对开放的内容和方法还存在一定分歧，这些问题都需要在开放银行的过程中去解决，同时法规和监管的保障必不可少。

      国际开放银行的监管现状

     欧盟

欧盟针对开放银行的核心监管政策是源于支付服务指令PSD和PSD2这两个文件，意味着欧盟将开放API作为银行的必须义务。报告中PSD和PSD2内容上存在一定的差异，但两者强调了对于消费者的收益和利益的保护。不仅体现在交易安全性上，还包括对用户隐私的保护。如发生未经用户授权的支付交易时，付款方的PSP有首要责任，用户自身只要承担很小的责任。对数据保护方面，目前欧盟延用的是通用数据保护条例对用户进行保护，这个条例不仅赋予了消费者更多的权利，也对数据的使用者进行了更多的限制。从2015年11月份，PSD2实施以来欧洲支付科技企业的数量增长较快，法律法规的出台对开放银行正向作用明显。

典型案例Tink，这是一个从面向用户到面向金融科技公司多方账户的聚合平台。目前在18个国家和地区建立了开放银行，产品覆盖了欧洲2.5亿家客户。其业务模式可概括为四点：一是第三方便利性。第三方只需要通过即插即用的API接口对接，一行代码就可以完成和Tink的集成，完成客户身份验证就可提供产品和服务。二是它不仅可以直接提供账户信息，还可以根据机构的不同需求。比如说快照、一次性获取数据或者通过连续的形式实施跟踪数据状态，并且能够根据相关机构的需求对数据进行清洗梳理。三是作为帐户集合平台在安全性上有所保证，目前通过了ISO认证，并对用户的数据传输过程中进行了加密处理。四是因为欧盟出台的相关支持政策，Tink除了能够促进金融机构自身产品的服务创新之外，也和银行进行了积极合作。

英国

2010年英国市场竞争委员会就提出了开放银行的概念。2015年8月，英国财政部成立了开放银行的工作组研究和制定相近的框架标准。2016年3月开放银行标准框架发布了三大标准和治理模式：一是数据标准，即数据描述记录的规则。分为五类，开放数据、客户交易数据、客户参考数据、聚合数据和商业敏感数据，规定了第三方对数据有两种访问权限，分别是读取和写入，不同机构拥有的权限不同。二是API标准，主要是对API设计进行开发维护的规定，比如架构风格建议机构可以采取一些更加轻便且容易操作的REST架构，在资源格式方面采用一些易于被计算机解析生成和读取写入的JSON格式。三是安全标准，即在用户同意、身份验证、欺诈监控和授权管理四个方面提出了一些标准，也是基于对用户权益保护的出发点考虑开展的。四是机构监督治理模式，比如设立一个独立的机构，这个独立机构还拥有审查第三方面的权利，如创建特殊事故发生时的机制。

英国开放银行实施分为四个阶段，一是发布一些简化版的数据标准和API规范，第二阶段完成低敏感数据的共享，第三阶段完成只读模式的客户交易数据共享，第四阶段是完成读写模式数据部分的开放。英国的API从2018年6680万增加到2020年近20亿。未来有观点认为，开放银行实施OBIE可能被一个新的服务实体监管机构所取代，何去何从各方正持观望态度。

  《报告》选取了英国的案例TrueLayer，它为第三方提供API接口，集成用户的财务数据、支付和银行服务。TureLayer作为聚合平台，对账户信息采取了三部分加密的状态，就是说，获取客户信息要同时使用三个密钥才行。对用户数据隐私保护方面有清晰的设置，确认同意后要选择连接的帐户服务商才能进入下一个流程，通过其他的协议进一步去完成。

     新加坡

    新加坡2013年制定了数据共享的规则提供政府部门和机构资料的开放使用，到2016年进一步发布了全面的路线图，API手册。引导金融机构和科技公司的API共享。把参与者分为四类：第一类是提供者，第二是消费者，第三类是金融科技公司，第四类是开发者社区。不仅对这几类参与者的分工和结构进行了划分，还涵盖了一些具体实施的标准，数据标准、API标准和安全标准，这三个标准对应了英国政策分析中提到的三大标准，所以英国和欧盟对其他经济体的借鉴作用很明显。

    在外部环境对开放银行实施的鼓励性政策之外，当然还有一些保护性的监管政策，比如它个人数据保护法增加了严重不当提供个人数据的罪行，并提高了罚款项。宣布在2018年授予第三方公司的五张数字银行牌照，目前初步公布了授予机构的名单，但是后续的行为还处在观望的态度。此外，新加坡不仅重视国际的借鉴作用，也重视国际的合作，它和国际清算银行BIS进行了金融科技相关的系列合作，这个合作也是有利于新加坡乃至全球跨地区的开放交流和共享互联。

    《报告》选取新加坡的案例标的是APIX，它是由新加坡金融管理局和世界银行集团的国际金融公司、东盟银行家协会联合成立的平台。这个平台进行全球性的API交流和提供沙盒。在这个平台上金融科技公司、金融机构就可以轻松高效地识别对方，建立联系，它的沙盒可以让金融科技公司和金融机构协同设计。通过这个平台，新加坡可以更好地和金融科技发达的地区进行对话，使用它们先进的技术，促进本土企业的贸易，同时帮助本土有实力的金融科技公司向外发展，更好地解决本国金融科技人才不足的问题。

    香港地区

    香港的开放API框架，也将API划分四种类型，包括银行产品和细节的API、产品和服务订阅与申请API、帐户信息API和交易API。香港倡导的开放战略规划四个阶段对应了对四种API的开放。2018年7月提出了四项对开放的支持措施，比如设立专项资料库，银行要公开信息并公开API使用说明情况，积极举办研讨会和竞赛。同年香港发布了一个API的框架，这个框架也是对应了后续开展战略阶段的规划情况。香港目前第一、第二阶段所开放的API其实更多是对产品、服务信息的开放，更敏感的数据或许会在第三、第四阶段开放。

   《报告》在香港的案例选择了银联通宝有限公司。2018年7月香港金管局发布了API框架之后，银通公司在次年1月正式推出香港首个API开放缴款平台，将多个银行的API集合在一起，第三方通过这个平台可以和多个银行进行无缝连接，互相交换产品和服务。目前不仅可以提供各种类型的API，还可以提供一些解决方案。香港基于对数据隐私的谨慎态度还没有采取对数据和帐户信息进行进一步开放的实践措施，目前还是基于产品和服务。

    美国

    美国是市场先行的典型，监管部门主要发布一些比较原则性的条例。2018年美财政部发布报告建议可以根据多德弗兰克法案让消费者授权第三方获取金融帐户额和数据，并且希望在获取数据的方式上从屏幕抓取专项更加安全的解决方法，但财政部表示这个方案应该由市场开放。在监督和信任性政策方面，强调对隐私的保护，美国目前有网络安全法规，也有加州消费者隐私保护法案，都加大了处罚力度。当然，美国隐私的法规体系也有待完善和待更进一步明确。2016年底美国的货币监理署探讨向金融科技公司发放银行牌照的文件，增加它们业务自由发挥度。2017年8月，开始接受这类牌照的申请。此次牌照的发放主要针对转帐和贷款，并不涉及存款，对科技公司来说无法享受到银行清算系统带来的好处，所以申请面比较低。

美国宽松的监管衍生出了像Finicity和Yodlee这样两家平台，都是数据集合与分析平台。从银行收集提炼聚合大量的客户数据，把这些数据以API接口方式提供给金融科技公司、第三方理财公司进行金融创新，从而达到无缝衔接的金融服务体验。Yodlee拥有全球2万多数据源，配备了专业化的团队，其在处理数据前会将有关个人信息的数据清除，以确保其在整个流程过程中保证消费者的隐私安全。Finicity是FDX的董事会的成员，这是美国API的发布平台，虽然这个平台是盈利性的，由于它发布很前沿的标准框架，对美国整体的标准实施起到了一定的影响和引导作用。Finicity认为自身对数据共享的标准和责任框架有很好的理解和把握，它建立了一整套的安全防护体系，比如在内部防护上对于全时段的数据传输进行加密，在外部和系统整体防护上将深度防御和应用程序的防火墙结合使用。所有的系统和程序也将经受第三方专家的安全审核。人们注意到，Finicity2020年11月16日被万事达收购，但目前它的业务模式还是保持不变的态势。

中国具备支持开放的监管环境

      一是在政策环境方面，2020年初我国出台了《商业银行应用程序接口安全管理规范》，从规范的角度进行了进一步的引导和规划，这是在平衡服务快速响应和信息服务保护的基础上详细规定了API的安全级别、部署、运维等要求。二是在监督和适应性政策方面，目前有网络安全法，有《银行业金融机构数据治理指引》，包括《中国人民银行金融消费者权益保护实施办法》，未来也会出台更多的政策性措施，比如《个人隐私保护法》等等。三是行业自律形成了浦发银行、太保集团等12家金融机构签署的开放金融联盟协议，加强这些机构在开放数据方面的合作应用，他们也开了第一届代表大会，但后续的行为和他们可能开展的合作项目我们也是表示持续关注。

    总体宏观是给予支持和鼓励的，在技术方面出台了相关的方案进行规划和引导。代表性项目是Gamma O平台，这是一个金融机构的科技AppStore。银行可以调用这个平台上呈现出的金融机构和平安一账通自身研发的标准化产品和方案并在这个平台上发布其定制化的产品需求，这个平台会借助一些安全规范和授权协议对开放者进行层层筛选，以从中选出更适合他们的产品和服务。

启示与建议

一是未来的方向会继续鼓励开放的，开放是必然趋势，要坚定持续走下去。二是对行业自身的应用来说，加密匿名算法等这些技术后续的落地也需要各方在隐私保护的前提下不断共同探究。三是加强政府引导，优化外部环境，包括对政策框架的完善，对后续数据管理、开放细则和责任共担的引导。四是结合自身国情和银行业风险差异进行分级引导，规划开放的一个状态，这是我们不会一蹴而就，而会结合自身的情况，包括结合银行自身对风险的认知进行逐步的开放。五是完善资质的审核和增强准入的管理，对金融机构和客户都进行一些审核和验证。六是明确开放范围，促进未来对开放的共识，也要进行分步开放。