编者按:2019年11月19日,巴塞尔银行监管委员会发布了《开放银行及应用程序编程接口(APIs)报告》,介绍了巴塞尔委员会成员国内开放银行业务发展情况及API应用情况。在国内,开放银行方兴未艾。2018年,包括建设银行、招商银行、浦发银行等多家商业银行推出开放平台。有人说,2018年是"中国开放银行元年"。本期选译《开放银行及应用程序编程接口(APIs)报告》的摘要部分,希望与读者分享国际前沿的开放银行框架等研究成果。
近年来,在巴塞尔银行监管委员会(下称“委员会”)成员国众多司法辖区内,开放银行业务(注释1)不断发展,形成趋势,各成员国政府采取了一系列行动加以应对。在本报告中,委员会重点关注与“客户许可的数据开放”有关的开放银行业务。所谓“客户许可的数据开放”是指客户直接授权,或通过银行授予第三方公司(注释2)访问数据的权限。委员会认识到开放银行对银行和银行监管的影响,认识到银行及其监管者了解开放银行业务的重要性,决定开展监督工作,其中监督重点为开放银行的发展和应用程序编程接口(API)的应用(这一部分内容也是委员会《关于“金融科技发展对银行及其监管者之影响”的稳健做法》(注释3)文件中的重点)。委员会从各成员国(注释4)收集了当前实践的信息,并与行业从业者进行了讨论,研究了开放银行在委员会监管范围内的演变情况,发现了开放银行对银行和银行监管者的潜在影响。以下是关于开放银行框架的主要发现,以及银行及其监管者面临的相关挑战。1.传统银行正向开放银行转型
银行向第三方开放其持有的客户许可数据已是司空见惯,但数字设备应用的增长以及数据聚合技术的迅速发展,正改变着全球零售银行的服务。银行向第三方开放的客户许可数据被用于构建应用程序,改善服务,发明更加高效、便捷的支付手段,以提高账户持有人财务透明度,提供新的、改进的帐户服务,并为营销和交叉销售提供机会。许多司法管辖区已经采用或正在考虑采用开放银行框架,以要求、推动或准许银行向第三方开放客户许可数据。2.在不同的司法管辖区内,开放银行框架的发展阶段,监管方式和监管范围方面不尽相同各成员国政府在各自的司法管辖区内已经采取,或正考虑采取与开放银行有关的一系列行动。部分司法管辖区已形成规范,有的采取规定性方法,要求银行向第三方开放客户许可数据,并要求期望访问此类数据的第三方在特定的监管机构注册;有的则采取推动性办法,如发布指南、推荐标准,以及发布开放的API标准和技术规范等。其余则遵循市场驱动原则,目前并无明确的指导或约束政策。在许多司法管辖区,开放银行仍处于发展初期。约半数的成员国观察到,在其辖区内,开放银行业务并无显著发展。鉴于这些辖区内的开放银行框架和举措仍处于实施初期,有关银行实践和市场发展的重要活动或数据仍有待观察。
在平衡银行的安全性和稳健性,鼓励创新和消费者保护的过程中,每种监管方式都有其优点和挑战。在采用市场驱动方法的辖区内,几乎没有开放客户许可数据的相关要求,但以数据驱动的金融服务仍有一系列以消费者为中心的选择。具有更明确的开放银行框架的辖区则指出,拥有清晰、一致的预期和标准化API,开放银行业务更加具有效率和优势。但目前尚不清楚这些开放银行框架是否由消费者需求和市场发展所驱动,或是否会拉动消费者需求和推动市场发展。
- 开放银行框架的范围和要求也各不相同。如欧盟修订的《支付服务指令(PSD2)》之类的某些框架,仅适用于特定类型的数据(如支付处理数据),并为第三方提供读写数据的访问权限。《支付服务指令(PSD2)》并不阻止其辖区内成员设置更多的限制。例如,英国的开放银行计划还要求包含有关支行和ATM机的位置,银行产品和费用等公开信息。相比之下,为了实现数据聚合,澳大利亚的框架提出“只读”权限,而该框架最终将被应用到银行业以外,例如电信和能源行业。
许多采用开放银行框架的司法管辖区也已更新,或计划更新其数据或隐私保护法。在部分管辖区中,数据隐私类法案以客户拥有数据所有权、控制权的原则为基础。其他一些法律框架将银行(有时是第三方)视为数据所有者,但将此类数据的使用权限制在客户同意的范围内。部分司法管辖区的同意规则还限制向第四方开放数据,对于超出客户最初许可范围转售客户数据也有限制。由于开放银行的多学科特征,多个机构可以在各自管辖范围内,在处理向第三方开放客户许可数据的相关问题上发挥作用。相关机构可能包括银行监管机构、竞争监管机构和消费者保护机构等等。鉴于所涉及的机构种类繁多,这些机构的任务也各不相同,因此需要加强协调,以解决监管方面可能出现的不一致或漏洞。5.开放银行业务给客户、银行和银行系统带来了潜在收益,同时也带来了风险与挑战
许多银行承认,开放银行有可能改变银行服务和银行业务模式。然而,随着客户许可数据开放度的提高,银行与各方之间关联性日益增强,银行和银行监管机构必须更加关注随之而来的风险。在不断变化的数字环境中,为了保持竞争力和盈利性,银行可能面临采用必要策略方面的挑战。这些挑战包括竞争加剧、由于新型竞争对手(提供金融服务和其他类型服务的公司,如会计、税务、财务咨询和营销等金融科技公司)的出现而造成的收入减少和存款流失。数据开放带来了许多好处,但也导致网络攻击范围更加广泛。第三方收集的数据,无论是通过屏幕抓取、逆向工程还是通过API的标记式身份验证法(tokenised authentication),都可能被窃取或泄露。此外,随着更多的数据向更多的人开放,数据泄露发生的可能性增加,因此有效的数据管理变得更加重要。8.开发客户许可数据开放API,仍面临构建和维护API的时间长、成本高,以及API通用标准缺失等问题在屏幕抓取或逆向工程仍然普遍存在的司法管辖区,银行面临着平衡安全性和易用性的挑战。银行通常(在某些辖区内)被要求使用更安全的方法来开放某些特定类型账户的数据,例如通过API进行标记式身份验证,而非通过屏幕抓取或逆向工程。这些安全方法使银行能够更好地控制其所开放数据的类型和范围,并实现更安全的准入管理和监控。此外,API为第三方和客户群提供了一些利好,包括效率、数据标准化、客户隐私和数据保护等方面的改善。然而,API普遍使用仍然带来一些挑战,如建造和维护API的时间和成本控制(特别是在与多个组织进行双边合作的情况下),一些司法管辖区缺乏普遍接受的API标准,小型银行开发和采用API的经济成本等问题。9.对第三方的监督有限,特别是在银行与第三方没有合同关系,或者第三方本身没有监管授权的情况下司法管辖区通常对银行的数据传输、存储和其他信息安全要求有标准,但这些监管要求大多适用于银行,不一定适用于开放银行业务模式中的非银行第三方参与者。开放银行模式中存在不同合作形式的第三方。第三方可能包括直接为消费者提供服务的金融科技公司、数据聚合与中介公司,以及与银行没有合同关系的其他方。第三方还可能包括由特定当局授权或许可的非签约实体。在没有开放银行框架界定的辖区内,由于缺乏与银行的合同或其他监管约束,很难提出对于这类第三方的要求或期待。此外,第三方可能在银行不知情的情况下,与第四方进一步合作并向其开放从银行获得的客户许可数据。
在缺乏合同关系的情况下,银行很难对这类第三方实施监督和监管。在许多情况下,客户直接与第三方公司接触,因此,银行与第三方没有直接的合同关系。
对第三方的监督有赖于与各司法管辖区的监管框架,和银行与第三方之间的合同关系。许多银行监管机构通过对银行的外包预期来执行安全和管控要求,但对第三方进行直接监督的可能性极低。与银行自身的第三方监管挑战类似,银行监管者也发现,在银行与第三方没有签订合同,或者在银行与第三方的关系不属于现有监管期望的情况下,很难强制执行监管期望。
10. 因开放银行涉及多方合作,在发生财务损失、数据开放失误或敏感数据丢失时,难以确定责任归属在开放银行模式中,因金融服务供给中涉及多方及多个中介,一旦出现问题,更难确定责任归属和对客户的损失赔偿额。各司法管辖区内客户损失赔偿制度的清晰度及细致程度也各有不同,某些辖区内的制度,并未将开放银行业务模式中可能发生的情况纳入考虑。11.在已经建立责任规范的司法管辖区,银行也可能面临声誉风险许多银行将自身视为客户数据的保管方,而客户也十分信任银行可以安全保管个人数据信息。因此,出现错误转账或数据泄露时,即使可能是第三方的责任,客户也常常最先向持牌机构(如银行)投诉或与持牌机构发生纠纷。1 “开放银行”被定义为:“向第三方开发者及公司开放银行所有的客户许可数据,并利用数据构建应用软件及服务,包括实时支付,提高账户持有人财务透明度,营销,以及交叉销售机会等”。不同司法管辖区对开放银行的定义亦有不同。2就本报告而言,“第三方”是指不属于受监管银行机构的任何外部法律实体。第三方可以是受监管实体(如银行、其他受监管金融公司)或非受监管实体(如金融技术公司、数据聚合商、商业合作伙伴、供应商、其他非金融支付公司)。3 巴塞尔银行监管委员会《关于“金融科技发展对银行及银行监管者之影响”的稳健做法》(2018年2月19日)。复制链接至浏览器可查看:www.bis.org/bcbs/publ/d431.htm4 本报告集中关注受委员会成员国监管的银行所提供数据中出现的问题。编译:王偲竹、刘文婕、姚丽蓉
(超识云数科张鲲对此文亦有贡献)
来源:国际清算银行(Bank for International Settlements, BIS)
本期责编:姚丽蓉 李润东
主编:闵文文 朱霜霜
本栏目由金融科技50人论坛与人民大学国际货币研究所共同出品
央行科技司李伟:做好数据治理 更快更好地推进数字化转型
研究报告 | 《中国条码支付发展报告(2019)》全文
调查研究 | 中国互金协会:区块链技术在金融领域的应用
中国人民银行:在北京市率先开展金融科技创新监管试点
银行科技 | 央行科技司杨富玉:强化标准引领 加快银行数字化转型
“金融科技50人论坛”成立两年啦,特别感谢热心读者对我们的支持,今天开始建立“金融科技·读者微信群“,发布研究成果、促进交流合作、赠送金融科技图书,欢迎您的参与。
入群方法:加群主为微信好友(微信号:CFT50-zhangqi),添加时备注个人姓名(实名认证)、单位、职务等信息,经群主审核后,即可被邀请进群。欢迎读者朋友多多留言与我们交流互动。
“金融科技50人论坛”(CFT50):于2017年4月22日在北京发布成立。CFT50汇聚了国内金融科技一线的管理层人士、专家学者和企业领袖,共同探究前沿课题、助力产业实践,为金融科技领域的发展贡献力量。论坛紧密围绕金融科技理论、实践与政策前沿,努力建设成为服务于“政产学研用”的民间独立优秀学术平台,并积极推动金融科技领域的交流协作与教育培训。参与出品的《中国金融科技运行报告》《中国金融科技青年论文》《CFT50金融科技资讯》《环球财经·金融科技专栏》等学术成果,在金融科技领域具有重要的影响力。