开放银行框架下,银行与监管机构面临挑战
开放银行是当前全球银行业普遍关注的焦点和未来的发展趋势,巴塞尔银行监管委员会重点关注开放银行业务发展和客户许可数据共享方面的监管。国际清算银行发布关于《开放银行业务和应用程序编程接口的报告》(Report on open banking and application programming interfaces)讨论开放银行业务发展与应用程序编程接口(API)的使用,并确定其对银行和监管机构的影响。中国人民大学金融科技研究所(微信ID:ruc_fintech)对报告主要内容进行了编译。
作者丨巴塞尔银行监管委员会
编译丨罗妤
来源丨国际清算银行
开放银行业务是当前的国际发展趋势,近年来,各地当局采取了一系列广泛的行动。在本报告中,巴塞尔银行监管委员会(以下简称“委员会”)重点关注开放银行业务中与客户许可数据共享相关的方面,即客户最初向第三方公司(以下简称“第三方”)授予直接或通过客户银行访问其数据的权限。
委员会认为,银行和银行监管机构必须了解这些开放银行业务的发展情况及其对银行和银行监管的影响。因此,委员会决定开展监测工作,特别是关于开放银行业务的发展和应用程序编程接口(API)的使用。委员会从其成员处收集了有关当前做法的信息,并与行业从业人员进行了讨论,以审查开放银行业务在委员会管辖范围内的发展情况,并确定对银行和银行监管机构的潜在影响。
以下为报告主要发现:
传统银行业正在向开放银行业发展
尽管与第三方共享银行持有的客户许可数据已经进行了多年,但越来越多的数字设备使用和快速发展的数据聚合技术正在改变全球零售银行服务。这种由银行与第三方共享客户许可数据的方式,被用来构建应用程序和服务,为客户提供更方便的支付、更高的财务透明度选项、更先进的账户服务以及营销和交叉销售机会。一些委员会管辖区已采用或正在考虑采用开放银行框架,以要求、促进或允许银行与第三方共享客户许可数据。
开放银行框架在发展阶段、方法
和范围方面因地区而异
有关部门已经或正在考虑在其各自管辖范围内采取一系列与开设银行业务有关的行动。一些区域采取了规定性做法,要求银行共享客户许可数据,并要求希望访问此类数据的第三方在特定监管或监督机构登记。另一些区域采取了一种便利的做法,发布了指南和推荐标准,并发布了开放的API标准和技术规范。其余区域采用市场驱动的方法,目前没有明确的规则要求或禁止银行与第三方共享客户许可数据。
• 在一些辖区,开放银行业务仍处于发展的早期阶段。大约一半的委员会成员没有在其管辖范围内观察到重大的开放银行业务发展。鉴于许多这些法域的开放银行框架和举措仍处于实施的早期阶段,尚未观察到有关银行做法和市场发展的显著活动或数据。
• 在平衡银行安全与稳健、鼓励创新和保护消费者的情况下,每种开放银行业务的方法都有好处和挑战。区域采用市场驱动的方法,很少有与共享客户许可数据相关的要求,但观察到数据驱动的金融服务具有一系列以消费者为中心的选择。具有更明确的开放银行业务框架的区域内可以看到具有清晰一致的预期和标准API的好处和效率。然而,目前尚不清楚这些开放式银行框架是由消费者需求和市场发展推动的,还是将推动消费者需求和市场发展。
• 开放银行框架的范围和要求也各不相同。一些框架,如欧盟修订的《支付服务指令》(PSD2),仅适用于特定类型的数据,如支付处理数据,并为第三方提供对数据的“读”和“写”访问和支付启动。PSD2并不妨碍成员采用更广泛的范围。例如,英国的开放银行倡议还要求包括有关分行和ATM地点、银行产品和费用的公开信息。相比之下,澳大利亚的框架为数据聚合目的提供了“只读”权限,最终将覆盖银行以外的行业,如电信和能源行业。
数据隐私法可以为开放式银行框架提供基础
许多采用开放银行框架的区域也更新或计划更新其数据保护或隐私法。有些管辖区的数据隐私法以客户拥有其数据并有权控制其数据为原则。其他一些法律框架将银行(有时是第三方)视为数据所有者,但将其控制此类数据使用的权利限制在客户提供的同意的范围内。许多区域的规则还对将数据下传给第四方以及将客户数据转售给超出客户初始同意的目的设置了限制。
开放银行的多学科特征可能需要加强监管协调
在每个区域内,由于开放银行业务的多学科特征,多个当局可以在解决与银行与第三方共享客户许可数据有关的问题方面发挥作用。有关当局可以包括银行监管机构、竞争主管机构和消费者保护主管机构等。鉴于所涉及的主管部门的多样性和这些主管部门的不同授权,可能需要加强协调,以解决监管方面的潜在不一致。
开放银行业务给客户、银行和银行系统带来潜在利益的同时,也带来了风险和挑战。
许多银行会承认,开放银行业务有潜力改变银行服务和银行业务模式。然而,银行和银行监管机构将不得不更加关注随着客户许可数据共享的增加以及银行与各方之间连接的不断增强而带来的风险。
以下为银行及监管机构面临的主要挑战:
适应商业模式潜在变化的挑战
在不断变化的数字环境中,银行在采取保持竞争力和盈利所需的战略方面可能面临挑战。所报告的相关挑战包括竞争加剧,在提供金融服务和其他类型服务(如会计、税务、财务咨询和市场营销)的新竞争对手(即FinTech)崛起下,有收入和存款损失的可能性。
在开放银行体系中确保数据和网络安全的挑战
数据共享带来许多好处,但也会导致更大的网络攻击范围。第三方收集的数据,无论是通过屏幕抓取、逆向工程还是通过API的令牌认证方法,都可能被窃取或泄露。此外,随着更多的数据被共享并与更多的参与方共享,数据泄露的可能性增加,因此有效的数据管理变得更加重要。
构建和维护API的时间和成本、缺乏公认的API标准等阻碍API开发的一些挑战
在屏幕抓取或反向工程仍然普遍存在的管辖区,银行面临的挑战是如何在安全性和易用性之间取得平衡。银行通常倾向于,使用更安全的方法来共享某些类型账户的数据,例如通过API进行令牌身份验证,而不是屏幕抓取或反向工程。这些安全方法使银行能够更好地控制共享数据的类型和范围,并实现更安全的访问管理和监控。此外,API为第三方和客户提供了优势,包括在效率、数据标准化、客户隐私和数据保护方面的潜在改进。然而,与API的普遍使用相关的一些挑战仍然存在,即建造和维护API的时间和成本,特别是在与多个组织进行双边合作的情况下。一些区域缺乏普遍接受的API标准,以及小型银行开发和采用API的经济成本都被认为是挑战。
对第三方的监督可以是有限的
区域通常对银行的数据传输、存储和其他信息安全要求有标准,但这些监管要求大多适用于银行,而不一定适用于作为开放银行业务模式一部分的非银行第三方。
• 在一个开放银行模式中,可以有广泛的第三方。第三方可以包括直接为消费者服务的金融科技公司、中介数据聚合公司以及可能与银行没有合同关系的其他方。第三方还可以包括由特定机构授权或许可的非合同实体。在没有明确的开放式银行框架的法律体系中,由于没有与银行签订合同或其他监管控制措施,为这些第三方设定具体要求或期望可能具有挑战性。此外,第三方可以在银行不知情的情况下,与第四方进一步合作并共享从银行获得的客户许可数据。
• 在没有合同关系的情况下,银行可能会发现对这类第三方进行监督和监测具有挑战性。在许多情况下,客户直接与第三方公司接洽,因此,银行与第三方没有直接的合同关系。
• 对第三方的监督可取决于每个地区的监管框架以及银行与第三方之间的合同关系。许多银行监管机构通过外包对银行的期望来执行安全和控制要求,但可能对第三方的监督有限,或没有直接监督。与银行自身的第三方监管挑战类似,根据管辖权的不同,银行监管机构同样发现,在银行与第三方没有签订合同的情况下,或在关系不符合现有监管预期的情况下,很难执行其监管预期。
结论
许多巴塞尔委员会管辖区已经或正在考虑采用某种形式的开放银行业务框架。开放银行框架的范围和实质因国家和区域因素而异,但它们有许多共同的风险和挑战。许多管辖区的法律和监管框架对与银行互动的一些当事方的权限有限。开放银行有可能改变银行服务和银行业务模式。然而,银行和银行监管机构将需要更加关注随之而来的风险:
(i)客户许可数据的共享增加;
(ii)参与提供金融服务的各个实体的连通性不断增强。
以下为部分报告截图
……
获取完整报告
请后台回复“国际清算银行报告”
获取下载链接
END
编辑/罗妤
责编/袁阳
【延伸阅读】