開放銀行國際監管經驗借鑒

文/董希淼 朱美璇 編輯/韓英彤

近年來，開放銀行（Open Banking）逐步興起。英國、歐盟、澳大利亞、中國香港等國家和地區作為開放銀行的先行者，已經形成了較為完善的監管體系，而我國的開放銀行尚處在探索階段。新冠肺炎疫情暴發以來，“非接觸銀行”服務備受關注，對開放銀行的發展也提出了新的要求。

開放銀行發展及國際監管經驗

開放銀行的監管體系

隨著開放銀行不斷付諸實踐，多個國家/地區開始制定并完善監管框架，構建完整的監管體系。2015年，英國設立開放銀行工作組（OBWG）并發布了《開放銀行標準框架》，指導開放銀行的服務及相關事項，還設立了獨立機構監督管理該政策的落實進程，處理銀行與客戶的糾紛。2016年，新加坡金融管理局聯合新加坡銀行協會發布了《API指導手冊》，對開放銀行各參與主體提出了行動指南及相應的數據安全指導建議。2017年，日本議會通過《日本銀行法案（修正案）》，明確金融公司間實施數據共享，保障用戶能夠管理跨機構賬戶信息。2018年，中國香港金融管理局出臺《香港銀行業Open API框架咨詢文件》及銀行業開放應用程序接口框架，要求銀行提供核心板塊的所有功能，并逐步提供API。2018年，日本金融廳頒布《電子決算新修訂法案》，規定電子支付代理業者登錄使用銀行的數據及服務。2018年5月，澳大利亞政府采納金杜律師事務所的《開放銀行調查建議》，對開放銀行監管框架、監管體系等進行了規范。

開放銀行的數據范圍及權限

在健全的監管體制下，部分國家進一步明確了開放銀行的實施路徑，以及數據的開放范圍及權限。2015年，英國發布《開放銀行標準框架》，將金融數據分為五類：開放數據、客戶交易數據、客戶參考數據、聚合數據和商業敏感數據，并根據每類數據涉及的用戶隱私程度的不同，對第三方機構設置不同的讀寫權限。澳大利亞也將銀行包含的數據范圍進行了分類，并明確規定客戶提供的數據、交易數據等屬于數據共享范圍，而增值客戶數據、聚合數據等因為風險較高，則不能列入銀行數據共享的范疇。2018年，中國香港金管局出臺政策，對金融機構的產品服務提供、訂閱申請API的時間進行了規定，并要求最后賬戶信息和交易類API的實施時間將在政策發布一年內再行決定。實際上，部分國家和地區并未對開放數據的范圍及權限做出限制性規定，如歐盟、新加坡等。

開放銀行的數據安全

為確保數據安全、防止信息泄露，多個國家要求對使用數據的用戶進行身份驗證。英國出于對消費者信息保護的考慮，對訪問數據的第三方服務機構進行了嚴格限制，要求第三方服務提供商在訪問數據前必須獲得相關機構批準，同時還要通過開放銀行的模擬測試。在此過程中，第三方服務提供商也必須保證其業務模式符合PSD2指令，具有完備的安全措施。澳大利亞則先后發布《競爭與消費者法令（2010）》與《隱私法案》等政策法規，以保障開放銀行數據共享時的用戶安全。2017年，美國發布《消費者金融數據共享和整合原則》，賦予消費者對未經授權的信息獲取提出質疑和要求解決爭議的權利。

我國開放銀行存在的主要問題

一是缺乏對開放銀行的政策指導。2018年開始，我國多家大型商業銀行及股份制商業銀行相繼推出開放銀行。但截至目前，我國開放銀行仍處于探索初期階段，主要依靠市場自發驅動來推動金融機構數據共享的進程。由于缺乏宏觀政策引導和自上而下的總體規劃，導致我國開放銀行發展水平參差不齊。一方面，是銀行之間及互聯網公司之間的發展失衡。一小部分大銀行憑借自身規模效應已開始自行搭建開放銀行平臺，而大部分小銀行由于技術限制尚未形成開放體系；同樣，部分大型互聯網公司逐步開始獲取共享信息，并構建起完善的信息處理系統，導致少數大型非銀行支付機構對數據的壟斷。若今后不加以政策引導，這種不平衡將持續加劇。另一方面，是銀行與非銀行機構之間的效益不平等。相比第三方非銀行機構利用開放銀行共享銀行數據、拓展業務范圍，目前銀行尚不能從金融數據共享中獲得更大收益，反而可能面臨用戶減少、利潤損失等風險。

二是監管體系尚不完善，監管框架較為單一。現階段，我國對開放銀行尚未形成全面、完整的監管框架。一方面，我國的開放銀行監管政策較為單一。2020年2月，中國人民銀行發布《商業銀行應用程序接口安全管理規范》，細化了商業銀行API的類型與安全級別、安全設計、安全部署、安全集成、安全運維、服務終止與系統下線、安全管理等安全技術與安全保障要求。這是我國首次對API做出規范，開放銀行由此有了明確的技術標準。但與英國等發達國家相比，我國開放銀行監管框架仍較為單一。另一方面，我國開放銀行監管框架界限劃分也不明確。目前我國各金融機構主要依靠市場驅動推進開放銀行，缺乏明確的監管主體。此外，互聯網公司等第三方機構尚未被列入我國的監管框架，而互聯網公司作為數據共享的重要一環，其風控能力、合規要求等與開放銀行的信息安全息息相關。在這一背景下，一旦風險較高或資質不健全的機構進入市場，極易造成數據濫用、信息泄露等現象。

三是數據開放規則尚不明確。開放銀行的核心在于金融數據的開放共享，因此，數據規范及管理將直接影響開放銀行的安全性及穩定性。目前，我國尚未對金融數據的開放規則做出明確規定。一方面，數據的開放范圍及權限尚未確定。如果信息可任意共享，很可能會導致金融行業重要數據的泄漏、信息真偽難辨，甚至對我國金融體系的安全造成威脅。另一方面，我國仍缺乏對數據使用及存儲等方面的要求，一旦用戶信息泄露，或使用偽造數據，將直接影響正常數據的使用，并給開放銀行的發展帶來消極影響。這需要對共享數據的使用時間進行限制，以有效防止數據被惡意篡改或儲存。此外，現實生活中，數據分散在政府部門、金融機構、互聯網平臺之間，數據整合在法律、技術和利益等方面也存在亟待攻破的難關。

四是數據保護意識、風險防御能力薄弱。銀行客戶數據可以讓更多金融機構深入挖掘客戶信息、拓展業務邊界，但同時也帶來了保障客戶信息安全的責任與義務。一方面，數據訪問主體增多會加大數據的安全風險。開放銀行通過API等技術連接起多個數據共享主體，任一關聯方的連接處如果出現安全問題或授權設置不正確，都可能給整個系統帶來數據泄漏的風險，使客戶信息被非法獲得。另一方面，互聯網渠道本身也存在數據安全風險。開放銀行接口屬于外部服務，存在訪問漏洞等安全隱患，一旦該漏洞被發現并被惡意利用，將導致服務器入侵等不利后果。其他問題還包括：我國對開放銀行尚未建立用戶授權收回機制，導致用戶授權時很難自主選擇或進行更改；我國也未建立對開放銀行爭議責任識別和劃分的法律體系，在用戶利益受到損傷后，難以通過合法有效的渠道加以解決。此外，開放銀行本身也存在技術漏洞、系統失靈、風險控制等操作風險及系統性風險，而我國對這些風險的防控能力仍然有所欠缺。

對我國發展開放銀行的建議

新冠肺炎疫情暴發后，“非接觸銀行”服務需求大大增加。我國銀行業應進一步踐行開放銀行理念，融入場景，加強合作，構建集金融服務和非金融服務為一體的非接觸服務生態系統，以全方位、一體化來滿足客戶的各種需求。為此，應加強相關制度建設，完善監管框架，強化風險管理，推動數據開放。相關建議如下：

一是出臺針對開放銀行的法律法規，推動數據開放共享。2019年8月，央行發布《金融科技（FinTech）發展規劃（2019—2021年）》，提出要借助應用程序編程接口（API）、軟件開發工具包（SDK）等手段，深化跨界合作，借助各行業優質渠道資源，打造新型商業范式，實現資源最大化利用，構建開放、合作、共贏的金融服務生態體系。這標志著國家將助力開放銀行的發展，進一步推動數據共享與合作。而基于我國開放銀行目前處在發展初期，因而在推進的進程中，一方面需要市場的包容；另一方面則需要一套完整的法律體系作為支撐。就前者而言，開放銀行作為降低金融行業壁壘、減少金融機構不必要成本的一項重要舉措，政策應秉持包容的態度，發揮市場驅動效用；各金融機構則應及時把握市場運行規律，適應市場發展趨勢，并適當結合監管政策，加快開放銀行的發展進程。就后者而言，法律是一切新興事物平穩發展的基礎，健全的法律體系對于保障開放銀行行穩致遠不可或缺。鑒此，國家應盡快出臺針對開放銀行的政策指引及綱領性文件，明確監管主體，制定開放銀行的推進規劃，協調和保障銀行與第三方機構間的利益關系，形成開放銀行與各參與方協同推進、互利共贏的新格局。

二是完善開放銀行的監管框架，制定數據共享規則。2020年4月，《中共中央 國務院關于構建更加完善的要素市場化配置體制機制的意見》發布，將數據作為一種新型生產要素，要求充分發揮數據對其他要素效率的倍增作用，培育發展數據要素市場，使大數據成為推動經濟高質量發展的新動能。目前我國只是出臺了API接口技術標準，開放銀行監管框架較為單薄，在一定程度上制約了開放銀行的發展。鑒此，監管部門應在API接口技術指標的基礎上，進一步對監管范圍進行明確，重點是將第三方機構納入監管范疇，厘清銀行與第三方機構間的法律關系，以減少由于信息濫用、盜用等產生的不安全問題。與此同時，監管部門還應盡快出臺開放銀行金融數據共享業務準則，明確數據的開放范圍及權限，以減少數據冗雜、數據濫用對數據共享的負面影響，促進開放銀行技術標準化體系的發展，進而建立起科學的標準化框架體系。

三是注重用戶信息監管保護，推動數據有序開放。2020年2月，央行發布《個人金融信息保護技術規范》，從安全技術和安全管理兩個方面明確個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等環節的安全防護要求。監管部門應進一步加強對開放銀行用戶信息的保護，建立健全安全性評估及技術安全性指標體系，完善信息發布和開放服務風險補償機制。其重點是，建立開放銀行爭議責任識別及處理的法律規范，為用戶提供糾紛解決渠道。從歐盟發布的《通用數據保護條例》（GDPR）看，其將一系列新興支付方式納入了監管范圍，并對數字及網絡安全提出了非常嚴格的監管要求。對此，應該看到，信息安全固然需要堅持，但要實現開放銀行理念，也需要有序推動數據的開放共享。因此，針對用戶信息的安全保護，監管部門應注意維持個人信息保護與數據共享關系的平衡，一方面，可根據用戶信息敏感性差異，開展不同程度的數據共享及保護；另一方面，應建立用戶授權收回機制來保障金融消費者的合法權益，同時對第三方機構有權獲取的數據類型、數據內容、儲存時間等做出嚴格規定，以確保數據共享是在用戶授權的前提下有序進行的。

四是加強對開放銀行的風險監測，提升其風險管理能力。監管部門應建立健全開放銀行風險監測體系，及時發現并處理風險，提升對風險的管控能力。一方面，要加強對開放銀行安全防控體系的建設力度，定期進行風險排查及安全評估，并根據開放信息敏感程度的不同對開放銀行進行差異化管理，以提升數據的安全性和風控水平；另一方面，鑒于開放銀行蘊含有更多的技術風險、操作風險及系統性風險，因而除了要考慮審慎監管、行為監管外，還要充分借助監管科技（RegTech），來提升監管能力和效率。具體而言，可以運用區塊鏈等技術手段，構建以數據驅動監管為核心的智能化實時監管，形成開放銀行各參與方的互聯機制，以打破傳統金融監管的困境。

鑒于開放銀行涉及的參與主體范圍廣泛，各主體的風險識別、防控手段又存在較大差異，因而對開放銀行風險監測和持續監管還應展開進一步的探索。