數字化轉型背景下開放銀行的推進邏輯與問題研究

◎文/王 靜

一、引言

2018年巴塞爾委員會在發布的報告《金融科技發展對銀行和銀行監管機構的影響》中指出，技術進步可能導致出現“分布式銀行場景”和“降級銀行場景”。“分布式銀行場景”是指金融服務在專業金融科技公司和現有銀行之間的分散化；“降級銀行場景”是指現有銀行成為商品化服務提供商，客戶關系由新的中介機構擁有。立足于數據分享機制的開放銀行在眾多國家的發展即是最大化數據價值的典型例子。技術進步使得數據的價值凸顯并不斷被開發，雖然國內金融業數據開放與數據保護的基礎設施與營運模式尚不成熟，但銀行數字化轉型發展成為必然。因此，本文探討開放銀行在全球的推進邏輯及發展中的關鍵問題，以期對我國銀行數字化轉型提供更多參考。

二、開放銀行界定與推進邏輯

（一）開放銀行的界定

隨著金融科技的發展，商業銀行面臨數字化轉型，在實踐中或是對已有產品、業務流程及渠道進行數字化改造，或是探索數字化、開放化的商業模式變革，發展平臺化、場景化的金融服務模式。開放銀行屬于后者，即由銀行自建或第三方機構開發的即插即用式的金融科技API（Application Programming Interface，應用程序接口），在獲取金融消費者授權后通過接入銀行，共享銀行開放的金融數據，讓第三方開發人員開發金融應用和服務。按照英國開放銀行的實施機構OBIE （Open Banking Implementation Entity，開放銀行實施機構）的定義，開放銀行是一種為包括小企業在內的客戶提供全新、安全的信息共享，從而方便為新舊公司提供超快捷支付方法和創新銀行產品的方式。

（二）開放銀行在全球的推進邏輯

雖然與第三方共享銀行擁有的客戶許可數據已存在多年，但數字設備使用的增加和快速發展的數據聚合技術正在改變全球的零售銀行服務業。2016年之后，基于數據共享理念的開放銀行在歐美國家興起，旨在通過開放實現數據的共享，實現數據價值最大化，進而確保金融領域能夠充分競爭并更具創新性，提高中小企業生產率和金融消費者福祉。考慮到銀行擁有最主要的金融數據源，推動數據共享的行動以開放銀行為切入點展開，推進邏輯主要在于兩個方面：

1.提升金融體系效率與創新能力

無論是在金融基礎設施建設還是在科技的應用上，發達經濟體的金融體系通常被認為是比較有效率的。但Philippon（2015）發現，1878—2008年間美國金融中介的單位成本一直保持在2%左右，Bazot（2013）對于德國、英國和法國的研究也證實了這一點。近期的研究同樣發現許多發達經濟體已經到達了一個臨界點——更多的金融服務是無用的或沒有幫助的，這說明信息技術的進步并未傳遞到金融服務的終端用戶。金融服務進步帶來的社會福利改善，在技術上可行，但只能在新企業進入該行業后才可能發生。以率先推行開放銀行戰略的英國為例，2013年英國競爭和市場管理局（CMA）面向個人和中小企業進行銀行服務情況市場調查，發現用戶更換銀行的比例極低（3%），形成傳統大型銀行競爭不充分、新興小型銀行發展艱難、消費者支出高于合理價格且未能從新服務中獲益的局面。CMA為實現市場公平競爭并使用戶享受到技術進步帶來的好處，2015年推出銀行業數據共享與數據開發計劃，目的是在客戶同意且兼顧個人隱私保護的前提下，營造一個開放的數據環境，銀行將客戶信息開放給第三方服務業者，如金融科技企業使用，以便讓其提供給消費者更好的服務。

新興經濟體與發展中經濟體在開放銀行上的實踐更多是場景驅動以及規模化應用。金融科技企業通過連接消費者的日常生活場景，提供支付服務，在客戶獲取及黏度上升基礎上，進一步提供投資、保險等金融服務。

2.最大化數據價值

數據既是金融交易的結果，又可用于后續金融服務的提供。數據本身具有價值，是能夠以零邊際成本獲得的非競爭品，因此，對數據的廣泛訪問是有益的。過往傳統金融機構對于自身業務保護的考量，在數據開放共享上持有保守態度，數據壟斷、數據割裂形成的數據孤島現象嚴重，數據庫重復建設，造成數據使用的低效率以及對消費者的不合理定價。數據的核心價值在于連接與共享，金融數據打通后和應用場景結合才更實用（肖鋼，2020）。數據連接把不同來源的數據進行匹配和融合，強調數據觸及和返回的廣度和豐富程度。開放銀行本質上是引入競爭，打破傳統銀行的數據資源壟斷，創造數據共享機制，以確保數字公司持續創新；支持新進入市場的企業，促進數據價值的充分挖掘，降低客戶的轉換成本并確保消費者權利受保護并能獲得更好的產品。從商業的角度來看，數據可以作為新產品和商業模式的催化劑，通過與金融科技企業的合作，催生出更為開放多樣的銀行業態。

國外的開放銀行大多是自上而下頂層推動，強調數據的共享；國內的開放銀行一部分是市場自發推動，更多的是銀行服務和產品的輸出，依賴場景提供（各國家/地區開放銀行的比較如表1所示、數據共享特點如表2所示）。

表1 各國家/地區開放銀行開放的銀行數據與活動類型以及監管情況

表2 主要國家/地區數據共享進展特點

三、開放銀行推進中的關鍵問題

開放銀行圍繞數據共享展開，推進中的主要問題涉及到數據確權和授權、金融消費者隱私保護、安全性問題以及監管挑戰。表3中列出了數據共享的潛在優勢與弊端的對比。

表3 數據共享的潛在優勢與弊端

（一）數據確權和授權

首先需要明確數據的范圍、來源、類型和所屬權。從數據產生的類型來看，數據可以分為：①用戶基本資料數據，包括身份信息、生物識別信息，姓名、身份證、住址、通信聯系方式、指紋、聲紋、虹膜、面部特征（這些數據的所有權應歸于用戶）；②用戶在銀行的交易原始數據，包括交易記錄、信貸記錄、征信信息、流水記錄；③用戶原始交易數據的二次加工；④銀行金融產品的數據（2018年底，新加坡金融管理局MAS開放42個應用程序接口查詢金融業公開信息）。數據的確權應根據數據所屬類型進行，涉及的權利包括所有權、知情權、使用權、攜帶權等。以歐盟和美國兩種不同方式作為對比來看：

歐盟是通過《通用數據保護條例》（GDPR）和《非個人數據在歐盟境內自由流動框架條例》，確立了個人和非個人數據的架構。任何已識別或可識別的自然人相關的個人數據，其權利歸屬于該自然人，享有包括知情同意權、修改權、刪除權、拒絕和限制處理權、遺忘權、可攜帶權等一系列廣泛且絕對的權利。針對個人數據以外的非個人數據，企業享有“數據生產者權”，但權利并非是絕對的。

與歐盟不同的是，美國在數據確權上采取的方式為：從立法層面看，將個人數據置于傳統隱私權的架構下，使用“信息隱私權”來化解互聯網對私人信息的威脅，同時，通過《公平信用報告法》《財務隱私法》《有線通信信息法》《健康保險攜帶和責任法》等，在金融、醫療、通信等領域制定行業隱私法，配合網絡隱私認證、建議性行業指引等行業自律機制。

（二）金融消費者隱私保護

在數據共享中，金融消費者隱私保護最受關注。消費者所使用的服務類型大致可分為生活方式應用（如網約車服務）、商務服務（如會計、費用管理、稅務和預算服務）、支付服務、貸款服務、投資的產品和服務、賬戶服務等。實踐中，App（應用程序）私自或超范圍收集個人信息、過度索權、侵害用戶權益等問題（具體見表4）突出。例如，為了評估借款者的信譽，貸款者并不需要知道他們的社交習慣或旅行計劃。同理，并不是所有類型的服務提供商都有權訪問客戶的財務數據。因此，開放銀行的監管必須限制可以傳輸的數據范圍（如金融交易數據）以及可以共享這些數據的機構類型，監管機構需要明確誰可以擁有這些數據以及如何存儲和使用這些數據。

表4 工信部整治的App主要違規內容

（三）應用程序接口安全性問題

開放銀行給銀行和客戶帶來潛在的好處，一是可共享客戶許可的數據增多，二是參與提供金融服務的各實體之間的聯系日益密切。與此同時，風險也伴隨而來，巴塞爾委員會確定的與應用程序接口使用相關的各種潛在操作風險、運營問題和網絡安全問題，例如數據泄露、誤用、篡改、拒絕服務攻擊和未加密登錄。其他類型的風險還包括基礎設施故障、執行和操作速度、中間人攻擊、令牌（Token）攻擊和互聯網協議地址欺騙等。目前，部分銀行用來降低上述風險的機制包括更嚴格的訪問權限、授權的端到端加密、認證機制、漏洞測試、建立審計跟蹤、設置令牌過期時間、互聯網協議地址白名單、防火墻和應用程序接口相關網絡事件監控。但部分銀行使用現有的風險管理政策來應對開放銀行風險，將會形成潛在隱患，危害金融安全。對應用程序接口進行單獨評估，特別是在網絡安全和操作風險方面是非常有必要的。

（四）監管挑戰

首先是客戶授權可共享數據的增加和參與共享的人增多，會增加數據泄露的風險，因此，亟需有效的數據管理；其次是銀行與各方之間不斷增強的連通性帶來風險，監管機構需從宏觀和微觀審慎管理的視角去評估并防范相關風險；再次是需要統一應用程序接口標準和技術規范，不同的應用程序接口標準會導致第三方效率低下或數字金融生態系統分裂，增加監管難度；最后是開放銀行的多學科特征需要更高層次的監管協調，譬如在解決銀行與第三方共享客戶許可數據方面，涉及的監管部門包括了銀行監管部門、競爭主管部門、消費者保護主管部門，考慮到涉及不同權限以及不同權限任務，就需要在監管上形成協調，以確保監管的一致性。

四、建議

（一）構建完整數字金融生態體系

全面的開放銀行框架應包括一系列問題的規則、標準和/或行業實踐及相應的監管機構。參與開放銀行業務的監管機構包括：①銀行監管機構，設定要求并監管被監管銀行的傳統機構；②應用程序接口或技術標準設置機構，建立標準和認證實體的機構；③競爭管理局，監督、促進并在必要時采取行動以確保市場運作良好的管理局；④消費者保護機構，確保消費者不會因組織的壟斷和寡頭壟斷行為、不公平、欺騙或濫用行為而處于不利地位；⑤數據隱私權限，設置與保護個人和/或客戶數據相關的要求的權限；⑥爭端解決機制，為消費者和組織之間的爭端提供調解平臺或過程；⑦其他，對從事開放銀行業務的實體擁有授權的其他機構。

其中，保護客戶的數據應該是首要任務，應定義一個框架，以確保生態系統中的所有參與者都采取必要措施遵守這一規定。雖然客戶通常知道他們的銀行或保險公司持有個人信息，但來自“大型科技”公司的服務用戶并不總是有這種洞察力。因此需要創建一個數字金融生態系統，確保安全的數據共享，并且需要明確誰可以擁有這些數據以及如何存儲和使用這些數據。政府要處理隱私問題、道德問題、倫理問題，明確數據開放范圍和授權問題以及如何開放這些數據，建立治理和糾紛處理機制，納入金融監管，從而形成一個有信任的生態系統。

（二）切實保護金融消費者權益

在金融機構層面，應強化賣者有其責，維護消費者知情權。數據共享的關鍵是數據流通，需要警惕數字服務的“特權濫用”。新興金融機構存在未經授權濫用數據和向第三方非法銷售數據等行為，致使銀行和消費者都面臨數據被竊取和隱私泄露的風險。特別是涉及個人隱私核心領域，應加強保護那些一旦公開或利用會產生重大影響的個人敏感數據，需建立消費者的安全感、信任感，才能推動開放銀行的良性發展。

（三）應用監管科技，加強監管協調

開放銀行給客戶和銀行業帶來了潛在的好處，但也帶來了風險和挑戰。從監管層面來看，首先，要將所有使用開放銀行提供服務的主體全部納入監管范圍，這些主體均需得到監管機構的授權；其次，對如何創造、共享和使用開放銀行數據以及安全傳遞消息標準提供指引；再次，鑒于開放銀行圍繞數據共享展開，在監管方式上，應用監管科技手段實現實時數據監管；最后，開放銀行涉及多方監管部門，需加強監管協調，防止監管重疊與監管空白，實現金融創新與金融安全之間的平衡。