許 可

內(nèi)容提要:伴隨著金融科技3.0與銀行4.0的迅速迭代，金融機構(gòu)與金融科技公司合力掀起了開放銀行的浪潮。世界各國的經(jīng)驗充分表明：開放銀行并非只是企業(yè)創(chuàng)新的結(jié)果，相反，它始終有賴于國家的有效應(yīng)對與調(diào)適。然而，較諸商業(yè)實踐的突飛猛進，我國開放銀行的法律規(guī)則尚付諸闕如。立基于開放銀行的技術(shù)層、內(nèi)容層、組織層，以應(yīng)用程序編程接口、數(shù)據(jù)共享、網(wǎng)絡(luò)平臺為對象的法律框架得以成型，主體平等監(jiān)管、助推而非強制、治理科技優(yōu)位的法律原則得以確立，開放銀行發(fā)展的風險與阻礙最終有望化解。

2018年伊始，一場名為“開放銀行”(open banking)的金融變革引爆全球。作為這一概念的引領(lǐng)者，英國開風氣之先，包括匯豐銀行在內(nèi)的9家機構(gòu)自2018年1月13日起共享彼此數(shù)據(jù)，使英國成為首個落地實施開放銀行理念的國家。2018年生效的歐盟《第二代支付服務(wù)法令》(Payment Service Directive 2,PSD2)，要求銀行向第三方機構(gòu)開放支付接口，以期打造支付領(lǐng)域的全歐盟單一市場。在大西洋的另一邊，美國消費者金融保護局(CFPB)2017年10月發(fā)布金融數(shù)據(jù)共享九條指導(dǎo)意見，保障向第三方共享數(shù)據(jù)時的用戶安全。而當我們把目光轉(zhuǎn)到亞太，不論是澳大利亞、新加坡，還是日本或我國香港地區(qū)，均相繼宣布引入開放銀行機制。

在開放銀行的浪潮面前，我國亦不甘人后。2018年7月，上海浦東發(fā)展銀行推出業(yè)界首個無界開放銀行API Bank；8月，中國工商銀行提出要打造無所不包的開放銀行；9月，招商銀行宣布迭代上線招商銀行App7.0和掌上生活A(yù)pp7.0，借此契機開放用戶和支付體系，實現(xiàn)金融和生活場景的銜接。在這場商業(yè)浪潮中，我們不妨心平氣和地問一句：何為開放銀行？它又將帶來何種法律挑戰(zhàn)？基于這一問題，本文將首先解釋開放銀行的含義和緣起，進而分析其法律架構(gòu)，并在剖析其風險之后，提出中國的回應(yīng)之道。

一、理解開放銀行的興起

(一)開放銀行的層次論

作為一個新興事物，開放銀行尚無權(quán)威的定義。咨詢公司Gartner認為，開放銀行是一種開放化的商業(yè)模式，通過與第三方開發(fā)者、金融科技公司、供應(yīng)商、用戶和其他合作伙伴共享數(shù)據(jù)、算法、交易、流程和其他業(yè)務(wù)功能，重構(gòu)商業(yè)生態(tài)系統(tǒng)，為銀行提供新的價值，增強核心競爭力。(1)See Open Banking: Adoption Increases,but Barriers Challenge Path to Collaborative Openness,available at https://www.gartner.com/en/documents/3869115/open-banking-adoption-increases-but-barriers-challenge-p0,last visited on July 1,2019.也有學(xué)者指出：開放銀行是一種金融服務(wù)平臺，以用戶需求為導(dǎo)向，以場景搭建為載體，通過API(Application Programming Interface，應(yīng)用程序編程接口)或SDK(Software Development Kit，軟件開發(fā)工具包)，在大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)等技術(shù)支撐下，整合內(nèi)外部資源，使銀行更加便捷、智能、開放。(2)參見張歡、陸岷峰：《開放銀行: 歷史現(xiàn)狀和未來趨勢研究》，載《湖南財政經(jīng)濟學(xué)院學(xué)報》2018年第6期。顯然，上述對開放銀行的界定均側(cè)重于經(jīng)濟意義，從法律概念操作性和明晰性出發(fā)，本文嘗試著從下述三個層面給出描述性定義。

1.開放銀行的技術(shù)層：API

開放銀行主要由API技術(shù)驅(qū)動。(3)盡管開放銀行有多種實現(xiàn)路徑，但由于API支持第三方對他方提供的數(shù)據(jù)和功能進行安全、可控和低成本的訪問，故而被廣為接受，以至于開放銀行亦稱“API銀行”。See Brijesh Sivathanu,An Empirical Study on the Intention to Use Open Banking in India,32(3)IRMJ，27-47(2019).所謂API，即一組標準化的函數(shù)設(shè)置，用于管理一個應(yīng)用程序與另一個應(yīng)用程序進行通訊。簡言之，我們可以將API理解為雙方間的“技術(shù)膠水”。供應(yīng)方將自己特定技術(shù)服務(wù)以API的形式開放給需求方，后者按照參數(shù)調(diào)用接口，從而使得不同技術(shù)基于業(yè)務(wù)邏輯和數(shù)據(jù)相互粘合，最終達到數(shù)據(jù)流通和共享。API包含著復(fù)雜的技術(shù)內(nèi)容：(1)安全、高效、高度兼容的數(shù)據(jù)傳輸；(2)精簡和快速交互的數(shù)據(jù)交換；(3)數(shù)據(jù)訪問管理，即通過企業(yè)之間的XML框架或面向消費者的OAuth框架，來決定誰可以訪問哪些數(shù)據(jù)以及如何獲取這些數(shù)據(jù)。(4)See LendIt Fintech,The State of Open Banking,available at https://blog.lendit.com/whitepaper-state-open-banking/,last visited on July 1,2019.作為用戶與產(chǎn)品的樞紐，API發(fā)揮著“去耦合”和“開放”的作用，它一方面將產(chǎn)品分解為賬戶、應(yīng)用和數(shù)據(jù)，另一方面通過建立廣泛的渠道網(wǎng)絡(luò)，以可擴展和安全的方式提升用戶的體驗和福祉。

2.開放銀行的內(nèi)容層：數(shù)據(jù)共享

開放銀行以“數(shù)據(jù)共享”為本質(zhì)。(5)See Brodsky,Oakes,Data sharing and open banking,available at https://www.mckinsey.com/industries/financial-services/our-insights/data-sharing-and-open-banking,last visited on July 1,2019.“銀行業(yè)務(wù)都是由位元和字節(jié)所組成的”，(6)〔美〕克里斯·斯金納：《互聯(lián)網(wǎng)銀行：數(shù)字化新金融時代》，張建敏譯，中信出版社2015年版，第35頁?；ㄆ煦y行首席執(zhí)行官約翰·里德的名言充分說明數(shù)據(jù)在銀行業(yè)中的重要地位。隨著信息技術(shù)的發(fā)展，金融業(yè)務(wù)逐步實現(xiàn)了數(shù)據(jù)集中、業(yè)務(wù)電子化和數(shù)字化，用戶數(shù)據(jù)、交易數(shù)據(jù)、管理數(shù)據(jù)、行為數(shù)據(jù)呈現(xiàn)出爆炸性增長。但是，靜態(tài)的數(shù)據(jù)價值有限，只有自由流通和有效共享，才能最大限度地激活數(shù)據(jù)價值，而這正是開放銀行的優(yōu)勢所在。

首先，作為金融機構(gòu)數(shù)字化轉(zhuǎn)型的高級階段，開放銀行以數(shù)據(jù)為關(guān)鍵生產(chǎn)資料。在大數(shù)據(jù)時代，立足于海量數(shù)據(jù)規(guī)模和多樣數(shù)據(jù)類型，輔以快速的數(shù)據(jù)流轉(zhuǎn)和動態(tài)的數(shù)據(jù)體系，數(shù)據(jù)獲得了前所未有的重要性。(7)參見〔英〕維克托·邁爾—舍恩伯格、肯尼斯·庫克耶：《大數(shù)據(jù)時代》，盛楊燕、 周濤譯，浙江人民出版社2013年版，第4頁。數(shù)據(jù)的收集、匯聚和流通為金融機構(gòu)個性化服務(wù)和風控模型成熟奠定基礎(chǔ)，降低金融服務(wù)成本、促進供需精準匹配，顯著提升了金融運作效率，并經(jīng)由數(shù)據(jù)洞察激發(fā)出新業(yè)態(tài)、新模式，演化出分工更精準、結(jié)構(gòu)更合理、空間更廣闊的開放銀行，最終驅(qū)動實體經(jīng)濟和虛擬經(jīng)濟、區(qū)域經(jīng)濟和全球經(jīng)濟的升級轉(zhuǎn)型和創(chuàng)新跨界。(8)參見許可、尹振濤：《金融數(shù)據(jù)開放流通共享》，載《中國金融》2019年第4期。

其次，數(shù)據(jù)共享是開放銀行發(fā)揮協(xié)同效應(yīng)的關(guān)鍵環(huán)節(jié)。在現(xiàn)代金融業(yè)的運作過程中，商業(yè)銀行、投資銀行、證券、保險所必需的生產(chǎn)要素專用性不斷弱化，使企業(yè)更容易打破組織壁壘、實現(xiàn)規(guī)模經(jīng)濟和協(xié)同效應(yīng)。由此，各種金融業(yè)務(wù)得以在開放銀行的統(tǒng)一平臺上相互支援，通過銷售協(xié)同、運營協(xié)同和管理協(xié)同，提供綜合性、一體化的金融服務(wù)，提升商業(yè)銀行效率和用戶的體驗，最終形成高度協(xié)同性和戰(zhàn)略性的核心競爭力。

最后，數(shù)據(jù)共享提升了消費者的便利程度。開放銀行以“用戶”而非“金融產(chǎn)品”為中心，通過數(shù)據(jù)的整合和透明化，用戶不再需要分別處理多個賬戶，而能夠在一個界面上實時查看所有財務(wù)信息，根據(jù)自身需要，比較選擇產(chǎn)品和管理資產(chǎn)，從而避免透支消費和過度借貸、平衡現(xiàn)金流，做出更明智的金融決策。同時，數(shù)據(jù)在不同企業(yè)之間的流通，使用戶得以無縫切換金融服務(wù)提供商，這無疑為其提供了更廣泛的自由度，并落實了消費者選擇權(quán)。

3.開放銀行的組織層：網(wǎng)絡(luò)平臺

開放銀行秉持 “銀行服務(wù)即平臺”(Banking-as-a-Platform，BaaP)的理念，數(shù)字經(jīng)濟中一種特殊組織——網(wǎng)絡(luò)平臺由此成為其組織形式。然則，何為網(wǎng)絡(luò)平臺？

從技術(shù)維度觀察，網(wǎng)絡(luò)平臺是一套信息網(wǎng)絡(luò)系統(tǒng)，其外在表現(xiàn)為硬件終端、操作系統(tǒng)、應(yīng)用程序APP、用戶端軟件、瀏覽器、搜索引擎、網(wǎng)站，其內(nèi)在功能則是允許大量創(chuàng)新和服務(wù)實現(xiàn)的底層技術(shù)架構(gòu)。(9)參見胡凌：《從開放資源到基礎(chǔ)服務(wù)：平臺監(jiān)管的新視角》，載《學(xué)術(shù)月刊》2019年第2期。從主體維度觀察，網(wǎng)絡(luò)平臺是平臺經(jīng)營者、消費者、供應(yīng)商、勞動者、廣告主、物流商、支付機構(gòu)、債權(quán)人、債務(wù)人等眾多主體所構(gòu)成的復(fù)雜集合。(10)參見張江莉：《互聯(lián)網(wǎng)平臺競爭與反壟斷規(guī)制——以3Q反壟斷訴訟為視角》，載《中外法學(xué)》2015年第1期。從功能維度觀察，網(wǎng)絡(luò)平臺是為網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)購物、網(wǎng)絡(luò)社交等各種網(wǎng)絡(luò)活動提供基礎(chǔ)服務(wù)的服務(wù)提供者，這些基礎(chǔ)服務(wù)包括技術(shù)服務(wù)、數(shù)據(jù)存儲/分析、支付/結(jié)算、物流、認證、征信、金融服務(wù)、糾紛解決、行為管理/調(diào)控。從結(jié)構(gòu)維度觀察，網(wǎng)絡(luò)平臺是互聯(lián)網(wǎng)“分布式結(jié)構(gòu)”之中的“再中心化”，是網(wǎng)絡(luò)的關(guān)鍵節(jié)點。

作為網(wǎng)絡(luò)平臺，開放銀行具有如下特征：(1)多邊性。開放銀行作為“媒介者”(matchmaker)，同時給多方提供產(chǎn)品或服務(wù)，并使其在平臺中相互交流或交易。(11)參見〔美〕戴維·埃文斯、理查德·施馬蘭：《連接：多邊平臺經(jīng)濟學(xué)》，張昕譯，中信出版集團股份有限公司2018年版，第242頁。對于第三方合作者，商業(yè)銀行通過API向其集成開放數(shù)據(jù)和業(yè)務(wù)功能；對于消費者，商業(yè)銀行在不同渠道上布局智慧營銷平臺，根據(jù)其需求定制增強型服務(wù)產(chǎn)品，并吸引之前接觸不足的客群，在獲取外部流量的同時提升存量用戶價值。(2)交叉網(wǎng)絡(luò)外部性(Cross-group network externalities)。開放銀行的產(chǎn)品或服務(wù)的價值，不但隨著平臺參與者數(shù)量的增加而增加，其中用戶的效用，還會隨著其他類型參與者，如金融科技公司的增加而增加，反之亦然，從而具有“交叉”性質(zhì)。(3)協(xié)同性和生態(tài)性。這里的“協(xié)同性”既體現(xiàn)為平臺產(chǎn)品或服務(wù)之間的協(xié)調(diào)一致和創(chuàng)造性組合，也體現(xiàn)為平臺不同參與者之間的相互影響與相互合作。就商業(yè)銀行而言，其利用云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)提供開放智慧的金融服務(wù)，由單一的產(chǎn)品服務(wù)輸出向嵌入場景的服務(wù)模式轉(zhuǎn)型，實現(xiàn)客群生態(tài)化。就金融科技而言，其不必實際控制用戶賬戶，就可以提供虛擬財務(wù)服務(wù)，從而規(guī)避了復(fù)雜和昂貴的銀行合規(guī)要求。生態(tài)性意味著開放銀行以“利他”與“分享”為宗旨，以建構(gòu)開放、普惠和繁榮的在線生態(tài)系統(tǒng)為依歸。開放銀行不被任何一方所獨占，不是給予特定主體的政策傾斜，更非金融機構(gòu)和金融科技公司零和博弈，而旨在搭建共生共存的金融生態(tài)圈，推動金融機構(gòu)和金融科技公司更深層次的協(xié)作和競爭，提升服務(wù)的彈性、多樣性和普惠性，最終追求用戶利益最大化。

(二)開放銀行興起的動因

開放銀行在全球范圍內(nèi)的興起，并非突發(fā)事件。早在2004年，國際支付巨頭PayPal就推出了PayPal API，由此成為開放銀行的先聲。2011年，法國農(nóng)業(yè)信貸銀行開始提供SDK和應(yīng)用商店服務(wù)，第三方開發(fā)者借此能夠更便捷地構(gòu)建新的移動程序，更好地管理用戶的財務(wù)狀況。2014年，英國開放數(shù)據(jù)研究所(ODI)的研究顯示：開放數(shù)據(jù)后，銀行競爭力得以提升，中小企業(yè)生產(chǎn)效率也有所提高。在開放銀行工作組(OBWG)和英國競爭和市場委員會(Competition and Markets Authority)的推動下，“開放銀行計劃”在2015年應(yīng)運而生。

1.金融科技3.0的驅(qū)動

回溯歷史，開放銀行是金融科技(FinTech)迭代的產(chǎn)物。2016年3月，金融穩(wěn)定理事會發(fā)布了《金融科技的全景描述與分析框架報告》，把金融科技定義為技術(shù)帶來的金融創(chuàng)新，通過創(chuàng)造新的業(yè)務(wù)模式應(yīng)用流程或產(chǎn)品，深刻影響金融市場、金融機構(gòu)和金融服務(wù)的提供方式。其實，從18世紀末的電話下單，到世界上第一張信用卡——大來卡(Diners Club)，再到全球銀行間金融通信系統(tǒng)(SWFIT)，科技與金融的結(jié)合由來已久。到了20世紀80年代，金融服務(wù)行業(yè)就已成為全球信息技術(shù)產(chǎn)品和服務(wù)的最大購買方。(12)參見許多奇：《金融科技的破壞性創(chuàng)新本質(zhì)與監(jiān)管科技新思路》，載《東方法學(xué)》2018年第2期。按照技術(shù)的演進及其功能，我們將金融科技大致分為三個階段。(13)See Ross Buckley,Douglas Arner,Janos Barberis,The Evolution of Fintech: A New Post-Crisis Paradigm?47 Georgetown Journal of International Law,1271-1319(2016).其中，1.0階段體現(xiàn)為將通信設(shè)施和產(chǎn)品導(dǎo)入金融服務(wù)之中；2.0階段體現(xiàn)為金融的互聯(lián)網(wǎng)化，用戶得以通過更多樣和更便捷的途徑獲得金融服務(wù)；3.0階段則是人工智能、區(qū)塊鏈、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù)主導(dǎo)下的根本變革，金融產(chǎn)品設(shè)計、生產(chǎn)、銷售和服務(wù)的全產(chǎn)業(yè)鏈將與科技深度融合，使得金融成本降低和效率提升成為可能。作為依托于大數(shù)據(jù)分析、分布式系統(tǒng)和移動互聯(lián)網(wǎng)的商業(yè)模式，開放銀行正是在金融科技2.0階段萌生，并在3.0階段成熟。

2.銀行4.0的來臨

開放銀行也是銀行自身變革的關(guān)鍵一步。2008年，馬云在第七屆中國企業(yè)領(lǐng)袖年會上發(fā)出豪言：“如果銀行不改變，我就改變銀行?！倍@事實上是比爾·蓋茨觀點的遙遠回聲。1994年，比爾·蓋茨看到非洲民眾用手機開展金融活動后，就指出：“銀行業(yè)是必要的，但銀行卻不是。”在時代巨變面前，銀行不能再固守公元1世紀的實體簽名開戶規(guī)則，必須因時而變，與金融科技同步。著名商業(yè)作家布雷特·金恩(Brett King)用Bank1.0到Bank4.0來描述銀行的歷史演進。(14)參見〔澳〕布雷特·金恩：《銀行4.0》，孫一仕、周韋英、林凱雄譯，臺灣金融研訓(xùn)院2018年版，第342頁。

所謂Bank 1.0，即以銀行物理網(wǎng)點為基礎(chǔ)的銀行業(yè)務(wù)形態(tài)，它是最古老的銀行。Bank 2.0是一個自助服務(wù)的時代，ATM機和網(wǎng)上銀行開始出現(xiàn)，以滿足用戶多樣化的需求。到了Bank 3.0，越來越多的金融交易轉(zhuǎn)移到移動支付、P2P等互聯(lián)網(wǎng)功能上，銀行意識到必須基于消費者習(xí)慣、企業(yè)金融需求，改變風險管理模式，降低價值產(chǎn)生和傳遞過程中的金融成本，減少金融交易的中間環(huán)節(jié)。而在Bank4.0階段，用戶獲得了前所未有的主動權(quán)，銀行將采用數(shù)字科技提供內(nèi)嵌的、無所不在的銀行服務(wù)，隨時隨地回應(yīng)用戶所需。最終，銀行服務(wù)將是即時的、情景式的體驗和無障礙的互動，并由人工智能所主導(dǎo)，實體銀行將不再必要，這就是“有用戶處即有銀行服務(wù)”的真意。在銀行4.0的嶄新架構(gòu)下，開放銀行是不可或缺的關(guān)鍵要素。

3.金融機構(gòu)與金融科技公司的合力

開放銀行并非僅僅仰賴金融科技或者銀行業(yè)的孤軍奮戰(zhàn)，而是這兩種力量共同作用的結(jié)果。開放銀行并未改變金融的本質(zhì)，恰恰相反，它讓金融業(yè)重新回到初心：為用戶更好地提供價值儲存、貨幣轉(zhuǎn)移和信用獲取的服務(wù)。一言以蔽之，即以用戶為中心重塑金融業(yè)。這一被稱為“第一原理”的“功能為王”理念，要求金融機構(gòu)審視自己的定位，積極采取各種新興科技將用戶的需求和金融服務(wù)的初衷無縫對接。這一目標的實現(xiàn)，離不開傳統(tǒng)金融機構(gòu)與金融科技公司的共同努力。

對傳統(tǒng)金融機構(gòu)而言，開放銀行將帶來前所未有的技術(shù)升級、流程再造和風格轉(zhuǎn)變，而這不可能一蹴而就。但時不我待，用戶對于高度聯(lián)通、個性化的金融服務(wù)的偏好，讓金融機構(gòu)倍感轉(zhuǎn)型壓力。在這個充滿挑戰(zhàn)、瞬息萬變的市場中，閉門造車是不可取的，昔日的競爭對手亦可成為合作伙伴。金融科技公司能夠提供成本更低和效率更高的技術(shù)解決方案和豐富的業(yè)務(wù)場景，從而有助于金融機構(gòu)迅速切入開放銀行的龐大市場。在另一方面，金融科技公司欠缺金融機構(gòu)所搭建的基礎(chǔ)服務(wù)實施，不掌握關(guān)鍵性的用戶信息，尚未深刻理解和管理金融風險，同時面臨不確定的監(jiān)管態(tài)勢。為此，金融科技公司亦有動力與金融機構(gòu)跨界合作，通過合作競爭實現(xiàn)雙贏。放寬視野觀察，開放銀行的未來必然是金融機構(gòu)、金融科技公司以及相關(guān)方共建的生態(tài)系統(tǒng)，從而為更廣范圍的用戶提供更深度的服務(wù)，實現(xiàn)金融的普惠化和智慧化。

二、開放銀行的法律架構(gòu)

商業(yè)實踐絕非開放銀行的全部故事。事實上，從歐盟、英國，到新西蘭和澳大利亞，再到日本、我國香港地區(qū)和新加坡，世界各個國家或地區(qū)的監(jiān)管機構(gòu)紛紛通過法律和政策，以期將傳統(tǒng)的金融服務(wù)市場轉(zhuǎn)變?yōu)楦吒偁幜蛣?chuàng)新性的市場，滿足不斷變化的消費者需求：個性化、安全、便捷、靈活的金融服務(wù)。世界各國及地區(qū)的經(jīng)驗充分表明：開放銀行并非只是企業(yè)創(chuàng)新的結(jié)果，相反，它始終有賴于國家的有效應(yīng)對與調(diào)適。在此，我們將從開放銀行三層次出發(fā)，探求開放銀行的整體架構(gòu)。

(一)API的法律架構(gòu)

API不僅僅是技術(shù)，它事關(guān)開放銀行的核心架構(gòu)。首先是向誰開放。是用戶、特定合作伙伴的金融公司或金融科技公司，還是滿足一定條件的不特定金融公司或金融科技公司，抑或是所有企業(yè)和政府機關(guān)？其次，是開放什么。是信息查詢業(yè)務(wù)、新服務(wù)申請，還是業(yè)務(wù)辦理，又或者是開放賬號？顯然，不同的選擇，將創(chuàng)設(shè)不同的法律關(guān)系，塑造不同的開放銀行生態(tài)系統(tǒng)。正因為如此，英國開放銀行工作組(the Open Banking Working Group)、我國香港金融管理局和新加坡，先后出臺《開放銀行標準框架》(The Open Banking Standard)、《香港銀行業(yè)Open API框架咨詢文件》《金融業(yè)API 手冊》(ABS-MAS Financial World：Finance-As-A-Service API Playbook)，就API予以詳細規(guī)定。

1.API的開放對象

API的參與方一般包括API提供者、API消費者、金融科技公司、開發(fā)者。(15)See ABS-MAS Financial World: Finance-As-A-Service API Playbook.其中，作為將數(shù)據(jù)、產(chǎn)品和服務(wù)共享給第三方的機構(gòu)，API提供者應(yīng)當在開放性、可用性、交互性的原則下設(shè)計API，并使用OAuth 2.0、OpenID Connect、TLS v1.2等標準，滿足身份認證、授權(quán)、加密的安全要求。作為使用API的組織和個人，應(yīng)當遵循API提供者的指導(dǎo)原則，堅守API提供者明確的安全標準。作為行業(yè)顛覆性技術(shù)創(chuàng)新的先鋒，金融科技公司須依據(jù)API的技術(shù)格式，避免修改既有定義，開發(fā)具有兼容性的創(chuàng)新型應(yīng)用產(chǎn)品和服務(wù)。最后，負責設(shè)計模型的開發(fā)者，應(yīng)當實現(xiàn)API提供者的相應(yīng)需求，創(chuàng)建技術(shù)說明文件，保證技術(shù)的安全性。

2.API的開放內(nèi)容

API適用于產(chǎn)品、市場、銷售、服務(wù)、支付、監(jiān)管等多個業(yè)務(wù)流程，根據(jù)相關(guān)影響和風險，可以將其大致分為四類，即：(1)產(chǎn)品和服務(wù)信息API。銀行提供有關(guān)產(chǎn)品和服務(wù)詳情的“只讀”信息，包括賬戶信息、信用卡、按揭貸款、有無抵押貸款產(chǎn)品信息、投資基金、結(jié)構(gòu)化投資產(chǎn)品、貴金屬、股票交易產(chǎn)品詳細信息、普通保險、人壽和長期保險產(chǎn)品信息，等等。(2)產(chǎn)品與服務(wù)的訂閱和申請API，用戶可以在線申請信用卡、貸款和其他銀行產(chǎn)品，在線處理投資基金、貴金屬、股票賬戶開戶需求以及普通保險、人壽保險申請需求。(3)賬戶信息API。查詢和更改認證用戶賬戶信息(余額、交易記錄、限額、付款日期等)。(4)交易API，處理認證用戶發(fā)起的銀行交易、支付或預(yù)定付款/轉(zhuǎn)賬，處理零售投資基金、貴金屬、股票交易指令，處理財產(chǎn)保險保單修改和賠付請求，等等。(16)參見《香港銀行業(yè)Open API框架咨詢文件》。

3.API的治理結(jié)構(gòu)

為了推動API的穩(wěn)健運行，商業(yè)銀行應(yīng)當設(shè)立一個獨立機構(gòu)，其職責包括跟蹤并監(jiān)督API標準的部署進程，處理用戶糾紛，確保數(shù)據(jù)安全性，維護API的可靠性、可拓展性和安全性。此外，在“標準—認證—認可”三位一體的治理架構(gòu)下，商業(yè)銀行和金融科技公司的行業(yè)組織可以作為獨立第三方，通過最佳實踐、行業(yè)指南和認證措施，推動API規(guī)則成為企業(yè)合規(guī)的基本規(guī)則，并通過監(jiān)管機構(gòu)的法律認可，確保其權(quán)威性和可執(zhí)行性。(17)參見許可：《從監(jiān)管科技邁向治理科技——互聯(lián)網(wǎng)金融監(jiān)管的新范式》，載《探索與爭鳴》2018年第10期。借此，當用戶遭遇API相關(guān)事故時，可以聯(lián)系A(chǔ)PI提供者解決，若逾期未處置，就可以啟動下一輪事故處理流程，交由行業(yè)組織處理。

(二)數(shù)據(jù)共享的法律架構(gòu)

數(shù)據(jù)共享是開放銀行的靈魂，在某種意義上，開放銀行就是開放數(shù)據(jù)。但另一方面，對用戶身份資料、賬戶信息、交易信息承擔保密義務(wù)，又是銀行業(yè)的古老傳統(tǒng)。如何在“消費者信息和隱私保護”與“數(shù)據(jù)共享”之間取得平衡，(18)參見何穎：《數(shù)據(jù)共享背景下的金融隱私保護》，載《東南大學(xué)學(xué)報》2017年第1期。是開放銀行的癥結(jié)所在。圍繞這一難題，歐盟《一般數(shù)據(jù)保護條例》(GDPR)和PSD2、澳大利亞《消費者數(shù)據(jù)權(quán)利法案》(Consumer Data Right Bill)提出了各自的解決方案。

1.數(shù)據(jù)共享的發(fā)起

與之前由數(shù)據(jù)控制者——商業(yè)銀行和金融科技公司發(fā)起的數(shù)據(jù)共享不同，開放銀行賦予了用戶發(fā)起數(shù)據(jù)共享的權(quán)利，其源于歐盟GDPR第20條“數(shù)據(jù)可攜帶權(quán)”(Right to Data Portability)。據(jù)此，個人不但有權(quán)以一種結(jié)構(gòu)化、通用和機器可讀的形式獲取其已提供給數(shù)據(jù)控制者的個人數(shù)據(jù)(副本獲取權(quán))，而且有權(quán)無障礙地從直接收集數(shù)據(jù)的數(shù)據(jù)控制者處將該數(shù)據(jù)轉(zhuǎn)移至另一個數(shù)據(jù)控制者(數(shù)據(jù)移轉(zhuǎn)權(quán))。正是覺察到數(shù)據(jù)可攜帶權(quán)對市場競爭的正面效應(yīng)，歐盟PSD2第66、67條賦予用戶對其賬戶信息的控制權(quán)，銀行應(yīng)在用戶要求時，向第三方開放用戶數(shù)據(jù)的訪問權(quán)限，即便該方與銀行并不存在任何合同關(guān)系。澳大利亞延續(xù)這一路徑，確立了更全面、徹底的“消費者數(shù)據(jù)權(quán)”。它的權(quán)利主體不但包括個人，還包括小企業(yè)，權(quán)利對象不但涵蓋個人數(shù)據(jù)，還包括“與提供給該消費者的產(chǎn)品或服務(wù)相關(guān)聯(lián)”的非個人數(shù)據(jù)，例如云服務(wù)提供商存儲的文檔?？傊?，開放銀行將金融數(shù)據(jù)想象為一種資產(chǎn)，而不是受保護的基本權(quán)利，這改變了金融數(shù)據(jù)控制和所有的關(guān)系，將權(quán)利交給用戶，促進其積極利用并允許他人利用其數(shù)據(jù)，最終促進金融市場的競爭。(19)See Samson Yoseph Esayas，Angela Daly,The Proposed Australian Consumer Right to Access and Use Data: A European Comparison,2 Eur.Competition & Reg.L.Rev.，187 (2018).

2.數(shù)據(jù)共享的范圍

共享的數(shù)據(jù)并非漫無邊際，GDPR第20條第(4)款將“不應(yīng)影響他人的權(quán)利和自由”作為數(shù)據(jù)“可攜帶權(quán)”的法定邊界。根據(jù)歐盟29條工作組(WP29)的指南，這里“他人的權(quán)利和自由”可以理解為“第三人數(shù)據(jù)，企業(yè)商業(yè)秘密或知識產(chǎn)權(quán)，尤其是軟件版權(quán)”。(20)See Guidelines on the right to data portability，16/EN WP 242.由此可見，共享的數(shù)據(jù)一般限于如下兩類：(1)用戶提供的數(shù)據(jù)，主要是基本資料、身份信息、生物識別信息、存款信息等個人信息，包括姓名、身份證號碼、住址、通信通訊聯(lián)系方式、存款信息、指紋、聲紋、虹膜和面部特征等數(shù)據(jù)。(2)交易數(shù)據(jù)，如原始交易記錄、信貸記錄、征信信息、流水記錄等。

除此以外，“用戶增值數(shù)據(jù)”(Value-added customer data)和“聚合數(shù)據(jù)集”(Aggregated data sets)是否屬于共享范圍尚待進一步辨明。前者指的是“數(shù)據(jù)處理者對用戶基礎(chǔ)數(shù)據(jù)和交易數(shù)據(jù)進行記錄、檢索、 整理、標注、比對、分析、挖掘等處理后產(chǎn)生的數(shù)據(jù)”，(21)丁道勤：《基礎(chǔ)數(shù)據(jù)與增值數(shù)據(jù)的二元劃分》，載《財經(jīng)法學(xué)》2017年第2期，第8頁。諸如收入/資產(chǎn)核實、用戶身份驗證、信用分。后者指的是將大量用戶數(shù)據(jù)匯集在一起形成跨用戶組的去標識的、匯總或平均化的數(shù)據(jù)。無論是“用戶增值數(shù)據(jù)”，還是“聚合數(shù)據(jù)集”，其價值很大程度上由企業(yè)付出努力和成本所創(chuàng)造，倘若法律強制分享這些數(shù)據(jù)可能構(gòu)成對商業(yè)秘密或知識產(chǎn)權(quán)的侵犯，甚或?qū)?shù)據(jù)價值轉(zhuǎn)移給競爭對手，這顯然是不公平和違反商業(yè)道德的，因而該等數(shù)據(jù)不應(yīng)包括在共享數(shù)據(jù)的范圍內(nèi)。(22)See Review into Open Banking in Australia-Final Report,available at https://treasury.gov.au/sites/default/files/2019-03/Review-into-Open-Banking-_For-web-1.pdf,last visited on July 1,2019.

3.共享數(shù)據(jù)的標準

共享的數(shù)據(jù)要遵循相關(guān)數(shù)據(jù)展現(xiàn)、格式、定義、結(jié)構(gòu)的標準，并應(yīng)滿足可獲得性、可存取性、可分析性的最低要求。其中，所謂“數(shù)據(jù)可獲得性”，指可以辨認數(shù)據(jù)為相關(guān)之內(nèi)部及外部數(shù)據(jù)；“數(shù)據(jù)可存取性”，指合法第三方機構(gòu)經(jīng)用戶授權(quán)可存取及使用數(shù)據(jù)；“數(shù)據(jù)可分析性”，指從數(shù)據(jù)中可以獲得有價值的信息，并可進一步促進決策制定。(23)參見陳英惠：《Open Banking對金融業(yè)之機會與挑戰(zhàn)》，載《彰銀資料》2018年第12期。

(三)網(wǎng)絡(luò)平臺的法律架構(gòu)

網(wǎng)絡(luò)平臺迄今仍然不是法律概念。隨著平臺經(jīng)濟的崛起，從勞動法到消費者保護法，從財產(chǎn)法、商法到健康法、金融法，傳統(tǒng)公法和私法皆面臨著重大挑戰(zhàn)，以至于美國學(xué)者Orly Lobel大膽提出了“平臺法”(law of platform)這一新的法律門類。(24)See Orly Lobel,The Law of the Platform,101 Minn.L.Rev.，87 (2016).在這里，我們暫且跳脫出不同平臺所面臨的諸多具體法律問題，而是從更宏觀的角度去把握網(wǎng)絡(luò)平臺的規(guī)則體系，即誰是網(wǎng)絡(luò)平臺的主導(dǎo)者，如何成為它的參與者，以及各方如何承擔法律責任。(25)參見〔美〕杰奧夫雷G.帕克、馬歇爾 W.范·埃爾斯泰恩、?；亍けＡ_·邱達利：《平臺革命：改變世界的商業(yè)模式》，志鵬譯，機械工業(yè)出版社2017年版，第161頁

1.網(wǎng)絡(luò)平臺的主導(dǎo)者

作為企業(yè)和市場的混合物，網(wǎng)絡(luò)平臺本身難以成為規(guī)制對象，正因如此，盡管我國《電子商務(wù)法》在起草過程中將“電子商務(wù)第三方平臺”納入其中，但最終仍然將其細分為“電子商務(wù)平臺經(jīng)營者”“平臺內(nèi)經(jīng)營者”。(26)《電子商務(wù)法(草案)》規(guī)定：“電子商務(wù)第三方平臺，是指在電子商務(wù)活動中為交易雙方或者多方提供網(wǎng)頁空間、虛擬經(jīng)營場所、交易撮合、信息發(fā)布等服務(wù)，供交易雙方或者多方獨立開展交易活動的法人或者其他組織?！痹谧罱K稿中，該條將“電子商務(wù)第三方平臺”修改為“電子商務(wù)平臺經(jīng)營者”。但需要指出，《電子商務(wù)法》不涉及開放銀行等金融類平臺。那么，對于開放銀行而言，誰是平臺的經(jīng)營者？

觀察既有實踐，開放銀行有自建、收購、合伙、參與四種模式。(27)See Kristin Moyer,How to Build an Open Bank,available at https://www.gartner.com/en/documents/3746220/how-to-build-an-open-bank,last visited on July 1,2019.其中，“自建模式”即商業(yè)銀行借助應(yīng)用程序包構(gòu)建集合信息系統(tǒng)、客戶體驗、數(shù)據(jù)分析、物聯(lián)網(wǎng)等元素的商業(yè)生態(tài)系統(tǒng)。在這一模式中，銀行是當然的平臺經(jīng)營者。對于那些技術(shù)掌控度高、人才資源充足且意欲成為業(yè)界先鋒的大型銀行而言，不論是BBVA、Barclays、Capital One、HSBC等國際銀行，還是中國銀行和中國工商銀行，均將自建開放銀行作為優(yōu)先選擇?！笆召從Ｊ健奔瓷虡I(yè)銀行兼并收購一家金融科技公司，由其作為平臺經(jīng)營者，快速實現(xiàn)體外拓展。例如，Silicon Valley Bank于2015年收購一家專注于API的科技公司Standard Treasury，成功搭建了開放銀行。與上述兩種模式不同，在“合伙模式”和“參與模式”中，商業(yè)銀行不再是平臺經(jīng)營者，憑借著技術(shù)和流量優(yōu)勢，金融科技公司往往成為開放銀行事實上的主導(dǎo)者，PayPal以及上海銀行與京東金融合作的“上銀白條閃付”，就是典型的例子。

在我國“政府管平臺經(jīng)營者，經(jīng)營者管平臺上其他主體”的“國家—平臺—用戶”線性結(jié)構(gòu)下，(28)參見許可：《網(wǎng)絡(luò)平臺規(guī)制的雙重邏輯及其反思》，載《網(wǎng)絡(luò)信息法學(xué)研究》2018年第1期。開放銀行的經(jīng)營者將承擔保護個人信息、信息管控、金融風險管理、安全保障、配合執(zhí)法等一攬子義務(wù)以及相應(yīng)的民事、行政和刑事責任。(29)參見周學(xué)峰、李平主編：《網(wǎng)絡(luò)平臺治理與法律責任》，中國法制出版社2018年版，第331-343頁。顯然，開放銀行的不同模式，將深刻影響它的制度安排。

2.網(wǎng)絡(luò)平臺的參與者

網(wǎng)絡(luò)平臺始終在“由經(jīng)營者排他控制的封閉”和“任何人均能自由訪問和接入、不存在任何使用和開發(fā)限制的開放”之間徘徊。這事實上是一種取舍。開放意味著參與者進入門檻和用戶被“鎖定”而不能遷移的可能性同時降低，這必然加劇了競爭，減少了利潤；但封閉也將導(dǎo)致市場隔絕和創(chuàng)新不足。(30)See J.West,How open is open enough? Melding proprietary and open source platform strategies,32(7)Research Policy，1259-1285(2003).因而，網(wǎng)絡(luò)平臺的經(jīng)營者一般會選擇混合戰(zhàn)略，將資源盡量投入到具有核心競爭力的產(chǎn)品和服務(wù)上，而將其他內(nèi)容予以開放。開放銀行亦是如此，但問題在于如何決定和保持其關(guān)鍵領(lǐng)域。對歐美實踐的梳理發(fā)現(xiàn)，商業(yè)銀行一般只是按照特定的條款和條件向某些金融科技公司開放，而向軟件服務(wù)商或獨立科技公司開放的寥寥無幾，這意味著幾乎不存在“即插即用”的增值服務(wù)程序。(31)See Zachariadis,Markos,Ozcan,Pinar,The API Economy and Digital Transformation in Financial Services: The Case of Open Banking,SWIFT Institute Working Paper,No.2016-001(2017).無疑，“如何進一步擴大開放”是開放銀行的未來重要方向。

決定誰是平臺參與者的，除了商業(yè)邏輯之外，還有法律限制。在歐盟PSD2中，為了降低用戶的風險，第三方支付服務(wù)提供商(TPP)和賬戶信息服務(wù)提供商(AISPA)必須獲得監(jiān)管機構(gòu)的批準，并且，只有在滿足用戶授權(quán)和銀行審核其資質(zhì)的雙重條件后才能接入平臺。無獨有偶，在澳大利亞，競爭與消費者委員會(Australian Competition and Consumer Commission)負責制定開放銀行參與者的認證標準和方法，只有獲得認證的相關(guān)方才能獲得開放銀行數(shù)據(jù)，該標準將采取基于風險的分層認證模式，從而不至于給各方造成不必要的進入障礙。

3.責任承擔機制

金融與風險須臾不可分離，開放銀行亦不例外。在用戶遭受損失之后，如何在各方之間分擔損失成為平臺責任的核心問題。對此，存在兩種不同的制度設(shè)計。一種是各負其責，這意味著由過錯方獨立承擔因其過錯導(dǎo)致的欺詐、支付瑕疵、數(shù)據(jù)泄露責任。但在此情形下，數(shù)據(jù)提供者仍應(yīng)確保將個人數(shù)據(jù)傳輸給正確接收方，同時，還應(yīng)評估數(shù)據(jù)轉(zhuǎn)移的具體風險并采取適當?shù)姆婪洞胧?32)歐盟29條工作組(WP29)認為此類風險防范措施包括：對于用戶，可以利用額外身份驗證信息，例如共享密匙，或一次性密碼,如果懷疑相關(guān)賬戶被盜用，可暫緩或凍結(jié)數(shù)據(jù)傳輸；對于第三方，可采取強制身份驗證措施，例如基于令牌的身份驗證。See WP29,Guidelines on the Right to Data Portability.另一種是由商業(yè)銀行承擔連帶責任，這意味著在發(fā)生損害后，用戶有權(quán)要求銀行承擔先行賠付責任，若第三方存在過錯，銀行在賠償后有權(quán)向其追索。(33)See Liability and Consumer Protection in Open Banking,available at https://www.iif.com/portals/0/Files/private/32370132_liability_and_consumer_protection_in_open_banking_091818.pdf,last visited on July 1,2019.

三、開放銀行的挑戰(zhàn)與因應(yīng)

(一)開放銀行的風險與障礙

1.API標準的統(tǒng)一

創(chuàng)建一套可供所有人使用的API，對于開放銀行而言至關(guān)重要?？紤]到開放銀行參與主體的多樣性，創(chuàng)建互操作性和高效的API必須通過制定標準來完成。目前，API標準蕪雜，存在組織標準(由銀行或金融科技公司單獨制定)、團體標準(由合作伙伴或具有共同利益的群體所制定或接受)、行業(yè)標準(由銀行業(yè)或金融科技行業(yè)協(xié)會制定或接受)、通用標準(在一個國家內(nèi)或全球范圍內(nèi)被接受)。在歐洲，API標準的分歧和沖突已經(jīng)顯現(xiàn)，目前，由數(shù)十家銀行和金融公司組成的柏林集團(Berlin Group)公布了API通用框架，各國監(jiān)管機構(gòu)亦在紛紛推廣國家標準，人們普遍擔憂，這不僅會增加第三方的成本，也幾乎無助于統(tǒng)一歐洲的金融市場。(34)See The slow-burning effects of Europe’s new data rules,available at https://www.economist.com/finance-and-economics/2019/01/12/the-slow-burning-effects-of-europes-new-data-rules,last visited on July 1,2019.

考慮到金融服務(wù)需要安全性、隱私性與合規(guī)性，API標準的制定必須超越技術(shù)和功能面向，將法律、操作和管理納入其中。同時，采納何種API標準，以及由誰來制定標準，不但直接影響由何方承擔成本，而且決定了何方在開放銀行業(yè)務(wù)中占據(jù)優(yōu)勢地位，因此，API標準統(tǒng)一必將是長期的博弈過程。

2.網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是開放銀行的生命線。深度互聯(lián)互通使得金融機構(gòu)更容易遭受內(nèi)部和外部的網(wǎng)絡(luò)攻擊，ICT系統(tǒng)和流程業(yè)務(wù)的規(guī)劃不足以及第三方安全防護的能力和意愿欠缺，加劇了開放銀行的脆弱性。歐洲銀行管理局(EBA)針對PSD2列舉了一系列風險：(1)對用于支付的通信渠道保護不足；(2)對應(yīng)用程序、服務(wù)器、用戶的支付設(shè)備等系統(tǒng)和設(shè)備保障不足；(3)用戶或第三方機構(gòu)及其員工的不安全行為；(4)業(yè)務(wù)環(huán)境的復(fù)雜性增加；(5)欺詐或惡意攻擊。(35)See Guidelines on the security measures under PSD2,available at https://eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money/guidelines-on-security-measures-for-operational-and-security-risks-under-the-psd2,last visited on July 1,2019.

3.個人信息保護

開放銀行共享的大量數(shù)據(jù)屬于用戶的個人信息，個人信息的收集、存儲、使用、共享和刪除由此成為貫穿開放銀行業(yè)務(wù)始終的問題?！坝杏脩籼幖从秀y行服務(wù)”的理念，使得盡可能滿足用戶隨時隨地的需求成為開放銀行的首要關(guān)切，金融服務(wù)的個性化和嵌入化應(yīng)運而生。矛盾的是，金融服務(wù)這種轉(zhuǎn)型是以個人信息流通和用戶畫像為基礎(chǔ)的，如何在開放銀行中，落實個人信息權(quán)利，防范個人信息泄露、濫用和身份欺詐，成為問題的關(guān)鍵。(36)參見易憲容、陳穎穎、周俊杰：《開放銀行：理論實質(zhì)及其顛覆性影響》，載《江海學(xué)刊》2019年第2期。

4.彌散的金融風險

開放銀行意味著風險開放?？缡袌?、跨行業(yè)、跨用戶群體的特性，導(dǎo)致金融交易行為、業(yè)務(wù)模式和風險類型更為復(fù)雜。作為銀行、其他金融機構(gòu)、金融科技公司、數(shù)據(jù)技術(shù)公司共同參與的多方交易系統(tǒng)，開放銀行因信息不對稱引發(fā)的信用風險和操作風險大幅提升。同時，技術(shù)迭代導(dǎo)致金融交易規(guī)模和交易頻度呈幾何級數(shù)增長，監(jiān)測壓力陡增。金融監(jiān)管的對象面臨調(diào)整、“風險隔離”等傳統(tǒng)金融監(jiān)管核心原則面臨挑戰(zhàn)。無論是金融機構(gòu)，還是金融科技公司往往是單方面承擔輸入風險、共振效應(yīng)以及內(nèi)外部風險疊加形成的新風險，緩釋機制和隔離機制的薄弱進一步提升了風險管控的難度。

5.對競爭的影響

開放銀行在數(shù)據(jù)、用戶關(guān)系和監(jiān)管的三個層面上重塑現(xiàn)有競爭格局。就數(shù)據(jù)而言，銀行擁有大量金融資產(chǎn)、負債和交易的數(shù)據(jù)，金融科技公司則掌握著支付、網(wǎng)購、物流、銷售以及電商產(chǎn)品相關(guān)聯(lián)的理財、貸款和保險數(shù)據(jù)。開放銀行所要求的“數(shù)據(jù)共享”，在經(jīng)濟層面上存在金融機構(gòu)的強關(guān)聯(lián)小數(shù)據(jù)和金融科技公司弱關(guān)聯(lián)大數(shù)據(jù)的公允價值差異，在法律層面上存在數(shù)據(jù)權(quán)屬不明的掣肘。就用戶關(guān)系而言，不論是銀行，還是金融科技公司都以獲得用戶、維持用戶、影響用戶作為核心訴求。然而，開放銀行降低了“進入壁壘”，允許直接競爭對手以及其他金融機構(gòu)或金融科技公司獲得用戶信息，從而共享用戶。這不但帶來“誰擁有用戶”的問題，更重要的是，由于開放銀行觸達用戶的方式，還存在“將誰的名字寫在商店櫥窗”中的問題。中小企業(yè)，甚至大型銀行都可能被納入更廣泛的金融科技品牌之內(nèi)，以至于無法有效建立自己的品牌聲譽。正如人們所擔心的：目前，銀行已經(jīng)不再是客戶關(guān)系的所有者。想象一下明天谷歌決定創(chuàng)立一個銀行聚集系統(tǒng)，我們輸入密碼登錄自己的銀行賬戶，它以一種更加新穎、易于互動和更方便客戶的方式呈現(xiàn)我們的信息。就在這時，我們和銀行之間的關(guān)系也就改變了。(37)參見〔英〕杰姆斯·漢考克、肖恩·里奇蒙德：《消失的銀行》，王浩宇、楊麗萍譯，中信出版社2018年版，第76頁。就監(jiān)管而言，如果對開放銀行各主體采取統(tǒng)一的監(jiān)管措施，高昂的合規(guī)成本必然削弱新型服務(wù)的靈活性和創(chuàng)新性，但如果采取因主體而異的監(jiān)管措施，則可能導(dǎo)致監(jiān)管規(guī)避和監(jiān)管套利，這是一個兩難困境。

(二)開放銀行的監(jiān)管原則

1.主體平等監(jiān)管

盡管開放銀行政策起源于英國政府對金融科技公司的傾斜性扶持，但我國數(shù)字金融市場格局與英國迥然不同，金融科技公司反而是先行一步的領(lǐng)先者。在此背景下，監(jiān)管者應(yīng)借鑒《電子商務(wù)法》第4條確立的“線上線下平等對待”原則，平等對待開放銀行的各主體。基于該原則，開放銀行的根本目的在于提升金融資源分配效率，促進金融數(shù)字轉(zhuǎn)型，實現(xiàn)金融服務(wù)的個性化與普惠化，而非單方面支持金融機構(gòu)或金融科技公司的發(fā)展。為此，監(jiān)管機構(gòu)不得對任何一方給予歧視性待遇，不得強制一方向另一方開放業(yè)務(wù)、數(shù)據(jù)和賬戶。同時，根據(jù)“功能監(jiān)管”的原則，監(jiān)管機構(gòu)應(yīng)從金融產(chǎn)品和服務(wù)的功能和特性出發(fā)，對于同類產(chǎn)品和服務(wù)適用同等規(guī)則，彌補交叉性金融業(yè)務(wù)的監(jiān)管漏洞，避免監(jiān)管套利。

2.助推而非強制

由2017年諾貝爾經(jīng)濟學(xué)獎獲得者理查德·泰勒和美國前信息與監(jiān)管事務(wù)辦公室主任凱斯·R·桑斯坦提出的“助推論”(Nudge)，是近十年來政府監(jiān)管領(lǐng)域的開創(chuàng)性理論。該理論旨在通過干預(yù)、塑造和制約被規(guī)制對象的選擇框架或背景線索，相對柔性地改變被規(guī)制對象的行為基礎(chǔ)。(38)參見張力：《邁向新規(guī)制：助推的興起與行政法面臨的雙重挑戰(zhàn)》，載《行政法學(xué)研究》2018年第3期。與強制性監(jiān)管迥異，開放銀行的助推式監(jiān)管不要求銀行或金融機構(gòu)必須采用特定行為模式，但它也不完全是放任性或倡導(dǎo)性的。相反，監(jiān)管機構(gòu)通過提供程序上、組織上以及能力上的規(guī)范，采取默認機制、勸說性和咨詢性的戰(zhàn)略、基于設(shè)計的工具、承諾機制、信息機制、路線圖等措施，促成不同主體的自我組織和自我規(guī)制，從而在推動開放銀行發(fā)展的同時，避免破壞市場內(nèi)在的邏輯。

3.治理科技優(yōu)位

“治理科技”(GovernTech)與“監(jiān)管科技”(RegTech)最大的差異，就在于其強調(diào)了“治理”的核心地位。簡言之，治理科技以“數(shù)據(jù)”為資源，以“標準—認證—認可”為三位一體的組織架構(gòu)，以“機制設(shè)計”為運作流程。治理科技源于監(jiān)管科技，又革新了監(jiān)管科技。治理科技包含兩大要素：其一，數(shù)據(jù)驅(qū)動的治理，其強調(diào)監(jiān)管者和被監(jiān)管者之間的數(shù)據(jù)共享，從而將金融機構(gòu)向監(jiān)管機構(gòu)的單向數(shù)據(jù)傳輸轉(zhuǎn)化為雙向的數(shù)據(jù)整合。其二，經(jīng)由設(shè)計的治理。當面對開放銀行這項顛覆性創(chuàng)新時，監(jiān)管機構(gòu)首先要確定待解決的核心問題和利益相關(guān)者，設(shè)定他們的政策目標；然后召集所有利益相關(guān)方共同參與設(shè)計解決方案，從中選擇最佳解決方案，并征求利益相關(guān)方的反饋意見；進一步修改和重新測試解決方案，繼續(xù)進行反饋循環(huán)，直到找到最合適的解決方案；在此基礎(chǔ)上，在一定范圍內(nèi)實施上述方案，進行beta測試，再根據(jù)beta測試數(shù)據(jù)多次迭代流程、測試并收集反饋，最終發(fā)現(xiàn)最具操作性的和適切性的制度。(39)See Alice Armitage,Andrew K.Cordova,Rebecca Siegel,Design Thinking: The Answer to the Impasse Between Innovation and Regulation,2 Georgetown Law Technology law Review，49(2017).

(三)開放銀行的監(jiān)管規(guī)則

1.推動API國家推薦性標準制定

安全、可控和便捷的API架構(gòu)是開放銀行的基礎(chǔ)，從“助推而非強制”和“治理科技優(yōu)先”的原則出發(fā)，國家可以鼓勵和協(xié)助金融機構(gòu)和金融科技公司從市場出發(fā)形成“最佳實踐”。在此基礎(chǔ)上，通過企業(yè)、學(xué)界和政府機構(gòu)的共同參與，努力就以下內(nèi)容達成國家推薦性標準：(1)API的功能和架構(gòu)；(2)開放的類別，產(chǎn)品、服務(wù)、賬戶信息、交易信息；(3)數(shù)據(jù)標準格式；(4)安全性等問題。

為了增進API最佳實踐和標準制定，監(jiān)管機構(gòu)鼓勵金融機構(gòu)和金融科技公司在官方網(wǎng)站上公布如何使用每個Open API的細節(jié)，包括功能、架構(gòu)、安全性等詳細說明，同時可以創(chuàng)建一個專門網(wǎng)站，匯聚和展示提供的所有Open API，從而確保所有第三方服務(wù)提供商可以便捷、靈活地獲取數(shù)據(jù)。最后，監(jiān)管機構(gòu)可以通過項目研究和專題論壇的方式，召集金融機構(gòu)和金融科技公司交流分享Open API的案例思路和經(jīng)驗。

2.建構(gòu)網(wǎng)絡(luò)安全系統(tǒng)底線

網(wǎng)絡(luò)安全是開放銀行的底線，監(jiān)管機構(gòu)可以以“指引”的方式建立網(wǎng)絡(luò)安全的底線。該指引包括但不限于如下內(nèi)容：

其一，開放銀行平臺的經(jīng)營者應(yīng)當建立網(wǎng)絡(luò)安全治理架構(gòu)。該架構(gòu)包括：(1)全面的安全政策、安全目標和措施；(2)明確和分配關(guān)鍵角色和職責，以執(zhí)行安全措施和管理操作性風險；(3)建立必要的程序和系統(tǒng)，以識別、測量、監(jiān)測和管理因提供服務(wù)而產(chǎn)生的各種風險。

其二，開放銀行的主要參與者應(yīng)具備相關(guān)基本資格。(1)業(yè)務(wù)能力：財務(wù)穩(wěn)健性、聲譽、管理質(zhì)量和業(yè)務(wù)的適當性操作。(2)風險管理：網(wǎng)絡(luò)安全和 IT控制(包括機密性、完整性和可用性)，監(jiān)控和緩解措施和應(yīng)急計劃。開放銀行經(jīng)營者負有對上述資格的審查義務(wù)，必要時，可以建立第三方認證評估制度和依法備案制度。

其三，針對開放銀行的技術(shù)支持機構(gòu)，銀行應(yīng)按照《銀行業(yè)金融機構(gòu)信息科技外包風險監(jiān)管指引》的規(guī)定，健全信息科技外包管理機制，提升外包風險管控水平，對接觸敏感數(shù)據(jù)和承擔關(guān)鍵基礎(chǔ)設(shè)施外包服務(wù)的第三方機構(gòu)，要從國別風險、技術(shù)風險、經(jīng)營風險等方面予以全方位評估，探索建立運用信息化手段加強外包風險管控的機制。

3.平衡個人信息保護與數(shù)據(jù)共享

個人信息是開放銀行共享的重要內(nèi)容。在我國法律尚未規(guī)定歐盟的“攜帶權(quán)”和澳大利亞的“消費者數(shù)據(jù)權(quán)”的背景下，監(jiān)管者可以將個人信息保護的重點放在由金融機構(gòu)和金融科技公司所發(fā)起的數(shù)據(jù)共享上。鑒于個人金融信息兼具隱私性和公共性，對個人金融信息的保護應(yīng)秉持分類分層的理念，從不同的信息類型出發(fā)建構(gòu)不同的保護規(guī)則。

對于一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全的敏感信息(特別是個人身份信息、銀行賬號、鑒別信息、存款信息、交易和消費記錄)，應(yīng)當采取嚴格的保護。具體而言，只要在滿足如下條件時，該等數(shù)據(jù)的收集者才能進行數(shù)據(jù)共享：(1)在首次收集個人數(shù)據(jù)時，已經(jīng)向用戶清晰、明了地告知其數(shù)據(jù)可能與第三方共享，同時告知共享方的類型，共享的目的、頻率、范圍、保存期限；(2)在與第三方共享時，應(yīng)以增強式告知的方式提醒用戶，并取得用戶明示同意；(3)在與第三方共享前，應(yīng)進行個人信息安全風險評估；(4)每年至少一次以電子形式向用戶披露其數(shù)據(jù)的共享情況；(5)在數(shù)據(jù)收集者或第三方違規(guī)違約使用個人信息時，用戶有權(quán)停止共享，并要求第三方刪除相關(guān)信息。對于敏感信息以外的一般個人信息(如網(wǎng)絡(luò)瀏覽信息)，可采取相對寬松的授權(quán)規(guī)則。即如果在首次收集個人數(shù)據(jù)時，金融機構(gòu)或金融科技公司已在網(wǎng)站首頁或APP顯著位置向用戶清晰、明了地告知其數(shù)據(jù)可能與第三方共享，告知共享的頻率、范圍和保存期限，則應(yīng)當允許用戶以默示方式授權(quán)數(shù)據(jù)共享。

科技不但是開放銀行問題的制造者，也是問題的解決者。因此，除了法律之外，技術(shù)治理不可或缺。就數(shù)據(jù)共享而言，“多方安全計算”就是在不改變數(shù)據(jù)實際占有和控制權(quán)的情形下，促進數(shù)據(jù)流通共享的最佳例證。立足于多方安全計算平臺，這一技術(shù)將計算移動到數(shù)據(jù)端，致力于建造安全和保護隱私的“數(shù)據(jù)高速公路”；借助同態(tài)加密、混淆電路、秘密分享、零知識證明等尖端的多方安全計算和密碼學(xué)相關(guān)技術(shù)，在確保高級別的企業(yè)數(shù)據(jù)安全和個人隱私保護的同時，促進數(shù)據(jù)共享利用與業(yè)務(wù)創(chuàng)新。

4.完善數(shù)據(jù)權(quán)屬規(guī)則和平臺規(guī)則

開放銀行的最大阻礙是數(shù)據(jù)價值的分配，而“所有的定價問題都是產(chǎn)權(quán)問題”，因此，監(jiān)管機構(gòu)應(yīng)當首先明確金融數(shù)據(jù)的權(quán)屬。歐盟“數(shù)據(jù)生產(chǎn)者權(quán)”和“個人數(shù)據(jù)權(quán)利”二分的制度表明：數(shù)據(jù)財產(chǎn)權(quán)應(yīng)首先分配給首先收集和處理數(shù)據(jù)的數(shù)據(jù)生產(chǎn)者，而那些與人格密切相關(guān)且界定清晰的“個人敏感信息”相關(guān)數(shù)據(jù)的權(quán)利應(yīng)當由個人享有。(40)參見許可：《數(shù)據(jù)權(quán)屬：經(jīng)濟學(xué)與法學(xué)的雙重視角》，載《電子知識產(chǎn)權(quán)》2018年11期。據(jù)此，對于個人敏感信息相關(guān)數(shù)據(jù)以外的數(shù)據(jù)，金融機構(gòu)和金融科技公司應(yīng)有權(quán)占有、使用、收益和處分，各方可以按照市場規(guī)則就其共享的條件和對價，做出公允安排。而對于個人敏感信息相關(guān)數(shù)據(jù)，則應(yīng)將選擇權(quán)交給用戶，以便其可以選擇在目前持有其個人數(shù)據(jù)的金融機構(gòu)或金融科技公司與其他新服務(wù)機構(gòu)之間進行轉(zhuǎn)換或者實現(xiàn)數(shù)據(jù)共享，并令其可以在保留原有機構(gòu)數(shù)據(jù)的基礎(chǔ)上，將數(shù)據(jù)轉(zhuǎn)移到另一新的機構(gòu)，借此促進競爭和創(chuàng)新。

面對平臺經(jīng)營者與平臺參與者的矛盾，首先應(yīng)認識到在顛覆性創(chuàng)新的數(shù)字經(jīng)濟中，平臺經(jīng)營者的地位并不穩(wěn)固，任何壟斷行為都將招致市場的懲罰。故此，監(jiān)管可以堅持平等對待的原則，保持競爭的中性。在具體責任的分擔上，應(yīng)當避免《電子商務(wù)法》第38條平臺經(jīng)營者對平臺內(nèi)經(jīng)營者語焉不詳?shù)摹跋鄳?yīng)責任”，以過錯原則和補充原則為基礎(chǔ)，妥善劃定平臺經(jīng)營者的責任邊界。另外，監(jiān)管機構(gòu)還可以促進平臺上各利益相關(guān)方的合作與協(xié)商，為其平等參與平臺規(guī)則設(shè)計提供助力，并監(jiān)督規(guī)則透明、合理的運行，通過合作治理平衡各方利益并最終讓消費者受益。顯然，這一目的僅靠自愿方式無法達成，因為平臺企業(yè)的自然激勵與上述職能的實施并不相符。因此，監(jiān)管機構(gòu)應(yīng)采取提供《平臺規(guī)則示范文本》及其程序規(guī)則等更細致的監(jiān)管措施來解決。

5.堅持一致性監(jiān)管并嘗試沙盒監(jiān)管

開放銀行大大拓展了金融服務(wù)提供的方式和場景，面對金融風險的彌散，監(jiān)管機構(gòu)應(yīng)采取穿透式監(jiān)管的思路，根據(jù)資金來源、最終風險分配和服務(wù)實質(zhì)進行一致性監(jiān)管，即只要從事相同的金融業(yè)務(wù)，就接受同樣的監(jiān)管，從而確保監(jiān)管的有效性，防止監(jiān)管套利。作為一個新興領(lǐng)域，開放銀行有著之前規(guī)則所思慮不及的優(yōu)勢和問題，對此，監(jiān)管機構(gòu)可以引入“沙盒機制”，在特定區(qū)域選擇幾家金融機構(gòu)和金融科技公司進行試驗，以便監(jiān)管機構(gòu)及時發(fā)現(xiàn)金融創(chuàng)新的缺陷與風險，進而決定是否允許其正式進入市場。通過把監(jiān)管機構(gòu)和創(chuàng)新企業(yè)裝進同一個盒子里，“監(jiān)管沙盒”令兩者同時在線、同頻共振，創(chuàng)建監(jiān)管者、監(jiān)管專家、技術(shù)開發(fā)者以及經(jīng)理人的知識共享機制和非現(xiàn)場聯(lián)合辦公機制，在防范底線風險的同時，積極調(diào)適既有監(jiān)管措施，最大程度保證開放銀行的合規(guī)。

四、結(jié) 語

在數(shù)字經(jīng)濟的劇烈變革中，傳統(tǒng)銀行業(yè)必須積極擁抱變化，向開放、共享的金融生態(tài)邁進，否則將不可避免地被邊緣化，甚至被挑戰(zhàn)者取代。但與此同時，我們又要充分認識到開放銀行的復(fù)雜性，它絕非口號，而是涉及組織架構(gòu)、企業(yè)戰(zhàn)略、業(yè)務(wù)操作、科技研發(fā)、服務(wù)方式在內(nèi)的整體革新。職是之故，就龐大而脆弱的銀行而言，這種轉(zhuǎn)變尤其需要制度支持。不論是歐洲、澳大利亞和亞洲部分國家的法律先行，還是美國建基于成熟的法律實踐與功能監(jiān)管之上的市場化創(chuàng)新，都充分說明了對開放銀行予以制度回應(yīng)的重要意義。我國立法者和監(jiān)管者當以前瞻的眼光，既要適時出臺針對性措施，化解開放銀行進程中的阻礙和風險，又要秉持體系化的法治思考，圍繞API、數(shù)據(jù)共享和網(wǎng)絡(luò)平臺，構(gòu)造立體化制度架構(gòu)，最終奠定開放銀行良善治理和長遠發(fā)展的法律之基。