文/董希淼 朱美璇 編輯/韓英彤

近年來(lái)，開(kāi)放銀行（Open Banking）逐步興起。英國(guó)、歐盟、澳大利亞、中國(guó)香港等國(guó)家和地區(qū)作為開(kāi)放銀行的先行者，已經(jīng)形成了較為完善的監(jiān)管體系，而我國(guó)的開(kāi)放銀行尚處在探索階段。新冠肺炎疫情暴發(fā)以來(lái)，“非接觸銀行”服務(wù)備受關(guān)注，對(duì)開(kāi)放銀行的發(fā)展也提出了新的要求。

開(kāi)放銀行發(fā)展及國(guó)際監(jiān)管經(jīng)驗(yàn)

開(kāi)放銀行的監(jiān)管體系

隨著開(kāi)放銀行不斷付諸實(shí)踐，多個(gè)國(guó)家/地區(qū)開(kāi)始制定并完善監(jiān)管框架，構(gòu)建完整的監(jiān)管體系。2015年，英國(guó)設(shè)立開(kāi)放銀行工作組（OBWG）并發(fā)布了《開(kāi)放銀行標(biāo)準(zhǔn)框架》，指導(dǎo)開(kāi)放銀行的服務(wù)及相關(guān)事項(xiàng)，還設(shè)立了獨(dú)立機(jī)構(gòu)監(jiān)督管理該政策的落實(shí)進(jìn)程，處理銀行與客戶的糾紛。2016年，新加坡金融管理局聯(lián)合新加坡銀行協(xié)會(huì)發(fā)布了《API指導(dǎo)手冊(cè)》，對(duì)開(kāi)放銀行各參與主體提出了行動(dòng)指南及相應(yīng)的數(shù)據(jù)安全指導(dǎo)建議。2017年，日本議會(huì)通過(guò)《日本銀行法案（修正案）》，明確金融公司間實(shí)施數(shù)據(jù)共享，保障用戶能夠管理跨機(jī)構(gòu)賬戶信息。2018年，中國(guó)香港金融管理局出臺(tái)《香港銀行業(yè)Open API框架咨詢文件》及銀行業(yè)開(kāi)放應(yīng)用程序接口框架，要求銀行提供核心板塊的所有功能，并逐步提供API。2018年，日本金融廳頒布《電子決算新修訂法案》，規(guī)定電子支付代理業(yè)者登錄使用銀行的數(shù)據(jù)及服務(wù)。2018年5月，澳大利亞政府采納金杜律師事務(wù)所的《開(kāi)放銀行調(diào)查建議》，對(duì)開(kāi)放銀行監(jiān)管框架、監(jiān)管體系等進(jìn)行了規(guī)范。

開(kāi)放銀行的數(shù)據(jù)范圍及權(quán)限

在健全的監(jiān)管體制下，部分國(guó)家進(jìn)一步明確了開(kāi)放銀行的實(shí)施路徑，以及數(shù)據(jù)的開(kāi)放范圍及權(quán)限。2015年，英國(guó)發(fā)布《開(kāi)放銀行標(biāo)準(zhǔn)框架》，將金融數(shù)據(jù)分為五類：開(kāi)放數(shù)據(jù)、客戶交易數(shù)據(jù)、客戶參考數(shù)據(jù)、聚合數(shù)據(jù)和商業(yè)敏感數(shù)據(jù)，并根據(jù)每類數(shù)據(jù)涉及的用戶隱私程度的不同，對(duì)第三方機(jī)構(gòu)設(shè)置不同的讀寫權(quán)限。澳大利亞也將銀行包含的數(shù)據(jù)范圍進(jìn)行了分類，并明確規(guī)定客戶提供的數(shù)據(jù)、交易數(shù)據(jù)等屬于數(shù)據(jù)共享范圍，而增值客戶數(shù)據(jù)、聚合數(shù)據(jù)等因?yàn)轱L(fēng)險(xiǎn)較高，則不能列入銀行數(shù)據(jù)共享的范疇。2018年，中國(guó)香港金管局出臺(tái)政策，對(duì)金融機(jī)構(gòu)的產(chǎn)品服務(wù)提供、訂閱申請(qǐng)API的時(shí)間進(jìn)行了規(guī)定，并要求最后賬戶信息和交易類API的實(shí)施時(shí)間將在政策發(fā)布一年內(nèi)再行決定。實(shí)際上，部分國(guó)家和地區(qū)并未對(duì)開(kāi)放數(shù)據(jù)的范圍及權(quán)限做出限制性規(guī)定，如歐盟、新加坡等。

開(kāi)放銀行的數(shù)據(jù)安全

為確保數(shù)據(jù)安全、防止信息泄露，多個(gè)國(guó)家要求對(duì)使用數(shù)據(jù)的用戶進(jìn)行身份驗(yàn)證。英國(guó)出于對(duì)消費(fèi)者信息保護(hù)的考慮，對(duì)訪問(wèn)數(shù)據(jù)的第三方服務(wù)機(jī)構(gòu)進(jìn)行了嚴(yán)格限制，要求第三方服務(wù)提供商在訪問(wèn)數(shù)據(jù)前必須獲得相關(guān)機(jī)構(gòu)批準(zhǔn)，同時(shí)還要通過(guò)開(kāi)放銀行的模擬測(cè)試。在此過(guò)程中，第三方服務(wù)提供商也必須保證其業(yè)務(wù)模式符合PSD2指令，具有完備的安全措施。澳大利亞則先后發(fā)布《競(jìng)爭(zhēng)與消費(fèi)者法令（2010）》與《隱私法案》等政策法規(guī)，以保障開(kāi)放銀行數(shù)據(jù)共享時(shí)的用戶安全。2017年，美國(guó)發(fā)布《消費(fèi)者金融數(shù)據(jù)共享和整合原則》，賦予消費(fèi)者對(duì)未經(jīng)授權(quán)的信息獲取提出質(zhì)疑和要求解決爭(zhēng)議的權(quán)利。

我國(guó)開(kāi)放銀行存在的主要問(wèn)題

一是缺乏對(duì)開(kāi)放銀行的政策指導(dǎo)。2018年開(kāi)始，我國(guó)多家大型商業(yè)銀行及股份制商業(yè)銀行相繼推出開(kāi)放銀行。但截至目前，我國(guó)開(kāi)放銀行仍處于探索初期階段，主要依靠市場(chǎng)自發(fā)驅(qū)動(dòng)來(lái)推動(dòng)金融機(jī)構(gòu)數(shù)據(jù)共享的進(jìn)程。由于缺乏宏觀政策引導(dǎo)和自上而下的總體規(guī)劃，導(dǎo)致我國(guó)開(kāi)放銀行發(fā)展水平參差不齊。一方面，是銀行之間及互聯(lián)網(wǎng)公司之間的發(fā)展失衡。一小部分大銀行憑借自身規(guī)模效應(yīng)已開(kāi)始自行搭建開(kāi)放銀行平臺(tái)，而大部分小銀行由于技術(shù)限制尚未形成開(kāi)放體系；同樣，部分大型互聯(lián)網(wǎng)公司逐步開(kāi)始獲取共享信息，并構(gòu)建起完善的信息處理系統(tǒng)，導(dǎo)致少數(shù)大型非銀行支付機(jī)構(gòu)對(duì)數(shù)據(jù)的壟斷。若今后不加以政策引導(dǎo)，這種不平衡將持續(xù)加劇。另一方面，是銀行與非銀行機(jī)構(gòu)之間的效益不平等。相比第三方非銀行機(jī)構(gòu)利用開(kāi)放銀行共享銀行數(shù)據(jù)、拓展業(yè)務(wù)范圍，目前銀行尚不能從金融數(shù)據(jù)共享中獲得更大收益，反而可能面臨用戶減少、利潤(rùn)損失等風(fēng)險(xiǎn)。

二是監(jiān)管體系尚不完善，監(jiān)管框架較為單一?，F(xiàn)階段，我國(guó)對(duì)開(kāi)放銀行尚未形成全面、完整的監(jiān)管框架。一方面，我國(guó)的開(kāi)放銀行監(jiān)管政策較為單一。2020年2月，中國(guó)人民銀行發(fā)布《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》，細(xì)化了商業(yè)銀行API的類型與安全級(jí)別、安全設(shè)計(jì)、安全部署、安全集成、安全運(yùn)維、服務(wù)終止與系統(tǒng)下線、安全管理等安全技術(shù)與安全保障要求。這是我國(guó)首次對(duì)API做出規(guī)范，開(kāi)放銀行由此有了明確的技術(shù)標(biāo)準(zhǔn)。但與英國(guó)等發(fā)達(dá)國(guó)家相比，我國(guó)開(kāi)放銀行監(jiān)管框架仍較為單一。另一方面，我國(guó)開(kāi)放銀行監(jiān)管框架界限劃分也不明確。目前我國(guó)各金融機(jī)構(gòu)主要依靠市場(chǎng)驅(qū)動(dòng)推進(jìn)開(kāi)放銀行，缺乏明確的監(jiān)管主體。此外，互聯(lián)網(wǎng)公司等第三方機(jī)構(gòu)尚未被列入我國(guó)的監(jiān)管框架，而互聯(lián)網(wǎng)公司作為數(shù)據(jù)共享的重要一環(huán)，其風(fēng)控能力、合規(guī)要求等與開(kāi)放銀行的信息安全息息相關(guān)。在這一背景下，一旦風(fēng)險(xiǎn)較高或資質(zhì)不健全的機(jī)構(gòu)進(jìn)入市場(chǎng)，極易造成數(shù)據(jù)濫用、信息泄露等現(xiàn)象。

三是數(shù)據(jù)開(kāi)放規(guī)則尚不明確。開(kāi)放銀行的核心在于金融數(shù)據(jù)的開(kāi)放共享，因此，數(shù)據(jù)規(guī)范及管理將直接影響開(kāi)放銀行的安全性及穩(wěn)定性。目前，我國(guó)尚未對(duì)金融數(shù)據(jù)的開(kāi)放規(guī)則做出明確規(guī)定。一方面，數(shù)據(jù)的開(kāi)放范圍及權(quán)限尚未確定。如果信息可任意共享，很可能會(huì)導(dǎo)致金融行業(yè)重要數(shù)據(jù)的泄漏、信息真?zhèn)坞y辨，甚至對(duì)我國(guó)金融體系的安全造成威脅。另一方面，我國(guó)仍缺乏對(duì)數(shù)據(jù)使用及存儲(chǔ)等方面的要求，一旦用戶信息泄露，或使用偽造數(shù)據(jù)，將直接影響正常數(shù)據(jù)的使用，并給開(kāi)放銀行的發(fā)展帶來(lái)消極影響。這需要對(duì)共享數(shù)據(jù)的使用時(shí)間進(jìn)行限制，以有效防止數(shù)據(jù)被惡意篡改或儲(chǔ)存。此外，現(xiàn)實(shí)生活中，數(shù)據(jù)分散在政府部門、金融機(jī)構(gòu)、互聯(lián)網(wǎng)平臺(tái)之間，數(shù)據(jù)整合在法律、技術(shù)和利益等方面也存在亟待攻破的難關(guān)。

四是數(shù)據(jù)保護(hù)意識(shí)、風(fēng)險(xiǎn)防御能力薄弱。銀行客戶數(shù)據(jù)可以讓更多金融機(jī)構(gòu)深入挖掘客戶信息、拓展業(yè)務(wù)邊界，但同時(shí)也帶來(lái)了保障客戶信息安全的責(zé)任與義務(wù)。一方面，數(shù)據(jù)訪問(wèn)主體增多會(huì)加大數(shù)據(jù)的安全風(fēng)險(xiǎn)。開(kāi)放銀行通過(guò)API等技術(shù)連接起多個(gè)數(shù)據(jù)共享主體，任一關(guān)聯(lián)方的連接處如果出現(xiàn)安全問(wèn)題或授權(quán)設(shè)置不正確，都可能給整個(gè)系統(tǒng)帶來(lái)數(shù)據(jù)泄漏的風(fēng)險(xiǎn)，使客戶信息被非法獲得。另一方面，互聯(lián)網(wǎng)渠道本身也存在數(shù)據(jù)安全風(fēng)險(xiǎn)。開(kāi)放銀行接口屬于外部服務(wù)，存在訪問(wèn)漏洞等安全隱患，一旦該漏洞被發(fā)現(xiàn)并被惡意利用，將導(dǎo)致服務(wù)器入侵等不利后果。其他問(wèn)題還包括：我國(guó)對(duì)開(kāi)放銀行尚未建立用戶授權(quán)收回機(jī)制，導(dǎo)致用戶授權(quán)時(shí)很難自主選擇或進(jìn)行更改；我國(guó)也未建立對(duì)開(kāi)放銀行爭(zhēng)議責(zé)任識(shí)別和劃分的法律體系，在用戶利益受到損傷后，難以通過(guò)合法有效的渠道加以解決。此外，開(kāi)放銀行本身也存在技術(shù)漏洞、系統(tǒng)失靈、風(fēng)險(xiǎn)控制等操作風(fēng)險(xiǎn)及系統(tǒng)性風(fēng)險(xiǎn)，而我國(guó)對(duì)這些風(fēng)險(xiǎn)的防控能力仍然有所欠缺。

對(duì)我國(guó)發(fā)展開(kāi)放銀行的建議

新冠肺炎疫情暴發(fā)后，“非接觸銀行”服務(wù)需求大大增加。我國(guó)銀行業(yè)應(yīng)進(jìn)一步踐行開(kāi)放銀行理念，融入場(chǎng)景，加強(qiáng)合作，構(gòu)建集金融服務(wù)和非金融服務(wù)為一體的非接觸服務(wù)生態(tài)系統(tǒng)，以全方位、一體化來(lái)滿足客戶的各種需求。為此，應(yīng)加強(qiáng)相關(guān)制度建設(shè)，完善監(jiān)管框架，強(qiáng)化風(fēng)險(xiǎn)管理，推動(dòng)數(shù)據(jù)開(kāi)放。相關(guān)建議如下：

一是出臺(tái)針對(duì)開(kāi)放銀行的法律法規(guī)，推動(dòng)數(shù)據(jù)開(kāi)放共享。2019年8月，央行發(fā)布《金融科技（FinTech）發(fā)展規(guī)劃（2019—2021年）》，提出要借助應(yīng)用程序編程接口（API）、軟件開(kāi)發(fā)工具包（SDK）等手段，深化跨界合作，借助各行業(yè)優(yōu)質(zhì)渠道資源，打造新型商業(yè)范式，實(shí)現(xiàn)資源最大化利用，構(gòu)建開(kāi)放、合作、共贏的金融服務(wù)生態(tài)體系。這標(biāo)志著國(guó)家將助力開(kāi)放銀行的發(fā)展，進(jìn)一步推動(dòng)數(shù)據(jù)共享與合作。而基于我國(guó)開(kāi)放銀行目前處在發(fā)展初期，因而在推進(jìn)的進(jìn)程中，一方面需要市場(chǎng)的包容；另一方面則需要一套完整的法律體系作為支撐。就前者而言，開(kāi)放銀行作為降低金融行業(yè)壁壘、減少金融機(jī)構(gòu)不必要成本的一項(xiàng)重要舉措，政策應(yīng)秉持包容的態(tài)度，發(fā)揮市場(chǎng)驅(qū)動(dòng)效用；各金融機(jī)構(gòu)則應(yīng)及時(shí)把握市場(chǎng)運(yùn)行規(guī)律，適應(yīng)市場(chǎng)發(fā)展趨勢(shì)，并適當(dāng)結(jié)合監(jiān)管政策，加快開(kāi)放銀行的發(fā)展進(jìn)程。就后者而言，法律是一切新興事物平穩(wěn)發(fā)展的基礎(chǔ)，健全的法律體系對(duì)于保障開(kāi)放銀行行穩(wěn)致遠(yuǎn)不可或缺。鑒此，國(guó)家應(yīng)盡快出臺(tái)針對(duì)開(kāi)放銀行的政策指引及綱領(lǐng)性文件，明確監(jiān)管主體，制定開(kāi)放銀行的推進(jìn)規(guī)劃，協(xié)調(diào)和保障銀行與第三方機(jī)構(gòu)間的利益關(guān)系，形成開(kāi)放銀行與各參與方協(xié)同推進(jìn)、互利共贏的新格局。

二是完善開(kāi)放銀行的監(jiān)管框架，制定數(shù)據(jù)共享規(guī)則。2020年4月，《中共中央 國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》發(fā)布，將數(shù)據(jù)作為一種新型生產(chǎn)要素，要求充分發(fā)揮數(shù)據(jù)對(duì)其他要素效率的倍增作用，培育發(fā)展數(shù)據(jù)要素市場(chǎng)，使大數(shù)據(jù)成為推動(dòng)經(jīng)濟(jì)高質(zhì)量發(fā)展的新動(dòng)能。目前我國(guó)只是出臺(tái)了API接口技術(shù)標(biāo)準(zhǔn)，開(kāi)放銀行監(jiān)管框架較為單薄，在一定程度上制約了開(kāi)放銀行的發(fā)展。鑒此，監(jiān)管部門應(yīng)在API接口技術(shù)指標(biāo)的基礎(chǔ)上，進(jìn)一步對(duì)監(jiān)管范圍進(jìn)行明確，重點(diǎn)是將第三方機(jī)構(gòu)納入監(jiān)管范疇，厘清銀行與第三方機(jī)構(gòu)間的法律關(guān)系，以減少由于信息濫用、盜用等產(chǎn)生的不安全問(wèn)題。與此同時(shí)，監(jiān)管部門還應(yīng)盡快出臺(tái)開(kāi)放銀行金融數(shù)據(jù)共享業(yè)務(wù)準(zhǔn)則，明確數(shù)據(jù)的開(kāi)放范圍及權(quán)限，以減少數(shù)據(jù)冗雜、數(shù)據(jù)濫用對(duì)數(shù)據(jù)共享的負(fù)面影響，促進(jìn)開(kāi)放銀行技術(shù)標(biāo)準(zhǔn)化體系的發(fā)展，進(jìn)而建立起科學(xué)的標(biāo)準(zhǔn)化框架體系。

三是注重用戶信息監(jiān)管保護(hù)，推動(dòng)數(shù)據(jù)有序開(kāi)放。2020年2月，央行發(fā)布《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》，從安全技術(shù)和安全管理兩個(gè)方面明確個(gè)人金融信息在收集、傳輸、存儲(chǔ)、使用、刪除、銷毀等環(huán)節(jié)的安全防護(hù)要求。監(jiān)管部門應(yīng)進(jìn)一步加強(qiáng)對(duì)開(kāi)放銀行用戶信息的保護(hù)，建立健全安全性評(píng)估及技術(shù)安全性指標(biāo)體系，完善信息發(fā)布和開(kāi)放服務(wù)風(fēng)險(xiǎn)補(bǔ)償機(jī)制。其重點(diǎn)是，建立開(kāi)放銀行爭(zhēng)議責(zé)任識(shí)別及處理的法律規(guī)范，為用戶提供糾紛解決渠道。從歐盟發(fā)布的《通用數(shù)據(jù)保護(hù)條例》（GDPR）看，其將一系列新興支付方式納入了監(jiān)管范圍，并對(duì)數(shù)字及網(wǎng)絡(luò)安全提出了非常嚴(yán)格的監(jiān)管要求。對(duì)此，應(yīng)該看到，信息安全固然需要堅(jiān)持，但要實(shí)現(xiàn)開(kāi)放銀行理念，也需要有序推動(dòng)數(shù)據(jù)的開(kāi)放共享。因此，針對(duì)用戶信息的安全保護(hù)，監(jiān)管部門應(yīng)注意維持個(gè)人信息保護(hù)與數(shù)據(jù)共享關(guān)系的平衡，一方面，可根據(jù)用戶信息敏感性差異，開(kāi)展不同程度的數(shù)據(jù)共享及保護(hù)；另一方面，應(yīng)建立用戶授權(quán)收回機(jī)制來(lái)保障金融消費(fèi)者的合法權(quán)益，同時(shí)對(duì)第三方機(jī)構(gòu)有權(quán)獲取的數(shù)據(jù)類型、數(shù)據(jù)內(nèi)容、儲(chǔ)存時(shí)間等做出嚴(yán)格規(guī)定，以確保數(shù)據(jù)共享是在用戶授權(quán)的前提下有序進(jìn)行的。

四是加強(qiáng)對(duì)開(kāi)放銀行的風(fēng)險(xiǎn)監(jiān)測(cè)，提升其風(fēng)險(xiǎn)管理能力。監(jiān)管部門應(yīng)建立健全開(kāi)放銀行風(fēng)險(xiǎn)監(jiān)測(cè)體系，及時(shí)發(fā)現(xiàn)并處理風(fēng)險(xiǎn)，提升對(duì)風(fēng)險(xiǎn)的管控能力。一方面，要加強(qiáng)對(duì)開(kāi)放銀行安全防控體系的建設(shè)力度，定期進(jìn)行風(fēng)險(xiǎn)排查及安全評(píng)估，并根據(jù)開(kāi)放信息敏感程度的不同對(duì)開(kāi)放銀行進(jìn)行差異化管理，以提升數(shù)據(jù)的安全性和風(fēng)控水平；另一方面，鑒于開(kāi)放銀行蘊(yùn)含有更多的技術(shù)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)及系統(tǒng)性風(fēng)險(xiǎn)，因而除了要考慮審慎監(jiān)管、行為監(jiān)管外，還要充分借助監(jiān)管科技（RegTech），來(lái)提升監(jiān)管能力和效率。具體而言，可以運(yùn)用區(qū)塊鏈等技術(shù)手段，構(gòu)建以數(shù)據(jù)驅(qū)動(dòng)監(jiān)管為核心的智能化實(shí)時(shí)監(jiān)管，形成開(kāi)放銀行各參與方的互聯(lián)機(jī)制，以打破傳統(tǒng)金融監(jiān)管的困境。

鑒于開(kāi)放銀行涉及的參與主體范圍廣泛，各主體的風(fēng)險(xiǎn)識(shí)別、防控手段又存在較大差異，因而對(duì)開(kāi)放銀行風(fēng)險(xiǎn)監(jiān)測(cè)和持續(xù)監(jiān)管還應(yīng)展開(kāi)進(jìn)一步的探索。