宋科 袁陽

近年來，科技發(fā)展給銀行帶來了轉型動力，而開放銀行即為一種可預見的發(fā)展形態(tài)。在開放生態(tài)逐步形成的過程中，全球范圍內都將面臨技術風險、數(shù)據(jù)安全、個人隱私以及標準缺失等諸多挑戰(zhàn)，急需開放銀行在自身不斷完善的同時，依靠監(jiān)管部門提供有效公共產(chǎn)品，進一步完善法律法規(guī)建設，通過多方協(xié)作構建開放共贏的生態(tài)。

開放銀行發(fā)展急需更好的監(jiān)管政策環(huán)境

近年來，科技發(fā)展給銀行帶來了轉型動力，而開放銀行即為一種可預見的發(fā)展形態(tài)。放眼全球，盡管開放順序有先后、內容有差異、重點有不同，但在新一輪技術革命推動下，加快開放已是全球大勢。目前，已有30多個國家和地區(qū)采納或正在考慮采納開放銀行模式。從移動互聯(lián)到萬物互聯(lián)，從消費互聯(lián)網(wǎng)到產(chǎn)業(yè)互聯(lián)網(wǎng)，開放銀行將擁有更多的應用場景和發(fā)展空間，未來還將形成至少包括“賬戶層-中間層-生態(tài)層-監(jiān)管層”等四層在內的廣義開放銀行生態(tài)。其中，由金融機構組成的賬戶層主要為開放生態(tài)提供數(shù)據(jù)及底層金融服務，中間層在開放生態(tài)中主要承擔數(shù)據(jù)流通和技術支持作用，擁有大量應用場景的生態(tài)層作為開放生態(tài)中最接近客戶的一層，直接面向個人端（C端）、企業(yè)端（B端）用戶提供產(chǎn)品和解決方案，而監(jiān)管層則提供監(jiān)管支持與政策規(guī)范，致力于促進多方共同協(xié)作，實現(xiàn)消費者價值最大化。

當前，在開放生態(tài)逐步形成的過程中，全球范圍內都將面臨技術風險、數(shù)據(jù)安全、個人隱私以及標準缺失等諸多挑戰(zhàn)，急需開放銀行在自身不斷完善的同時，依靠監(jiān)管部門提供有效公共產(chǎn)品，進一步完善法律法規(guī)建設，通過多方協(xié)作構建開放共贏的生態(tài)。

構建開放銀行監(jiān)管體系的全球經(jīng)驗

當前，全球各地對開放銀行的監(jiān)管態(tài)度和政策各有不同。作為先驅者的歐盟和英國分別出臺了《支付服務指令Ⅱ》（PSD 2）和《開放銀行標準框架》等政策文件，以促進市場競爭，倒逼銀行創(chuàng)新并增強用戶體驗。新加坡政府更像是開放環(huán)境建設者，不僅主動開放政務數(shù)據(jù)，還通過發(fā)布應用程序接口（Application Programming Interface，簡稱API）手冊，建立各方交流平臺等措施營造良好外部環(huán)境。而同樣處于亞太地區(qū)的中國香港對于數(shù)據(jù)隱私的開放相對謹慎，主要采取觀察與跟隨策略，根據(jù)其他地區(qū)實踐經(jīng)驗分階段推進開放。美國則屬于典型的市場引導模式，政府只站在整體角度出臺一些原則性指南，而共享標準、技術規(guī)范等基本都由市場自行開發(fā)制定。與早期領先的國家和地區(qū)相比，我國開放銀行的早期政策關注度不高，此前只有《商業(yè)銀行應用程序接口安全管理規(guī)范》（JR/T 0185—2020）等較少的監(jiān)管規(guī)范出臺。

歐盟：破局銀行轉型，引領開放潮流

歐盟針對開放銀行監(jiān)管政策源于2007年發(fā)布的《支付服務指令》（Payment Service Directive，簡稱PSD）和2015年發(fā)布的《支付服務指令Ⅱ》（PSD 2），無論是在開放銀行發(fā)展，還是在全球監(jiān)管政策方面，均處于全球領先地位。

一是引導與規(guī)范性政策。從 PSD到PSD 2，歐盟監(jiān)管呈現(xiàn)出分類逐漸細化，對金融科技重視程度逐步提升的趨勢。PSD規(guī)定了可以提供支付服務的信用機構、部分當局和電子貨幣機構三類機構（PSP）。PSD 2對支付服務提供商作了進一步細分，開放生態(tài)參與方分為最終用戶（PSU）、提供API服務的賬戶服務支付服務提供商（ASPSP）以及第三方支付服務提供商（TPP）。TPP又進一步分為提供支付發(fā)起服務商、提供賬戶信息服務商和卡基支付服務提供商。不同的第三方支付服務提供商在使用ASPSP提供的API時，其數(shù)據(jù)訪問權限也不同。二是監(jiān)督與限制性政策。上述兩個文件都非常重視對消費者的保護，這不僅體現(xiàn)在交易安全上，還包括用戶隱私等方面。對于準入管理，PSD 2要求在在線登錄、電子支付和遠程支付等應用場景下，PSP必須使用強客戶身份驗證;如發(fā)生未經(jīng)用戶授權的支付交易，付款方的PSP負有首要責任，用戶自身只須承擔很小的責任;對數(shù)據(jù)隱私安全的規(guī)定則依照《個人數(shù)據(jù)保護指令》（Directive 95/46/EC）及《通用數(shù)據(jù)保護條例》（GDPR）等相關法律執(zhí)行。PSD 2的實施從根本上改變了歐洲經(jīng)濟區(qū)提供支付服務的監(jiān)管環(huán)境。自2015年11月PSD 2實施以來，歐洲支付科技企業(yè)數(shù)量出現(xiàn)了迅速而短暫的激增。隨著該指令在各國轉化為法律文件，2018年新進入者的數(shù)量有所下降，但仍保持在高于PSD 2通過前的水平。

英國：明晰標準規(guī)劃，促進市場競爭

英國監(jiān)管政策以2016年開放銀行工作組（OBWG）發(fā)布的《開放銀行標準框架》為代表，其中核心內容為“三大標準”和“一個治理模式”。此外，英國金融市場行為管理局已將英國脫歐引起的某些監(jiān)管政策變化置于“停頓”狀態(tài)。目前，英國開放銀行仍遵循PSD 2的條例規(guī)定。

一是引導與規(guī)范性政策。OBWG將數(shù)據(jù)分為開放數(shù)據(jù)、客戶交易數(shù)據(jù)、客戶參考數(shù)據(jù)、聚合數(shù)據(jù)、商業(yè)敏感數(shù)據(jù)五類，對不同的第三方合作機構匹配不同的數(shù)據(jù)共享權限。二是監(jiān)督與限制性政策。OBWG在用戶同意、身份認證、欺詐監(jiān)控、用戶授權四個方面提出了相關意見。銀行與第三方共享數(shù)據(jù)的過程必須征得用戶同意，并建議使用和新一代互聯(lián)網(wǎng)開放標準相協(xié)同的身份認證協(xié)議，為防范用戶授權的惡意使用情況，還要求給予用戶及數(shù)據(jù)提供者撤銷數(shù)據(jù)授權的選擇，對授權的持續(xù)時間進行約束。此外，為確保開放銀行標準的落實和推進，OBWG還呼吁采用一個有效的治理模式來統(tǒng)籌全局，如設置獨立機構以跟蹤并監(jiān)督開放銀行標準的落實，賦予其審查第三方的權力，創(chuàng)建事故處理機制，在兼顧PSD2相關要求及資金成本的情況下分階段逐步引入治理模式。三是行業(yè)自律。2018年11月，英國標準協(xié)會發(fā)布《支持金融科技公司與金融機構合作-指南（PAS201：2018）》，內容包括流程范圍、術語和定義、合作篩選流程、合作篩選總體要求、商業(yè)計劃及市場定位等九個部分，要求金融機構和金融科技公司承擔更多用戶信息的保護責任。

新加坡：營造開放環(huán)境，加強國際協(xié)作

從開放銀行生態(tài)結構來看，新加坡政府強勢主導中間層建設，金融管理局（MAS）提供數(shù)據(jù)流通和技術支持，與銀行及其他創(chuàng)新型企業(yè)一同構建開放生態(tài)環(huán)境。

一是引導與規(guī)范性政策。2013年，新加坡政府推出Sing Pass（類似自然人憑證）服務，作為新加坡政府網(wǎng)站的通行證。2016年11月， MAS與新加坡銀行協(xié)會合作發(fā)布一份路線圖《金融即服務：API手冊》，根據(jù)重要性篩選了411個API（對應700多個業(yè)務流程），并對每一個API提供了詳細的功能說明，在API選擇、設計、使用環(huán)節(jié)給出相應指導。該手冊把API參與者分為四類：通過API將數(shù)據(jù)共享出去的API提供者、使用API來訪問或發(fā)送數(shù)據(jù)的API消費者、作為行業(yè)創(chuàng)新先鋒的金融科技公司和開發(fā)者社區(qū)。該手冊還涵蓋了數(shù)據(jù)標準、API標準和安全標準三種標準。數(shù)據(jù)標準對通過API傳輸?shù)臄?shù)據(jù)（消息）語義、語法等進行了統(tǒng)一，為整個開放銀行行業(yè)提供一種通用的交流語言。實際應用中還要基于交換數(shù)據(jù)的類型、涉及的行業(yè)、區(qū)域差異三種不同條件確定最終要采納的數(shù)據(jù)標準。API標準在API架構、開發(fā)與部署、授權、版本等方面做了統(tǒng)一規(guī)范，以便于在整個行業(yè)內形成統(tǒng)一的API設計語言。二是監(jiān)督與限制性政策。該手冊提出的安全標準涵蓋了身份認證、授權、加密三塊內容，主要被用于保護通過API傳輸?shù)男畔?，從而確?？蛻魯?shù)據(jù)的安排。2020年10月，新加坡通信和信息部和個人數(shù)據(jù)保護委員會還聯(lián)合發(fā)布《個人數(shù)據(jù)保護法（修訂）》，增加了嚴重不當處理個人數(shù)據(jù)罪行，并提高了罰款上限。三是國際協(xié)作。MAS與國際清算銀行進行了金融科技系列合作，并于2019年成立新加坡創(chuàng)新中心。其重點項目領域包括監(jiān)管科技、中央銀行數(shù)字貨幣和下一代金融市場基礎設施相關開發(fā)等。

中國香港：借鑒各地經(jīng)驗，逐步推進開放

中國香港以《香港銀行業(yè)開放API框架》為依托，分階段、分步驟推進銀行業(yè)務開放與監(jiān)管。

具體來看，一是引導與規(guī)范性政策。2018年7月，香港金融管理局發(fā)布《香港銀行業(yè)開放API框架》，將API劃分為銀行的產(chǎn)品和服務細節(jié)API、產(chǎn)品和服務訂閱與申請API、賬戶信息API以及交易API四個類型，并提出設立中央資料庫、要求銀行在網(wǎng)站上公示所有API功能與架構等詳細說明、銀行提供示例代碼和沙盒以及積極開展相關研討會和競賽四項支持措施。具體實施分四個階段：2019年1月開始第一階段，主要開放銀行產(chǎn)品及服務資訊，共20家商業(yè)銀行參與其中，提供開放API超過500個。2019年10月開始第二階段，主要開放信用卡和貸款申請等內容，香港金管局在第二階段的規(guī)劃中提到，銀行在與第三方服務供應商（TSP）進行開放API合作時，要對第三方服務供應商進行審查并保持監(jiān)管。第三、四階段涉及對用戶資料和金融交易流程的詳細讀取，香港金管局計劃結合前期商業(yè)銀行的反饋和國際經(jīng)驗，再對API的開放制定更嚴格的監(jiān)管措施。二是監(jiān)督與限制性政策。中國香港極其重視數(shù)據(jù)隱私保護?！断愀坫y行業(yè)開放API框架第二階段共同基準》明確提到， TSP需要提供合理充分的文件與信息，向銀行證明收集客戶的個人數(shù)據(jù)是公平和透明的。此外，還要將不同用途的數(shù)據(jù)庫分開，確保數(shù)據(jù)庫保密性和完整性，并定期進行安全檢測。

美國：設立基本準則，市場自發(fā)驅動

得益于美國強大且成熟的金融系統(tǒng)與科技生態(tài)，美國開放銀行在沒有很強勢的監(jiān)管層介入的情況下，市場仍然能夠自發(fā)驅動并發(fā)展起來。

具體來看，一是引導與規(guī)范性政策。美國較為注重金融基礎設施建設，通過推動人工智能（AI）、第五代移動通信技術（5G）和政府民營并行的支付清算體系建設，營造了利于創(chuàng)新開放的良好外部環(huán)境。在數(shù)據(jù)開放方面，最為代表性的條例為“一個法案”和“九條指南”，即2010年通過的《多德-弗蘭克法案》和2017年發(fā)布的包括支付數(shù)據(jù)訪問、數(shù)據(jù)使用、消費者知情權、數(shù)據(jù)使用授權費用等在內的九條金融數(shù)據(jù)共享指南。2018年7月，美國財政部建議消費者金融保護局能夠根據(jù)《多德-弗蘭克法案》讓消費者授權的第三方訪問金融賬戶和交易數(shù)據(jù)。此外還希望讓企業(yè)從屏幕抓取轉向更安全的數(shù)據(jù)訪問方法，但表示解決方案應該由私營部門開發(fā)。直到目前，美國對數(shù)據(jù)開放相關技術的使用仍沒有統(tǒng)一標準，金融科技公司在申請數(shù)據(jù)開放時須與金融機構簽訂合作協(xié)議，設定責任條款。二是監(jiān)督與限制性政策。在數(shù)據(jù)隱私監(jiān)管方面，《格雷姆-里奇-比利雷法》和紐約州金融服務部通過的網(wǎng)絡安全法規(guī)“23 NYCRR 500”均對用戶數(shù)據(jù)的使用進行規(guī)范。2018年6月28日，《加州消費者隱私保護法案》（CCPA）問世，對個人信息范圍、消費者權利、企業(yè)義務和處罰力度等作出相關規(guī)定，被認為是美國“最貴”的數(shù)據(jù)法案。三是行業(yè)自律。2018年3月，美國自律性監(jiān)管組織金融業(yè)監(jiān)管局發(fā)布的《投資者警示》指出，API在開放數(shù)據(jù)方面提供了相較屏幕抓取更為安全的選擇。另外，金融數(shù)據(jù)標準組織平臺（FDX）主要為公司層面的客戶提供開放銀行數(shù)據(jù)接入的解決方案，旗下最新產(chǎn)品為FDX API 4.2 框架，主要包括金融數(shù)據(jù)分享準則、身份識別與授權準則、用戶使用準則與協(xié)議，其制定的API準則在一定程度上影響了開放銀行未來API的普適行業(yè)規(guī)則。

中國：提供技術指引，促進多方參與

不同于國外發(fā)展模式，國內相關監(jiān)管部門雖未對開放銀行提出具體指導意見，但是在開放模式創(chuàng)新、數(shù)據(jù)治理、助力小微企業(yè)發(fā)展等方面持續(xù)發(fā)聲，開放銀行逐步得到重視。

具體來看，一是引導與規(guī)范性政策。除開宏觀層面的發(fā)展規(guī)劃外，國家也出臺了API安全管理標準，為開放銀行的發(fā)展提供了指引?！渡虡I(yè)銀行應用程序接口安全管理規(guī)范》（JR/T 0185—2020）詳細規(guī)定了商業(yè)銀行應用程序接口的類型、安全技術與安全保障要求，指出商業(yè)銀行應用程序接口服務的主要參與方有用戶、應用方及商業(yè)銀行，并界定了各方扮演的角色及承擔的責任。用戶發(fā)起商業(yè)銀行應用程序接口應用請求，并接收處理結果。應用方負責接收并通過應用程序接口向商業(yè)銀行提交相關請求、接收返還結果，依照流程進行服務請求處理或反饋用戶。商業(yè)銀行通過API直接連接或用軟件開發(fā)工具包（SDK）間接連接的方式提供應用程序接口服務，實現(xiàn)商業(yè)銀行服務的對外輸出。二是監(jiān)督與限制性政策。在信息保護方面，《網(wǎng)絡安全法》《中國人民銀行金融消費者權益保護實施辦法》等已對消費者金融信息的收集和使用設立了合法、正當、必要的原則，《個人信息法》也將施行;在機構資質方面，《非金融機構支付服務管理辦法》也宣布對國內第三方支付行業(yè)實施正式的監(jiān)管，要求在提供支付服務前取得“支付業(yè)務許可證”。三是行業(yè)自律。目前，浦發(fā)銀行、太保集團、國泰君安證券等橫跨銀證保三個業(yè)態(tài)的12家機構簽署了開放金融聯(lián)盟協(xié)議，旨在聚合銀行、保險、證券等金融業(yè)態(tài)，加強成員間業(yè)務共享、科技賦能、生態(tài)共建等深度合作，隨著未來交流的深入，也將對國內開放銀行的發(fā)展起到推動作用。

加強我國開放銀行監(jiān)管的若干建議

基于開放銀行全球監(jiān)管經(jīng)驗與我國實際，現(xiàn)就當前和今后一個時期我國開放銀行監(jiān)管提出如下建議：

一是鼓勵開放共享，完善數(shù)據(jù)治理。要充分認識到開放是未來的必然趨勢，逐步加深開放程度，探索賬戶認證、信用評估等數(shù)據(jù)價值實現(xiàn)的可能性。除了提供良好的外部發(fā)展環(huán)境，也要充分發(fā)揮市場主體的作用，明確收益共享和風險分擔機制，以更好地平衡數(shù)據(jù)保護和開放的關系。要盡快出臺針對性的法律法規(guī)，明確各方權利和義務并加強教育和約束，從內到外保障數(shù)據(jù)隱私安全，加強數(shù)據(jù)治理成效。

二是明確開放范圍，促進多方共識。要對開放數(shù)據(jù)范圍進行有效界定，以應對開放生態(tài)各參與方對開放數(shù)據(jù)范圍界定存在的普遍差異，更好地促進開放銀行的有效推進?？紤]到部分用戶數(shù)據(jù)的敏感性，可明確針對不同階段或者不同目標群體的數(shù)據(jù)開放范圍，持續(xù)推進開放生態(tài)的建設和發(fā)展。

三是加強分級引導，逐步有序開放。要在充分借鑒和吸收不同國家和地區(qū)經(jīng)驗的基礎上，結合我國國情合理有序地推進開放銀行發(fā)展，在入口端完善第三方資質審核，增強準入管理，加強對消費者的數(shù)據(jù)授權安全保護，并把促進政務數(shù)據(jù)開放作為突破口，構建合理的開放模式和技術標準，在政策框架等方面進一步完善“軟設施”，在此基礎上根據(jù)風險治理能力對銀行等金融機構進行分級并引導其依次、有序開放。

（宋科為中國人民大學金融科技研究所執(zhí)行所長，袁陽為中國人民大學金融科技研究所助理研究員。本文編輯/王曄君）