开放银行国际监管经验借鉴

文/董希淼 朱美璇 编辑/韩英彤

近年来，开放银行（Open Banking）逐步兴起。英国、欧盟、澳大利亚、中国香港等国家和地区作为开放银行的先行者，已经形成了较为完善的监管体系，而我国的开放银行尚处在探索阶段。新冠肺炎疫情暴发以来，“非接触银行”服务备受关注，对开放银行的发展也提出了新的要求。

开放银行发展及国际监管经验

开放银行的监管体系

随着开放银行不断付诸实践，多个国家/地区开始制定并完善监管框架，构建完整的监管体系。2015年，英国设立开放银行工作组（OBWG）并发布了《开放银行标准框架》，指导开放银行的服务及相关事项，还设立了独立机构监督管理该政策的落实进程，处理银行与客户的纠纷。2016年，新加坡金融管理局联合新加坡银行协会发布了《API指导手册》，对开放银行各参与主体提出了行动指南及相应的数据安全指导建议。2017年，日本议会通过《日本银行法案（修正案）》，明确金融公司间实施数据共享，保障用户能够管理跨机构账户信息。2018年，中国香港金融管理局出台《香港银行业Open API框架咨询文件》及银行业开放应用程序接口框架，要求银行提供核心板块的所有功能，并逐步提供API。2018年，日本金融厅颁布《电子决算新修订法案》，规定电子支付代理业者登录使用银行的数据及服务。2018年5月，澳大利亚政府采纳金杜律师事务所的《开放银行调查建议》，对开放银行监管框架、监管体系等进行了规范。

开放银行的数据范围及权限

在健全的监管体制下，部分国家进一步明确了开放银行的实施路径，以及数据的开放范围及权限。2015年，英国发布《开放银行标准框架》，将金融数据分为五类：开放数据、客户交易数据、客户参考数据、聚合数据和商业敏感数据，并根据每类数据涉及的用户隐私程度的不同，对第三方机构设置不同的读写权限。澳大利亚也将银行包含的数据范围进行了分类，并明确规定客户提供的数据、交易数据等属于数据共享范围，而增值客户数据、聚合数据等因为风险较高，则不能列入银行数据共享的范畴。2018年，中国香港金管局出台政策，对金融机构的产品服务提供、订阅申请API的时间进行了规定，并要求最后账户信息和交易类API的实施时间将在政策发布一年内再行决定。实际上，部分国家和地区并未对开放数据的范围及权限做出限制性规定，如欧盟、新加坡等。

开放银行的数据安全

为确保数据安全、防止信息泄露，多个国家要求对使用数据的用户进行身份验证。英国出于对消费者信息保护的考虑，对访问数据的第三方服务机构进行了严格限制，要求第三方服务提供商在访问数据前必须获得相关机构批准，同时还要通过开放银行的模拟测试。在此过程中，第三方服务提供商也必须保证其业务模式符合PSD2指令，具有完备的安全措施。澳大利亚则先后发布《竞争与消费者法令（2010）》与《隐私法案》等政策法规，以保障开放银行数据共享时的用户安全。2017年，美国发布《消费者金融数据共享和整合原则》，赋予消费者对未经授权的信息获取提出质疑和要求解决争议的权利。

我国开放银行存在的主要问题

一是缺乏对开放银行的政策指导。2018年开始，我国多家大型商业银行及股份制商业银行相继推出开放银行。但截至目前，我国开放银行仍处于探索初期阶段，主要依靠市场自发驱动来推动金融机构数据共享的进程。由于缺乏宏观政策引导和自上而下的总体规划，导致我国开放银行发展水平参差不齐。一方面，是银行之间及互联网公司之间的发展失衡。一小部分大银行凭借自身规模效应已开始自行搭建开放银行平台，而大部分小银行由于技术限制尚未形成开放体系；同样，部分大型互联网公司逐步开始获取共享信息，并构建起完善的信息处理系统，导致少数大型非银行支付机构对数据的垄断。若今后不加以政策引导，这种不平衡将持续加剧。另一方面，是银行与非银行机构之间的效益不平等。相比第三方非银行机构利用开放银行共享银行数据、拓展业务范围，目前银行尚不能从金融数据共享中获得更大收益，反而可能面临用户减少、利润损失等风险。

二是监管体系尚不完善，监管框架较为单一。现阶段，我国对开放银行尚未形成全面、完整的监管框架。一方面，我国的开放银行监管政策较为单一。2020年2月，中国人民银行发布《商业银行应用程序接口安全管理规范》，细化了商业银行API的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。这是我国首次对API做出规范，开放银行由此有了明确的技术标准。但与英国等发达国家相比，我国开放银行监管框架仍较为单一。另一方面，我国开放银行监管框架界限划分也不明确。目前我国各金融机构主要依靠市场驱动推进开放银行，缺乏明确的监管主体。此外，互联网公司等第三方机构尚未被列入我国的监管框架，而互联网公司作为数据共享的重要一环，其风控能力、合规要求等与开放银行的信息安全息息相关。在这一背景下，一旦风险较高或资质不健全的机构进入市场，极易造成数据滥用、信息泄露等现象。

三是数据开放规则尚不明确。开放银行的核心在于金融数据的开放共享，因此，数据规范及管理将直接影响开放银行的安全性及稳定性。目前，我国尚未对金融数据的开放规则做出明确规定。一方面，数据的开放范围及权限尚未确定。如果信息可任意共享，很可能会导致金融行业重要数据的泄漏、信息真伪难辨，甚至对我国金融体系的安全造成威胁。另一方面，我国仍缺乏对数据使用及存储等方面的要求，一旦用户信息泄露，或使用伪造数据，将直接影响正常数据的使用，并给开放银行的发展带来消极影响。这需要对共享数据的使用时间进行限制，以有效防止数据被恶意篡改或储存。此外，现实生活中，数据分散在政府部门、金融机构、互联网平台之间，数据整合在法律、技术和利益等方面也存在亟待攻破的难关。

四是数据保护意识、风险防御能力薄弱。银行客户数据可以让更多金融机构深入挖掘客户信息、拓展业务边界，但同时也带来了保障客户信息安全的责任与义务。一方面，数据访问主体增多会加大数据的安全风险。开放银行通过API等技术连接起多个数据共享主体，任一关联方的连接处如果出现安全问题或授权设置不正确，都可能给整个系统带来数据泄漏的风险，使客户信息被非法获得。另一方面，互联网渠道本身也存在数据安全风险。开放银行接口属于外部服务，存在访问漏洞等安全隐患，一旦该漏洞被发现并被恶意利用，将导致服务器入侵等不利后果。其他问题还包括：我国对开放银行尚未建立用户授权收回机制，导致用户授权时很难自主选择或进行更改；我国也未建立对开放银行争议责任识别和划分的法律体系，在用户利益受到损伤后，难以通过合法有效的渠道加以解决。此外，开放银行本身也存在技术漏洞、系统失灵、风险控制等操作风险及系统性风险，而我国对这些风险的防控能力仍然有所欠缺。

对我国发展开放银行的建议

新冠肺炎疫情暴发后，“非接触银行”服务需求大大增加。我国银行业应进一步践行开放银行理念，融入场景，加强合作，构建集金融服务和非金融服务为一体的非接触服务生态系统，以全方位、一体化来满足客户的各种需求。为此，应加强相关制度建设，完善监管框架，强化风险管理，推动数据开放。相关建议如下：

一是出台针对开放银行的法律法规，推动数据开放共享。2019年8月，央行发布《金融科技（FinTech）发展规划（2019—2021年）》，提出要借助应用程序编程接口（API）、软件开发工具包（SDK）等手段，深化跨界合作，借助各行业优质渠道资源，打造新型商业范式，实现资源最大化利用，构建开放、合作、共赢的金融服务生态体系。这标志着国家将助力开放银行的发展，进一步推动数据共享与合作。而基于我国开放银行目前处在发展初期，因而在推进的进程中，一方面需要市场的包容；另一方面则需要一套完整的法律体系作为支撑。就前者而言，开放银行作为降低金融行业壁垒、减少金融机构不必要成本的一项重要举措，政策应秉持包容的态度，发挥市场驱动效用；各金融机构则应及时把握市场运行规律，适应市场发展趋势，并适当结合监管政策，加快开放银行的发展进程。就后者而言，法律是一切新兴事物平稳发展的基础，健全的法律体系对于保障开放银行行稳致远不可或缺。鉴此，国家应尽快出台针对开放银行的政策指引及纲领性文件，明确监管主体，制定开放银行的推进规划，协调和保障银行与第三方机构间的利益关系，形成开放银行与各参与方协同推进、互利共赢的新格局。

二是完善开放银行的监管框架，制定数据共享规则。2020年4月，《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》发布，将数据作为一种新型生产要素，要求充分发挥数据对其他要素效率的倍增作用，培育发展数据要素市场，使大数据成为推动经济高质量发展的新动能。目前我国只是出台了API接口技术标准，开放银行监管框架较为单薄，在一定程度上制约了开放银行的发展。鉴此，监管部门应在API接口技术指标的基础上，进一步对监管范围进行明确，重点是将第三方机构纳入监管范畴，厘清银行与第三方机构间的法律关系，以减少由于信息滥用、盗用等产生的不安全问题。与此同时，监管部门还应尽快出台开放银行金融数据共享业务准则，明确数据的开放范围及权限，以减少数据冗杂、数据滥用对数据共享的负面影响，促进开放银行技术标准化体系的发展，进而建立起科学的标准化框架体系。

三是注重用户信息监管保护，推动数据有序开放。2020年2月，央行发布《个人金融信息保护技术规范》，从安全技术和安全管理两个方面明确个人金融信息在收集、传输、存储、使用、删除、销毁等环节的安全防护要求。监管部门应进一步加强对开放银行用户信息的保护，建立健全安全性评估及技术安全性指标体系，完善信息发布和开放服务风险补偿机制。其重点是，建立开放银行争议责任识别及处理的法律规范，为用户提供纠纷解决渠道。从欧盟发布的《通用数据保护条例》（GDPR）看，其将一系列新兴支付方式纳入了监管范围，并对数字及网络安全提出了非常严格的监管要求。对此，应该看到，信息安全固然需要坚持，但要实现开放银行理念，也需要有序推动数据的开放共享。因此，针对用户信息的安全保护，监管部门应注意维持个人信息保护与数据共享关系的平衡，一方面，可根据用户信息敏感性差异，开展不同程度的数据共享及保护；另一方面，应建立用户授权收回机制来保障金融消费者的合法权益，同时对第三方机构有权获取的数据类型、数据内容、储存时间等做出严格规定，以确保数据共享是在用户授权的前提下有序进行的。

四是加强对开放银行的风险监测，提升其风险管理能力。监管部门应建立健全开放银行风险监测体系，及时发现并处理风险，提升对风险的管控能力。一方面，要加强对开放银行安全防控体系的建设力度，定期进行风险排查及安全评估，并根据开放信息敏感程度的不同对开放银行进行差异化管理，以提升数据的安全性和风控水平；另一方面，鉴于开放银行蕴含有更多的技术风险、操作风险及系统性风险，因而除了要考虑审慎监管、行为监管外，还要充分借助监管科技（RegTech），来提升监管能力和效率。具体而言，可以运用区块链等技术手段，构建以数据驱动监管为核心的智能化实时监管，形成开放银行各参与方的互联机制，以打破传统金融监管的困境。

鉴于开放银行涉及的参与主体范围广泛，各主体的风险识别、防控手段又存在较大差异，因而对开放银行风险监测和持续监管还应展开进一步的探索。