開放銀行全球監(jiān)管：國際經(jīng)驗與中國實踐

宋科 袁陽

近年來，科技發(fā)展給銀行帶來了轉(zhuǎn)型動力，而開放銀行即為一種可預(yù)見的發(fā)展形態(tài)。在開放生態(tài)逐步形成的過程中，全球范圍內(nèi)都將面臨技術(shù)風(fēng)險、數(shù)據(jù)安全、個人隱私以及標(biāo)準(zhǔn)缺失等諸多挑戰(zhàn)，急需開放銀行在自身不斷完善的同時，依靠監(jiān)管部門提供有效公共產(chǎn)品，進(jìn)一步完善法律法規(guī)建設(shè)，通過多方協(xié)作構(gòu)建開放共贏的生態(tài)。

開放銀行發(fā)展急需更好的監(jiān)管政策環(huán)境

近年來，科技發(fā)展給銀行帶來了轉(zhuǎn)型動力，而開放銀行即為一種可預(yù)見的發(fā)展形態(tài)。放眼全球，盡管開放順序有先后、內(nèi)容有差異、重點有不同，但在新一輪技術(shù)革命推動下，加快開放已是全球大勢。目前，已有30多個國家和地區(qū)采納或正在考慮采納開放銀行模式。從移動互聯(lián)到萬物互聯(lián)，從消費互聯(lián)網(wǎng)到產(chǎn)業(yè)互聯(lián)網(wǎng)，開放銀行將擁有更多的應(yīng)用場景和發(fā)展空間，未來還將形成至少包括“賬戶層-中間層-生態(tài)層-監(jiān)管層”等四層在內(nèi)的廣義開放銀行生態(tài)。其中，由金融機構(gòu)組成的賬戶層主要為開放生態(tài)提供數(shù)據(jù)及底層金融服務(wù)，中間層在開放生態(tài)中主要承擔(dān)數(shù)據(jù)流通和技術(shù)支持作用，擁有大量應(yīng)用場景的生態(tài)層作為開放生態(tài)中最接近客戶的一層，直接面向個人端（C端）、企業(yè)端（B端）用戶提供產(chǎn)品和解決方案，而監(jiān)管層則提供監(jiān)管支持與政策規(guī)范，致力于促進(jìn)多方共同協(xié)作，實現(xiàn)消費者價值最大化。

當(dāng)前，在開放生態(tài)逐步形成的過程中，全球范圍內(nèi)都將面臨技術(shù)風(fēng)險、數(shù)據(jù)安全、個人隱私以及標(biāo)準(zhǔn)缺失等諸多挑戰(zhàn)，急需開放銀行在自身不斷完善的同時，依靠監(jiān)管部門提供有效公共產(chǎn)品，進(jìn)一步完善法律法規(guī)建設(shè)，通過多方協(xié)作構(gòu)建開放共贏的生態(tài)。

構(gòu)建開放銀行監(jiān)管體系的全球經(jīng)驗

當(dāng)前，全球各地對開放銀行的監(jiān)管態(tài)度和政策各有不同。作為先驅(qū)者的歐盟和英國分別出臺了《支付服務(wù)指令Ⅱ》（PSD 2）和《開放銀行標(biāo)準(zhǔn)框架》等政策文件，以促進(jìn)市場競爭，倒逼銀行創(chuàng)新并增強用戶體驗。新加坡政府更像是開放環(huán)境建設(shè)者，不僅主動開放政務(wù)數(shù)據(jù)，還通過發(fā)布應(yīng)用程序接口（Application Programming Interface，簡稱API）手冊，建立各方交流平臺等措施營造良好外部環(huán)境。而同樣處于亞太地區(qū)的中國香港對于數(shù)據(jù)隱私的開放相對謹(jǐn)慎，主要采取觀察與跟隨策略，根據(jù)其他地區(qū)實踐經(jīng)驗分階段推進(jìn)開放。美國則屬于典型的市場引導(dǎo)模式，政府只站在整體角度出臺一些原則性指南，而共享標(biāo)準(zhǔn)、技術(shù)規(guī)范等基本都由市場自行開發(fā)制定。與早期領(lǐng)先的國家和地區(qū)相比，我國開放銀行的早期政策關(guān)注度不高，此前只有《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》（JR/T 0185—2020）等較少的監(jiān)管規(guī)范出臺。

歐盟：破局銀行轉(zhuǎn)型，引領(lǐng)開放潮流

歐盟針對開放銀行監(jiān)管政策源于2007年發(fā)布的《支付服務(wù)指令》（Payment Service Directive，簡稱PSD）和2015年發(fā)布的《支付服務(wù)指令Ⅱ》（PSD 2），無論是在開放銀行發(fā)展，還是在全球監(jiān)管政策方面，均處于全球領(lǐng)先地位。

一是引導(dǎo)與規(guī)范性政策。從 PSD到PSD 2，歐盟監(jiān)管呈現(xiàn)出分類逐漸細(xì)化，對金融科技重視程度逐步提升的趨勢。PSD規(guī)定了可以提供支付服務(wù)的信用機構(gòu)、部分當(dāng)局和電子貨幣機構(gòu)三類機構(gòu)（PSP）。PSD 2對支付服務(wù)提供商作了進(jìn)一步細(xì)分，開放生態(tài)參與方分為最終用戶（PSU）、提供API服務(wù)的賬戶服務(wù)支付服務(wù)提供商（ASPSP）以及第三方支付服務(wù)提供商（TPP）。TPP又進(jìn)一步分為提供支付發(fā)起服務(wù)商、提供賬戶信息服務(wù)商和卡基支付服務(wù)提供商。不同的第三方支付服務(wù)提供商在使用ASPSP提供的API時，其數(shù)據(jù)訪問權(quán)限也不同。二是監(jiān)督與限制性政策。上述兩個文件都非常重視對消費者的保護(hù)，這不僅體現(xiàn)在交易安全上，還包括用戶隱私等方面。對于準(zhǔn)入管理，PSD 2要求在在線登錄、電子支付和遠(yuǎn)程支付等應(yīng)用場景下，PSP必須使用強客戶身份驗證;如發(fā)生未經(jīng)用戶授權(quán)的支付交易，付款方的PSP負(fù)有首要責(zé)任，用戶自身只須承擔(dān)很小的責(zé)任;對數(shù)據(jù)隱私安全的規(guī)定則依照《個人數(shù)據(jù)保護(hù)指令》（Directive 95/46/EC）及《通用數(shù)據(jù)保護(hù)條例》（GDPR）等相關(guān)法律執(zhí)行。PSD 2的實施從根本上改變了歐洲經(jīng)濟區(qū)提供支付服務(wù)的監(jiān)管環(huán)境。自2015年11月PSD 2實施以來，歐洲支付科技企業(yè)數(shù)量出現(xiàn)了迅速而短暫的激增。隨著該指令在各國轉(zhuǎn)化為法律文件，2018年新進(jìn)入者的數(shù)量有所下降，但仍保持在高于PSD 2通過前的水平。

英國：明晰標(biāo)準(zhǔn)規(guī)劃，促進(jìn)市場競爭

英國監(jiān)管政策以2016年開放銀行工作組（OBWG）發(fā)布的《開放銀行標(biāo)準(zhǔn)框架》為代表，其中核心內(nèi)容為“三大標(biāo)準(zhǔn)”和“一個治理模式”。此外，英國金融市場行為管理局已將英國脫歐引起的某些監(jiān)管政策變化置于“停頓”狀態(tài)。目前，英國開放銀行仍遵循PSD 2的條例規(guī)定。

一是引導(dǎo)與規(guī)范性政策。OBWG將數(shù)據(jù)分為開放數(shù)據(jù)、客戶交易數(shù)據(jù)、客戶參考數(shù)據(jù)、聚合數(shù)據(jù)、商業(yè)敏感數(shù)據(jù)五類，對不同的第三方合作機構(gòu)匹配不同的數(shù)據(jù)共享權(quán)限。二是監(jiān)督與限制性政策。OBWG在用戶同意、身份認(rèn)證、欺詐監(jiān)控、用戶授權(quán)四個方面提出了相關(guān)意見。銀行與第三方共享數(shù)據(jù)的過程必須征得用戶同意，并建議使用和新一代互聯(lián)網(wǎng)開放標(biāo)準(zhǔn)相協(xié)同的身份認(rèn)證協(xié)議，為防范用戶授權(quán)的惡意使用情況，還要求給予用戶及數(shù)據(jù)提供者撤銷數(shù)據(jù)授權(quán)的選擇，對授權(quán)的持續(xù)時間進(jìn)行約束。此外，為確保開放銀行標(biāo)準(zhǔn)的落實和推進(jìn)，OBWG還呼吁采用一個有效的治理模式來統(tǒng)籌全局，如設(shè)置獨立機構(gòu)以跟蹤并監(jiān)督開放銀行標(biāo)準(zhǔn)的落實，賦予其審查第三方的權(quán)力，創(chuàng)建事故處理機制，在兼顧PSD2相關(guān)要求及資金成本的情況下分階段逐步引入治理模式。三是行業(yè)自律。2018年11月，英國標(biāo)準(zhǔn)協(xié)會發(fā)布《支持金融科技公司與金融機構(gòu)合作-指南（PAS201：2018）》，內(nèi)容包括流程范圍、術(shù)語和定義、合作篩選流程、合作篩選總體要求、商業(yè)計劃及市場定位等九個部分，要求金融機構(gòu)和金融科技公司承擔(dān)更多用戶信息的保護(hù)責(zé)任。

新加坡：營造開放環(huán)境，加強國際協(xié)作

從開放銀行生態(tài)結(jié)構(gòu)來看，新加坡政府強勢主導(dǎo)中間層建設(shè)，金融管理局（MAS）提供數(shù)據(jù)流通和技術(shù)支持，與銀行及其他創(chuàng)新型企業(yè)一同構(gòu)建開放生態(tài)環(huán)境。

一是引導(dǎo)與規(guī)范性政策。2013年，新加坡政府推出Sing Pass（類似自然人憑證）服務(wù)，作為新加坡政府網(wǎng)站的通行證。2016年11月， MAS與新加坡銀行協(xié)會合作發(fā)布一份路線圖《金融即服務(wù)：API手冊》，根據(jù)重要性篩選了411個API（對應(yīng)700多個業(yè)務(wù)流程），并對每一個API提供了詳細(xì)的功能說明，在API選擇、設(shè)計、使用環(huán)節(jié)給出相應(yīng)指導(dǎo)。該手冊把API參與者分為四類：通過API將數(shù)據(jù)共享出去的API提供者、使用API來訪問或發(fā)送數(shù)據(jù)的API消費者、作為行業(yè)創(chuàng)新先鋒的金融科技公司和開發(fā)者社區(qū)。該手冊還涵蓋了數(shù)據(jù)標(biāo)準(zhǔn)、API標(biāo)準(zhǔn)和安全標(biāo)準(zhǔn)三種標(biāo)準(zhǔn)。數(shù)據(jù)標(biāo)準(zhǔn)對通過API傳輸?shù)臄?shù)據(jù)（消息）語義、語法等進(jìn)行了統(tǒng)一，為整個開放銀行行業(yè)提供一種通用的交流語言。實際應(yīng)用中還要基于交換數(shù)據(jù)的類型、涉及的行業(yè)、區(qū)域差異三種不同條件確定最終要采納的數(shù)據(jù)標(biāo)準(zhǔn)。API標(biāo)準(zhǔn)在API架構(gòu)、開發(fā)與部署、授權(quán)、版本等方面做了統(tǒng)一規(guī)范，以便于在整個行業(yè)內(nèi)形成統(tǒng)一的API設(shè)計語言。二是監(jiān)督與限制性政策。該手冊提出的安全標(biāo)準(zhǔn)涵蓋了身份認(rèn)證、授權(quán)、加密三塊內(nèi)容，主要被用于保護(hù)通過API傳輸?shù)男畔?，從而確?？蛻魯?shù)據(jù)的安排。2020年10月，新加坡通信和信息部和個人數(shù)據(jù)保護(hù)委員會還聯(lián)合發(fā)布《個人數(shù)據(jù)保護(hù)法（修訂）》，增加了嚴(yán)重不當(dāng)處理個人數(shù)據(jù)罪行，并提高了罰款上限。三是國際協(xié)作。MAS與國際清算銀行進(jìn)行了金融科技系列合作，并于2019年成立新加坡創(chuàng)新中心。其重點項目領(lǐng)域包括監(jiān)管科技、中央銀行數(shù)字貨幣和下一代金融市場基礎(chǔ)設(shè)施相關(guān)開發(fā)等。

中國香港：借鑒各地經(jīng)驗，逐步推進(jìn)開放

中國香港以《香港銀行業(yè)開放API框架》為依托，分階段、分步驟推進(jìn)銀行業(yè)務(wù)開放與監(jiān)管。

具體來看，一是引導(dǎo)與規(guī)范性政策。2018年7月，香港金融管理局發(fā)布《香港銀行業(yè)開放API框架》，將API劃分為銀行的產(chǎn)品和服務(wù)細(xì)節(jié)API、產(chǎn)品和服務(wù)訂閱與申請API、賬戶信息API以及交易API四個類型，并提出設(shè)立中央資料庫、要求銀行在網(wǎng)站上公示所有API功能與架構(gòu)等詳細(xì)說明、銀行提供示例代碼和沙盒以及積極開展相關(guān)研討會和競賽四項支持措施。具體實施分四個階段：2019年1月開始第一階段，主要開放銀行產(chǎn)品及服務(wù)資訊，共20家商業(yè)銀行參與其中，提供開放API超過500個。2019年10月開始第二階段，主要開放信用卡和貸款申請等內(nèi)容，香港金管局在第二階段的規(guī)劃中提到，銀行在與第三方服務(wù)供應(yīng)商（TSP）進(jìn)行開放API合作時，要對第三方服務(wù)供應(yīng)商進(jìn)行審查并保持監(jiān)管。第三、四階段涉及對用戶資料和金融交易流程的詳細(xì)讀取，香港金管局計劃結(jié)合前期商業(yè)銀行的反饋和國際經(jīng)驗，再對API的開放制定更嚴(yán)格的監(jiān)管措施。二是監(jiān)督與限制性政策。中國香港極其重視數(shù)據(jù)隱私保護(hù)?！断愀坫y行業(yè)開放API框架第二階段共同基準(zhǔn)》明確提到， TSP需要提供合理充分的文件與信息，向銀行證明收集客戶的個人數(shù)據(jù)是公平和透明的。此外，還要將不同用途的數(shù)據(jù)庫分開，確保數(shù)據(jù)庫保密性和完整性，并定期進(jìn)行安全檢測。

美國：設(shè)立基本準(zhǔn)則，市場自發(fā)驅(qū)動

得益于美國強大且成熟的金融系統(tǒng)與科技生態(tài)，美國開放銀行在沒有很強勢的監(jiān)管層介入的情況下，市場仍然能夠自發(fā)驅(qū)動并發(fā)展起來。

具體來看，一是引導(dǎo)與規(guī)范性政策。美國較為注重金融基礎(chǔ)設(shè)施建設(shè)，通過推動人工智能（AI）、第五代移動通信技術(shù)（5G）和政府民營并行的支付清算體系建設(shè)，營造了利于創(chuàng)新開放的良好外部環(huán)境。在數(shù)據(jù)開放方面，最為代表性的條例為“一個法案”和“九條指南”，即2010年通過的《多德-弗蘭克法案》和2017年發(fā)布的包括支付數(shù)據(jù)訪問、數(shù)據(jù)使用、消費者知情權(quán)、數(shù)據(jù)使用授權(quán)費用等在內(nèi)的九條金融數(shù)據(jù)共享指南。2018年7月，美國財政部建議消費者金融保護(hù)局能夠根據(jù)《多德-弗蘭克法案》讓消費者授權(quán)的第三方訪問金融賬戶和交易數(shù)據(jù)。此外還希望讓企業(yè)從屏幕抓取轉(zhuǎn)向更安全的數(shù)據(jù)訪問方法，但表示解決方案應(yīng)該由私營部門開發(fā)。直到目前，美國對數(shù)據(jù)開放相關(guān)技術(shù)的使用仍沒有統(tǒng)一標(biāo)準(zhǔn)，金融科技公司在申請數(shù)據(jù)開放時須與金融機構(gòu)簽訂合作協(xié)議，設(shè)定責(zé)任條款。二是監(jiān)督與限制性政策。在數(shù)據(jù)隱私監(jiān)管方面，《格雷姆-里奇-比利雷法》和紐約州金融服務(wù)部通過的網(wǎng)絡(luò)安全法規(guī)“23 NYCRR 500”均對用戶數(shù)據(jù)的使用進(jìn)行規(guī)范。2018年6月28日，《加州消費者隱私保護(hù)法案》（CCPA）問世，對個人信息范圍、消費者權(quán)利、企業(yè)義務(wù)和處罰力度等作出相關(guān)規(guī)定，被認(rèn)為是美國“最貴”的數(shù)據(jù)法案。三是行業(yè)自律。2018年3月，美國自律性監(jiān)管組織金融業(yè)監(jiān)管局發(fā)布的《投資者警示》指出，API在開放數(shù)據(jù)方面提供了相較屏幕抓取更為安全的選擇。另外，金融數(shù)據(jù)標(biāo)準(zhǔn)組織平臺（FDX）主要為公司層面的客戶提供開放銀行數(shù)據(jù)接入的解決方案，旗下最新產(chǎn)品為FDX API 4.2 框架，主要包括金融數(shù)據(jù)分享準(zhǔn)則、身份識別與授權(quán)準(zhǔn)則、用戶使用準(zhǔn)則與協(xié)議，其制定的API準(zhǔn)則在一定程度上影響了開放銀行未來API的普適行業(yè)規(guī)則。

中國：提供技術(shù)指引，促進(jìn)多方參與

不同于國外發(fā)展模式，國內(nèi)相關(guān)監(jiān)管部門雖未對開放銀行提出具體指導(dǎo)意見，但是在開放模式創(chuàng)新、數(shù)據(jù)治理、助力小微企業(yè)發(fā)展等方面持續(xù)發(fā)聲，開放銀行逐步得到重視。

具體來看，一是引導(dǎo)與規(guī)范性政策。除開宏觀層面的發(fā)展規(guī)劃外，國家也出臺了API安全管理標(biāo)準(zhǔn)，為開放銀行的發(fā)展提供了指引?！渡虡I(yè)銀行應(yīng)用程序接口安全管理規(guī)范》（JR/T 0185—2020）詳細(xì)規(guī)定了商業(yè)銀行應(yīng)用程序接口的類型、安全技術(shù)與安全保障要求，指出商業(yè)銀行應(yīng)用程序接口服務(wù)的主要參與方有用戶、應(yīng)用方及商業(yè)銀行，并界定了各方扮演的角色及承擔(dān)的責(zé)任。用戶發(fā)起商業(yè)銀行應(yīng)用程序接口應(yīng)用請求，并接收處理結(jié)果。應(yīng)用方負(fù)責(zé)接收并通過應(yīng)用程序接口向商業(yè)銀行提交相關(guān)請求、接收返還結(jié)果，依照流程進(jìn)行服務(wù)請求處理或反饋用戶。商業(yè)銀行通過API直接連接或用軟件開發(fā)工具包（SDK）間接連接的方式提供應(yīng)用程序接口服務(wù)，實現(xiàn)商業(yè)銀行服務(wù)的對外輸出。二是監(jiān)督與限制性政策。在信息保護(hù)方面，《網(wǎng)絡(luò)安全法》《中國人民銀行金融消費者權(quán)益保護(hù)實施辦法》等已對消費者金融信息的收集和使用設(shè)立了合法、正當(dāng)、必要的原則，《個人信息法》也將施行;在機構(gòu)資質(zhì)方面，《非金融機構(gòu)支付服務(wù)管理辦法》也宣布對國內(nèi)第三方支付行業(yè)實施正式的監(jiān)管，要求在提供支付服務(wù)前取得“支付業(yè)務(wù)許可證”。三是行業(yè)自律。目前，浦發(fā)銀行、太保集團(tuán)、國泰君安證券等橫跨銀證保三個業(yè)態(tài)的12家機構(gòu)簽署了開放金融聯(lián)盟協(xié)議，旨在聚合銀行、保險、證券等金融業(yè)態(tài)，加強成員間業(yè)務(wù)共享、科技賦能、生態(tài)共建等深度合作，隨著未來交流的深入，也將對國內(nèi)開放銀行的發(fā)展起到推動作用。

加強我國開放銀行監(jiān)管的若干建議

基于開放銀行全球監(jiān)管經(jīng)驗與我國實際，現(xiàn)就當(dāng)前和今后一個時期我國開放銀行監(jiān)管提出如下建議：

一是鼓勵開放共享，完善數(shù)據(jù)治理。要充分認(rèn)識到開放是未來的必然趨勢，逐步加深開放程度，探索賬戶認(rèn)證、信用評估等數(shù)據(jù)價值實現(xiàn)的可能性。除了提供良好的外部發(fā)展環(huán)境，也要充分發(fā)揮市場主體的作用，明確收益共享和風(fēng)險分擔(dān)機制，以更好地平衡數(shù)據(jù)保護(hù)和開放的關(guān)系。要盡快出臺針對性的法律法規(guī)，明確各方權(quán)利和義務(wù)并加強教育和約束，從內(nèi)到外保障數(shù)據(jù)隱私安全，加強數(shù)據(jù)治理成效。

二是明確開放范圍，促進(jìn)多方共識。要對開放數(shù)據(jù)范圍進(jìn)行有效界定，以應(yīng)對開放生態(tài)各參與方對開放數(shù)據(jù)范圍界定存在的普遍差異，更好地促進(jìn)開放銀行的有效推進(jìn)?？紤]到部分用戶數(shù)據(jù)的敏感性，可明確針對不同階段或者不同目標(biāo)群體的數(shù)據(jù)開放范圍，持續(xù)推進(jìn)開放生態(tài)的建設(shè)和發(fā)展。

三是加強分級引導(dǎo)，逐步有序開放。要在充分借鑒和吸收不同國家和地區(qū)經(jīng)驗的基礎(chǔ)上，結(jié)合我國國情合理有序地推進(jìn)開放銀行發(fā)展，在入口端完善第三方資質(zhì)審核，增強準(zhǔn)入管理，加強對消費者的數(shù)據(jù)授權(quán)安全保護(hù)，并把促進(jìn)政務(wù)數(shù)據(jù)開放作為突破口，構(gòu)建合理的開放模式和技術(shù)標(biāo)準(zhǔn)，在政策框架等方面進(jìn)一步完善“軟設(shè)施”，在此基礎(chǔ)上根據(jù)風(fēng)險治理能力對銀行等金融機構(gòu)進(jìn)行分級并引導(dǎo)其依次、有序開放。

（宋科為中國人民大學(xué)金融科技研究所執(zhí)行所長，袁陽為中國人民大學(xué)金融科技研究所助理研究員。本文編輯/王曄君）