【观察】开放银行的国际监管启示

2019 年 6 月 10 日 互联网金融

作者：杨东龙航天

来源：中国金融杂志

开放银行的理念与实践

当下，随着新一轮数字技术革命的兴起，科技与金融的交融渗透引发了金融业态的剧烈变动，而数据作为一种新的生产资料，具有极为丰富的价值，尤其是金融数据，凝聚了金融消费者的借贷信息、储蓄信息、投资信息等关键信息，价值尤为凸显。但长期以来，传统金融机构出于保护自身业务的考量，对于数据的开放共享并不持积极态度，各个机构之间的数据割据与数据库重复建设导致了数据垄断或者说数据孤岛，造成数据的使用效率低下，极大浪费了社会资源，使得蕴含在数据内的潜在经济价值无法得到充分挖掘。

2018年以来，“开放银行”（Open banking）作为一种新的金融理念，从英国开始引发全球银行业的新一轮转型浪潮。目前对于开放银行的概念莫衷一是，总的来说可以从三个层面明晰其内涵：其一，从技术层面而言，“开放银行”解决了数据开放的技术问题，通过建立并开放公共API端口，允许第三方金融机构在获取金融消费者授权的情况下通过API端口对银行的消费者金融数据进行访问；其二，从内容层面而言，银行与第三方金融机构通过开放API端口实现数据共享，可以充分利用银行的数据资产，挖掘银行金融数据所蕴藏的经济价值；其三，从组织层面而言，开放银行塑造了一种全新商业场景，即通过网络搭建平台，构建银行网络生态，为生态圈中的个人消费者、企业等提供更加高效的服务。狭义的开放银行仅指通过API端口技术实现银行数据的对外共享，进而搭建起一个全新的金融服务场景和金融生态。而广义的开放银行则不仅仅局限于数据的共享，还包含更多银行功能的开放与共享，如在支付领域的开放等。

不同国家的金融业态和金融发展路径虽有差异，但展示了相似的发展机制和价值取向。虽然开放银行作为一种理念方才流入中国，但其实我国在支付清算领域早就有类似的实践，比如“快捷支付”。银行将API接口开放给支付宝，实现数据开放，帮助支付宝开展基于银行账户的数字服务（数字账户服务），构建了一套数字账户体系，使其成为全世界最大的移动支付体系，支付宝快捷支付、发红包等功能正是基于开放银行理念实现的。

开放银行的机遇与风险

科技创新正在重新塑造金融服务业的业态。在数据收集和聚合过程中，由于相对缺乏互联互通的平台体系，而各个金融机构又致力于维护其业务的唯一性，故而限制其数据共享成为一种普遍的管理手段，不可避免地造成数据垄断的现象。

传统金融机构通过设置准入壁垒、先发优势获取、施加不公平的合同条件等措施，可以轻松达到限制其竞争对手访问数据的目的，阻碍了数据市场的有效竞争，客观上限制了金融消费者的自主选择权，造成了“数据集中→竞争限制→消费者剥削→数据集中”的恶性循环，而传统的反垄断执法在应对此类数据垄断行为时，缺乏有效的干预标准，很难进行有效的规制，在事实上造成数据市场的竞争不充分，减损了金融消费者的权益。而开放银行理念，无论是通过强制手段开放数据，或是通过鼓励措施促进数据开放共享，都对于打破传统金融机构的数据垄断，促进数据市场的有效竞争，增进金融消费者福祉有着重要意义。

开放银行在带来重大机遇同时，其风险也不容忽视。一方面，任何金融创新和金融理念变革都不应该以牺牲金融消费者权益为代价，以银行为代表的传统金融机构尽管存在着数据垄断现象，但其对于数据储存和保护有着较高标准，而新兴金融机构在数据存储和保护标准方面往往弱于传统金融机构。同时在获取金融消费者的金融数据后，新兴金融机构也存在未经授权地滥用和向第三方非法销售等行为，致使银行和消费者都面临着数据被窃取和隐私泄露的风险。另一方面，纵观各国关于开放银行的政策和实践，大多强调的是以银行为首的传统金融机构把数据共享给新兴金融机构，而关于新兴金融机构是否把数据共享给传统金融机构则未有明确的规定，这就使得传统金融机构和新兴金融机构在获取和分享数据方面遭受不对等的监管待遇，产生监管套利。

国外开放银行监管经验

面对开放银行，以英国和美国为代表走出了两条不同的发展和监管道路。英国开放银行业务主要受包括PSD2在内的法规规章所驱动，通过建立行业标准、行为模式等强制性手段来实现对开放银行的监管。根据PSD2的支付账户开放规则，以银行为代表的支付机构要向第三方开放金融消费者的账户数据。而这种开放是依据金融消费者同意授权为前提的，并非传统的基于银行与第三方签订的协议开放。

在此基础上英国颁布了《开放银行标准》，建构了包含数据标准、API标准与安全标准在内的开放银行标准体系以及确保标准得以运行的底层的治理模式，对市场参与者到政府监管进行翔实的规定。

首先，明确了数据开放的范围及权限。英国将数据分为五类：开放数据、客户交易数据、客户参考数据、聚合数据以及商业敏感数据。根据每类数据所涉及的用户隐私程度的不同，对第三方金融机构设置了不同的读写的权限。

其次，建构了完整的治理体系，规定了实施机关、监管权能以及事故处理机制。英国设想设立独立的机构或者授权给其他组织如行业协会等来监督开放银行标准的落实和部署进程，处理客户纠纷。同时，设立了争议管理系统，当出现违规使用用户数据等行为时，允许相关方通过争议管理系统先行协商解决；当协商无效时，再由独立机构处理。

最后，出于保护消费者信息和数据的考虑，英国对有权访问银行数据的第三方服务提供商进行严格的限制。第三方服务提供商只有在获得英国金融行为监管局（FCA）或者欧洲对等机构相关的监管许可后，通过注册开放银行目录申请注册，并在目录沙箱中进行模拟测试成功后，才有权访问和获取金融消费者在银行的数据。在这个过程中，第三方服务提供商必须审视自己的业务模型是否符合PSD2规定，相关的数据隐私及安全措施是否达到要求，更为关键的是必须提供相应的关键信息以保证银行和金融消费者能够通过这些信息成功识别第三方服务提供商。

而美国开放银行业务主要由市场驱动，美国政府采取的是被动监管的态度，不实施强制性监管，而是通过颁布指导性的政策意见，赋予开放银行市场更多自我调节的权利。美国消费者金融保护局(CFPB)发布的关于消费者金融数据共享和整合的九条指导原则，就获取数据主体、消费者权利等问题进行了规定，对美国开放银行金融数据共享起到了具体指导作用。其一，明确了有权获取金融数据的主体，将有权获取金融数据的主体由金融消费者扩大到金融消费者及受其授权的第三方机构。《多德—弗兰克法案》仅规定了金融消费者从银行机构获取金融数据的权利，指导原则在此基础上解决了《多德—弗兰克法案》所遗留的关于消费者能否授权第三方获取银行金融数据的问题。其二，明确了金融消费者的权利。金融消费者在金融数据共享的过程中主要享有授权和充分知晓两项权利：一方面，消费者可以自主授予给第三方的访问、使用数据的权限，也可以轻松地废止其授权并要求被授权的第三方删除个人可识别数据；另一方面，第三方在获得授权后应该将自己获取、存储、使用消费者数据的情况以消费者能够充分理解的方式高效地披露给消费者，包括数据获取的频率、数据范围和数据保存期限等。其三，明确了金融共享过程的原则。金融数据共享应保障数据的安全性、透明性、准确性。第三方机构应该安全地获取、储存、使用消费者数据，应确保消费者能准确、及时地了解和查明第三方是如何获取并使用数据的。

近期，名为“开放银行研究”的法案被提交美国国会讨论，要求美联储董事会、消费者金融保护局、货币审计署、联邦存款保险公司和国家信用联盟管理局等对受其监管的金融实体就允许第三方访问用户账户的情况进行独立研究，并提出立法和行政建议，以鼓励以消费者授权为核心的金融数据聚合与共享，建立符合消费者保护、反洗钱和网络安全要求的开放标准。

开放银行国际监管带给我国的启示

第一．以制定标准为先导。由于各大银行与新兴的金融机构对于数据储存、传输及保护往往有不同的标准，冗杂的数据和非结构化的数据会造成信息堆积，空耗资源的同时还会提供错误的信息，这会对数据共享带来极大的不便。因此要实现数据开放共享，保证数据开放共享的效率和安全，可以先由央行及互联网金融协会领头推动制定API国家推荐性标准，具体可包括数据标准、API标准、安全标准等，减少数据开放过程中因标准不统一而带来的资源浪费，同时防范因API技术不统一而带来的技术风险。

第二，以技术治理为手段，建构双维监管体系。在全球迈向数字经济时代，科技进步在带来金融创新的同时，也蕴含了更高的技术风险、操作风险，甚至有诱发系统性风险之可能。在面对开放银行等新的金融业态时，传统监管往往采用保护性监管模式，缺乏可以有效提供动态实时监管的监管手段。为此监管机构应当在审慎监管、行为监管等传统金融监管维度之外增加科技维度，构建双维监管体系。具体可通过区块链等技术手段的应用，建构以数据驱动监管为核心的、分布式平等监管、智能化实时监管，实现数据可触达，形成监管者与被监管者的互动的机制，突破传统金融监管的固有困局。

第三，以金融消费者授权为原则。在开放银行数据共享的过程中，必须充分平衡个人信息保护与数据共享的关系。在数据共享过程中要充分尊重金融消费者的权利，始终遵循“取得用户授权”“让用户充分知晓”“用户对个人数据利用的控制权”“最小必要性”等原则，根据金融消费者数据的敏感或涉密程度不同进行分级共享和保护。同时明确第三方金融机构有权获取的数据种类、数据内容、访问频率、数据保存时间、数据授权使用等问题，确保数据共享在金融消费者的授权和知晓下有序进行。

第四，完善数据权属规则和平台规则。在我国目前金融业态中，除了银行等传统金融机构外，大型的金融科技公司、金融服务平台也掌握大量金融消费者的数据，这部分数据的价值同样需要充分重视和发挥。在我国开放银行的实践中，要坚持“双向共享原则”，不可盲目套用国外“单方共享”，以免造成监管套利。数据权属规则与平台规则的缺失导致了银行与第三方金融机构在权利与义务分配不清，无论是传统的数据交易还是如今的数据共享，都不能陷入以量取胜的怪圈，因而要重点实现对关键数据的精确识别和准确定价。而笔者所提出的“共票”理念，可以对某一段数据进行标记，并在不断使用、交换、再使用、再交换的循环中赋予数据分享与再分享以价值。通过“共票”，数据不再是无价值之物或者一次性交易品，而可以在不断分享中增值以回报初始贡献者。通过完善以“共票”理念为核心的数据权属规则和平台规则，能够对数据进行准确定价，并将数据在流转和共享过程中所产生的权益按贡献程度分配给银行、第三方金融机构以及金融消费者，促进数据共享的良性循环。

[本文系中国人民大学科学研究基金项目“共票与公共数据开放”（项目编号：19XNQ043）的研究成果]