文/中國人民大學金融科技與互聯網安全研究中心主任楊東,中國人民大學中國普惠金融研究院研究員顧雷
所謂“開放銀行”,就是一種以API技術為技術外觀、以數據共享為本質的一種全新的平臺合作模式。本文分析了開放銀行的理念創新,認為在銀行開放轉型過程中,有必要引入不同以往的監管理念,開放銀行監管要堅持適用雙維監管、包容性監管、主體平等監管三大原則,並對開放銀行監管提出了幾點對策措施。
2018年伊始,一場名為“開放銀行”(Open Banking)的金融變革引發全球銀行業的新一股轉型浪潮。英國作為“開放銀行”理念最早提出者,自2018年1月13日起,包括匯豐銀行在內的9家機構開始彼此共享數據,旨在提高金融服務水平,打破數據壟斷,維護金融消費者合法權益。據國際數據公司(IDC)估計,截至2018年底,50%的全球領先銀行將開放至少五項數據,以數據共享為核心的開放銀行理念已經被越來越多的國家所接受並付諸實踐。
於是,一個全新的概念——開放銀行誕生了。所謂“開放銀行”,就是一種以應用程序編程接口(API)技術為技術外觀、以數據共享為本質的一種全新的平臺合作模式。
從狹義而言,開放銀行的本質是以數據的開放和共享為核心:在技術層面,開放銀行解決技術開放問題,通過API接口把銀行的數據開放給其他相關機構,使得相關機構能夠幫助銀行面向消費者等開展更好的服務;在內容層面,銀行通過開放實現數據的共享,更好地利用和開發銀行的數據資產、數據價值;在組織層面,通過網絡搭建平臺,構建銀行網絡生態,在生態圈中為消費者、企業等提供更加高效、增值的服務;而從廣義上而言,開放銀行不僅僅意味著數據的開放與共享,更包含更多銀行功能的開放與共享,尤其是在第三方支付領域的開放方面。
開放銀行的理念創新
構築我國多層次、多渠道的金融服務體系。開放銀行是我國金融體制改革及創新的產物,作為服務中小微企業的商業模式,在提供貸款服務方面有其特有優勢。上海浦東發展銀行採用“產品輸出”模式,將產品以API等形式嵌入到各個場景中,成為一種新型的獲客和引流模式,充分體現了差異化金融服務特色,提供了更多因地制宜的貸款產品,開展了一般傳統銀行不涉及的、做不了的或者不願做的小額貸款業務,彌補了我國金融系統不足。
從金融服務體系角度看,開放銀行本著“手續從簡、放款從快”宗旨,按照“小額、分散”原則,以方便快捷、靈活高效的放款方式為小微企業和弱勢群體提供了可得的金融服務,構築起多層次、多渠道的信貸體系,解決長期困擾小微企業、個體工商戶以及貧困人群的資金短缺問題,填補了銀行業金融服務不能滿足融資需求的空白區域。
引導銀行資金流向中小微企業、三農機構、個體工商戶以及貧困人群。開放銀行通過接口和第三方機構對接,承擔起金融微循環的底層功能,提供無抵押、無擔保貸款服務,將銀行資金流向社會低收入群體和偏遠地區人群,提供了及時、可負擔的金融服務,緩解了小微企業、三農機構以及個體工商戶融資困難,發揮出金融機構服務於實體經濟的積極作用。
中國建設銀行、中國工商銀行、招商銀行、興業銀行和微眾銀行都採取與第三方互聯網金融平臺合作模式。雖然形式各有不同,如微眾銀行以“微動力”產品實現金融和消費場景連通,但殊途同歸,銀行做資金的“批發”業務,第三方機構做資金的“零售”業務,都是直接服務於客戶,形成金融機構與第三方機構互聯互通支持中小微企業資金需求的新型運作機制,解決實體經濟與金融機構在資金分配上不平衡、不充分矛盾,成為打通服務中小微企業、個體工商戶融資難“最後一公里”的一次創舉。
開放銀行有利於成本節約,獲得穩定的經濟效益。金融科技正在於把傳統銀行從原本封閉式的、內生的過程,變成了開放式的、外化的過程,各類型的金融科技公司可以從各個角度切入,實現市場化分工與利潤重新分配,在一定程度上大大降低經營成本。
有效防範銀行自身信貸風險,推動風險共攤模式。開放銀行在風控模式上擺脫了過去依據抵押和質押模式,通過“貸款銀行+第三方助貸機構”模式,助貸機構負責為銀行推薦客戶和進行信貸分析,並通過提供兜底服務為銀行承擔最終的信貸風險,銀行直接向小微客戶發放貸款。這種互保模式既確保銀行及時足額收回本息,又可以為客戶提供經營性信貸和消費性信貸,在降低商業銀行風險方面的作用是毋庸置疑的。
規範非銀金融機構放款行為,為民間資本進入金融領域打開了合法出路。
開放銀行作為互聯網技術與放貸業務的載體,將銀行資金優勢與金融科技公司獲客能力、風控優勢結合起來,使用數據化模式為小微企業、貧困人群和個體工商戶提供經營性和消費性貸款,使之能夠獲得安全、低成本的金融服務,客觀上帶動民間借貸利率下行,有效壓縮了高利貸的空間,為民間資本進入金融領域打開了一條合法出路。
開放銀行監管的三大原則
適用“雙維監管”原則
科技變革正在重寫金融服務業的交易規則,與此同時,風險相伴而生。金融業正面臨著近現代金融機構、金融市場誕生以來最深刻最宏大的技術創新,大數據、雲計算、人工智能、區塊鏈等不斷迭代創新的科技發展甚至已經開始從根本上改變了現行業務模式和監管框架。開放銀行所折射的正是以金融科技為代表的新金融業態,在全球邁向數字經濟時代時,科技驅動的金融創新所內含的技術風險、操作風險。
因此,我們必須在審慎監管、行為監管等傳統金融監管維度之外增加科技維度,塑造雙維監管體系。科技維度的監管致力於依靠大數據、雲計算、人工智能、區塊鏈等技術構建科技驅動型監管體系。其以數據驅動監管為核心,構築起分佈式的平等監管、智能化的實時監管、試點性的監管沙盒為核心的金融監管體系,突破傳統金融監管的固有困局,創新監管方式,從而更好地回應開放銀行所內含的風險及其引發的監管挑戰,保護金融消費者,維護金融穩定。
採納“包容性監管”原則
包容性監管不是臆想,而是有著豐富的社會實踐基礎。簡而言之,就是在守住不發生系統性風險的同時,探索出一套既規範又有彈性、適應日新月異變化業務生態的監管模式,而不是簡單禁止或從嚴限制。
互聯網金融具有行業交織、混業經營特點,一般涉及或嵌套多項金融業務,形態多樣易變。在這種情況下,監管者就不能簡單採用“一刀切”監管方式,必須對不同種類互聯網金融採取不同監管方式,實現創新激勵和風險防範的協同發展。如果監管者採取“穿透式”監管簡單處置創新業務,採取過嚴姿態對待每一個創新行為,就可能導致大量互聯網金融新業務“胎死腹中”。監管者應該充分考慮互聯網金融市場信息和資源的各種差異,給予互聯網金融平臺一定的創新空間,在監管目標、監管手段等方面不能簡單套用統籌劃一的監管模式,在業務目標、准入條件、資源配置、人員資質以及風險處置手段上採取靈活性管控,用更為彈性的監管手段去處罰違法行為,實現公平與效率的有機統一。
“主體平等監管”原則
由於開放銀行涉及的主體不僅有銀行,還有互聯網金融平臺、第三方機構,甚至還會有自然人,主體結構較為複雜。因此,在對開放銀行監管時,必須秉持對各體平等對待的原則。這不僅與《電子商務法》第4條確立的“線上線下平等對待”原則相一致,而且《合同法》第3條規定的平等精神一致,有利於彌補交叉型金融業務的監管漏洞,避免監管套利的發生。
開放銀行監管的幾點對策措施
出臺開放銀行使用API的保護性法規
雖然開放銀行使用API技術,在安全性方面日臻完善,但並不能完全杜絕安全隱患。因此,我們需要對開放銀行進行立法,用法律規定清楚幾個關鍵問題:
在我國設立開放銀行的宗旨、目的和任務。
對開放銀行的監管對象進行規範,解決監管開放銀行自身,還是第三方機構,抑或金融消費者的重要問題。
開放銀行和第三方機構在使用、修改和刪除個人數據是必須遵循的原則,建立一整套事前授權、事中跟蹤、事後補救的規則,規定金融數據開放的程度、範圍和頻率,消除開放銀行在數據隱私與安全保護方面的隱患。
規定開放銀行、第三方機構以及金融消費者各自的權利和義務。
開放銀行在運作過程中,包括但不限於盡職調查、數據監控、數據保護以及數據恢復等業務規範。
開放銀行、第三方機構以及金融消費者的法律追責條款以及處罰性規定。
建立統一的開放銀行業務標準的規則
過多的冗雜數據和非結構化的數據會造成信息堆積,空耗資源的同時還會提供錯誤的信息,這對數據共享會帶來極大的不便。因此必須對數據的保存格式、共享格式甚至是API端口等進行標準化規定,減少數據開放過程中因數據標準不統一而帶來的資源浪費。今日頭條和微信為用戶個人數據大打出手的“頭騰大戰”等競爭案例屢見不鮮,數字經濟競爭的衝突凸顯了數字經濟的內生矛盾。
我們建議,先由互聯網金融協會制定我國統一的開放銀行數據分享標準,具體可包括數據標準、API標準以及安全標準等,為形成一個規範、有序和透明的開放市場提供規則考量;其次,由中國銀保監會負責成立由行業協會、商業銀行、金融科技企業、支付機構等共同組成的“開放銀行監督管理領導小組”,儘快結束目前商業銀行各自為戰開展開放銀行業務的混亂局面。
數據標準。開放銀行業務參與方必須遵守監管機構制定的數據標準,包括但不限於數據讀取權限,即第三方機構讀取銀行數據和文件的範圍和方式,以及數據寫入權限,即第三方機構有權對銀行數據和文件進行修改、執行等權限和方式。這兩類權限均通過向第三方機構開放API,包括開放數據、交換數據、客戶/機構數據、商業敏感數據以及保密數據等。
API標準。API標準是開放銀行對API設計、開發和維護的基本規則,主要涉及數據架構、資源格式等各個方面。開放銀行應提供示例代碼,讓第三方機構在與不同開放銀行之間合作時,能夠順利使用銀行接口,協助第三方機構使用 API,不至於限定在少數幾家開放銀行。
安全標準。安全標準主要是指API規範的安全性,目的是為了保護消費者的數據安全,包括客戶/機構身份認證與識別、數據欺詐以及客戶權益保護等方面內容。
使用個人信息和數據時,開放銀行、第三方機構均不得將個人信息和數據再轉讓給其他機構/個人。
開放銀行與第三方機構使用個人敏感信息和數據時,必須事先得到明示許可。在傳輸、受託轉讓或存儲時,對個人敏感信息和數據應該採用加密等安全措施,確保敏感信息和數據不外洩。
開放銀行與第三方機構存在明顯過錯,需要承擔法律責任的,按照分攤原則處置。原則上不單獨追究開放銀行的法律責任,也不單獨追究第三方機構的法律責任,除非開放銀行或第三方機構存在重大過錯。
數據持有者應告知客戶個人其數據信息使用情況,且個人在開放銀行業務項下的同意必須是明確的,完全知情且有能力表達個人意願。當然,在未有反對意見的情況下使用數據產生的問題不承擔任何法律責任。
設定開放銀行、第三方機構的准入門檻
對開放銀行、第三方機構開展API業務,必須設定準入條件,不是所有商業銀行或國有銀行都合適開展API業務,只有通過嚴格的審批後,符合一定條件的開放銀行和第三方機構,才能納入監管範圍,開展API業務。例如英國,參API業務,則必須獲得所需的監管許可。第三方機構需要向英國FCA(或歐洲同等機構)提供業務模型,以及數據隱私和安全措施來進行評測,只有通過FCA或者歐洲同等機構相關的評測,獲得監管許可,才能夠開展開放銀行業務。
開放客戶數據要明確消費者權利,遵循“最小必要性”規則
從大數據運用角度看,銀行和第三方機構總是希望獲取儘可能多的用戶個人信息,使得大數據應用場景更加豐富。但是,從保護金融消費者權益角度看,有必要限制開放銀行、第三方機構使用客戶數據的信息類型、頻率和使用數量。因為個人數據信息涉及隱私權保護和法律責任問題,開放銀行並不能隨心所欲對第三方機構開放所有個人數據,更不能毫無限制地公開所有內部信息資料,任何的數據開放於共享都不得以侵犯損害消費者權利為前提,必須遵循最小必要性規則,不得開放與其提供的金融服務無關的個人信息,也不得違反雙方收集、使用和開放個人信息的約定。
我們必須明確消費者在數據開放中所享有的權利,其一是授權的權利,消費者可以自主授權給第三方的訪問、使用數據,也可以輕鬆地廢止對數據獲取、使用或儲存的授權,要求被授權的第三方刪除個人可識別數據;其二是充分知曉的權利,第三方在獲得授權後應該將自己獲取、存儲、使用消費者數據以消費者能夠充分理解的方式高效地披露給消費者,包括數據獲取的頻率、數據範圍和數據保存期限等。否則,銀行和第三方機構很可能侵犯個人信息相關主體的合法權益,遭到金融消費者和監管機構的質疑,引發公益性集體訴訟。
而最小必要性規則符合我國《網安法》規定的個人信息控制者應當遵循“合法、正當、必要”原則,以及禁止收集“與其提供的服務無關的個人信息”規定,也符合《個人信息安全規範》有關“收集的個人信息的類型應與實現產品或服務的業務功能有直接關聯”條款,更與歐盟推出的《一般數據保護條例》(GDPR)中被稱作數據最小化(Data Minimisation)原則相一致。
因此,在數據共享過程中,監管機構必須保證所有開放銀行、第三方機構最小範圍引用銀行數據,整個流程應儘可能透明化、陽光化,確保客戶可隨時查看數據共享過程,維護金融消費者合法權益。
總之,我們引入開放銀行,核心就是搭建起商業銀行和互聯網金融平臺的互聯互通,並通過市場準入、市場運營、市場退出規則的變革與再造,將合法性、透明性與可問責性制度融入互聯網金融。令人欣慰的是,監管機構已經開始對光大集團、中信集團等傳統金融服務機構,以及螞蟻金服等互聯網企業展開監管試點,這不僅是對金融監管的大膽創新,更是回應了普惠金融善治的制度訴求,充分體現公平效率的完美統一。
本文刊發於《清華金融評論》2019年11月刊,2019年11月5日出刊,編輯:王曄君
閱讀更多 清華金融評論 的文章
