董希淼 朱美璇
近年來,“開放銀行”(Open Banking)理念逐步興起。英國、歐盟、澳大利亞、中國香港等國家和地區作為“開放銀行”的先行者,已經形成了較為完善的監管體系。新冠肺炎疫情暴發來,“非接觸銀行”服務備受關注,對“開放銀行”發展提出新的要求。
第一,什麼是“開放銀行”?
近年來,隨著數字技術與金融科技的不斷髮展,“開放銀行”概念日趨興起,備受關注。“開放銀行”作為金融科技浪潮下的新趨勢,是一種包括但不限於依託應用程序編程接口(API)技術的金融服務模式,它在保障數據安全的前提下,實現銀行數據的開放與共享,允許第三方機構深入挖掘銀行數據所蘊藏的價值,併為個人消費者、企業等提供更加高效便捷的服務。目前,英國、歐盟、澳大利亞、中國香港等國家和地區的“開放銀行”監管和實踐正走在世界前列,已形成了較為完備的監管體系,而我國的“開放銀行”仍處在探索階段。因此學習和借鑑國際監管經驗、分析國內“開放銀行”的不足和問題,是十分必要的。
第二,怎麼發展“開放銀行”?
自“開放銀行”理念提出以來,各發達國家不斷推進其發展進程,現已形成政府主導與市場主導兩種形式。
以英國為代表的政府主導型,主要基於各類法規規章,通過建立行業標準、行為模式等強制性手段自上而下實現對“開放銀行”的監管。2014年6月,英國開放數據研究所(ODI)等機構對個人活期賬戶和中小企業貸款進行研究,提出API和開放數據有利於銀行發展等觀點。2016年,英國頒佈了《開放銀行標準》,構建“開放銀行”標準體系,成為首個將“開放銀行”理念付之行動的國家。
以美國為代表的市場主導型,主要靠市場驅動自發實現數字共享,並採用被動監管的方式,通過指導性政策意見賦予市場更多的自我調節能力。2008年美國出臺的《多德—弗蘭克法案》明確了獲取金融數據的主體,同時在2017年美國消費者金融保護局提出9條信息共享指導建議,為美國實現“開放銀行”數據共享奠定了法律基礎。2018年,香港金管局提出4項“開放銀行”的支持政策,包括在香港科技園數據工作室網頁內創建中央資料庫、建議銀行在自己的網站上公佈每個API的功能、架構、安全性等細項說明、規定銀行提供示例代碼和沙盒等。
第三,怎麼管好“開放銀行”?
(一)制定監管框架,構建監管體系
隨著“開放銀行”不斷付諸實踐,多個國家各地區逐步制定完善的監管框架,構建完整的監管體系。2015年,英國設立“開放銀行”工作組(OBWG)併發布《開放銀行標準框架》,指導“開放銀行”服務等工作事項,同時設立獨立機構監督管理該政策的落實進程,處理客戶糾紛。2016年,新加坡金融管理局聯合新加坡銀行協會公開發布了API指導手冊,對“開放銀行”各參與主體提出了行動指南及相應的數據安全指導建議。2017年,日本會議通過《日本銀行法案》(修正案),明確實施金融公司間的數據共享,保障用戶能夠管理跨機構賬戶信息。2018年,香港金融管理局出臺《香港銀行業Open API框架諮詢文件》及銀行業開放應用程序接口框架,要求提供核心銀行板塊的所有功能,並逐步提供API。2018年,日本金融廳頒佈《電子決算新修訂法案》,規定電子支付代理業者登錄使用銀行的數據及服務。同年五月,澳大利亞政府採納金杜律師事務所的《開放銀行調查建議》,對“開放銀行”監管框架、監管體系等作出明確規範。
(二)明確開放的數據範圍及權限
在健全的監管體制下,部分國家進一步制定了“開放銀行”實施路徑,明確數據的開放範圍及權限。2015年,英國發布《開放銀行標準框架》將金融數據分為五類:開放數據、客戶交易數據、客戶參考數據、聚合數據和商業敏感數據。根據每類數據涉及的用戶隱私程度不同,對第三方機構設置不同的讀寫權限。澳大利亞也將銀行包含的數據範圍進行分類,並明確規定客戶提供的數據、交易數據等屬於數據共享範圍,而增值客戶數據、聚合數據等因為風險較高則不能列入銀行數據共享的範疇。2018年香港金管局出臺政策規定了金融機構產品服務提供、訂閱申請API的時間,並要求最後賬戶信息和交易類API的實施時間將在政策發佈一年內再行決定。
實際上,部分國家和地區並未對開放數據範圍及權限作出限制性規定。例如,歐盟認為凡經用戶授權的賬戶信息均屬於開放數據領域。美國則規定,消費者或經授權均可以獲得各方面金融數據,包括但不限於連續交易、消費者使用情況等。在新加坡,消費者同樣可以與私營部門共享所有信息。
(三)保障消費者信息及數據安全
為確保數據安全、防止信息洩露,多個國家對使用數據的用戶進行身份驗證。此外,英國出於對消費者信息保護的考慮,對訪問數據的第三方服務機構實行了嚴格的限制,要求第三方服務提供商在訪問數據前必須獲得相關機構批准並通過“開放銀行”的模擬測試,在此過程中,第三方服務提供商也必須保證其業務模式符合PSD2指令,具有完備的安全措施。澳大利亞也先後發佈《競爭與消費者法令(2010)》與《隱私法案》等政策規定,保障“開放銀行”數據共享時的用戶安全。2017年,美國發布《消費者金融數據共享和整合原則》,消費者有權對未經授權的信息獲取等業務提出質疑和解決爭議。
閱讀更多 董希淼 的文章
