董希淼 朱美璇
近年来,“开放银行”(Open Banking)理念逐步兴起。英国、欧盟、澳大利亚、中国香港等国家和地区作为“开放银行”的先行者,已经形成了较为完善的监管体系。新冠肺炎疫情暴发来,“非接触银行”服务备受关注,对“开放银行”发展提出新的要求。
第一,什么是“开放银行”?
近年来,随着数字技术与金融科技的不断发展,“开放银行”概念日趋兴起,备受关注。“开放银行”作为金融科技浪潮下的新趋势,是一种包括但不限于依托应用程序编程接口(API)技术的金融服务模式,它在保障数据安全的前提下,实现银行数据的开放与共享,允许第三方机构深入挖掘银行数据所蕴藏的价值,并为个人消费者、企业等提供更加高效便捷的服务。目前,英国、欧盟、澳大利亚、中国香港等国家和地区的“开放银行”监管和实践正走在世界前列,已形成了较为完备的监管体系,而我国的“开放银行”仍处在探索阶段。因此学习和借鉴国际监管经验、分析国内“开放银行”的不足和问题,是十分必要的。
第二,怎么发展“开放银行”?
自“开放银行”理念提出以来,各发达国家不断推进其发展进程,现已形成政府主导与市场主导两种形式。
以英国为代表的政府主导型,主要基于各类法规规章,通过建立行业标准、行为模式等强制性手段自上而下实现对“开放银行”的监管。2014年6月,英国开放数据研究所(ODI)等机构对个人活期账户和中小企业贷款进行研究,提出API和开放数据有利于银行发展等观点。2016年,英国颁布了《开放银行标准》,构建“开放银行”标准体系,成为首个将“开放银行”理念付之行动的国家。
以美国为代表的市场主导型,主要靠市场驱动自发实现数字共享,并采用被动监管的方式,通过指导性政策意见赋予市场更多的自我调节能力。2008年美国出台的《多德—弗兰克法案》明确了获取金融数据的主体,同时在2017年美国消费者金融保护局提出9条信息共享指导建议,为美国实现“开放银行”数据共享奠定了法律基础。2018年,香港金管局提出4项“开放银行”的支持政策,包括在香港科技园数据工作室网页内创建中央资料库、建议银行在自己的网站上公布每个API的功能、架构、安全性等细项说明、规定银行提供示例代码和沙盒等。
第三,怎么管好“开放银行”?
(一)制定监管框架,构建监管体系
随着“开放银行”不断付诸实践,多个国家各地区逐步制定完善的监管框架,构建完整的监管体系。2015年,英国设立“开放银行”工作组(OBWG)并发布《开放银行标准框架》,指导“开放银行”服务等工作事项,同时设立独立机构监督管理该政策的落实进程,处理客户纠纷。2016年,新加坡金融管理局联合新加坡银行协会公开发布了API指导手册,对“开放银行”各参与主体提出了行动指南及相应的数据安全指导建议。2017年,日本会议通过《日本银行法案》(修正案),明确实施金融公司间的数据共享,保障用户能够管理跨机构账户信息。2018年,香港金融管理局出台《香港银行业Open API框架咨询文件》及银行业开放应用程序接口框架,要求提供核心银行板块的所有功能,并逐步提供API。2018年,日本金融厅颁布《电子决算新修订法案》,规定电子支付代理业者登录使用银行的数据及服务。同年五月,澳大利亚政府采纳金杜律师事务所的《开放银行调查建议》,对“开放银行”监管框架、监管体系等作出明确规范。
(二)明确开放的数据范围及权限
在健全的监管体制下,部分国家进一步制定了“开放银行”实施路径,明确数据的开放范围及权限。2015年,英国发布《开放银行标准框架》将金融数据分为五类:开放数据、客户交易数据、客户参考数据、聚合数据和商业敏感数据。根据每类数据涉及的用户隐私程度不同,对第三方机构设置不同的读写权限。澳大利亚也将银行包含的数据范围进行分类,并明确规定客户提供的数据、交易数据等属于数据共享范围,而增值客户数据、聚合数据等因为风险较高则不能列入银行数据共享的范畴。2018年香港金管局出台政策规定了金融机构产品服务提供、订阅申请API的时间,并要求最后账户信息和交易类API的实施时间将在政策发布一年内再行决定。
实际上,部分国家和地区并未对开放数据范围及权限作出限制性规定。例如,欧盟认为凡经用户授权的账户信息均属于开放数据领域。美国则规定,消费者或经授权均可以获得各方面金融数据,包括但不限于连续交易、消费者使用情况等。在新加坡,消费者同样可以与私营部门共享所有信息。
(三)保障消费者信息及数据安全
为确保数据安全、防止信息泄露,多个国家对使用数据的用户进行身份验证。此外,英国出于对消费者信息保护的考虑,对访问数据的第三方服务机构实行了严格的限制,要求第三方服务提供商在访问数据前必须获得相关机构批准并通过“开放银行”的模拟测试,在此过程中,第三方服务提供商也必须保证其业务模式符合PSD2指令,具有完备的安全措施。澳大利亚也先后发布《竞争与消费者法令(2010)》与《隐私法案》等政策规定,保障“开放银行”数据共享时的用户安全。2017年,美国发布《消费者金融数据共享和整合原则》,消费者有权对未经授权的信息获取等业务提出质疑和解决争议。
閱讀更多 董希淼 的文章
