■李 昊

一、问题的提出

开放银行是近年来备受瞩目的金融科技新业态。作为打破无界金融生态、跨越普惠发展“藩篱”的有益探索，开放银行是指在法律保障数据安全的前提下，银行通过建立并开放应用程序编程接口（API）端口，允许符合条件的第三方机构访问自身的金融数据，充分挖掘银行金融数据所蕴藏的经济价值，为个人消费者、企业等提供更加高效的服务。

关于开放银行的价值，Mensiet al.（2017）认为，开放银行是一种全新、开放的商业模式，通过银行与第三方机构等其他合作伙伴的数据共享，重构商业生态系统，为参与机构提供新的价值。罗勇（2018）认为，开放银行利用云计算、大数据等新技术，形成跨界融合的金融服务能力，真正满足客户的个性化金融需求。关于开放银行的国际监管最早由英国在2015年提出，成立了开放银行工作组，发布了《开放银行标准框架》。McAteer（2017）认为，开放银行将对低收入人群产生更多的金融排斥，只有精通技术的人才会受益。周科（2018）认为，金融数据割裂、诱导客户行为、金融排斥等是主要制约因素。杨东（2018）指出，技术漏洞和编程错误滋生的技术风险，不适当的操作增加的操作风险等是主要制约因素。

总体来看，已有研究重点是从商业银行的角度分析开放银行对商业银行经营模式的影响、业务开展建议等，未能系统深入的研究开放银行的参与主体和运作机制，也未能从实证角度分析开放银行的效果。本文以开放银行参与主体为切入点，深入分析了参与各方的责权义关系，然后在提炼全球主要国家和地区实施开放银行思路的基础上，重点评估了英国实施开放银行的价值效果。最后，提出以中小企业作为数据共享的重点，并确定我国试点地区的开放银行发展之路。

二、开放银行的参与主体与运作机制

从开放银行的流程看，金融数据共享过程中主要涉及四方主体，分别是金融消费者（企业或个人）、银行机构、第三方机构和监管部门。

图1 开放银行流程图

（一）金融消费者—企业或个人客户

开放银行的核心是金融数据共享，而金融数据产生的源泉主要是企业或个人在银行的金融活动，因此开放银行的授权者主要是金融消费者。

对企业来说，与金融活动相关的信息主要包括四类：第一类是企业基本信息，如工商注册登记信息，各类主体均能通过企业信用信息公示系统查询；第二类是企业生产经营的重要信息，仅在特定领域公开或仅向特定主体公开，主要是与资金流、货物流、物流直接相关的信息；第三类是商业秘密；第四类是禁止共享的其他信息。对个人来说，与金融活动相关的信息主要包括四类：第一类是有关个人身份的基本情况，通过公开渠道可以获取。如发表论文时的作者简介等；第二类是有关个人身份的重要信息，如身份认证等，相关信息所有权属于用户，仅因账户开立等需要授权银行使用；第三类是个人在银行的交易数据，该类数据的所有权在法理上争论较大。一方面，私权自治理念注重个体理性，为避免其他主体对私权的干预，部分学者认为个人对相关数据拥有绝对的所有权。另一方面，由于相关数据均是在银行提供的场所中产生，且由银行加以维护，因而所有权属于银行。从权能看，所有权包括占有、使用、收益和处分的权利，而个人拥有上述各项权能，银行仅拥有部分权能，故所有权应属个人；第四类是个人交易数据的合成脱敏数据，所有权属于银行；第五类是存贷款利率等对外公开数据。

综上，共享数据主要涉及企业的生产经营重要信息，有关个人身份的重要信息、银行交易信息、交易信息的增值信息。其中，前三类信息均需获得企业或个人的事先授权，第四类信息由银行和第三方机构协商共享事项。

表1 企业和个人信息共享对照表

（二）银行机构

随着大数据技术的广泛应用，银行所集聚的数据资源以几何级数增长，从收益端分析，数据共享能够提升各行的数据资源，但囿于同业竞争压力，各行或出现数据保留问题。银行与第三方机构（非银行）间的数据共享，考虑到第三方机构掌握的数据资源较少，除少数大型金融科技公司外，多数机构的科技实力弱于银行，因而实际共享后，第三方机构的竞争力快速提升，但银行收益不明显。从成本端分析，银行在实施开放银行时，需承担额外成本，包括搭建并运营数据共享系统等。成本和收益的不对等，必然降低银行推进开放银行的积极性。所以，在开放银行的制度设计中，要充分考虑银行诉求，努力降低银行实施成本，并寻求建立额外激励机制。同时，相对大型银行，小型银行的风险承受能力和技术研发能力较弱，在开放银行推行的初期不适合参与，应推动大型银行参与。

（三）第三方机构

从需求端分析，金融数据共享的对象包括银行机构和第三方机构。其中，第三方机构是共享的主体，如何确定参与名单至关重要。“白名单”和“黑名单”是两种可能的模式，其中：“白名单”是指共享对象仅限于监管部门认可的机构，优点是尽可能降低了银行机构审核合作第三方的成本，缺点是可能存在监管寻租；“黑名单”是指除因违法等特殊原因不得共享的机构外，其他机构均可参与。该种模式能够尽可能增加第三方机构数量，但也放大数据泄露等风险。考虑到数据共享的金融消费者诉求（提升服务体验、降低信息泄露风险）和银行机构诉求（降低审核成本），“白名单”是比较合适的思路。在开放银行建设中，如何构建平衡第三方机构和银行机构利益的变现模式也尤为重要。凯捷咨询（Capgemini）与欧洲金融管理协会（Efma）联合发布的《2017年全球零售银行报告》显示：54.3%的第三方机构选择以交易费用形式向银行支付，但47.8%的银行更倾向选择收益共享方式。

图2 银行和第三方机构API变现模式偏好对照图

（四）监管机构

作为银行新时代的起点，开放银行对信息保护和金融标准等提出了更高要求，监管在开放银行体系里至关重要。一是要明确监管机构，牵头履行共享标准制定、纠纷处理、“白名单”发布等职责。二是制定共享的技术标准，包括共享数据的格式、接口、用户认证等。三是共享数据的管理，金融消费者应充分了解共享数据的范围、对象、用途等，同时能实际管理共享进程等。运行良好的开放银行体系，需建立高效、便捷的纠纷处理机制。在数据共享中，第三方机构使用共享数据已经获得客户授权，发生纠纷时，客户有权直接向第三方机构追责。但从实际执行难度分析，考虑到第三方机构数量众多、举证难度大等因素，客户可能难以直接向第三方机构维权。此时应引入侵权责任判断，即对于存在信息泄露等违法行为的，客户可要求银行机构和第三方机构承担连带责任，然后银行机构和第三方机构根据过错进行责任分担。无论责任承担是哪一方主体，银行机构都应及时把相关情况报送监管机构。

三、其他国家和地区推进开放银行的主要做法

自英国首先启动开放银行进程以来，全球多个国家和地区予以加入。从推动力量看，全球存在两类发展方式：一类是以英美为代表的监管驱动式，目前有22个国家和地区属于这一类；另一类是以中国为代表的市场驱动式，目前有10多个国家和地区属于这一类。

（一）明确专门机构或组织负责开放银行标准的制定和实施

英国主要由竞争和市场管理局（CMA）主导开放银行服务计划，并由财政部牵头成立工作组对外发布监管框架。CMA要求英国前9大银行共同出资成立开放银行实施组织，负责执行开放银行相关措施。澳大利亚规定竞争与消费者委员会负责评估消费者权利在开放银行领域监管、隐私等方面的影响，并牵头信息专员办公室、其他监管机构、数据标准机构，共同制定开放银行相关标准等。中国香港主要由金管局负责开放银行的组织和实施。

（二）制定统一的开放银行标准框架或指引

英国2016年3月发布《开放银行标准框架》，就开放API的设计、交付、管理等各方面提出核心建议。一是数据标准，主要是数据描述、记录的规则。二是API标准，关于开放API设计、开发和维护的准则。三是安全标准，指API规范的安全性。四是底层治理模式，负责维护开放银行标准的运行。新加坡金管局联合新加坡银行协会发布API指导手册（APIPlaybook），提供API的选择、设计、使用等指导，以及数据和安全标准建议。欧盟以《新支付指令》（PSD2）和《通用数据保护条例》（GDPR）为立法基础推动开放银行监管。

（三）明确数据开放的范围及第三方读取权限

英国《开放银行标准框架》将银行数据分为五类：开放数据，是指所有人均可接触、使用和共享的数据；客户交易数据，包括客户银行清单上的数据，以及与可支付账户相关的数据；客户参考数据，指与账户不直接相关的数据，如反洗钱审查数据等；聚合数据，指跨账户、跨交易、跨客户的整合数据；商业敏感数据，指涉及银行商业机密的数据。根据每类银行数据所涉用户隐私程度的不同，对第三方机构设置不同读写权限，主要是读取和写入两种。澳大利亚将数据分为客户提供的数据、交易数据、增值客户数据等不同类型，其中明确规定部分身份认证数据不纳入开放范围。

（四）探索构建完善的开放银行治理体系

英国在《开放银行标准框架》中明确了底层治理模式：一是设立一个独立机构。职责包括跟踪并监督开放银行标准的部署进程，处理客户纠纷等；二是赋予独立机构审查第三方的权力；三是创建事故处理机制。用户遭遇API事故时，有权联系第三方或数据提供者解决问题。逾期未处置的，可以启动下一事故处理流程；四是分阶段引入治理模式。新加坡建立了具有自身金融市场特色的治理模式，包括API治理框架、API治理参考架构、API生命周期治理、API风险治理等四部分，旨在确保API使用的一致性、有效性、安全性。

（五）强化金融消费者权益保护

美国规定金融消费者在金融数据共享中主要享有授权和充分知晓两项权利：消费者可以自主授权第三方访问、使用数据，也可以便捷废止授权并要求被授权的第三方删除个人可识别数据；第三方在获得授权后应将自己使用数据的情况，以易于理解的方式高效披露给消费者。英国建立三大安全防线，确保客户资料安全：一是建立开放银行API使用者资格审查制度。想要获取银行资料的金融服务者，须先向金融行为监管局（FCA）提出注册申请，经审核后获得认证，才有权访问和获取。二是针对取得银行资料的金融服务商，以电子化代码的方式，建立企业清单，以便银行能够确认属于FCA认证通过的公司。三是如果消费者授权账户资料后发生资金盗窃，消费者可以直接找银行负责，再由银行与第三方认定责任归属。

四、开放银行的实际效果分析-以英国为例

（一）英国开放银行实施的总体情况

英国竞争和市场管理局（CMA）于2016年9月启动开放银行计划书，为英国前九大银行订立了两个阶段性任务：第一阶段，2017年3月开放银行产品、ATM等标准化数据，此项任务已如期完成；第二阶段，2018年1月推出开放银行计划，即发布开放银行读写API的标准，第三方机构通过API可以在客户授权的情况下使用相关资料。目前仅有4家银行按期完成，另外5家银行获得最长一年的缓冲期。英国开放银行工作组2019年6月发布数据显示，截至2019年5月，已有132家通过金融行为监管局（FCA）认证的金融服务商参与开放银行，其中，作为账户服务商的银行机构49家，第三方机构83家，API调用（APIcalls）成功率达95.98%。

图3 开放银行参与机构变动图

（二）英国开放银行实施的实际效果

英国开放银行实施机构在2019年6月发布的《开放银行消费者优先权报告》指出，开放银行将有效提升消费者的金融服务体验，帮助他们获得更优质、高效、便捷的金融产品和服务，预计每年将创造180亿英镑的价值，为每人节省287英镑，占个人年收入的2.5%。同时，对中小企业的财务状况产生根本影响。

第一，可以缓解中小微企业融资难题。数据显示，开放银行实施前，90%的中小企业仅能从日常合作的银行中获得贷款，平台数量少，金额也难以满足资金需求。通过参与开放银行，多数中小企业可以获得至少3个融资平台。部分较少合作的银行，通过开放银行查看企业日常的交易资料，并确定是否能够满足企业的融资需求，有效缓解中小微企业融资难、融资贵。同时，倒逼原有的主合作银行，为客户提供更具竞争力的产品和服务。

第二，为第三方机构精准支持中小企业搭建平台。开放银行能够帮助金融服务提供商更好识别和实行正确的策略和商业模式，满足不同的客户群体。如英国领先的金融科技公司融资增进公司（Funding Options）通过与移动贷款银行（Starling Bank）合作，能够及时查看该行贷款客户数据资料，准确了解贷款需求，并提供替代性融资选择，融资金额最低1000英镑，最高1000万英镑，灵活匹配客户的资金需求。

第三，完善中小企业公司治理结构和财务结构。通过数据共享，第三方机构可以从经营管理、成本控制等多角度提供完善公司财务运行等方面的建议。如英国巴克莱银行表示，自2018年9月将其他银行的经常账户添加到现有的移动银行程序中，超过600万用户使用该服务管理日常财务，从而帮助了贷款客户健全财务制度，避免假账风险。

第四，为个人客户提供个性化、差异化的增值服务。一方面，客户通过单一平台就可以了解自己的支付、理财、信贷等信息；另一方面，经授权的第三方可以为客户量身定制产品和服务，如提供税收、支付、出口和养老金支持，客户能够获得个性化的财富管理建议和差异化产品。

（三）英国开放银行发展存在的困难和问题

第一，中小企业对开放银行持强烈的怀疑态度。据毕马威对英国1000家中小企业的调研显示，47%的中小企业表示不会参与开放银行，25%的中小企业表示任何情况下都不会共享数据。这表明中小企业的大部分人员对开放银行不够了解，且对共享数据存在的泄露风险感到不安。精彩无限（Splendid Unlimited）的研究也显示，英国仅有9%的成年人使用过API的服务，仅有22%的人听说过开放银行这个概念。

第二，客户不愿付费参与开放银行。毕马威的研究表明，超过44%的中小企业不愿意向任何开放银行服务支付费用；为获取更便捷收支款项的渠道，24%的中小企业愿意支付一定费用，但25%的中小企业选择更换服务商以获得同样服务。若要分享其数据，中小企业希望能够节省10%～24%的费用，而开放银行在起步阶段给客户带来的收益，一般难以达到这个标准。调查中同时发现，公司规模越大，越愿意为开放银行服务支付费用。

第三，客户授权程序较为繁琐。在英国，目前的授权程序仍是由银行发送授权码（OTP）到客户手机的方式进行验证，即使消费者已经授权，仍会持续收到“您是否准备把您的资料分享出去”的警告信息。究其原因，一方面，以何种方式授权主要涉及技术问题，监管机构未作出专门规定；另一方面，面临来自其他银行机构以及第三方机构的竞争压力，银行机构对数据共享并不积极。

第四，系统升级改造的成本高昂。开放银行发展对银行APP等相关应用产品升级、IT基础设施更新换代的要求较高，银行需要承担大量的人力、资金、时间等成本支出。从英国的实践看，考虑到系统改造成本高昂以及共享数据的体量较大等因素，监管机构前期主要选择9家大型银行予以实施。但越是大型银行，系统改造的成本越高、时间越长。

五、我国实施开放银行的路径选择

纵观各个国家和地区的开放银行实践表明，需要监管部门牵头各方主体，共同研究制定金融数据共享标准，尤其是要充分调动银行机构参与的积极性。明确开放银行推进的阶段性目标任务和时间安排，确保参与机构按期完成。配套制定完善的金融消费者权益保护措施，组织开展形式多样的宣传培训等。而我国2018年虽然被称为开放银行的元年，但多数银行推出的开放银行并未真正实现数据共享，更多是和第三方机构的业务合作。缺乏明确的金融数据共享标准，第三方机构资质参差不齐，金融消费者对开放银行不了解等都是重要原因。同时，作为重大的金融创新活动，开放银行的实施应首先选择部分地区进行试点，试点成功后再向全国其他地区推广。

（一）数据共享对象应以中小企业为主体

我国银行机构在与个人客户的关系上并不处于优势地位，但与企业客户，尤其是与中小微企业客户的关系上仍处优势地位。从四方主体看，监管部门一直致力于缓解小微企业融资难题。银行机构在获取企业必要信息的基础上，按照放贷意愿从强到弱的顺序，依然是大型、中型、小型和微型企业。第三方机构一直呼吁银行向其共享数据。对企业来说，大企业是金融行业的重点营销对象，较少存在融资难题，共享数据意愿低。微型企业虽然有较强的融资需求，但财务规范程度较低，多数不愿意共享数据。因此，综合考虑银行机构、第三方机构和企业实际掌握的数据量及各方意愿，中小企业是数据共享的合适对象，能够同时满足数据量较大、融资需求强、共享意愿相对较高等条件。

（二）监管机构牵头制定数据共享标准

从其他国家和地区的实践看，在开放银行推进中，监管机构负责牵头制定共享标准。我国可由国务院金融稳定委员会授权，央行会同银保监等部门共同制定开放银行业务规则与监管框架。一是统一开放银行的标准规范，包括数据标准、API标准、安全标准等，减少参与机构的成本负担。二是明确中小企业的授权方式，并根据数据的敏感程度分级共享。根据敏感程度分为低、中、高三个等级，“低”等级数据主要是财报数据，采取一次性授权方式，“中”等级数据主要是财报没有体现但与企业生产经营密切相关的其他数据，“高”等级数据主要是与企业高管等个体相关、对企业生产经营影响较大的数据，采取授权码（OTP）等更严格的方式。三是明确第三方机构的准入标准，以“白名单”形式发布。初期可以非银行支付机构和会计师事务所为主。四是明确第三方机构有权获取的数据种类、数据内容、访问频率等，加强信息保护，有序实现跨业、跨界开放。

（三）审慎选择试点地区

在确定试点地区时，应从监管机构、银行机构、第三方机构、中小企业等多方面考虑。其中，监管机构应较为熟悉国际开放银行发展的最新进展；银行机构应具有较强的资金实力和科研能力；第三方机构数量较多；中小企业需对开放银行有所了解。在开展时，试点地区可以成立由央行、银保监、财政、中小企业管理部门等组成的金融监管联席委员会，在上级授权范围内，按照收益共享、成本共担原则，分阶段组织实施。优先考虑参与共享的银行机构、第三方机构联合共建平台的方式，以合理分担成本。监管机构提供政策激励措施，鼓励大型银行机构承担较高比例的平台建设成本；使用平台的收费方式由参与机构协商确定。在试点中，考虑到税务、海关、公共事业等部门掌握大量中小企业数据，应同时做好与上述部门的沟通协调，尽可能增加共享的数据量。

（四）构建涵盖全流程的中小企业权益保护机制

从运行情况看，实施开放银行的国家或地区均在治理模式中建立了系统的消费者保护机制。在我国，参与开放银行的中小企业在数据共享前应被充分告知提供其数据的银行机构，拟授权的第三方机构，共享数据范围等，中小企业以明示方式同意。在数据共享中，第三方机构应及时、高效披露使用中小企业数据的情况。中小企业不愿继续共享数据的，可以便捷废止授权并要求被授权的第三方机构删除相关数据。中小企业共享数据后发生账户资金损失的，中小企业可直接选择银行或第三方机构负责，再由银行与第三方机构进一步认定责任归属。考虑到中小企业普遍对数据共享存在疑虑，可将包括开放银行在内的金融科技新业务、新知识纳入常态化的金融知识宣传普及活动，有效提升中小企业的参与度。

六、结论

本文分析了开放银行涉及的四方主体和运作机制，认为：一是金融消费者授权共享的数据主要包括企业的生产经营重要信息，有关个人身份的重要信息，银行交易信息等；二是大型银行是共享平台建设的主体，但需合理控制和分担成本；三是以“白名单”形式发布第三方机构名单，并与银行机构协商确定收益变现模式；四是明确监管机构，并由其牵头构建共享标准、安全管理、纠纷解决等机制。

从其他国家和地区的开放银行实践看，为顺利推进开放银行，需要监管部门牵头各方主体，共同研究制定金融数据共享标准，尤其是要充分调动银行机构参与的积极性，让其从主观上愿意参与开放银行；明确开放银行推进中的目标任务和时间安排，并做好后续的跟踪督导，确保参与机构按期完成；配套制定完善的金融消费者权益保护措施，依法维护各方权益。

从英国的实施效果分析，开放银行对缓解中小微企业融资难题、完善公司治理结构、提升客户服务体验等都发挥积极作用，但应处理好中小企业关注的信息安全、费用，以及银行系统改造成本较高等问题。对我国而言，银企信息不对称长期以来制约金融服务质效，主要原因就是各主体间掌握的数据“孤岛”林立、融合困难。而开放银行通过应用技术工具，连接金融机构、科技公司以及其他具有客户基础的服务机构，能够实现客户信息的多维共享，很大程度上解决了信息不对称问题。但考虑到实施开放银行的困难和风险，我国可以选择中小企业数据共享为切入点，确定部分地区进行试点，按照收益共享、成本共担的原则，分阶段组织实施，同时做好与税务、海关等相关部门的沟通，对中小企业的相关权益做好保护，确保开放银行达到预期效果。