开放银行国际监管经验借鉴
2020-11-26董希淼朱美璇编辑韩英彤
文/董希淼 朱美璇 编辑/韩英彤
近年来,开放银行(Open Banking)逐步兴起。英国、欧盟、澳大利亚、中国香港等国家和地区作为开放银行的先行者,已经形成了较为完善的监管体系,而我国的开放银行尚处在探索阶段。新冠肺炎疫情暴发以来,“非接触银行”服务备受关注,对开放银行的发展也提出了新的要求。
开放银行发展及国际监管经验
开放银行的监管体系
随着开放银行不断付诸实践,多个国家/地区开始制定并完善监管框架,构建完整的监管体系。2015年,英国设立开放银行工作组(OBWG)并发布了《开放银行标准框架》,指导开放银行的服务及相关事项,还设立了独立机构监督管理该政策的落实进程,处理银行与客户的纠纷。2016年,新加坡金融管理局联合新加坡银行协会发布了《API指导手册》,对开放银行各参与主体提出了行动指南及相应的数据安全指导建议。2017年,日本议会通过《日本银行法案(修正案)》,明确金融公司间实施数据共享,保障用户能够管理跨机构账户信息。2018年,中国香港金融管理局出台《香港银行业Open API框架咨询文件》及银行业开放应用程序接口框架,要求银行提供核心板块的所有功能,并逐步提供API。2018年,日本金融厅颁布《电子决算新修订法案》,规定电子支付代理业者登录使用银行的数据及服务。2018年5月,澳大利亚政府采纳金杜律师事务所的《开放银行调查建议》,对开放银行监管框架、监管体系等进行了规范。
开放银行的数据范围及权限
在健全的监管体制下,部分国家进一步明确了开放银行的实施路径,以及数据的开放范围及权限。2015年,英国发布《开放银行标准框架》,将金融数据分为五类:开放数据、客户交易数据、客户参考数据、聚合数据和商业敏感数据,并根据每类数据涉及的用户隐私程度的不同,对第三方机构设置不同的读写权限。澳大利亚也将银行包含的数据范围进行了分类,并明确规定客户提供的数据、交易数据等属于数据共享范围,而增值客户数据、聚合数据等因为风险较高,则不能列入银行数据共享的范畴。2018年,中国香港金管局出台政策,对金融机构的产品服务提供、订阅申请API的时间进行了规定,并要求最后账户信息和交易类API的实施时间将在政策发布一年内再行决定。实际上,部分国家和地区并未对开放数据的范围及权限做出限制性规定,如欧盟、新加坡等。
开放银行的数据安全
为确保数据安全、防止信息泄露,多个国家要求对使用数据的用户进行身份验证。英国出于对消费者信息保护的考虑,对访问数据的第三方服务机构进行了严格限制,要求第三方服务提供商在访问数据前必须获得相关机构批准,同时还要通过开放银行的模拟测试。在此过程中,第三方服务提供商也必须保证其业务模式符合PSD2指令,具有完备的安全措施。澳大利亚则先后发布《竞争与消费者法令(2010)》与《隐私法案》等政策法规,以保障开放银行数据共享时的用户安全。2017年,美国发布《消费者金融数据共享和整合原则》,赋予消费者对未经授权的信息获取提出质疑和要求解决争议的权利。
我国开放银行存在的主要问题
一是缺乏对开放银行的政策指导。2018年开始,我国多家大型商业银行及股份制商业银行相继推出开放银行。但截至目前,我国开放银行仍处于探索初期阶段,主要依靠市场自发驱动来推动金融机构数据共享的进程。由于缺乏宏观政策引导和自上而下的总体规划,导致我国开放银行发展水平参差不齐。一方面,是银行之间及互联网公司之间的发展失衡。一小部分大银行凭借自身规模效应已开始自行搭建开放银行平台,而大部分小银行由于技术限制尚未形成开放体系;同样,部分大型互联网公司逐步开始获取共享信息,并构建起完善的信息处理系统,导致少数大型非银行支付机构对数据的垄断。若今后不加以政策引导,这种不平衡将持续加剧。另一方面,是银行与非银行机构之间的效益不平等。相比第三方非银行机构利用开放银行共享银行数据、拓展业务范围,目前银行尚不能从金融数据共享中获得更大收益,反而可能面临用户减少、利润损失等风险。
二是监管体系尚不完善,监管框架较为单一。现阶段,我国对开放银行尚未形成全面、完整的监管框架。一方面,我国的开放银行监管政策较为单一。2020年2月,中国人民银行发布《商业银行应用程序接口安全管理规范》,细化了商业银行API的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。这是我国首次对API做出规范,开放银行由此有了明确的技术标准。但与英国等发达国家相比,我国开放银行监管框架仍较为单一。另一方面,我国开放银行监管框架界限划分也不明确。目前我国各金融机构主要依靠市场驱动推进开放银行,缺乏明确的监管主体。此外,互联网公司等第三方机构尚未被列入我国的监管框架,而互联网公司作为数据共享的重要一环,其风控能力、合规要求等与开放银行的信息安全息息相关。在这一背景下,一旦风险较高或资质不健全的机构进入市场,极易造成数据滥用、信息泄露等现象。
三是数据开放规则尚不明确。开放银行的核心在于金融数据的开放共享,因此,数据规范及管理将直接影响开放银行的安全性及稳定性。目前,我国尚未对金融数据的开放规则做出明确规定。一方面,数据的开放范围及权限尚未确定。如果信息可任意共享,很可能会导致金融行业重要数据的泄漏、信息真伪难辨,甚至对我国金融体系的安全造成威胁。另一方面,我国仍缺乏对数据使用及存储等方面的要求,一旦用户信息泄露,或使用伪造数据,将直接影响正常数据的使用,并给开放银行的发展带来消极影响。这需要对共享数据的使用时间进行限制,以有效防止数据被恶意篡改或储存。此外,现实生活中,数据分散在政府部门、金融机构、互联网平台之间,数据整合在法律、技术和利益等方面也存在亟待攻破的难关。
四是数据保护意识、风险防御能力薄弱。银行客户数据可以让更多金融机构深入挖掘客户信息、拓展业务边界,但同时也带来了保障客户信息安全的责任与义务。一方面,数据访问主体增多会加大数据的安全风险。开放银行通过API等技术连接起多个数据共享主体,任一关联方的连接处如果出现安全问题或授权设置不正确,都可能给整个系统带来数据泄漏的风险,使客户信息被非法获得。另一方面,互联网渠道本身也存在数据安全风险。开放银行接口属于外部服务,存在访问漏洞等安全隐患,一旦该漏洞被发现并被恶意利用,将导致服务器入侵等不利后果。其他问题还包括:我国对开放银行尚未建立用户授权收回机制,导致用户授权时很难自主选择或进行更改;我国也未建立对开放银行争议责任识别和划分的法律体系,在用户利益受到损伤后,难以通过合法有效的渠道加以解决。此外,开放银行本身也存在技术漏洞、系统失灵、风险控制等操作风险及系统性风险,而我国对这些风险的防控能力仍然有所欠缺。
对我国发展开放银行的建议
新冠肺炎疫情暴发后,“非接触银行”服务需求大大增加。我国银行业应进一步践行开放银行理念,融入场景,加强合作,构建集金融服务和非金融服务为一体的非接触服务生态系统,以全方位、一体化来满足客户的各种需求。为此,应加强相关制度建设,完善监管框架,强化风险管理,推动数据开放。相关建议如下:
一是出台针对开放银行的法律法规,推动数据开放共享。2019年8月,央行发布《金融科技(FinTech)发展规划(2019—2021年)》,提出要借助应用程序编程接口(API)、软件开发工具包(SDK)等手段,深化跨界合作,借助各行业优质渠道资源,打造新型商业范式,实现资源最大化利用,构建开放、合作、共赢的金融服务生态体系。这标志着国家将助力开放银行的发展,进一步推动数据共享与合作。而基于我国开放银行目前处在发展初期,因而在推进的进程中,一方面需要市场的包容;另一方面则需要一套完整的法律体系作为支撑。就前者而言,开放银行作为降低金融行业壁垒、减少金融机构不必要成本的一项重要举措,政策应秉持包容的态度,发挥市场驱动效用;各金融机构则应及时把握市场运行规律,适应市场发展趋势,并适当结合监管政策,加快开放银行的发展进程。就后者而言,法律是一切新兴事物平稳发展的基础,健全的法律体系对于保障开放银行行稳致远不可或缺。鉴此,国家应尽快出台针对开放银行的政策指引及纲领性文件,明确监管主体,制定开放银行的推进规划,协调和保障银行与第三方机构间的利益关系,形成开放银行与各参与方协同推进、互利共赢的新格局。
二是完善开放银行的监管框架,制定数据共享规则。2020年4月,《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》发布,将数据作为一种新型生产要素,要求充分发挥数据对其他要素效率的倍增作用,培育发展数据要素市场,使大数据成为推动经济高质量发展的新动能。目前我国只是出台了API接口技术标准,开放银行监管框架较为单薄,在一定程度上制约了开放银行的发展。鉴此,监管部门应在API接口技术指标的基础上,进一步对监管范围进行明确,重点是将第三方机构纳入监管范畴,厘清银行与第三方机构间的法律关系,以减少由于信息滥用、盗用等产生的不安全问题。与此同时,监管部门还应尽快出台开放银行金融数据共享业务准则,明确数据的开放范围及权限,以减少数据冗杂、数据滥用对数据共享的负面影响,促进开放银行技术标准化体系的发展,进而建立起科学的标准化框架体系。
三是注重用户信息监管保护,推动数据有序开放。2020年2月,央行发布《个人金融信息保护技术规范》,从安全技术和安全管理两个方面明确个人金融信息在收集、传输、存储、使用、删除、销毁等环节的安全防护要求。监管部门应进一步加强对开放银行用户信息的保护,建立健全安全性评估及技术安全性指标体系,完善信息发布和开放服务风险补偿机制。其重点是,建立开放银行争议责任识别及处理的法律规范,为用户提供纠纷解决渠道。从欧盟发布的《通用数据保护条例》(GDPR)看,其将一系列新兴支付方式纳入了监管范围,并对数字及网络安全提出了非常严格的监管要求。对此,应该看到,信息安全固然需要坚持,但要实现开放银行理念,也需要有序推动数据的开放共享。因此,针对用户信息的安全保护,监管部门应注意维持个人信息保护与数据共享关系的平衡,一方面,可根据用户信息敏感性差异,开展不同程度的数据共享及保护;另一方面,应建立用户授权收回机制来保障金融消费者的合法权益,同时对第三方机构有权获取的数据类型、数据内容、储存时间等做出严格规定,以确保数据共享是在用户授权的前提下有序进行的。
四是加强对开放银行的风险监测,提升其风险管理能力。监管部门应建立健全开放银行风险监测体系,及时发现并处理风险,提升对风险的管控能力。一方面,要加强对开放银行安全防控体系的建设力度,定期进行风险排查及安全评估,并根据开放信息敏感程度的不同对开放银行进行差异化管理,以提升数据的安全性和风控水平;另一方面,鉴于开放银行蕴含有更多的技术风险、操作风险及系统性风险,因而除了要考虑审慎监管、行为监管外,还要充分借助监管科技(RegTech),来提升监管能力和效率。具体而言,可以运用区块链等技术手段,构建以数据驱动监管为核心的智能化实时监管,形成开放银行各参与方的互联机制,以打破传统金融监管的困境。
鉴于开放银行涉及的参与主体范围广泛,各主体的风险识别、防控手段又存在较大差异,因而对开放银行风险监测和持续监管还应展开进一步的探索。