冯 琳

(北京银行博士后科研工作站，北京 100032)

一、开放银行概念的提出

金融科技的发展加速了现代金融业的自我革新，金融科技与传统金融业务的深度融合，也催生了新的商业经营业态。2018年，布莱特·金(Brett King)在他的新作《银行4.0》中提出了“开放银行(open banking)”的概念。据此，一些国外媒体也将2018年称为开放银行发展元年。可以预见的是，作为一种的新的商业业态，开放银行突破了时间和空间的限制，实现了银行经营从线下到线上、从独立经营向开放式生态体系的转变，进而实现广义层面的互惠互利、合作共赢。这一点也正如布莱特·金在《银行4.0》中所述:“Banking is everywhere，but not at a bank.”

开放银行是伴随金融科技发展衍生出来的一种新的平台合作模式，基于API(application programming interface，应用程序编程接口)技术，旨在实现银行与第三方机构间的金融数据共享，从而实现金融服务维度的拓展，并提升客户体验。需要指出的是，开放银行并非传统意义上的商业银行，而是一种平台化的商业模式。开放银行的最终目的在于，基于传统的金融服务生态基础，在实现银行金融服务“走出去”的同时，实现外部场景“走进来”。

开放银行主要有以下三方面的特征:第一，依托于开放的API技术。开放银行是依托于开放API技术实现的，简单来讲，API技术是供应方和需求方之间的“技术纽带”，作为供给方的企业或者个人将自身拥有的技术通过开放的API供需求方企业或者个人调用接口，实现不同技术的相互黏合，以实现数据共享的目的。第二，本质在于实现金融数据共享。开放银行作为一种商业理念，可以理解为共享经济在银行领域的应用，本质在于金融数据的共享。或者说，开放银行理念的提出，意味着未来银行将由一个服务场所变为一种无所不在的服务。第三，采用平台化的商业模式。与传统的银行业务不同，开放银行旨在将银行变成开放共享的平台，在此基础上实现对各种金融生态的集聚，提升客户的服务体验。

开放银行的理念对银行业务的影响，主要体现在以下几点:

第一，重新定位客户群体。开放银行通过开放自身的账户服务和支付工具，提升客户的用户体验，同时也在一定程度上打破了银行传统模式中固有的“二八法则”，将客户服务目标群体下沉，将金融服务触达普惠和长尾等下沉市场。从而使得金融服务客户群更加广泛化和多元化。对服务客户群体的重新定位，一方面提升了客户对金融服务的获得感，另一方面也在一定程度上提升了金融支持实体经济的水平。

第二，重构原有的业务模式。开放银行的合作模式，对传统银行业的改变主要体现为对场景、产品和风控模式的改造。具体来说，首先，对行业场景的开放性改造。开放银行根据客户需求，以场景为基础向客户提供金融服务，旨在构建集合金融服务和行业服务于一体的综合生态系统。其次，对银行产品的开放性改造。通过产品分解和产品整合，在推动实现产品创新的同时，可以为客户提供更加全面系统的综合服务，在此基础上实现银行从“向内挖掘”向“对外延展”的转变。再次，对风控模式的开放性改造。开放银行的商业模式在一定程度上提高了传统银行业务风险把控的难度，也使得银行风险管理面临更多新型的非金融风险。开放银行需要对API技术以及SDK技术进行充分运用，还需要与第三方合作机构进行技术和数据层面的合作，由此可能会引发技术推广带来的网络安全隐患，以及多机构合作带来的不同机构间的连锁反应，上述问题都在一定程度上破坏了原有的风险隔离机制，增加了系统性风险产生的可能性。因此，商业银行对风控模式的开放式改造，在实现数据共享流程透明化的同时，也要立足于整个合作平台的风控基础设施建设。

二、国内外开放银行的发展经验借鉴

(一)国外开放银行的主要实践

1.英国是开放银行理念的先驱者

英国是开放银行理念的积极践行者。英国的开放银行建设源于2014年的一项银行业调查，报告显示英国银行业存在竞争不足的现象。为更好地引导银行业推进金融创新，减少寡头垄断的现象，英国政府在2015年制定了银行业开放API的详细标准与框架。与此同时，欧盟各国也对开放银行理念持肯定态度。2015年，《新支付指令》(Payment Service Directive2，简称“PSD2”)的发布，标志着欧盟各国开启了推进开放银行建设的征程，该指令为欧盟践行开放银行的理念提供了法律支撑。在上述背景下，英国相关工作组(OBWG)在2016年发布《开放银行标准框架》(OBS)，英国竞争和市场管理局(CMA)负责督促英国最大的9家银行积极采取行动落实上述标准框架。2019年1月，相关数据显示，英国已有19家银行认同开放银行理念并加入其中。

2.开放银行的国际范式

(1)西班牙对外银行(Banco Bilbao Vizcaya Argentaria，BBVA)

西班牙对外银行成立于1857年，自2016年起业务发展开始向开放银行转变，以BAAP(Bank-as-a-Platform)为经营定位，成为全球首家以商业化模式开放的API银行，也成为第一家实施PSD2的欧洲大型银行。2016年2月，BBVA上线了Open API平台，旨在为个人开发者、互联网金融企业提供API接口调用权限以及相关的数据支持。如图1所示，BBVA最初的开放端口主要有四类，覆盖了聚合支付服务、授权访问BBVA服务以及绑定BBVA支付方式服务；在此基础上，2017年5月，BBVA API Market上线运行，该平台开放了八大类端口，该平台的主要特色是用户可在“沙盒环境”①沙盒(sandbox，又译为沙箱)，计算机专业术语，在计算机安全领域中是一种安全机制，为运行中的程序提供的隔离环境，通常作为实验之用。中可免费试用BBVA提供的数据，在此基础上还可与BBVA建立合作关系，进而完成对数据的进一步开发。

图1 西班牙对外银行开放平台建设

综上所述，开放银行基础设施的建设推动了BBVA的业务向集约型方向转变，同时也为客户提供了更高效、更舒适的用户体验。西班牙对外银行在开放银行的实践促使银行业务发展模式的转变，为银行未来业务发展提供了更多可能的战略转型红利。

(2)花旗银行(CitiBank)

作为一家老牌商业银行，在与金融科技融合方面花旗银行保持着领先地位。2016年11月，花旗银行推出API Developer Hub(API开发者中心)，实现了向开放式架构发展模式的转变。API开发者中心以其操作的简捷性和开放性，上线一个月内便吸引了上千万的开发者。同时在投资领域，花旗银行还通过花旗创投(Citi Ventures)投资了涉及区块链、数据分析、支付结算、监管科技等八大领域的25家公司，目前已经成为美国金融科技投资领域非常活跃的银行之一。此外，2013年11月，启动金融科技加速器工程，目的在于为金融科技创业公司获得创业启动资金，花旗银行并将成熟的创业项目纳入自身的开放银行体系。

(3)星展银行(Development Bank of Singapore，DBS)

2017年，星展银行推出全球最大的API开发平台“DBS Developers”，开放了150多个端口，成为全球数量最多和关联性最高的API开发平台。2018年，星展银行推出了一项与初创公司匹配的计划——Startup Xchange，Startup Xchange计划主要聚焦四个领域，分别为物联网、数据科学、沉浸式媒体以及人工智能(AI)，旨在更好地满足客户的需求，该计划的创新性在于银行与初创公司共同设计问题解决方案，共同解决问题。自该计划推出以来，已有超过20家初创企业与银行合作，并解决了相关业务难点和痛点。

(二)国内开放银行的主要实践

2015年，国内四家互联网银行(微众银行、网商银行、新网银行和亿联银行)首次采用开放式银行的系统架构，2018年，国内开放银行建设进入快轨道。从国内开放银行发展现状来看，各银行的发展重点在于开放平台建设以及自身产品和服务的对外开放。如表1所示。

表1 部分国内银行践行开放银行理念概况

目前国内外开放银行发展存在一定程度的差异，主要表现在以下几个方面。

第一，驱动模式不同。从英国和欧盟的发展轨迹来看，英国和欧盟开放银行的发展演进首先来源于政府部门以及监管部门的推动。英国开放银行实施计划由CMA推动，监管框架由OBMG发布；欧盟2015年发布了《新支付指令》，制定了相关的支付账户开放规则，英国2016年发布了《开放银行标准框架》，旨在规范和引导开放银行的发展，随后欧盟各国在此基础上制定相关的实施准则。综上所述，欧洲国家的开放银行实践由政府“自上而下”推动。与上述情况对应的是，国内开放银行的实践是市场自主选择的结果，目前缺少政府部门的参与，相关的监管政策也尚未出台。

第二，开放范围不同。欧洲各国推行开放银行理念的初衷在于打破大型银行的商业垄断，促进同业间的良性竞争，从而逐步实现银行业的变革。推行开放银行理念的第一步就是通过数据开放实现数据共享，在提升客户满意度的同时提升了市场活力；与之相对应，国内开放银行的理念在于将金融产品和服务更好地嵌入应用产品中。推行开放银行理念，更多的是通过开放产品和服务来实现，从而达到拓展自身的金融服务渠道，达到提升银行获客能力的目的。从这一点来说，这与开放银行的发展理念是不一致的，而且目前国内的开放银行建设并未涉及监管问题，相关的监管规则和标准还未真正落地。总的来看，目前国内的开放银行模式发展还处于探索阶段，开放银行是目前国内银行面对当下金融科技新形势的有力尝试，但未来还有很长的路要走。

三、我国开放银行发展存在的问题

(一)政策引导机制尚未建立，缺乏全面系统的监管体系

首先，合理有效的政策引导机制尚未建立。相较于英国和美国的发展进程，我国的开放银行目前仍处于发展初期，并主要依靠市场自发驱动来推动开放银行进程，缺乏宏观政策的引导和自上而下的整体规划，尚未形成完整的配套规章制度。因缺少自上而下的统一规划，国内开放银行发展还存在参差不齐的情况，部分大银行在开放体系建设方面已初具规模，而部分中小银行则尚未形成开放体系。

其次，全面系统的监管体系还处于探索阶段。一方面，目前我国对开放银行的监管还处在发展初期，尚未形成全面系统的监管体系。2020年2月，中国人民银行发布了《商业银行应用程序接口安全管理规范》，规范从技术模式、安全设计以及安全管理等多个方面对商业银行API建设做出了相应的规定，但尚未明确开放银行的合作模式、标准框架以及远期规划等问题，在开放范围和开放模式等方面也缺乏相应的规制机制。另一方面，尚未明确开放银行的监管主体划分。鉴于我国开放银行的发展主要依赖于市场的自发驱动，非政府自上而下推动，因此我国目前尚未明确开放银行的监管主体。

(二)数据治理机制亟待完善

在数据获取方面，自2017年6月网络安全法施行后，金融机构和数据服务商在运用数据的合法性和合规性方面受到了一定的限制。例如，关于证实数据合法性的告知协议较为冗长，这在很大程度上增加了机构获取数据的合规成本；在数据使用方面，开放银行本质上是金融数据的共享，更精确地说是在消费者授权下的金融数据共享。但目前尚无明确的授权机制和有效的跟踪机制，对授权数据的使用者、使用范围以及授权程度做出明确的规定。在数据管理方面，国内目前还未出台统一的数据信息管理标准，也缺乏对数据获取者相关资质的审核监管。此外，我国尚未明确开放银行数据开放的范围和权限，信息的任意共享易产生用户数据的安全风险和泄露风险。

(三)有效的风险处置机制尚未形成

开放银行的发展重心在于金融数据的共享，而国内开放银行的发展重心在于产品和服务的对外开放。数据共享是开放银行理念的核心，目前国内商业银行在数据共享方面较为保守和谨慎，存在“不愿共享、不敢共享和不会共享”的问题。一方面，目前技术上并未实现对数据资产的精准确权，从而无法实现对数据的精准授权，无法实现对数据价值和收益进行合理再分配；另一方面，银行业务的用户数据与银行客户密切相关，保护数据隐私是提升客户信任度的重要内容。开放银行的发展模式承载了多个参与方的数据信息，不仅拉长了风控链条，同时也增加了数据的传输频率，增加了数据隐私泄露的风险。银行有能力实现与第三方机构的用户数据共享，却无法防范数据共享产生的安全隐患。数据共享程度的加深可能会使银行业发生系统性风险，而目前商业银行尚未形成有效的风险监管机制，这也是商业银行目前在数据共享方面较为谨慎的原因所在。

四、我国开放银行的未来展望

开放银行是商业银行未来的发展趋势，未来开放银行的发展需从顶层设计、数据治理和风险防控三个方面展开。

(一)完善开放银行的顶层设计

从前述的国外开放银行发展历程来看，相关机构的政策引导在开放银行的发展过程中起着重要的作用，例如英国和欧盟各国都积极引导本国的开放银行的发展。目前我国对于开放银行的发展正处于积极探索阶段，一方面，我国应积极借鉴其他国家和地区的发展经验，在《商业银行应用程序接口安全管理规范》的基础上，加强政策引导，明确监管主体，完善既有的监管体系，对开放范围、开放模式以及信息安全等方面加以明确；另一方面，相关监管机构应积极探索行之有效的监管举措，以期实现金融创新和风险防范之间的平衡。此外，相关监管部门应尽快出台国内开放银行的整体规划，加强政策引导，实现各银行在开放体系建设方面的稳健均衡发展。

(二)完善开放银行的数据治理机制

开放银行的发展理念在于金融数据的共享，完善数据治理机制对实现金融数据的共享至关重要。需进一步完善既有的技术规范准则，并建立数据信息传输标准，确保数据在不同端口间传输的一致性，为实现数据的互联互通奠定基础；建立数据安全保护机制，在数据传输过程中，可借鉴国外的发展经验，采用访问标记化以及使用者资格审查制度等安全性技术，确保数据传输过程的安全。针对数据流转过程中存在的数据权属不清和数据泄露等问题，可尝试探索利用区块链的密码学技术以及共识机制等技术进行解决。

(三)强化开放银行的风险处置机制建设

开放银行是商业银行未来发展的重要方向之一，商业银行应持积极包容的态度，将开放平台建设融入自身的发展战略中，有计划、有步骤地逐步进行API开放。在开放范围上，商业银行应明确自身的哪些产品、服务和数据可以对外开放，哪些不能对外开放，并高度重视客户的数据价值，在外部场景应用过程中掌握主动权。在风险体系建设方面，商业银行应完善自身的风险管理体系。一方面要完善事前风险防控机制。建立与开放平台建设相适应的风险预警体系，提升自身系统的稳健性和抵御外部冲击的能力；提升对外部风险的预测和研判水平，建立相对完善有效的风险隔离机制。另一方面，提升风险监测和风险处置效率。建立与开放银行相适应的风险隐患监测和识别机制，提升安全风险事件的实时分析能力和迅速反应能力。此外，要建立稳妥可靠的风险事件紧急处置机制和危机公关机制，确保在风险发生时将其负面影响降至最低。此外，可充分利用“监管沙盒”这一新型监管工具，将开放银行的发展模式纳入其中，以期防范其可能存在的信息安全风险以及可能产生的系统性风险。