◎文/王 静

一、引言

2018年巴塞尔委员会在发布的报告《金融科技发展对银行和银行监管机构的影响》中指出，技术进步可能导致出现“分布式银行场景”和“降级银行场景”。“分布式银行场景”是指金融服务在专业金融科技公司和现有银行之间的分散化；“降级银行场景”是指现有银行成为商品化服务提供商，客户关系由新的中介机构拥有。立足于数据分享机制的开放银行在众多国家的发展即是最大化数据价值的典型例子。技术进步使得数据的价值凸显并不断被开发，虽然国内金融业数据开放与数据保护的基础设施与营运模式尚不成熟，但银行数字化转型发展成为必然。因此，本文探讨开放银行在全球的推进逻辑及发展中的关键问题，以期对我国银行数字化转型提供更多参考。

二、开放银行界定与推进逻辑

（一）开放银行的界定

随着金融科技的发展，商业银行面临数字化转型，在实践中或是对已有产品、业务流程及渠道进行数字化改造，或是探索数字化、开放化的商业模式变革，发展平台化、场景化的金融服务模式。开放银行属于后者，即由银行自建或第三方机构开发的即插即用式的金融科技API（Application Programming Interface，应用程序接口），在获取金融消费者授权后通过接入银行，共享银行开放的金融数据，让第三方开发人员开发金融应用和服务。按照英国开放银行的实施机构OBIE （Open Banking Implementation Entity，开放银行实施机构）的定义，开放银行是一种为包括小企业在内的客户提供全新、安全的信息共享，从而方便为新旧公司提供超快捷支付方法和创新银行产品的方式。

（二）开放银行在全球的推进逻辑

虽然与第三方共享银行拥有的客户许可数据已存在多年，但数字设备使用的增加和快速发展的数据聚合技术正在改变全球的零售银行服务业。2016年之后，基于数据共享理念的开放银行在欧美国家兴起，旨在通过开放实现数据的共享，实现数据价值最大化，进而确保金融领域能够充分竞争并更具创新性，提高中小企业生产率和金融消费者福祉。考虑到银行拥有最主要的金融数据源，推动数据共享的行动以开放银行为切入点展开，推进逻辑主要在于两个方面：

1.提升金融体系效率与创新能力

无论是在金融基础设施建设还是在科技的应用上，发达经济体的金融体系通常被认为是比较有效率的。但Philippon（2015）发现，1878—2008年间美国金融中介的单位成本一直保持在2%左右，Bazot（2013）对于德国、英国和法国的研究也证实了这一点。近期的研究同样发现许多发达经济体已经到达了一个临界点——更多的金融服务是无用的或没有帮助的，这说明信息技术的进步并未传递到金融服务的终端用户。金融服务进步带来的社会福利改善，在技术上可行，但只能在新企业进入该行业后才可能发生。以率先推行开放银行战略的英国为例，2013年英国竞争和市场管理局（CMA）面向个人和中小企业进行银行服务情况市场调查，发现用户更换银行的比例极低（3%），形成传统大型银行竞争不充分、新兴小型银行发展艰难、消费者支出高于合理价格且未能从新服务中获益的局面。CMA为实现市场公平竞争并使用户享受到技术进步带来的好处，2015年推出银行业数据共享与数据开发计划，目的是在客户同意且兼顾个人隐私保护的前提下，营造一个开放的数据环境，银行将客户信息开放给第三方服务业者，如金融科技企业使用，以便让其提供给消费者更好的服务。

新兴经济体与发展中经济体在开放银行上的实践更多是场景驱动以及规模化应用。金融科技企业通过连接消费者的日常生活场景，提供支付服务，在客户获取及黏度上升基础上，进一步提供投资、保险等金融服务。

2.最大化数据价值

数据既是金融交易的结果，又可用于后续金融服务的提供。数据本身具有价值，是能够以零边际成本获得的非竞争品，因此，对数据的广泛访问是有益的。过往传统金融机构对于自身业务保护的考量，在数据开放共享上持有保守态度，数据垄断、数据割裂形成的数据孤岛现象严重，数据库重复建设，造成数据使用的低效率以及对消费者的不合理定价。数据的核心价值在于连接与共享，金融数据打通后和应用场景结合才更实用（肖钢，2020）。数据连接把不同来源的数据进行匹配和融合，强调数据触及和返回的广度和丰富程度。开放银行本质上是引入竞争，打破传统银行的数据资源垄断，创造数据共享机制，以确保数字公司持续创新；支持新进入市场的企业，促进数据价值的充分挖掘，降低客户的转换成本并确保消费者权利受保护并能获得更好的产品。从商业的角度来看，数据可以作为新产品和商业模式的催化剂，通过与金融科技企业的合作，催生出更为开放多样的银行业态。

国外的开放银行大多是自上而下顶层推动，强调数据的共享；国内的开放银行一部分是市场自发推动，更多的是银行服务和产品的输出，依赖场景提供（各国家/地区开放银行的比较如表1所示、数据共享特点如表2所示）。

表1 各国家/地区开放银行开放的银行数据与活动类型以及监管情况

表2 主要国家/地区数据共享进展特点

三、开放银行推进中的关键问题

开放银行围绕数据共享展开，推进中的主要问题涉及到数据确权和授权、金融消费者隐私保护、安全性问题以及监管挑战。表3中列出了数据共享的潜在优势与弊端的对比。

表3 数据共享的潜在优势与弊端

（一）数据确权和授权

首先需要明确数据的范围、来源、类型和所属权。从数据产生的类型来看，数据可以分为：①用户基本资料数据，包括身份信息、生物识别信息，姓名、身份证、住址、通信联系方式、指纹、声纹、虹膜、面部特征（这些数据的所有权应归于用户）；②用户在银行的交易原始数据，包括交易记录、信贷记录、征信信息、流水记录；③用户原始交易数据的二次加工；④银行金融产品的数据（2018年底，新加坡金融管理局MAS开放42个应用程序接口查询金融业公开信息）。数据的确权应根据数据所属类型进行，涉及的权利包括所有权、知情权、使用权、携带权等。以欧盟和美国两种不同方式作为对比来看：

欧盟是通过《通用数据保护条例》（GDPR）和《非个人数据在欧盟境内自由流动框架条例》，确立了个人和非个人数据的架构。任何已识别或可识别的自然人相关的个人数据，其权利归属于该自然人，享有包括知情同意权、修改权、删除权、拒绝和限制处理权、遗忘权、可携带权等一系列广泛且绝对的权利。针对个人数据以外的非个人数据，企业享有“数据生产者权”，但权利并非是绝对的。

与欧盟不同的是，美国在数据确权上采取的方式为：从立法层面看，将个人数据置于传统隐私权的架构下，使用“信息隐私权”来化解互联网对私人信息的威胁，同时，通过《公平信用报告法》《财务隐私法》《有线通信信息法》《健康保险携带和责任法》等，在金融、医疗、通信等领域制定行业隐私法，配合网络隐私认证、建议性行业指引等行业自律机制。

（二）金融消费者隐私保护

在数据共享中，金融消费者隐私保护最受关注。消费者所使用的服务类型大致可分为生活方式应用（如网约车服务）、商务服务（如会计、费用管理、税务和预算服务）、支付服务、贷款服务、投资的产品和服务、账户服务等。实践中，App（应用程序）私自或超范围收集个人信息、过度索权、侵害用户权益等问题（具体见表4）突出。例如，为了评估借款者的信誉，贷款者并不需要知道他们的社交习惯或旅行计划。同理，并不是所有类型的服务提供商都有权访问客户的财务数据。因此，开放银行的监管必须限制可以传输的数据范围（如金融交易数据）以及可以共享这些数据的机构类型，监管机构需要明确谁可以拥有这些数据以及如何存储和使用这些数据。

表4 工信部整治的App主要违规内容

（三）应用程序接口安全性问题

开放银行给银行和客户带来潜在的好处，一是可共享客户许可的数据增多，二是参与提供金融服务的各实体之间的联系日益密切。与此同时，风险也伴随而来，巴塞尔委员会确定的与应用程序接口使用相关的各种潜在操作风险、运营问题和网络安全问题，例如数据泄露、误用、篡改、拒绝服务攻击和未加密登录。其他类型的风险还包括基础设施故障、执行和操作速度、中间人攻击、令牌（Token）攻击和互联网协议地址欺骗等。目前，部分银行用来降低上述风险的机制包括更严格的访问权限、授权的端到端加密、认证机制、漏洞测试、建立审计跟踪、设置令牌过期时间、互联网协议地址白名单、防火墙和应用程序接口相关网络事件监控。但部分银行使用现有的风险管理政策来应对开放银行风险，将会形成潜在隐患，危害金融安全。对应用程序接口进行单独评估，特别是在网络安全和操作风险方面是非常有必要的。

（四）监管挑战

首先是客户授权可共享数据的增加和参与共享的人增多，会增加数据泄露的风险，因此，亟需有效的数据管理；其次是银行与各方之间不断增强的连通性带来风险，监管机构需从宏观和微观审慎管理的视角去评估并防范相关风险；再次是需要统一应用程序接口标准和技术规范，不同的应用程序接口标准会导致第三方效率低下或数字金融生态系统分裂，增加监管难度；最后是开放银行的多学科特征需要更高层次的监管协调，譬如在解决银行与第三方共享客户许可数据方面，涉及的监管部门包括了银行监管部门、竞争主管部门、消费者保护主管部门，考虑到涉及不同权限以及不同权限任务，就需要在监管上形成协调，以确保监管的一致性。

四、建议

（一）构建完整数字金融生态体系

全面的开放银行框架应包括一系列问题的规则、标准和/或行业实践及相应的监管机构。参与开放银行业务的监管机构包括：①银行监管机构，设定要求并监管被监管银行的传统机构；②应用程序接口或技术标准设置机构，建立标准和认证实体的机构；③竞争管理局，监督、促进并在必要时采取行动以确保市场运作良好的管理局；④消费者保护机构，确保消费者不会因组织的垄断和寡头垄断行为、不公平、欺骗或滥用行为而处于不利地位；⑤数据隐私权限，设置与保护个人和/或客户数据相关的要求的权限；⑥争端解决机制，为消费者和组织之间的争端提供调解平台或过程；⑦其他，对从事开放银行业务的实体拥有授权的其他机构。

其中，保护客户的数据应该是首要任务，应定义一个框架，以确保生态系统中的所有参与者都采取必要措施遵守这一规定。虽然客户通常知道他们的银行或保险公司持有个人信息，但来自“大型科技”公司的服务用户并不总是有这种洞察力。因此需要创建一个数字金融生态系统，确保安全的数据共享，并且需要明确谁可以拥有这些数据以及如何存储和使用这些数据。政府要处理隐私问题、道德问题、伦理问题，明确数据开放范围和授权问题以及如何开放这些数据，建立治理和纠纷处理机制，纳入金融监管，从而形成一个有信任的生态系统。

（二）切实保护金融消费者权益

在金融机构层面，应强化卖者有其责，维护消费者知情权。数据共享的关键是数据流通，需要警惕数字服务的“特权滥用”。新兴金融机构存在未经授权滥用数据和向第三方非法销售数据等行为，致使银行和消费者都面临数据被窃取和隐私泄露的风险。特别是涉及个人隐私核心领域，应加强保护那些一旦公开或利用会产生重大影响的个人敏感数据，需建立消费者的安全感、信任感，才能推动开放银行的良性发展。

（三）应用监管科技，加强监管协调

开放银行给客户和银行业带来了潜在的好处，但也带来了风险和挑战。从监管层面来看，首先，要将所有使用开放银行提供服务的主体全部纳入监管范围，这些主体均需得到监管机构的授权；其次，对如何创造、共享和使用开放银行数据以及安全传递消息标准提供指引；再次，鉴于开放银行围绕数据共享展开，在监管方式上，应用监管科技手段实现实时数据监管；最后，开放银行涉及多方监管部门，需加强监管协调，防止监管重叠与监管空白，实现金融创新与金融安全之间的平衡。