【金融行业】开放银行发展与监管的国际镜鉴
作者:任图南,陈昊,鲁政委
最早正式提出“开放银行”(Open
Banking)这一概念的国家是英国,其目的在于鼓励银行市场竞争、推动金融创新。英国竞争和市场管理局在2016年正式提出开放银行(Open
Banking),将其定义为一种全新且安全的信息共享方式,使得企业可以提供快速支付(Super-fast
Payment)和创新银行产品(Innovative Banking
Products)。国际清算银行(BIS)将开放银行统一定义为银行与第三方(Third
Party)开发者和企业在客户的允许下,分享和利用其数据,以提供应用和服务的过程。值得注意的是,实践中开放银行也涵盖了银行与银行之间数据的互相开放。
在不少情况下,由于开放银行或需要银行主动将自身拥有的客户数据与第三方潜在竞争对手共享,因此不少经济体的银行主动推进开放银行的意愿较低。全球主要经济体的开放银行发展模式主要可分为以下三类:第一,监管强制其司法辖区内银行进行开放银行,以英国与欧盟为代表。第二,监管引导市场机构以自愿的方式推进开放银行,以新加坡等为代表。第三,以市场机构自发推动为主,以美国等为代表。应当指出的是,我国的开放银行发展模式为市场主体自发探索为主,监管部门暂未引导或强制商业银行进行开放银行。
从当前国际趋势来看,开放银行正呈现出更加多样化的新发展趋势。第一,是从开放银行到开放金融(Open Finance) ,与开放银行的区别在于开放的数据和金融机构范围更大,不仅是银行,投资、保险等金融机构均可加入数据开放行列。第二,是开放银行的互利化 ,是指基于开放银行进行创新的金融科技企业在发展到一定程度后反哺传统商业银行,使得商业银行不仅是开放数据以让利给金融科技企业,也可以从开放银行中获益,有利于开放银行生态形成良性循环。
虽然各经济体推行开放银行的出发点、模式以及目标并不相同,但仍存在一些被广泛接受的基本准则:一是严格规定开放银行的参与方(第三方机构),并对不同参与方设置相应的持牌要求和开放权限。二是严格规定开放银行数据开放范围与账户读写权限,并对不同数据设置不同的开放授权边界。三是数据开放过程需遵守严格的授权流程。四是分阶段逐步推动开放银行的发展。
自英国竞争和市场管理局在2016年正式提出开放银行(Open Banking)概念后,开放银行逐渐在全球推广,截至2023年6月末,全球约有100个经济体已推出或正在考虑推出开放银行相关政策[1]。近年来,开放银行的发展呈现出新的趋势,正在从最早的英国强制传统银行向第三方机构进行数据开放转向更丰富的开放银行生态建设和开放方式。
开放银行的出现源自金融科技企业和传统商业银行的竞争。随着数字经济的发展,使得金融科技企业利用互联网技术逐步进入传统银行的服务领域,并将银行的服务分解成诸多垂直领域,通过科技赋能甚至在某些方面对传统银行形成了一定的竞争优势。
以电子支付行业为例,其源自于传统银行服务,并逐步发展成相对独立的垂直领域,也是金融科技企业进入银行业服务的第一阵地。欧盟委员会2013年7月提交了关于支付服务指令的修正案,即后续在2015年颁布的《支付服务指令II》(Payment Service Directive 2,PSD 2),相较于2007年颁布的《支付服务指令》(PaymentService Directive,PSD),PSD2的改进主要为两方面:一是将第三方支付服务商纳入监管范围;二是要求银行向第三方支付服务商开放数据。
值得注意的是,PSD2关注的问题正是以第三方支付服务商为代表的金融科技企业与传统商业银行竞争的问题,一方面,PSD2通过要求银行向第三方支付服务商开放客户的账户与交易数据,达到鼓励竞争的目的;另一方面,PSD2将第三方支付服务商纳入监管范围,通过牌照限制以及日常监管的方式控制风险。Michałet al.(2020)在研究中指出,PSD2的施行极大地促进了欧盟第三方支付服务商的增长,在PSD2于 2018年1月13日正式施行之后,当年的持牌第三方支付机构增长702家,同比增长超2倍。
最早正式提出“开放银行”(Open Banking)这一概念的国家是英国,其目的在于鼓励银行市场竞争、推动金融创新。传统商业银行竞争不充分的问题困扰英国当局,根据世界银行数据,英国银行业按总资产规模计算的CR5在2012年末为75.11%,即总资产位列前5的银行占到了银行业资产总额的75.11%。英国竞争和市场管理局(Competition and MarketsAuthority,CMA)在2013年6月启动面向个人和中小企业的银行业服务调查,并在2016年8月公布调查报告[2],指出英国当时的零售银行业存在以下问题:一是零售银行市场竞争不充分。小型银行发展举步维艰,用户更换银行的比例极低,银行在某些金融产品如透支(Overdraft)上收取的费用远超合理值;此外,该报告在第十一章指出,其发现个人银行账户收费结构复杂,公开信息有限,导致消费者难以直观地比较不同银行的产品和服务以选择合适的银行账户,与此类似的诸多原因导致消费者难以选择性价比更高的金融产品和服务。二是金融行业创新滞后。英国五大银行(巴克莱、汇丰、劳埃德、苏格兰皇家银行以及桑坦德银行)占据零售银行市场80%以上的份额,由于创新型企业难以获取客户的银行数据,第三方服务商的影响力和市场份额微乎其微,新的商业模式和创新产品难以涌现(胡伟洁,2020)。
为了持续推进金融产品的创新,CMA随后推出开放银行计划,以促进银行业市场的竞争。CMA将开放银行定义为一种全新且安全的信息共享方式,使得第三方金融科技企业可以向其客户提供快速支付(Super-fast Payment)和创新的银行产品(Innovative Banking Products)。2015 年8 月,英国财政部成立开放银行工作组(The Open BankingWorking Group,OBWG),研究并制定详尽的开放银行框架与标准。2016年9月,CMA要求英国9家大型银行共同出资成立开放银行实施组织(Open BankingImplementation Entity,OBIE),负责开放银行API的设计等。
开放银行的内涵在发展中逐渐丰富。国际清算银行(Bank for InternationalSettlements, BIS)在2019年11月发布《开放银行和应用程序接口报告》(Report on open banking and application programming interfaces,以下简称“《开放银行报告》”)[3],指出虽然全球不同司法管辖区可能对开放银行有不同的定义,不过BIS将开放银行统一定义为银行与第三方(Third Party)开发者和企业在客户的允许下,分享和利用其数据,以提供应用和服务的过程。其中,第三方可以是受金融监管部门监管的实体(Supervised Entities),例如银行与其他受监管的金融机构,也可以是不受金融监管部门监管的各类企业(Non-supervised Entities),例如金融科技企业、数据服务商等。相较于CMA对开放银行的定义,BIS将开放银行应用的业务场景扩展到提供实时支付以外,包括但不限于提高客户的财务透明度、进行营销与交叉销售等,体现出开放银行生态的逐渐丰富与完善。值得注意的是,在实践中,开放银行也存在银行与银行之间的互相开放,例如荷兰银行(ABN AMRO)使用了第三方金融科技企业Tink的账户汇总功能,让其客户能够在荷兰银行的终端便捷的管理其所有银行的账户。
为了促进金融领域的竞争与创新,开放银行的核心为要求商业银行将其数据与包括竞争对手在内的第三方共享,这将有可能削弱银行的竞争优势。因此,在大多数情况下商业银行主动发起或参与开放银行的意愿较低,全球主要经济体的开放银行发展大多由监管部门推动,少数为市场自发行为。具体来看,全球主要经济体的开放银行发展模式主要可以分为以下三个类别:
第一,监管强制其司法辖区内的银行推进开放银行,要求银行与各类第三方共享数据与服务接口,以开放银行的先行者英国与欧盟为代表。欧盟对开放银行的监管规定主要集中于PSD2,其将开放银行作为银行的一项基本义务,并要求成员国在2018年1月之前将PSD2转化为可执行的法律。PSD2强制欧盟成员国的银行向经过欧洲央行批准的第三方机构免费提供关于账户、交易、支付的应用程序编程接口(Application Programming Interface,API)(中国人民大学金融科技研究所,2021),以促进欧洲支付市场效率与优化支付市场公平竞争环境。英国在早期推行开放银行时,同样采取强制措施,CMA要求英国9家大型银行进行数据共享并共同出资成立开放银行实施组织OBIE。2018年1月,英国9家大型银行陆续推出其开放银行计划,其客户有权利与其他银行或第三方机构安全地共享自己的账户数据。后续自愿参与开放银行的机构持续增加,截至2022年4月,英国共有341家受监管的银行和金融科技企业参与开放银行的数据共享,其中作为数据提供者(DataProviders)的银行共有92家[4]。
第二,监管引导市场参与机构以自愿的方式推动开放银行,以新加坡等经济体为代表。新加坡没有专门出台监管政策强制要求银行业实施开放银行,新加坡金融管理局(Monetary Authority of Singapore,MAS)从技术标准出发,通过健全数据共享的基础设施以引导市场进行开放银行。MAS在2016年发布《金融即服务:API手册》(Finance-as-a-Service:API Playbook)[5],为开放银行制定了官方的数据标准、API标准与安全标准。
第三,开放银行相关行为以市场机构的自发为主,以美国等经济体为代表。与进行监管引导的新加坡不同,美国政府只出台了一些原则性指南,具体的数据共享标准、技术规范等基本都由市场主体或组织自行开发制定。2010年,美国国会通过《多德-弗兰克华尔街改革和消费者保护法案》(Dodd-Frank Wall Street Reform and Consumer Protection Act of 2010,以下简称“《多德-弗兰克法案》”),其第1033条规定,提供金融服务或产品的各类受监管机构机构(Covered Entity,如银行),必须根据要求向客户提供与客户相关金融产品或服务的交易数据和其他信息。该条款是美国开放银行的法理基础。虽然消费者金融保护局(Consumer Financial Protection Bureau,CFPB)曾明确表示客户对金融交易数据的可得性有助于提升客户服务体验、促进金融机构的竞争与创新,但美国至今暂未有任何措施强制银行进行数据开放。
应当指出的是,我国的开放银行发展模式同样以为市场探索为主,监管部门暂未强制商业银行进行开放银行。由于当前我国第三方机构良莠不齐,部分机构风控能力较弱,特别是对于数据保护的能力存在较大差异。因此,在这一背景下,我国的金融监管部门在数据开放时更加强调数据的安全性。
从我国实践来看,我国银行业已具备提供开放银行服务的技术能力,初步的技术标准已经形成,但开放银行服务的数据共享将以安全为先。在开放银行标准上,人民银行于2020年2月发布并实施的《商业银行应用程序接口安全管理规范》(以下简称“《规范》”),规定了商业银行API的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下载、安全管理等安全技术与安全保障。《规范》将商业银行API的类型分为内部API、企业定制API与外部API,其中,外部API对应国际上主流的开放银行API定义。
在开放银行实践中,某些移动支付APP的“卡管理”功能反应出其已支持开放银行的多项服务,参照中国香港对开放银行的API分类,我国的开放银行服务已涵盖其4种类型的API。以查询并更改账户信息服务为例,当前,我国部分移动支付APP可通过多家银行的数据接口,提供银行账户管理、跨行信用卡还款等银行服务,客户只需输入身份证号码与开户银行即可自动获取银行卡账号,查看信用卡账单与借记卡余额等。又如,我国可以通过移动支付APP调用银行卡进行支付与转账。
正是由于各国家或地区推动开放银行的方式不同,其开放银行的主导机构也存在差别,相对应地可以分为三个类别:
一是政府监管机构。以英国为例,其推动开放银行的出发点为促进金融行业竞争,因此英国发起开放银行的主要监管机构为CMA,即竞争和市场管理局,后续主要监管机构则为英国金融行为监管局(Financial Conduct Authority,FCA)。
二是金融监管机构。以新加坡为例,其仅将开放银行视作金融行业的创新行为,因此其主要监管机构为MAS,即新加坡金融管理局,而非与英国类似的政府监管机构。同理,中国香港开放银行的主要监管机构为香港金融管理局。
三是市场组织。根据《多德-弗兰克法案》,CFPB具有保护消费者的权利,开放银行可属于其监管范围。但CFPB仅表示客户对金融交易数据的可得性有助于提升客户服务体验、促进金融机构的竞争与创新。美国开放银行的主导机构为市场组织——全国自动化清算协会(National Automated Clearing House Association,NACHA),NACHA是由美国金融机构资助的非营利性协会,运营用于银行和支付服务提供商之间电子交易的自动化清算网络(Automated Clearing House,ACH),主要业务为连接美国包括银行在内的金融机构,并且致力于开放金融数据标准的制定工作。2022年全年,通过ACH进行转账与支付的总额达到50.2万亿美元[6]。
开放银行的发展已逐渐与其起源不同,相较于促进金融科技公司与传统银行的竞争以提升金融服务质量,现阶段的开放银行正呈现出更加多样化的新发展趋势。
开放金融(Open Finance)的理念与开放银行相似,均是通过API接口进行金融数据共享,与开放银行的区别在于开放金融涉及的范围更大,不仅是商业银行,投资、保险等金融机构均应加入数据开放行列。BIS在2020年发布报告《通过API实现开放金融》(Enabling open finance through APIs),指出由于金融行业变革、技术进步和监管要求等因素,金融机构在数字化转型过程中越来越需要采用开放金融模式,而开放银行中使用的API接口将是实现开放金融的关键工具之一。BIS定义开放金融(Open Finance)是一种金融模式,通过促进金融机构之间的合作和信息共享,以及提供对金融服务的更广泛访问权,推动金融创新和增加市场竞争。
根据是否需要进行强身份验证程序,可以将开放金融服务分为两大类:一是不需要进行强身份验证的金融服务,这包括通过第三方接口提供对公开数据的访问等服务,例如金融机构产品列表或可用基础设施;二是需要远程和安全强身份验证的金融服务,这类服务需要通过第三方访问或检索个人交易信息,甚至发起远程交易指令,例如发出支付指令或购买保险或投资等金融服务。
开放金融将以下四个方面促进金融系统生态的发展:
一是扩大金融服务的覆盖范围。开放金融使得金融服务可以通过非金融机构的其他第三方企业提供,典型案例如互联网企业。这些第三方企业相较于传统金融机构可能具有潜在的竞争优势,从而可以拓展用户的覆盖范围、优化用户体验等。
二是支持个性化金融服务。金融机构与第三方的合作,可以为其用户设计和提供创新金融服务。第三方通常拥有对更高的市场敏感性、创新能力以及更迅速的执行力,在获得传统金融机构的开放接口之后,可以更好地利用当前技术为用户提供个性化金融服务。
三是促进金融生态系统的协同发展。开放金融可以使金融参与者以多种方式受益。对于传统金融机构来说,可以通过第三方间接触及此前较难触达的下沉用户群体,在获得颗粒度更高的用户数据后,可以评估向其进一步提供服务的可行性。对于第三方来说,通过与金融机构合作,可以扩展其服务范畴,从而提升用户体验。此外,第三方通过提供金融服务,还可以吸引更多来自于金融机构的用户到其核心业务平台,增强其对新用户的吸引力。对于监管机构来说,通过开放金融可以将各类非金融机构第三方企业置于监管框架之内,监管机构可以将对于金融机构的监管要求平移到实际提供金融服务的第三方,从而将其纳入监管范畴、规范市场竞争,从而降低金融风险。
针对开放金融生态系统中参与者如何进行连接的问题,BIS提出两种可行方式并分析其优劣势。一是集中式连接,即存在一个中心参与者,所有的参与者通过与其连接而接入开放金融生态。二是多边连接,即开放金融生态系统参与者之间存在不同的连接网络,可以具有不同的技术标准与连接要求。
集中式连接的优势在于:一是参与开放金融生态系统的各方的技术标准与要求相同,使得监管机构更容易对该生态系统进行监管。二是极大地降低了参与者的系统对接成本,参与者只需要与中心节点进行连接即可接入整个开放金融系统。三是保证了开放金融生态系统内的公平性,使得规模较大的金融机构或第三方无法获得更大的议价能力。劣势在于:一是业务连续性面临单点失效(Single Point Failure)风险的挑战,集中式连接因其拓扑结构,风险集中于中心参与者,若中心参与者出现故障或遭受攻击,会影响整个生态系统。二是统一的连接要求可能减缓定制化金融创新的发展。
多边连接的优势在于:一是业务连续性相对更优,不存在中心节点故障导致整体系统瘫痪的可能性。二是有利于金融服务的创新发展,数据开放的连接网络标准可以根据不同细分金融领域的特点定制,便利第三方在金融服务领域开展创新。劣势在于:一是增加监管机构的监管成本。二是提高开放金融参与者的接入成本。三是潜在垄断可能性的提升将无法保证开放金融生态中的公平性。
应当指出的是,开放银行生态中已经出现集中式连接的模式。2012年成立于瑞典的Tink,最初面向消费者提供银行账户聚合服务。后续基于欧盟PSD 2中的规定,即第三方服务商有权利使用API 来获取银行数据。Tink在接口对接方面持续投资,与欧洲众多银行建立连接,并打通银行的身份验证环节,聚合消费者在银行的账户信息。第三方只需通过一个即插即用的API 接口与Tink 进行连接,即可便利客户借由Tink连接各个银行,进行身份验证,访问客户在银行的账户数据,以及发起银行账户的支付指令。
在开放金融的实践中,新加坡、巴西等经济体走在前列。新加坡在2016年发布《金融即服务:API手册》中,明确数据开放范围则包括银行、保险机构、资产管理公司以及监管机构。2020年,巴西中央银行(Banco Central do Brasil,BCB)发布关于开放银行的联合决议[7],确定了开放金融生态系统的参与者以及需要公开的数据和服务,并计划从同年11月开始分阶段推行。其中,第四阶段主要为扩大开放数据的范围,从银行支付交易数据扩展到外汇交易、投资理财、保险以及个人养老金等各类其他数据。
开放银行的互利化,是指基于开放银行进行创新的金融科技企业在发展到一定程度后反哺传统商业银行,使得商业银行不仅是单向开放数据和服务接口给金融科技企业,也可以从开放银行中获益,有利于开放银行生态的完善。具体来看,金融科技企业可以通过以下几个方式反哺银行:
一是有助于改善商业银行的服务内容。在开放银行推行之前,商业银行虽相较于金融科技企业享有数据优势,但也仅限于自身所拥有的存量客户数据,无法获得存量客户在其他银行的数据以及尚未成为客户的主体在其他银行的数据。而在开放银行逐渐成熟之后,商业银行利用金融科技公司的开放银行API产品,可以丰富其服务内容,提升客户体验。欧洲众多银行通过与Tink合作,利用Tink提供的数据处理、账户汇总、理财顾问等功能,为客户构建和提供更加丰富优质的金融产品和服务,提升客户满意度以及银行的竞争力。比如,荷兰银行(ABN AMRO)使用Tink的账户汇总功能,让客户能够在荷兰银行的终端便捷的管理其所有银行的账户。瑞典北欧斯安银行(Skandinaviska Enskilda Banken,SEB)基于Tink的平台开发了自己的应用程序,基于Tink 的数据处理功能,以清晰的格式为客户分类显示支付交易信息,该服务在2020年的访问量超过2亿次,深受瑞典客户喜爱(中国人民大学金融科技研究所,2021)。
二是在优化商业银行的业务模式。某些地区推动开放银行的主要目的旨在促进数据共享,银行不仅是数据的输出方,同时也可以获得外部数据。例如,新加坡与巴西均推动多方数据共享的开放金融。商业银行在获得外部数据后可以提升其展业的质效。最典型的案例为贷款业务,商业银行依靠大数据的风控模型具有突出的信息优势和模型优势,能够更加准确地预测违约,从而能有效在控制风险的同时提升信贷投放的普惠性(黄益平和邱晗,2021)。IMF在2019年发表的研究中指出[8],数据可能会对银行和金融科技企业在贷款领域的市场结构产生影响,尤其是基于财务数据与互联网数据的结合,将使得金融机构在竞争中获得比较优势。
三是基于开放银行的数据共享,利用技术和数据有助于打击金融犯罪以确保金融生态系统安全。开放银行强调数据共享和互操作性,对打击洗钱、欺诈和恐怖主义融资等金融犯罪起着重要作用。在**“了解你的客户”(Know Your Customer, KYC)方面**,开放银行通过API,可以整合客户的金融数据,使金融机构,其中包括商业银行能够更全面地了解客户。在交易监测方面,通过开放银行,用户在各机构和平台的交易数据可以安全实时地共享,有助于银行或者监管机构更高效地监测金融交易,识别异常行为并标记潜在的欺诈或非法活动。其中主要应用在反洗钱(Anti Money Laundering, AML)、反恐怖主义融资、反电信诈骗等领域,部分金融科技企业按照开放银行的规定整合了用户的金融账户数据,实质上起到了部分监管机构资金流向监测的作用。而且由于金融科技企业可以从开放银行的数据整合中盈利,其在技术能力与硬件设备上主动投入的动力更强,降低了交易监测的成本与难度。开放银行促进金融机构、执法机构和监管机构之间的合作。通过安全共享相关信息和情报,可以更好地识别、调查和预防金融犯罪(Podder,2022)。
值得注意的是,虽然开放银行可以增强打击金融犯罪的能力,但隐私和数据保护问题需要高度重视。国际组织和各国监管机构都认为应采取适当的保护措施确保客户数据的安全处理,并建立适当的同意机制来管理数据共享和使用。由于开放银行涉及敏感的金融数据共享和交换,强大的安全措施和协议至关重要。实施强有力的身份验证、加密和访问控制是保护数据免受数据泄露和未经授权访问的关键。
开放银行这一概念出现已逾7年时间,获得全球多个经济体的广泛认可与推广,据英国开放银行开源平台Open Bank Project统计[9],截至2023年第一季度末,全球已有约100个经济体已经推行或正在考虑推行开放银行。如前所述,虽然各经济体推行开放银行的出发点、模式以及目标并不相同,但仍存在一些被广泛接受的基本准则。
第一,严格规定开放银行的参与方,并对不同参与方设置相应的持牌要求和开放权限。第三方服务商作为开放银行的受益者,其数量与客户规模随着开放银行的发展快速扩张,而其面临的监管却弱于银行。作为开放银行中的重要参与方,第三方服务商(Third Party Provider,TPP)在保障客户数据安全等方面需承担其应有的责任。因此,除去必要的持牌要求外,监管部门通常对TPP进行持续监管。英国的开放银行制度主要参考PSD2与GDPR,因此,英国与欧盟在开放银行参与方的分类和监管要求上较为相似。开放银行的参与方主要分为三大类:
一是支付服务使用者(Payment Services User,PSU),即使用银行支付服务的客户,包括企业客户与零售客户。在开放银行生态系统中,一方面,客户享受来自银行与第三方服务;另一方面,客户在使用第三方服务商的服务前需要主动明示授权,同意其调取自己在银行等相关机构的数据。值得注意的是,监管规则要求,客户可以完全控制第三方服务商对银行账户的访问权限,既可以单次授权,也可以授权第三方的持续访问权限,但需要每90天更新再次确认访问权限。
二是账户支付服务提供商(Account Servicing Payment Service Provider,ASPSP),在开放银行的生态系统中,该角色主要由银行承担。银行一方面为付款人提供和运营支付账户服务,另一方面发布读写API以支持第三方在获得客户同意的情况下发起支付,或通过其API端点向第三方机构提供其客户的账户交易数据。
三是第三方服务提供商(Third Party Provider,TPP),TPP不持有支付账户,也不会占用转移的资金。在英国,TPP需要向英国金融行为监管局(Financial Conduct Authority,FCA)提出申请,在通过审核后才能进入开放银行生态、提供相关服务,并需要接受其持续监管。根据TPP服务内容的不同,TPP还可以分为以下三个类别:
1、支付启动服务提供商(Payment Initiation Service Provider,PISP)是根据客户的请求,基于银行的支付账户,发起付款指令的服务提供商。应当注意的是,PISP在提供服务时不接触资金,实际支付交易仍然由银行(ASPSP)完成。PISP的角色类似于我国国内的聚合支付提供商,只能在获得用户授权的情况下,负责向能进行支付服务的银行等机构发起支付请求。
2、账户信息服务提供商(Account Information Service Provider,AISP)是根据客户的请求,提供其在一家或多家银行账户信息查询服务的服务提供商。
3、卡基支付服务提供商(Card Based Payment Instrument Issuers, CBPII),是指发行可以用于从银行支付账户发起支付交易的卡片支付工具的服务提供商。值得注意的是,该卡片并非是银行卡,卡片并无存放持卡人的资金,客户使用该卡片从银行账户发起支付时,CBPII需要向客户开户的银行确认是否有足够资金可用于支付,然后发起或拒绝客户的支付请求。与PISP相比,CBPII所提供的服务实质均为支付发起服务,只不过支付工具与应用场景不同。
AISP仅涉及账户信息服务,即获取客户银行账户数据的读取权限,而PISP与CBPII提供支付发起服务,需要获得银行账户数据的读取与写入权限,CBPII虽然通过卡片发起支付,但实质与PISP相同。AISP与PISP需要获得FCA不同的监管许可,即申请不同的TPP牌照,向FCA提出申请后均需要6个月到一年的审核时间。申请成为PISP的企业需要满足更多要求,如PISP需要至少5万欧元的注册资本,AISP则无注册资本的要求[10]。
根据英国FCA官网的数据显示[11],截至2023年9月26日,在FCA注册的TPP共有290家。根据Statista的统计数据显示,从2020年至2022年5月,参与开放银行的银行与TPP数量经历增长后趋于稳定。
第二,严格规定开放银行数据开放范围与账户读写权限,并对不同数据设置不同的开放授权边界。金融机构尤其是银行所拥有的用户金融数据涉及用户的个人隐私,金融科技企业基于开放银行获取用户金融数据时若未进行足够信息披露并明确获得授权,造成用户对共享数据的用途缺乏足够的了解,则使其数据可能被无限制、无限期地滥用(中国人民大学金融研究所,2021)。因此,全球主要经济体在推进开放银行时通常会区分开放银行的数据范围。
以英国为例,OBIE在2018年发布《开放数据参与者的开放银行指南》(Open Banking Guidelines for Open Data Participants)[12],将英国开放银行涉及的数据分为五大类,重要程度从低到高依次为:
一是银行的参考信息(Reference Information),包括银行分支机构的位置、业务范围、服务时间、邮寄地址等,以及ATM取款机的位置、支持的货币类别、取款最小金额等基本服务信息。
二是个人活期账户(Personal Current Accounts)、企业活期账户(Business Current Accounts)、中小企业贷款和商业信用卡的具体产品信息,包括产品价格、费用信息(包括利息)、产品特点、条款和条件以及客户资格要求。
三是个人活期账户服务质量指标,在向其他人推荐该银行个人活期账户服务时,可以使用已有客户的服务质量指标数据,包括银行的在线服务、移动银行服务、分支网点服务、透支服务(Overdraft Services)等。
四是企业活期账户服务质量指标,在向其他企业推荐该银行企业活期账户服务时,可以使用已有客户的服务质量指标数据,包括银行的账户管理服务、在线服务、移动银行服务、分支网点服务、信贷服务等。
五是通过API 读写个人活期账户与企业活期账户,允许第三方机构在客户的主动请求下访问账户信息以及按照客户的请求发起付款。
虽然英国目前仍然仅强制要求9家大型银行参与开放银行,不过其余自主选择加入开放银行相关计划的银行也必须满足账户信息服务与支付发起服务的数据开放要求,具体如下:
一是当AISP直接请求访问账户信息时,银行应向其提供与支付服务用户可获得的指定付款账户和相关支付交易相同的信息。
二是银行应根据请求,向PISP确认客户支付账户上是否有足够支付交易所需金额。
三是在银行收到PISP的支付指令后,他们应立即向PISP提供有关支付交易的信息,包括交易的发起和执行情况。
应当指出的有两点:一是银行的商业敏感数据(Sensitive commercial data)不在开放银行范围之内。英国的《开放银行标准框架》定义银行的商业敏感数据为涉及敏感信息的策略、定价、政策、算法和数据,例如银行客户的信用评分等数据,并且规定该类商业敏感数据不在开放银行范围之内。二是在客户终止对TPP的授权后,TPP有责任删除或销毁与该客户相关的数据。但在实践中较难监督TPP进行数据删除,中国银联技术管理委员会开放银行工作组在发布的《开放银行数据保护与合规研究报告》[13]中指出,在开放银行中,银行对TPP的数据使用方式、是否履行删除义务等问题,无法从技术层面进行有效监控,因此往往面临数据泄露、数据转卖等风险。
中国香港对开放银行开放数据的范围限制与英国相似。香港金融管理局于2018年7月发布《香港银行业开放API框架》(Open API Framework for the Hong Kong Banking Sector)[14],将API划分为四类:
一是银行的产品和服务细节API,涉及数据范围为银行产品和服务信息,例如存款利率、信用卡优惠、收费费率等公开信息。
二是产品和服务订阅与申请API,用于发起申请银行产品,包括申请信用卡、贷款产品等。
三是账户信息API,用于读取或更改银行账户信息,查询账户余额、信用卡账单、账户交易记录、更改信用卡额度等。依据客户类型,银行账户又分为零售客户账户与企业客户账户两类。
四是交易API,用于发起支付交易。
第三,数据开放过程需遵守严格的授权流程。开放银行的法理根源是客户对其数据享有支配权,因此,在开放银行数据共享的过程中处处体现了客户对数据的掌控,以及银行的数据治理责任。主要体现在以下数据安全流程中:
一是用户同意(User Consent)。用户同意环节发生在用户与银行以及第三方之间,银行在开放用户数据给第三方前需要获得用户同意,第三方在调取银行的用户数据前也需获得用户同意并经过银行核验。用户需要清楚地了解第三方可以调用的数据范围、调用目的以及该权限的有效期限。这一安全流程主要体现了用户对第三方调用银行数据的知情同意原则。
二是身份验证(Authentication)。身份验证环节同样发生在用户与银行以及第三方之间,是银行与第三方确定用户身份以保障用户权益的技术手段,英国的《开放银行标准框架》中指出,银行与第三方需保留对用户身份验证的控制权。此外,银行与第三方在检测到异常事件(Asynchronous/Out-of-Band)发生时,应及时发起身份验证。
三是授权(Authorisation)或者权限管理。在客户完成对银行与第三方的身份验证以及同意后,银行需对第三方进行授权,规定第三方对数据的调用范围与功能,并且确保其在授权范围内调用数据。银行需要担负起主要的数据治理责任,英国的《开放银行标准框架》中要求参与数据共享的银行向其客户提供撤销第三方权限的功能,也允许银行在发现第三方行为风险时取消第三方的数据调用或者发起功能权限。
具体来说,以访问客户银行账户这一流程为例,开放银行的交互过程可以分为以下步骤:
一是客户向第三方提出需求,该需求需要访问客户的银行账户信息。
二是第三方向银行请求访问客户的账户信息。
三是银行对客户进行身份验证。
四是银行审核第三方是否获得用户同意且可以获得访问权限。
五是银行向客户告知第三方请求的访问权限。
六是客户审查第三方请求的访问权限,并同意银行授予第三方所请求的账户信息访问权限并代替客户进行操作。
七是银行授予第三方所请求的权限。
应当指出的是,英国开放银行的数据安全主要依赖于技术标准、证书的获取与应用。例如,FCA规定TPP必须获得eIDAS(Electronic Identification and Trust Services)证书才可以满足银行身份验证的要求、制定了关于强制客户认证和常用且安全的通信方式(Strong Customer Authentication Regulatory Technical Standards)的技术标准等。
第四,分阶段逐步推动开放银行的发展。开放银行在金融领域是一场变革,不仅会影响银行的经营,也由于数据的开放对监管提出了更高的要求。因此,全球主要经济体在推动开放银行时大多采用分阶段逐步的方式。
以英国为例,开放银行工作组(The Open Banking Working Group,OBWG)在2016年3月发布《开放银行标准框架》(The Open Banking Standard)[15],提出英国的开放银行将分为四个阶段进行:
第一阶段为2016年底之前完成,主要内容为组建开放银行的管理组织与并发布简化版数据标准和API技术标准。
第二阶段为2017年第一季度前完成,主要内容为完成银行参考信息等数据的共享,如机构网点与产品信息等。
第三阶段为2018年第一季度前完成,主要内容为实现只读模式的客户账户以及交易数据开放。
第四阶段为2019年第一季度前完成,主要内容为完成读写模式数据部分的开放,此阶段的完成意味着PISP可以为客户提供发起支付服务。
再以中国香港为例,《香港银行业开放API框架》指出,香港将分阶段推进四种类型开放银行API的建设工作[16]。
第一阶段于2019年1月底推出,主要目标为实现产品和服务细节API的建设工作。
第二阶段为2019年10月底推出,主要目标为实现产品和服务订阅与申请API的建设工作。
第一阶段与第二阶段的目标已实现,目前正在推进第三阶段与第四阶段的开放银行工作。第三阶段与第四阶段从2021年12月起开始推进,截至2023年9月,已接近完成。
在第三阶段工作方面,中国香港加入开放银行的28家银行中有24家已推出针对零售客户的账户信息API,22家已推出针对企业客户的账户信息API。
在第四阶段工作方面,已有26家银行推出用于发起支付交易的支付API,值得注意的是,尚未推出支付API的为两家虚拟银行,分别是蚂蚁银行与Mox Bank。
(1)胡伟洁(中国人民银行总行),英国开放银行计划的影响,《中国金融》2020年第21期。
(2)黄益平,邱晗.大科技信贷:一个新的信用风险管理框架[J].管理世界,2021,37(02):12-21+50+2+16.DOI:10.19744/j.cnki.11-1235/f.2021.0016.
(3)中国人民大学金融科技研究所,开放银行全球监管报告,2021年5月。
(4)Michał Polasik, Agnieszka
Huterska, Rehan Iftikhar, Štěpán Mikula, The impact of Payment Services
Directive 2 on the PayTech sector development in Europe, Journal of Economic
Behavior & Organization, Volume 178, 2020, Pages 385-401, ISSN 0167-2681, https://doi.org/10.1016/j.jebo.2020.07.010.
(5)Podder, S. (2022). Leveraging
the Provisions of Open Banking to Fight Financial Crimes. In: Goldbarsht, D.,
de Koker, L. (eds) Financial Technology and the Law . Law, Governance and
Technology Series, vol 47. Springer, Cham. https://doi.org/10.1007/978-3-030-88036-1_2.
注:
[1]资料来源:Openbankproject官网,Regulating
Open
Banking 2023: A Snapshot of Global
Progress,EB/OL,2023/4[2023/9/26],https://www.openbankproject.com/reports/regulating-open-banking-2023-global-progress/。
[2]资料来源:CMA官网,Retail
banking market
investigation,EB/OL,2016/8/9[2023/9/26],https://assets.publishing.service.gov.uk/media/57ac9667e5274a0f6c00007a/retail-banking-market-investigation-full-final-report.pdf。
[3]资料来源:BIS官网,Report on open banking and
application programming interfaces (APIs),EB/OL,2019/11/19[2023/9/26],https://www.bis.org/bcbs/publ/d486.htm。
[4]资料来源:OBIE官网,Open banking
and
OBIE highlights – April
2022,EB/OL,2022/5/24[2023/9/26],https://www.openbanking.org.uk/news/open-banking-and-obie-highlights-april-2022/。
[5]资料来源:MAS官网,Finance-as-a-Service:
API Playbook,EB/OL,2016/11/16[2023/9/26],https://www.mas.gov.sg/-/media/mas/smart-financial-centre/api/absmasapiplaybook.pdf。
[6]资料来源:NACHA官网,Overall ACH
Network Volume,EB/OL,2023/6/1[2023/9/26],https://www.nacha.org/content/ach-network-volume-and-value-statistics。
[7]资料来源:BCB官网,Regulation
on Open
Banking,EB/OL,2020/5/4[2023/9/26],https://www.bcb.gov.br/content/config/Documents/Open_Banking_CMN_BCB_Joint_Resolution_1_2020.pdf。
[8]资料来源:IMF官网,The Economics and Implications of
Data:
An Integrated
Perspective,[EB/OL],2019/9/23[2023/9/19],https://www.imf.org/en/Publications/Departmental-Papers-Policy-Papers/Issues/2019/09/20/The-Economics-and-Implications-of-Data-An-Integrated-Perspective-48596。
[9]资料来源:Openbankproject官网,Regulating
Open
Banking 2023: A Snapshot of Global
Progress,EB/OL,2023/4[2023/9/26],https://www.openbankproject.com/reports/regulating-open-banking-2023-global-progress/。
[10]资料来源:FCA官网,EB/OL,2023/10/2[2023/10/13],https://www.hkma.gov.hk/gb_chi/key-functions/international-financial-centre/fintech/open-application-programming-interface-api-for-the-banking-sector/target-dates/。
[11]资料来源:FCA官网,EB/OL,2023/9/26[2022/9/26],https://register.fca.org.uk/s/search?predefined=AIPISP。
[12]资料来源:英国政府官网,Open Banking Guidelines for Open
Data
Participants,EB/OL,2018//7
[2023/9/26],https://www.openbanking.org.uk/wp-content/uploads/2021/04/Guidelines-for-Open-Data-Participants.pdf。
[13]资料来源:移动支付网,开放银行数据保护与合规研究报告,EB/OL,2021/12/29[2023/10/17],https://www.mpaypass.com.cn/download/202112/29103045.html。
[14]资料来源:香港金融管理局,EB/OL,2023/6/27[2023/10/13],https://www.hkma.gov.hk/gb_chi/key-functions/international-financial-centre/fintech/open-application-programming-interface-api-for-the-banking-sector/target-dates/。
[15]资料来源:OBWG,EB/OL,2016/3[2022/9/26],https://theodi.org/wp-content/uploads/2020/03/298569302-The-Open-Banking-Standard-1.pdf。
[16]资料来源:香港金融管理局,EB/OL,2023/6/27[2022/9/26],https://www.hkma.gov.hk/gb_chi/key-functions/international-financial-centre/fintech/open-application-programming-interface-api-for-the-banking-sector/target-dates/。
本报告内容仅对宏观经济进行分析,不包含对证券及证券相关产品的投资评级或估值分析,不属于证券报告,也不构成对投资人的建议。
长按上方二维码关注我
微信扫码关注该文公众号作者