【内容概要】:中国人民大学金融科技与互联网安全研究中心主任杨东、中国人民大学中国普惠金融研究院研究员顾雷在《清华金融评论》2019年11月刊上发文指出:正所谓"开放银行",就是一种以API技术为技术外观、以数据共享为本质的一种全新的平台合作模式。文章分析了开放银行的理念创新,认为在银行开放转型过程中,有必要引入不同以往的监管理念,开放银行监管要坚持适用双维监管、包容性监管、主体平等监管三大原则,并对开放银行监管提出了几点对策措施。
2018年伊始,一场名为“开放银行”(Open Banking)的金融变革引发全球银行业的新一股转型浪潮。英国作为“开放银行”理念最早提出者,自2018年1月13日起,包括汇丰银行在内的9家机构开始彼此共享数据,旨在提高金融服务水平,打破数据垄断,维护金融消费者合法权益。据国际数据公司(IDC)估计,截至2018年底,50%的全球领先银行将开放至少五项数据,以数据共享为核心的开放银行理念已经被越来越多的国家所接受并付诸实践。于是,一个全新的概念——开放银行诞生了。
所谓“开放银行”,就是一种以应用程序编程接口(API)技术为技术外观、以数据共享为本质的一种全新的平台合作模式。
从狭义而言,开放银行的本质是以数据的开放和共享为核心:在技术层面,开放银行解决技术开放问题,通过API接口把银行的数据开放给其他相关机构,使得相关机构能够帮助银行面向消费者等开展更好的服务;在内容层面,银行通过开放实现数据的共享,更好地利用和开发银行的数据资产、数据价值;在组织层面,通过网络搭建平台,构建银行网络生态,在生态圈中为消费者、企业等提供更加高效、增值的服务;而从广义上而言,开放银行不仅仅意味着数据的开放与共享,更包含更多银行功能的开放与共享,尤其是在第三方支付领域的开放方面。
一、开放银行的理念创新
1、构筑我国多层次、多渠道的金融服务体系。
开放银行是我国金融体制改革及创新的产物,作为服务中小微企业的商业模式,在提供贷款服务方面有其特有优势。上海浦东发展银行采用“产品输出”模式,将产品以API等形式嵌入到各个场景中,成为一种新型的获客和引流模式,充分体现了差异化金融服务特色,提供了更多因地制宜的贷款产品,开展了一般传统银行不涉及的、做不了的或者不愿做的小额贷款业务,弥补了我国金融系统不足。
从金融服务体系角度看,开放银行本着“手续从简、放款从快”宗旨,按照“小额、分散”原则,以方便快捷、灵活高效的放款方式为小微企业和弱势群体提供了可得的金融服务,构筑起多层次、多渠道的信贷体系,解决长期困扰小微企业、个体工商户以及贫困人群的资金短缺问题,填补了银行业金融服务不能满足融资需求的空白区域。
2、引导银行资金流向中小微企业、三农机构、个体工商户以及贫困人群。
开放银行通过接口和第三方机构对接,承担起金融微循环的底层功能,提供无抵押、无担保贷款服务,将银行资金流向社会低收入群体和偏远地区人群,提供了及时、可负担的金融服务,缓解了小微企业、三农机构以及个体工商户融资困难,发挥出金融机构服务于实体经济的积极作用。
中国建设银行、中国工商银行、招商银行、兴业银行和微众银行都采取与第三方互联网金融平台合作模式。虽然形式各有不同,如微众银行以“微动力”产品实现金融和消费场景连通,但殊途同归,银行做资金的“批发”业务,第三方机构做资金的“零售”业务,都是直接服务于客户,形成金融机构与第三方机构互联互通支持中小微企业资金需求的新型运作机制,解决实体经济与金融机构在资金分配上不平衡、不充分矛盾,成为打通服务中小微企业、个体工商户融资难“最后一公里”的一次创举。
3、开放银行有利于成本节约,获得稳定的经济效益。
金融科技正在于把传统银行从原本封闭式的、内生的过程,变成了开放式的、外化的过程,各类型的金融科技公司可以从各个角度切入,实现市场化分工与利润重新分配,在一定程度上大大降低经营成本。
有效防范银行自身信贷风险,推动风险共摊模式。开放银行在风控模式上摆脱了过去依据抵押和质押模式,通过“贷款银行+第三方助贷机构”模式,助贷机构负责为银行推荐客户和进行信贷分析,并通过提供兜底服务为银行承担最终的信贷风险,银行直接向小微客户发放贷款。这种互保模式既确保银行及时足额收回本息,又可以为客户提供经营性信贷和消费性信贷,在降低商业银行风险方面的作用是毋庸置疑的。
4、规范非银金融机构放款行为,为民间资本进入金融领域打开了合法出路。
开放银行作为互联网技术与放贷业务的载体,将银行资金优势与金融科技公司获客能力、风控优势结合起来,使用数据化模式为小微企业、贫困人群和个体工商户提供经营性和消费性贷款,使之能够获得安全、低成本的金融服务,客观上带动民间借贷利率下行,有效压缩了高利贷的空间,为民间资本进入金融领域打开了一条合法出路。
二、开放银行监管的三大原则
1、适用“双维监管”原则
科技变革正在重写金融服务业的交易规则,与此同时,风险相伴而生。金融业正面临着近现代金融机构、金融市场诞生以来最深刻最宏大的技术创新,大数据、云计算、人工智能、区块链等不断迭代创新的科技发展甚至已经开始从根本上改变了现行业务模式和监管框架。开放银行所折射的正是以金融科技为代表的新金融业态,在全球迈向数字经济时代时,科技驱动的金融创新所内含的技术风险、操作风险。
因此,我们必须在审慎监管、行为监管等传统金融监管维度之外增加科技维度,塑造双维监管体系。科技维度的监管致力于依靠大数据、云计算、人工智能、区块链等技术构建科技驱动型监管体系。其以数据驱动监管为核心,构筑起分布式的平等监管、智能化的实时监管、试点性的监管沙盒为核心的金融监管体系,突破传统金融监管的固有困局,创新监管方式,从而更好地回应开放银行所内含的风险及其引发的监管挑战,保护金融消费者,维护金融稳定。
2、采纳“包容性监管”原则
包容性监管不是臆想,而是有着丰富的社会实践基础。简而言之,就是在守住不发生系统性风险的同时,探索出一套既规范又有弹性、适应日新月异变化业务生态的监管模式,而不是简单禁止或从严限制。
互联网金融具有行业交织、混业经营特点,一般涉及或嵌套多项金融业务,形态多样易变。在这种情况下,监管者就不能简单采用“一刀切”监管方式,必须对不同种类互联网金融采取不同监管方式,实现创新激励和风险防范的协同发展。如果监管者采取“穿透式”监管简单处置创新业务,采取过严姿态对待每一个创新行为,就可能导致大量互联网金融新业务“胎死腹中”。监管者应该充分考虑互联网金融市场信息和资源的各种差异,给予互联网金融平台一定的创新空间,在监管目标、监管手段等方面不能简单套用统筹划一的监管模式,在业务目标、准入条件、资源配置、人员资质以及风险处置手段上采取灵活性管控,用更为弹性的监管手段去处罚违法行为,实现公平与效率的有机统一。
3、“主体平等监管”原则
由于开放银行涉及的主体不仅有银行,还有互联网金融平台、第三方机构,甚至还会有自然人,主体结构较为复杂。因此,在对开放银行监管时,必须秉持对各体平等对待的原则。这不仅与《电子商务法》第4条确立的“线上线下平等对待”原则相一致,而且《合同法》第3条规定的平等精神一致,有利于弥补交叉型金融业务的监管漏洞,避免监管套利的发生。
三、开放银行监管的几点对策措施
1、出台开放银行使用API的保护性法规
虽然开放银行使用API技术,在安全性方面日臻完善,但并不能完全杜绝安全隐患。因此,我们需要对开放银行进行立法,用法律规定清楚几个关键问题:
(1)在我国设立开放银行的宗旨、目的和任务。
(2)对开放银行的监管对象进行规范,解决监管开放银行自身,还是第三方机构,抑或金融消费者的重要问题。
(3)开放银行和第三方机构在使用、修改和 (4)删除个人数据是必须遵循的原则,建立一整套事前授权、事中跟踪、事后补救的规则,规定金融数据开放的程度、范围和频率,消除开放银行在数据隐私与安全保护方面的隐患。
(5)规定开放银行、第三方机构以及金融消费者各自的权利和义务。
(6)开放银行在运作过程中,包括但不限于尽职调查、数据监控、数据保护以及数据恢复等业务规范。
(7)开放银行、第三方机构以及金融消费者的法律追责条款以及处罚性规定。
2、建立统一的开放银行业务标准的规则
过多的冗杂数据和非结构化的数据会造成信息堆积,空耗资源的同时还会提供错误的信息,这对数据共享会带来极大的不便。因此必须对数据的保存格式、共享格式甚至是API端口等进行标准化规定,减少数据开放过程中因数据标准不统一而带来的资源浪费。今日头条和微信为用户个人数据大打出手的“头腾大战”等竞争案例屡见不鲜,数字经济竞争的冲突凸显了数字经济的内生矛盾。
我们建议,先由互联网金融协会制定我国统一的开放银行数据分享标准,具体可包括数据标准、API标准以及安全标准等,为形成一个规范、有序和透明的开放市场提供规则考量;其次,由中国银保监会负责成立由行业协会、商业银行、金融科技企业、支付机构等共同组成的“开放银行监督管理领导小组”,尽快结束目前商业银行各自为战开展开放银行业务的混乱局面。
数据标准。开放银行业务参与方必须遵守监管机构制定的数据标准,包括但不限于数据读取权限,即第三方机构读取银行数据和文件的范围和方式,以及数据写入权限,即第三方机构有权对银行数据和文件进行修改、执行等权限和方式。这两类权限均通过向第三方机构开放API,包括开放数据、交换数据、客户/机构数据、商业敏感数据以及保密数据等。
API标准。API标准是开放银行对API设计、开发和维护的基本规则,主要涉及数据架构、资源格式等各个方面。开放银行应提供示例代码,让第三方机构在与不同开放银行之间合作时,能够顺利使用银行接口,协助第三方机构使用 API,不至于限定在少数几家开放银行。
安全标准。安全标准主要是指API规范的安全性,目的是为了保护消费者的数据安全,包括客户/机构身份认证与识别、数据欺诈以及客户权益保护等方面内容。使用个人信息和数据时,开放银行、第三方机构均不得将个人信息和数据再转让给其他机构/个人。开放银行与第三方机构使用个人敏感信息和数据时,必须事先得到明示许可。在传输、受托转让或存储时,对个人敏感信息和数据应该采用加密等安全措施,确保敏感信息和数据不外泄。开放银行与第三方机构存在明显过错,需要承担法律责任的,按照分摊原则处置。原则上不单独追究开放银行的法律责任,也不单独追究第三方机构的法律责任,除非开放银行或第三方机构存在重大过错。数据持有者应告知客户个人其数据信息使用情况,且个人在开放银行业务项下的同意必须是明确的,完全知情且有能力表达个人意愿。当然,在未有反对意见的情况下使用数据产生的问题不承担任何法律责任。
3、设定开放银行、第三方机构的准入门槛
对开放银行、第三方机构开展API业务,必须设定准入条件,不是所有商业银行或国有银行都合适开展API业务,只有通过严格的审批后,符合一定条件的开放银行和第三方机构,才能纳入监管范围,开展API业务。例如英国,参API业务,则必须获得所需的监管许可。第三方机构需要向英国FCA(或欧洲同等机构)提供业务模型,以及数据隐私和安全措施来进行评测,只有通过FCA或者欧洲同等机构相关的评测,获得监管许可,才能够开展开放银行业务。
4、开放客户数据要明确消费者权利,遵循“最小必要性”规则
从大数据运用角度看,银行和第三方机构总是希望获取尽可能多的用户个人信息,使得大数据应用场景更加丰富。但是,从保护金融消费者权益角度看,有必要限制开放银行、第三方机构使用客户数据的信息类型、频率和使用数量。因为个人数据信息涉及隐私权保护和法律责任问题,开放银行并不能随心所欲对第三方机构开放所有个人数据,更不能毫无限制地公开所有内部信息资料,任何的数据开放于共享都不得以侵犯损害消费者权利为前提,必须遵循最小必要性规则,不得开放与其提供的金融服务无关的个人信息,也不得违反双方收集、使用和开放个人信息的约定。
我们必须明确消费者在数据开放中所享有的权利,其一是授权的权利,消费者可以自主授权给第三方的访问、使用数据,也可以轻松地废止对数据获取、使用或储存的授权,要求被授权的第三方删除个人可识别数据;其二是充分知晓的权利,第三方在获得授权后应该将自己获取、存储、使用消费者数据以消费者能够充分理解的方式高效地披露给消费者,包括数据获取的频率、数据范围和数据保存期限等。否则,银行和第三方机构很可能侵犯个人信息相关主体的合法权益,遭到金融消费者和监管机构的质疑,引发公益性集体诉讼。
而最小必要性规则符合我国《网安法》规定的个人信息控制者应当遵循“合法、正当、必要”原则,以及禁止收集“与其提供的服务无关的个人信息”规定,也符合《个人信息安全规范》有关“收集的个人信息的类型应与实现产品或服务的业务功能有直接关联”条款,更与欧盟推出的《一般数据保护条例》(GDPR)中被称作数据最小化(Data Minimisation)原则相一致。
因此,在数据共享过程中,监管机构必须保证所有开放银行、第三方机构最小范围引用银行数据,整个流程应尽可能透明化、阳光化,确保客户可随时查看数据共享过程,维护金融消费者合法权益。
总之,我们引入开放银行,核心就是搭建起商业银行和互联网金融平台的互联互通,并通过市场准入、市场运营、市场退出规则的变革与再造,将合法性、透明性与可问责性制度融入互联网金融。令人欣慰的是,监管机构已经开始对光大集团、中信集团等传统金融服务机构,以及蚂蚁金服等互联网企业展开监管试点,这不仅是对金融监管的大胆创新,更是回应了普惠金融善治的制度诉求,充分体现公平效率的完美统一。
(来自清华金融评论)
