開放銀行 圖片來源：中國電子銀行網

近年來，“開放銀行”（Open Banking）理念逐步興起。英國、歐盟、澳大利亞、中國香港等國家和地區作為“開放銀行”的先行者，已經形成了較為完善的監管體系。新冠肺炎疫情暴發來，“非接觸銀行”服務備受關注，對“開放銀行”發展提出新的要求。本文系統梳理了各發達國家“開放銀行”國際監管經驗，結合我國發展現狀，分析國內“開放銀行”發展和監管等方面存在的主要問題，并提出建立“開放銀行”監管框架、制定數據共享規則等適合我國“開放銀行”發展的意見與建議。

一、“開放銀行”的理念及內涵

近年來，隨著數字技術與金融科技的不斷發展，“開放銀行”概念日趨興起，備受關注?！伴_放銀行”作為金融科技浪潮下的新趨勢，是一種包括但不限于依托應用程序編程接口（API）技術的金融服務模式，它在保障數據安全的前提下，實現銀行數據的開放與共享，允許第三方機構深入挖掘銀行數據所蘊藏的價值，并為個人消費者、企業等提供更加高效便捷的服務。目前，英國、歐盟、澳大利亞、中國香港等國家和地區的“開放銀行”監管和實踐正走在世界前列，已形成了較為完備的監管體系，而我國的“開放銀行”仍處在探索階段。因此學習和借鑒國際監管經驗、分析國內“開放銀行”的不足和問題，是十分必要的。

二、“開放銀行”發展及國際監管經驗

（一）提出“開放銀行”，推動發展進程

自“開放銀行”理念提出以來，各發達國家不斷推進其發展進程，現已形成政府主導與市場主導兩種形式。

以英國為代表的政府主導型，主要基于各類法規規章，通過建立行業標準、行為模式等強制性手段自上而下實現對“開放銀行”的監管。2014年6月，英國開放數據研究所（ODI）等機構對個人活期賬戶和中小企業貸款進行研究，提出API和開放數據有利于銀行發展等觀點。2016年，英國頒布了《開放銀行標準》，構建“開放銀行”標準體系，成為首個將“開放銀行”理念付之行動的國家。

以美國為代表的市場主導型，主要靠市場驅動自發實現數字共享，并采用被動監管的方式，通過指導性政策意見賦予市場更多的自我調節能力。2008年美國出臺的《多德—弗蘭克法案》明確了獲取金融數據的主體，同時在2017年美國消費者金融保護局提出9條信息共享指導建議，為美國實現“開放銀行”數據共享奠定了法律基礎。2018年，香港金管局提出4項“開放銀行”的支持政策，包括在香港科技園數據工作室網頁內創建中央資料庫、建議銀行在自己的網站上公布每個API的功能、架構、安全性等細項說明、規定銀行提供示例代碼和沙盒等。

（二）制定監管框架，構建監管體系

隨著“開放銀行”不斷付諸實踐，多個國家各地區逐步制定完善的監管框架，構建完整的監管體系。2015年，英國設立“開放銀行”工作組（OBWG）并發布《開放銀行標準框架》，指導“開放銀行”服務等工作事項，同時設立獨立機構監督管理該政策的落實進程，處理客戶糾紛。2016年，新加坡金融管理局聯合新加坡銀行協會公開發布了API指導手冊，對“開放銀行”各參與主體提出了行動指南及相應的數據安全指導建議。2017年，日本會議通過《日本銀行法案》（修正案），明確實施金融公司間的數據共享，保障用戶能夠管理跨機構賬戶信息。2018年，香港金融管理局出臺《香港銀行業Open API框架咨詢文件》及銀行業開放應用程序接口框架，要求提供核心銀行板塊的所有功能，并逐步提供API。2018年，日本金融廳頒布《電子決算新修訂法案》，規定電子支付代理業者登錄使用銀行的數據及服務。同年五月，澳大利亞政府采納金杜律師事務所的《開放銀行調查建議》，對“開放銀行”監管框架、監管體系等作出明確規范。

（三）明確開放的數據范圍及權限

在健全的監管體制下，部分國家進一步制定了“開放銀行”實施路徑，明確數據的開放范圍及權限。2015年，英國發布《開放銀行標準框架》將金融數據分為五類：開放數據、客戶交易數據、客戶參考數據、聚合數據和商業敏感數據。根據每類數據涉及的用戶隱私程度不同，對第三方機構設置不同的讀寫權限。澳大利亞也將銀行包含的數據范圍進行分類，并明確規定客戶提供的數據、交易數據等屬于數據共享范圍，而增值客戶數據、聚合數據等因為風險較高則不能列入銀行數據共享的范疇。2018年香港金管局出臺政策規定了金融機構產品服務提供、訂閱申請API的時間，并要求最后賬戶信息和交易類API的實施時間將在政策發布一年內再行決定。

實際上，部分國家和地區并未對開放數據范圍及權限作出限制性規定。例如，歐盟認為凡經用戶授權的賬戶信息均屬于開放數據領域。美國則規定，消費者或經授權均可以獲得各方面金融數據，包括但不限于連續交易、消費者使用情況等。在新加坡，消費者同樣可以與私營部門共享所有信息。

（四）保障消費者信息及數據安全

為確保數據安全、防止信息泄露，多個國家對使用數據的用戶進行身份驗證。此外，英國出于對消費者信息保護的考慮，對訪問數據的第三方服務機構實行了嚴格的限制，要求第三方服務提供商在訪問數據前必須獲得相關機構批準并通過“開放銀行”的模擬測試，在此過程中，第三方服務提供商也必須保證其業務模式符合PSD2指令，具有完備的安全措施。澳大利亞也先后發布《競爭與消費者法令（2010）》與《隱私法案》等政策規定，保障“開放銀行”數據共享時的用戶安全。2017年，美國發布《消費者金融數據共享和整合原則》，消費者有權對未經授權的信息獲取等業務提出質疑和解決爭議。

三、我國“開放銀行”存在的主要問題

（一）缺乏對“開放銀行”的政策指導

2018年開始，我國多家大型商業銀行及股份制商業銀行紛紛推出“開放銀行”。但目前我國“開放銀行”正處于探索初期階段，主要依靠市場自發驅動推動金融機構數據共享進程。由于缺乏宏觀政策引導和自上而下的總體規劃，導致我國“開放銀行”發展水平參差不齊。一方面，銀行業及互聯網公司間的發展失衡。一小部分大銀行憑借自身規模效應已開始自行搭建“開放銀行”平臺，而大部分小銀行由于技術限制尚未形成開放體系；同樣地，部分大型互聯網公司逐步開始獲取共享信息，并構建完善的信息處理系統。尤其是，少數大型非銀行支付機構壟斷數據，若缺少政策引導，這種不平衡將持續加劇。另一方面，銀行與非銀行機構之間的效益不平等。我們觀察到，相比第三方非銀行機構利用“開放銀行”共享銀行數據、拓展業務范圍，目前銀行尚不能從金融數據共享中獲得更大收益，反而可能面臨用戶減少、利潤損失等風險。

（二）監管體系尚未完善，監管框架較為單一

現階段，我國對“開放銀行”尚未形成全面完整的監管框架。一方面，我國的“開放銀行”監管政策較為單一。2020年2月，中國人民銀行發布《商業銀行應用程序接口安全管理規范》，細化了商業銀行API的類型與安全級別、安全設計、安全部署、安全集成、安全運維、服務終止與系統下線、安全管理等安全技術與安全保障要求。這是我國首份關于API的規范，“開放銀行”由此正式有了明確的技術標準。但與英國等發達國家相比，我國“開放銀行”監管框架仍較為單一。

另一方面，我國“開放銀行”監管框架界限劃分也不明確。目前我國各金融機構主要依靠市場驅動推進“開放銀行”，缺乏明確的監管主體。此外，互聯網公司等第三方機構尚未被列入我國監管框架?；ヂ摼W公司作為數據共享的重要一環，其風控能力、合規要求等與“開放銀行”信息安全息息相關。一旦風險較高或資質不健全的機構進入市場，極易造成數據濫用、信息泄露等現象。

（三）數據開放規則尚未明確

“開放銀行”的核心在于金融數據的開放共享。因此，數據規范及管理將直接影響“開放銀行”的安全性及穩定性。目前，我國尚未對金融數據的開放規則作出明確規范。一方面，數據的開放范圍及權限尚未確定。信息的任意共享很可能會導致金融行業重要數據泄漏、信息魚龍混雜，甚至對我國金融體系的安全性造成威脅。另一方面，我國仍缺乏對數據使用及存儲等方面的要求。一旦用戶信息泄露，或是偽造數據出現，將直接影響正常數據的使用，并對“開放銀行”發展帶來消極影響，而對共享數據使用時間進行限制，可以有效防止數據被惡意篡改或儲存。此外，現實生活中，數據分散在政府部門、金融機構、互聯網平臺之間，數據整合在法律、技術和利益等方面仍存在亟待攻破的難關。

（四）數據保護意識、風險防御能力薄弱

銀行客戶數據可以讓更多金融機構深入挖掘客戶信息、拓展業務邊界，但同時保障客戶信息安全也是各金融機構的責任與義務。一方面，數據訪問主體增多會加大數據安全風險?！伴_放銀行”通過API等技術將多個數據共享主體連接，一旦任一關聯方的連接處安全性薄弱或授權設置不正確，就可能會增加整個系統數據泄漏的風險，客戶信息被非法獲得。另一方面，互聯網渠道本身存在數據安全風險?！伴_放銀行”接口屬于外部服務，存在訪問漏洞等安全風險，一旦該漏洞被發現并惡意利用，將導致服務器入侵等不利后果。同時，我國的“開放銀行”缺乏用戶授權收回機制，在用戶授權時很難自主選擇或進行更改；在用戶利益受到損傷后，我國仍然缺乏對“開放銀行”爭議責任識別和劃分的法律體系，也尚未形成合法有效的解決渠道。此外，“開放銀行”本身存在著技術漏洞、系統失靈、風險控制等操作風險及系統性風險，而我國在對這些風險的防控能力上仍然有所欠缺。

四、對我國的啟示與建議

新冠肺炎疫情暴發后，“非接觸銀行”服務需求大大增加。我國銀行業應進一步踐行“開放銀行”理念，融入場景，加強合作，構建集金融服務和非金融服務為一體的“非接觸”服務生態系統，全方位、一體化滿足客戶各種需求。在這種情況下，加強制度建設，完善監管框架，強化風險管理，推動數據開放，顯得更加必要和迫切。

（一）出臺“開放銀行”法律法規，推動數據開放共享

2019年8月，央行發布《金融科技（FinTech）發展規劃（2019—2021年）》，提出：借助應用程序編程接口（API）、軟件開發工具包（SDK）等手段深化跨界合作，借助各行業優質渠道資源打造新型商業范式，實現資源最大化利用，構建開放、合作、共贏的金融服務生態體系。這標志著我國開始重視“開放銀行”，大力推動數據共享與合作。當前，我國“開放銀行”正處在發展初期，需要市場的包容，更需要一套完整的法律體系作為支撐。一方面，與普惠金融相類似，“開放銀行”作為降低金融行業壁壘、減少金融機構必要成本的一項重要舉措，需要市場秉持包容的態度，發揮市場驅動效用，同時各金融機構也應及時把握市場運行規律，適應市場發展趨勢，并適當結合監管政策，積極推動“開放銀行”發展進程。另一方面，法律是一切新興事物平穩發展的基礎，健全的法律體系對于保障“開放銀行”行穩致遠是十分必要的。國家應盡快出臺“開放銀行”相關政策指引及綱領性文件，明確監管主體，制定“開放銀行”推進規劃，協調和保障銀行與第三方機構間的利益關系，形成“開放銀行”各參與方協同推進、利益共贏新格局。

（二）完善“開放銀行”監管框架，制定數據共享規則

2020年4月，《中共中央 國務院關于構建更加完善的要素市場化配置體制機制的意見》發布，將數據作為一種新型生產要素，要求充分發揮數據對其他要素效率的倍增作用，培育發展數據要素市場，使大數據成為推動經濟高質量發展的新動能。目前我國只是出臺API接口技術標準，“開放銀行”監管框架較為單一，這在一定程度上制約了“開放銀行”發展。一方面，2020年API接口技術指標剛剛發布，需要監管部門和開放銀行參與各方加速實施，引導市場規范發展。此外，監管部門應進一步對監管范圍進行明確，重點包括應將第三方機構納入監管范疇，厘清銀行與第三方機構間的法律關系，減少由于信息濫用、盜用等產生的不安全現象。另一方面，監管部門應盡快出臺“開放銀行”金融數據共享業務準則，明確數據的開放范圍及權限，減少因數據冗雜、數據濫用引起的數據共享作用性減弱，促進“開放銀行”技術標準化體系的發展，并建立科學的標準化框架體系。

（三）注重用戶信息監管保護，推動數據有序開放

2020年2月，央行發布《個人金融信息保護技術規范》，從安全技術和安全管理兩個方面明確個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等環節的安全防護要求。監管部門應進一步加強對“開放銀行”用戶信息的保護，建立健全安全性評估及技術安全性指標體系，完善信息發布和開放服務風險補償機制。重點是，建立“開放銀行”爭議責任識別及處理法律規范，為用戶提供糾紛解決渠道。我們觀察到，歐盟發布的《通用數據保護條例》（GDPR）也將一系列新興支付方式納入監管范圍，并對數字及網絡安全提出了非常嚴格的監管要求。信息安全固然需要堅持，但要實現“開放銀行”理念，需要有序推動數據開放共享。

因此，在保護用戶信息的同時，監管部門也應不斷維持個人信息保護與數據共享關系的平衡，可以根據用戶信息敏感性差異開展不同程度的數據共享及保護。同時應形成用戶授權收回機制，保障金融消費者的合法權益，并對第三方機構有權獲取的數據類型、數據內容、儲存時間等方面做出嚴格規定，確保數據共享是在用戶授權的前提下有序進行的。

（四）加強“開放銀行”風險監測，提升風險管理能力

監管部門建立健全“開放銀行”風險監測體系，及時發現并處理風險，提升風險管控能力。一方面，監管機構要加強“開放銀行”安全防控體系的建設力度，定期進行風險排查及安全評估，根據開放信息敏感程度不同對“開放銀行”進行差異化管理，從而提升數據安全性和風控水平。另一方面，相比傳統模式，“開放銀行”蘊含了更多包括技術風險、操作風險及系統性風險在內的不確定性。因此，監管部門除了要考慮審慎監管，行為監管等，還要充分借助監管科技（RegTech），提升監管能力和效率。具體而言，可以運用區塊鏈等技術手段，構建以數據驅動監管為核心的智能化實時監管，形成“開放銀行”各參與方的互聯機制，打破傳統金融監管的困境。此外，“開放銀行”涉及的參與主體范圍廣泛，各主體的風險識別、防控手段差異較大，需要對“開放銀行”風險監測和持續監管展開進一步探索。

（董希淼系新網銀行首席研究員、中南財經政法大學金融學院碩士生導師、中國電子銀行網專欄專家；朱美璇系中南財經政法大學金融學院碩士研究生）

責任編輯：王超