开放银行全球监管：国际经验与中国实践

2021年9月，中国人民大学金融科技研究所（微信ID：ruc_fintech）于《清华金融评论》发表《开放银行全球监管：国际经验与中国实践》，文章指出：近年来，科技发展给银行带来了转型动力，而开放银行即为一种可预见的发展形态。在开放生态逐步形成的过程中，全球范围内都将面临技术风险、数据安全、个人隐私以及标准缺失等诸多挑战，急需开放银行在自身不断完善的同时，依靠监管部门提供有效公共产品，进一步完善法律法规建设，通过多方协作构建开放共赢的生态。

开放银行发展急需更好的监管政策环境

近年来，科技发展给银行带来了转型动力，而开放银行即为一种可预见的发展形态。放眼全球，尽管开放顺序有先后、内容有差异、重点有不同，但在新一轮技术革命推动下，加快开放已是全球大势。目前，已有30多个国家和地区采纳或正在考虑采纳开放银行模式。从移动互联到万物互联，从消费互联网到产业互联网，开放银行将拥有更多的应用场景和发展空间，未来还将形成至少包括“账户层-中间层-生态层-监管层”等四层在内的广义开放银行生态。其中，由金融机构组成的账户层主要为开放生态提供数据及底层金融服务，中间层在开放生态中主要承担数据流通和技术支持作用，拥有大量应用场景的生态层作为开放生态中最接近客户的一层，直接面向个人端（C端）、企业端（B端）用户提供产品和解决方案，而监管层则提供监管支持与政策规范，致力于促进多方共同协作，实现消费者价值最大化。

当前，在开放生态逐步形成的过程中，全球范围内都将面临技术风险、数据安全、个人隐私以及标准缺失等诸多挑战，急需开放银行在自身不断完善的同时，依靠监管部门提供有效公共产品，进一步完善法律法规建设，通过多方协作构建开放共赢的生态。

构建开放银行监管体系的全球经验

当前，全球各地对开放银行的监管态度和政策各有不同。作为先驱者的欧盟和英国分别出台了《支付服务指令Ⅱ》（PSD 2）和《开放银行标准框架》等政策文件，以促进市场竞争，倒逼银行创新并增强用户体验。新加坡政府更像是开放环境建设者，不仅主动开放政务数据，还通过发布应用程序接口（Application Programming Interface，简称API）手册，建立各方交流平台等措施营造良好外部环境。而同样处于亚太地区的中国香港对于数据隐私的开放相对谨慎，主要采取观察与跟随策略，根据其他地区实践经验分阶段推进开放。美国则属于典型的市场引导模式，政府只站在整体角度出台一些原则性指南，而共享标准、技术规范等基本都由市场自行开发制定。与早期领先的国家和地区相比，我国开放银行的早期政策关注度不高，此前只有《商业银行应用程序接口安全管理规范》(JR/T0185—2020)等较少的监管规范出台。

欧盟：破局银行转型，引领开放潮流

欧盟针对开放银行监管政策源于2007年发布的《支付服务指令》（Payment Service Directive，简称PSD）和2015 年发布的《支付服务指令Ⅱ》（PSD 2），无论是在开放银行发展，还是在全球监管政策方面，均处于全球领先地位。

一是引导与规范性政策。从PSD到PSD2，欧盟监管呈现出分类逐渐细化，对金融科技重视程度逐步提升的趋势。PSD规定了可以提供支付服务的信用机构、部分当局和电子货币机构三类机构（PSP）。PSD2对支付服务提供商作了进一步细分，开放生态参与方分为最终用户（PSU）、提供API服务的账户服务支付服务提供商（ASPSP）以及第三方 支付服务提供商（TPP）。TPP又进一步分为提供支付发起服务商、提供账户信息服务商和卡基支付服务提供商。不同的第三方支付服务提供商在使用ASPSP提供的API时，其数据访问权限也不同。二是监督与限制性政策。上述两个文件都非常重视对消费者的保护，这不仅体现在交易安全上，还包括用户隐私等方面。对于准入管理，PSD 2要求在在线登录、电子支付和远程支付等应用场景下，PSP必须使用强客户身份验证；如发生未经用户授权的支付交易，付款方的PSP负有首要责任，用户自身只须承担很小的责任；对数据隐私安全的规定则依照《个人数据保护指令》（Directive 95/46/EC）及《通用数据保护条例》（GDPR）等相关法律执行。PSD 2的实施从根本上改变了欧洲经济区提供支付服务的监管环境。自2015年11月PSD 2实施以来，欧洲支付科技企业数量出现了迅速而短暂的激增。随着该指令在各国转化为法律文件，2018年新进入者的数量有所下降，但仍保持在高于PSD2通过前的水平。

英国：明晰标准规划，促进市场竞争

英国监管政策以2016年开放银行工作组（OBWG）发布的《开放银行标准框架》为代表，其中核心内容为“三大标准”和“一个治理模式”。此外，英国金融市场行为管理局已将英国脱欧引起的某些监管政策变化置于“停顿”状态。目前，英国开放银行仍遵循PSD2的条例规定。

一是引导与规范性政策。OBWG将数据分为开放数据、客户交易数据、客户参考数据、聚合数据、商业敏感数据五类，对不同的第三方合作机构匹配不同的数据共享权限。二是监督与限制性政策。OBWG在用户同意、身份认证、欺诈监控、用户授权四个方面提出了相关意见。银行与第三方共享数据的过程必须征得用户同意，并建议使用和新一代互联网开放标准相协同的身份认证协议，为防范用户授权的恶意使用情况，还要求给予用户及数据提供者撤销数据授权的选择，对授权的持续时间进行约束。此外，为确保开放银行标准的落实和推进，OBWG还呼吁采用一个有效的治理模式来统筹全局，如设置独立机构以跟踪并监督开放银行标准的落实，赋予其审查第三方的权力，创建事故处理机制，在兼顾PSD2相关要求及资金成本的情况下分阶段逐步引入治理模式。三是行业自律。2018年11月，英国标准协会发布《支持金融科技公司与金融机构合作-指南（PAS201：2018）》，内容包括流程范围、术语和定义、合作筛选流程、合作筛选总体要求、商业计划及市场定位等九个部分，要求金融机构和金融科技公司承担更多用户信息的保护责任。

新加坡：营造开放环境，加强国际协作

从开放银行生态结构来看，新加坡政府强势主导中间层建设，金融管理局（MAS）提供数据流通和技术支持，与银行及其他创新型企业一同构建开放生态环境。

一是引导与规范性政策。2013年，新加坡政府推出SingPass（类似自然人凭证）服务，作为新加坡政府网站的通行证。2016年11月，MAS与新加坡银行协会合作发布一份路线图《金融即服务：API手册》，根据重要性筛选了411个API（对应700多个业务流程），并对每一个API提供了详细的功能说明，在API选择、设计、使用环节给出相应指导。该手册把API参与者分为四类：通过API将数据共享出去的API提供者、使用API来访问或发送数据的API消费者、作为行业创新先锋的金融科技公司和开发者社区。该手册还涵盖了数据标准、API标准和安全标准三种标准。数据标准对通过API传输的数据（消息）语义、语法等进行了统一，为整个开放银行行业提供一种通用的交流语言。实际应用中还要基于交换数据的类型、涉及的行业、区域差异三种不同条件确定最终要采纳的数据标准。API标准在API架构、开发与部署、授权、版本等方面做了统一规范，以便于在整个行业内形成统一的API设计语言。二是监督与限制性政策。该手册提出的安全标准涵盖了身份认证、授权、加密三块内容，主要被用于保护通过API传输的信息，从而确保客户数据的安排。2020年10月，新加坡通信和信息部和个人数据保护委员会还联合发布《个人数据保护法（修订）》，增加了严重不当处理个人数据罪行，并提高了罚款上限。三是国际协作。MAS与国际清算银行进行了金融科技系列合作，并于2019年成立新加坡创新中心。其重点项目领域包括监管科技、中央银行数字货币和下一代金融市场基础设施相关开发等。

中国香港：借鉴各地经验，逐步推进开放

中国香港以《香港银行业开放API框架》为依托，分阶段、分步骤推进银行业务开放与监管。

具体来看，一是引导与规范性政策。2018年7月，香港金融管理局发布《香港银行业开放API框架》，将API划分为银行的产品和服务细节API、产品和服务订阅与申请API、账户信息API以及交易API四个类型，并提出设立中央资料库、要求银行在网站上公示所有API功能与架构等详细说明、银行提供示例代码和沙盒以及积极开展相关研讨会和竞赛四项支持措施。具体实施分四个阶段：2019年1月开始第一阶段，主要开放银行产品及服务资讯，共20家商业银行参与其中，提供开放API超过500个。2019年10月开始第二阶段，主要开放信用卡和贷款申请等内容，香港金管局在第二阶段的规划中提到，银行在与第三方服务供应商（TSP）进行开放API合作时，要对第三方服务供应商进行审查并保持监管。第三、四阶段涉及对用户资料和金融交易流程的详细读取，香港金管局计划结合前期商业银行的反馈和国际经验，再对API的开放制定更严格的监管措施。二是监督与限制性政策。中国香港极其重视数据隐私保护。《香港银行业开放API框架第二阶段共同基准》明确提到，TSP需要提供合理充分的文件与信息，向银行证明收集客户的个人数据是公平和透明的。此外，还要将不同用途的数据库分开，确保数据库保密性和完整性，并定期进行安全检测。

美国：设立基本准则，市场自发驱动

得益于美国强大且成熟的金融系统与科技生态，美国开放银行在没有很强势的监管层介入的情况下，市场仍然能够自发驱动并发展起来。

具体来看，一是引导与规范性政策。美国较为注重金融基础设施建设，通过推动人工智能（AI）、第五代移动通信技术（5G）和政府民营并行的支付清算体系建设，营造了利于创新开放的良好外部环境。在数据开放方面，最为代表性的条例为“一个法案”和“九条指南”，即2010年通过的《多德-弗兰克法案》和2017年发布的包括支付数据访问、数据使用、消费者知情权、数据使用授权费用等在内的九条金融数据共享指南。2018年7月，美国财政部建议消费者金融保护局能够根据《多德-弗兰克法案》让消费者授权的第三方访问金融账户和交易数据。此外还希望让企业从屏幕抓取转向更安全的数据访问方法，但表示解决方案应该由私营部门开发。直到目前，美国对数据开放相关技术的使用仍没有统一标准，金融科技公司在申请数据开放时须与金融机构签订合作协议，设定责任条款。二是监督与限制性政策。在数据隐私监管方面，《格雷姆-里奇-比利雷法》和纽约州金融服务部通过的网络安全法规“23NYCRR500”均对用户数据的使用进行规范。2018年6月28日，《加州消费者隐私保护法案》（CCPA）问世，对个人信息范围、消费者权利、企业义务和处罚力度等作出相关规定，被认为是美国“最贵”的数据法案。三是行业自律。2018年3月，美国自律性监管组织金融业监管局发布的《投资者警示》指出，API在开放数据方面提供了相较屏幕抓取更为安全的选择。另外，金融数据标准组织平台（FDX）主要为公司层面的客户提供开放银行数据接入的解决方案，旗下最新产品为FDXAPI4.2框架，主要包括金融数据分享准则、身份识别与授权准则、用户使用准则与协议，其制定的API准则在一定程度上影响了开放银行未来API的普适行业规则。

中国：提供技术指引，促进多方参与

不同于国外发展模式，国内相关监管部门虽未对开放银行提出具体指导意见，但是在开放模式创新、数据治理、助力小微企业发展等方面持续发声，开放银行逐步得到重视。

具体来看，一是引导与规范性政策。除开宏观层面的发展规划外，国家也出台了API安全管理标准，为开放银行的发展提供了指引。《商业银行应用程序接口安全管理规范》（JR/T0185—2020）详细规定了商业银行应用程序接口的类型、安全技术与安全保障要求，指出商业银行应用程序接口服务的主要参与方有用户、应用方及商业银行，并界定了各方扮演的角色及承担的责任。用户发起商业银行应用程序接口应用请求，并接收处理结果。应用方负责接收并通过应用程序接口向商业银行提交相关请求、接收返还结果，依照流程进行服务请求处理或反馈用户。商业银行通过API直接连接或用软件开发工具包（SDK）间接连接的方式提供应用程序接口服务，实现商业银行服务的对外输出。二是监督与限制性政策。在信息保护方面，《网络安全法》《中国人民银行金融消费者权益保护实施办法》等已对消费者金融信息的收集和使用设立了合法、正当、必要的原则，《个人信息法》也将施行；在机构资质方面，《非金融机构支付服务管理办法》也宣布对国内第三方支付行业实施正式的监管，要求在提供支付服务前取得“支付业务许可证”。三是行业自律。目前，浦发银行、太保集团、国泰君安证券等横跨银证保三个业态的12家机构签署了开放金融联盟协议，旨在聚合银行、保险、证券等金融业态，加强成员间业务共享、科技赋能、生态共建等深度合作，随着未来交流的深入，也将对国内开放银行的发展起到推动作用。

加强我国开放银行监管的若干建议

基于开放银行全球监管经验与我国实际，现就当前和今后一个时期我国开放银行监管提出如下建议：

一是鼓励开放共享，完善数据治理。要充分认识到开放是未来的必然趋势，逐步加深开放程度，探索账户认证、信用评估等数据价值实现的可能性。除了提供良好的外部发展环境，也要充分发挥市场主体的作用，明确收益共享和风险分担机制，以更好地平衡数据保护和开放的关系。要尽快出台针对性的法律法规，明确各方权利和义务并加强教育和约束，从内到外保障数据隐私安全，加强数据治理成效。

二是明确开放范围，促进多方共识。要对开放数据范围进行有效界定，以应对开放生态各参与方对开放数据范围界定存在的普遍差异，更好地促进开放银行的有效推进。考虑到部分用户数据的敏感性，可明确针对不同阶段或者不同目标群体的数据开放范围，持续推进开放生态的建设和发展。

三是加强分级引导，逐步有序开放。要在充分借鉴和吸收不同国家和地区经验的基础上，结合我国国情合理有序地推进开放银行发展，在入口端完善第三方资质审核，增强准入管理，加强对消费者的数据授权安全保护，并把促进政务数据开放作为突破口，构建合理的开放模式和技术标准，在政策框架等方面进一步完善“软设施”，在此基础上根据风险治理能力对银行等金融机构进行分级并引导其依次、有序开放。