开放银行 图片来源：中国电子银行网

近年来，“开放银行”（Open Banking）理念逐步兴起。英国、欧盟、澳大利亚、中国香港等国家和地区作为“开放银行”的先行者，已经形成了较为完善的监管体系。新冠肺炎疫情暴发来，“非接触银行”服务备受关注，对“开放银行”发展提出新的要求。本文系统梳理了各发达国家“开放银行”国际监管经验，结合我国发展现状，分析国内“开放银行”发展和监管等方面存在的主要问题，并提出建立“开放银行”监管框架、制定数据共享规则等适合我国“开放银行”发展的意见与建议。

一、“开放银行”的理念及内涵

近年来，随着数字技术与金融科技的不断发展，“开放银行”概念日趋兴起，备受关注。“开放银行”作为金融科技浪潮下的新趋势，是一种包括但不限于依托应用程序编程接口（API）技术的金融服务模式，它在保障数据安全的前提下，实现银行数据的开放与共享，允许第三方机构深入挖掘银行数据所蕴藏的价值，并为个人消费者、企业等提供更加高效便捷的服务。目前，英国、欧盟、澳大利亚、中国香港等国家和地区的“开放银行”监管和实践正走在世界前列，已形成了较为完备的监管体系，而我国的“开放银行”仍处在探索阶段。因此学习和借鉴国际监管经验、分析国内“开放银行”的不足和问题，是十分必要的。

二、“开放银行”发展及国际监管经验

（一）提出“开放银行”，推动发展进程

自“开放银行”理念提出以来，各发达国家不断推进其发展进程，现已形成政府主导与市场主导两种形式。

以英国为代表的政府主导型，主要基于各类法规规章，通过建立行业标准、行为模式等强制性手段自上而下实现对“开放银行”的监管。2014年6月，英国开放数据研究所（ODI）等机构对个人活期账户和中小企业贷款进行研究，提出API和开放数据有利于银行发展等观点。2016年，英国颁布了《开放银行标准》，构建“开放银行”标准体系，成为首个将“开放银行”理念付之行动的国家。

以美国为代表的市场主导型，主要靠市场驱动自发实现数字共享，并采用被动监管的方式，通过指导性政策意见赋予市场更多的自我调节能力。2008年美国出台的《多德—弗兰克法案》明确了获取金融数据的主体，同时在2017年美国消费者金融保护局提出9条信息共享指导建议，为美国实现“开放银行”数据共享奠定了法律基础。2018年，香港金管局提出4项“开放银行”的支持政策，包括在香港科技园数据工作室网页内创建中央资料库、建议银行在自己的网站上公布每个API的功能、架构、安全性等细项说明、规定银行提供示例代码和沙盒等。

（二）制定监管框架，构建监管体系

随着“开放银行”不断付诸实践，多个国家各地区逐步制定完善的监管框架，构建完整的监管体系。2015年，英国设立“开放银行”工作组（OBWG）并发布《开放银行标准框架》，指导“开放银行”服务等工作事项，同时设立独立机构监督管理该政策的落实进程，处理客户纠纷。2016年，新加坡金融管理局联合新加坡银行协会公开发布了API指导手册，对“开放银行”各参与主体提出了行动指南及相应的数据安全指导建议。2017年，日本会议通过《日本银行法案》（修正案），明确实施金融公司间的数据共享，保障用户能够管理跨机构账户信息。2018年，香港金融管理局出台《香港银行业Open API框架咨询文件》及银行业开放应用程序接口框架，要求提供核心银行板块的所有功能，并逐步提供API。2018年，日本金融厅颁布《电子决算新修订法案》，规定电子支付代理业者登录使用银行的数据及服务。同年五月，澳大利亚政府采纳金杜律师事务所的《开放银行调查建议》，对“开放银行”监管框架、监管体系等作出明确规范。

（三）明确开放的数据范围及权限

在健全的监管体制下，部分国家进一步制定了“开放银行”实施路径，明确数据的开放范围及权限。2015年，英国发布《开放银行标准框架》将金融数据分为五类：开放数据、客户交易数据、客户参考数据、聚合数据和商业敏感数据。根据每类数据涉及的用户隐私程度不同，对第三方机构设置不同的读写权限。澳大利亚也将银行包含的数据范围进行分类，并明确规定客户提供的数据、交易数据等属于数据共享范围，而增值客户数据、聚合数据等因为风险较高则不能列入银行数据共享的范畴。2018年香港金管局出台政策规定了金融机构产品服务提供、订阅申请API的时间，并要求最后账户信息和交易类API的实施时间将在政策发布一年内再行决定。

实际上，部分国家和地区并未对开放数据范围及权限作出限制性规定。例如，欧盟认为凡经用户授权的账户信息均属于开放数据领域。美国则规定，消费者或经授权均可以获得各方面金融数据，包括但不限于连续交易、消费者使用情况等。在新加坡，消费者同样可以与私营部门共享所有信息。

（四）保障消费者信息及数据安全

为确保数据安全、防止信息泄露，多个国家对使用数据的用户进行身份验证。此外，英国出于对消费者信息保护的考虑，对访问数据的第三方服务机构实行了严格的限制，要求第三方服务提供商在访问数据前必须获得相关机构批准并通过“开放银行”的模拟测试，在此过程中，第三方服务提供商也必须保证其业务模式符合PSD2指令，具有完备的安全措施。澳大利亚也先后发布《竞争与消费者法令（2010）》与《隐私法案》等政策规定，保障“开放银行”数据共享时的用户安全。2017年，美国发布《消费者金融数据共享和整合原则》，消费者有权对未经授权的信息获取等业务提出质疑和解决争议。

三、我国“开放银行”存在的主要问题

（一）缺乏对“开放银行”的政策指导

2018年开始，我国多家大型商业银行及股份制商业银行纷纷推出“开放银行”。但目前我国“开放银行”正处于探索初期阶段，主要依靠市场自发驱动推动金融机构数据共享进程。由于缺乏宏观政策引导和自上而下的总体规划，导致我国“开放银行”发展水平参差不齐。一方面，银行业及互联网公司间的发展失衡。一小部分大银行凭借自身规模效应已开始自行搭建“开放银行”平台，而大部分小银行由于技术限制尚未形成开放体系；同样地，部分大型互联网公司逐步开始获取共享信息，并构建完善的信息处理系统。尤其是，少数大型非银行支付机构垄断数据，若缺少政策引导，这种不平衡将持续加剧。另一方面，银行与非银行机构之间的效益不平等。我们观察到，相比第三方非银行机构利用“开放银行”共享银行数据、拓展业务范围，目前银行尚不能从金融数据共享中获得更大收益，反而可能面临用户减少、利润损失等风险。

（二）监管体系尚未完善，监管框架较为单一

现阶段，我国对“开放银行”尚未形成全面完整的监管框架。一方面，我国的“开放银行”监管政策较为单一。2020年2月，中国人民银行发布《商业银行应用程序接口安全管理规范》，细化了商业银行API的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。这是我国首份关于API的规范，“开放银行”由此正式有了明确的技术标准。但与英国等发达国家相比，我国“开放银行”监管框架仍较为单一。

另一方面，我国“开放银行”监管框架界限划分也不明确。目前我国各金融机构主要依靠市场驱动推进“开放银行”，缺乏明确的监管主体。此外，互联网公司等第三方机构尚未被列入我国监管框架。互联网公司作为数据共享的重要一环，其风控能力、合规要求等与“开放银行”信息安全息息相关。一旦风险较高或资质不健全的机构进入市场，极易造成数据滥用、信息泄露等现象。

（三）数据开放规则尚未明确

“开放银行”的核心在于金融数据的开放共享。因此，数据规范及管理将直接影响“开放银行”的安全性及稳定性。目前，我国尚未对金融数据的开放规则作出明确规范。一方面，数据的开放范围及权限尚未确定。信息的任意共享很可能会导致金融行业重要数据泄漏、信息鱼龙混杂，甚至对我国金融体系的安全性造成威胁。另一方面，我国仍缺乏对数据使用及存储等方面的要求。一旦用户信息泄露，或是伪造数据出现，将直接影响正常数据的使用，并对“开放银行”发展带来消极影响，而对共享数据使用时间进行限制，可以有效防止数据被恶意篡改或储存。此外，现实生活中，数据分散在政府部门、金融机构、互联网平台之间，数据整合在法律、技术和利益等方面仍存在亟待攻破的难关。

（四）数据保护意识、风险防御能力薄弱

银行客户数据可以让更多金融机构深入挖掘客户信息、拓展业务边界，但同时保障客户信息安全也是各金融机构的责任与义务。一方面，数据访问主体增多会加大数据安全风险。“开放银行”通过API等技术将多个数据共享主体连接，一旦任一关联方的连接处安全性薄弱或授权设置不正确，就可能会增加整个系统数据泄漏的风险，客户信息被非法获得。另一方面，互联网渠道本身存在数据安全风险。“开放银行”接口属于外部服务，存在访问漏洞等安全风险，一旦该漏洞被发现并恶意利用，将导致服务器入侵等不利后果。同时，我国的“开放银行”缺乏用户授权收回机制，在用户授权时很难自主选择或进行更改；在用户利益受到损伤后，我国仍然缺乏对“开放银行”争议责任识别和划分的法律体系，也尚未形成合法有效的解决渠道。此外，“开放银行”本身存在着技术漏洞、系统失灵、风险控制等操作风险及系统性风险，而我国在对这些风险的防控能力上仍然有所欠缺。

四、对我国的启示与建议

新冠肺炎疫情暴发后，“非接触银行”服务需求大大增加。我国银行业应进一步践行“开放银行”理念，融入场景，加强合作，构建集金融服务和非金融服务为一体的“非接触”服务生态系统，全方位、一体化满足客户各种需求。在这种情况下，加强制度建设，完善监管框架，强化风险管理，推动数据开放，显得更加必要和迫切。

（一）出台“开放银行”法律法规，推动数据开放共享

2019年8月，央行发布《金融科技（FinTech）发展规划（2019—2021年）》，提出：借助应用程序编程接口（API）、软件开发工具包（SDK）等手段深化跨界合作，借助各行业优质渠道资源打造新型商业范式，实现资源最大化利用，构建开放、合作、共赢的金融服务生态体系。这标志着我国开始重视“开放银行”，大力推动数据共享与合作。当前，我国“开放银行”正处在发展初期，需要市场的包容，更需要一套完整的法律体系作为支撑。一方面，与普惠金融相类似，“开放银行”作为降低金融行业壁垒、减少金融机构必要成本的一项重要举措，需要市场秉持包容的态度，发挥市场驱动效用，同时各金融机构也应及时把握市场运行规律，适应市场发展趋势，并适当结合监管政策，积极推动“开放银行”发展进程。另一方面，法律是一切新兴事物平稳发展的基础，健全的法律体系对于保障“开放银行”行稳致远是十分必要的。国家应尽快出台“开放银行”相关政策指引及纲领性文件，明确监管主体，制定“开放银行”推进规划，协调和保障银行与第三方机构间的利益关系，形成“开放银行”各参与方协同推进、利益共赢新格局。

（二）完善“开放银行”监管框架，制定数据共享规则

2020年4月，《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》发布，将数据作为一种新型生产要素，要求充分发挥数据对其他要素效率的倍增作用，培育发展数据要素市场，使大数据成为推动经济高质量发展的新动能。目前我国只是出台API接口技术标准，“开放银行”监管框架较为单一，这在一定程度上制约了“开放银行”发展。一方面，2020年API接口技术指标刚刚发布，需要监管部门和开放银行参与各方加速实施，引导市场规范发展。此外，监管部门应进一步对监管范围进行明确，重点包括应将第三方机构纳入监管范畴，厘清银行与第三方机构间的法律关系，减少由于信息滥用、盗用等产生的不安全现象。另一方面，监管部门应尽快出台“开放银行”金融数据共享业务准则，明确数据的开放范围及权限，减少因数据冗杂、数据滥用引起的数据共享作用性减弱，促进“开放银行”技术标准化体系的发展，并建立科学的标准化框架体系。

（三）注重用户信息监管保护，推动数据有序开放

2020年2月，央行发布《个人金融信息保护技术规范》，从安全技术和安全管理两个方面明确个人金融信息在收集、传输、存储、使用、删除、销毁等环节的安全防护要求。监管部门应进一步加强对“开放银行”用户信息的保护，建立健全安全性评估及技术安全性指标体系，完善信息发布和开放服务风险补偿机制。重点是，建立“开放银行”争议责任识别及处理法律规范，为用户提供纠纷解决渠道。我们观察到，欧盟发布的《通用数据保护条例》（GDPR）也将一系列新兴支付方式纳入监管范围，并对数字及网络安全提出了非常严格的监管要求。信息安全固然需要坚持，但要实现“开放银行”理念，需要有序推动数据开放共享。

因此，在保护用户信息的同时，监管部门也应不断维持个人信息保护与数据共享关系的平衡，可以根据用户信息敏感性差异开展不同程度的数据共享及保护。同时应形成用户授权收回机制，保障金融消费者的合法权益，并对第三方机构有权获取的数据类型、数据内容、储存时间等方面做出严格规定，确保数据共享是在用户授权的前提下有序进行的。

（四）加强“开放银行”风险监测，提升风险管理能力

监管部门建立健全“开放银行”风险监测体系，及时发现并处理风险，提升风险管控能力。一方面，监管机构要加强“开放银行”安全防控体系的建设力度，定期进行风险排查及安全评估，根据开放信息敏感程度不同对“开放银行”进行差异化管理，从而提升数据安全性和风控水平。另一方面，相比传统模式，“开放银行”蕴含了更多包括技术风险、操作风险及系统性风险在内的不确定性。因此，监管部门除了要考虑审慎监管，行为监管等，还要充分借助监管科技（RegTech），提升监管能力和效率。具体而言，可以运用区块链等技术手段，构建以数据驱动监管为核心的智能化实时监管，形成“开放银行”各参与方的互联机制，打破传统金融监管的困境。此外，“开放银行”涉及的参与主体范围广泛，各主体的风险识别、防控手段差异较大，需要对“开放银行”风险监测和持续监管展开进一步探索。

（董希淼系新网银行首席研究员、中南财经政法大学金融学院硕士生导师、中国电子银行网专栏专家；朱美璇系中南财经政法大学金融学院硕士研究生）

责任编辑：王超