数字杂志阅读
快速下单入口 快速下单入口
首页> 数字杂志> 《中国外汇》 >2020年度 >2020年第8期

开放银行国际监管经验借鉴

来源:《中国外汇》2020年第8期

近年来,开放银行(Open Banking)逐步兴起。英国、欧盟、澳大利亚、中国香港等国家和地区作为开放银行的先行者,已经形成了较为完善的监管体系,而我国的开放银行尚处在探索阶段。新冠肺炎疫情暴发以来,“非接触银行”服务备受关注,对开放银行的发展也提出了新的要求。

开放银行发展及国际监管经验

开放银行的监管体系

随着开放银行不断付诸实践,多个国家/地区开始制定并完善监管框架,构建完整的监管体系。2015年,英国设立开放银行工作组(OBWG)并发布了《开放银行标准框架》,指导开放银行的服务及相关事项,还设立了独立机构监督管理该政策的落实进程,处理银行与客户的纠纷。2016年,新加坡金融管理局联合新加坡银行协会发布了《API指导手册》,对开放银行各参与主体提出了行动指南及相应的数据安全指导建议。2017年,日本议会通过《日本银行法案(修正案)》,明确金融公司间实施数据共享,保障用户能够管理跨机构账户信息。2018年,中国香港金融管理局出台《香港银行业Open API框架咨询文件》及银行业开放应用程序接口框架,要求银行提供核心板块的所有功能,并逐步提供API。2018年,日本金融厅颁布《电子决算新修订法案》,规定电子支付代理业者登录使用银行的数据及服务。2018年5月,澳大利亚政府采纳金杜律师事务所的《开放银行调查建议》,对开放银行监管框架、监管体系等进行了规范。

开放银行的数据范围及权限

在健全的监管体制下,部分国家进一步明确了开放银行的实施路径,以及数据的开放范围及权限。2015年,英国发布《开放银行标准框架》,将金融数据分为五类:开放数据、客户交易数据、客户参考数据、聚合数据和商业敏感数据,并根据每类数据涉及的用户隐私程度的不同,对第三方机构设置不同的读写权限。澳大利亚也将银行包含的数据范围进行了分类,并明确规定客户提供的数据、交易数据等属于数据共享范围,而增值客户数据、聚合数据等因为风险较高,则不能列入银行数据共享的范畴。2018年,中国香港金管局出台政策,对金融机构的产品服务提供、订阅申请API的时间进行了规定,并要求最后账户信息和交易类API的实施时间将在政策发布一年内再行决定。实际上,部分国家和地区并未对开放数据的范围及权限做出限制性规定,如欧盟、新加坡等。

开放银行的数据安全

为确保数据安全、防止信息泄露,多个国家要求对使用数据的用户进行身份验证。英国出于对消费者信息保护的考虑,对访问数据的第三方服务机构进行了严格限制,要求第三方服务提供商在访问数据前必须获得相关机构批准,同时还要通过开放银行的模拟测试。在此过程中,第三方服务提供商也必须保证其业务模式符合PSD2指令,具有完备的安全措施。澳大利亚则先后发布《竞争与消费者法令(2010)》与《隐私法案》等政策法规,以保障开放银行数据共享时的用户安全。2017年,美国发布《消费者金融数据共享和整合原则》,赋予消费者对未经授权的信息获取提出质疑和要求解决争议的权利。

我国开放银行存在的主要问题

一是缺乏对开放银行的政策指导。2018年开始,我国多家大型商业银行及股份制商业银行相继推出开放银行。但截至目前,我国开放银行仍处于探索初期阶段,主要依靠市场自发驱动来推动金融机构数据共享的进程。由于缺乏宏观政策引导和自上而下的总体规划,导致我国开放银行发展水平参差不齐。一方面,是银行之间及互联网公司之间的发展失衡。一小部分大银行凭借自身规模效应已开始自行搭建开放银行平台,而大部分小银行由于技术限制尚未形成开放体系;同样,部分大型互联网公司逐步开始获取共享信息,并构建起完善的信息处理系统,导致少数大型非银行支付机构对数据的垄断。若今后不加以政策引导,这种不平衡将持续加剧。另一方面,是银行与非银行机构之间的效益不平等。相比第三方非银行机构利用开放银行共享银行数据、拓展业务范围,目前银行尚不能从金融数据共享中获得更大收益,反而可能面临用户减少、利润损失等风险。

二是监管体系尚不完善,监管框架较为单一。现阶段,我国对开放银行尚未形成全面、完整的监管框架。一方面,我国的开放银行监管政策较为单一。2020年2月,中国人民银行发布《商业银行应用程序接口安全管理规范》,细化了商业银行API的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。这是我国首次对API做出规范,开放银行由此有了明确的技术标准。但与英国等发达国家相比,我国开放银行监管框架仍较为单一。另一方面,我国开放银行监管框架界限划分也不明确。目前我国各金融机构主要依靠市场驱动推进开放银行,缺乏明确的监管主体。此外,互联网公司等第三方机构尚未被列入我国的监管框架,而互联网公司作为数据共享的重要一环,其风控能力、合规要求等与开放银行的信息安全息息相关。在这一背景下,一旦风险较高或资质不健全的机构进入市场,极易造成数据滥用、信息泄露等现象。

三是数据开放规则尚不明确。开放银行的核心在于金融数据的开放共享,因此,数据规范及管理将直接影响开放银行的安全性及稳定性。目前,我国尚未对金融数据的开放规则做出明确规定。一方面,数据的开放范围及权限尚未确定。如果信息可任意共享,很可能会导致金融行业重要数据的泄漏、信息真伪难辨,甚至对我国金融体系的安全造成威胁。另一方面,我国仍缺乏对数据使用及存储等方面的要求,一旦用户信息泄露,或使用伪造数据,将直接影响正常数据的使用,并给开放银行的发展带来消极影响。这需要对共享数据的使用时间进行限制,以有效防止数据被恶意篡改或储存。此外,现实生活中,数据分散在政府部门、金融机构、

阅读全部文章,请登录数字版阅读账户。 没有账户? 立即购买数字版杂志