章节

第三章 开放金融的国际比较和评价

作者

李润东 北京大学物理学院学士,斯坦福大学物理学博士。光大金控资产管理有限公司资产管理部副总经理,国家金融与发展实验室博士后,光大集团特约研究员。主要研究领域为量化金融、新技术在证券和资产管理行业的应用等。

参考文献 查看全部 ↓

第三章 开放金融的国际比较和评价

可试读20%内容 阅读器阅览

第三章 开放金融的国际比较和评价

一 国外银行业开放式创新及监管

(一)国外银行业早期开放式创新实践

早在英国和欧盟提出开放银行,并通过监管和立法推动金融机构对第三方开放数据和服务之前,金融科技企业就已经开始尝试进行开放式创新。互联网科技企业通过提供支付、财务管理等服务进入金融业,成为金融业的新兴力量,这些企业也将互联网行业的开放式商业模式引入银行业。2004年,贝宝(PayPal)发布了最初版本的PayPal API,对外部开发者开放了一系列功能,这使得用户可以通过第三方开发的程序访问和使用自己的PayPal账户。Yodlee和Mint等第三方个人财务管理平台和数据聚合公司通过整合消费者授权提供的银行账户数据以及银行的金融产品信息,使消费者能够全面地获取个人资产状况和选择适合自己的金融产品。[]

在这一阶段,银行等传统金融机构并未直接参与行业的开放式创新。在银行和第三方应用程序之间缺少数据共享协议的情况下,为了获取并共享信息,最为通行的方法是由消费者主动向第三方提供网上银行账户的用户名和登录密码,授权第三方应用程序获取并使用自身的账户信息,并对消费者账户进行认证。在数据的采集方法上,则主要依靠第三方应用程序使用用户提供的登录信息,自动登录用户银行账户,通过屏幕抓取获得所需信息。这种数据采集方法避免了要求银行主动参与数据开放带来的阻力,但也存在一系列风险和不足:存储和使用消费者银行账户登录信息面临网络安全风险;难以保证第三方仅获取和使用为消费者提供相应服务所必需的数据;屏幕抓取占用过多的银行网络资源时,将造成银行网络效率降低甚至瘫痪;银行对自身系统程序做出改变时,屏幕抓取程序如不做相应的改变,可能导致无法正常采集数据。在更为广泛的意义上,银行业开放式创新的出现和演进,对数据安全、数据隐私、数据共享在法律、监管、标准制定等方面提出了新的要求。

(二)各国开放银行监管及创新

随着数字经济的发展,起源于互联网行业的开放式创新,其影响范围逐渐扩大到各个传统产业,银行等传统金融机构也不例外。随着传统银行机构的加入,银行业开放式创新进入开放银行的新阶段。新兴科技企业凭借其提供的更加高效、便捷、多元化、费用低廉的金融服务,迅速积累了客户和数据资源,并通过获取金融牌照,扩大了在金融业的布局。在科技企业对金融业渗透程度较深、金融科技发展较为迅速的国家,银行面临较为明显的竞争压力,开始主动加入开放式创新的行列以应对挑战。相应地,在这些国家,开放银行的发展以市场驱动为主。而以英国和欧盟为代表的国家和地区,从促进银行业竞争和创新、赋予用户数据权利出发,采取以监管和立法驱动为主的方式推动银行业的开放,成为各国开放银行相关政策制定者和监管当局关注的焦点。本部分将对各个国家及地区开放银行的实践及监管进行介绍和梳理。

1.英国及欧盟

2013年6月,英国竞争和市场管理局(Competition and Markets Authority,CMA)启动了一项对银行业的市场调查,并于2016年8月发布了调查报告。调查报告数据显示,尽管每次更换银行平均可以为个人和企业客户分别节省92英镑和80英镑,但在英国,每年平均只有3%的个人和4%的企业会更换银行,而英国最大的4家银行包揽了全国80%的现金账户。客户的惯性和机构的垄断,导致大型银行和中小银行竞争环境不平等,客户支付更高的费用却无法享受更好的服务,限制了市场活力和创新。这一调查结果体现了英国推行开放银行的背景。2014年9月,英国财政部和内阁委托开放数据研究所(Open Data Institute,ODI)以及监管政策咨询机构Fingleton Associates对银行数据共享进行调研,并发布《数据分享和银行的开放数据》报告。该报告认为,数据开放有利于英国银行业充分竞争,并建议制定银行数据共享标准。

2015年8月,开放银行工作组(Open Banking Working Group,OBWG)由英国财政部牵头成立,成员包括来自银行、开放数据组织、第三方服务提供商的代表以及消费者代表。工作组制定了开放银行的总体框架和实施准则,建议采用标准化API共享数据,并在2016年发布报告,认为开放银行技术标准的实施需要采取强有力的措施加以推行。CMA随后决定成立专门机构负责开放银行技术标准的实施,并以法律形式强制推行。由此CMA发布了《零售银行市场调查令》(Retail Banking Market Investigation Order),开始从法律层面推行开放银行政策。CMA于2016年9月成立了由英国9个最大的活期账户提供机构(CMA9)参与的开放银行实施实体(Open Banking Implementation Entity,OBIE),负责推进开放银行措施的实施,并制定开放银行实施时间表。

在欧盟方面,2015年11月,基于2007年《支付服务指令》(Payment Services Directive,PSD)修订而来的PSD2发布,并于2016年1月12日生效。PSD2旨在开放支付领域的数据和服务,标志着全球开放银行立法的开端。PSD2进行的修订主要包括:将包括支付发起服务提供商(Payment Initiation Service Provider,PISP)和账户信息服务提供商(Account Information Service Provider,AISP)在内的第三方服务提供商(Third Party Service Provider,TPSP)纳入监管体系;制定了账户开放的规则,要求账户服务支付服务提供商(Account Servicing Payment Service Provider,ASPSP)在用户授权的前提下,将用户的活期账户和支付账户(包括信用卡、电子钱包和预付卡)以及交易数据开放给第三方服务提供商和其他银行;保护消费者线上消费的合法权益,禁止将付款成本转嫁给消费者;更好地保护用户权益和数据安全,对身份验证、支付和数据获取提出了更高的安全性要求,特别是要求对网上银行发起和处理电子支付实施强客户认证(Strong Customer Authentication,SCA),据此屏幕抓取的方法将不再被允许。PSD2还要求欧洲银行管理局(European Banking Authority,EBA)制定了关于强客户认证和共同安全开放通信的监管技术标准(Regulatory Technical Standards)。根据PSD2要求,欧洲经济区内各国必须在2018年1月13日前将PSD2转化为相关法律,2019年9月则是PSD2实施的最后期限。

2016年4月由欧洲议会通过、2018年5月正式实施的《通用数据保护条例》(General Data Protection Regulation,GDPR)规定用户享有数据的可携权,即个人数据应当在不同服务商系统之间具有可迁移性;同时享有数据的被遗忘权,即个人可控制其数据,可删除个人数据的任何链接和副本。GDPR规定,金融机构必须从账户所有者那里取得明确的数据共享许可。GDPR对个人数据相关权利的规定与PSD2开放支付数据的要求相契合,进一步为开放银行提供了法律依据。

PSD2和英国开放银行的核心在于银行数据的开放。在此基础上,英国进一步为开放银行的实施和管理建立了较为完善的体系,其组成部分包括以下几个方面。[]

(1)包含数据标准、API标准和安全标准在内的技术标准。

(2)用户体验标准。这些标准旨在让开放银行用户获得无缝的使用体验。

(3)运营准则。对开放银行服务的可得性、性能、测试进行了规定。

(4)开放银行目录(Open Banking Directory),即开放银行生态体系的准入白名单。所有第三方服务提供商必须先取得英国金融行为监管局(Financial Conduct Authority,FCA)的授权并成为账户信息服务提供商或支付发起服务提供商,才可注册加入开放银行目录。第三方服务提供商加入开放银行目录后,方可访问目录中账户服务支付服务提供商提供的API。

(5)用户争端解决机制。CMA要求OBIE建立的用户争端解决机制,旨在让用户投诉在银行和第三方服务提供商之间得到妥善和高效的解决。

(6)开放银行实施支持。旨在为第三方和银行实施与测试开放银行应用提供帮助。

(7)对CMA9的监督功能。旨在确保CMA9遵守《零售银行市场调查令》的要求,并在必要时采取纠正措施。

因其健全的机制和完善的标准,英国开放银行成为许多国家制定开放银行政策和标准的蓝本。由于欧盟未就PSD2的实施设立API技术标准,欧盟其他国家通过市场自发成立的组织制定了API标准,其中由柏林集团(Berlin Group)制定的标准NextGenPSD2被欧盟78%的银行采用[],此外还有法国的STET和波兰的Polish API等标准。

2018年1月PSD2和英国开放银行计划实行后,银行在有限的时间内面临大量的技术实现和测试工作。在开放银行的具体实施进度方面,按照OBIE制定的时间表,CMA9已于2017年3月前完成开放银行产品、分行营业时间及位置、ATM位置等标准化数据的目标。第二阶段目标,即第三方通过银行与客户两方的授权,自由调取使用银行客户资料的目标也已于2019年初完成。而对于移动开放银行目标,即银行移动应用与第三方移动应用之间实现公开且合规的数据共享,仅有4家银行在原定期限2019年3月13日前完成。2019年3月进行的一项调查显示,在442家欧洲银行中,有41%的银行未能在PSD2要求的期限之前向第三方服务提供商提供测试用的沙盒环境。[]由于PSD2要求的强客户认证准则存在复杂性,许多机构在实施时遇到困难,欧盟的支付行业在原定的最后实施期限2019年9月14日前难以做好准备。为此,FCA将实施期限推迟18个月。除英国外,法国、丹麦、爱尔兰、比利时等国家的监管当局也推迟了强客户认证的实施期限。

对于银行而言,监管驱动的开放银行政策并不仅仅意味着完成一系列合规要求,更为重要的是,银行还需要在此基础上寻求合作,进行业务创新,提供能够更好地满足客户需求的产品和服务并创造价值,以实现开放银行设立的初衷。为实现这一目标,并让更多消费者和企业接受开放银行,需要银行和第三方服务提供商不断地进行创新实践,同时需要更多的参与者加入以扩大网络效应。开放银行实行后,爱尔兰联合银行集团(AIB Group UK)通过API开放数据,帮助微贷服务提供商Iwoca首次利用开放银行数据发放商业贷款。丹麦银行(Danske Bank)将通过API开放的账户类型扩展到所有的活期账户、信用卡和网上储蓄账户。全英房屋抵押贷款协会(Nationwide Building Society)与第三方服务提供商CreditLadder合作,通过分析用户收入与支出的开放银行数据,支持房屋抵押贷款业务。全英房屋抵押贷款协会还联合金融科技公司、慈善组织和学术机构,探索开发基于开放银行的应用,为英国占1/4的经济困难家庭提供金融服务。[][]

截至2019年12月,英国开放银行目录共包括70家账户服务支付服务提供商,以及134家第三方服务提供商,其中61家受监管实体已向消费者推出了开放银行应用。2019年全年英国开放银行生态系统内API调用总次数达到12.7亿次(见图3-1),开放银行API性能不断提升(见图3-2),开放银行用户总数超过100万人。[]

图3-1 英国开放银行生态系统内API调用次数

图3-2 英国开放银行生态系统内API调用平均响应时间

截至2019年第三季度,欧洲共有207家第三方服务提供商在监管当局注册。调查显示,最为消费者所接受的开放银行服务是资金管理和信用评估,只有1/4的消费者接受并使用支付发起服务。[]在欧洲大陆国家的大型银行中,西班牙对外银行(BBVA)、瑞典北欧联合银行(Nordea)、德意志银行(Deutsche Bank)在开放银行实施和创新方面位于前列。PSD2注册第三方服务提供商国别及类型分布见图3-3、图3-4。

图3-3 PSD2注册第三方服务提供商国别分布

图3-4 PSD2注册第三方服务提供商类型分布

2.美国

美国的开放银行实施路径采取了市场化方式。早期由于美国的银行和第三方金融科技公司之间缺少正式的数据共享协议,第三方应用程序主要采取屏幕抓取的方式获得数据。随着英国和欧盟等国家和地区开放银行政策的提出,API成为银行开放数据服务的标准方式,美国主要银行认识到开放银行的战略重要性并出于安全性考虑,开始主动加入开放银行生态,开发和发布API平台,基于和第三方的双边协议,以更加安全、可控、高效的方式对第三方开放数据和服务。其中,花旗银行于2016年11月在全球范围内推出了API开发中心(API Developer Hub),发布了包括账户访问、账户授权、资金转账、银行卡管理、点对点支付、资金管理等类别的API,并已作为支付发起服务提供商加入英国开放银行目录。与花旗银行合作的第三方服务提供商包括贝宝(PayPal)、百思买(Best Buy)、万事达卡(MasterCard)、澳大利亚航空公司(Qantas Airways)、维珍理财(Virgin Money)等。富国银行则在2016年推出了API开放平台Wells Fargo Gateway,不仅开放了账户聚合、服务预约,以及账户余额、账户报表、单据图像、税务信息、交易明细、网点位置查询等数据类服务,而且开放了账户验证、自动清算状态确认、自动清算支付、外汇服务、实时支付到借记卡、电汇支付和状态确认等支付类服务。摩根大通2017年分别与金融科技公司Intuit和Finicity签订了数据共享协议,2018年8月开始对公司财资服务客户开放API,通过开发者门户开放的API提供实时支付、电汇支付、小额和自动清算支付、支付状态跟踪、公司快速支付等服务。此外,还为开发者提供测试和代码生成工具。通过API提供的财资服务,摩根大通的企业客户可以实时获得数据和反馈,还可以将银行服务嵌入客户的企业资源规划系统和财务管理系统。

迄今为止,美国尚未从立法和监管层面针对开放银行进行立法和制定标准。在现存法律中,相关的条款仅有《多德-弗兰克法案》的1033条,其中规定用户或者用户授权的机构有权获取该用户在金融机构的金融交易数据。2017年10月,美国消费者金融保护局(Consumer Financial Protection Bureau,CFPB)发布了关于消费者金融数据获取和使用的9条原则,建议机构采取措施,确保客户数据安全,在数据收集范围和数据留存时间方面对客户保持透明,并建立客户争端解决机制。除此之外,美国联邦金融机构检查委员会(Federal Financial Institutions Examination Council,FFIEC)针对零售支付系统和技术外包等开放银行相关问题发布了准则。但以上监管机构关于开放银行的准则只具有建议性质,而非强制性要求。2018年7月,美国财政部在其向总统提交的报告《一个创造经济机遇的金融体系——非银机构、金融科技与创新》中建议对金融监管体系进行重要升级,以避免在开放银行领域落后,并通过升级金融服务的监管规则,确保数字经济环境下金融数据的安全和开放。[]但由于美国金融监管体系的复杂性和相关监管机构数量众多,对开放银行进行统一监管和实行统一标准在短期内难以实现。

试读已结束,剩余80%未读

¥11.52 查看全文 >

VIP免费

章节目录

  • 一 国外银行业开放式创新及监管
    1. (一)国外银行业早期开放式创新实践
    2. (二)各国开放银行监管及创新
      1. 1.英国及欧盟
      2. 2.美国
      3. 3.澳大利亚
      4. 4.新加坡
      5. 5.印度
      6. 6.日本
      7. 7.韩国
      8. 8.墨西哥
      9. 9.巴西
      10. 10.尼日利亚
  • 二 国外证券业开放式创新及监管
    1. (一)卖方赋能买方,构建开放生态
    2. (二)财富管理的平台商业模式
    3. (三)证券业的开源协作
  • 三 国外保险业开放式创新及监管
    1. (一)国外保险科技企业开放式创新实践
      1. 1.Lemonade
      2. 2.Trov
    2. (二)国外传统保险机构开放式创新实践
      1. 1.安盛集团
      2. 2.安联保险
  • 四 国外其他金融科技企业开放式创新及监管
    1. (一)数字化技术服务提供商
      1. 1.Yodlee*
      2. 2.Plaid*
      3. 3.Apigee*
      4. 4.Ping Identity*
    2. (二)数据服务提供商*
    3. (三)大型科技企业

章节图片/图表

查看更多>>>