開放銀行的運作機制、國際經驗與發展路徑

■李 昊

一、問題的提出

開放銀行是近年來備受矚目的金融科技新業態。作為打破無界金融生態、跨越普惠發展“藩籬”的有益探索，開放銀行是指在法律保障數據安全的前提下，銀行通過建立并開放應用程序編程接口（API）端口，允許符合條件的第三方機構訪問自身的金融數據，充分挖掘銀行金融數據所蘊藏的經濟價值，為個人消費者、企業等提供更加高效的服務。

關于開放銀行的價值，Mensiet al.（2017）認為，開放銀行是一種全新、開放的商業模式，通過銀行與第三方機構等其他合作伙伴的數據共享，重構商業生態系統，為參與機構提供新的價值。羅勇（2018）認為，開放銀行利用云計算、大數據等新技術，形成跨界融合的金融服務能力，真正滿足客戶的個性化金融需求。關于開放銀行的國際監管最早由英國在2015年提出，成立了開放銀行工作組，發布了《開放銀行標準框架》。McAteer（2017）認為，開放銀行將對低收入人群產生更多的金融排斥，只有精通技術的人才會受益。周科（2018）認為，金融數據割裂、誘導客戶行為、金融排斥等是主要制約因素。楊東（2018）指出，技術漏洞和編程錯誤滋生的技術風險，不適當的操作增加的操作風險等是主要制約因素。

總體來看，已有研究重點是從商業銀行的角度分析開放銀行對商業銀行經營模式的影響、業務開展建議等，未能系統深入的研究開放銀行的參與主體和運作機制，也未能從實證角度分析開放銀行的效果。本文以開放銀行參與主體為切入點，深入分析了參與各方的責權義關系，然后在提煉全球主要國家和地區實施開放銀行思路的基礎上，重點評估了英國實施開放銀行的價值效果。最后，提出以中小企業作為數據共享的重點，并確定我國試點地區的開放銀行發展之路。

二、開放銀行的參與主體與運作機制

從開放銀行的流程看，金融數據共享過程中主要涉及四方主體，分別是金融消費者（企業或個人）、銀行機構、第三方機構和監管部門。

圖1 開放銀行流程圖

（一）金融消費者—企業或個人客戶

開放銀行的核心是金融數據共享，而金融數據產生的源泉主要是企業或個人在銀行的金融活動，因此開放銀行的授權者主要是金融消費者。

對企業來說，與金融活動相關的信息主要包括四類：第一類是企業基本信息，如工商注冊登記信息，各類主體均能通過企業信用信息公示系統查詢；第二類是企業生產經營的重要信息，僅在特定領域公開或僅向特定主體公開，主要是與資金流、貨物流、物流直接相關的信息；第三類是商業秘密；第四類是禁止共享的其他信息。對個人來說，與金融活動相關的信息主要包括四類：第一類是有關個人身份的基本情況，通過公開渠道可以獲取。如發表論文時的作者簡介等；第二類是有關個人身份的重要信息，如身份認證等，相關信息所有權屬于用戶，僅因賬戶開立等需要授權銀行使用；第三類是個人在銀行的交易數據，該類數據的所有權在法理上爭論較大。一方面，私權自治理念注重個體理性，為避免其他主體對私權的干預，部分學者認為個人對相關數據擁有絕對的所有權。另一方面，由于相關數據均是在銀行提供的場所中產生，且由銀行加以維護，因而所有權屬于銀行。從權能看，所有權包括占有、使用、收益和處分的權利，而個人擁有上述各項權能，銀行僅擁有部分權能，故所有權應屬個人；第四類是個人交易數據的合成脫敏數據，所有權屬于銀行；第五類是存貸款利率等對外公開數據。

綜上，共享數據主要涉及企業的生產經營重要信息，有關個人身份的重要信息、銀行交易信息、交易信息的增值信息。其中，前三類信息均需獲得企業或個人的事先授權，第四類信息由銀行和第三方機構協商共享事項。

表1 企業和個人信息共享對照表

（二）銀行機構

隨著大數據技術的廣泛應用，銀行所集聚的數據資源以幾何級數增長，從收益端分析，數據共享能夠提升各行的數據資源，但囿于同業競爭壓力，各行或出現數據保留問題。銀行與第三方機構（非銀行）間的數據共享，考慮到第三方機構掌握的數據資源較少，除少數大型金融科技公司外，多數機構的科技實力弱于銀行，因而實際共享后，第三方機構的競爭力快速提升，但銀行收益不明顯。從成本端分析，銀行在實施開放銀行時，需承擔額外成本，包括搭建并運營數據共享系統等。成本和收益的不對等，必然降低銀行推進開放銀行的積極性。所以，在開放銀行的制度設計中，要充分考慮銀行訴求，努力降低銀行實施成本，并尋求建立額外激勵機制。同時，相對大型銀行，小型銀行的風險承受能力和技術研發能力較弱，在開放銀行推行的初期不適合參與，應推動大型銀行參與。

（三）第三方機構

從需求端分析，金融數據共享的對象包括銀行機構和第三方機構。其中，第三方機構是共享的主體，如何確定參與名單至關重要。“白名單”和“黑名單”是兩種可能的模式，其中：“白名單”是指共享對象僅限于監管部門認可的機構，優點是盡可能降低了銀行機構審核合作第三方的成本，缺點是可能存在監管尋租；“黑名單”是指除因違法等特殊原因不得共享的機構外，其他機構均可參與。該種模式能夠盡可能增加第三方機構數量，但也放大數據泄露等風險。考慮到數據共享的金融消費者訴求（提升服務體驗、降低信息泄露風險）和銀行機構訴求（降低審核成本），“白名單”是比較合適的思路。在開放銀行建設中，如何構建平衡第三方機構和銀行機構利益的變現模式也尤為重要。凱捷咨詢（Capgemini）與歐洲金融管理協會（Efma）聯合發布的《2017年全球零售銀行報告》顯示：54.3%的第三方機構選擇以交易費用形式向銀行支付，但47.8%的銀行更傾向選擇收益共享方式。

圖2 銀行和第三方機構API變現模式偏好對照圖

（四）監管機構

作為銀行新時代的起點，開放銀行對信息保護和金融標準等提出了更高要求，監管在開放銀行體系里至關重要。一是要明確監管機構，牽頭履行共享標準制定、糾紛處理、“白名單”發布等職責。二是制定共享的技術標準，包括共享數據的格式、接口、用戶認證等。三是共享數據的管理，金融消費者應充分了解共享數據的范圍、對象、用途等，同時能實際管理共享進程等。運行良好的開放銀行體系，需建立高效、便捷的糾紛處理機制。在數據共享中，第三方機構使用共享數據已經獲得客戶授權，發生糾紛時，客戶有權直接向第三方機構追責。但從實際執行難度分析，考慮到第三方機構數量眾多、舉證難度大等因素，客戶可能難以直接向第三方機構維權。此時應引入侵權責任判斷，即對于存在信息泄露等違法行為的，客戶可要求銀行機構和第三方機構承擔連帶責任，然后銀行機構和第三方機構根據過錯進行責任分擔。無論責任承擔是哪一方主體，銀行機構都應及時把相關情況報送監管機構。

三、其他國家和地區推進開放銀行的主要做法

自英國首先啟動開放銀行進程以來，全球多個國家和地區予以加入。從推動力量看，全球存在兩類發展方式：一類是以英美為代表的監管驅動式，目前有22個國家和地區屬于這一類；另一類是以中國為代表的市場驅動式，目前有10多個國家和地區屬于這一類。

（一）明確專門機構或組織負責開放銀行標準的制定和實施

英國主要由競爭和市場管理局（CMA）主導開放銀行服務計劃，并由財政部牽頭成立工作組對外發布監管框架。CMA要求英國前9大銀行共同出資成立開放銀行實施組織，負責執行開放銀行相關措施。澳大利亞規定競爭與消費者委員會負責評估消費者權利在開放銀行領域監管、隱私等方面的影響，并牽頭信息專員辦公室、其他監管機構、數據標準機構，共同制定開放銀行相關標準等。中國香港主要由金管局負責開放銀行的組織和實施。

（二）制定統一的開放銀行標準框架或指引

英國2016年3月發布《開放銀行標準框架》，就開放API的設計、交付、管理等各方面提出核心建議。一是數據標準，主要是數據描述、記錄的規則。二是API標準，關于開放API設計、開發和維護的準則。三是安全標準，指API規范的安全性。四是底層治理模式，負責維護開放銀行標準的運行。新加坡金管局聯合新加坡銀行協會發布API指導手冊（APIPlaybook），提供API的選擇、設計、使用等指導，以及數據和安全標準建議。歐盟以《新支付指令》（PSD2）和《通用數據保護條例》（GDPR）為立法基礎推動開放銀行監管。

（三）明確數據開放的范圍及第三方讀取權限

英國《開放銀行標準框架》將銀行數據分為五類：開放數據，是指所有人均可接觸、使用和共享的數據；客戶交易數據，包括客戶銀行清單上的數據，以及與可支付賬戶相關的數據；客戶參考數據，指與賬戶不直接相關的數據，如反洗錢審查數據等；聚合數據，指跨賬戶、跨交易、跨客戶的整合數據；商業敏感數據，指涉及銀行商業機密的數據。根據每類銀行數據所涉用戶隱私程度的不同，對第三方機構設置不同讀寫權限，主要是讀取和寫入兩種。澳大利亞將數據分為客戶提供的數據、交易數據、增值客戶數據等不同類型，其中明確規定部分身份認證數據不納入開放范圍。

（四）探索構建完善的開放銀行治理體系

英國在《開放銀行標準框架》中明確了底層治理模式：一是設立一個獨立機構。職責包括跟蹤并監督開放銀行標準的部署進程，處理客戶糾紛等；二是賦予獨立機構審查第三方的權力；三是創建事故處理機制。用戶遭遇API事故時，有權聯系第三方或數據提供者解決問題。逾期未處置的，可以啟動下一事故處理流程；四是分階段引入治理模式。新加坡建立了具有自身金融市場特色的治理模式，包括API治理框架、API治理參考架構、API生命周期治理、API風險治理等四部分，旨在確保API使用的一致性、有效性、安全性。

（五）強化金融消費者權益保護

美國規定金融消費者在金融數據共享中主要享有授權和充分知曉兩項權利：消費者可以自主授權第三方訪問、使用數據，也可以便捷廢止授權并要求被授權的第三方刪除個人可識別數據；第三方在獲得授權后應將自己使用數據的情況，以易于理解的方式高效披露給消費者。英國建立三大安全防線，確保客戶資料安全：一是建立開放銀行API使用者資格審查制度。想要獲取銀行資料的金融服務者，須先向金融行為監管局（FCA）提出注冊申請，經審核后獲得認證，才有權訪問和獲取。二是針對取得銀行資料的金融服務商，以電子化代碼的方式，建立企業清單，以便銀行能夠確認屬于FCA認證通過的公司。三是如果消費者授權賬戶資料后發生資金盜竊，消費者可以直接找銀行負責，再由銀行與第三方認定責任歸屬。

四、開放銀行的實際效果分析-以英國為例

（一）英國開放銀行實施的總體情況

英國競爭和市場管理局（CMA）于2016年9月啟動開放銀行計劃書，為英國前九大銀行訂立了兩個階段性任務：第一階段，2017年3月開放銀行產品、ATM等標準化數據，此項任務已如期完成；第二階段，2018年1月推出開放銀行計劃，即發布開放銀行讀寫API的標準，第三方機構通過API可以在客戶授權的情況下使用相關資料。目前僅有4家銀行按期完成，另外5家銀行獲得最長一年的緩沖期。英國開放銀行工作組2019年6月發布數據顯示，截至2019年5月，已有132家通過金融行為監管局（FCA）認證的金融服務商參與開放銀行，其中，作為賬戶服務商的銀行機構49家，第三方機構83家，API調用（APIcalls）成功率達95.98%。

圖3 開放銀行參與機構變動圖

（二）英國開放銀行實施的實際效果

英國開放銀行實施機構在2019年6月發布的《開放銀行消費者優先權報告》指出，開放銀行將有效提升消費者的金融服務體驗，幫助他們獲得更優質、高效、便捷的金融產品和服務，預計每年將創造180億英鎊的價值，為每人節省287英鎊，占個人年收入的2.5%。同時，對中小企業的財務狀況產生根本影響。

第一，可以緩解中小微企業融資難題。數據顯示，開放銀行實施前，90%的中小企業僅能從日常合作的銀行中獲得貸款，平臺數量少，金額也難以滿足資金需求。通過參與開放銀行，多數中小企業可以獲得至少3個融資平臺。部分較少合作的銀行，通過開放銀行查看企業日常的交易資料，并確定是否能夠滿足企業的融資需求，有效緩解中小微企業融資難、融資貴。同時，倒逼原有的主合作銀行，為客戶提供更具競爭力的產品和服務。

第二，為第三方機構精準支持中小企業搭建平臺。開放銀行能夠幫助金融服務提供商更好識別和實行正確的策略和商業模式，滿足不同的客戶群體。如英國領先的金融科技公司融資增進公司（Funding Options）通過與移動貸款銀行（Starling Bank）合作，能夠及時查看該行貸款客戶數據資料，準確了解貸款需求，并提供替代性融資選擇，融資金額最低1000英鎊，最高1000萬英鎊，靈活匹配客戶的資金需求。

第三，完善中小企業公司治理結構和財務結構。通過數據共享，第三方機構可以從經營管理、成本控制等多角度提供完善公司財務運行等方面的建議。如英國巴克萊銀行表示，自2018年9月將其他銀行的經常賬戶添加到現有的移動銀行程序中，超過600萬用戶使用該服務管理日常財務，從而幫助了貸款客戶健全財務制度，避免假賬風險。

第四，為個人客戶提供個性化、差異化的增值服務。一方面，客戶通過單一平臺就可以了解自己的支付、理財、信貸等信息；另一方面，經授權的第三方可以為客戶量身定制產品和服務，如提供稅收、支付、出口和養老金支持，客戶能夠獲得個性化的財富管理建議和差異化產品。

（三）英國開放銀行發展存在的困難和問題

第一，中小企業對開放銀行持強烈的懷疑態度。據畢馬威對英國1000家中小企業的調研顯示，47%的中小企業表示不會參與開放銀行，25%的中小企業表示任何情況下都不會共享數據。這表明中小企業的大部分人員對開放銀行不夠了解，且對共享數據存在的泄露風險感到不安。精彩無限（Splendid Unlimited）的研究也顯示，英國僅有9%的成年人使用過API的服務，僅有22%的人聽說過開放銀行這個概念。

第二，客戶不愿付費參與開放銀行。畢馬威的研究表明，超過44%的中小企業不愿意向任何開放銀行服務支付費用；為獲取更便捷收支款項的渠道，24%的中小企業愿意支付一定費用，但25%的中小企業選擇更換服務商以獲得同樣服務。若要分享其數據，中小企業希望能夠節省10%～24%的費用，而開放銀行在起步階段給客戶帶來的收益，一般難以達到這個標準。調查中同時發現，公司規模越大，越愿意為開放銀行服務支付費用。

第三，客戶授權程序較為繁瑣。在英國，目前的授權程序仍是由銀行發送授權碼（OTP）到客戶手機的方式進行驗證，即使消費者已經授權，仍會持續收到“您是否準備把您的資料分享出去”的警告信息。究其原因，一方面，以何種方式授權主要涉及技術問題，監管機構未作出專門規定；另一方面，面臨來自其他銀行機構以及第三方機構的競爭壓力，銀行機構對數據共享并不積極。

第四，系統升級改造的成本高昂。開放銀行發展對銀行APP等相關應用產品升級、IT基礎設施更新換代的要求較高，銀行需要承擔大量的人力、資金、時間等成本支出。從英國的實踐看，考慮到系統改造成本高昂以及共享數據的體量較大等因素，監管機構前期主要選擇9家大型銀行予以實施。但越是大型銀行，系統改造的成本越高、時間越長。

五、我國實施開放銀行的路徑選擇

縱觀各個國家和地區的開放銀行實踐表明，需要監管部門牽頭各方主體，共同研究制定金融數據共享標準，尤其是要充分調動銀行機構參與的積極性。明確開放銀行推進的階段性目標任務和時間安排，確保參與機構按期完成。配套制定完善的金融消費者權益保護措施，組織開展形式多樣的宣傳培訓等。而我國2018年雖然被稱為開放銀行的元年，但多數銀行推出的開放銀行并未真正實現數據共享，更多是和第三方機構的業務合作。缺乏明確的金融數據共享標準，第三方機構資質參差不齊，金融消費者對開放銀行不了解等都是重要原因。同時，作為重大的金融創新活動，開放銀行的實施應首先選擇部分地區進行試點，試點成功后再向全國其他地區推廣。

（一）數據共享對象應以中小企業為主體

我國銀行機構在與個人客戶的關系上并不處于優勢地位，但與企業客戶，尤其是與中小微企業客戶的關系上仍處優勢地位。從四方主體看，監管部門一直致力于緩解小微企業融資難題。銀行機構在獲取企業必要信息的基礎上，按照放貸意愿從強到弱的順序，依然是大型、中型、小型和微型企業。第三方機構一直呼吁銀行向其共享數據。對企業來說，大企業是金融行業的重點營銷對象，較少存在融資難題，共享數據意愿低。微型企業雖然有較強的融資需求，但財務規范程度較低，多數不愿意共享數據。因此，綜合考慮銀行機構、第三方機構和企業實際掌握的數據量及各方意愿，中小企業是數據共享的合適對象，能夠同時滿足數據量較大、融資需求強、共享意愿相對較高等條件。

（二）監管機構牽頭制定數據共享標準

從其他國家和地區的實踐看，在開放銀行推進中，監管機構負責牽頭制定共享標準。我國可由國務院金融穩定委員會授權，央行會同銀保監等部門共同制定開放銀行業務規則與監管框架。一是統一開放銀行的標準規范，包括數據標準、API標準、安全標準等，減少參與機構的成本負擔。二是明確中小企業的授權方式，并根據數據的敏感程度分級共享。根據敏感程度分為低、中、高三個等級，“低”等級數據主要是財報數據，采取一次性授權方式，“中”等級數據主要是財報沒有體現但與企業生產經營密切相關的其他數據，“高”等級數據主要是與企業高管等個體相關、對企業生產經營影響較大的數據，采取授權碼（OTP）等更嚴格的方式。三是明確第三方機構的準入標準，以“白名單”形式發布。初期可以非銀行支付機構和會計師事務所為主。四是明確第三方機構有權獲取的數據種類、數據內容、訪問頻率等，加強信息保護，有序實現跨業、跨界開放。

（三）審慎選擇試點地區

在確定試點地區時，應從監管機構、銀行機構、第三方機構、中小企業等多方面考慮。其中，監管機構應較為熟悉國際開放銀行發展的最新進展；銀行機構應具有較強的資金實力和科研能力；第三方機構數量較多；中小企業需對開放銀行有所了解。在開展時，試點地區可以成立由央行、銀保監、財政、中小企業管理部門等組成的金融監管聯席委員會，在上級授權范圍內，按照收益共享、成本共擔原則，分階段組織實施。優先考慮參與共享的銀行機構、第三方機構聯合共建平臺的方式，以合理分擔成本。監管機構提供政策激勵措施，鼓勵大型銀行機構承擔較高比例的平臺建設成本；使用平臺的收費方式由參與機構協商確定。在試點中，考慮到稅務、海關、公共事業等部門掌握大量中小企業數據，應同時做好與上述部門的溝通協調，盡可能增加共享的數據量。

（四）構建涵蓋全流程的中小企業權益保護機制

從運行情況看，實施開放銀行的國家或地區均在治理模式中建立了系統的消費者保護機制。在我國，參與開放銀行的中小企業在數據共享前應被充分告知提供其數據的銀行機構，擬授權的第三方機構，共享數據范圍等，中小企業以明示方式同意。在數據共享中，第三方機構應及時、高效披露使用中小企業數據的情況。中小企業不愿繼續共享數據的，可以便捷廢止授權并要求被授權的第三方機構刪除相關數據。中小企業共享數據后發生賬戶資金損失的，中小企業可直接選擇銀行或第三方機構負責，再由銀行與第三方機構進一步認定責任歸屬。考慮到中小企業普遍對數據共享存在疑慮，可將包括開放銀行在內的金融科技新業務、新知識納入常態化的金融知識宣傳普及活動，有效提升中小企業的參與度。

六、結論

本文分析了開放銀行涉及的四方主體和運作機制，認為：一是金融消費者授權共享的數據主要包括企業的生產經營重要信息，有關個人身份的重要信息，銀行交易信息等；二是大型銀行是共享平臺建設的主體，但需合理控制和分擔成本；三是以“白名單”形式發布第三方機構名單，并與銀行機構協商確定收益變現模式；四是明確監管機構，并由其牽頭構建共享標準、安全管理、糾紛解決等機制。

從其他國家和地區的開放銀行實踐看，為順利推進開放銀行，需要監管部門牽頭各方主體，共同研究制定金融數據共享標準，尤其是要充分調動銀行機構參與的積極性，讓其從主觀上愿意參與開放銀行；明確開放銀行推進中的目標任務和時間安排，并做好后續的跟蹤督導，確保參與機構按期完成；配套制定完善的金融消費者權益保護措施，依法維護各方權益。

從英國的實施效果分析，開放銀行對緩解中小微企業融資難題、完善公司治理結構、提升客戶服務體驗等都發揮積極作用，但應處理好中小企業關注的信息安全、費用，以及銀行系統改造成本較高等問題。對我國而言，銀企信息不對稱長期以來制約金融服務質效，主要原因就是各主體間掌握的數據“孤島”林立、融合困難。而開放銀行通過應用技術工具，連接金融機構、科技公司以及其他具有客戶基礎的服務機構，能夠實現客戶信息的多維共享，很大程度上解決了信息不對稱問題。但考慮到實施開放銀行的困難和風險，我國可以選擇中小企業數據共享為切入點，確定部分地區進行試點，按照收益共享、成本共擔的原則，分階段組織實施，同時做好與稅務、海關等相關部門的溝通，對中小企業的相關權益做好保護，確保開放銀行達到預期效果。