开放银行发展及监管的国际经验

（一）开展调查，提出促进发展措施

2014年6月，英国开放数据研究所（ODI）等机构针对个人活期账户和中小企业贷款开展调查研究，认为API和开放数据对银行和中小企业发展有利。2016年8月，英国竞争和市场管理局（CMA）提出以开放银行为核心的促进金融机构创新与竞争的措施。2018年1月，包括汇丰银行在内的9家金融机构已共享数据，英国成为首个实施开放银行理念的国家。

2018年7月，香港金管局提出4项开放银行的支持措施：

一是在香港科技园数据工作室网页内创建中央资料库，用于记录所有香港境内银行的API；

二是建议银行在自己的网站上公布每个API的功能、架构、安全性等细项说明；

三是银行应提供示例代码和沙盒，以协助第三方使用API；

四是计划以研讨会、竞赛等形式进行详细探究。

（二）统一标准，制定监管框架，规范市场行为

英国于2015年9月成立开放银行工作组（OBWG），并于同年底发布《开放银行标准框架》，此后由CMA主导开放银行服务计划。《开放银行标准框架》由数据标准、API标准、安全标准三大标准和一个治理模式组成。澳大利亚政府采纳金杜律师事务所的《开放银行调查建议》，于2018年5月出台了开放银行监管框架，对监管原则、推行范围、数据共享机制、实施计划等作出了全面规定。中国香港地区主要由香港金管局负责实施开放银行计划。2018年1月，香港金管局发布《香港银行业OpenAPI框架咨询文件》；同年7月，香港金管局发布银行业开放应用程序接口（API）框架，将API划分为4个类型，包括提供银行的产品和服务细节、产品和服务订阅与申请API、账户信息API、交易API。香港金管局要求银行提供核心银行板块的所有功能，并分步提供4类API。新加坡金融管理局于2018年11月联合新加坡银行协会发布了API指导手册（APIPlaybook），提供了API的选择、设计、使用环节的最佳指导，以及相应的数据和安全标准建议。

（三）加强立法，保护信息安全和客户的隐私

欧盟先后发布实施《新的支付服务指令》（PSD2）和《一般数据保护条例》（GDPR），将一系列创新支付方式纳入监管。其中，PSD2要求银行在获取客户授权后应向满足条件的第三方机构开放账户数据访问权限，GDPR则对包括银行业在内的网络安全、数字经济提出了严格的监管要求和禁止行为。两部法律法规成为数据开放共享的前提，确保了欧盟消费者在法律上拥有对自己账户的控制权。

澳大利亚先后发布《竞争与消费者法令（2010）》与《隐私法案》等法律法规，为开放银行提供了消费者保护的法律基础。美国消费者金融保护局于2017年10月发布《消费者金融数据共享和整合原则》，保障向第三方共享数据时的用户安全。

（四）明确开放的范围和边界，制定各阶段的实施路径

英国的开放银行分三步走：2017年底前完成低敏感数据的分享；2018年实施个人现金支付账户数据的共享；2019年完成企业现金账户及中小企业贷款账户数据的共享。根据不同类型数据开放的难度制定阶段性任务，有利于开放银行的有序、健康发展。澳大利亚明确开放银行覆盖的数据范围和具体执行计划，即客户提供的数据、交易数据属于开放银行范围，而增值客户数据、聚合数据由于会增加客户身份被盗窃的风险等原因不属于开放银行开放数据的范围。具体执行计划包括发布调查意见、政府对调查意见的反馈、立法通过、规则发布、标准公布、银行公开技术沙盒、开放银行生效6个阶段。香港金管局的《香港银行业OpenAPI框架咨询文件》规定，该文件发布后的6个月内金融机构应提供产品和服务信息API，12-15个月内，提供产品和服务订阅与申请API，最后账户信息和交易类API的实施时间将在一年内再行决定。

新加坡没有专门出台监管政策和条例要求行业实施开放银行API，其政府发挥的是引导作用，倾向于开放银行的“有机发展”。

（五）各类型的机构根据发展规模选择发展模式

大型银行一般通过构建自有平台直接开放API，通常采用“自建+投资+孵化”的模式，既内部开发API技术又从外部引入开发合作。

一是通过自建平台对外公开API；

二是成立风险投资基金获取外部资源；

三是通过设立加速孵化器服务金融创新，如BBVA、巴克莱、花旗、美国运通等大型金融机构均多采用这种模式。中小型银行由于受地域、客户群体等因素的限制，主要通过寻找第三方平台为其提供定制化的开放银行解决方案。

我国开放银行发展概况及存在的主要问题

2012年，中国银行提出开放平台的概念，并于2013年推出中银开放平台。2018年被称为中国开放银行发展元年，这一年里，股份制和国有大行纷纷加快了对开放银行的开发。同年7月，浦发银行推出业界首个APIBank无界开放银行；8月，工商银行在半年报中提出要打造无所不包的开放银行；9月，建设银行在中国银行家论坛上表示要将数据以服务的方式向社会开放；招商银行宣布迭代上线招商银行App7.0和掌上生活App7.0，并宣布将借此契机开放用户和支付体系，通过API，H5和App跳转等连接方式，实现金融和生活场景的衔接。

当前，我国开放银行发展中主要存在以下问题。

（一）监管和宏观层面

一是数据割裂造成数据聚合困难。开放银行的核心就是数据的开放共享。现实生活中的数据分散分布在政府部门、金融机构和第三方机构，出于数据保密性及商业秘密的考虑，数据的聚合存在法律上、技术上和思想上的障碍。

二是未明确监管主体。当前我国尚未明确对开放银行监管的主要监管机构，也未出台与开放银行业务相关的指导意见或监管框架，这就造成各金融机构在开放银行业务上“各自创新”。

三是缺乏统一的规范标准及接口接入标准等。目前，监管部门尚未对开放银行的发展提出规范标准，行业的发展缺乏数据标准、API标准和安全标准。此外，由于缺少准入机制，合作各方资质参差不齐，增加了风险性。

（二）金融机构层面

一是存在用户隐私和数据泄露风险。一方面，接入主体较多导致数据安全风险加大。开放银行通过API的方式连接了多方主体，如果任何连接一方存在安全薄弱环节或服务接口有设计缺陷，或权限设置不当都可能提升整个系统数据泄露的风险，进而导致客户数据被非法获取。另一方面，依托互联网渠道导致数据安全风险。API通过互联网共享数据，当接口被恶意占用时，可能导致商业银行业务的连接中断，影响客户正常使用。此外，开放银行接口属于外部服务，面临着访问漏洞等安全风险，一旦漏洞被恶意利用，将导致服务器被入侵等不良后果。如果安全性校验、安全加固等保护措施实施不到位，还存在被应用方恶意篡改、逆向调试、二次打包等风险。

二是业务开放存在风险。从业务流程看，商业银行在提供API服务时，为保证业务的灵活性，会将现有业务流程拆分出更多步骤及多个业务接口，而接口的稳定性和控制的严格程度将影响业务流程是否按照预期执行。此外，业务开放后，还存在纠纷责任认定风险。当前的法律法规尚未针对开放银行建立纠纷责任认定及划分依据，债务偿付、责任认定等机制尚未完善。若发生风险事件，很有可能损害消费者的合法权益。

三是存在操作风险。开放银行的发展依赖先进的技术，而技术漏洞往往不可避免。再者，不适当的操作、信息系统失灵等会引发不可预期的风险，从而增加开放银行在实践中的操作风险。四是系统性风险增加。开放银行的发展模式意味着共享网络内的主体彼此之间相互紧密联系，一家银行或者金融科技公司的风险会迅速蔓延到其他关联方，导致系统性风险。数据的开放意味着风险的开放，数据的使用者更多的是提供服务，风险控制的核心主体仍然是金融机构本身，金融机构需要单方面承担输入风险、输出风险以及内外部风险叠加形成的新风险。这种合作模式需要金融机构提前建立充分的缓冲和隔离机制，以免造成严重的后果。五是专业化人才匮乏。金融机构发展开放银行需要重新构建业务流程、产品设计，并连接多方主体，所需要的人才不仅需要熟练掌握银行业、金融科技、计算机等知识，还需要掌握大数据、云计算、物联网等其他领域的知识。当前，复合型人才较匮乏以及银行业对人才的吸引力降低等成为人才引进的难题，如何打造强有力的专业化队伍是亟待解决的问题。

（三）市场发展层面

一是精确的用户形象刻画容易过度压榨用户资源。精确的用户形象刻画容易导致数据使用方通过诱导来放大用户某些细微的需求，最终达成消费目的；甚至由此养成不良消费习惯，进而影响市场的构成。此外，数据使用方还能通过行为偏好分析、掌握用户的承受极限，导致市场脆弱。

二是精细的用户分级容易加剧金融排斥。开放银行所形成的大数据抓取和分析本质上是对用户质量的区分，曾有过“不良资质”或“资质空白”的群体，容易被现有的金融体系排斥，加剧金融资源分配不均现象。三是短期内资金投入与回收不对等。自主开发开放式平台需要大量的资金投入和技术投入，且资金的回收期较长，前期回报率低。如何有效推动开放银行的发展，是监管层需要面临和解决的问题。

启示及建议

（一）将开放银行纳入监管并建立监管细则

一是消除监管上的障碍，鼓励金融创新。在明确主要监管机构的基础上，监管机构应坚持严监管与鼓励金融创新相结合，并探索建立新的监管方式，通过监管科技等新兴方式建立数字化监管，创建开放银行的统一管理平台。

二是建立完善的事前准入、事中监督、事后退出机制。监管机构需要对金融机构是否具备开展开放银行的条件进行严格的资质审核，加强事中监督，并明确市场退出机制。

三是明确风险的责任边界。监管机构需明确开放银行业务的范围，督促金融机构严格遵守。金融机构应对API接入方开展严格的资质审核，明确双方在风险管理中的职责，督促数据使用者合法合规使用数据。

（二）尽快出台发展开放银行的指导意见，制定分阶段实施计划

一是加强资源整合，促进各方合作共享。监管机构应加强对资源的整合，如对中小规模的金融机构，提供交流合作的机会，推动其联合发展；促进金融机构和科技公司优势互补，建立合作共赢的开发模式。

二是出台指导意见，引导金融市场健康发展。加强对金融机构和数据使用方的引导，禁止“探索市场极限”等行为，避免对市场的过度开发和过度加杠杆的不良影响；此外，可以规定数据的有效时间，减轻精细的用户分级带来的金融排斥现象。

三是制定分阶段实施计划。根据不同接口类型的开放程度，借鉴国际经验，按照低敏感数据的分享-个人账户数据共享-企业账户数据共享等顺序拟定实施计划。

（三）建立统一的开放银行标准规范

监管机构应尽快明确开放银行的接口类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等要求，并对开放银行服务运营过程中的安全监测、风险控制等方面提出基本的安全保障要求，减少开放银行参与者的参与成本，引导市场规范发展。

（四）加强对用户隐私保护的监管

监管机构应当加强对用户隐私保护的监管，督促开放银行参与者严格遵守信息安全法律法规的要求，建立和完善技术安全性和标准符合性评估、风险监测及处置长效机制，建立开放服务风险审核、应用方准入及退出机制，完善信息发布和开放服务风险补偿机制，特别应注重对客户信息、交易数据等内容的保护。

（五）督促金融机构健全风险管理机制，提升风险管理能力

监管机构应督促金融机构增强安全意识，建立健全开放银行安全防范体系。鼓励金融机构应用科技手段强化身份认证和内部管理，定期组织开展风险排查及安全性评估，根据业务重要程度、信息敏感程度对开放银行业务实施分级管理和采取差异化的安全措施，以提升数据安全和风险管理水平。

（六）通过政策便利，支持开放银行发展

建议监管机构建立一个中央资料库，用于记录所有境内银行的API信息，并要求各银行详细说明每个API的功能、架构和安全性等信息，便于其他开放银行参与者高效、灵活地引用银行数据。