段曦

【观点|荐文】开放银行理念的缘由、实施和挑战-互联网金融法律评论


荐文栏目第628篇；
感谢央行观察（ID：YANGHANGGUANCHA）授权转载，文章版权归原作者所有；
作者：周科，央观智库专栏作家
编辑：陈越异，上海交通大学凯原法学院硕士研究生

未来将是一个强者恒强的时代，数据运用水平越高、产品服务越有针对性、附加价值越显著则效果越明显。

认为银行将从一个地点逐渐演变成一种行为的观点看起来很激烈，但实则不无道理恒阳花苑，而事实上银行业的数据统一及共享已经在路上，挑战和变革就在眼前，详见下文阐述。
1、开放银行理念发轫
近年来，开放银行（Open Banking）及其内涵的数据共享理念在欧美国家兴起。这是一种用户无需提供密钥、即可与其账户所在机构之外第三方分享和掌控自身金融数据的新方式，即基于数据的安全共享，用户可以在一个界面上管理不同的账户，根据自身需要比较、选择产品以及更好地管理资产（比如避免透支费、平衡现金流等），倡导者认为这将促进金融领域的竞争、有利于为用户提供更好的服务。鉴于普遍认为银行持有最主要的金融数据源，推动数据共享的行动就以开放银行为切入点如火如荼地展开。英国率先推行开放银行战略，包括汇丰银行在内的9家机构已于2018年1月13日起共享彼此数据[i]，使英国成为首个落地实施开放银行理念的国家。其他地区和国家也在积极推进，如欧盟2015年底颁布第二代支付服务法令（PSD2）[ii]，于2016年生效、2018年实施，旨在打造支付领域的全欧盟单一市场，其中要求银行向第三方机构开放支付接口；美国消费者金融保护局（CFPB）2017年10月发布金融数据共享九条指导意见[iii]，劳动竞赛实施方案保障向第三方共享数据时的用户安全；澳大利亚政府在2017-18年预算中宣布将引入开放银行机制，2017年8月发布实施问题报告[iv]并征求公众意见。总之，开放银行及背后的金融数据共享，正在引发金融行业的大变革[v]厦大附中。
我们再把目光聚焦到英国这个先行者，回顾开放银行理念的发展历史。英国政府探索实施开放银行，源于其希望成为全球金融科技中心和引领全世界银行业开源数据进程。2014年6月，开放数据研究所（ODI）等机构受英国政府委托，针对个人活期账户和中小企业贷款领域开展课题研究：通过应用程序接口（API）和开放数据（银行将客户数据与第三方共享）对于竞争和用户有何影响？研究结论[vi]认为，此种对银行数据的更佳运用有助于增进银行业竞争、中小企业生产率和消费者福祉，且建立API标准对用户、银行和第三方机构均有利。鉴于此，2015年1月，英国财政部（HMT）征集如何实施该报告建议的意见[vii]，根据收到的40份反馈于3月发布回应[viii]，表示将与银行和金融科技公司密切合作完成API设计的细化框架。应HMT要求，开放银行工作组（OBWG）于2015年9月成立，旨在研究如何使用数据以帮助人们开展金融业务，并于年底发布《开放银行标准》[ix]以指引如何创造、共享和使用开放银行数据。此后主导的接力棒交给竞争和市场委员会（CMA），其此前于2013年6月启动面向个人和中小企业的银行服务情况市场调查，2016年8月发布的报告[x]指出
用户更换银行的比例极低，使得传统的、大型的银行竞争不充分，而新兴的、小型的银行则发展举步维艰，消费者的支出高于合理值（如高昂的透支费）、且并未从新服务中获益易赛诺。
因此CMA提出采取一揽子改革措施，确保用户享受到技术进步的好处并使小机构能够公平竞争，其中核心即是开放银行。应CMA要求，由英国9家最大的个人和中小企业活期账户提供方（CMA9）成立开放银行实施机构（OBIE）施艾敏，致力于制定标准和指引、推动开放银行的落地实施，后续进展见文章开篇所述。
2、数据割裂和信息孤岛
大数据是现今最流行的关键词之一，2017年底毕马威评选的中国金融科技企业50强中，大数据与数据分析类公司占比最高、达36%。大数据决胜力的根源来自连接，其基础是数据的开放、流通（酝酿深度连接）和规范、标准化（促使数据可用）。而现实中各类数据往往割裂、分散，信息孤岛林立，各方凭借自身资源去各个地区、机构获取数据或建立数据共享，数据市场跑马圈地的潜规则暗潮涌动，源头黑灰白难以分辨、使用中法律瑕疵若隐若现，拥有完整的或有别于对手的数据库即成为镇店之宝、无论其来源是否说得清道得明。
目前，除了用户以外，我国金融领域相关数据的持有方或提供方（部分或全部储存、拥有数据本身及相应权利）主要有三类主体：传统金融机构，包括银行、证券、保险等，涉及用户金融资产、负债、交易信息；第三方机构，包括支付平台、电子商务平台、物流渠道等以及彼此结合体，涉及用户非金融交易信息（如购物、销售、物流等，有助于用户行为模式分析）和部分金融交易信息；政府机构，包括金融监管机构、税务海关、公共事业部门等，涉及跨机构、跨平台全量交易数据（如银联、网联等）和征信数据（如人行征信、百行征信等），营业收入、税款、进出口业务量等经营数据，以及水电煤等公共事业数据（有助于佐证企业经营情况）小q书桌。
数据的割裂对于各方而言都是难以言说的苦楚。对于用户（个人、企业），一方面无法及时、全面、有效地了解、比对和享用不同机构的产品和服务，现有的金融产品超市等网站、软件或是仅归集产品、但无法给出量身定制的方案，或是需要用户提供密钥以登陆账户后才能做出建议、面临安全隐患；另一方面在一家机构积累的交易、信用记录等无法迁移、借鉴，被迫提升账户和业务粘性、阻碍达到最优均衡。目前，传统金融机构在大数据浪潮冲击下，正在积极挖掘内部数据潜力、试图形成客户全景画像以指导业务开展，但实际仅能基于本行业务画出割裂的图谱、行外部分成为黑箱；此外，一些品类数据的缺失、不足或低质量，使得所谓人工智能的自我学习也无处着手蛇冠。我国一些金融科技公司和原本非金融领域的实业企业等第三方机构已全面介入金融业务，累积了大量金融数据，但主要与电销商品的交易相关和面向个人、相对小额的理财、贷款、保险等业务数据，数据的深度、广度、量级尚有明显差距，业务场景向传统金融机构腹地推进有限。《大数据产业发展规划（2016－2020年）》要求在政府治理和民生服务中提升大数据运用能力，2017年12月8日习近平总书记再度强调运用大数据提升国家治理现代化水平、推进政府管理和社会治理模式创新，可见少林龙小子，数据割裂引致的信息孤岛对于政府落实上述要求也是一大掣肘。
因此，对我国而言，亦亟待推动金融数据共享。而与欧美情况显著不同，我国第三方机构、政府机构资源掌控能力很强、资源丰富，开放银行不应仅局限于银行等金融机构，还要涵盖前述各个数据持有主体，把碎片化的数据、行为串联起来形成全景图谱、产出定制化服务方案，以实现用户利益最大化和多方共赢反串黛玉 。
3、数据共享的前提和保障
以银行为例，其持有的金融数据可以分为三类：可公开的数据，如金融产品种类、报价（汇率、利率、汇款费用等）；经授权后可共享的数据，如用户账户余额、交易记录；应私有的数据，如ftp（内部资金转移定价）、EVA（经济增加值）等内部管理数据。
为了做好数据共享，需要标准化、格式化以减少数据创建、发布、共享的难度和损耗。首先是形成共识、建立数据标准。先看年度报告此类公开信息，我国上市银行在证券交易所公布的年报[xi]与官网版本大同小异：PDF炉中煤，格式、栏位、披露内容不统一（千人千面），有的不可复制或复制后乱码、错位，给银行业分析对比增加很多不必要的负担，往往被迫需依赖第三方数据公司的汇总结果（但由于数据搜集整合工作量大，不免有与年报数据差异之处）。而与公司网站上为投资者关系服务的年报不同，美国证监会网站公布的10-K（年报）、10-Q（季报）等是经审计的报表，其特点包括：HTM，格式、内容结构化（千人一面）[xii]，易于查询、比较、复制。因而可以借鉴美国经验，先从银行年报的结构化开始形成统一的数据标准，明确数据描述、记录、发布规则和数据形态、质量等。其次是建立数据传输的标准，明确API设计、发展和维护的要求，形成不同的机构、系统（数据库）、端口间互通的一致性夜半笛声 ，使得源数据和结果可读取、可加工、可使用。其中需要考虑成本在各机构间如何合理分摊，如数据资源和标准化、API开发和维护、数据传输等成本。其三是安全标准，确保API传输前中后各个阶段的数据安全。安全问题需要高度关注，2017年爆出的年度信息泄露事件多因黑客入侵造成，如美国信用机构Equifax约1.45亿名用户的社保号码等敏感数据泄露、雅虎30亿名用户均遭账号信息窃取等。以前需要攻击很多主体才能获得足够的数据，数据共享后有价值的潜在“肉鸡”（被黑客远程控制的机器）范围大幅扩大，通过注入一个API或许可以渗透到其他机构，爆破共享链条上最薄弱的一环就可能获得全部数据。个人的防御力更低，一台设备（手机、ipad等）沦陷就可能导致相关联的个人所有数据泄密，并可能被黑客借数据传输而潜入API以伺机进入机构级的数据库。便利性（简化、高速）和可控性（安全、复杂）是一对难解的矛盾，在我国上一轮传统银行与金融科技的较量中，死守着安全至上（同时过于复杂）的传统银行完败，这一次的全面数据开放中会是怎样？至少可以认为，如果没有严格的安全保障，数据共享带来的连锁效应会让入局者都会面临巨大压力和重大损失。此外，待相关事项运行稳定后，需落实数据标准、共享、使用等方面的立法，以形成数据共享的长效机制。
授权的主体、方式也是需前置考虑的问题。一个方向是授权实质由数据的持有方（即各类机构）主导，比如当机构处于垄断或寡头垄断时，授权成为用户不得不做出的决定，否则就无法使用机构提供的服务；或是大部分用户并没有时间、精力和专门技能去全文阅读、理解授权协议的内容。所以，授权协议、流程也应该统一御米油，应明确授权方式、期限、取消、救济、仲裁等条款，防止出现制式的霸王协议。另一个方向是主要由用户把控，此时需要关注两种现象：仅共享好的数据（如优质的信用记录等），而不共享差的数据（如欠款），造成数据偏差；仅向个别机构共享彻夜流香，对其他机构保密、即信息屏蔽，不同机构因不同信息范围得出结果有差异。解决思路首先是界定需共享的信息范围，如要求所有涉及金融（是否可外延需商讨）的信息都应满足共享条件，保证全面性的同时可监控多头授信、民间借贷等；要求所有涉及金融业务的主体都需要有金融牌照、提供API，用户签约时即表明认可同意共享。其次是界定需共享的机构，如按照安全水平、信誉度等进行机构分类，最高层级的默认可以获得授权得到共享信息，其他类别由用户自主进行批量或单独授权。但难点是如何进行合理分类、是否会产生寻租？
4、开放之后会怎样
各类机构的数据开放、共享后，原有的业态将发生变化。以金融机构为例，未来的业务模式主要有三种：仍主要基于原有库存数据服务客户；通过API共享数据给其他机构，再内嵌进后者基于所共享和自身数据提供的产品以服务存量和新增客户；从其他机构API获取数据、与原有数据整合后迭代获客体系，吸引新的客户和辅助服务现有客户，其中，与企业经营中采购、销售、物流等数据结合有助于向交易银行等形态转型。假设同一类机构获得数据相同，则核心差异就在于后续处理，如对数据整合、加工、提炼，分析客户行为、接受业务能力等特征，从而进行精准匹配的产品推送、智能投顾等等老上海葱油饼。其延伸是提供在线中小企业会计系统、个人财务分析系统，可以进行资金缺口分析（与交易、物流等相关联）、还款提醒等，并提供规范的财务报表、税收计算甚至个人事项申报中的相关财产信息。而进一步与相关系统打通，可实现创新金融产品叙做、如应收账款质押（需企业、金融机构、质押主管部门的系统对接），全体系的反洗钱链条构建，等等。可见，未来将是一个强者恒强的时代，数据运用水平越高、产品服务越有针对性、附加价值越显著则效果越明显。此外，目前谈及的主要是数据共享，如果第二步能实现交易打通，即可在一个平台上直接操作在其他机构的资金（超级网银可看做是雏形）、产品等，则掌局者的获客、吸金能力更强，粘性、效应更长久持续。
从用户角度看海螺共和国，通常认为开放后可以获得更多的选择、经比较后能够做出更优决策阎崇年被打，但实际情况会较为复杂。服务、产品的特性很少是单一维度的，如除了理财产品的价格外，还需看产品及机构的风险是否可量化、能否提供经风险调整的收益，相关的条款和细节如投资总天数（不同则还需考虑再投资风险）、申购冻结时间、赎回费率和到账时间等有何差异。而且还需要考虑个人风险偏好等问题河北德育网，就如同买车时即使对比各个车型的参数也难以自动得出结果彧的读音，因为萝卜青菜各有所爱。同样的，各机构设计产品时也会留有差异，以避免完全对比（如现在电商渠道和实体门店的电器型号往往不同），还可能会利用锚定效应、设定有利于机构的可比较基准。因此，还需有独立于利益主体的分析比较技术的迭代进化，以给用户一双“火眼金睛”。当然还要认识到，作为社会类、群居型动物，人们对于看得见、摸得着的真实面对面社会交往仍有偏好和心理需求，即使AR、VR、AI等加持后的小冰、Siri们再善解人意，来自客户经理（当然也需在各项技术的辅助下）的人文关怀亦是精神世界的一种寄托。姜正阳
机构的规范化和监管的统一协调则是趋势。有观点认为，开放银行背景下金融牌照不再是银行等的护身符，其他机构不用申请牌照就可以通过数据共享开展金融服务，但事实上，审慎监管、确保金融机构稳健经营、防范金融风险是各国共识。如英国要求所有使用开放银行提供服务的主体，均应由金融行为监管局（FCA）等监管者授权；而我国2017年中央金融工作会议、经济工作会议重点提出要强化监管、提高防范化解金融风险能力，监管更已明确表示坚持金融是特许经营行业、不得无证经营或超范围经营[xiii]，近期整治市场乱象中亦涵盖未经审批设立机构并展业[xiv]（即未持牌经营）。其中需注意，不同数据、主体涉及不同领域的监管，要研究如何协调、统一，防止过度监管、多头监管和监管真空。
5、开放银行和数据共享的隐忧
开放银行在带来便利等优势的同时，还应防止出现一些不利的倾向。
一是对用户的精确刻画，产出诱导行为模式、过度压榨用户资源。便利、速度和简化的成本可能是失去对于资金的有效把控、隐私和安全减少：开放银行理念在大数据时代提出，必然会与物联网、人工智能等相关概念结合在一起，相形之下你将成为一个透明的人，基于高质量、强有力的数据可以推断出你的需求、兴趣点和优先排序；甚至如果数据认为你需要什么，即使本来并不那么需要、通过模式诱导会使得你也认为你需要。其实，早在数十年前美国国务卿布热津斯基即提出让占多数的一般人安分守己的奶头乐理论（tittytainment），即放大和利用人性弱点，把令人陶醉和充满感官刺激的事物充斥人们生活，就能使人们沉醉于“快乐”之中、丧失思考能力。全数据时代则更加易于进行此种操作，隐私被上传即意味着被剥夺创造性和反思能力，比如看了几本容易吸引眼球的三俗文学作品，周围一切媒介就都会按此偏好推送类似作品，将使人被动地沉溺于文化垃圾[xv]。本来实际上人们会因为其他因素而适度改变或修正行为模式，但前述数据深度分析和高速反馈却会强化固有行为模式（路径依赖），让人身陷外界营造的“懒人人设和收益”而不能自拔。此外还有通过行为偏好分析进行交叉销售时的底线掌握问题，比如过度加杠杆、正好“量身定制”到用户能承受的上限，但假设遭遇一点问题就会使其陷入困境，这一幕已在次贷危机中以劳苦大众丧失抵押品赎回权的惨烈情景出现过。
二是对所谓低质量群体的全面排斥和碾压喀丝丽。首先，机构通过更为准确的客户价值评价和风险筛选机制以精准剔除不希望服务的对象，缺乏接入网络渠道或不习惯使用网络的群体亦遭到抛弃，数字化手段反而加剧本已堪忧的金融排斥。就如《黑镜（Black Mirror）：Nosedive》里Lacie所遭遇的，每个人的实时评分与各类社会认可（如地位、名声等）和资源（如医疗、教育、机票预定等）挂钩，高分者处处便利、低分者寸步难行。其次，易于产生羊群效应。数据的公开化、透明化泛小滥，加上如果技术手段亦大同小异则决策容易趋同，对好客户一拥而上，对有不利迹象的客户提前抽贷、加剧经营恶化，成为压死骆驼的最后一根稻草。
总之，对于开放银行等大数据时代的创新理念，既需要积极鼓励、勇于尝试，更需要理性探讨、细致分析，充分考虑其利弊、影响。在具体实践中，可考虑先放入监管沙箱中观测运行，一方面防止造成系统性风险，另一方面也能够同步更新监管思路；待充分掌握其运行规律、制定出能够促进其良性发展的合理制度框架后，再逐步引导其进入真实世界之中。
[i] Open Banking Implementation Entity. Open Banking Begins Managed Roll Out. 13 January 2018.
[ii] Directive (EU) 2015/2366.
[iii] CFPB. Consumer-authorized financial data sharing and aggregation. October 18, 2017.
[iv] The Treasury, Australian Government. Review into Open Banking in Australia - Issues Paper. August 2017.
[v] 蔡凯龙《FT中文网》“金融数据共享”系列：《引发全球金融变革》（2017年11月3日），《监管和银行在挑战中前行》（2017年11月9日），《被逼入墙角，银行该何去何从？》（2017年11月17日）。
[vi] Open Data Institute, Fingleton Associates. Data sharing and open data for banks: a report for HM Treasury and Cabinet Office. September 2014.
[vii] HM Treasury. Consult Call for evidence on data sharing and open data in banking. 25 January 2015.
[viii] HM Treasury. Data sharing and open data in banking: response to the call for evidence. March 2015.
[ix] Open Banking Working Group. The Open Banking Standard. 2016.
[x] CMA. Retail banking market investigation. 9 August 2016.
[xi] 如上海证券交易所材料可参见：http://www.sse.com.cn/disclosure/listedinfo/regular/.
[xii] 10-K报表表样可见：https://www.sec.gov/about/forms/form10-k.pdf.
[xiii] 周小川. 守住不发生系统性金融风险的底线. 《党的十九大报告辅导读本》，人民出版社，2017.
[xiv] 《关于进一步深化整治银行业市场乱象的通知》（银监发[2018]4号）。
[xv] 王诺诺. 全数据时代. 科幻世界，2017（8）：6-21.
点击查询互联网金融法律评论热点文章：
【新书|推荐】《互联网金融法律评论》总第10辑
【独家|前沿】互联网第三方支付中未授权支付的责任认定路径——以契约关系下的附随义务为视角
【独家|前沿】“去中心化”互联网金融时代的监管困局与制度安排 ——基于区块链底层技术的比特币的法律与经济分析
【独家|前沿】论区块链技术背景下信用制度的挑战与机遇
【独家|前沿】大数据视域的税收执法冲突、风险及其防范研究
【独家|前沿】解密区块链技术与支付业务之新融合：Ripple解密及其监管
【独家|前沿】“一元夺宝”模式之法律性质及监管思路
【约稿启事】《互联网金融法律评论》2017年约稿启事


互联网金融法律评论
本平台由上海交通大学互联网金融法治创新研究中心团队运营
每日推送法学、金融学、财政税收学等最新研究成果
定期分享外文文献导读和实务原创精品
感谢您的关注与支持！
原创投稿及学术交流请联系：
jifl_sjtu@126.com
长按下方二维码识别关注我们

声明：
1、“互联网金融法律评论”微信公众号登载信息仅供学习和研究参考素材，并不能直接适用于具体案例或投资参考。虽然本平台已致力于提供准确和及时的资料和信息，但本平台不能保证每条信息的准确度，亦不对其中任何观点、内容或版式给阁下造成的任何损失承担责任。
2、如果您认为本公众号的内容对您的知识产权造成了侵权，请立即告知，我们将在第一时间核实并处理。