X

开放银行之国外监管1.0

纵观全球,英国、欧盟、新加坡、美国等各国都已经涉猎开放银行领域,为传统银行探索新的发展方向,开放银行在不同国家的发展体现着各国的经济社会特色。

欧盟、英国是最早对开放银行监管的一批,自上而下推出监管策略与法律文件支持,英国的《标准框架》中的三大标准和一大治理模式作为监管框架的核心,并且这一框架也为其他国家和地区效仿。新加坡对开放银行的监管就很大程度参考了英国的框架,同时,新加坡又融入了新的管理模式:对API分类,不同的API给予不同的操作指南;澳大利亚也不例外,在借鉴英国的监管模式之外又提出了四种推行方式和三种数据传输构想。美国与上述国家略有不同,美国政府主要采取被动监管态度,主要是依靠市场驱动开放银行监管的发展。

这些国家和地区虽然监管方式不尽相同,但是都为完整的开放银行监管体系提供了新的思路。接下来我们将分两篇推送为大家介绍这些国家对于开放银行的监管。

欧盟监管体系

在全世界来看,欧盟是最先开始对开放银行的监管问题有所注意的,建立了较早的监管体系并加以改进,到现在为止,欧盟的监管体系都是世界各个国家借鉴的对象。

1.PSD、PSD2

2007年,欧盟委员会发布PSD,为建立第一欧元支付区提供了法律基础。从政策执行效果上来看,支付行业中的消费者权益保护得到加强,交易成本逐步下降,交易效率提高.但随着欧洲经济的数字化进程发展,部分新兴企业也提供网上支付,PSD在部分领域难以跟上支付行业创新和消费者需求变化的不发,与个别法规之间存在一定冲突,无法满足现有支付的监管需求。

随着移动和网络支付渠道的涌现,PSD已经越来越无法覆盖许多新的支付产品和服务。因此,对PSD的修正提上了日程,力图聚焦于纳入一系列支付创新,从而达到促进市场竞争,强化消费者权利和保护,以及推动统一欧盟市场形成的关键目标。

2015年11月,欧洲议会和欧盟理事会发布新的支付服务指令(Payment Service Directive 2)。PSD2自2016年1月12日起正式生效,根据其要求,欧洲经济区内各国(包括28个欧盟成员国以及3个欧洲自由贸易联盟成员国)必须在2018年1月13日前将PSD2转化为相关法律。PSD2是欧盟国家的开放银行立法基础,也引领了全球范围的开放银行监管趋势。

在PSD2中,主要针对信贷机构、支付机构、第三方支付服务提供商等相关支付类机构和企业提出相应规范性要求,建立了开放银行核心监管要求。在这里主要对PSD2进行介绍。

2.核心监管要求

(1)将新兴第三方支付纳入监管体系

将支付发起服务提供商和账户信息服务工商两类新兴第三方支付服务提供商纳入监管体系。新兴第三方支付服务提供商将在欧盟层面注册。

(2)制定支付账户开放规则

要求以商业银行为代表的金融机构向第三方开放用户的账户和交易数据,同时要求降低电子交易欺诈的分管,加强对消费者数据的保护。

(3)强制实施用户认证体系

要求对欧洲各大银行及支付公司强制施行线上付款认证体系,旨在为消费者提供更好的服务,并更好的保护其在欧洲的支付义务。

3.对银行的影响

PSD2对银行来说既是挑战也是机遇。当客户能够在第三方应用上完成包括账户查询、请求交易在内的银行服务需求,并且享受更具个性化和及时的增值服务,银行面临着客户关系被削弱甚至取代的风险。然而,传统银行仍然深得客户的信赖,尤其当涉及个人金融数据。银行可以利用PSD2,创新甚至改革商业模式,将监管压力转化为制胜手。

同时作为客户的AISP和PISP,利用客户数据产生分析和洞察,考虑和第三方共享分析结果,共同服务客户。受到来自监管要求和同行竞争的双重压力,开放是银行唯一的战略优先选择。

PSD2的开放银行理念掀起了全球开放银行监管趋势。在银行、金融科技企业的倡议声中,全球各地政府监管部门相继出台相关指导和政策规范。


英国监管体系

英国在开放银行方面一直处于世界领先地位,在欧盟发布的PSD及PSD2基础上,建立起了一套适用于英国的监管体系。由CMA组织建立OBWG,建成后,又与其一同管理英国的开放银行业。英国的监管体系可以看作CMA与OBWG共同探索的过程。英国的开放银行监管系统为后来者们提供了可供借鉴的范本。

1.CMA指导行业级开放银行改革

(1)历史进程

2013年8月,CMA发布面向个人和中小企业的商业银行服务情况市场调查报告,报告指出:客户在使用银行金融服务时,更换银行的比率较低,新兴银行和中小银行无法与传统大型商业银行竞争,和小型机构相比,占有绝大部分市场的大中型银行无需努力竞争就能留住客户,限制了市场创新和客户体验。使得客户使用金融服务的支出高出合理值,市场竞争不充分。2014年英国政府委托的研究也表明建立对API使用的规范有助于商业银行、合作伙伴、客户等多方受到正面的影响。

为了要彻底落实开放银行的核心价值,CMA首先要求英国前9大银行(简称CMA9),包括巴克莱银行、劳埃德银行、桑坦德银行、丹麦银行、汇丰银行、苏格兰皇家银行、爱尔兰银行、爱尔兰联合银行集团、英国全国银行,建立与采用统一的开放银行API共同标准,并强制银行将顾客资料通过这套开放API,提供给授权的第三方业者使用。2016年9月,CMA9成立负责落地执行开放银行措施的组织——开放银行实施实体(Open Banking Implementation Entity,简称OBIE),并成立由数字银行、金融科技企业、支付机构、PSD2实施相关人员组成的顾问小组。

2017年3月,CMA9如期发布银行服务数据API;2018年1月,如期发布个人/企业账户交易数据API。为了鼓励更多的银行和第三方采用CMA9开放银行标准,OBIE在2017年11月宣布将PSD2涵盖的所有账户类型纳入项目范围,全面加速PSD2合规。


(2)相关影响

CMA开放银行措施兼具广度和力度,以促进竞争、改善客户权益为目标,体现了开放银行的价值主张。对于比价平台、金融服务平台和其它第三方金融科技企业而言,可通过标准接口获取银行服务数据和客户账户数据,从而加速金融创新。对于个人和中小企业客户而言,搜寻、选择、切换银行服务变得更加便捷,客户体验将有显著提升。

2.OBWG发布《开放银行标准框架》

(1)OBWG的建立

2014年9月,应英国财政部与内阁的要求,Open Data Institute和监管政策咨询机构Fingleton Associates联合发布了一份题为《数据分享和银行的开放数据》的报告(又名“Fingleton Report”)。报告认为,进一步的数据开放将促进英国银行业的竞争,建议制定银行数据分享标准,以便为第三方提供标准、统一的API。

基于上述报告的结论,2015年英国财政部承诺将出台针对英国银行业API的公开标准。在财政部的牵头下,OBWG于同年8月成立,旨在研究并制定详尽的开放银行框架与标准。为平衡各方利益,OBWG的成员由银行、开放数据、消费者与商业团体等各行各业的专家组成。

次年3月,OBWG正式对外发布了《开放银行标准框架》,这也是OBWG首个工作成果。《开放银行标准框架》在结合英国银行实际情况的基础上,充分考虑了PSD2和GDPR的要求,就开放API的设计、交付、管理等各方面提出了几点核心建议。


(2)内容

《开放银行标准框架》由三大标准以及一个治理模式组成,建立了三道防线。三大标准具体是指数据标准、API标准与安全标准,底层的治理模式则是维系开放银行标准有效运行的基石。

i.数据标准-使用者资格监察

开放银行中的数据标准,主要是数据描述、记录的规则,包括对数据展现、格式、定义、结构的共识。OBWG将数据分为五类。

a.开放数据,指所有人都可以接触、使用、共享的数据类型,例如:ATM位置数据。

b.客户交易数据,指包括客户银行清单上的数据,以及与可支付的账户相关的数据,例如:支付信息。

c.客户参考数据:指与账户不直接相关的数据,例如:信用数据。

d.聚合数据:指跨账户、跨交易、跨客户的整合数据,例如:某区域的现金存取量平均值。

e.商业敏感数据:指涉及商业机密的银行数据,例如:某些客户的平均利润率。

第三方企业对银行数据的存取权限有两种,一种是只读类资料,第三方服务业者可读取银行提供的资料,但不进行任何更动,是属于低风险;另一种则是可读可写类,业者除了能读取资料,还能更新原本银行提供的资料,或是会提供支付行为需要写入行为的第三方业者,则属于高风险。这两类权限均需通过开放API向第三方机构开放。

ii.API标准-技术防线

API标准是关于开放API设计、开发和维护的准则,主要涉及架构风格、资源格式、版本控制等各个方面。OBWG将API标准纳入框架的目的是为了统一开发者从不同提供者处获取数据的体验。

该标准的技术要求可以概括为以REST为架构,HTTP为传输协议;JSON为资源格式。技术方面要求旨在更高的API成熟度要求以及统一的数据标准。

此外,开放银行API还应满足版本控制的要求并建立一个API标准分层管理机制。要求开放银行在一个稳定的核心标准之上,通过加强API的可拓展性来鼓励创新。处于底层的是核心API标准,即常见业务领域内的API标准,包括一些共享资源,例如身份、核心账户信息、核心产品信息等。核心的更改会对每一个API产生或多或少的影响,因此需要被谨慎管理,尽量降低变更的频率。在此基础上,可在顶层进行API可拓展性延伸,从而满足快速创新迭代的产品需求。

iii.安全标准-消费者保障

安全标准是指API规范的安全性,目的是为了保护消费者的数据安全。OBWG在用户同意、身份认证、欺诈监控、用户授权四个方面提出了相关意见。

a.用户同意:为保障用户利益,银行与第三方共享数据的过程必须征得用户同意。用户需清楚了解向谁授权、第三方征得授权的目的,授权时间三个授权条件。、b.身份认证:数据提供者需要与第三方共同合作,对验证方法严格掌控。

c.欺诈监控:API应支持OOB(带外管理)认证以确保发生变更情况时,用户可以收到提醒。

d用户授权:为防范对用户授权的恶意使用情况,提出以下几点建议:给予用户及数据提供者撤销数据授权的选择;要求数据提供者设立一种可以让用户阅览与取消所有授权的机制;为授权划分风险等级;对授权的持续时间进行约束;API连接和数据传输需加密。

iv.治理模式

为确保开放银行标准的落实和推进,OBWG呼吁采用一个有效的治理模式来统筹全局,具体包含五条措施。

a.设立独立机构,主要职责为:跟踪并监管开放银行标准的落实和部署进程,处理客户纠纷,确保数据安全性,维护API的可靠性与可拓展行以及其他开放银行框架下提出的要求。

b.赋予独立机构审查第三方的权力,未来也可以授权别的组织执行。

c.要求第三方机构持有保险,考虑到开放银行潜在的风险隐患,金融市场行为监察局有责任指导第三方机构购买相应的保险,并评估与之相对应的风险程度。

d.创建事故处理机制,当用户遭遇API相关事故之时,有权力联系第三方或者数据提供者来协商解决问题。如果逾期未处置,可以启动下一事故处理流程,交由独立机构处理。

e.分阶段逐步引入治理模式,提倡循序渐进、分阶段进行而不是一蹴而就,应遵循PSD2要求,但也不应局限于此,并考虑资金成本相关问题。

3.实施计划

除了三大标准和一个治理模式,OBWG在《开放银行标准框架》中还详细列出了一份未来三年的实施计划,介绍了对于OBWG计划实施四个阶段的完成时间以及详细目标。