蔡凯龙:用数据共享的镜子,鉴别开放银行的真伪
【摘要】真正的开放银行,触及的是银行的灵魂,只在表皮瘙痒的都是在蹭概念。
近两年全球银行业最热门话题非开放银行莫属,而这股热潮也刮到中国银行业。
开放银行(Open Banking), 根据Gartner的定义,是指在法律和监管保障数据安全性的前提下,银行通过开放客户账户信息系统等方式,向已经授权可信第三方服务商及其他合作伙伴等共享数据、算法、交易、流程和其他业务功能的模式。
开放银行最早由英国在2015年提出,并成立开放银行工作组,制定开放银行标准。笔者在2017年发表金融数据共享系列3篇,以金融数据共享为框架,全面和系统地阐述开放银行在全球的发展。当时笔者对国内发展开放银行的前景并不乐观,反而对英国的发展抱有极大期望,原因是国内还鲜有人知道开放银行,而英国已经形成行动计划逐步推进,加上国内银行之间对数据的不重视,有些银行内部数据都还没整合好,谈数据对外开放还为时过早。
而到如今,两年之后,开放银行的全球发展大出笔者意料之外。英国推进比预期缓慢,英国9大银行按计划本该在2019年3月实现移动端数据开放,可是截至目前只有4家银行达到目标,严重延误进程。而开放银行在中国的热度飙升。2018年被称作中国的“开放银行元年”,浦发、建行和招行等多家银行,不断展开在开放银行领域的探索,到了2019年,开放银行更是成为众多金融论坛的热门话题,相关报告和文章层出不穷。
如何看待如今红极一时的开放银行呢?
开放银行针对的是银行对数据的垄断所形成的壁垒,因为这样的数据壁垒影响了市场的有效竞争。因此开放银行的核心,是数据共享。评估开放银行的成败,关键是抓住数据共享核心本质。本篇就以开放银行的角度,聚焦金融数据共享问题。
数据不是一般的商品,有着极其独特的性质。数据所有权不容易明确,没有一个统一的交易市场,数据的价值很难衡量,数据不会因为被使用而消耗。金融数据除了具有数据的共性外,还具有敏感性、安全性和隐私性的特性。
解决好数据共享带来的问题和挑战,是开放银行能否成功的关键。
开放银行的原则
金融数据共享涉及参与者各方的核心利益,因此,需要有合理的顶层设计机制,平衡各方的利益得失,才能推动开放银行的健康持续发展。
因此,在开放银行的顶层机制设计中,需要遵循以下3个原则
· 原则一:创造价值
开放银行的目的,就是打破数据垄断和促进竞争与创新,提升效率,降低信息孤岛隔阂所带来的社会成本,这是推动开放银行的唯一动力。对用户和第三方金融科技公司来说,开放银行的价值非常直接:用户能通过开放金融数据共享选择更好的服务和更低的费用,而第三方金融科技公司通过开放银行能提升自己的竞争力和创造力。对监管来说,开放银行能提升信息利用率,降低竞争成本。对银行来说,开放银行所创造的价值并不是那么直接,只有在银行通过开放银行形成平台效应,逐渐成有规模的生态体系的时候,开放银行的价值才能体现出来。
· 原则二:公平合理
表面上开放银行的直接受益人是用户和第三方金融科技公司,付出最多的是银行,尤其是大银行。因此在顶层设计,不仅需要用监管条例迫使银行做出改变,同时须有机制激励大银行。比如在数据共享的收费上,保证大银行能通过某种合理的方式收费。再比如在事故责任划分上和合规上,银行不应该因为开放银行而增加不必要的责任和合规成本,因此开放银行不能太复杂,成本也不能太高昂。同时在机制设计上也要照顾小银行,毕竟,它们无法像大银行一般承担开放银行庞大的技术和运营开支,所以各国在推进开放银行的时候,大多先让大银行去摸索,等成熟了再推广到中小银行。
· 原则三:透明安全
开放银行行为的具体发起者和授权者是用户,只有让用户对开放银行体系中的个人数据的安全性和隐私性放心,他们才会愿意使用,开放银行体系才得以产生效果。因此在开放银行机制设计上,要特别强调个人数据的安全性和隐私性,同时规则要公开、透明,让用户能够了解自己的数据是如何在被安全保护下被第三方公司使用的。
开放银行中数据共享的6大关键问题
在上面三个大原则下,开放银行要解决共享金融数据中的几个关键问题:
· 第一,明确金融数据的类型的所有权和使用权
金融数据有3类:
第一类,用户的个人资料的原生数据,包括身份认证、地址、家庭资产等,这些所有权属于用户,只不过为了开户需要,授权银行使用,但是不对外共享。
第二类,用户在银行的交易原始数据,包括账户余额、交易明细等,对这些数据的所有权在法律上有些争议,有人认为该数据所有权是个人,因为是由个人产生的,有人认为该数据所有权是银行,因为是在银行提供的物理和电子场所中产生的,而且银行花费巨资进行管理和保护。笔者倾向于前者,认为个人交易数据所有权属于个人,银行虽然提供系统并进行管理,但这些是银行运营的需要,并不改变数据所有权,由于银行的参与,所以银行自动成为这些数据的管理者,并获得这些数据的使用权。当然个人也可授权银行对特定第三方开放共享。
第三类,用户原始交易数据的分析合成脱敏数据,这类数据是银行通过自己独特的能力取得的,是一种增值服务,本身包含银行的商业秘密,因此这类数据所有权在银行,银行可以自行决定是否对第三方开放使用权,不需要经由用户同意。
第四类数据,银行产品的公开数据。比如利率、费用、服务条件、分行和ATM地点等。
明确金融数据所有权和使用权,是共享的基础,为后续界定共享数据范围,确认共享对象和制定共享技术标准铺平了道路。
· 第二,共享数据的范围
明确金融数据的所有权和使用权后,开放银行的共享数据范围相对就容易界定了。开放银行开放的是以上数据分类中的第二类和第四类,即用户在银行的原始交易数据和银行的产品公开数据上。唯一例外的,可能是由用户个人身份认定KYC结果,这种数据源自于第一类个人资料的原生数据,但通过银行提供的服务产生,最后形成跟客户身份认定相关的敏感数据。经过用户同意,银行对指定第三方共享KYC认定结果并收取一定费用,符合第一原则——为客户创造价值和第二原则——公平合理。开放银行共享的历史数据的时间跨度不宜过长,否则会增大银行的成本,建议在3年内,这样时间跨度既不会过短从而无法体现共享数据的价值,同时又不会过长,因为银行一般会保存数据5~7年,有些国家甚至要求数据保存期在10年以上,3年数据共享时间对大多数银行都不会是很大负担。
· 第三,共享对象
金融数据共享对象仅限于官方认证的第三方机构名单,即实行白名单制。这样安排的出发点在于遵循公平合理的原则。银行作为开放共享数据的主要操作者,不应该承担过多审核第三方责任,否则就没有动力去推动开放银行。应该让直接受益方去承担审核的成本。然而作为直接受益方之一的用户,是没有能力去审核的,只能由另外的直接受益方,即第三方金融科技公司最适合承担这样的成本。第三方金融科技公司,按照监管方发布的审核标准,申请注册官方使用共享数据的认证。当然,对监管方来说,白名单增加了监管的成本和责任,但是,在开放银行中,监管方也是间接的受益方,因此由监管方来提出审核标准也符合公平合理原则。但是监管方不宜设定过高的审核标准,这样会阻碍第三方金融科技公司参与的动力。而缺少第三方金融科技公司参与的开放银行,整体效益无法最大化。
· 第四,共享的监管
监管在开放银行体系里至关重要,因此必须明确监管方的责任和权利。各国的监管体系不一,比如英国由竞争与市场管理局主导;美国由美国消费者金融保护局主导;澳大利亚由财政部主导;日本由央行和金融服务局共同监管;中国香港、新加坡和韩国都由各自的金融管理局主导。而在我国,理论上应该由央行主导,协同银保监会和网信办,一起作为开放银行计划的推动者和最终监管者。
· 第五,共享数据的管理和争议解决机制
在透明安全的原则指导下,需要让用户对共享数据的范围、对象、时间和用途等一目了然,同时能方便地管理共享,比如撤回共享授权、改变共享时间跨度、改变授权时效等。
由于数据共享后,理论上数据使用方可以有无限多个,因此作为用户,最担心的就是在数据共享出现问题后,企业之间互相推诿,踢皮球,投诉无门。这种担心会遏制用户使用开放银行的动力。解决的办法是,让用户有清晰的问题解决途径,有效的投诉渠道,以及有明确的责任和分工。由于用户委托银行开放共享数据,因此任何共享数据管理上的争议,直观上先找银行解决。但是银行并不一定是最终责任方,银行有责任去调查投诉事件发生的缘由,认定最终责任方,或许是银行系统管理不善,或许是第三方金融科技公司失误。最终责任方应该承担其相应的义务和惩罚,符合公平合理的原则。不论如何,银行有义务把事件和调查结果上报给监管机构,这有助于监管机构评估开放银行体系运作,制定更好的第三方金融科技公司认定标准。
· 第六,共享的技术标准。
共享的技术标准包括共享数据的格式标准、传输接口标准、安全标准、用户认证标准等。目前主要通过API(Application Programming Interface,应用程序编程接口)来实现。成熟的技术标准大大降低了参与开放银行数据共享的成本,提高了共享的效率。出于公平合理的原则考虑,应该由监管方设定标准。监管方在设定技术标准时,不仅要参考各国情况,也要考虑本国国情和行业通用习惯,同时尽量减轻小银行和第三方金融科技公司的参与成本,因为它们相对大银行,在技术实力和技术投入上有限。一般监管方在制定标准时,都会成立一个标准制定工作组,里面有多方利益相关者,比如大银行、小银行、第三方金融科技公司、用户代表,同时还有独立的技术专家和学者,以达到公平、公正的目的。
· 第七,数据共享的隐私和安全
隐私和安全是所有数据使用管理避不开的一个重要环节。相对而言,银行对客户数据的隐私和安全保护是比较成熟的,然而开放银行实施的结果,是让数据共享到第三方金融科技公司。中国的第三方金融科技公司早期对数据隐私和安全并不重视,一度因为对数据的滥用而被诟病,因此对开放银行的数据安全和隐私保护构成威胁。可喜的是,中国的国家互联网信息办公室关于《数据安全管理办法(征求意见稿)》公开征求意见的通知,对数据安全和隐私保护提出更高的要求。相信这一管理办法的最终实施,能够把全社会对数据安全的重视和保护提升到更高的台阶,也从管理和制度上,为开放银行数据输出到第三方金融科技公司,提供有力的保障。
当然,监管方在制定隐私和安全保护的规定时候,切忌过犹不及。毕竟,开放银行的数据共享第一原则是为客户创造价值,需要促进竞争和创新,降低效率,这些在很多时候和数据的隐私和安全是有冲突的。因此在这一点上,就要看监管方的平衡艺术了。
真假开放银行
开放银行在全球已经成为一种趋势,各国都在探索适合各自国情的发展路径。开放银行这两年的实践表明,要达到开放银行的最终效果实现正面效应并不容易,很多国家都采取分步实现的策略。
按照实现的目标和开放数据的难易程度,分为四个阶段。
第一阶段,开放产品数据,即前文提到的第四类数据,比如利率、费用、服务条件、分行和ATM地点等。这种数据不涉及任何个人信息,而且是公开可得的,因此最容易实现。
第二阶段,开放银行的业务能力和服务,比如银行支付功能、资金管理、风控和信贷服务等,在此阶段也不涉及银行自己的用户金融数据,同时还可以扩展业务,因此大多国家和银行都热衷于推动此阶段的开放银行,但是这个阶段的开放银行没有涉及用户核心数据共享,严格地说,不属于真正意义上的开放银行。遗憾的是,一些机构声称自己为开放银行的先行者,其实只不过套用开放银行的概念,借机炒作和营销而已。
第三阶段,有条件地共享银行的用户数据,比如规定第三方金融科技公司不能使用该数据来设计银行同类产品参与竞争。这种开放银行只是形像而神不像,没有真正达到开放银行共享数据,没有达到促进竞争和创新的精髓。
只有到第四阶段,无条件共享银行的用户数据,才是我们讨论的真正意义上的开放银行。
目前,只有英国、欧盟、澳大利亚真正在推动以第四阶段为目标的开放银行。当然,在第四阶段中,也也有两种。一种是先让部分大银行先开放,然后再让小银行加入,比如英国和澳大利亚。另一种是分步开放数据共享的读写权限,比如澳大利亚就先开放共享数据只读模式,未来看情况实现共享数据的可读写,而英国和欧盟更加彻底,直接一步到位,全部开放数据可读写权限。
其他国家的开放银行,更多还处于第一第二阶段,中国的银行目前大多在第二或者第三阶段。
按照中国金融业的现状和国情,分阶段实现应该是最稳妥的实施步骤。千里之行,始于足下。但是我们始终要牢记最终目标,而不能在摘完最容易的果实后,就止步于金融数据共享的核心问题面前,毕竟这才是开放银行的真正精髓。
我对中国的开放银行的发展前景依然比较悲观。虽然目前开放银行成为中国金融界的热门话题,但是开放银行的推进都停留在早期阶段。数据是银行的核心资产,是银行的灵魂,而真正的开放银行,触及的就是银行的灵魂:核心数据共享。除非银行竞争激烈到影响生存,或者监管方有极大的魄力去推动竞争,否则我认为中国的银行不会主动触及自己的灵魂,即不会主动开放核心金融数据。
当然,我也希望我的预测和两年前一样不准,这对广大银行用户是件大好事,我亦乐见其成。