來源 |清華金融評論、中小銀行網際網路金融聯盟
作者 |中國社會科學院研究生院博士研究生 劉源源
銀行業正在靜悄悄地醞釀一場顛覆式的革命。應用程式編程接口(Application Programming Interface,簡稱API)的快速發展和新法規的出臺正在將「開放銀行」業務推向風口浪尖。開放銀行以及背後的API經濟看到了數據的互聯價值,發起金融數據共享,一舉把全球金融科技競技帶入下半場,擴大開放已經成為商業銀行維持競爭優勢的新引擎。
開放銀行的內涵
開放銀行指銀行向外部機構開放數據,讓第三方開發人員圍繞來自銀行的數據開發應用和服務,催生出即插即用式的金融科技APIs,依託銀行和外部機構的有效協調與合作,最終為客戶帶來更好的服務體驗。開放銀行有銀行、外部機構、監管方和用戶這四個參與方,銀行是開放的主體;外部機構提供產品開發和技術增值;監管方保障開放銀行生態的穩健運行;用戶是初始數據的所有者和開放銀行的受益人,用戶價值最大化是開放銀行的出發點和落腳點。
開放銀行可以歸納為兩條典型的發展脈絡,自上而下的監管驅動型和自下而上的業務驅動型。歐洲屬於前者,英國、歐盟在開放銀行方面體現了制度先行。隨著歐洲監管部門自上而下的推動,開放銀行之理念逐步清晰而具體。在歐洲,開放銀行與歐盟支付服務修訂法案第二版(Payment Service Directive 2 ,簡稱PSD2)的聯繫日益緊密,其中包括支付發起數據共享和帳戶信息數據共享。歐洲開放銀行的實踐也引起了美國的注意,同時美國市場更多的是自髮型數據共享,即銀行重視數據價值的崛起,金融科技公司更是捕捉到了打通銀行帳戶層與外部場景層的巨大機遇。同時,美國的監管者也在積極跟上,消費者金融保護局(Consumer Financial Protection Bureau,簡稱CFPB)也在認真研究並廣泛徵求社會意見的基礎上於2017年10月18日發布了金融數據共享的9條指導意見。在亞洲,開放銀行更多的也是市場驅動,例如基於API的廣泛連接集,可以更好地共享帳戶和餘額信息,最常見的是通過API進行帳戶匯總,第三方服務商可以讓客戶一次登錄訪問多家銀行的帳戶。不論各個國家和地區開放銀行的驅動因素、開放模式、開放特點如何,共同的是,開放已是大勢所趨。
開放銀行可能是一把雙刃劍。悲觀者認為,開放銀行對於銀行業沒有太多好處,銀行服務將退居底層化,淪為「啞管道」。普華永道近期開展的一項歐洲銀行業調查表明,68%的受訪銀行認為PSD2會讓銀行業的處境變糟,主要威脅在於客戶幾乎越來越不需要與銀行直接互動,銀行的存在感漸行漸遠。樂觀者認為,銀行業當下最大的挑戰來自金融科技公司,銀行業應以更加開放的心態,開啟與金融科技公司的全面合作,通過數據交互催生出更為開放、多樣的銀行業態。銀行應朝著一個集成平臺發展,成為背景才能始終存在。開放銀行是銀行4.0階段的起點,也是銀行服務無界化的開始。
美國的典型模式——市場驅動型
摩根大通開放銀行
摩根大通早已看到數據開放的價值,開放銀行的概念對這家銀行而言並不是什麼新鮮事物。只不過,隨著包括PSD2在內的新法規的引入,開放銀行的勢頭正在增強。新規定意味著銀行業正在與受監管的第三方提供商進行更緊密的合作,從而創造更多的選擇和更好的用戶體驗。API正在加速這一過程,並通過啟用可定製的實時、按需體驗來簡化客戶旅程。
摩根大通正將開放銀行之機遇變為現實。該行正為其全球在線銀行平臺J.P. Morgan Access開發API,提供端對端集成服務。例如,摩根大通已在司庫服務(Treasury Services)中轉向開放銀行。開放銀行和API正在加速創新,並幫助解決與現金管理和財務服務相關的一些傳統難題。手動和重複性任務可以安全地自動化,系統可以更輕鬆地彼此集成,實時共享數據。實時數據的重點不僅在於實時擴展信息,還在於實時獲得響應。一個最尋常的例子就是支付,一個步驟就可以完成發票核驗、供應商選擇和實時支付,從而為客戶和其交易夥伴創造更好的體驗。
花旗銀行API開放
早在2016年,花旗銀行就已經宣布啟動全球API開發者中心,允許開發人員調用花旗銀行多個類別的API,包括帳戶管理、支付、轉帳、信用卡、投資和帳戶授權等。花旗銀行作為一家全球性銀行,已經在澳大利亞、印度、印尼、墨西哥、俄羅斯、新加坡、英國、美國以及中國的香港和臺灣等多個國家和地區開放API。
消費者金融保護局的指導意見
2010年出臺的《多德-弗蘭克法案》明確規定用戶或者用戶授權的機構,有權獲取該用戶在金融機構的金融交易數據。消費者金融保護局有保護用戶共享數據的權力。這些規定為金融數據共享提供了法律依據。
2016年10月18日, CFPB發布經消費者授權的金融數據共享和整合原則,涉及九大方面,具體包括:
獲取。消費者有權從產品和服務提供方實時獲得自己對金融產品和服務所有權和使用情況的信息。消費者授權受信任的第三方從消費者帳戶提供方獲取此類信息代表消費者使用它們。
數據範圍和使用。消費者和經消費者授權可以獲得的金融數據包括任何交易或者與消費者使用情況相關的內容。
控制和同意。經消費者授權獲取、存儲、使用和散布消費者數據的條款要能充分並高效地披露給消費者,要讓消費者理解上述用途,條款包括獲取的頻率、數據範圍和保存期限。
授權支付。經過授權的數據獲取本身不是支付的授權。經過消費者授權的產品和服務提供商要發起支付需要獲取消費者另外的明確授權。
安全性。消費者數據應該以能保護消費者免於遭受數據洩露的方式保存。
透明性。消費者應能了解,或易於查明,他們授權過的第三方如何獲取並使用與他們帳戶和金融服務使用情況相關的信息。
準確性。消費者能預期他們獲取的數據或授權他方獲取或使用的數據是準確和及時的。
對非授權獲取提出異議和解決爭議。
有效的、切實可行的問責機制。
英國和歐盟模式——監管推動
歐洲的監管者一直在思考刺激經濟發展的良方,他們注意到了寡頭壟斷下銀行業生態的僵化保守,並試圖通過用立法確定開放銀行,倒逼銀行業有效服務經濟。2016年1月,歐盟PSD2正式推行生效,規定自2018年1月13日起,所有在歐盟的支付數據都必須對客戶授權的第三方服務商開放,以此鼓勵更多的競爭和創新金融服務。2016年8月,英國市場競爭委員會發布開放銀行項目,要求英國九家最大的銀行允許有執照的公司直接訪問他們的數據。
開放銀行推動英國銀行業為中小企業服務
中小型企業,或員工少於250人,營業額低於5000萬英鎊(約合6370萬美元)的企業,是英國經濟的重要貢獻者,經常被譽為該國的增長引擎。根據英國商業、能源和工業戰略部的數據,2018年英國有570萬中小企業,佔所有企業數量的99%以上,僱用了1600萬人,營業額達2000億英鎊。儘管它們很重要,但在歷史上,中小企業一直未受到銀行充分的金融服務,特別是在融資和支持服務等領域。在金融科技發展之前這些中小企業沒有選擇,因為它們處於一個主要商業銀行寡頭壟斷的市場。
三個相互關聯的新興技術領域的發展開始打破這一切,即雲計算、人工智慧(AI)和開放式程序接口(APIs),帶來更高的效率、更細分的業務領域、更低的服務成本、更多的金融服務參與者等。新的參與者開始意識到中小企業領域蘊含的機遇。
英國政府積極鼓勵新參與者加入(如發放牌照),推動現有銀行加強業務。其具體行動之一就是推動開放式銀行,即允許消費者和中小企業(營業額須達到650萬英鎊)授予第三方提供商實時訪問權限,通過開放式程序接口查詢它們的交易數據。開放式銀行將使中小企業能夠靈活地使用多家銀行,銀行與第三方提供商之間的業務也會更加無縫,支持者認為它是一種更加安全、可靠和順暢的數據共享方式。同時,新一代的小微企業主更傾向於移動在線完成所有工作,願意並準備為更為便捷的服務付費,因為他們認識到這是增值的。
許多新興銀行正在部署尖端技術,以期為中小企業提供更加差異化和個性化的服務。如Starling於2016年7月獲得英國金融行為監管局頒發的銀行執照,該銀行已經創建了Starling市場,允許客戶訪問選定的第三方金融服務,例如基於雲的會計軟體提供商Xero,小型商業保險經紀Zego以及收款和誠信合作夥伴Tailand Flux。
開放銀行改變了英國銀行業的競爭格局。2019年第一季度就有83家新註冊的第三方服務商,除了監管要求的9家開放銀行外,還有10多家銀行自願加入了開放銀行體系。
歐盟PSD2-創新催化劑
PSD2重新定義了歐洲支付生態系統框架——通過促進支付服務和客戶分銷渠道的創新,推動向以客戶為中心的服務轉型。
個人和企業的支付模式將會深刻演變。一方面,PSD2使消費者能夠使用第三方提供商的新付款方式直接向商家付款。PSD2還促成實時支付和收益結算,完善24/7結算基礎設施,消除支付環節的摩擦點,加快消費者購買周期,從需求端刺激經濟增長。另一方面,新模式可以轉變商戶在線銷售模式,降低供應鏈風險,增加了企業營運資金效率,改善供應商與客戶的關係。
PSD2的核心是通過API與所有歐洲銀行的連接。PSD2為銀行提供了開放其API的指引,以使第三方提供商可以融入整個支付網絡中,促進競爭和創新。通過API,歐洲經濟區的消費者或企業的銀行帳戶都可以發起付款交易,而商家都可以通過簡單安全的網關訪問各家銀行在線支付基礎設施,一鍵獲取銷售收入。在未來的支付生態體系建設中,API將作為一個個模塊,銀行的IT開發將依靠這些模塊而更加高效。
高度的互聯將帶來更卓越的服務和更深刻的轉型。API帶來的互聯和靈活使第三方能以快速、簡單和標準化的方式訪問銀行大量數據。因此,API不僅成為重新定義的支付生態系統的基礎模塊,而且還能為整個支付行業提供更大的價值。在銀行的各項業務中,從市場預測到獲客,從風險評估到業務管理,各個環節都需要洞察力。洞察力可以通過數據配置、處理能力和通信速度的提升來實現。而API作為互聯的線索,將扮演關鍵角色。
客戶對於數據的使用權限和隱私保護始終是重心。歐盟通用數據保護條例(General Data Protection Regulation, 簡稱GDPR)於2018年5月在歐盟生效,對違規行為處以巨額罰款,罰款最高為2000萬歐元或者其全球收入的4%(取高者),法規強化了對客戶信息使用知情權、數據使用協議理解權、數據「被遺忘權」的保護。鑑於該法規廣泛的國際影響力,全球化的銀行在協調各個地區的法規和標準(例如歐盟的PSD2、英國的開放式銀行標準、美國的多德-弗蘭克方案)時將面臨特別的挑戰。
除了美國、歐洲、英國外,日本、新加坡、澳大利亞、印度等國家也在開放銀行領域紛紛行動。2015年印度在「數字印度」項目中提到開放API,2016年新加坡發布了API指導手冊,2017年日本官方表態鼓勵金融機構開放API,2018年澳大利亞發布開放銀行指引等。
中國實踐
中國的開放銀行更多的是自下而上地由市場推動,監管也處於標準制定階段。短短幾年內,中國的金融科技公司已經成為電子商務、行動支付和小企業貸款的主導力量。通過挖掘銀行尚未覆蓋的服務群體,這些公司已逐漸建立一個生態系統,且目光聚焦於進一步的創新。早在「開放銀行」概念正式提出前,擁有場景的網際網路巨頭和銀行業先驅者就已經率先試水開放銀行模式。
傳統銀行的「陣地」
中國的中小企業面臨融資難問題,金融科技公司視之為機會。2018年,中小企業的不良貸款率為6.2%,其中大部分缺乏抵押物。雖然近期從監管到銀行都加大了對中小企業的資金供給,但銀行對中小企業貸款的成本依然高於大型企業客戶。收益最大化需要低成本模式和高周轉率,這正是金融科技的用武之地。金融科技公司雖然可以為中小企業提供貸款,但在資金體量上卻無法與傳統銀行相比。這正是傳統銀行的優勢領地。網商銀行、微眾銀行和京東數字科技藉助大數據和模型可以為傳統銀行評估並推薦客戶。之後,銀行對這些推薦客戶進行風險評估,進而確定是否發放貸款。而前者通過為銀行推薦客戶收取小額費用。潛在客戶不一定是銀行現有的客戶,這種模式也為較小的城市銀行開闢了新的業務領域。
金融科技公司的「攻勢」
金融科技公司支持銀行進行互聯。由於傳統的系統和財務限制,銀行無法快速將新技術應用於業務發展,金融科技及其子公司很清楚這一點,因此它們積極支持銀行採用技術。例如,微眾銀行用免費的軟體和公開界面在開源區塊鏈運行其交易,可以使其他方能夠輕鬆連結,同時使其操作現代化。微眾銀行支持小型銀行加入區塊鏈,所提供的技術完全是開源的,加入的小型銀行可以輕鬆連結到微眾銀行的系統,而不必從頭開始構建。隨著金融科技巨頭尋求擴大其業務範圍,通過公開資源平臺利用銀行的技術接口就是探索的下一個領域。
5G科技的引領
5G勢力引領開放式銀行架構。中資銀行正尋求5G科技的應用。四大行均與華為合作開發網上銀行業務。在中國各銀行尋求精簡後臺技術之際,華為建議銀行建立智能數據產品,以便更全面地掌控持有的客戶數據;建議銀行應該轉向開放的銀行體系結構,使其能夠接觸到技術平臺,這些平臺將使他們的業務現代化,而無須執行構建所有的組成部分。事實上,隨著技術的發展和競爭的加劇,國內開放銀行的發展也開始加速。2017年,以華瑞銀行、微眾銀行等為代表的民營銀行首先布局。2018年以來,股份制銀行和國有大行也加快了腳步,先後對外發布開放銀行相關平臺或發展規劃。
央行的監管態度
央行意見首提開放銀行生態建設。人民銀行2019年印發的金融科技三年規劃提出了27項主要任務,其中的第9項就是開放銀行生態建設:「拓寬金融服務渠道,做強線上服務,豐富金融產品和業務模式,為客戶提供全方位、多層次的線上金融服務,加快制定線上線下渠道布局規劃和全渠道服務實施方案,增強跨渠道服務水平。藉助API和SDK等手段深化跨界合作,在依法合規前提下將金融業務整合解構和模塊封裝,藉助各行業優質渠道資源打造新型商業範式,實現資源最大化利用,構建開放、合作、供應的金融服務生態體系。」人民銀行2020年2月發布了《商業銀行應用程式接口安全管理規範》,明確商業銀行可以通過API直接或者SDK間接連接方式提供應用程式接口服務,供外部機構通過網際網路渠道調用,以實現銀行金融服務能力和信息技術能力的對外輸出。用戶通過應用方向銀行提出請求,銀行返回的處理結果可以直接反饋給用戶或者先由應用方接收再行反饋。隨著開放銀行實踐和金融生態圈的快速演進,可以預見中國的監管頂層設計、指導意見也將逐步到位。
國內商業銀行的「開放之路」
以開放的心態擁抱變革
面對似乎無法阻擋的時代浪潮,銀行應積極擁抱變革,著手開展一系列動作。真正有遠見的銀行,不如勇敢跳上開放銀行這趟時代列車,抓住利差制度紅利逐漸弱化下的轉型新機遇,主動去探索在開放式架構和新生態下的生存之路。一是形成自身對於開放銀行的戰略定位,明確自身的生態圈戰略、與金融科技聯合創新戰略等。二是前瞻性地思考監管環境演變以及可能帶來的影響,充分考慮監管強制要求開放以及自身主動開放兩種情形。三是吃透關於數據安全和客戶隱私方面的政策規定,分析監管演變趨勢,確定應對策略,研究在硬軟體能力上如何更好地匹配好數據要求。四是探索與金融科技和非金融服務公司的數據共享協議,保持前瞻性;釐清利益分配關係,在合作伊始就要對整體收益和分配方案達成戰略共識。五是積極推動數據治理等重點領域的組織變革,建立敏捷工作模式,實現對快速迭代平臺的有力支撐,從而快速響應市場變化。
嚴控數據隱私和信息安全
安全是開放的前提。銀行經營的是信任,第三方提供的服務日新月異,但是客戶的信任卻不會一日建成,這也是銀行能夠成為底色存在的理由。開放銀行的成功推進是基於完善的數據保護的。在開放銀行建設進程中,存在數據洩露、網絡安全、合作方欺詐、法律合規等風險,數據金礦有可能被有心之人另作他用。應確保數據所有人對於數據的佔有、使用、收益和處分的權利。對保護個人數據的隱私和安全性的護欄的需求也給基礎架構帶來了巨大挑戰。美國消費者金融保護局對於金融數據共享的9條指導意見,以及歐盟議會通過的GDPR具有較強的參考價值。例如,為了保護客戶對於數據的控制權,摩根大通銀行推出了一個名為「安全帳戶」(Account Safe)的新工具,該工具可讓用戶了解哪些應用程式正在使用其數據,並使他們可以控制其數據的使用,就是對第6條指導意見的積極回應。
更加重視金融科技
以人工智慧、大數據、雲計算等為代表的金融科技底層技術,深刻影響著銀行的內部架構和外部環境。科技力量不僅僅帶來一項具體的技術或業務解決方案,而是金融科技時代銀行業戰略轉型的重要方向。可以看到,技術催生的「攪局者」、那些非傳統金融機構正在無孔不入蠶食銀行業市場。他們看到了銀行服務的不足與空白,如中小企業客戶,他們找到了這些客戶,並通過強大的數據分析和服務體驗,抓住了商機;他們嗅到了中國龐大的消費者支付市場,並取得了巨大成功。銀行應該從中獲得反思和激勵。無論現在的收益如何,無論監管提供著什麼樣的「保護罩」,都不能故步自封。正如摩根大通CEO傑米·戴蒙所言,「大公司一夜之間崩潰,競爭對手吃掉了你的午餐,這些事時有發生。矽谷的時代即將到來。」商業銀行不能低估金融科技的力量,要以時不我待的危機感、緊迫開放的心態迎接金融科技時代的到來,打贏科技競技的下半場。