中国互联网金融协会
English Version | 网站地图
首页 协会概况 协会动态 政策法规 行业标准 行业自律 协会会员 行业研究 会议培训 投资者教育 党建之窗
   
陈立吾:引导开放银行规范发展
2018年12月10日

  近年来,金融科技发展迅猛,引领金融业不断变革,催生出一系列新产品、新模式。开放银行是近年以来广受关注的金融科技新业态,是传统银行经营理念与战略思维的新升级。借此机会,我就开放银行应用与发展谈几点意见,供大家参考。

  总体来看,我国银行金融服务模式经历了从网点经济、APP经济到API经济的演进过程。

  

  一是网点经济阶段。早期商业银行进行展业的重心置于线下渠道,通过传统实体网点,依托后台的账户系统,以面对面方式为客户提供存贷汇等金融服务。这一阶段,商业银行将账户增量和网点拓展放在首位,围绕优化完善网点实体功能,吸纳与服务客户,但在发展过程中,银行服务供给与需求不匹配的矛盾日益突出。对银行而言,设立实体网点需要投入大量人力、物力、财力,实体网点运营效率与成本矛盾凸显,网点扩张与业务增长不成正比。对客户而言,在固定时间、固定地点,金融服务模式难以匹配高效便捷的服务需求,银行服务门槛较高,业务办理体验较差,因此网点经济局限性是其发展的天花板。

  二是APP经济阶段。随着互联网技术的快速发展与移动终端的广泛普及,金融科技公司借助其强大的科技实力,将自身与客户、场景紧耦合,构建基于超级APP的金融生态圈,商业银行为拓展金融服务供给渠道,不甘其后,也将金融服务向移动端迁移,纷纷打造出手机银行、购物商城、综合服务的APP,但实际效果并不理想,客户接触度不高。一方面,外部市场空间趋于饱和。据统计,目前支付宝与微信支付市场份额总额超过90%,老百姓移动支付习惯已经基本养成,移动金融APP跑马圈地的时代已经结束,商业银行即便投入巨额人财物等资源,也很难撼动市场格局。另一方面,内部服务供给相对单一。商业银行APP大多只是单纯将线下服务向线上迁移,缺乏差异化产品与服务,同质化竞争严重,难以满足客户个性化的金融服务需求。在内外因素共同影响下,商业银行APP经济发展也遭遇瓶颈。

  三是API经济阶段。近年来,商业银行扭转发展理念,依托金融科技不断释放创新的原动力,变革金融服务模式,通过开放银行借船出海、换道超车。开放银行以API/SDK为核心,综合人工智能、大数据、标记化技术,通过银行业务整合结构和模块分装,支持合作方以乐高拼接的方式,在不同应用场景中自行组合与创造,为金融服务敏捷嵌入合作方应用程序,为消费者提供高效便利的金融服务,有助于商业银行打造以自身服务能力为核心的API经济,为下一轮的金融服务竞争聚集发展优势。

  一方面,开放银行形成全新的业务形态。过去商业银行与各行业合作通常局限于支付、信贷等单个业务领域,但开放银行使客户能够触及商业银行的综合服务能力,促使银行服务不再只存在于实体网点和电子渠道,实际上是银行服务的一次蜕变。另一方面,开放银行构建了全新的事态体系。商业银行基于开放银行打造“平台+生态”,将金融服务无缝嵌入实体经济各领域,打破了银行服务门槛和壁垒,拓展了生态边界,重塑了价值链,与合作方一道推动银行服务无处不在、无微不至。

  总体来看,在金融科技赋能下,开放银行推动银行金融服务渗透到老百姓日常生活方方面面,具有服务场景化、业务扁平化、参与多元化、能力综合化的特点,成为商业银行提升获客能力、增强用户黏性的新途径,对于促进银行业转型升级,更好地服务实体经济具有重要作用。

  开放银行在有效提升银行金融服务效能的同时,也使得风险敞口更多,风险管控链条更长,风险洼地效应更加明显,风险形势出现了新的特点、新的变化。

  一是数据泄露风险。开放银行连接了服务的提供方、交易发起方等众多主体,数据泄露风险增多,任何一方数据保护存在薄弱环节,都可能危及金融数据安全。一旦开放银行服务接口存在设计缺陷或权限设置不当,恶意攻击者就可能非法获取客户数据,应用方也可能违规使用交易信息。近年来,API安全漏洞造成的数据泄露事件屡见不鲜。比如,拥有7亿用户的移动应用Instagram为Facebook提供的图片共享服务,但由于API安全漏洞,直接导致Facebook大量用户信息被黑客非法获取,数据泄露风险不容忽视。

  二是网络安全风险。依托互联网渠道向客户服务,开放银行接口具有公开共享属性,易被恶意调用并发起拒绝式服务攻击,可能导致商业银行业务系统服务不可用,造成业务连续性中断。开放银行接口服务属于外部服务,面临着访问漏洞等外部应用安全风险,一旦安全漏洞被恶意利用,将导致服务器被入侵等不良后果。如果安全性校验、安全加固等保护措施不到位,存在被应用方恶意篡改、逆向调试、二次打包等风险。

  三是业务开放风险。从业务流程再造角度看,为提升开放银行业务灵活性,商业银行将现有业务流程拆分,分装为多个服务接口,如果控制不严,将会导致业务流程无法按照预期执行。比如,交易验证流程拆分过细,易造成原有安全控制强度降低,甚至被应用方恶意绕过。从消费者权益保护角度看,当前针对开放银行的消费者保护体系尚不完善,资金偿付、纠纷投诉等机制有待健全,发生跨机构、跨行业纠纷时,可能出现权责不清、相互推诿的情况,损害客户合法权益。

  四是外部风险方面。开放银行促使商业银行与其他行业合作更加紧密,对商业银行外部合作方的管理提出了新的要求。在事前,如果缺少健全的准入机制,将导致资质不佳的合作方浑水摸鱼,增加风险事件的发生比例。在事中,外部合作方可能超范围使用开放银行服务接口。比如,将日常转费接口用于购买理财服务,或将接口二次打包提供给未经授权的调用方使用,将对商业银行的反欺诈、反洗钱等业务风险管理带来新挑战。

  针对开放银行的金融服务模式带来的新特点、新变化,我就如何引导开放银行规范发展谈几点意见。

  一是加强顶层设计,出台开放银行指导意见。当前,开放银行的快速发展引起了全球金融监管部门的广泛关注,中国、英国、德国等国家均已开始研究开放银行规范发展的监管政策。下一步,人民银行将在平衡安全与发展关系的基础上,充分借鉴国际经验,结合我国银行业发展实际,建立健全开放银行业务规则与监管框架,加快出台指导意见,针对不同类型的银行业金融机构,不同种类的金融业务,设置开放银行的服务红线,明确允许开放的信息接口类型、服务范围等关键要素,推动开放银行更好地支持制造业、服务业,尤其是小微企业、民营企业等实体经济发展。

  二是坚持标准先行,制定开放银行的技术规范。开放银行涉及银行与合作方之间大量的数据、接口、系列和业务规则,标准作为通用语言是规范开放银行应用不可或缺的前提与基础。因此,金融业要充分发挥标准的规范引领作用,加快制定开放银行服务接口与安全规范,从设计、研发、部署、运维等阶段加强开放银行生命周期的安全管控,明确开放银行服务部署、接口设计、安全集成、安全监测、信息保护、风险控制等方面的技术要求,引导开放银行规范发展。

  三是强化风险管理,构建开放银行的安全体系。开放银行归根到底还是银行,无论业务形态、服务模式如何变化,其风险本质是不变的。金融机构要把风险管理作为发展开放银行的根基和命脉,强化安全意识、恪守安全红线,加快建立开放银行的安全管理体系,充分应用存储加密、访问控制、标记化信息安全审计等措施,强化开放银行信息保护能力,加强开放银行身份认证与内控管理,严禁非法存储、窃取泄露个人金融信息,定期组织开展风险排查与安全评估,提升开放银行信息安全保护水平,切实维护银行的百姓口碑和社会形象。

  四是应用监管科技,提升开放银行的管理水平。开放银行是金融与科技深度融合的产物,给传统的监管手段和方式提出了新挑战。金融业要加强监管科技研究与应用,利用现代化的科技成果,优化监管手段,探索新型监范式,综合利用人工智能、大数据、区块链等信息技术,强化开放银行合规管理,采取系统嵌入、应用对接等方式建立数字化的监管协议,搭建开放银行的统一管理平台,探索开放银行服务接口在反洗钱、反欺诈领域的应用,推动监管模式由事后监管向事中转变,不断提升金融监管的专业性和穿透性。

  今年是开放银行发展的开局之年,恰逢我国改革开放40周年。40年来的实践充分证明,开放是推动经济社会发展的强劲动力。党中央提出“创新、协调、绿色、开放、共享”五大发展理念,我们要不忘初心、牢记使命,紧紧围绕服务实体经济、防范金融风险、深化金融改革三项任务,抓住开放银行的发展战略机遇,加快推动银行业转型升级,为我国经济社会发展贡献更大力量。

  (本文为中国人民银行科技司副司长陈立吾在第二届中国互联网金融论坛上的讲话,根据现场速记整理,有删减,未经作者本人确认。)