第二章 开放银行:银行成为平台
您可以在百度里搜索“经济增长新动力(套装共12册) 艾草文学(www.321553.xyz)”查找最新章节!
第二章 开放银行:银行成为平台
开放银行:概念、架构与冲击
开放银行的提出与驱动因素
开放银行来自“顶层设计”
开放银行由英文Open Banking翻译而来,由英国提出,起源和推广是英国和欧盟关于银行业的数据共享和开放数据的探索,是一种利用开放API技术,让提供商访问客户财务信息的安全方式。一方面,可以让客户更详细地了解自己的账户;另一方面,客户可以通过第三方提供商享受更好的金融服务。
2013年,英国竞争与市场管理局(Competition and Markets Authority,简称CMA)启动了面向个人和中小企业的银行服务情况市场调查,并于2016年公布了调查结果:银行用户黏性较强使得传统的、大型的银行竞争不充分,以及新兴的、小型的银行发展举步维艰,消费者并未从新服务中获益。为了确保用户享受到技术进步的好处,并使小机构能够公平参与竞争,英国竞争与市场管理局采取了以开放银行为核心的一揽子措施,并最终形成了《2017年零售银行市场调查令》(Retail Banking Market Investigation Order 2017,以下简称《调查令》)。根据《调查令》条款,英国竞争与市场管理局创建由英国9家最大的个人和中小企业活期账户提供方(CMA9)构成的开放银行实施机构(Open Banking Implementation Entity,简称OBIE),旨在制定和交付《调查令》中详述的开放和通用API标准,并负责实施和维护这些标准。2016年,开放银行实施机构正式对外发布了《开放银行标准》(以下简称《标准》)。
英国的行动事实上是在配合欧盟的相关协议。2015年年末欧盟通过了PSD2,要求欧洲银行把支付服务和相关客户数据开放给客户授信的第三方提供商,并要求成员国在2018年1月13日将其落实在各国法律中正式实施。2019年9月,所有欧盟境内的公司都需要遵守该指令。PSD2是基于2007年施行的《支付服务指令》(Payment Services Directive,简称PSD)修订而来,主要做了以下三个方面的修订:一是将金融科技公司和支付巨头等新的市场参与者纳入游戏规则,鼓励用户使用第三方提供商(Third Party Providers,简称TPP)提供的支付产品去管理个人或企业财务状况,并重新修订他们享有的权利和义务,禁止将付款成本转嫁给消费者。二是扩大了业务的地理范围,新指令不仅适用于双方支付服务提供商在欧盟境内的情况,也适用于只有一方支付服务提供商在欧盟境内的情况。三是增加了支付、账户访问、数据获取的安全性要求,更好地保护了消费者权益和数据安全。
PSD2要求在网上银行服务、发起和处理电子支付方面实施强客户认证(Strong Customer Authentication,简称SCA)程序。加强客户身份验证意味着使用以下两个或多个元素对交易进行身份验证:第一个元素是私密信息,即只有用户知道的内容(如密码、个人识别码、身份证号码);第二个元素是所有权,即只有用户拥有的东西(如移动设备、通证、智能卡);第三个元素是独特性,即只有用户才拥有的东西(如指纹、人脸或语音识别)。在远程支付的情况下,PSD2还需要创建一个动态链接,这是一个附加的身份验证元素,包括交易金额和收款人账户。详见图2.1。应PSD2的规定,欧洲银行管理局(European Banking Authority,简称EBA)于2017年2月发布了《关于强客户认证的监管技术标准草案》(Draft Regulatory Technical Standards on Strong Customer Authentication),正式文件将于2019年年底生效。
那么开放银行和PSD2之间是什么关系呢?简单来说,开放银行是英国版的PSD2。PSD2仅要求银行开放数据,并没有规定API的接口标准和开放数据的内容,这项工作实际上由柏林集团(Berlin Group)完成,它是为了纯粹技术标准而建立的组织,主要工作是制定独立的银行间开放和共享标准。英国的开放银行则细化了操作规则,并且提出了相应的标准。详见表2.1。
图2.1 强客户身份验证元素
资料来源:PSD2-Double down on security with 2-factor authentication,https://www.gemalto.com/financial/ebanking/psd2/strong-customer-authentication
英国开放银行提出之后,非欧盟国家的银行也开始纷纷自发行动,积极构建自己的开放银行。而相应的监管机构通过各种方式积极推动开放银行的发展。新加坡金融管理局(Monetary Authority of Singapore,简称MAS)专门成立了包含六大类金融数据API注册中心,其中花旗银行、新加坡华侨银行(Oversea-Chinese Banking Corporation,简称OCBC)和渣打银行是该中心3家主要的数据共享银行。韩国在2016年8月成立了由韩国金融电信清算机构和韩国证券信息公司(Koscom,韩国大型金融IT公司),共同管理开放API数据平台,对包括金融科技公司在内的第三方机构开放,共同推动金融数据共享。澳大利亚财政部也于2017年8月发布《澳大利亚开放银行评论》(Review into Open Banking in Australia),明确提出了金融数据共享的发展战略。
表2.1 开放银行和PSD2时间表比较
开放银行兴起的驱动因素
国外银行业开源数据的进程目前处于初期阶段,监管的推进、数据价值的崛起和战略的主动选择,是开放银行的主要驱动因素。
从英国、澳大利亚等国的实践来看,银行数据开放的最初动因是顶层设计,对银行而言,开放银行已经成为无法绕开的事实。而且,银行是金融的核心,银行数据的开放面临诸多挑战,一旦出现风险,将对一国经济造成灾难性影响,因此开放银行离不开制度的规范和约束。英国和欧盟的开放银行制度探索走在了世界前列,同时,澳大利亚、新加坡、日本以及韩国等也借鉴英国与欧盟经验,制度先行,积极推动开放银行监管政策的制定。相比较而言,虽然开放银行在中国也掀起了开放银行浪潮,却是实践先于制度,在监管方面尚无相关规则与标准的落地。
随着移动互联网的快速发展,智能手机、平板电脑以及其他数字设备在世界范围内应用越来越广泛,这些数字设备已经具备交通、支付等多种功能,数字化已经渗透到社会的方方面面。整个社会小到个体、大到公司,每一个层面都在发生巨大的变化,人类已经步入数字经济时代。数据上升到了越来越重要的位置,成为推动经济发展的关键生产要素。云计算、大数据、人工智能等新技术的逐步成熟和应用,促使行业寻求跨界合作,以数据的深度挖掘和融合应用,也成为行业持续发展的保障。
银行拥有海量的、丰富的、高质量的数据资源以及可信的客户关系,虽然大都处于分散和割裂的状态,但这些资源背后蕴藏着巨大的行业价值。银行往往将这些数据流的开放视为威胁,而非机遇,并不轻易对外公开。虽然对银行来说这是对自身业务暂时的保护,但这种数据封闭的代价是银行失去利用共享数据和金融科技公司的创新技术的机会,从而很难为客户提供更加多元的产品和服务。在客户对金融服务要求越来越高、科技界巨头跨界竞争越来越激烈、社会和监管对开放数据的呼声越来越强烈的大潮下,银行数据开放是不可避免的趋势。
2008年至2018年,数字经济为非银行金融科技公司的发展创造了机会,它们极大提高了金融服务的效率、改善了客户的服务体验、降低了金融服务成本,以极快的增长速度改变了金融服务的提供方式。它们利用互联网、移动技术以及大数据等新技术将逐步切入传统银行的产品链,将银行服务分解成一个个垂直的金融科技细分市场,提供支付、在线借贷和财富管理等服务,以极致的客户体验分流了大量银行客群。金融科技公司不仅挑战银行业的方方面面,更是直接向消费者提供更好的银行服务,它们也在努力创建新的基础设施和建立新的金融服务生态系统。金融科技提高了客户与银行数字化互动的期望值,为个性化金融产品提高了标准,银行由于对创新和客户体验的重视程度相对较低,使客户在服务质量、产品种类和服务的可获得性方面遇到了问题。这种变化给银行的获客能力、盈利模式带来了极大冲击。银行不得不重新审视自身的整体发展战略。
数字化进程同时对客户习惯和客户行为带来了三项重要的改变:第一,客户对于产品和服务的即时性和便捷性要求越来越高;第二,有关客户的行为信息和与用户的触达点都从线下转移到了线上;第三,用户转换服务提供商的门槛越来越低,用户的忠诚度极大地取决于产品和服务是否满足其需求。这些改变象征着无边界时代的到来,针对一群有共同属性的客户,产品与服务的提供者需要将客户体验放到首位,深入挖掘其需求,打破行业边界提供服务和产品。银行作为市场主体,未来的方向就是无边界的银行服务,因此很多银行积极投身开放银行的实践。
开放银行的设计与架构
2016年3月,开放银行实施机构正式对外发布了《标准》,《标准》在结合英国银行实际情况的基础上,充分考虑了欧盟PSD2和《通用数据保护条例》(General Data Protection Regulation,简称GDPR,以下简称《保护条例》)的要求,明确定义了数据标准、API标准、安全标准和治理标准。此外,英国还明确了开放银行的实施机构、标准执行机构,并设置审查、争端解决等机制。英国开放银行体系是目前国际上相对比较健全和完整的,能够保证开放银行生态系统有效、规范运转的制度体系。
开放银行开放什么?
英国《调查令》授权的开放和通用银行标准,允许开放三部分数据和信息:第一部分是通过开放数据API发布参考信息,包括银行所有分支机构的位置、所有分支机构开放时间、所有ATM地点信息;第二部分是通过开放数据API发布特定产品信息,包括产品价格、所有费用(包括利息)、特点和优点、条款和条件以及客户资格;第三部分是通过可读或可写API发布个人活期账户和企业活期账户交易信息,以允许第三方提供商应客户要求访问账户信息或从客户账户付款。英国于2017年年底前完成如服务价格及条款、支行网点信息等低敏感数据的开放,2018年实施个人现金支付账户数据的开放,预计2019年完成企业现金账户及中小企业贷款账户数据的开放。这些信息与数据只能面向开放银行实施机构制定的开放银行目录(Open Banking Directory)上第三方提供商开放。
开放银行由谁执行?
开放银行实施机构是《标准》的执行和监管人,负责:《标准》中API标准和相关文件规定格式的制定;有关如何管理规定格式变更和发布管理;所有指定格式的用户的支持结构和流程,包括目录及其组成部分的设定和操作;开放银行特定类别参与者的任何适用条款和条件(Terms and Conditions);开放银行生态系统参与者的任何适用指导方针(Guidelines)和其他文件。开放银行生态系统覆盖了促进开放银行运行、用于支持参与者的一切要素,包括API标准、治理、系统、流程、安全和步骤等。
开放银行实施机构制定和执行开放银行目录。根据《调查令》要求,该目录提供了能够在开放银行生态系统中运营的参与者“白名单”,此“白名单”明确了哪些第三方提供商能够去申请调用开放信息与数据的API。开放银行实施机构负责使开放银行生态系统按照相关法律法规使用标准运行,并为使用开放银行标准的参与者创建安全机制和治理结构。
开放银行生态系统也受到英国和欧洲法规的监管,包括PSD2、《保护条例》、《关于强客户认证的监管技术标准草案》以及《支付服务条例》(Payment Services Regulations,简称PSR)。
开放银行生态系统的参与者
开放银行生态系统
开放银行生态系统的参与者主要包括由账户支付服务提供商(Account Servicing Payment Service Providers,简称ASPSP)组成的可读或可写数据参与者(Read Write Data Participants)和第三方提供商。账户支付服务提供商是被《支付服务条例》定义的,为消费者提供和维护付款账户的支付服务提供商,在开放银行生态系统中是发布可读或可写API的实体,在客户同意的情况下,允许由第三方提供商发起的支付服务,或者使其客户的账户交易数据通过其API提供给第三方提供商。
账户支付服务提供商又分为强制性账户支付服务提供商(Mandatory ASPSP)和自愿账户支付服务提供商(Voluntary ASPSP)。强制性账户支付服务提供商是根据英国竞争与市场管理局要求在开放银行实施机构注册的实体。汇丰银行、巴克莱银行、苏格兰皇家银行、桑坦德银行、爱尔兰银行、爱尔兰联合银行、丹麦丹斯克银行、劳埃德银行和英国国民银行为英国竞争与市场管理局命令下的强制性账户支付服务提供商。
自愿账户支付服务提供商是那些虽然没有义务加入开放银行实施机构,但为了利用这些标准来开发自己的API、使用相关的业务支持服务而选择注册到开放银行目录的实体。
第三方提供商是使用标准开发的API访问客户账户,以提供账户信息服务或发起支付的组织。第三方提供商包括支付发起服务提供商(Payment Initiation Service Providers,简称PISP)和账户信息服务提供商(Account Information Service Providers,简称AISP)。支付发起服务提供商是《支付服务条例》定义下,以开放银行业为目的,作为一个提供支付发起服务的付款服务提供者,支付发起服务意味着支付服务用户(Payment Service User,简称PSU)要求向另外一个支付服务提供商控制的付款账户发起付款的在线服务。账户信息服务提供商是《支付服务条例》定义下,以开放银行业为目的,作为一个提供账户信息服务的付款服务提供者,账户信息服务意味着提供关于一个或者多个支付服务用户与其他一个或者多个支付服务提供商共同持有的支付账户统一信息的在线服务。服务包含将原始信息或者处理后的信息,提供给支付服务用户或者根据支付服务用户的指示提供给其他人。
开放银行目录
开放银行目录是开放银行关键的体系结构组件,它允许参与者注册到开放银行实施机构,并通过API参与支付发起和账户信息交易。目录的核心是身份和访问管理服务,提供支持自然人、实体和软件身份类的身份信息。
开放银行目录提供了必要的功能,可为账户支付服务提供商提供可访问API的目录参与者,使经其主管机关授权或登记的参加者识别,并便于他们与账户支付服务提供商合作,以便其能够使用账户支付服务提供商提供的API。具体来说,开放银行目录具有以下功能:第一是管理身份和访问的功能,为与开放银行目录交互的实体和自然人发布和管理身份记录。第二是管理证书的功能,可颁发、管理和吊销数字证书。第三是管理目录信息的功能,可通过API或Web应用程序提供的用户界面更新和查找目录中维护的信息。
参与者的API安全规则
所有开放银行参与者必须执行开放银行安全标准,该标准定义并阐释了如何使用多层方法保护可读或可写API。OAuth 2.0授权框架和开放认证链接(OpenID Connect)身份验证在互认证传输层安全性(Mutually Authenticated Transport Layer Security,简称MATLS)之上,以提供强大和安全的开放银行安全配置文件(Security Profile)体系。安全配置文件还使用开放认证基金会金融API(FAPI)可读或可写API安全配置文件。关于强客户认证的监管技术标准将于2019年年底生效。
OAuth(开放授权)是一个开放标准,允许用户授权第三方访问该用户在某一网站上存储的私密资源(如照片、视频、联系人列表),与以往的授权方式不同之处是,OAuth的授权不会使第三方触及用户的账号信息(如用户名与密码),即第三方无须使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAuth是相对安全的。目前,OAuth已经成为公认的认证和授权标准。
OAuth对用户非常友好,易于用户操作。如果用户想要授权第三方从银行获取自己的数据,只需在阅读完相应条款后,点击授权按钮即可。随后,银行将用户的数据与第三方进行交换,无须用户自己上传或下载数据;OAuth不涉及分享敏感的信息登录细节或密码类信息。在这个信息交换过程中,第三方不会获得用户的隐私信息,这大大降低了用户隐私泄露的风险;用户可以完全决定授权的内容、范围等,拥有完全的自主权,同时也可以决定撤回这一授权;OAuth的开源性决定了它可以在保证安全的情况下被低成本地广泛应用,有极强的规模化应用能力。
开放银行实施机构倡议通过以下几个方法提高开放银行参与者的安全性能:
(1)实施信息安全管理系统(Information Security Management System,简称ISMS)是控制组织内部信息安全风险的关键。开放银行实施机构要求强制性账户支付服务提供商使用ISO27001:2013信息安全管理系统,自愿账户支付服务提供商和第三方提供商实施与其组织规模、成熟度、提供的服务及服务方式相适应的信息安全框架。对于小型的参与方,开放银行实施机构推荐中小企业信息安全保障(Information Assurance for Small,Medium Enterprises,简称IASME)标准。IASME可以弥合信息安全管理系统与ISO27001:2013认证之间的差距。两个系统都采用基于风险的方法,并通过广泛的控制措施来管理信息安全风险。
(2)所有参与者都设置安全运营中心(Security Operations Centre,简称SOC),用于监控和管理安全事件、威胁和警报。安全运营中心是指用于监控、评估和保护企业信息系统(网站、应用程序、数据服务器、网络、硬件、软件和其他端点)的专用设施,使用专业工具(包括安全事件和事件管理系统),使机构能够识别、调查和解决安全事件和警报。安全运营中心明确定义事件升级和响应过程(包括响应时间框架),全年24小时连续运行。
(3)确保所有参与者对数据和系统的访问都有明确的政策和规则界定,这些政策和规定包括但不限于如API网关中的节流(Throttling)、超时规则(Timeout Rules)和基于角色的访问(Role Based Access)等技术规则。英国国家网络安全中心(National Cyber Security Centre,简称NCSC)和美国国家标准与技术协会(National Institute of Standards and Technology,简称NIST)定期提供能够减少与数据访问有关风险的密码和技术控制的最新信息。所有参与者都要求定义一组清晰的数据处理策略和规则,以保护数据的机密性、完整性和可用性。
(4)无论参与者提供的服务是在内部托管还是外包给第三方,所有参与者都应具备适当的基础设施来存储和管理开放银行安全凭证。这些凭证包括但不限于:身份密钥、签署密钥、OAuth用户ID和密码、用户名和密码、访问令牌。当认证过程被分发或重定向到其他站点和应用程序时,应通过技术手段避免信息的泄露或者凭证被拦截。
(5)所有系统和基础设施都应定期地由具备资质认证的外部渗透测试(Penetration Testing)专家探测应用程序和网络中的漏洞,以此准确评估机构防御攻击的能力,获取真实安全威胁的详细信息,应用必要的安全补丁或分配安全资源进行相关的补救工作。
(6)所有参与者都要求实施网络安全战略,避免网络、硬件、应用程序和数据被窃取、破坏或攻击。网络安全战略的建议领域包括但不限于防火墙防御(Strong Firewall Defenses)、系统脆弱性和威胁治理(Vulnerability and Threat Management)、防病毒和恶意软件保护(Antivirus and Malware Protection)、拒绝服务(Denial of Service,简称DoS)或分布式拒绝服务(Distributed Denial of Service,简称DDoS)保护、补丁管理(Patch Management)、电子邮件过滤(Email Filtering)、网页过滤(Web Filtering)、行政特权(Administration Privileges)、访问控制(Access Control)、情报和信息共享(Intelligence and Information Sharing)。
行之有效的网络安全战略应将行业标准和最佳实践,与评估当前和未来的威胁流程相结合。强制性账户支付服务提供商可使用ISO27032:2012认证和ISO27001:2013认证,自愿账户支付服务提供商和第三方提供商可将网络基础设施(Cyber Essentials)和网络基础设施升级版(Cyber Essentials Plus)的评估框架作为其中小企业信息安全保障认证的一部分。
为能在安全、私密和动态的环境中进行网络威胁信息的实时交换,提高对网络威胁态势的感知力,英国政府和行业联合发起了由英国国家网络安全中心设立和运营的网络信息共享伙伴关系(Cyber Information Sharing Partnership,简称CiSP)组织。该组织也是一个论坛,参与者可以分享其在API设计过程中遇到的影响系统运行的网络威胁,这种实时的分享将增加开放银行生态系统的强度和安全性。
(7)所有参与者都应将专业反欺诈操作纳入其信息安全战略框架。所有参与者需制定反欺诈战略,以识别、控制和缓解客户面临的欺诈威胁。所有参与者要设立一个专门的反欺诈部门,通过部门与开放银行实施机构、信息安全、网络安全和安全运营中心开展反欺诈合作。
开放银行实施机构与英国金融欺诈组织(Financial Fraud Action UK,简称FFA UK)合作,为参与者开发了一个信息和情报共享平台。FFA UK与监管机构和执法机构建立了联系,可提供现有成员分享的已知、企图和实际欺诈的情报信息。参与者可以加入FFA UK,并利用它们在金融服务欺诈方面的专业知识和技能提升反欺诈能力。
虚假电子邮件是发起网络钓鱼和社会工程攻击(Social Engineering Attacks)的常见方式。基于域的消息认证、报告和合规性(Domain-based Message Authentication,Reporting & Conformance,简称DMARC)组织为这一点提供了强有力的缓解措施,并为版权检测和实施提供了机制保障。
2014年12月19日,欧洲银行管理局发布了关于互联网支付安全的最终指导方针,鉴于互联网支付欺诈的程度(以及潜在的欺诈),所有参与者都应全权负责并遵守适用于其服务的相关欧洲银行管理局指南。开放银行实施机构还设立反欺诈战略小组,从反欺诈的角度评估开放银行产品和服务中的潜在欺诈,该小组还促使参与者完善和调整反欺诈模型以应对新出现的威胁。
可读或可写API标准
可读或可写API使第三方提供商能够在客户同意的情况下获取个人和企业经常账户信息和交易历史,或可以从这些账户发起付款。期望获取可读或可写数据的实体需要遵循注册流程,成为合格的开放银行参与者后方能在开方银行系统中运营。
(1)注册开放银行实施机构。
在注册过程中,各实体需要提供四类信息:第一类是法律地位和实体详情,包括法人或自然人名称和注册地址;注册公司的注册国家、法定实体标识符(Legal Entity Identifier)或公司注册详情;其他类型的实体需提供法律地位和注册的详细信息。
第二类是指定访问目录用户的主要联系人,包括主要业务联系人和主要技术联系人。主要业务联系人是由实体指定的个人,也是业务联络的主要联系人,有权访问该目录,并能够指定其他目录业务用户,一般是实体内负责开放银行相关的系统运营和管理的高级职员。主要技术联系人是由实体指定的个人,也是技术支持方面的主要联系人,有权访问该目录,并能够指定其他目录技术用户,一般是实体内负责管理开放银行数字身份的高级职员。实体负责管理和维护用户对目录的访问,包括删除不受该实体授权的用户。
第三类是实体的监管状态证明。实体可在登记前向主管当局递交申请,只有获得主管当局对实体注册到开放银行实施机构的批准后,才可继续完成在开放银行实施机构的注册登记程序。主管当局的授权必须表明实体提供的服务符合《付款服务条例》或《电子货币条例》(Electronic Money Regulations)、《金融服务与市场法》(Financial Services and Markets Act)的相关规定,并且是根据《付款服务条例》或《电子货币条例》规定持有英国护照前往办理有关服务,或者根据《资本规定条例》(Capital Requirements Regulation)持有有关护照办理相关业务。
第四类是代实体办理注册的授权书,表明代办人所提供的信息是准确和完整的,并授权开放银行实施机构核实所提供信息的真实性。如果实体注册执行账户支付服务提供商角色,则表明该实体同意指定的条款和条件以及特定的参与条件。
提交申请材料后,开放银行实施机构将依照与民事法院要求级别相当的标准和流程,对实体、指定的主要联系人和提交表格的人员进行验证检查。成功完成验证后,新参与者的详细信息,包括指定的主要业务联系人和主要技术联系人信息,将被记录在目录中。
(2)启用身份记录和数字证书。
成功注册后,参与者需要输入技术细节并生成数字证书,作为在开放银行生态系统中运行的许可。第三方提供商也需要向账户支付服务提供商注册其应用程序,完成注册后第三方提供商才可访问账户支付服务提供商提供的API端口,这一程序为第三方提供商提供了为每个交易向账户支付服务提供商标识自身身份的能力。在提交的详细信息中,参与者将为业务和技术查询指定特定的联系方式,包括联系人姓名或角色描述、联系电话和电子邮件地址。
(3)后续服务提供。
开放银行生态系统支持多个不同的第三方提供商业务模型,即允许多个第三方提供商(可能包括技术服务提供商)共同工作,满足支付服务用户的付款需求和账户信息交易需求。对于支付服务用户来说,重要的是随时了解任何交易中的哪些参与者正在访问其账户,后续服务提供确保支付服务用户能够随时了解这些信息和交易链中的参与方,这些参与方包括受监管的第三方提供商,以及另外受监管或不受监管的第三方提供商,或从事支付启动或账户信息交易的技术服务提供商。
(4)注册后目录撤销和退出。
为了确保目录的完整性,开放银行实施机构享有将参与者从目录中的撤销的权利,参与者也享受自动退出的权利。如果参与者被撤销或自愿退出该目录,它们将不能在开放银行生态系统内运营、访问开放银行目录或使用开放银行实施机构的支持服务。所有与参与者相关的现有技术证书和数字证书也会被吊销。
参与者在成功完成首次注册后,可随时按照退出流程退出目录,并指定一个拟定的生效日期。账户支付服务提供商需要至少提前60个工作日向开放银行实施机构发出退出目录的书面申请,在向开放银行实施机构发出退出申请后的5个工作日内,也需要向其登记的第三方提供商或账户支付服务提供商通知其退出意向。
收到退出申请后,开放银行服务台(Open Banking Service Desk)将向主要业务联系人和主要技术联系人的电子邮箱发送确认邮件。为了完成退出申请,开放银行实施机构将要求另一个主要业务联系人或主要技术联系人进行确认。一旦服务台收到支持退出申请的所有必要信息,目录将更新,并向主要业务联系人和主要技术联系人发送确认电子邮件,确认成功后即退出。开放银行实施机构将在开放银行网站上公布账户支付服务提供商退出的细节。对于第三方提供商的退出,开放银行实施机构将向账户支付服务提供商发送第三方提供商退出的通知邮件。
如果参与者在目录中担任角色的监管状态被主管当局撤销,那么参与者会立即从目录中被撤销,并且该撤销反映在其监管登记簿上。如果一个参与者在目录中担任多个角色,但不是所有角色都被相关主管当局撤销,那么根据监管登记,只有执行该特定角色的权限才会从目录中被撤销,所有其他有效的监管许可将被保留。
此外,如果来自欧洲经济区成员国的参与者通过护照进入英国,作为东道国主管当局的英国金融行为监管局(Financial Conduct Authority,简称FCA)对该参与者采取了提供账户信息或启动付款的预防措施,那么意味着参与者访问开放银行API的权限被临时取消。
第三方提供商资质撤销后,开放银行实施机构将向账户支付服务提供商发送通知邮件。过去注册到开放银行实施机构但现被撤销访问权限的参与者,需重新注册后才能参与到开放银行运行体系中。
测试
对所有参与者及其所提供的服务,开放银行实施机构都会进行严格的应用程序测试和安全测试。在完成注册程序后,开放银行实施机构将向主要联系人提供如何参与测试活动的详细信息。对测试工具的访问,并不意味着实体正式被录入进入开放银行目录,只有在完成测试并经过主管当局授权或批准后,才表示实体完成了完整的注册流程。
开放银行实施机构定义了多个测试阶段,这些测试由金融服务专家和金融技术专家共同开发。开放银行实施机构可以为各测试阶段提供适当的指导,并为每个阶段的测试范围、测试工具的使用和测试期间提出的查询提供支持。对第三方提供商来说,这些测试工具可以确保第三方提供商提供应用程序的安全和有效性。
维护目录的完整性
(1)更改参与者的注册资料。
从提交注册申请到完成注册,如有任何信息变更,参与者必须尽快向开放银行服务台提供变更的详细信息,此时,开放银行实施机构将会进行信息更新。注册完成后,参与者将有权使用自助服务设施查看并要求更新已填报的信息。
(2)管理目录上的个人数据。
参与者名册内所载的个人资料,将按照数据保护法律的规定处理。
(3)记录的保存。
如果参与者因任何原因从公开银行目录中被撤销或自动退出,按照相关要求,记录的保留期至少为从撤销或退出之日起6年,或法律要求的更长期限,法律或监管要求另有规定的除外。
投诉和纠纷的处置
(1)对开放银行实施机构的投诉。
账户支付服务提供商和第三方提供商都可以针对开放银行实施机构向开放银行服务台提出投诉,但是投诉应由主要业务联系人或主要技术联系人提出。如果投诉人不在,主要业务联系人或主要技术联系人可以指定另一个联系人提出投诉。开放银行服务台收到投诉后,应当在一个工作日内发送回执,做好投诉记录,并对投诉情况进行调查。调查结束后,服务台将提供投诉的答复。开放银行实施机构将与提出投诉的联系人就投诉进行联络,并就投诉的各个方面,包括开放银行投诉和争议解决程序中的任何相关步骤进行沟通。
任何对回复不满意的参与者都可以使用投诉和争议解决程序升级其投诉,并且此程序适用于所有参与者以及任何注册失败的实体。这是一个强制性程序,一旦启动,每个步骤必须落实到位。投诉的处理结果对各方都没有约束力,缔约方在任何时候都可以自由寻求其他可行的解决方案。
与开放银行实施机构或投诉人就投诉和争议进行的所有沟通,应通过电子邮件发送至开放式银行服务台。如果收到来自注册不成功、被取消或暂停权限实体的投诉,开放银行实施机构项目管理小组(OBIE Programme Management Group)将会收到通知并介入调查。
(2)支付服务用户对第三方提供商或账户支付服务提供商的查询、投诉或争议。
当处理支付服务用户提出的查询、投诉或争议时,第三方提供商和账户支付服务提供商可使用争议管理系统(Dispute Management System,简称DMS)和随附的最佳实践准则(Code of Best Practice)。这个机制的主要原则是:诚实守信,公平透明地与投诉人和被投诉人进行沟通和协调。该机制包括一套标准化投诉的表格和清晰的沟通流程,并支持争议和投诉的管理和查询。争议管理系统不会取代任何对组织施加的现有和新的监管或法律要求。
在必要的情况下,该准则还参考了备选争议解决方案(Alternative Dispute Resolution solutions,简称ADR solutions)。符合条件的支付服务用户(个人或中小企业)的独立调解员可以是金融监督服务(Financial Ombudsman Service,简称FOS)的监察员,或由开放银行实施机构认可的企业对企业或中小企业的调解员。
(3)第三方提供商或账户支付服务提供商对另一个第三方提供商或账户支付服务提供商的查询、投诉或争议。
第三方提供商或账户支付服务提供商可以就支付发起服务或账户信息交易服务向另一第三方提供商或账户支付服务提供商提出查询、投诉或争议。如果所有参与方都是争议管理系统的参与者,则将按照随附的最佳实践准则处理该案例。
开放银行带来的冲击
开放银行的理念及其内涵
英国提出的开放银行更多是从开放银行数据的视角,是与以下三项原则相一致的一套广泛的倡议:第一个原则是银行客户被授权为其财务数据的所有者。传统上,客户数据被锁定在银行的IT系统中,但欧盟PSD2和英国《调查令》等法规正在迫使银行“开放”,使客户能够轻松地与第三方共享数据。第二个原则是银行产品是透明的、易于比较的。英国开放银行计划中已经明确信息和数据要以统一的标准共享,只有以一致的方式描述产品并且信息易于访问,产品才能被理解和比较。第三个原则是为了生产更好的产品和服务,提倡多方合作、创造新的价值链。传统零售银行有自己的分销渠道(如分行、联络中心和数字渠道),和自己自成一体的产品和后台操作体系。
金融科技的出现和监管机构对竞争的鼓励,正在分解并打开银行这条封闭的价值链。在开放银行的生态系统中,参与者可以专门从事端到端流程的一个或多个子步骤,专注于具有明显竞争优势的领域,并利用与其他参与者的合作带来规模效应和提高效率。为保证整个开放银行倡议的规范有效得到实践,英国研究制定了《标准》,就数据标准、开放API标准、安全标准以及统筹全局的治理模式各方面提出建议与措施,来确保开放银行的落实与推进。
随着理论和实践的深入,开放银行被赋予更多的内涵,银行在遵守监管标准的基础上,已经将开放银行从“概念”进化到“理念”,将自身定位于银行即平台,平台合作成为当前开放银行理念新的特征。和以往直接将产品和服务传达给客户的形式不同,开放银行模式下,银行将各种不同的商业生态嫁接至开放银行平台之上,再通过这些商业生态间接为客户提供各类金融服务,从而形成共享、开放的平台模型,催生出一个全新的金融服务生态系统——开放银行生态系统。
经过对机构和平台持续的调查研究,高德纳咨询公司(Gartner)为开放银行下了一个更宽泛的定义,开放银行是主要通过API技术,与商业生态系统共享数据、算法、交易、流程和其他业务功能,为商业生态系统的客户、员工、第三方开发者、金融科技公司、提供商和其他合作伙伴提供服务。从字面来理解,开放银行的重点在于“开放”,与传统银行相比,不变的是银行的服务,改变的是金融服务交付的方式,即银行运营模式的改变,银行将演变成为按需分配的金融服务基础平台。“银行不再是一个地方,而是一种行为”(布莱特·金,2012),银行虽然没有触达客户的界面,但仍然是经济生活中重要的节点,通过将其服务嵌入和融合到客户的应用场景,蜕变为无处不在的银行服务。这就是开放银行要实现的,以整合生态为目标,银行退居底层,通过开放接口,实现将银行服务提供至客户需求的各个场景,打造“无所不在”的全新银行业务模式,使银行服务更加便捷和智能。
银行3.0——基于互联网的银行服务模式对于场景和流量的依赖程度较高。依靠互联网生态获取客户并为客户提供金融服务,开放银行模式是银行4.0版,改变了银行业的价值主张、与客户连接的纽带,并建立起新的盈利模式。具体来说,开放银行产生了以产品为中心向客户为中心、App运营向API运营、封闭闭环服务向开放闭环服务、单边主义向共生共赢的思维模式的转变,开放银行的客户来源及与客户交互将更加混合化,服务更加精细化和垂直化,收入将更多依赖于对关键资产的共享、利用和实践,盈利模式更加平台化、盈利来源更加多元化,平台模式成为未来开放银行制胜的关键。
开放银行对参与者的影响
开放银行的潜在好处是巨大的:改善客户体验,为银行带来新的收入来源,以及为传统服务不足的市场提供可持续的金融服务,促进创新,促进银行和非银行机构之间的竞争等。开放银行将创造出一个全新的金融服务生态系统,在这个生态系统中,银行变成平台构建者、服务撮合者、生态整合者;从客户角度出发,体验成为银行成功的要素之一,银行的产品和服务被拆分和打包,与场景结合按需分配来展现银行的核心服务。银行作为产品和服务的提供者,并不是等着客户主动选择,而是主动思考如何将银行服务与客户的衣食住行相联系,如何设计具有吸引力的互动而成为客户的选择。开放银行对于银行、生态参与者以及全社会而言,都将创造新的机遇,赋予新的价值。
从全行业的角度,银行拥有庞大的客户群体,以及这些客户准确的签约信息、资产信息、现金流量信息以及支付、消费与投资信息,几乎涵盖了客户的核心价值。银行处于大数据时代变革之中,银行所拥有的这些数字资源具有巨大的商业价值,但长久以来,基于对业务的保护,银行与银行之间、银行与企业之间的数据是相互隔离的,“数据孤岛”现象在银行业尤其明显,这也限制了将这些数据的价值最大化,限制了数据使用的范围,影响金融服务效率,增加社会成本。银行数据的开放,将全面提升经济社会效益。具体而言,开放银行将会深刻影响包括消费者、银行等在内的相关参与方。
消费者
对客户而言,首先,开放银行降低了客户和银行间的信息不对称,客户可以获得价格更加透明公开的银行产品和服务,并可以以较低的成本在不同银行的产品和服务之间进行切换;客户在多家银行的账户信息得以汇总,通过一个平台就可以了解自己的支付、理财、信贷等全景化的信息,而不需要通过多个应用才可以拼凑出自己的资产全貌。其次,基于丰富的消费者和银行产品数据,第三方能为消费者提供更加全面综合的资产分析,从而向消费者提出个性化的财富管理建议和差异化的产品定价。最后,当银行将金融产品和服务嵌入场景之中,客户能够随时随地享有银行提供的便捷、无缝式的产品和服务,客户体验将大大提升。
传统银行
对银行自身而言,银行的开放会吸引更多的金融服务提供者和创新者,银行会面临更加激烈的行业竞争,但这也倒逼银行主动转变经营思维适应时代发展。银行将更加关注客户体验,以客户需求为中心,针对客户最终需求提供个性化产品和服务。银行作为平台,可以通过API对第三方开放其核心业务功能,不仅可以输出标准化的产品和服务,还可以输出银行风控、技术能力,拓展银行产品和服务的品类,获得多元化的收入,从传统的金融服务收入向平台服务收入转变。
金融科技公司和新兴银行
开放银行为金融科技公司打造更大的创新空间。在能够访问和获得更多数据的基础上,金融科技公司可以充分发挥其技术优势,将获取的丰富的信息与区块链、人工智能等新技术相结合,以客户需求为切入点,提供更多个性化解决方案。除了打造自身业务平台和技术平台,金融科技公司还可作为赋能方与银行合作,为转型中的银行提供集成的API服务。
新兴银行也可以算作金融科技公司,并且大多都获得了银行牌照,组织结构更加接近开放银行的要求。对新兴银行而言,不仅可以与其他金融科技公司同享开放银行带来的益处,而且开放银行增加了新兴银行与其他金融科技公司、传统银行合作的动力,为新兴银行快速开发新的产品、扩展新的市场创造了条件。
大型科技公司
通过开放API,大型科技公司(Bigtechs)在消费者的授权下也可以申请调取银行的数据和服务,大型科技公司可以与银行合作,通过接入银行的系统,不仅有更多渠道为客户提供体验更好的银行服务,还可以完善银行的核心产品与服务。例如苹果、谷歌、阿里巴巴和腾讯等领先的科技公司,利用其自身庞大的客户群体和普适的用户界面(如智能手机、平板电脑等)接入银行系统,不仅提高其自身的营收,而且还收集了更多有关客户需求的数据。
非金融服务提供商
对非金融服务提供商而言,即使不是金融机构,参与金融交易也有利可图。专业服务提供商通过分享合规、数据安全、取证和治理方面的前沿实践,能够弥补其他合作者专业领域的知识空白。例如,普华永道的金融犯罪部门与银行合作,处理开放银行的相关欺诈、反洗钱以及安全问题。
开放银行的关键技术——API
开放银行与API
开放银行实现数据共享和服务开放的关键技术是API技术,它也是银行实现平台化和生态化的核心。应用程序接口已经使用了几十年,尤其是在美国,它使个人财富管理软件能够在银行网站上显示账单明细,并将开发人员连接到维萨和万事达等支付网络,亚马逊、谷歌、脸书等公司和其他数字领导者的业务应用中也很广泛。
API刚开始出现的时候并没有强调创新,而是通过现有关键功能的聚合,提供快速开发的潜力。一般来说,推出新产品和新产品进入新市场的过程是漫长和艰难的,需要数年的时间才能交付产品,并且需要花费大量的资源来定义、实现和管理系统。而在基于云服务和API的可组合体系结构的时代,该体系结构为构建通用的新产品交付核心解决方案提供了快速且有效的途径。与必须购买、构建和维护一组信息不通畅的系统不同,支持API的可组合体系结构允许机构利用构建在云基础设施上的解决方案,这些解决方案完全由受信任的提供者管理并作为服务提供。开放银行和API使用的增长,证明了这种体系结构的实用性。它允许无论是内部开发的还是第三方开发的应用程序之间保持信息流动,使不同的业务领域能够轻松地互访客户数据、获取见解并创建适合市场和监管需求的创新产品,极大缩短和降低了新产品或现有产品的迭代、推出、集成和修改的时间和成本。
然而,API在零售银行中的作用越来越大,这是最近才出现的现象。API本质是一些预先定义的函数,目的是给予开发人员基于某软件或硬件得以访问一组例程的能力并且无须访问源码,或理解内部工作机制的细节。API在银行业务中起到的作用可以理解为,API是作为银行与第三方互动的技术规范,第三方能够通过银行定义好的不同API,无缝且安全地共享数据或者帮助各方处理业务。API不仅仅是共享数据或者提供服务的途径,它还能通过解耦合和公开业务流程来提高灵活性,通过API增加机器之间的互操作性能消除人为错误、提高内部效率、对外开放和组织新的分销渠道,能够帮助企业快速创新并开拓新的产品和服务的市场。
开放银行也可以理解为API经济在银行业的应用。API经济是在云计算和互联网日益加深的背景下,行业市场越来越大、产业不断细分,行业内企业当前构建的应用或者系统达到收益递减点,无法再产生重大价值来实现显著的业务增长、维系现有客户或者赢得新客户,因此,企业利用API来确保自身易于开展商业合作,也能够使其他企业易于创新新的经济模式。API技术使银行实现了将其某些能力和资源作为API服务进行商业交换,使银行创造出新的价值,构建新的核心能力。
为何采用API实现开放银行?
常用的API可以分为内部API、伙伴API和开放API。在许多情况下,内部API用于促进单个组织中应用程序间的交互,通常用于将内部数据集和流程彼此连接起来,并在其上构建功能层。内部API的一个非常常见的例子是移动电话应用程序,任何拥有成熟应用程序的机构都可以使用API来远程获取数据,例如Gmail、脸书、贝宝(Paypal)等应用程序,在用户想要阅读电子邮件、更新状态或查看余额时显示在用户的手机上。伙伴API通常用做与特定的第三方伙伴之间的扩展产品线和渠道等。API技术的另一种创新的用途是企业使用API来允许外部软件与其应用程序进行数据交互,第三方可以访问的API通常被称为开放API。设计良好的开放API意味着,开发人员可以在不了解软件或不访问其代码的情况下构建与之交互的应用程序。但是现实情况是,开放API很少是真正完全开放和不受监管的,大多数企业都会对开放API访问的内容以及能够连接到的群体设置限制。
此时,开放API意味着只公开软件功能,而保护应用程序的其余部分,例如,开放API只允许对某些数据字段进行“只读”访问,而不允许更改它们,也不允许显示其他相邻的数据字段。开放API的使用在过去的几年内获得了快速增长,说明企业可以在允许其软件和数据与第三方交互中获益。一般来说,随着支持API的设备和服务的数组的增长,它们可以连接的方式的范围也在增长。
最适用于银行的方式是,使用开放API允许第三方向其核心产品添加功能,潜在的大量第三方可以带来超出银行原始组织范围的想法和客户。如果这一战略成功实施,银行将成为第三方创新的“平台”。在开放API时,银行可以通过决定开放哪些API以及和谁共享API以保持对API的高度控制,选择种类和开放程度与自身战略相符合的API。
API最大的优势在于安全,开放银行所提倡的API接口数据传输的方式降低了可能的风险。本质上数据共享要求数据所有者能够验证它们的身份,并且授权之后进行数据分享,那么在不同应用之间分享数据就需要获得账户的控制权。在API之前,数据共享采用的方式通常是屏幕抓取(Screen Scraping),通过“用户应用”(Client Application)询问用户“服务提供商”(Service Provider)的登录细节,然后代替客户登录用户账户,抓取数据。很明显,这样有很多缺陷:第一,这样的应用需要完全进入用户的账户,如果服务提供商是银行的话,意味着“用户应用”可以获取用户名、密码等一系列涉及客户隐私的信息,可以随意地通过该账户买东西、转账、修改密码甚至把用户封锁;第二,就算“用户应用”本身是绝对安全的,但是没有加密的登录信息被存储在该公司的服务器上,很容易被黑客攻击;第三,即使应用本身只需要很小一部分数据,那么它也需要得到全部的权限才行;第四,对于服务提供商来说,例如银行,它们无法区分是用户本人登录还是所谓的“用户应用”在登录;第五,由于消费者已经把登录信息给了“用户应用”,所以它们已经违反了某些条款,从而很难得到原有的消费者保障服务;第六,由于“用户应用”获得的数据不是“服务提供商”授权的,也不是恰当设定好的,因此无法保障该应用得到的数据是准确的。尤其是服务提供商改变网页设置时,应用抓取的数据很可能就不是准确的。
在计算机编程中,API是一种交换协议。随着软件规模不断扩大,组成部分之间的编程接口非常重要。API使得开发人员得以呼叫一组例行功能,无须考虑底层原始代码,或者了解其内部工作机制的细节。简单来说,API是一组使软件不同部分交互的标准。API需要设定如下几个方面:一是设定和软件连接的机制;二是对该软件来说可用的数据和功能;三是为了实现交互数据和功能中其他软件需要遵守的规则。
正是基于上述这些风险,很多企业希望可以为用户提供更加安全和便捷的方式,授权和管理第三方接触它们的信息,并且现在越来越倾向于采用统一的程序标准——OAuth。目前开放银行要求的API接口标准也是采用OAuth标准,这就解决了前文提到的风险。同时由于OAuth是开放协议,意味着所有人都可以无成本地再次使用。
当前世界各国和地区对开放银行的态度都很积极,美国、澳大利亚、新加坡、加拿大、日本、尼日利亚、印度和中国香港等18个国家和地区已经在开始落实开放银行的理念,但是相关法律法规的制度和管理仍不健全,区域性API标准的制定是当前各国和地区规避开放银行风险的措施。2018年1月,中国香港金融管理局(HKMA)发布《香港银行业Open API框架咨询文件》,将开放API分为四个类型,并设定了每个类型的API的功能:第一类是产品和服务信息API,提供银行的产品和服务细节;第二类是产品和服务订阅与申请API,用于存贷产品的网上申请;第三类是账户信息API,用于认证客户的账户信息提供与修改;第四类是交易API,由验证客户发起交易、支付、转账。
API是开放银行业务的核心,如果执行得当,能够刺激银行创新、促进生态系统各方协作、扩大银行客户覆盖范围和降低银行成本。开放银行模式的一个关键概念是使第三方开发人员能够在银行现有基础设施的基础上构建金融应用程序。银行若想通过开放银行战略取得成功,找到正确的商业模式至关重要。对于考虑开放基础设施的银行来说,API战略应被视为业务战略,而不是IT战略。目前开放银行标准提供了有限的可能,从银行开放API类型来看,市场上32.9%是账户信息类API,其次是支付、转账类API,占比28.7%,第三位的是占18.2%的交易类API。以客户为中心的市场,这些API标准远远不能满足多元化的市场需求,表2.2所示是较具潜力、前景和市场空间的开放API类型或者领域。
表2.2 具有较大市场空间的开放API类型
资料来源:Lendit Fintech: the State of Open Banking
盈利能力是模式选择的关键因素,衡量API成功与否的一个标准是每用户平均收入,以此来衡量API的持续经营能力。无论银行选择哪一种商业模式,都必须与其长期愿景和战略规划保持一致。表2.3所示是常见的API收费模式。
某些银行通过软件开发工具包(Software Development Kit,简称SDK)技术来实现其与第三方数据与服务的共享。根据网络定义,SDK一般是软件工程师用于为特定软件包、软件框架、硬件平台、操作系统等建立应用软件开发工具的集合。通俗来讲,SDK是可以实现软件产品功能的工具包,当前一些功能性的SDK可以被当成产品来运营,SDK的使用者不需要对产品的每个功能进行开发,可以减少实现产品功能的成本、提高开发效率。在具体应用中,SDK是融入移动场景较好的工具,例如,A银行与B社交平台合作,A想在B平台上嵌入其部分服务,A可以通过SDK将服务集成到B的App上,B就可以实现直接调用A的服务。API是一种能力或者规范,一般情况下,SKD可以包含多个API。
表2.3 API使用模式
资料来源:Christoffer Hernæs.Open banking: What you need to know
TPPs://hernaes.com/2018/01/22/open-banking-what-you-need-to-know/
开放银行潜在风险
开放银行是一个巨大的机遇,但它也可能是一个巨大的威胁。一方面,合作共享资源能促进创新、更激烈的竞争和更好的金融产品和服务;另一方面,消费者对保护、隐私和控制个人数据的兴趣从未像现在这样强烈,开放银行迫使银行重新思考这些数据存储和使用问题。开放银行在有效提升银行金融服务效能的同时,也使得风险敞口更多,风险管控链条更长,风险洼地的效应更加明显,风险的形势也出现了新特点、新变化。在一个客户信任银行保护其数据安全的行业,开放银行要想取得成功,就需要改变人们对安全的态度。创新本身必须谨慎管理,因为任何对银行服务的破坏都可能产生巨大影响,并损害客户的信任。根据市场结构、监管环境以及消费者对隐私和安全的态度,不同国家和地区在开放银行方面的进展不尽相同。无论在哪个地区,开放银行模式的势头似乎都很明显,这要求银行在新的环境中为成功做好准备,并预测可能的客户影响。
开放银行商业价值有待验证
开放银行通过API接口与第三方合作,开放自身的数据与服务能力,切入各个生活场景,某种意义上银行角色被后置,客户在使用银行的服务时可能并没有意识到是在与银行产生连接,客户与银行的联系被弱化,这与银行想增加客户联系的初衷是相悖的。一个开放平台的构建并非易事,需要强大的技术能力支撑,大量的技术和资金投入,开放银行如何将平台能力变现,从目前践行开放银行理念的银行实践来看,尚未形成一个清晰的模式。各银行正在为开放银行业制定战略,思考它将如何在全球和本地发展,并建立评估新API和伙伴关系潜力的结构。开放银行业将如何展开,以及最终将走向何方,存在许多不确定性,仍需要时间和市场验证。
开放银行标准与开放范围尚不统一
部分地区开放银行标准与数据标准规范不统一,全球性推广尚不具备条件。近几年,英国、澳大利亚、中国香港和新加坡已经出台了关于开放银行的数据标准、API标准等规范,监管先于实践,对开放平台的设计、部署和运营等方面加强管控,明确开放银行接口设计、信息保护等方面的技术规范,但是均为区域性的标准,尚未形成全球统一的标准。在中国等其他国家,开放银行监管落后于实践,目前尚未在顶层设计上出台相关标准规范,在具体业务开展过程中存在较大的风险敞口。开放银行涉及银行与第三方机构之间大量的数据、接口、服务和业务规则,标准作为通用标准是规范开放银行接口服务的不可或缺的前提与基础,是数据和服务如何共享、如何交换、如何传输、如何保护的机制,这个机制的缺失,会导致多方数据、服务结合使用的难度加大,并不能实现开放银行理念的初衷;此外,不同部门、机构共享和开放的意愿并不相同,没有统一的规范标准,将导致开放的不公平问题。规范的标准也明确了开放共享各方的利益、开放的数据和服务的安全,为开放银行的实践提供良好的机制保障。
数据泄露风险
开放也是有代价的,开放银行涉及数据和服务的提供方、第三方机构等主体,任何一方在数据保护方面存在缺陷都将会导致数据泄露的风险剧增。共享数据存在固有的风险,这就是为什么开发支持技术连接的流程和治理是至关重要的。API虽然是较为成熟的技术,但是在银行业作为银行业务和数据开放的通道尚处于应用的初期阶段,在具体应用中,API的版本和权限是保障客户信息传输的关键。若API服务接口存在设计漏洞或者权限设置不当,都会导致客户数据泄露和滥用。不受保护的API可能会为数据和关键系统提供可乘之机,从而为犯罪分子和怀有恶意的个人打开大门。如果没有适当的安全性,API的弱点会将客户数据、后端系统访问,甚至货币系统暴露给未经授权的访问,从而给系统和整个业务带来若干操作风险。尽管API的核心价值主张在于简化数据访问所需的系统集成,但对个人数据隐私和安全保护的需求,对基础设施也构成了巨大挑战。
业务开放风险和外部风险
开放银行模式下,银行与商业生态系统的客户、员工、第三方开发者、金融科技公司、提供商和其他合作伙伴的合作更加紧密。在事前,若银行没有对合作方进行严格的筛选,在处理接口使用方的请求时没有建立严格的事前准入机制,将导致资质不佳的合作方浑水摸鱼,增加欺诈等风险事件的发生比例。在事中,存在第三方超越授权范围使用API接口的情况,例如将服务接口二次提供给未经银行或者客户授权的使用方,将对银行的反欺诈、反洗钱等业务风险管理带来新的挑战。
开放银行也要坚持标准先行,加快制定并落实各区域开放银行的技术规范。开放银行涉及银行与合作方之间大量的数据、接口、系列和业务规则,要从设计、研发、部署、运维等阶段加强开放银行生命周期的安全管控,明确开放银行服务部署、接口设计、安全集成、安全监测、信息保护、风险控制等方面的技术要求,引导开放银行规范发展。加强资源融合发展,积极加强人才队伍建设。既要考虑银行机构自身开放银行发展专业人才需要,同时也要与科技金融人才劳动力市场接轨,制定科技金融人才培养战略,持续加大专业人才队伍建设的投入,为开放银行发展培养充足的专业人才。
随着更多的竞争者进入市场,银行需要一个功能完备的安全框架,这个框架需要有一定的容错空间,同时囊括处理第三方连接所需的法律框架、接入流程、风险评估流程和其他控制功能,来保护客户免受虚假交易的影响。开放银行的成功在很大程度上取决于公众的权益是否受到法律的保护,因此开放银行的发展需要受到国家层面的法律法规的规范和约束。PSD2对数据处理有严格的规定,但是缺乏监督时就会出现问题。目前,社会最大的担忧是法规的执行,因为事实证明,巨额罚款和严厉惩罚在阻止违规方面效果并不明显。在建立一个可行的框架时,预防措施是必要的。在制定公开的银行监管法规时,应当优先考虑消费者的权利。消费者权利和隐私的保护必须严格和透明,消费者有权利知道共享数据的范围、数据的价值以及共享数据的用处,而且应不仅仅是考虑数据易访问性、撤回同意、删除权利和及时报告数据泄露等因素,还应该做好第三方身份验证和客户授权,限制资质不符的合作者对数据的访问。
尽管今天的开放银行被视为现有业务的一部分,是银行业发展到一定阶段自然生长出的一个新业态和新模式,是数字时代银行业的一个自然组成部分,但银行业正在接近一个拐点,在新理念的指引下,开放银行只有在客户授权、监管合规的前提下,才能完成行业的完美蜕变。
开放银行带来银行业的深刻变革
开放银行的发展可能会对银行业的整体发展及内部竞争格局产生重大影响。开放银行及背后的金融数据共享,正在引发金融行业的大变革。
美籍奥地利经济学家约瑟夫·熊彼特(Joseph A.Schumpeter)提出了创造性破坏理论。在熊彼特看来,“创造性破坏”是经济结构调整的必经阶段,经济结构的创造和破坏主要不是通过价格竞争而是依靠创新的竞争实现的。每一次大规模的创新都面临着淘汰旧的技术和生产体系,并建立起新的生产体系。他认为企业是“创造性破坏”过程的组织者和始作俑者,经济结构动态失衡是健康经济的“常态”,而非古典经济学家所主张的均衡和资源的最佳配置,企业通过创造性地打破市场均衡,推动经济结构的优化和经济社会的发展。熊彼特强调了企业创新在推动经济社会变革中的重要地位。
哈佛商学院教授克莱顿·克里斯坦森(Clayton Christensen)在《创新者的窘境》和《困境与出路》书中提到创新有两种类型:一是维持性创新,即向市场提供更高品质的东西;二是破坏性创新,即利用技术进步效应,从产业的薄弱环节进入,颠覆市场结构,进而不断升级自身的产品和服务,爬到产业链的顶端。而实现破坏性创新必须具备三个条件:新技术的发展、客户的接纳、市场竞争格局的调整。
开放银行的本质是“客户在哪,银行服务在哪”。按照银行服务的提供方式来划分的话,银行迄今为止经历了从网点银行、自助终端、基于互联网银行服务到开放银行阶段。
银行对数据的应用主要有三个方向:一是主要基于原有库存数据服务客户;二是通过API共享数据给其他机构,再内嵌进后者基于所共享和自身数据提供的产品以服务存量和新增客户;三是从其他机构API获取数据,与原有数据整合后迭代获客体系,吸引新的客户和辅助服务现有客户。(周科,2018)可以看出,开放银行阶段,整个银行业的市场格局将发生重要调整,无论是从技术、客户还是市场格局的角度,开放银行的出现符合“破坏性创新”的本质特征,将为银行业带来重大的创新变革。
杰姆斯·汉考克(James Haycock)等在《消失的银行》一书中提出了这样的一种观点,银行受限于庞大的规模已经很难跟得上时代变化的节奏,再加上其高昂的合规成本,使得银行在转型方面困难重重。而新兴的科技公司以其高效率对银行业产生了重大冲击。如果我们分解银行的业务,就会发现金融科技公司可以替代银行提供的每项服务。这对银行来说是可怕的,甚至是毁灭性的。但是银行掌握着我们的账户,信用货币创造依旧离不开银行,未来银行或许将是一个维护账户的后台组织,被提供各种服务的金融科技公司所使用。所以我们仍然需要银行,但对银行需求的原因将产生很大的改变。银行可能会成为一个大“仓库”,将金融科技公司聚集在一起,以满足客户的每一个特定需求。在这个过程中,银行将扮演何种角色、如何与客户产生交互、如何推进银行变革,是银行在推进API开放的过程中需要考虑的问题。开放银行带来的挑战不仅是某个银行所面临的,更是整个银行业所面临的。
加剧银行业竞争
银行市场是相对集中的,存在着一定程度的垄断现象,银行机构不能充分竞争,导致客户体验较差,银行服务效率较低。银行服务的客户存在着高度重叠,但是覆盖范围又较为狭窄。银行市场对新进入者形成了较高的门槛,金融业要求必须持牌经营,虽然这有利于金融风险防范,但在一定程度上也对金融创新机构开展金融业务造成了阻碍,不利于开展金融创新。由于消费者不能在自己所服务的银行之间做出比较判断,从而在服务银行之间的转换率较低,因此,银行做出积极改变的动力较小,不利于银行本身的竞争。银行通过开放API,一个全面的分布式商业形态将会形成,在这个商业形态中,各个银行与金融科技公司会有更加平等的竞争地位,银行的金融业务也将不局限于银行本身,金融科技公司会以其高效率、高创新和低成本来与银行业展开充分的竞争,各方组成紧密的商业联盟、相互协作,产生共同价值。
盈利模式需要调整,内外部转型压力增加
技术基础系统方面,银行面临着一个新的技术挑战,即在尽量维持目前运营标准的前提下,在更新本身的IT系统架构为基础之上提供API接口给第三方。马修·沃尔(Matthew Wall)曾经在接受英国广播公司(BBC)采访时提到,全球大型银行都面临技术问题,导致客户无法访问在线银行账户等服务,包括汇丰银行、美国银行、澳大利亚联邦银行、澳新银行、苏格兰皇家银行等。目前银行基本都面临着IT基础设施更新的问题,移动金融时代,客户需要银行提供实时的交易服务,很显然现在银行的IT后台系统已经阻碍了银行的创新步伐。技术标准方面,银行的一些现有支持功能如欺诈检测、KYC及一般安全和交易监控的技术标准也需要更新以解决安全问题。这都需要银行投入大量的人力、物力成本,因此给银行造成了成本上的巨大挑战。
银行开放API接口后,如何在新的模式下实现盈利是其面临的重大挑战。银行是一个依靠规模化发展的行业,如果银行不能在短时间内获得规模化发展,可能会导致客户群的恶化,最终,银行将因为被迫减少的规模量引致边际成本的增加,使银行盈利遭受严重威胁。
早期,银行作为资源的整合方,掌控产品和分销渠道,银行作为中心化的存在,掌控整个产业价值链,决定着消费者享受到的服务内容和服务质量。即使在早期的互联网时代,账户信息和支付服务均是通过银行自建的线上和移动渠道来触达消费者。第三方机构首次通过支付服务借入银行体系,但是随着金融科技行业的发展,一些金融科技公司如网络借贷公司、消费金融公司、互联网巨头瞄准了银行的空白领域,对银行形成了巨大挑战。此时,银行可以更多地作为一个“分销者”的角色,开放银行战略可以充分发挥银行的互联网和移动分销渠道,充分利用第三方服务拓展银行数字化市场的占有率,比如银行为其他机构的基金产品或支付卡方案提供平台或渠道。银行开放API的过程给予银行仔细剖析其产品的动力,通过剖析产品,银行可以深度了解产品背后所蕴含的服务、功能甚至是原始数据。开放银行背景下,产品的分销和服务提供能力都会出现诸多变化,银行必须找准自身定位,做出战略变革。开放银行时期,API作为产品和分销渠道之间的一个枢纽,无论银行主要是发力产品端,或是发力渠道端,均是银行在开放时期的转型战略选择。
平台化模式发展
PSD2法案的目的是支持欧洲市场支付行业的创新和竞争,保护消费者权益。在PSD2中明确规定,欧洲各大银行将被强制要求对第三方支付服务提供商(third-party Payment Service Providers,简称PSP)开放用户账户信息权限,以及提供全部必要的API接口权限。这意味着,未来欧洲用户仍然可以保留原有的银行账户,而使用第三方支付公司提供的工具去管理日常的消费。PSD2必将推动支付价值链上现有参与者的创新与竞争,并提供一个制度框架,使银行专注于为客户提供更好的消费体验。支付行业各方包括银行除了要面对上述影响和风险,同时也面临着大量机会。
PSD2的发布为新的金融科技公司降低了门槛,银行业也因此被迫面临巨大压力。在这个背景下,银行应主动加入整个生态当中,从用户体验出发,把自己变成“一站式”银行,“银行即平台”的模式逐渐形成。调研机构高德纳咨询公司也将“开放银行”定义为一种平台化商业模式,即通过与商业生态系统共享数据、算法、交易、流程和其他业务功能,为商业生态系统的客户、员工、第三方开发者、金融科技公司、提供商和其他合作伙伴提供服务。
目前,银行通过各种渠道,如线上渠道、移动端渠道和分支机构等提供一系列的“端到端”的金融服务,此时,银行和客户的交互是直接的,银行是服务的最终提供方。在API开放的情况下,银行更多地将作为一个平台,在此平台上,第三方公司构建的应用程序可以使用银行的数据。银行的一切业务以客户开立账户作为开端,账户作为客户开展金融活动的载体,是客户办理贷款、抵押、储蓄、外汇等金融业务的基础设施。但是,银行通过开放API,上述情况都将发生变化。客户完全可以通过在第三方平台上注册即可拥有自己的第三方平台账户,第三方平台通过调用银行的服务来为客户提供更有价值的服务。此时,客户与银行不直接交互,银行账户不再作为公众获取银行服务的必要途径。可以看出,银行在开放API的模式下,用户将不再局限于自己的银行所提供的平台,银行如何构建与金融科技公司的关系,在监管框架下如何认清自己服务的边界以重塑自身的核心竞争力是关键。事实上,银行如果作为一个平台,能够充分利用这些新技术,那么银行就可以扩大其影响范围。目前国外许多银行已经认识到银行作为平台的角色存在而可能对自身带来的发展机会,并且已经开展了相关行动。
BBVA(西班牙对外银行)于2014年2月收购了美国数字银行Simple,作为现有银行网络之上的“智能层”,进而为客户提供数据丰富的交易分析;法国农业信贷银行(Crédit Agricole)在2012年推出了自己的应用商店,它们认为客户在与银行或任何合作伙伴的关系中创建的数据是客户自己的财产,因此客户拥有访问这些数据的权利,更进一步,客户也应该能够在应用程序中访问这些数据;德国Fidor银行通过启动API开发人员社区,包括开发人员日,以促进其银行数据的可编程性。
亚马逊、阿里巴巴、滴滴等都是以平台为发展模式的企业,它们利用平台将供需双方直接连接起来,通过减少中间环节来有效创造价值,扩大规模奠定行业垄断地位。平均而言,平台统筹者比其他业务模式的收入增长得更快,创造的利润也更高。和传统银行业相比,为什么新兴的互联网公司跑得那么快?那么迅速地形成了规模?那么快地根据市场需求快速迭代自己的产品和服务?很重要的一点就是文化差异。互联网公司可以承担巨大的风险,在监管合规的边缘面临更轻的负担,但银行的目标却是要做“百年老店”。反过来说,这一点却也是传统银行业的优势。因为金融领域的特殊性使得金融平台不能仅仅连接供需双方,更重要的是要能够持续经营、管理风险、创造价值,而要论提供完整的金融服务,银行自身的资金优势和风险管理能力是新兴的金融科技公司所完全无法比拟的。可以说,“银行天然就是平台,但平台天然不是银行”。
“银行即平台”模式的关键在于其接受度和用户参与的广泛性。比如德国通过建立“开放银行项目”(Open Bank Project)来达到这一目的,这一项目通过提供银行API的开源服务来促进银行业内的创新,提高银行的可接受度。未来,银行可以更多地朝着一些科技公司成功转型学习,比如苹果应用商店、易趣(eBay)、Salesforce网站等。Salesforce网站的API生态系统在不断扩展,它包含超过800 000名开发人员,他们已经构建了超过400万个在Salesforce网站平台上运行的应用程序,由此导致Salesforce网站上的流量增加60%并且带来了可观的收入。
未来金融科技银行直接提供的产品可能将限于“持有资金”的业务,包括:多种货币的银行账户、信用卡和借记卡、电子钱包等,而像投资、交易和经纪,财富管理,贷款、信贷和抵押,众筹,保险,外汇等业务可能会借助API由传统的银行或第三方提供商来提供。银行通过开放API构建自己的生态平台,此时,传统银行将会成为这类银行的客户,它通过错位竞争的方式,避开目前银行业务的红海市场现状,走出一条完全不同的发展路径。它是一个聚合、连接价值的生态系统,它为多个第三方的产品提供了一种连接“管道”,而不是直接的产品和服务的提供方。在这个平台上,架起了客户和第三方服务提供商沟通的桥梁,前者的真实需求将被深度挖掘,后者市场拓展的成本也将大幅降低。此外,投资机构可以找到有潜力的初创企业以扶持它们成长。聚合产生价值,这或许是开放银行存在的核心竞争力。开放银行生态系统详见图2.2。
图2.2 开放银行生态系统
资料来源:the overview of APIs and Bank-as-a-Service in FINTECH
银行向平台模式的转变是一种战略深度变革,而不仅是战术变革,这冲击了整个银行体系,影响了银行的商业模式、服务方式等。在这一模式下,银行充分发挥自身的比较优势,在业务理念、业务方式上及组织架构上都需做出调整,与其他方共同构建生态,朝着可以提供贷款、投资和支付等广泛接受的平台化方向发展。
银行业务理念趋向共赢
银行在过去很长一段时间的组织方式都以集中式管理为主,因为需要不断扩大生产规模,扩充物理网点以降低边际成本,追求利润的最大化。进入数字化网络时代之后,金融服务要素可以低成本地复制,人们享受到金融服务的门槛逐步降低——人们可以通过极低的成本来获取、复制更多的金融服务要素,以增加金融服务事件的数量和范围。随着金融服务发生次数的增多,金融数据得到快速地积累、沉淀,此时,银行业之间的合作越来越频繁,合作共赢成为银行业发展的主题。共享经济、平台经济成为银行业商业模式转型的重大方向。
梅特卡夫定律(Metcalfe's Law)指出,网络的发展使得马太效应不断增强,网络价值随着用户数平方的增长而增长,即与用户数平方成正比。原来的商业建立在点对点的连接方式,互联网将这些点扁平化地接入并交互,一个巨大的星形网络形成后,交互速度大大提高。梅特卡夫定律为共享经济的发展提供了最广泛的参与基础。在共享经济的运营方式中,由于部分或者绝大多数成本是由共享者提供的,因此企业的运营成本较此前大幅降低,从而大大缩短了盈亏平衡的时间。在这种新的商业模式下,银行也将迎来新的发展机遇。开放银行时代从“得账户者得天下”向“得场景者得天下”转变,银行业务的开放共赢心态更加凸显。银行面临的流量诉求和留住客户的压力,加速了银行通过技术手段实现跨界融合的进程,使得银行间、银行和非银机构间,甚至银行和跨界企业间的数据共享与场景融合蓬勃发展。
银行业务方向趋向底层化
未来银行在开放平台模式下,仍然提供底层账户管理和存贷汇等核心功能和基础服务。以往中间业务是银行的附属业务,现在中间业务将成为银行业务的新增长点,中间业务将赋能其他业务,“银行即服务”模式逐渐成熟。以银行为例,其持有的金融数据主要可以分为三类:公开市场数据,即金融市场、金融产品的数据,如汇率、利率、汇款费用等;经授权后可共享的用户数据,即用户在银行享受金融服务的过程中而产生的与自身相关的数据,如用户账户信息、用户账户交易记录、用户信用记录等;银行内部数据,即银行的业绩表现,如净资产收益率、总资产周转率、EVA(经济增加值)等。(周科,2018)通过将银行的数据、算法、交易、风控、流程和其他业务功能开放给生态系统内的第三方,银行得以构建新的核心能力,银行的业务模式及价值链将得到重塑。此时,银行退居底层,银行的营收增长将更多地通过对关键资产的共享、利用和连接来实现,银行将可能成为金融业的最大的基础设施平台。
组织架构亟须整合
传统银行的组织架构多采用总分行的集中管理体制,组织机构冗杂,阻碍了银行创新的步伐。一些银行已经开始着手进行组织架构的调整。银行在组织架构上的创新发展主要有两条路径:一是内部部门整合,二是外部独立运作。
艾尔弗雷德·钱德勒(Alfred Chandler)在《战略与结构》一书中指出,企业的经营战略要适应环境的变化,而组织架构要随着战略的变化而变化,这明确了组织架构要服从战略发展。在组织架构设计和调整时如何体现客户导向,最为直观的就是按照客户群体进行部门设计,围绕目标客户需求进行板块划分,打破“部门墙”。
开放银行对银行生态圈的影响
数字经济时代的到来,使得整个金融市场的格局将发生变化,银行这一重要的金融市场主体必须求变以求生存。从整个生态的角度来看,打破信息孤岛,整合数据信息,将有利于金融市场的发展。
金融科技公司具有数据积累和挖掘方面的优势,可以助力银行大大降低交易成本,拓展客户。传统银行作为客户结算和基础金融服务提供方,应该有管理地开放客户信息和交易数据,与海关、工商、税务等部门共享、互换数据,完善银行自身的数据库,并与金融科技公司的数据交流合作,充分利用双方各自的数据优势,做好数据搜集和积累。在此基础上,银行应利用大数据、云计算等技术进一步洞察客户,分析客户需求,甚至是预测市场动向,构建银行数据服务体系并且促使其良好运作,不断适应客户需求,增加客户黏合度,拉近银行与客户之间的业务关系。开放银行背景下,银行的战略是“平台制胜”战略,银行和银行、银行和互联网公司乃至银行和其他跨界竞争者将不再是“零和竞争”的关系,而是可以利用各自优势开展协作创新、共同成长的伙伴。
银行、消费者与第三方提供商的三方共赢
第三方提供商:促进创新,降低成本,提高效率
软件应用开发者可以重新利用API提供方的现有功能和数据源来改进自身的产品,而不必提高自身的IT系统效率并满足合规要求,这降低了产品应用的开发成本并加快了产品的上市速度。对于API提供商而言,这创建了一种价值创新的合作模式,在此模式下,合作的各方可以创建一种更广泛的分销网络,降低第三方的创新成本。
除银行以外的放贷组织,只能根据它们所掌握的客户与自身机构所发生的金融行为而产生的金融信息,为客户做出放贷风险评级,比如小额贷款公司、消费金融公司、担保公司等如果没有很强大的集团公司作为背景,其数据来源因为缺少客户银行账户信息等作为支持,所掌握的数据将十分局限,无法对客户的风险信用评级做出最佳判断,因此无法做到对客户的金融产品给予最合理的定价。第三方平台的开发者,可以通过访问银行的数据,并且以一种安全、清晰的方式将其与共享的客户数据很好地进行融合,进而快速、高效地研发出更加优质的新产品、新服务。
消费者:帮助消费者做出最优选择
通过开放数据给客户,客户可以了解自己账户的具体、详细信息,客户基于他们所了解的所有信息,在不同的银行账户之间做出比较,选出最适合自身情况的金融产品,并且可以更好地管理其金融财务状况。这样一来,客户可以节省在不同银行账户之间进行转换的费用,同时,可以更好地管理自己的信用状况,避免因透支而产生的信用成本。例如,荷兰银行集团(ING)将在法国和意大利市场引进资金管理平台Yolt,Yolt是荷兰银行集团于2017年6月在英国上线的一站式个人资金管理平台,通过Yolt App,客户可以在同一手机界面统揽不同银行开立的所有账户信息和交易记录,这是荷兰银行集团建立泛欧洲资金管理平台战略的重要组成部分。这可以说是银行在为客户提供统一的账户管理方面的新实践,客户可以在这个平台上管理自己的多个账户的资金。开放银行在为客户提供资金管理方面则又往前迈进了一步,客户与银行之间没有第三方平台,客户可以直接根据自己从银行所了解到的金融信息,管理自己的账户与金融资产,降低了信息流通的成本,缩短了客户做出决定的时间周期。
银行自身:增强综合性的产品服务与渠道创新
随着银行开放API接口,一种新的银行生产方式或将诞生。传统银行的运营大多是封闭式的,银行围绕开发产品、营销获客、风险管理、后期维护等全链条开展独立运作。开放银行阶段,银行将自己置身于一个完整的商业生态中,银行的各个业务环节都将充分地开展外部合作,对每个环节都可以投入较之前更高的生产力,银行的整个商业链条将重新整合,银行的价值链将得以重塑。
传统银行产品的生产过程离客户较远,营销渠道不顺畅,客户需求传导到产品研发耗时、耗力。目前,对于银行自身的产品在其他银行的网络平台或是其他第三方平台上销售,监管机构尚没有给出明确的监管方向。开放银行通过创建一个标准化的共享服务模式,使银行渠道不需要借助第三方来被动创造与开发,银行由被动转向主动,通过主动扩展银行服务范围,提高银行服务能力,通过API开放向银行即服务方向转型,以此来增加银行产品被触达的可能性。例如,银行可通过API开展营销社交,增加银行品牌宣传力度。营销社交是通过社交的手段达到营销的目的,当人们通过发送照片、音频、文件等一系列方式开展社交活动的时候,无形当中增加了自己的曝光率。
开放银行通过开放接口给一些社交网站,使得用户可以通过社交网站调用银行的接口,社交网站拥有丰富的用户资源,可以大幅度增加银行的流量与曝光度,为银行的客户营销提供基础与入口。
更进一步,银行可以建立自己的用户社区,增加品牌知名度,提高用户忠诚度。开放银行时代,银行可以及时、全面掌握客户需求,随着技术能力的提升,银行不再局限于存、贷款业务,涵盖存、贷、汇、理财在内的综合业务是产品创新的方向,银行通过不断丰富产品种类和产品组合,持续提高用户黏性。通过重新构建银行整体服务生态,综合性的捆绑式销售更具可能性,消费者可以通过一个平台或入口来比较不同机构提供的服务,进而做出最优选择。另一方面,银行可以将授权其他组织通过API访问其业务作为给特定客户的增值服务点,比如美国的Salesforce公司允许通过Web服务进行集成API的业务,而这仅适用于部分客户,Salesforce通过有限制地服务开放与特定收费模式,为自身带来了50%的收入增长率。
降低机构内部成本,提高内部管理效率
提高财务管理效率
开放银行背景下,将有助于提高机构的内部财务管理效率,节省企业的记账时间。日常的会计工作相对烦琐、耗时且存在效率不高的问题,企业的财务人员需要手动录入会计信息,不仅浪费时间而且会计信息质量也难以保障,如果没有良好的内部控制制度及外部审计,会计信息的真实性、及时性、准确性都会受到不小的挑战。近年来,随着人工智能等信息技术的崛起,会计的信息化、智能化成为会计行业发展的趋势。高德纳咨询公司预测,到2020年,40%的大型企业将采用RPA(软件流程自动化)工具,财务机器人的普及应用会造成大量财会人员(至少60%)下岗或转岗。目前,国际四个会计师事务所相继推出财务机器人软件,国内的金蝶和用友软件公司也相继发布了云服务财务机器人。这些财务机器人可替代财务流程中的手工操作(特别是高重复的);管理和监控各自动化财务流程;录入信息,合并数据,汇总统计;根据既定业务逻辑进行判断;识别财务流程中的优化点;部分合规和审计工作将有可能实现“全查”而非“抽查”等。
开放银行将加速这一会计改革进程,银行可以共享企业与其发生的日常往来的财务信息,此时,企业只需授权银行将自身财务活动所涉及的银行信息共享给企业的记账平台,记账平台上企业的会计信息就会自动更新,并不需要人工录入。如此,将大力降低人工成本的同时提高会计工作效率,保障会计信息质量。
加强银行内部协调,降低银行业务创新成本
目前,银行内部存在IT部门与业务部门脱节的情况,IT部门更多地考虑整个银行IT系统的安全性、可靠性,忽视了公司的成本和收益。通过内部API的构建,使得整个银行IT系统“轻量化”,为非IT人员使用这些API围绕自身的需求,在某些领域内达成其想要的构想提供可行性,从而方便了银行IT部门与业务部门的沟通协调,共同构建以业务需求为导向的API,通过及时调整银行IT架构,为产品创新提供保障。
由于API支持访问信息系统的新方法,因此意味着新的工作方式。API方便了从企业范围之外开启系统访问。比如外勤现场人员可以在智能手机上访问企业网络时访问实时数据,销售人员可以允许客户直接从客户家中订购产品。使用API,可以更轻松地将数据与现有解决方案集成,不需要花费更高的成本在信息系统中插入新的软件。
提高金融监管效率,维护金融业稳定
近年来,随着金融科技新兴技术的应用,在提高金融效率的同时也增加了金融风险的发生。尤其是一些新型的放贷组织,审核速度快、放贷及时,这类组织的申请人群通常因缺乏征信信息而带来了巨大的信用和欺诈风险。同时,金融科技产品往往同时具备金融属性和科技属性,一些市场主体的线上化操作,容易通过互联网无边界的运作模式导致跨机构、跨市场、跨行业的风险波及,加大了系统性金融风险的发生概率,加快了金融风险传播和跨界传染,这对金融监管提出了巨大挑战,尤其是金融监管协作方面。
金融监管者的监管资源、监管框架和监管能力需要与时俱进,金融监管机构需要掌握更多的数据来实时监测金融风险。银行账户作为人们开展金融活动的基础,金融监管机构可以通过观察账户的异常交易情况来识别欺诈风险等。开放银行模式下,银行通过开放客户的金融交易数据给监管机构,监管机构可以掌握到大量的金融交易信息,进而提高监管的有效性。此外,开放银行模式在提高监管效率的同时也会带来一些其他监管问题,这也倒逼金融监管机构及时调整监管思路,兼顾风险与创新的平衡。
在我国金融业分业经营的体系下,各个金融主体之间相对孤立,金融业务的综合性较差。回顾金融业发展的历史,在21世纪第一个10年的中期,我国开始进行金融业综合经营的试点。这些混业经营的业务在增加金融机构业务多样性和竞争的同时,也放大了道德风险和利益冲突,对金融机构自身的风险管理和金融监管形成了挑战,带来了跨行业、跨市场、跨区域的风险传递。为了防范混业经营的风险,应当坚持总体分业经营为主的基本框架,不鼓励发展混业经营。目前,我国的商业银行经营采用分业经营的模式,分业经营是金融支持实体经济、防范金融风险的根本。2018年4月,央行、银保监会、证监会、外汇局联合发布《关于规范金融机构资产管理业务的指导意见》(以下简称《资管新规》),为我国资产管理行业尤其是银行资产管理业务提出了新的监管要求。《资管新规》的发布限制了银行通道业务的发展,堵截了金融风险在银行与基金公司、证券公司、保险公司、信托公司、期货公司等之间的传递。在商业银行内部,规定了商业银行需要设立独立子公司来开展资管业务,充分实现风险隔离。开放银行作为银行业的一种创新机制,正是顺应了金融业分业经营的监管框架,通过开放API的形式实现银行与其他金融主体的有效合作,在促进银行创新的同时,可以很好地避免金融风险的交叉传染,降低系统性金融风险发生的概率。
促进银行规模化发展
开放银行的API技术,是一种特定的软件架构方法,API接口是可扩展、可重复利用和安全的,同时通过提供自助服务方便开发人员使用。正因为如此,系统之间接口的成本和交付时间得以大幅度降低,从而在更大规模上实现更快速、更便捷和更有效的创新。通过API接口,银行可以增加触达客户资产的通道并与生态中的其他主体共同为客户创造价值,生态中的共同参与方将与银行共同分担成本,规模经济效应得到放大,主要体现在以下几方面:一是银行可以减少自身在生产设备等基础设施上的投入;二是银行的专业化分工使得银行经营效率提高;三是银行的抗风险能力将增强,系统性风险发生的可能性减少,风险成本将得以降低。另外,银行通过规模化构建并开放API,使得银行的服务能力进一步增强,可以在低成本的情况下允许第三方在其上开发App或网站,甚至可以大规模地提供短期的一次性产品和服务。
增强金融市场的有效性
一个有效的经济市场需要满足如下几个条件:投资者有足够的理性,即“理性经济人”假设;市场上的参与各方能迅速同时对市场信息做出反应;公平的竞争环境;较低的提供商转换成本;较低的新提供商进入门槛等。信息割裂将会对一个市场的有效运作造成极大的负面影响,因此,促进金融市场上的信息在各参与方之间自由流通,将有助于形成有效的市场,促进市场资源的合理分配。
国外政府采取一系列措施促进信息的自由流通。在2014年的财政预算中,英国财政部宣布与英国最大的银行达成协议,它们将以标准格式向客户提供其交易历史数据,旨在帮助客户通过比较不同的银行账户,选择最适合自己的银行开户。数据之间实现了互通,银行可以把它的服务开放给更多的合作伙伴,包括支付账户、融资、理财等能力嵌入各种场景中,就具备了间接服务这些客户的能力。这些客户原本不是银行的客户,但是通过开放银行的生态可以触达。银行通过B2B2C,甚至B2B2B2C的形式对接到更多个人客户,银行的服务半径得以延展,覆盖到原来偏远地区的农民、小微企业等,实现商业形态的互补,金融资源的配置效率与公平性都将提高,使得多方达到共赢的格局。
在开放银行生态中,B2B的服务合作模式将会得到深化。B2B生态的关键在于生态中机构间的融合性和连通性,API技术为B2B生态的构建提供了技术方面的可能性,减少了技术摩擦。根据2016年大勇公司(SmartBear)发布的《2016年API调查报告》(State of API Survey Report 2016)显示,41.4%的受访者认为在评估使用API的可能性时,API与现有工具的集成是其首先关注的问题;39%的人则表示良好的产品或服务之间的互动是他们次之考虑的问题。
金融行业是一个具有高门槛的行业,金融资源依然聚集于一些大型的金融机构,再加上国家对金融业的严格监管,初创公司想要与其竞争,存在着很大的竞争壁垒。API提供了一种可行的方式,可以通过解耦和公开业务流程来提高银行开展业务的敏捷性。通过API可以提高银行与合作伙伴之间业务程序的互通性,消除人为错误,提高内部效率,开拓新的分销渠道。
另外,开放银行可促进普惠金融的发展。金融机构经营往往遵循“二八法则”,侧重于服务大型企业和城市高收入人群,而处于长尾市场的小微企业和农村客户得不到有效的金融的服务。普惠金融是全方位地为社会所有阶层和群体提供服务,而普惠金融的广泛包容性,在客观上决定了普惠金融业务具有风险大、成本高、收益低三大特征,这使得金融机构在推进普惠金融发展方面动力不足,而大数据、人工智能等数字技术的发展,消除了时间和空间的限制,促进了信息共享,降低了交易成本和金融服务的门槛,有效扩大了金融服务的覆盖面,为普惠金融服务提供了新的思路。数字普惠金融是以数字化方式提供的普惠金融服务,其前提是金融服务机构可以掌握大量的数据,开放银行模式下,各个机构间的数据实现了一定程度的共享,数据割裂的情况有所缓解,使长尾市场的边际成本大幅降低。此时,银行服务的对象将不局限于自身的客户,实现了从服务客户到服务用户的转变,银行的“触角”将渗透到社会的方方面面,普惠金融得以践行。
金融科技与开放银行相得益彰
金融科技对金融业的深远影响已经初现端倪,在提高金融行业效率、拓宽金融行业服务范围方面发挥了重要作用。很多业务最早都是由科技公司先提出一个相对可行的技术概念,有了相应的技术手段和系统开发框架,再加上金融机构率先的落地配合,之后随着应用深度的逐步扩展,成就一种新型的金融模式或生态。银行是金融体系最基础的组成部分,可以提供支付结算、存贷款等资金融通方面的基础金融服务,并且与客户的连接也最为紧密、牢固。如表2.4所示,银行的发展历程伴随着银行的信息化变革,技术驱动因素由计算机技术发展到现在以人工智能、大数据为代表的金融科技新技术,随着金融科技的不断渗入,银行开始拥抱技术创新,并由原来的后台创新模式演进到现在的服务创新模式。
开放银行通过迫使银行在用户授权之下共享消费者数据,提高银行业竞争,给更多机构平等机会参与竞争,与金融科技发展相得益彰。银行4.0的开放银行阶段,银行的核心竞争力是优质金融服务的提供。
表2.4 银行信息化变革阶段
虽然开放银行是“顶层设计”的产物,但是从银行角度来看恰是银行数字化转型的新实践。从需求端来看,随着金融科技的深度应用,消费者获得服务、信息和产品的方式正在不断改变和重塑,主要体现在三个方面:一是用户行为和期望发生了极大的改变,用户对产品和服务的即时性和便捷性要求越来越高;二是有关用户的行为信息和与用户的触达点都从线下转移到了线上;三是用户转换服务提供商的门槛越来越低,用户的忠诚度极大地取决于产品和服务是否满足其需求。
如果银行以开放银行为契机将银行打造成服务或平台,即BaaS或BaaP,那么背后的金融科技或许是最重要的驱动因素。以往银行的关键技术架构是以产品为导向,并不是以客户为导向。银行在向以客户服务为导向的转型中,需要采用金融科技进行技术架构调整。
一般认为,金融科技领域关键底层技术包括大数据、人工智能、互联技术(以物联网为代表)、云计算、分布式技术、安全技术(以生物识别技术为代表)等。大数据是金融科技最底层关键技术,其涵盖了数据的搜集、存储、处理、分析和挖掘过程。互联技术侧重于大数据的搜集、传递等前期环节,通过移动终端或实物进行信息数据的获取与连接。云计算侧重于大数据的存储、处理等中期环节,通过公共数据资源配置为客户提供IT资源供应。人工智能侧重于大数据的分析、挖掘等后期环节,可以快速提高数据的价值转换效率,促进技术的价值形成和转化。分布式技术需要大数据、云计算、物联网、安全技术等作为支撑。
开放银行:大数据积累的新途径
割裂与分散是当前数据的典型特征,不同机构掌握着不同的金融数据信息,数据孤岛现象明显。银行业作为客户数据的重要持有方,掌握了客户大量的一手金融交易数据。大数据技术提供了全新的沟通渠道和客户经营手段,可以加深企业和客户的互动,更及时精准地洞察客户,帮助企业改变服务模式同时增强市场竞争力。
大数据在金融领域的主要应用场景
大数据在金融领域的主要应用场景:第一,用户画像。基于用户标签的判定、分类和验证,为客户构建用户画像,进行用户分析,主要应用的业务包括信贷风险评估、金融反欺诈、精准营销等。摩根大通首席执行官杰米·戴蒙(Jamie Dimon)在其2015年年度股东函中指出:“硅谷的时代即将到来。有数百家创业公司拥有大量的人才和资金,致力于实践各种方案用以替代传统银行业务流程的各个阶段。比如贷款业务,通过使用大数据可以增强信贷承保阶段的效率,从而实现快速向个人和小企业提供贷款。”第二,建立客户知识图谱。根据行业、产品、企业和人的联系,形成客户关系图谱,用于进行管理分析和风控。知识图谱通过数据之间的关联,将碎片化的数据有机组织起来,使数据更加容易被人和机器理解和处理,并为搜索、挖掘、分析等提供便利,为人工智能的数显提供知识库基础,主要应用的业务包括供应链金融、保险核保、反洗钱等。
开放银行与大数据相辅相成
数据共享作为开放银行的理念之一,通过与账户所在机构的第三方分享自身所掌握的金融数据,为用户仅通过一个接口即可享受到不同种类的金融服务提供可能。因此,开放银行不仅可以利用银行本身所掌握的数据,通过数据的开放共享,可以打通第三方的数据,有助于完整数据产业链的构建。同时,银行可借助新兴的大数据技术广泛收集各种渠道信息进行分析应用与风险管理,运用大数据进行精准营销、获客、风控,通过大数据模型为客户提供金融信用,进而辅助各项业务决策等。二者相互促进,互为助力。
第三方应用成为数据源泉
银行基于特定的数据分享标准,通过API接口,将银行所掌握的数据经过用户授权后开放给第三方,第三方拿到这些数据后可以通过创新产品、改善服务等为客户提供更便利的服务。同时,银行通过第三方(主要是一些金融科技公司)也可以掌握客户的多维度、深层次信息,而不仅限于客户同银行互动所产生的与借贷活动相关的金融信息。如此,银行所掌握数据的深度、广度、量级将呈现裂变级增长。可以说,开放银行模式下银行数据开放为大数据技术的应用提供了基础,使得大数据技术在提升银行效率、改进银行服务方面有了更坚实的数据源和基础。
银行服务在大数据之下的精准营销
传统银行触达客户的手段有限,无论是物理网点还是网上银行,均是通过银行自建渠道来完成对客户触达,获客能力有限。同时,传统的营销模式缺乏大数据的支撑,即使是在仅有的客户群基础上也无法做到客户需求的精准触达。随着大数据时代的到来,银行的经营理念将由以产品为中心向以客户为中心转变,转型的关键在于对用户需求的深度把握,利用大数据技术刻画用户画像,及时预测用户需求,为用户提供有价值的服务,是银行转型成功的突破点,主要体现在两方面:一是实现对存量客户需求的深度挖掘,二是扩大潜在增量客户的覆盖范围。
精准营销的目标是实现从“银行找客户”到“数据找客户”的转变,主要是依靠对客户画像的精准刻画。一般来说,用户画像刻画指通过跟踪用户的行为,深刻把握用户行为背后的动机,形成用户的个体画像。银行业存储的用户信息较真实,数据质量较高,是刻画用户画像的重要来源。目前银行业存储的信息多是用户的身份证号、姓名、收入状况、财产状况及衍生出的信用状况等信息,对用户的社交行为、消费行为等信息存储较少,难免会出现对用户画像刻画的片面性。大数据技术,通过分析客户金融数据、行为数据等,了解客户的资产、盈利能力、支付能力、金融兴趣等特定信息对客户进行分类,实现全面动态多维的客户管理。同时,根据客户基本金融特征,及时把握客户需求,提供个性化金融服务,进一步提高客户的满意度和忠诚度。
开放银行营销的一个关键点是通过将用户转化为客户,扩大自身的营销范围。开放银行的营销路径将会沿着“为客户服务”到“为用户服务”的方向演进。银行传统的营销渠道只能覆盖与银行发生过业务往来的人群,覆盖面受到极大的限制。开放银行背景下,银行通过合作伙伴及开放银行生态中的其他参与者,使得银行与最终用户产生更多维度、更深层次连接,银行营销渠道得以大幅扩展。银行将逐渐掌握大量最终用户的数据,进而逐步增强对最终用户的服务能力,银行营销的“触角”将在毫无感知的情况下,延伸到最终用户,形成银行服务的增量。
银行风控进一步智能化
如果说《巴塞尔新资本协议》的全面风险管理(资本计量、监督检查、市场纪律三大支柱)是传统风控的体现,那么智能风控则是互联网、大数据时代风险管理实务的变革与创新。智能风控改变了过去以合规、满足监管检查为导向的风险管理模式,强调用金融科技降低风险管理成本、提升客户体验、数据驱动风控能效,实质上代表了一种精益风险管理思维。智能风控借助大数据技术大幅提高风控水平,数据驱动的风险管控与运营优化使得风险管理更具智能化。由于大数据的引入,金融机构能够获取更多维度的外部数据,像客户行为、电商消费、运营商数据、地理位置、购物习惯等。与传统金融数据相比(如央行征信、交易流水、资产状况、财务报表等),虽然这些数据与客户违约本质上没有必然关系,但增加了风控模型的更多风险因子和变量,可以提升风险定价、违约率计算的效率与效果。
在商业银行中,智能风控组件多集成于电子银行、互联网金融等业务部门的后端平台中,作为业务系统的独立的规则或决策单元。开放银行的数据来源渠道大幅增长,银行所掌握的数据也更加全面,数据采集、数据加工处理、数据挖掘与分析等大数据技术应用全流程也更加顺畅,随着外部数据获取途径的增加,对于过去无法获取有效风险特征的人员或中小企业,风险数据得到有效的补充,从而能够为更多的场景、人群设计不同的金融产品,并为多种风险类别提供决策支持,如客户信用风险、抵质押品风险、异常交易风险、操作行为风险、机构行为风险、授信风险等提供决策支持。另外,征信数据是风控的重要来源,中国人民银行的征信系统是世界上收录人数最多、数据规模最大、覆盖范围最广的金融信用信息基础数据库,但是其主要以个人银行信用记录作为个人征信的评判标准,根据客户行为变化对其信用状况做出及时、动态调整方面受到制约,个人征信的维度有待扩展。大数据技术更大程度上发挥了征信功能的作用。数据的产生速度和流动速度越快,数据的集中度越高,征信系统就能越快速甚至实时地做出对客户偿债意愿和偿债能力的判断,在保证信息时效性、提升信贷效率的同时,也能更好防范金融领域中的各类风险。
智慧城市管理
传统的城市管理主要依靠事后管理模式,存在缺乏时效性、效率不高的问题。智慧城市管理需要运用新技术,尤其是大数据技术,建立起可视可控、全面感知信息、科学分析评估、智能管理业务、多元服务公众的信息服务平台,实现“感知、分析、服务、指挥、监察”五位一体的全链条智慧城市管理新模式,促进城市管理方向从定性变为定量,静态变为动态,单一变为综合,滞后变为实时,粗放变为精细,进而建立完善的长效管理机制。BBVA等银行在其日常活动中可以产生大量关于公民真实交易的动态数据,通过这部分数据源,可以很好地了解发生在城市中的社会经济活动。通过详细了解人们使用公共服务的背后动因、使用服务的偏好时间段及地理位置等信息,有助于形成城市、地区、居民及其需求的动态愿景。Paystats是BBVA提供的一个API接口,它以匿名的方式统计汇总了使用BBVA卡和POS进行的数百万笔交易,并创建了一个虚拟地图,使我们能够分析消费者的习惯以及其他变量等。Paystats可以方便使用者记录ATM上的电子支付和现金提取数据,并通过总体分析方式,衡量一个地区的经济脉搏和繁荣程度。在其他公共事业中,Paystats可以找出不同程度的事件所产生的影响,为城市空间重塑、交通网络合理布局提供合理建议等。智慧城市管理正是需要基于这些数据,实现对城市居民行为的观察,以便发现城市管理漏洞并及时想出解决方案。可见,银行通过API接口开放数据并提供访问机制,可以助力智慧城市管理,改善城市环境、居民生活质量,并提高城市经济发展的可持续性。
分布式技术的开放银行应用
PSD2赋予消费者对于自身数据绝对的控制权,即只有经过数据拥有方即消费者自身的同意,其数据才可以被开放给第三方金融科技公司。但是由于授权过程可能产生数据泄露的风险,消费者往往缺乏授权自身数据给第三方使用的动力。如何才能给予消费者授权自身数据开放的动力?或许给予消费者对自身数据的自治权利,包括所有权、使用权等是关键。
当消费者完全拥有自身数据的全部权利,他们可以选择分享数据的时间、内容与对象,而且消费者拥有撤销数据分享的权利,当然他们也要承担相对应的风险。此过程中,对于消费者本身身份真实性的认定、防范消费者欺诈风险的发生,是首先需要解决的问题。开展有效、安全的消费者身份认证,为数据分享提供强力保障,可以有效降低信用风险,降低与消费者之间信用建立的成本。
分布式身份认证系统提供了关于消费者身份认证的解决方案。区块链技术是利用块链式数据结构来验证与存储数据、利用分布式节点共识算法来生成和更新数据、利用密码学的方式保证数据传输和访问的安全、利用由自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构与计算范式。
传统的非分布式身份认证系统有中心节点,黑客一旦发起攻击,很可能造成系统崩溃。从这一点而言,基于区块链技术的分布式结构更加坚固。区块链技术以其独有的信任创建、维护机制,能够安全地验证银行间的客户信息并促进信息的同步更新,使人们能够随时随地解决“我就是我”的问题。在区块链身份认证系统中,第一次使用的用户在自己的手机应用里输入姓名、出生日期、证件号码等个人信息,用户到银行开户的时候通过手机应用认证这些信息。经过认证的信息存储在区块链的一个节点上并且得到确认,之后此用户去其他银行开户,就能直接从网上提交手机应用中的信息给其他银行并授权银行进行区块链认证,而且用户可以通过手机应用实时监控自己在区块链上的信息。
在开放银行阶段,一套完善的消费者身份认证机制是开放银行得以商业化运营的重要基础设施。基于区块链的身份认证系统可以很好地解决消费者身份认证问题,通过此系统中消费者之间的互相监督的信任机制,降低了第三方机构与每个消费者建立信任的成本。同时,金融风险承担方由原来的第三方机构或金融机构部分转移至消费者,也因此降低了机构的合规风险成本。身份认证系统可以在几分钟内准确地向机构授予消费者对相关数据的安全查看访问权限,消除由于快递或邮政等服务导致的时间延迟,并显著加快交易时间。可以看出,区块链技术在身份认证系统中的应用,对于提升开放银行效率、降低开放银行运营成本有十分明显的作用。
人工智能技术的开放银行应用
德勤全球银行和资本营销咨询公司的负责人罗布·加拉斯基(Rob Galaski)表示,在开放银行环境中,聚合器将位于金融账户数据源之上,并为客户提供一个从与银行有业务往来的不同机构中获取数据的位置。该模式主要建立在快速、高效、可比的结果上,因此人工智能将成为其核心驱动力。
智能反欺诈
在移动支付时代,金融交易大多通过线上实现。在金融交易便利提速的同时,潜在的金融交易风险如欺诈风险具备了多样化、快速化、高频化的特征。一味地增加验证手段,强化交叉验证的方式,已经不能满足线上金融交易的需求。在开放银行时代,银行通过开放数据与第三方共同打造生态,二者所利用的数据均将呈现指数级增长,数据所覆盖的广度和维度将得到大幅提升,与此同时,金融交易的频率必将增长,潜在的欺诈风险也将扩大化。人工智能技术通过从大量非结构化数据中提取关键点来分析客户和员工的行为,进而识别潜在的交易欺诈并降低风险。除了授权验证外,通过机器学习等技术的深度应用,可以开发智能风控系统。智能风控系统可以挖掘金融交易的事前、事中、事后阶段的风险点,并有效结合用户授权阶段的风险点,在交易中采取相对应的措施,为用户带来安全的交易体验。
另一方面,得到用户的授权是开放银行一切金融活动发生的前置条件,如果出现未授权支付等情况,则危及整个开放银行体系的安全与运行机制,潜在的欺诈风险也将前移。生物特征为人体固有的特征,具有唯一性,是行之有效的身份验证手段。生物识别技术在开放银行客户授权中的应用,将会提高整个授权过程的安全性和效率。
创新金融产品
在开放银行的大趋势下,传统银行难免会对部分传统领域失去掌控力,但它们也会收获一个更加广阔的行业利润池,而且有机会成为其中的主导者。开放银行阶段,随着银行与客户接触面的扩展,客户需求的多元化对银行提出了挑战,并且客户对金融服务的要求越来越高,他们已经不在乎是哪家机构为他们提供服务,更看重的是享受到服务的便捷性与质量。谁愿意率先对外部积极开放数据、抢先提供客户需要的创新产品,包括各种增值服务,如预算管理、支出分类等功能,谁就能够获得先发优势。银行的中间业务在开放银行趋势下将会占据越来越大的比重,比如在智能投顾领域,智能投顾平台大多采用银行自建或者金融科技初创企业单独建立的途径,二者之间不免存在数据割裂的现象。依托大量金融客户的先发优势,银行在智能投顾领域的竞争力较强。银行在开放的趋势下,二者的资源能力将得到进一步整合,传统银行触及不到的长尾客户也将成为银行的潜在服务对象,进而扩充银行的利润空间。但是这对银行的技术能力也构成了巨大的挑战,而对长尾客户财富管理需求的精准把握、营销及资产配置,都需要人工智能技术作为强大的支撑。
智能监管
开放银行推动银行金融服务渗透到老百姓日常生活的方方面面,具有服务场景化、业务扁平化、参与多元化、能力综合化的特点,成为商业银行提升获客能力、增强用户黏性的新途径,对于促进银行业转型升级、更好地服务实体经济具有重要作用。开放银行在有效提升银行金融服务效能的同时,也使得风险敞口更多、风险管控链条更长、风险洼地的效应更加明显,风险的形式出现了新的特点、新的变化。
数据泄露风险方面,开放银行连接了服务的提供方、交易发起方等众多主体,数据泄露风险增多,任何一方数据保护存在薄弱环节,都可能危及金融数据安全。一旦开放银行服务接口存在设计缺陷或权限设置不当,恶意攻击者就可能非法获取客户数据,应用方也可能违规使用交易信息。网络安全风险方面,依托互联网渠道向客户提供服务,开放银行接口具有公开的共享属性,被恶意调用并发起拒绝式服务攻击,可能导致商业银行业务系统服务不可用,造成业务连续性中断,开放银行接口服务属于外部服务,面临着访问漏洞等外部应用安全风险。业务开放风险方面,从业务流程再造角度看,为提升开放银行业务灵活性,商业银行将现有业务流程拆分,分装为多个业务接口,控制不严,将会导致业务流程无法按照预期执行。外部风险方面,开放银行促使商业银行与其他行业合作更加紧密,对商业银行外部合作方的管理提出了新的要求,在事前如果缺少健全的准入机制,将导致资质不佳的合作方浑水摸鱼,增加风险事件的发生概率。
鉴于此,基于人工智能的监管科技可以强化监管机构对开放银行风险的认知,确定新的监管规则,与现有监管体系形成很好融合的同时,强化开放银行的合规管理。通过采取系统嵌入、应用对接等方式建立数字化的监管协议,搭建开放银行的统一管理平台,推动监管模式由事后监管向事中监管转变,不断提升金融监管的专业性和穿透性。
物联网在开放银行中的应用
几乎每一个市场预测都显示,物联网行业在未来10年将增长到万亿美元以上。市场研究机构物联网分析公司(IoT Analytics)的一个更保守的估计认为,到2025年,物联网行业将增长到1.6万亿美元。物联网能够将设备连接到互联网并使其相互连接,同时这些设备能够根据所收集的数据对情况做出响应。根据美国电缆电视协会(NCTA)的数据,到2020年,联网设备的安装数量预计将增长到500亿台以上,比2012年增长近500%。
对于消费者而言,物联终端设备可以及时跟踪消费者的日常行为,市场研究机构沃克·沙公司(Walker Sands)的一份报告显示了2017年美国家庭中各种联网设备的拥有量,智能手机、平板电脑、流媒体设备排名前三,除此之外,家庭自动化和智能音箱也是比较受欢迎的物联网设备;对于企业而言,以物联网为核心的大规模工业项目正在逐渐落地应用,物联网分析公司汇编了一份由1 600个已知工业物联网项目组成的列表,并按照应用占比对其进行排名,前三名分别是智慧城市、联网工业和联网建筑。无论是面向消费者还是企业,物联网设备本身会产生大量数据。随着物联网市场的急剧增长,物联网产生的数据量将是巨大的。国际数据公司(IDC)表示,物联网设备产生的数据目前正从2013年的0.1ZB增长到2020年的4.4ZB,根据这一估计,物联网设备生成的数据在短短7年内增长了近50倍。物联网产生的数据由于是真实场景的反映,与其他来源的数据相比,其在客观性、真实性、全面性方面具有不可比拟的优势。
物联网终端设备将每天产生的源自真实生活的场景化数据通过API线上化,为银行分析用户行为奠定基础。软件测试上,大勇公司在2016年进行的一个调查结果显示,44%的API提供商认为物联网将成为未来两年推动API增长的最大动力。开放银行背景下,银行需要物联网技术的支撑以助力其对更多产业生态进行连接、变革银行的信用模式、防范经营风险等。物联网在开放银行中的应用源自物联网金融的发展。物联网金融以物联网技术为依托,是金融机构为客户提供的一种金融服务,更多强调生态系统的概念。金融机构要和客户处于一个生态系统中,这样银行才能掌握物联网中产生的信息,进而利用这些信息为客户提供金融服务。互联网金融的特点是流量制胜,而物联网金融更多是倚重生态系统和数据的获取与挖掘,强调的是生态系统的概念,金融机构要和客户处于一个生态系统中,这样银行才能掌握物联网中产生的信息,进而利用这些信息为客户提供金融服务。
目前,银行业金融机构基本是通过调研来了解企业的运营状况和财务情况,进而进行信用评级。由于缺乏对实体企业信息的有效掌控,银行开展信贷业务存在较高的风险。银行通过开放连接了众多第三方金融科技公司,进而连接了大量的场景,开放银行的整个生态得到大幅延展。也正因为开放银行生态参与者的众多,物联网技术为整个生态提供了一种端到端、更直接的连接方式,使得生态链条最前端、最接近业务真实场景的数据信息客观、及时地被整个生态的参与者掌握。同时,银行在开放API的背景下开展业务,其风险管理阶段呈现前置化的趋势,动产质押、贷后催收等风险管理手段将逐渐淡化,风险管理更依靠事前、事中的风控手段,因此,对用户行为的把握显得尤其关键。在物联网时代,银行可以利用物联网技术实时掌控贷款企业的全部运营过程,包括采购渠道、生产过程、成品积压、销售情况,甚至用户使用情况等,有利于及时调整贷款进度和额度,帮助银行开展贷前调查、贷中管理、贷后预警,降低违约风险,提高风控水平。
开放银行不是银行
开放银行虽然包含“银行”字眼,但并不是一种新型的银行。开放银行仅是开放API的一部分,与数字银行、互联网银行以及虚拟银行有本质区别。
开放银行与开放API
API是控制一个应用程序如何与另一个应用程序通信和交互的一组需求。开放API是一个公开可用的应用程序编程接口,它为开发人员提供对专有软件应用程序或网络服务的编程访问,它是银行进行数据共享的方式。
开放API具有两个特征:第一个特征是可供开发人员和其他用户使用,但是要求向提供API的服务主体进行注册;第二个特征是通常基于开发人员遵守的开放标准支持访问开放数据,允许私有组织之外的开发人员访问后端数据,然后这些数据可以用于增强其自己的应用程序或创建新的应用程序。
API管理平台阿皮吉公司(Apigee)的构建者将开放API的价值主张总结为三点:第一点是突破性创新。通过利用世界各地成千上万的开发人员的创造力和专业知识,利用开放API来创建应用程序实现创新。第二点是利基市场。一个公司可能有一个地理或人口的利基,代表了一个新的业务价值主张。但它可能没有资源或预算来将价值主张引入这些利基市场,利用开放的API程序,任何开发人员都可以创建一个应用程序,为自己和API提供者生成新的价值。第三点是直接激励。直接的方法可能是运行一个竞赛或黑客松,以及针对API构建的奖励,谷歌会定期这样做。这种方法将研发预算和资源扩展到业务范围之外,并在更大范围内刺激创新。
开放银行与直销银行、数字银行等的区别
我们经常听到直销银行、数字银行等说法,这些描述往往是指银行,与开放银行刚好相反,因为开放银行并不是银行。直销银行也被称为无分支银行、虚拟银行、网上银行或互联网银行,是没有任何分行网络的银行,早期通过信件、电话、邮件、ATM,后来通过互联网或终端传送服务。国外直销银行诞生于20世纪80年代末,在利率市场化的背景下,能极大降低运营成本的直销银行受到了市场的广泛关注,并由此产生了多种模式。国外直销银行用独立的法人资格独立经营,而不是作为大银行的独立部门存在,并且具备功能齐全的银行牌照。
随着互联网技术、移动互联网、大数据、云计算等技术的发展,国外直销银行经历了不同阶段的发展,并呈现出不同的产品特点和渠道特征。直销银行、互联网银行、数字银行、虚拟银行虽然称谓不同,但其实质体现了新技术在银行业的不同应用水平和发展模式创新。详见表2.5。
表2.5 国外直销银行发展的三个阶段
数字银行是直销银行发展到3.0阶段的模式选择,在英国也被称为挑战者银行,在美国被称为新银行(Neo Bank),与2018年中国香港推出的虚拟银行类似,虽然称谓有所不同,但是享有相似的理念:纯线上经营,不设物理门店且无分支银行,利用数字技术将传统银行的业务和流程迁移到线上,利用数字化分销渠道来提供存取款、转账、账户管理等业务的新型银行。数字银行没有传统银行烦琐的IT系统,更加以客户需求为中心,能够为客户提供体验更好的服务。数字银行的设立主体一般包括传统银行和金融科技公司。
虽然都专注于客户体验的革新,但数字银行与开放银行存在本质的差别。数字银行是一种新型银行,采用纯线上经营,强调的是利用互联网、大数据、人工智能等新技术对传统银行部门分销渠道和营销方式的数字化革新,为客户提供在线金融服务,服务趋向定制化和互动化,银行结构趋向扁平化。国际领先的银行,例如花旗银行、富国银行、美国银行在2012年就开始了数字银行的建设。开放银行是一种平台化的商业理念,以API为主要技术手段,旨在构建出新的银行服务生态系统,并在该生态系统中形成新的商业模式,创造新的盈利点。开放银行并不是一种新的物种,它是在基于互联网的银行3.0阶段上发展起来的,是银行践行互联、开放、合作、共享理念的一个新的阶段。 经济增长新动力(套装共12册)