一、开放银行的风险与障碍

1.API标准的统一

创建一套可供所有人使用的API，对于开放银行而言至关重要。考虑到开放银行参与主体的多样性，创建互操作性和高效的API必须通过制定标准来完成。目前，API标准芜杂，存在组织标准(由银行或金融科技公司单独制定)、团体标准(由合作伙伴或具有共同利益的群体所制定或接受)、行业标准(由银行业或金融科技行业协会制定或接受)、通用标准(在一个国家内或全球范围内被接受)。在欧洲，API标准的分歧和冲突已经显现。目前，由数十家银行和金融公司组成的柏林集团(BerlinGroup)公布了API通用框架，各国监管机构亦在纷纷推广国家标准，人们普遍担忧，这不仅会增加第三方的成本，也几乎无助于统一欧洲的金融市场。

考虑到金融服务需要安全性、隐私性与合规性，API标准的制定必须超越技术和功能面向，将法律、操作和管理纳入其中。同时，采纳何种API标准，以及由谁来制定标准，不但直接影响由何方承担成本，而且决定了何方在开放银行业务中占据优势地位。因此，API标准统一必将是长期的博弈过程。

2.网络安全

网络安全是开放银行的生命线。深度互联互通使得金融机构更容易遭受内部和外部的网络攻击，ICT系统和流程业务的规划不足以及第三方安全防护的能力和意愿欠缺，加剧了开放银行的脆弱性。欧洲银行管理局(EBA)针对PSD2列举了一系列风险：(1)对用于支付的通信渠道保护不足；(2)对应用程序、服务器、用户的支付设备等系统和设备保障不足；(3)用户或第三方机构及其员工的不安全行为；(4)业务环境的复杂性增加；(5)欺诈或恶意攻击。

3.个人信息保护

开放银行共享的大量数据属于用户的个人信息，个人信息的收集、存储、使用、共享和删除由此成为贯穿开放银行业务始终的问题。“有用户处即有银行服务”的理念，使得尽可能满足用户随时随地的需求成为开放银行的首要关切，金融服务的个性化和嵌入化应运而生。矛盾的是，金融服务这种转型是以个人信息流通和用户画像为基础的，如何在开放银行中，落实个人信息权利，防范个人信息泄露、滥用和身份欺诈，成为问题的关键。

4.弥散的金融风险

开放银行意味着风险开放。跨市场、跨行业、跨用户群体的特性，导致金融交易行为、业务模式和风险类型更为复杂。作为银行、其他金融机构、金融科技公司、数据技术公司共同参与的多方交易系统，开放银行因信息不对称引发的信用风险和操作风险大幅提升。同时，技术迭代导致金融交易规模和交易频度呈几何级数增长，监测压力陡增。金融监管的对象面临调整、“风险隔离”等传统金融监管核心原则面临挑战。无论是金融机构，还是金融科技公司往往是单方面承担输入风险、共振效应以及内外部风险叠加形成的新风险，缓释机制和隔离机制的薄弱进一步提升了风险管控的难度。

5.对竞争的影响

开放银行在数据、用户关系和监管的三个层面上重塑现有竞争格局。

就数据而言，银行拥有大量金融资产、负债和交易的数据，金融科技公司则掌握着支付、网购、物流、销售以及电商产品相关联的理财、贷款和保险数据。开放银行所要求的“数据共享”，在经济层面上存在金融机构的强关联小数据和金融科技公司弱关联大数据的公允价值差异，在法律层面上存在数据权属不明的掣肘。

就用户关系而言，不论是银行，还是金融科技公司都以获得用户、维持用户、影响用户作为核心诉求。然而，开放银行降低了“进入壁垒”，允许直接竞争对手以及其他金融机构或金融科技公司获得用户信息，从而共享用户。这不但带来“谁拥有用户”的问题，更重要的是，由于开放银行触达用户的方式，还存在“将谁的名字写在商店橱窗”中的问题。中小企业，甚至大型银行都可能被纳入更广泛的金融科技品牌之内，以至于无法有效建立自己的品牌声誉。正如人们所担心的：目前，银行已经不再是客户关系的所有者。想象一下明天谷歌决定创立一个银行聚集系统，我们输入密码登录自己的银行账户，它以一种更加新颖、易于互动和更方便客户的方式呈现我们的信息。就在这时，我们和银行之间的关系也就改变了。

就监管而言，如果对开放银行各主体采取统一的监管措施，高昂的合规成本必然削弱新型服务的灵活性和创新性，但如果采取因主体而异的监管措施，则可能导致监管规避和监管套利，这是一个两难困境。

二、开放银行的监管原则

1.主体平等监管

尽管开放银行政策起源于英国政府对金融科技公司的倾斜性扶持，但我国数字金融市场格局与英国迥然不同，金融科技公司反而是先行一步的领先者。在此背景下，监管者应借鉴《电子商务法》第4条确立的“线上线下平等对待”原则，平等对待开放银行的各主体。

基于该原则，开放银行的根本目的在于提升金融资源分配效率，促进金融数字转型，实现金融服务的个性化与普惠化，而非单方面支持金融机构或金融科技公司的发展。为此，监管机构不得对任何一方给予歧视性待遇，不得强制一方向另一方开放业务、数据和账户。同时，根据“功能监管”的原则，监管机构应从金融产品和服务的功能和特性出发，对于同类产品和服务适用同等规则，弥补交叉性金融业务的监管漏洞，避免监管套利。

2.助推而非强制

由2017年诺贝尔经济学奖获得者理查德·泰勒和美国前信息与监管事务办公室主任凯斯·R·桑斯坦提出的“助推论”(Nudge)，是近十年来政府监管领域的开创性理论。该理论旨在通过干预、塑造和制约被规制对象的选择框架或背景线索，相对柔性地改变被规制对象的行为基础。与强制性监管迥异，开放银行的助推式监管不要求银行或金融机构必须采用特定行为模式，但它也不完全是放任性或倡导性的。相反，监管机构通过提供程序上、组织上以及能力上的规范，采取默认机制、劝说性和咨询性的战略、基于设计的工具、承诺机制、信息机制、路线图等措施，促成不同主体的自我组织和自我规制，从而在推动开放银行发展的同时，避免破坏市场内在的逻辑。

3.治理科技优位

“治理科技”(GovernTech)与“监管科技”(RegTech)最大的差异，就在于其强调了“治理”的核心地位。简言之，治理科技以“数据”为资源，以“标准—认证—认可”为三位一体的组织架构，以“机制设计”为运作流程。治理科技源于监管科技，又革新了监管科技。治理科技包含两大要素：

其一，数据驱动的治理，其强调监管者和被监管者之间的数据共享，从而将金融机构向监管机构的单向数据传输转化为双向的数据整合。

其二，经由设计的治理。当面对开放银行这项颠覆性创新时，监管机构首先要确定待解决的核心问题和利益相关者，设定他们的政策目标；然后召集所有利益相关方共同参与设计解决方案，从中选择最佳解决方案，并征求利益相关方的反馈意见；进一步修改和重新测试解决方案，继续进行反馈循环，直到找到最合适的解决方案；在此基础上，在一定范围内实施上述方案，进行beta测试，再根据beta测试数据多次迭代流程、测试并收集反馈，最终发现最具操作性的和适切性的制度。

三、开放银行的监管规则

1.推动API国家推荐性标准制定

安全、可控和便捷的API架构是开放银行的基础，从“助推而非强制”和“治理科技优先”的原则出发，国家可以鼓励和协助金融机构和金融科技公司从市场出发形成“最佳实践”。

在此基础上，通过企业、学界和政府机构的共同参与，努力就以下内容达成国家推荐性标准：(1)API的功能和架构；(2)开放的类别，产品、服务、账户信息、交易信息；(3)数据标准格式；(4)安全性等问题。

为了增进API最佳实践和标准制定，监管机构鼓励金融机构和金融科技公司在官方网站上公布如何使用每个OpenAPI的细节，包括功能、架构、安全性等详细说明，同时可以创建一个专门网站，汇聚和展示提供的所有OpenAPI，从而确保所有第三方服务提供商可以便捷、灵活地获取数据。

最后，监管机构可以通过项目研究和专题论坛的方式，召集金融机构和金融科技公司交流分享OpenAPI的案例思路和经验。

2.建构网络安全系统底线

网络安全是开放银行的底线，监管机构可以以“指引”的方式建立网络安全的底线。该指引包括但不限于如下内容:

其一，开放银行平台的经营者应当建立网络安全治理架构。该架构包括：(1)全面的安全政策、安全目标和措施；(2)明确和分配关键角色和职责，以执行安全措施和管理操作性风险；(3)建立必要的程序和系统，以识别、测量、监测和管理因提供服务而产生的各种风险。

其二，开放银行的主要参与者应具备相关基本资格。(1)业务能力:财务稳健性、声誉、管理质量和业务的适当性操作。(2)风险管理:网络安全和IT控制(包括机密性、完整性和可用性)，监控和缓解措施和应急计划。开放银行经营者负有对上述资格的审查义务，必要时，可以建立第三方认证评估制度和依法备案制度。

其三，针对开放银行的技术支持机构，银行应按照《银行业金融机构信息科技外包风险监管指引》的规定，健全信息科技外包管理机制，提升外包风险管控水平，对接触敏感数据和承担关键基础设施外包服务的第三方机构，要从国别风险、技术风险、经营风险等方面予以全方位评估，探索建立运用信息化手段加强外包风险管控的机制。

3.平衡个人信息保护与数据共享

个人信息是开放银行共享的重要内容。在我国法律尚未规定欧盟的“携带权”和澳大利亚的“消费者数据权”的背景下，监管者可以将个人信息保护的重点放在由金融机构和金融科技公司所发起的数据共享上。鉴于个人金融信息兼具隐私性和公共性，对个人金融信息的保护应秉持分类分层的理念，从不同的信息类型出发建构不同的保护规则。

对于一旦泄露、非法提供或滥用可能危害人身和财产安全的敏感信息(特别是个人身份信息、银行账号、鉴别信息、存款信息、交易和消费记录)，应当采取严格的保护。

具体而言，只要在满足如下条件时，该等数据的收集者才能进行数据共享：(1)在首次收集个人数据时，已经向用户清晰、明了地告知其数据可能与第三方共享，同时告知共享方的类型，共享的目的、频率、范围、保存期限；(2)在与第三方共享时，应以增强式告知的方式提醒用户，并取得用户明示同意；(3)在与第三方共享前，应进行个人信息安全风险评估；(4)每年至少一次以电子形式向用户披露其数据的共享情况；(5)在数据收集者或第三方违规违约使用个人信息时，用户有权停止共享，并要求第三方删除相关信息。

对于敏感信息以外的一般个人信息(如网络浏览信息)，可采取相对宽松的授权规则。即如果在首次收集个人数据时，金融机构或金融科技公司已在网站首页或APP显著位置向用户清晰、明了地告知其数据可能与第三方共享，告知共享的频率、范围和保存期限，则应当允许用户以默示方式授权数据共享。

科技不但是开放银行问题的制造者，也是问题的解决者。因此，除了法律之外，技术治理不可或缺。就数据共享而言，“多方安全计算”就是在不改变数据实际占有和控制权的情形下，促进数据流通共享的最佳例证。立足于多方安全计算平台，这一技术将计算移动到数据端，致力于建造安全和保护隐私的“数据高速公路”；借助同态加密、混淆电路、秘密分享、零知识证明等尖端的多方安全计算和密码学相关技术，在确保高级别的企业数据安全和个人隐私保护的同时，促进数据共享利用与业务创新。

4.完善数据权属规则和平台规则

开放银行的最大阻碍是数据价值的分配，而“所有的定价问题都是产权问题”，因此，监管机构应当首先明确金融数据的权属。欧盟“数据生产者权”和“个人数据权利”二分的制度表明:数据财产权应首先分配给首先收集和处理数据的数据生产者，而那些与人格密切相关且界定清晰的“个人敏感信息”相关数据的权利应当由个人享有。

据此，对于个人敏感信息相关数据以外的数据，金融机构和金融科技公司应有权占有、使用、收益和处分，各方可以按照市场规则就其共享的条件和对价，做出公允安排。而对于个人敏感信息相关数据，则应将选择权交给用户，以便其可以选择在目前持有其个人数据的金融机构或金融科技公司与其他新服务机构之间进行转换或者实现数据共享，并令其可以在保留原有机构数据的基础上，将数据转移到另一新的机构，借此促进竞争和创新。

5.坚持一致性监管并尝试沙盒监管

开放银行大大拓展了金融服务提供的方式和场景，面对金融风险的弥散，监管机构应采取穿透式监管的思路，根据资金来源、最终风险分配和服务实质进行一致性监管，即只要从事相同的金融业务，就接受同样的监管，从而确保监管的有效性，防止监管套利。作为一个新兴领域，开放银行有着之前规则所思虑不及的优势和问题，对此，监管机构可以引入“沙盒机制”，在特定区域选择几家金融机构和金融科技公司进行试验，以便监管机构及时发现金融创新的缺陷与风险，进而决定是否允许其正式进入市场。通过把监管机构和创新企业装进同一个盒子里，“监管沙盒”令两者同时在线、同频共振，创建监管者、监管专家、技术开发者以及经理人的知识共享机制和非现场联合办公机制，在防范底线风险的同时，积极调适既有监管措施，最大程度保证开放银行的合规。