如何监管开放银行?央行科技司李伟提出四道建言
2020/9/25 18:22:59

开放银行其实是技术的应用,因此要对其两面性有清醒认识,警惕因开放带来的风险。9月25日上午,在外滩大会“开放金融与未来”专场论坛上,中国人民银行科技司司长李伟在演讲中作出了上述表示。

“开放银行是当代金融发展的一个非常重要的领域,所以我们也在这些方面推出了一些标准。我们没有把它直接叫做开放银行,而是叫做API(Application Programming Interface,应用程序接口)的应用。”李伟强调,当前开放银行已逐渐成为中国商业银行提升获客能力、增强用户粘性的新途径,对促进银行业转型升级更好地服务实体,具有重要的作用。然而开放银行其实是技术的应用,技术的应用具有两面性。

对于如何规范开放银行的发展,李伟提出应树立正确的开放理念、加强金融能力的输出、强化内部风险防控以及深入应用监管科技,强化开放银行的数字监管四个方面的建议。

金融APP跑马圈地时代结束

通过回顾商业银行的金融服务发展经历,可以窥得银行服务理念的转变。在会上,李伟介绍了中国商业银行从网点模式到APP模式、再到如今的API模式的演进历程。

早期的商业银行把展业的重点放在了线下渠道,通过传统的实体网点,依托后台的账户,以面对面的服务,为客户提供存、贷、汇服务。在此阶段,商业银行把网点数量,网点的拓展,账户的数量和增量放在了首位,是跑马圈地的阶段。

随着经济生活的快速发展、人民生活的水平的快速提升,基于实体网点的服务与百姓多样化服务需求之间的矛盾越来越突出。“现在服务的网点是固定的,服务的时间也是固定的,老百姓只能在规定的时间、规定的地点去享受规定的服务,大家感受肯定不好。”

李伟表示,对于银行而言,实体网点需要投入大量的人力、物力、财力,受时空因素的限制,服务能力的拓展收到制约,网点营运的效率和成本矛盾凸显。

统计数据显示,近5年以来,我国银行业实体网点的增量在放缓,特别是2018年以来,已经由正转负:2018年净减少100家,2019年净减少600家。

新冠疫情进一步压缩银行网点的生存空间,截至9月中旬,今年已经减少600家网点,达到去年总量,网点撤并压力更加凸显。

随着通讯技术的快速发展和移动终端的广泛普及,商业银行为了拓展金融服务供给的渠道,将金融服务向移动端转移。打造手机银行、移动支付等APP,实现了银行服务从面对面向非接触式的转变。App的模式使银行服务渠道扩展成本进一步降低,普惠性增强,受众面增加。在此阶段,商业银行的商业的思维也从二八定律向长尾理论转变。

然而,在内外部因素的冲击下,APP发展快速以后,从银行自身服务来看,商业银行预计承载的金融服务和产品结合不够紧密,与实体经济的融合度不深,难以满足客户的个性化多元化的需求。各家银行的APP活跃度并不高。

从市场用户的角度来看,目前大家惯用的两大移动支付APP已经占据移动支付市场的90%以上。“老百姓的习惯就基本养成了,大家也不太愿意往手机里装太多的APP,移动金融APP的跑马圈地时代也基本结束。”李伟提到。

近年来,商业银行转变发展理念,依托金融科技不断释放创新原动力,通过API技术,将银行业务整合结构和模块封装支持合作方,以乐高拼接的方式,在不同的应用场景自行组合和创新,实现了与合作方的优势资源互补,打造开放共享、融合共赢的数字金融的新生态。

API模式的兴起也受到了国内外的广泛关注,欧盟、英国、新加坡等国家纷纷探索基于API的开放银行发展新路径。在央行去年出台的金融科技发展规划里,也明确要借助API深化跨界合作,拓展金融服务的广度与深度。

技术应用两面性,警惕业务风险

回顾商业银行金融服务的发展历程,当前开放银行已逐渐成为中国商业银行提升获客能力、增强用户粘性的新途径,对促进银行业转型升级更好地服务实体,具有重要的作用。然而在李伟看来,开放银行其实是技术的应用,技术的应用具有两面性。

一方面,风险的形式出现了新的特点和新的变化。在金融服务效能提升的同时,风险的敞口也更多,风险管控的链条更长,风险挖掘的效率更加明显。

李伟指出,首先是在数据安全方面。API连接服务提供者、场景建设者、交易发起者等众多主体,数据泄露的风险点增多,任何一方数据保护存在薄弱环节,都有可能危及数据的安全。一旦开放API存在设计缺陷或是权限设置不当,恶意攻击者就可以非法获取客户的数据,应用方就可能违规使用信息。近年来,API的风险导致数据泄露的现象屡见不鲜,比如今年爆出的API存在漏洞,2亿客户的信息数据库被公开,大量的用户信息被非法获取。

在网络攻击方面,API接口具有公共共享的属性,通过API连接银行端和外部应用端,事实上延伸了银行的网络。风险传导的路径增多,容易被恶意调用并发起攻击,导致服务中断、业务连续性被中断等情况。如果完整性校验安全加固措施不够到位,还存在被恶意篡改、逆向调试等风险。

此外,在业务风险方面,从事前到事后都有需要警惕的风险。

事前,如果缺少健全的授权机制,资质不佳的外部合作环境合作方式,有可能混血摸鱼,非法盗用银行的服务银行的数据,增加业务的风险;事中,外部合作方可能超范围使用银行提供的接口,将日常的缴费接口用于理财,或是将接口二次打包给未经授权的调用方使用,这将对银行的反欺诈、反洗钱等业务管理带来新的挑战;事后,若是没有完善的开放银行风控体系,缺少健全的资金赔付、纠纷投诉等机制,一旦发生跨机构跨行业的纠纷,就有可能出现权责不清、相互推诿,最终将损害金融消费者的利益。

开放银行的四点规范意见

目前,我国开放银行还没有准确的定义,但在李伟看来,开放银行主要指以平台合作为基础,通过API技术,在保证信息安全的前提下,推动金融与其他行业数据规范融合共享,实现金融与民生服务实体经济深度融合的新商业模式。他为开放银行总结了三个主要特点:开放的API、数据共享,平台的合作。

对于开放银行的规范发展,李伟也提出了几点意见。

第一点是要树立正确的开放理念,推动金融数字化转型。开发银行健康发展的关键是坚持合规的原则,筑牢守正的底线。

首先,开放的是金融服务,不是金融资质。开放银行的本质是开放服务,无论业务的形态模式如何变化,初心仍然是将金融服务融入实体经济和老百姓的日常生活。金融机构绝不能将金融的资质违规转包给合作方,必须确保金融的持牌经营。

其次,开放的是数字能力,而不是原始数据。数据共享是开放银行发挥协同效应的重要基础。如何在数据保护和共享之间取得平衡,关键是要处理好数据使用权和所有权的关系。商业银行还是要秉持“最小够用、用而不存”的原则,发挥数据要素的倍增作用,稳健的开展开放银行。

最后,开放的是双向职能,不是单向付出。金融业务离不开实体经济的过程,实体经济的发展也离不开金融的活水。开放银行要坚持引进来和走出去相结合的企业,通过双向功能建立金融业务和实体经营二者之间相互依托、相辅相成的良性生态体系。

第二点是加强金融能力的输出,提升服务便民利企的水平。

在金融为民方面,商业银行要加强教育、医疗、交通、社保等领域的产品共建、数据共享,结合自身的禀赋,通过API、SDK等方式将金融服务产品和科技能力进行输出,打造服务场景化、业务扁平化、能力综合化的金融服务。不再只是承载于银行自身的实体网点和电子渠道,真正实现无处不在,无微不至。

在金融立体方面,要通过服务模块化的输出与插件式的对接,将金融服务深度融入经济社会发展的毛细血管,为中小微企业出血供氧,彰显金融服务的独特价值,有效提升金融服务的可得性和满意度。

第三点是强化内部风险防控,保障开放服务安全可靠。商业银行始终要把风险管理作为发展开放银行的根基和命脉。

现在有很多新的技术,可以让我们建立数据可信共享和安全使用的机制。对于外部网络的攻击,还要注意避免出现整个防守体系安全防安全防守体系的维护短板的效应。针对业务的风险,要加强身份认证、权限的管理和应用的授权。

第四点是深入应用监管科技,强化开放银行数字监管。开放银行是金融和科技深度融合的产物,给传统的监管手段和能力都提出了新的挑战。

与传统的银行不同,开放银行与众多的实体构成了你中有我、我中有你的纠缠混合结构,必须强化监管科技研究与应用,利用人工智能大数据、区块链等信息技术,建立数字化的监管规则库,监管知识图谱和智能化的数字监管平台,探索数字化新型监管的范式,识别开放银行的边界解构业务数据的纠缠,落实各项监管的要求。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消