境外API Bank监管政策解析

2019-3-04

引言

本文是我们推出的API Bank开放银行法律合规系列问题专题讨论之二。上一篇文章我们讨论了API Bank在金融数据合规方面需要关注的几个问题，包括银行在开展API Bank业务首先需要对金融数据进行划分以实施差异化的数据保护措施，需要全面评估第三方合作机构的数据来源、数据保护能力等以防止银行金融数据泄露风险以及目前国内关于金融数据出境的监管政策等。鉴于目前国内尚未出台API Bank相关的监管和指引文件，本文在研究分析有关国家和地区的API Bank监管政策的基础上，试图对国内未来可能出台的监管政策做一些展望，以期能为国内商业银行提供一些防范和化解API Bank法律合规风险的思路。后续我们还会就API Bank相关的其他法律合规问题推出专题讨论文章。

一 英国

（一）英国监管政策简介

英国是最早开展对金融数据共享及API Bank研究的国家之一，早在2014年英国财政部和内阁就已要求Open Data Institute和监管政策咨询机构Fingleton Associates对商业银行数据共享进行调查研究，并发布了名为《数据分享和银行的开放数据》的报告,也称为“Fingleton Report”。该报告认为，进一步的数据开放将促进英国银行业的竞争，建议制定银行数据共享标准，以便为第三方提供标准、统一的API。

2015年8月英国财政部开放银行工作组成立（“The Open Banking Working Group”，简称“OBWG”）旨在研究并制定详尽的开放银行框架与标准。OBWG的成员是多元化的，成员来自于银行业、技术业、消费者、商会等从业者。

2016年3月，OBWG正式对外发布了《开放银行标准框架》（“The Open Banking Standard”，简称“《标准框架》”）。《标准框架》根据英国银行金融业的商业实践，以此为基础并考虑了欧盟隐私和数据保护的相关规则，就开放API的架构、运作、标准等各方面提出了建议。

《标准框架》由三大标准以及一个治理模式组成。三大标准是指数据标准、API标准与安全标准，底层的治理模式则是维系开放银行标准有效运行的基石。

1.数据标准

开放银行中的数据标准，主要是数据描述、记录的规则，包括对数据展现、格式、定义、结构的共识。OBWG将数据分为五类，分别为开放数据、客户交易数据、客户参考数据、聚合数据、商业敏感数据。不同层次的数据所包含的信息不尽相同，通过数据划分，对不同的第三方合作机构匹配不同的数据共享权限。第三方企业对银行数据的权限有两种：一种是读取权限，即第三方可以读取银行提供的数据和文件，但不能对其进行修改。另一种是与之相反的写入权限，即第三方有权对银行提供的数据和文件进行修改、执行等操作。这两类权限均需通过开放API向第三方机构开放^[1]。

2.API标准

 API标准是关于开放API设计、开发和维护的准则，主要涉及架构风格、资源格式、版本控制等各个方面。OBWG将API标准纳入框架的目的是为了统一开发者从不同提供者处获取数据的体验。

3.安全标准

安全标准是指API规范的安全性，目的是为了保护消费者的数据安全。OBWG在用户同意、身份认证、欺诈监控、用户授权四个方面提出了相关意见。如下所示：

（1）用户同意。为保障用户利益，银行与第三方共享数据的过程必须征得用户同意。用户需清楚了解的授权条件，具体包括：向谁授权、第三方征得授权以后的目的、授权持续的时间。

（2）身份认证。身份认证需要数据提供者和第三方共同合作，严格掌控验证方法。并建议使用OAuth2.0与Open ID connect相协同的身份认证协议。

（3）欺诈监控。开放银行API应支持带外管理（Out-of-band，简称“OOB”）认证，以确保当发生变更情况（如收款人的改变）时，用户可以收到提醒。未来也可以尝试建立一种在第三方API返回消息中嵌入欺诈相关信息（如IP地址等）的机制。

（4）用户授权。为防范用户授权的恶意使用情况，建议：给予用户及数据提供者撤销数据授权的选择；要求数据提供者设立一种可让用户阅览与取消所有授权的机制；为授权划分风险等级；对授权的持续时间进行约束；API连接和数据传输需加密，至少满足TLSv1.2（传输层安全性协定1.2）的要求。

4.治理模式

为确保开放银行标准的落实和推进，OBWG呼吁采用一个有效的治理模式来统筹全局，具体包含五条措施^[2]：

（1）设立一个独立的机构。其职责包含跟踪并监督开放银行标准的落实和部署进程，处理客户纠纷，确保数据安全性，维护API的可靠性与可拓展性以及其他开放银行框架下提出的要求。

（2）赋予独立机构审查第三方的权力。独立机构可能会在未来选择授权其他组织进行审查和/或认证，包括平台，行业协会或孵化器。这将减少独立机构的的工作量并开放对Open Banking API的访问权限。

（3）要求第三方机构持有保险。考虑到开放银行潜在的风险隐患，金融市场行为监管局（The Financial Conduct Authority，简称“FCA”）有责任指导第三方机构购买相应的保险，并评估与之相对应的风险程度。

（4）创建事故处理机制。当用户遭遇API相关事故之时，有权利联系第三方或者数据提供者来协商解决问题，如果逾期未处置，就可以启动下一事故处理流程，交由独立机构处理。

（5）分阶段逐步引入治理模式。OBWG并不要求一蹴而就建立一个完善的治理模式，而是提倡循序渐进分阶段进行。治理模式应遵循PSD2的要求，但也不应仅限于此。另外，也需要考虑资金成本相关问题。

▲图表1英国开放银行标准网站

(二）评析

英国是最早开展API Bank监管研究的国家之一。其对API Bank采取的是开放、包容的态度，并自上而下推动监管部门主动研究、出台相关监管指引政策。英国API Bank核心监管指引文件《标准框架》的核心表现为三大标准和治理模式。通过三大标准将银行机构开展API Bank业务的核心内容统一起来。其中，数据标准提出的最重要的关键词在于“划分”和“权限”，根据数据的来源、重要性、涉密性等因素综合考量，对银行金融数据进行分层，进而再通过对第三方数据保护能力和合作深度的评估，共享不同层次的数据，开放不同的权限。此外提到的技术标准是为开发者所设置的有关API技术层面的内容，囊括了大量包括架构、计算机协议、资源格式等内容。为充分保障金融消费者的个人数据安全，《标准框架》的安全标准提出了4大方式，其中核心的关键词在于“同意”、“授权”，其一是要求银行向第三方共享数据必须取得用户的明示同意，将授权对象、授权目的、授权期限明确的告知用户；其二是为了防止授权滥用，赋予用户对数据共享许可的任意撤销权，并为用户撤销授权提供相应的便利。

在治理模式上，《标准框架》提出的更多是倡议性的建议，例如设置独立的机构负责标准落实和推进、赋予独立机构监管权限等，要求第三方机构开展风险评估和购入保险等。

总体而言，英国作为世界上最早对API Bank制定标准框架的国家之一，提出的监管倡议具有很强的导向型。其中关于数据和安全的两大标准，成为其他国家制定API Bank监管政策的重要参考和借鉴。

二 新加坡

（一）新加坡监管政策简介

新加坡也是较早开始API Bank监管研究的国家之一。2016年11月，新加坡金融管理局联合新加坡银行协会发布API指导手册（“Finance-as-a-Service:API Playbook”，简称“playbook”），提供了API的选择、设计、使用环节指导，以及相应的数据和安全标准建议。

1.API分类与执行指南

playbook在这部分内容中不仅对API的分类进行了详细的阐述，还围绕API经济中的参与方——API提供者、API消费者、金融科技公司、开发者社区提供角色指导与执行指南。

API分类方面，playbook基于银行、保险机构、资产管理公司、监管机构的5600多条既有流程，根据重要性筛选了411个API（对应700多个业务流程），跨越产品、市场、销售、服务、支付、监管价值链，并对每一个API提供了详细的功能说明。

playbook对每一类API参与者的定义以及与其相对应的操作指南也做了详尽的说明。

第一类是API提供者，即通过API将数据共享出去的组织；

第二类是API消费者，即使用API来访问或发送数据的组织或个人；

第三类是作为行业创新先锋的金融科技公司；

第四类是开发者社区，该类参与者从API提供者和金融科技公司处获取与它们商业需求相符的API创建要求。

2.标准和治理模式

和英国的《标准框架》近似的是，在playbook中也有关于API Bank的三大标准，从内容上看与英国的《标准框架》内容基本一致，在数据标准上playbook除了吸纳《标准框架》的规定外，还强调最终应基于交换数据的类型、涉及的行业、区域差异这三种不同的条件确定最终要采纳的数据标准。

playbook也提议建立一个具备新加坡金融市场特色的治理模式，旨在确保API使用的一致性、有效性、安全性。具体而言，playbook设计的治理模式由上至下分为四部分：API治理框架、API治理参考架构、API生命周期治理、API风险治理。

▲图表2新加坡“API playbook”

(二）评析

新加坡对API Bank的监管指引很大程度上参考了英国的《标准框架》，并进行了进一步的细化和完善，其中将API参与者分为四类，不同类的参与者介入API的环节也不尽相同，操作指南也不同。

三 我国香港地区

（一）我国香港地区监管政策简介

2017年9月，香港金融管理局（“the Hong Kong Monetary Authority”，简称“HKMA”）宣布了七项行动，帮助香港迎接银行和科技融合的“Smart Banking”时代，Open API行动是其中之一。

2018年1月，HKMA发布《香港银行业Open API框架咨询文件》（“Consultation Paper on Open API Framework for the Hong Kong Banking Sector”,简称“咨询文件”），旨在推动银行通用API的广泛使用，促进银行和科技公司的创新融合，提升银行业竞争力。

2018年7月，HKMA发布《香港银行业Open API框架》（“Open API Framework For The Hong Kong Banking Sector”,简称“《香港API框架》”）。据《香港API框架》介绍，文件包含了对咨询文件充分协商后的必要修改。

1.《香港API框架》指导性原则

（1）受控下的业务推进。HKMA明确Open API业务的推进是富有成效的，将根据银行业对Open API 框架的反馈，按照框架时间表的规定执行。HKMA将密切监控业务的执行，确保市场接纳度和鼓励新型案例的运用。

（2）视香港地区Open APIs业务推进情况采纳或开发必要管控措施。HKMA熟悉世界其他国家和地区的强监管措施，但针对香港地区仍采取协作性、阶段性的措施，并将根据Open API 在香港地区的执行情况采取进一步的必要管控措施。

（3）不干预政策。为保证香港地区银行业将Open API作为其战略组成部分，并得以有效执行，HKMA无意就各银行如何采用Open API作出规定。

（4）高级Open API功能优先确认。将以对银行和消费者的潜在效益为基础，筛选高等级Open API功能，并对其优先确认。

（5）国际或行业惯例的运用。为确保Open API的有效实施和快速发展，香港API框架中囊括了国际及行业对此业务运用的惯例与实践。

2.Open API的分类与部署时间

Open API的分类将优先考虑其内容、前景、风险划分为以下4类：

（1）产品与服务信息。银行提供的包含产品和服务细节的“只读”类信息。

（2）产品与服务的订阅与申请。消费者通过访问，允许以网络进行信用卡、贷款或其他银行服务的提交或申请。

（3）账户信息。对经认证客户单独或聚合账户信息(余额，交易记录，限额，支付日程等)的检索与修改。（须申请）

（4）交易。经客户认证的并由其发起的银行交易与支付或预先安排的支付或交易。

针对四大类Open API分类《香港API框架》也提供了保护性要求，诸如银行地址确认，数据完整性，TSPs认证等措施。

在部署时间表上，由于不同种类的Open API对保护措施的要求越来越复杂，HKMA认为逐步开放是合适的。对第一阶段的产品与服务信息与之相对应的信息技术产业已经十分成熟，对其部署相对简单和快捷。此后的三阶段涉及到复杂的技术、安全、认证基础设施需要各方倾注更多的努力。通过银行在先前阶段积累的经验，可以预计此后几个阶段的部署时间将不会持续很久。

▲图表3香港地区开放银行业务推进时间表

值得注意的是，HKMA在规定API分类和部署时间的同时，也要求银行对不同阶段应当采取与之相匹配的保护等级和适当的传输层安全协定安排，并在合同中明确责任承担、归责、管控和消费者保护等内容。

3.架构、安全与数据标准

目前，日本、新加坡、英国等国家为了保证银行及其分支机构Open API在全球的顺利开展，已经在架构、安全上达成了共识。HKMA认为香港地区为推进金融建设，对此类行业共识性内容只需要直接借鉴采用即可。架构标准更多的涉及计算机技术层面的内容，诸如编程语言、数据格式、传输协议的统一。在安全标准上，HKMA要求开放的四大分类都必须使认证、完整性、保密性和授权得到充分的保证。保证银行网站和传输数据的完整性和保密性检查，使用X.509数字证书，确保银行地址的真实性。

4.第三方治理模式

HKMA在文件中提出，为保证创新和消费者保护，银行需要采纳一个正式的第三方治理方式。第三方认证模式涵盖了尽职调查、端口接入、管控、身份与责任、消费者保护、数据保护、基础设施恢复能力、事故处理等一系列活动。就目前来看，有三种认证模式可供参考：

一是双边模式，由银行自己根据与第三方的合作性质进行风险评估和尽职调查，制定政策和流程；

二是中央实体模式，中央实体由所有相关银行共同出资和组建，制定一套统一的TSP治理标准和评估服务，从而简化流程并提高效率；

三是基于一定基准的双边模式，一系列TSP治理基准由双边共同制定和同意，银行可增加自己独特的要求，以基准模式使接入程序流程化。

HKMA建议初期采纳相对灵活的双边模式，待开放银行业务逐渐成熟后，可考虑建立中央机构统一管辖。如若能够得到银行业的支持，HKMA也可以考虑第三种模式，与各个银行一同制定基准条例。

▲图表4《香港 API框架》

(二）评析

我国香港地区关于API Bank的监管政策和业务指引，虽然起步晚于其他国家和地区，但是在内容上对其他国家和地区的监管政策都有所借鉴和改善，并充分考虑了香港地区的业务情况。其中逐步推进银行业务开放的时间表，由易到难防控风险，以及提出的三种类型的第三方治理模式，在原英国API Bank监管模式的基础上进一步创新，值得借鉴。

四 美国

（一）美国监管政策简介

截至目前，美国并未发布专门针对API Bank的监管文件，但美国联邦金融消费者保护局（Consumer Fincial Protection Bureau ,简称“CFPB”）发布了金融行业开展数据共享业务必须遵循的9大原则，译文^[3]：

消费者保护原则：经消费者授权的金融数据共享和整合

（Consumer Protection Principles :Consumer-Authorized Financial Data Sharing and Aggregation）。

1.获取

消费者有权在要求后从产品和服务提供方处获得自己对金融产品和服务所有权和使用情况的信息。此类信息应该实时提供。通常来说，消费者能授权受信任的第三方为了消费者的利益，以安全的方式从消费者账户提供方获取此类信息来代表消费者使用它们。

金融账户协议和条款支持安全的、经过消费者授权的获取、有利于消费者利益，并且不寻求阻止消费者获取或授权获取消费者的账户信息。这种获取不要求消费者向第三方共享账户凭证。

2.数据范围和使用

消费者和经消费者授权可以获得的金融数据包括任何交易、连续交易或者与消费者使用情况相关的其他方面；任何账户的条款，例如一份收费价目表；已经完成的消费者支出，例如支付的费用或利息；和已经完成的消费者福利，例如挣到的利息或奖励。信息应该以能直接被消费者或消费者授权的第三方使用的形式呈现。获得消费者授权的第三方只能获取与消费者选定的产品与服务相关的数据，这种第三方可以保存此类数据，但只能是在必要的情况下。

3.控制和同意

当消费者能控制和自己账户以及与金融服务使用相关的信息时，他们能改善自己的金融生活。经消费者授权获取、存储、使用和散布消费者数据的条款要能充分并高效地披露给消费者，要让消费者理解上述用途，要对消费者对他们选定的产品或服务的合理的期待相一致，不要过于宽泛。数据获取的条款包括获取的频率、数据范围和保存期限。消费者不是被强迫授权给第三方自己的数据的。消费者理解数据共享废止条款，并能有准备地、轻松地废止对数据获取、使用或储存的授权。如果消费者要求被授权的服务商删除个人可识别信息，服务商应及时、高效地废止相关行为。

4.授权支付

经过授权的数据获取本身不是支付的授权。经过消费者授权的产品和服务提供商要发起支付需要获取消费者另外的和明确的授权。想要获取消费者信息和发起支付的服务商应该合理地要求消费者提供其欲获取服务应提供的两种授权。

5.安全性

应该安全地获取、储存、使用和分发消费者数据。消费者数据应该以能保护消费者免于遭受数据泄露的方式保存。获取（账户凭证）同理。所有与获取、储存、传输或处理数据相关的方面应能采取强有力的保护措施和高效的流程来降低识别、有效应对、解决和消除数据泄露、传输错误、未经授权即获取和欺诈的风险，并应仅向同样有保护措施和流程的第三方传输数据。安全防护措施应能高效应对新威胁。

6.获取的透明性

消费者应能了解，或易于查明，他们授权过的第三方如何获取并使用与他们账户和金融服务使用情况相关的信息。在消费者数据被获取、使用或储存期间，消费者应能查明类似机构的身份和安全性、它们获取的数据、它们对这些数据的事情情况和它们获取数据的频率。

7.准确性

消费者能预期他们获取的数据或授权他方获取或使用的数据是准确和及时的。如果数据不准确，不管不准确如何以及在哪发生，消费者应当有合理的方式来提出异议并解决这一不准确性。

8.对非授权获取提出异议和解决争议

消费者应当有合理和可操作的方式对未经授权获取和共享数据、与授权或者未经授权的数据共享获取相关的或导致的未经授权的支付、未满足其他合规要求（包括未满足消费者授权相关的条款）的实践提出异议和解决争议。消费者无须指明谁未经其授权即获取其数据以及谁让其他方面未获取其授权即获取其数据的相关方即应获得适当救济。未经消费者授权而获取了消费者数据的相关方面承担此种数据获取的责任。

9.有效的、切实可行的问责机制 

使相关方面可以获取、使用、储存、重新分发和处理消费者数据的目标和动机是使消费者能安全地获取（相关产品和服务），应当防止误用。具备商业性质的相关参与方对为消费者带来的风险、伤害和成本负责。这些参与方同样被要求高效地防范、识别和解决未经授权获取和共享数据、与授权或者未经授权的数据共享获取相关的或导致的未经授权的支付、数据不准确、数据不安全以及未满足其他合规要求（包括未满足消费者授权相关的条款）。

▲图表5 CFPB网站

（二）评析

从美国的监管可以看出，虽然没有直接出台对API Bank的监管文件，但CFPB直接把API Bank的核心数据共享提炼出来作为监管的重点。某种程度上，是从更高层面对全行业所有涉及到金融数据共享的新业务、新技术进行监管。

这9大原则囊括了数据范围、用户授权与同意、安全保障、授权撤回等内容。虽然不是直接对API Bank作出的规定，但完全适用于该业务。解决了新型互联网金融业务的关键性问题。但相比英国、新加坡和我国香港地区具体的监管规则，没有直接针对API Bank的详细规定还是略显不足，但也不排除未来出台专门的API Bank监管政策的可能性。

五 我国API Bank监管政策展望

纵观各个国家和地区API Bank监管趋势以及考虑到银行等金融机构的重度监管属性。我们认为，我国出台专门的API Bank开放银行监管政策应该是大概率事件。结合其他国家和地区已经出台的监管政策，监管重点应该会包含以下几个方面：

第一，个人信息保护将会成为监管强调的核心内容。信息科技时代是对数据充分利用的时代，共享数据、挖掘数据价值成为各商业主体的一大课题。API Bank的核心和基本要求就是数据共享。由于金融数据的高敏感性和高安全性要求，尤其涉及个人金融信息的高保密要求。监管应该会把对个人金融信息的保护放在首位，要求银行依法、合规的收集、使用、共享个人金融信息。

第二，第三方数据共享平台的金融数据保护能力会成为监管关注的重点。金融数据共享就意味着被共享主体也知晓银行存储的个人金融信息，被共享主体泄密也就意味着银行泄密。所以，被共享方也需要承担和银行一样的保密义务。但是，API Bank合作平台分属各行各业，多数往往不属于金融机构这样的重度监管行业，个人信息保护意识淡薄。并且若第三方合作平台若不属于金融机构，金融监管机构也不可能跨行业监管。所以，第三方合作平台的数据保护能力的评估和约束控制将会成为API Bank监管的重点和难点。

第三，对金融数据进行数据划分可能会是监管政策的基本要求。数据划分是目前几乎所有已出台API Bank监管政策国家和地区对API Bank的基本要求。我国香港地区更是从金融数据划分的基础上，根据数据内容、关联性、重要性逐步开放，制定明确的开放时间表，并要求银行根据数据划分的结果匹配不同的合作权限。通过这种根据金融数据的划分等级进行逐级开放的最大好处就是可以控制风险，监管部门可以根据各级开放的实际情况及时做出调整。

参考文献

[1]参见兴业数字金融服务（上海）股份有限公司战略与研究团队，《开放银行系列之监管篇》

[2]参见前引[1]

[3]CFPB：消费者金融数据共享和整合原则，https://www.sohu.com/a/200151114_649029

本文作者：