数据共享及开放银行的新机遇 | 麦肯锡中国银行业CEO季刊_融资政策-资讯中心-

原标题：数据共享及开放银行的新机遇 | 麦肯锡中国银行业CEO季刊

数据共享及开放银行的新机遇

数据共享与开放银行

谈到“大数据”这些热门词汇，人们往往会想到算法、数据分析等量化工作，但在大数据运用领域，更根本的基础却在于如何“获取”数据。如今，每个行业都在讨论如何才能更便捷地获取数据，金融行业对此尤为关心。在政府层面，G20反腐败工作小组已将数据开放视为提升公共部门透明度和廉洁性的首要工作；而从商业角度来看，数据的高阶运用也可以催生新的产品和新的业务模式。欧盟在数据分享领域的探索领先其他地区，其2018年初颁布的《支付服务指令修正案》（PSD2）则首次勾勒了该领域的监管规则。

数据共享往往通过应用程序编程接口（Application programming interface，API），实现数据流在不同系统之间的实时流动和功能的无缝集成（见图1）。银行业在多年前就已开始使用API 接口（参见： “开放银行如何让API技术重获青睐？”），但随着大数据分析技术取得突破，同时大量非银行金融科技公司在市场中崭露头角，API 作为提升零售客户和对公客户金融服务质量的有力武器，被银行放到重要位置。

开放银行的大潮不仅将惠及终端用户，也将为银行与非银行机构之间开辟崭新的竞技场，更有望催生出一个全新的金融服务生态系统。同时，开放银行也在数据隐私及监管上带来新挑战，虽然目前全球各地的治理规则有所不同，但无论在哪个地区，迈向开放银行的大趋势都已明朗，因此银行和金融科技企业必须在新环境中明确自身定位，并且提前思考如何借此机会提前布局。

开放银行如何让API技术重获青睐?

本质上来说，API接口是为了实现某个应用程序与其他系统的互动，而设计的经过记录的连接点。API的概念可以上溯到大型主机的年代，投资管理公司是其早期使用者之一，它们通过这种技术将第三方的费率、基金表现、交易清算等数据无缝引入自己的桌面程序上开展管理。

到了21世纪初，以客户为中心的互联网新时代到来，为API技术提供新的使用场景。eBay无疑是这一领域的先驱，通过分享 API接口给授权合作伙伴，共同建构了一个以eBay为核心的生态系统。Salesforce也几乎在同一时间开放了API接口，并以此为基础实施了“网络即服务”（Network as a Service, NaaS）的云战略。2005-2010年间，脸书和谷歌地图也开始向创新开发者开放API接口，从而极大地拓展了服务范围。

这里，我们需注意一个关键问题：API接口可以是公开的，但也可能是专有的。苹果、谷歌这样体量惊人的大公司发布一组API的同时往往会附带一系列条款，合作伙伴一般都会选择遵守。而影响力不够的企业则可能需要与潜在合作伙伴逐一展开繁琐的谈判。

这就是开放银让API技术重受青睐的原因。这个市场上有无数的金融科技公司试图解决金融服务业的长期痛点，但金融行业毕竟是一个特殊的行业，对于数据隐私、信托责任等领域需要有完善的监管治理和保障体系。无论是对于政府还是行业的监管机构而言，API接口都可帮助在开放银行方案落地时减少不必要的障碍和摩擦。

Plaid、Apigee、Yodlee 、Xignite等API平台将成为开放银行生态系统中不可或缺的部分。与此同时，虽然网页爬虫技术取得了实质性进步，但传统银行对此仍然抱有疑虑。因此，无论是从监管角度还是从方案有效性角度来看，网页爬虫技术都在逐渐淘汰出局。

开放银行发展日趋白热化

开放银行可简单定义为由互不相关的两方或多方利用API接口共享金融数据的一种合作模式。API已经存在几十年，在美国的应用尤其广泛。个人财务管理软件利用该技术接入Visa、万事达等支付网络，客户可以在软件上看到信用卡账单详情。不过目前为止API技术仍主要用于共享信息，而非转账。

开放银行有众多潜在优势，包括优化客户体验、实现新的收入来源，并在目前传统银行服务无法充分进入的市场中建立可持续的服务模式。在这一领域的知名企业包括美国的免费线上消费金融平台 Mint、美国最大的P2P平台Lending Club、非洲的线上个人存贷平台M-Shwari、菲律宾信贷评估及线上借贷平台Lenddo，以及包括 Stripe和Braintree在内的支付领域颠覆企业（见图2）。

当然，开放银行也将面临各种挑战。近年来，随着腾讯、阿里等为代表的数字生态系统日渐成熟，数据共享逐步成为阻碍业务创新的瓶颈。与此同时，传统银行仍然牢牢掌握着大量的交易数据和紧密的客户关系，它们往往认为数据公开带来的威胁远大于潜在的机遇。因此，迄今为止，绝大多数的金融科技创新都来自金融服务领域之外，他们通过创新数据与客户的沟通展示形式来做大客户规模。

虽然API的核心价值在于简化系统间的联通、推动更便捷地获取数据，但保障个人数据的隐私权和安全性是数据共享的天然风险和前提，因此必须为其设计基础流程并制定相应的治理规则。

贯穿始终的核心话题：数据授权与保护

银行一直以保护和监管客户数据为己任。因此金融领域的数据共享应该以严格的风险管理和授权许可为基础，同时需建立完善的审计跟踪记录，并接受法规和风险管理原则的约束。如果做得好，金融机构就能同时提高客户识别（KYC）、身份验证和反欺诈的能力，从而提高银行整体的安全性水平。举例而言，PSD2目前的技术标准有望杜绝被银行业长期诟病的“网页爬虫”（screen-scraping）行为。

与此同时，与客户的透明沟通和适当管控仍然是开放银行产品设计的核心，但这条原则实施起来挑战很大。不同的数据类别所需的安全程度也不同，因此客户应在授权之前充分理解数据共享的意义，即“知情且同意”——实现这一点并非易事，因为人们习惯于略过页面上密密麻麻的说明条款，直接点击“我同意”。所以数据授权的尺度拿捏很重要：既要让客户理解和接受这种授权，又不能让其感到困扰、恐惧或厌烦。

这其中最棘手的一项任务是让终端用户充分理解“数据许可和隐私”。PSD2取消了金融机构在数据保护上面的“守门员”角色，明确赋予账户持有者分享数据的权力。但有证据表明，实际情况下大部分客户对某些数据的重视和敏感程度远不如银行及其监管者。虽然拥抱开放银行的趋势对银行而言蕴含很大机会，但银行的确有理由担忧数据用户对数据的不当授权会损害其品牌形象和声誉。

除此以外还有一系列数据使用的具体问题，包括理清在特定情况下编辑“敏感数据”的权利，第三方在获得数据后的一定时间后删除或销毁数据的责任等。未来随着开放银行的逐步推进，相信许多细节都会逐步得到优化。但银行对这些具体问题的考量不难理解——因为任何一个失误都对银行品牌有极大的影响。

隐私权保护也是另一个复杂的问题。欧盟的《通用数据保护条例》（GDPR）于2018年5月正式实施，根据该条例，监管机构将对违规行为处以高昂罚金，最高可达违规机构全球总收入（而非利润）的4%。其中一条“被遗忘权”大幅推升了数据共享的风险，意味着金融机构今后必须从账户持有者处取得明确的数据共享许可。然而账户持有者开展的每一项金融交易中都存在一个沉默的对手方，那么这项“被遗忘权”是否同样适用于交易对手方？如果答案是肯定的话，那么授权流程将变得无比繁杂。尤其是当交易银行对手方来自不同机构，且没有集中授予许可时，授权流程就会更加复杂。

监管手段各异，市场演变不同

全球各地数字生态系统发展进程不一，这在很大程度上要归结于监管手段的不同。欧洲从完善自身监管框架出发推动开放银行，欧盟的 PSD2及英国的《开放银行标准框架》（OBS）均鼓励零售银行业开展更广泛的竞争。PSD2中的一项核心条款就是要求银行向非银机构开放账户访问，以促进欧元区支付服务市场的竞争和创新。

尽管英国仍在脱欧的进程中，但这不会改变数据共享的监管协议，因为PSD2中的大部分客户保护条款已经写入英国法律，英国政府和金融界强烈认可数据共享的大趋势，并也积极推动银行服务通用性。如果再往前追溯，早在20世纪90年代，意大利、比利时和德国便已各自制定了向小型银行和第三方机构公开账户信息的相关规定。

相比之下，美国尚未从中央政府层面推出数据治理监管措施，这种环境催生了一大批金融科技创新企业与银行的一次性合作协议，例如大通银行、富国银行与创新企业Xero和Finicity的合作。但在拥有约 1.2万家金融机构的美国，这种一次性的模式是很难推广的。2016年 12月，美国货币监理署（OCC）发布《探讨向金融科技公司发放特殊目的国家银行牌照》征求公众意见，并于2018 年7月31日正式开始接受牌照申请，该牌照将允许金融科技企业具备部分银行职能。尽管该牌照主要针对借贷和资本成本监管，但它降低了非银机构进入金融服务业的竞争壁垒，为建立与PSD2相似的数据共享协议铺平了道路。

从2016 年末开始，印度的金融科技迎来迅猛发展，这主要是由于印度政府实施了货币改革举措：将86% 流通中的货币（500 卢比和 1,000 卢比纸币）完全废止并重新发行，随之而来的现金短缺极大地促进了当地的手机钱包业务，如今印度的移动支付市场已经进入整合阶段。新加坡的金融科技市场规模庞大，并且以各种API 技术为核心特色，例如，一些API 可以帮助在没有正规信用评分机构的情况下进行风险决策。为规范流程结构并开展全面监督，新加坡金融管理局（MAS）已成立了金融科技署。同时，归功于新建立的金融科技门户网站，开放银行在伊朗也取得了长足发展。澳大利亚也表示，正在考虑借鉴英国和欧盟在开放银行领域的监管举措。

开放银行对传统银行和金融服务创新的影响

开放银行模式可以为消费者和商户双方创造价值。支付宝和微信支付已经走在前面，他们以电子商务平台或者社交平台为核心，为消费者提供更为顺畅的个性化体验和包括P2P支付在内的多种支付选项，这种模式同时催生出提供生活、金融、服务等在内的一站式APP。例如，金融科技企业Trustly将消费贷款嵌入APP中，在客户消费旅程的关键时点向客户询问是否需要申请贷款，比如结账的前一刻，此时消费者的购买意愿已建立，非常容易成交。

机会一、普惠金融迎来新机遇

通过汇集不同系统中少量的个人资料，可实现更精确的风险评分和信贷审批，进而推动开展普惠金融，比如在非洲开展业务的美国金融企业Angaza Design。同时，随着更多潜在客户纳入正规金融系统，开放银行可推动市场增长并可能催生出利润丰厚的新服务。还有一类创新致力于整合非金融数据与交易记录，并从中找出新的洞见和商机，孵化器和风投资本也在积极关注这类创业公司，例如智能投顾服务商 Wealthfront最近推出一款借款产品，利用客户的历史交易数据，无需信用审核，以持有资产作为抵押来提供借款。银行不妨利用自身积累下来的金融数据开展普惠金融领域的探索。

机会二、产品创新的新时代

在开放银行的大趋势下，传统银行难免会对部分传统领域失去掌控力，但它们也会收获一个更加广阔的行业利润池，而且有机会成为其中的主导者。例如，传统银行可创新产品，将预测分析和人工智能技术与借贷融资相结合，大幅改善零售客户和对公客户的服务。谁愿意率先对企业积极开放数据、抢先提供客户需要的创新产品，谁就能够获得先发优势。所谓的创新产品既包括更便捷的操作界面，也包括各种增值服务，如Monzo等线上银行设计的预算管理、支出分类等功能。仰赖于长期以来累积的客户信任关系，传统银行短期内不太会丧失竞争优势，但它们必须立即行动起来，以应对来自新兴企业日益白热化的竞争。

机会三、网关服务提供商的兴起

人们一直在关注银行的老旧系统与API接口的对接开放进程，同时，我们也应积极关注支付发起服务提供商（Payment Initiation Service Provide, PISP）和账户信息服务提供商（Account Information Service Provide, AISP）与银行间的交互端口。由于PSD2 并未就技术标准做出详细规定，“网关服务提供商”将成为未来新的关注热点。

Google收购API管理平台Apigee也印证了这一趋势，它将与Xignite和 Plaid等一起，加剧这一领域的竞争。这其中的成功关键在于银行、第三方提供商以及网关服务提供商在内的各方，能否构建起安全可靠且不牺牲速度的交互流程。

传统银行有不同的应对策略

策略一、开放合作

对于资源充足并拥有敏捷组织文化的金融机构来说，纯粹单干的模式未必不可行，但积极开展合作也许是更合理的选择。巴克莱银行和桑坦德银行都构建了开放式的API基础架构，由例如EverLedger在内的第三方合作商推出各种各样无限制的业务组合。

策略二、重构产品业务

在“从内而外”重构银行业务的方面，Fidor和N26的做法很值得一提。这两家初创企业均为德国持牌机构，不设分支网点。不少人认为德国拥有“全球最开放的银行业务环境”，因此两家企业诞生在德国并非巧合。两家企业均以金融科技为核心，积极试点非传统银行策略开展业务，例如众包（crowdsourcing）业务。Fidor 于2016年被法国 BPCE银行集团收购，目前仍作为独立品牌开展业务。

策略三、突破中小企业

开放银行对于中小企业业务也有丰富的发展机会。一项研究显示，英国全国近500家中小企业认为，当前银行提供的金融服务难以满足其需求。很多其他国家也存在类似情况。包括英国的创新基金Nesta、巴克莱银行的Pingit和Buyit方案都希望借助开放银行，破解中小企业的难题。

全球各地开放银行的监管进程不同，金融生态系统的发展方向各异，因此面临的挑战各有不同。跨国银行需要在遵守各地监管规范（例如欧盟的PSD2、英国的《开放银行标准框架》、美国的《多德- 弗兰克法案》）的同时，为全球客户提供一致的服务，因此面临的挑战尤其严峻。

但无论在哪里开展业务，银行都应充分发挥既有优势，在未来的18-24 个月内采取以下措施：

与金融科技企业和非金融服务企业签订数据共享协议，获取先行者优势。针对API技术及其在银行的应用模式展开前瞻性的思考，不仅要考虑如何授权第三方的访问，也要思考数据授权在法律规定之外运用的潜在影响。充分了解当前对数据隐私保护的要求和未来的潜在发展方向，明确自身机构对于非传统创新模式的态度。并考虑如何与客户充分沟通这一变化过程。

变革通常伴随着阵痛。开放银行的大趋势意味着竞争壁垒的降低，银行的支付业务收入将不可避免地下降。但美国以及其他国家的市场演变情况都表明这种变革是必然的。因此银行最好率先出发、引领变革，而不是无所作为，甚至做无谓的抵抗。

PSD2、GDPR及开放银行领域相关术语

《支付服务指令修正案》（PSD2）由欧盟委员会颁布，旨在协调整个欧盟地区的支付监管与消费者保护事宜。值得注意的是， PSD2（2015年颁布）比PSD1（2009年颁布）更强调针对线上活动的保护措施，并推动制定开放银行的原则促进市场创新。考虑到开放银行的市场机会以及伦敦金融服务界对该法案理念的支持，业内一般认为英国脱欧后仍将遵守PSD2的规定。 PSD2有一项主要原则：只要账户持有人同意，金融机构必须向第三方提供商（TPP）授予访问权限，以便后者代表账户持有人执行指示。第三方提供商可有多种形式。有一些账户信息服务提供商（AISP，其中包括美国的Mint 公司）已经按照英国的《开放银行标准框架》公开了部分不太敏感的信息，比如分支机构和 ATM 的位置。

业内普遍认为，随着PSD2打开了通往实际资金流动的大门，支付信息服务提供商（PISP）将激活市场创新，甚至带来颠覆。

Klarna和支付宝就是两个领先案例。随着PSD2于2018年正式生效，其影响将逐步显现出来（注：截至本文成稿时，Klarna 已取得银行业务牌照）。

英国的《开放银行标准框架》规定了多条PSD2原则的适用范围，并建立了具体的落地框架，包括细化的安全协议。该框架于 2017上半年正式生效，按其规定，英国前九大零售银行均须实现活期账户数据以及零售银行产品数据的标准化，并允许注册的第三方访问。

《通用数据保护条例》（GDPR）是欧盟颁布的另一项法规，旨在统一各成员国的个人数据保护规则。GDPR中“账户访问权限” 的条款同时涉及到支付方和收款方双方。此外，该条例规定个人数据应在支付处理系统之间可迁移性，但此前倍受关注的“被遗忘权”在很多情况下被柔化成了“数据删除权”。

作者：