數據共享與開放銀行

 

談到“大數據”這些熱門詞匯,人們往往會想到算法、數據分析等量化工作,但在大數據運用領域,更根本的基礎卻在于如何“獲取”數據。如今,每個行業都在討論如何才能更便捷地獲取數據,金融行業對此尤為關心。在政府層面,G20反腐敗工作小組已將數據開放視為提升公共部門透明度和廉潔性的首要工作;而從商業角度來看,數據的高階運用也可以催生新的產品和新的業務模式。歐盟在數據分享領域的探索領先其他地區,其2018年初頒布的《支付服務指令修正案》(PSD2)則首次勾勒了該領域的監管規則。

數據共享往往通過應用程序編程接口(Application programming interface,API),以實現數據流在不同系統之間的實時流動和功能的無縫集成(見圖1)。銀行業在多年前就已開始使用API 接口(參見:“開放銀行如何讓API技術重獲青睞?”),但隨著大數據分析技術取得突破,同時大量非銀行的金融科技公司在市場中嶄露頭角,API作為提升零售客戶和對公客戶金融服務質量的有力武器,被銀行放到重要位置。

 

開放銀行的大潮不僅將惠及終端用戶,也將為銀行與非銀行機構之間開辟嶄新的競技場,更有望催生出一個全新的金融服務生態系統。同時,開放銀行也在數據隱私及監管上帶來新挑戰,雖然目前全球各地的治理規則有所不同,但無論在哪個地區,邁向開放銀行的大趨勢都已明朗,因此銀行和金融科技企業必須在新環境中明確自身定位,并且提前思考如何借此機會提前布局。

 

開放銀行如何讓API技術重獲青睞?

本質上來說,API接口是為了實現某個應用程序與其他系統的互動,而設計的經過記錄的連接點。API的概念可以上溯到大型主機的年代,投資管理公司是其早期使用者之一,它們通過這種技術將第三方的費率、基金表現、交易清算等數據無縫引入自己的桌面程序上開展管理。

到了21世紀初,以客戶為中心的互聯網新時代到來,為API技術提供新的使用場景。eBay無疑是這一領域的先驅,通過分享API接口給授權合作伙伴,共同建構了一個以eBay為核心的生態系統。Salesforce也幾乎在同一時間開放了API接口,并以此為基礎實施了“網絡即服務”(Network as a Service, NaaS)的云戰略。2005-2010年間,臉書和谷歌地圖也開始向創新開發者開放API接口,從而極大地拓展了服務范圍。

這里,我們需注意一個關鍵問題:API接口可以是公開的,但也可能是專有的。蘋果、谷歌這樣體量驚人的大公司發布一組API的同時往往會附帶一系列條款,合作伙伴一般都會選擇遵守。而影響力不夠的企業則可能需要與潛在合作伙伴逐一展開繁瑣的談判。

這就是開放銀讓API技術重受青睞的原因。這個市場上有無數的金融科技公司試圖解決金融服務業的長期痛點,但金融行業畢竟是一個特殊的行業,對于數據隱私、信托責任等領域需要有完善的監管治理和保障體系。無論是對于政府還是行業的監管機構而言,API接口都可幫助開放銀行方案落地時減少不必要的障礙和摩擦。

Plaid、Apigee、Yodlee 、Xignite等API平臺將成為開放銀行生態系統中不可或缺的部分。與此同時,雖然網頁爬蟲技術取得了實質性進步,但傳統銀行對此仍然抱有疑慮。因此,無論是從監管的角度還是從方案有效性角度來看,網頁爬蟲技術都在逐漸淘汰出局。

 

開放銀行發展日趨白熱化

 

開放銀行可簡單定義為由互不相關的兩方或多方利用API接口共享金融數據的一種合作模式。API已經存在幾十年,在美國的應用尤其廣泛。個人財務管理軟件利用該技術接入Visa、萬事達等支付網絡,客戶可以在軟件上看到信用卡賬單詳情。不過目前為止API技術仍主要用于共享信息,而非轉賬。

 

開放銀行有眾多潛在優勢,包括優化客戶體驗、實現新的收入來源,并在目前傳統銀行服務無法充分進入的市場中建立可持續的服務模式。在這一領域的知名企業包括美國的免費的線上消費金融平臺Mint、美國最大的P2P平臺Lending Club、非洲的線上個人存貸平臺M-Shwari、菲律賓信貸評估及線上借貸平臺Lenddo,以及包括Stripe和Braintree在內的支付領域顛覆企業(見圖2)。

 

當然,開放銀行也將會面臨各種挑戰。近年來,隨著騰訊、阿里等為代表的數字生態系統日漸成熟,數據共享逐步成為阻礙業務創新的瓶頸。與此同時,傳統銀行仍然牢牢掌握著大量的交易數據和緊密的客戶關系,它們往往認為數據公開帶來的威脅遠大于潛在的機遇。因此,迄今為止,絕大多數的金融科技創新都來自金融服務領域之外,他們通過創新數據與客戶的溝通展示形式來做大客戶規模。

 

雖然API的核心價值在于簡化系統間的聯通、推動更便捷地獲取數據,但保障個人數據的隱私權和安全性是數據共享的天然風險和前提,因此必須為其設計基礎流程并制定相應的治理規則。

 

貫穿始終的核心話題:數據授權與保護

 

銀行一直以保護和監管客戶數據為己任。因此金融領域的數據共享應該以嚴格的風險管理和授權許可為基礎,同時需建立完善的審計跟蹤記錄,并接受法規和風險管理原則的約束。如果做得好,金融機構就能同時提高客戶識別(KYC)、身份驗證和反欺詐的能力,從而提高銀行整體的安全性水平。舉例而言,PSD2目前的技術標準有望杜絕被銀行業長期詬病的“網頁爬蟲”(screen-scraping)行為。

與此同時,與客戶的透明溝通和適當管控仍然是開放銀行產品設計的核心,但這條原則實施起來挑戰很大。不同的數據類別所需的安全程度也不同,因此客戶應在授權之前充分理解數據共享的意義,即“知情且同意”——實現這一點并非易事,因為人們習慣于略過頁面上密密麻麻的說明條款,直接點擊“我同意”。所以數據授權的尺度拿捏很重要:既要讓客戶理解和接受這種授權,又不能讓其感到困擾、恐懼或厭煩。

這其中最棘手的一項任務是讓終端用戶充分理解“數據許可和隱私”。PSD2取消了金融機構在數據保護上面的“守門員”角色,明確賦予賬戶持有者分享數據的權力。但有證據表明,實際情況下大部分客戶對某些數據的重視和敏感程度遠不如銀行及其監管者。雖然擁抱開放銀行的趨勢對銀行而言蘊含很大機會,但銀行的確有理由擔憂數據用戶對數據的不當授權會損害其品牌形象和聲譽。

除此以外還有一系列數據使用的具體問題,包括理清在特定情況下編輯“敏感數據”的權利,第三方在獲得數據后的一定時間后刪除或銷毀數據的責任等。未來隨著開放銀行的逐步推進,相信許多細節都會逐步得到優化。但銀行對這些具體問題的考量不難理解——因為任何一個失誤都對銀行品牌有極大的影響。

隱私權保護也是另一個復雜的問題。歐盟的《通用數據保護條例》(GDPR)于2018年5月正式實施,根據該條例,監管機構將對違規行為處以高昂罰金,最高可達違規機構全球總收入(而非利潤)的4%。其中一條“被遺忘權”大幅推升了數據共享的風險,意味著金融機構今后必須從賬戶持有者處取得明確的數據共享許可。然而賬戶持有者開展的每一項金融交易中都存在一個沉默的對手方,那么這項“被遺忘權”是否同樣適用于交易對手方?如果答案是肯定的話,那么授權流程將變得無比繁雜。尤其是尚未建立統一存儲客戶授權的中央數據庫時,與他行開戶的交易對手開展。

 

監管手段各異,市場演變不同

 

全球各地數字生態系統發展進程不一,這在很大程度上要歸結于監管手段的不同。歐洲從完善自身監管框架出發推動開放銀行,歐盟的PSD2及英國的《開放銀行標準框架》(OBS)均鼓勵零售銀行業開展更廣泛的競爭。PSD2中的一項核心條款就是要求銀行向非銀機構開放賬戶訪問,以促進歐元區支付服務市場的競爭和創新。

盡管英國仍在脫歐的進程中,但這不會改變數據共享的監管協議,因為PSD2中的大部分客戶保護條款已經寫入英國法律,英國政府和金融界強烈認可數據共享的大趨勢,并也積極推動銀行服務通用性。如果再往前追溯,早在20世紀90年代,意大利、比利時和德國便已各自制定了向小型銀行和第三方機構公開賬戶信息的相關規定。

相比之下,美國尚未從中央政府層面推出數據治理監管措施,這種環境催生了一大批金融科技創新企業與銀行的一次性合作協議,例如大通銀行、富國銀行與創新企業Xero和Finicity的合作。但在擁有約1.2萬家金融機構的美國,這種一次性的模式是很難推廣的。2016年12月,美國貨幣監理署(OCC)發布《探討向金融科技公司發放特殊目的國家銀行牌照》征求公眾意見,并于2018 年7月31日正式開始接受牌照申請,該牌照將允許金融科技企業具備部分銀行職能。盡管該牌照主要針對借貸和資本成本監管,但它降低了非銀機構進入金融服務業的競爭壁壘,為建立與PSD2相似的數據共享協議鋪平了道路。

從2016 年末開始,印度的金融科技迎來迅猛發展,這主要是由于印度政府的實施貨幣改革舉措:將86% 流通中的貨幣(500 盧比和1,000 盧比紙幣)完全廢止并重新發行,隨之而來的現金短缺極大的促進了當地的手機錢包業務,如今印度的移動支付市場已經進入整合階段。新加坡的金融科技市場規模龐大,并且以各種API 技術為核心特色,例如,一些API 可以幫助在沒有正規信用評分機構的情況下進行風險決策。為規范流程結構并開展全面監督,新加坡金融管理局(MAS)已成立了金融科技署。同時,歸功于新建立的金融科技門戶網站,開放銀行在伊朗也取得了長足發展。澳大利亞也表示,正在考慮借鑒英國和歐盟在開放銀行領域的監管舉措。

 

開放銀行對傳統銀行和金融服務創新的影響

 

開放銀行模式可以為消費者和商戶雙方創造價值。支付寶和微信支付已經走在前面,他們以電子商務平臺或者社交平臺為核心,為消費者提供更為順暢的個性化體驗和包括P2P支付在內的多種支付選項,這種模式同時催生出提供生活、金融、服務等在內一站式的APP。例如,金融科技企業Trustly將消費貸款嵌入APP中,在客戶消費旅程的關鍵時點向客戶詢問是否需要申請貸款,比如結賬的前一刻,此時消費者的購買意愿已建立,非常容易成交。

 

機會一、普惠金融迎來新機遇

通過匯集不同系統中少量的個人資料,可實現更精確的風險評分和信貸審批,進而推動開展普惠金融,比如在非洲開展業務的美國金融企業Angaza Design。同時,隨著更多潛在客戶納入正規金融系統,開放銀行可推動市場增長并潛在催生出利潤豐厚的新服務。還有一類創新致力于整合非金融數據與交易記錄,并從中找出新的洞見和商機,孵化器和風投資本也在積極關注這類創業公司,例如智能投顧服務商Wealthfront最近推出一款借款產品,利用客戶的歷史交易數據,無需信用審核,以持有資產作為抵押來提供借款。銀行不妨利用自身積累下來的金融數據開展普惠金融領域的探索。

 

機會二、產品創新的新時代

在開放銀行的大趨勢下,傳統銀行將難免對部分傳統領域失去掌控力,但它們也會收獲一個更加廣闊的行業利潤池,而且有機會成為其中的主導者。例如,傳統銀行可創新產品,將預測分析和人工智能技術與借貸融資相結合,大幅改善零售客戶和對公客戶的服務。誰愿意率先對企業積極開放數據、搶先提供客戶需要的創新產品,誰就能夠獲得先發優勢。所謂的創新產品既包括更便捷的操作界面,也包括各種增值服務,如Monzo等線上銀行設計的預算管理、支出分類等功能。仰賴于長期以來累積的客戶信任關系,傳統銀行短期內不太會喪失競爭優勢,但它們必須立即行動起來,以應對來自新興企業日益白熱化的競爭。

 

機會三、網關服務提供商的興起

人們一直在關注銀行的老舊系統與API接口的對接開放進程,同時,我們也應積極關注支付發起服務提供商(Payment Initiation Service Providers, PISP)和賬戶信息服務提供商(Account Information Service Providers, AISP)與銀行間的交互端口。由于PSD2 并未就技術標準做出詳細規定,“網關服務提供商”將成為未來新的關注熱點。

Google收購API管理平臺Apigee也印證了這一趨勢,與Xignite和Plaid等一起,加劇這一領域的競爭。這其中的成功關鍵在于銀行、第三方提供商以及網關服務提供商在內的各方,能否構建起安全可靠且不犧牲速度的交互流程。

 

傳統銀行有不同的應對策略

 

策略一、開放合作

對于資源充足并擁有敏捷組織文化的金融機構來說,純粹單干的模式未必不可行,但積極開展合作也許是更合理的選擇。巴克萊銀行和桑坦德銀行都構建了開放式的API基礎架構,由例如EverLedger在內的第三方合作商推出各種各樣無限制的業務組合。

 

策略二、重構產品業務

在“從內而外”重構銀行業務的方面,Fidor和N26的做法很值得一提。這兩家初創企業均為德國持牌機構,不設分支網點。不少人認為德國擁有“全球最開放的銀行業務環境”,因此兩家企業誕生在德國并非巧合。兩家企業均以金融科技為核心,積極試點非傳統銀行策略開展業務,例如眾包(crowdsourcing)業務。Fidor 于2016年被法國BPCE銀行集團收購,目前仍作為獨立品牌開展業務。

 

策略三、突破中小企業

開放銀行對于中小企業業務也有豐富的發展機會。一項研究顯示,英國全國近500家中小企業認為,當前銀行提供的金融服務難以滿足其需求。很多其他國家也存在類似情況。包括英國的創新基金Nesta、巴克萊銀行的Pingit和Buyit方案都希望借助開放銀行,破解中小企業的難題。

全球各地開放銀行的監管進程不同,金融生態系統的發展方向各異,因此面臨的挑戰各有不同??鐕y行需要在遵守各地監管規范(例如歐盟的PSD2、英國的《開放銀行標準框架》、美國的《多德- 弗蘭克法案》)的同時,為全球客戶提供一致的服務,因此面臨的挑戰尤其嚴峻。

 

 

但無論在哪里開展業務,銀行都應充分發揮既有優勢在未來的18-24個月內采取以下措施:

  • 與金融科技企業和非金融服務企業簽訂數據共享協議,獲取先行者優勢。
  • 針對API技術及其在銀行的應用模式展開前瞻性的思考,不僅要考慮如何授權第三方的訪問,也要思考數據授權在法律規定之外運用的潛在影響。
  • 充分了解當前對數據隱私保護的要求和未來潛在發展方向,明確自身機構對于非傳統創新模式的態度。并考慮如何與客戶充分溝通這一變化過程。

變革通常伴隨著陣痛。開放銀行的大趨勢意味著競爭壁壘的降低,銀行的支付業務收入將不可避免的下降。但美國以及其他國家的市場演變情況都表明這種變革是必然的。因此銀行最好率先出發、引領變革,而不是無所作為,甚至做無謂的抵抗。

 

 

PSD2、GDPR及開放銀行領域相關術語

《支付服務指令修正案》(PSD2)由歐盟委員會頒布,旨在協調整個歐盟地區的支付監管與消費者保護事宜。值得注意的是,PSD2(2015年頒布)比PSD1(2009年頒布)更強調對于線上活動的保護措施,并推動制定開放銀行的原則促進市場創新??紤]到開放銀行的市場機會以及倫敦金融服務界對該法案理念的支持,業內一般認為英國脫歐后仍將遵守PSD2的規定。PSD2有一項主要原則:只要賬戶持有人同意,金融機構必須向第三方提供商(TPP)授予訪問權限,以便后者代表賬戶持有人執行指示。第三方提供商可有多種形式。有一些賬戶信息服務提供商(AISP,其中包括美國的Mint 公司)已經按照英國的《開放銀行標準框架》公開了部分不太敏感的信息,比如分支機構和ATM 的位置。

業內普遍認為,隨著PSD2打開了通往實際資金流動的大門,支付信息服務提供商(PISP)將激活市場創新,甚至帶來顛覆。

Klarna和支付寶就是兩個領先案例。隨著PSD2于2018年正式生效,其影響將逐步顯現出來(注:截至本文成稿時,Klarna已取得銀行業務牌照)。

英國的《開放銀行標準框架》規定了多條PSD2原則的適用范圍,并建立了具體的落地框架,包括細化的安全協議。該框架于2017上半年正式生效,按其規定,英國前九大零售銀行均須實現活期賬戶數據以及零售銀行產品數據的標準化,并允許注冊的第三方訪問。

《通用數據保護條例》(GDPR)是歐盟頒布的另一項法規,旨在統一各成員國的個人數據保護規則。GDPR中“賬戶訪問權限”的條款同時涉及到支付方和收款方雙方。此外,該條例規定個人數據應在支付處理系統之間可遷移性,但此前倍受關注的“被遺忘權”在很多情況下被柔化成了“數據刪除權”。

 

 

作者:

Laura Brodsky為前麥肯錫咨詢顧問

Liz Oakes為前麥肯錫全球副董事合伙人

作者感謝王路(Lu Wang)對本文做出的貢獻。