开放银行对支付行业的影响与政策建议

　　一、开放银行概述

 

　　开放银行是指商业银行将其内部支付、信贷等金融服务功能和账单查询、消费记录等用户相关信息进行封装集成，在得到用户授权的前提下，通过一组事先预定的API（应用程序接口）将信息开放给其他第三方应用机构（包括但不限于其他商业银行、金融科技公司、第三方支付机构等）。第三方应用机构可以通过调用商业银行提供的API，在其本地的应用程序或平台上直接提供相应的金融服务，甚至创新出更加便利、高效、优质的新型金融服务，为用户提供直观、无缝的金融服务体验。

 

　　开放银行的发展给金融行业带来革新和变化。对于商业银行而言，通过安全高效的数据交互可减少跨机构、跨行业沟通的压力，创新个性化金融服务方法，提高其获客导流的能力及核心竞争力。对于第三方应用机构而言，能够通过标准化的API访问和调用，降低与商业银行的洽谈成本，通过个性化服务的搭建实现吸引客户、扩展业务、增收利润等目的。

 

　　对于消费者而言，开放银行的发展能增加产品价格的透明度、降低信息不对称程度，使其可以对金融产品和服务的价格、成本、收益等信息进行充分比较。

 

　　但同时，开放银行的发展也引发了新的风险。

 

　　一是面临数据安全风险。使用银行API的部分第三方应用机构对于用户数据的保护不够严密，可能出现数据滥用、数据丢失、数据盗窃等风险。

 

　　二是存在网络安全风险。在开放的生态环境中，商业银行和第三方应用机构的数据交互需要在互联网上传输，因此可能受到DDo S,SQL注入、病毒监测、跨站脚本攻击等网络攻击拦截。

 

　　三是存在金融脱媒风险。在开放银行模式下，第三方应用机构提供的智能投顾、自动理财等新型服务可能会导致客户将资金移出银行系统，投到具有更高收益的金融产品，从而增加了商业银行金融脱媒的风险。

 

　　二、开放银行的发展现状

 

　　（一）国际发展现状

 

　　在全球范围内，欧美等诸多国家都将开放银行视为提升服务效率、重塑价值链的利器，采取政策驱动或者市场驱动等方式积极拥抱开放银行。

 

　　1. 采取政策驱动开放银行发展的实践

 

　　英国是全球首个倡导开放银行发展的国家，并通过成立机构、制定标准、出台政策等手段不断完善国内开放银行的生态环境。2018年1月，OBIE正式使用了第一版开放银行API——账户信息API，用于实现账户集成服务、信用查询服务等功能，并要求英国规模最大的9家银行在真实环境中测试使用。截至2019年6月底，FCA已经批准了135家机构从事开放银行业务。欧盟于2018年1月正式推行《欧盟支付服务指令修正案》（PSD2），要求金融机构在用户的授权下允许第三方机构获取用户银行账户交易信息等标准化的金融数据。此外，墨西哥出台了《金融科技法案》，也对开放银行业务的落地应用进行了规范和说明；澳大利亚政府宣布要求商业银行分3个阶段实施开放银行。

 

　　2. 采取市场驱动开放银行发展的实践

 

　　美国消费者金融保护局（CFPB）于2017年提出用户授权数据共享原则，鼓励商业银行引入API共享数据，但并不强制要求。新加坡金融管理局（MAS）和新加坡银行协会于2016年11月发布了《API指导手册》，为如何设计和开发API提供综合指南。

 

　　（二）国内发展现状

 

　　相比于国外市场，我国的开放银行起步较晚，但发展势头强劲。2018年9月，浦发银行推出API Bank无界银行，正式吹响了我国开放银行发展的号角。2018年下半年，浦发银行、建设银行、兴业数金等机构纷纷上线了开放银行平台，向第三方应用机构开放内部账户管理、支付结算、公共缴费等金融服务功能。2020年2月，人民银行发布了《商业银行应用程序接口安全管理规范》，对API接口、运维监测、生命周期管理等提出技术及安全方面的要求。

 

　　三、开放银行对支付产业的影响分析

 

　　在传统的支付产业中，人民银行等监管部门发挥着举足轻重的作用，开展各项行业指导、政策制定、秩序规范、支付清算系统基础设施建设等顶层设计和市场管理工作。作为银行卡的发行机构，商业银行是支付行业“四方模式”中的实现基础和传统渠道。银联、网联等清算机构致力于实现支付交易在线下和线上的互联互通，是跨机构支付交易的“桥梁”和“交通枢纽”。随着移动支付的快速发展，微信、支付宝等第三方支付机构以良好的用户体验、快捷的实现过程、多元的交易场景、较低的交易成本等优势，在小额、高频支付领域应用广泛。在开放银行的影响下，新一代的支付产业生态系统中，金融科技公司也将发挥出重要的作用。

 

　　（一）对商业银行的影响分析

 

　　对于商业银行而言，开放银行模式有利于实现支付行为重回银行渠道，增加商业银行在支付行为中的话语权和重要性，但是同时也给商业银行带来了挑战。为此，商业银行需要调整结构、优化流程。

 

　　1. 通过调整架构新增开放银行服务层

 

　　一是商业应加强对第三方应用机构的认证和鉴权力度。一方面，商业银行要仔细评估第三方应用机构的资质、安全等级和风险防控水平，并对其进行分类评级，按照最小授权原则对相应的级别设置支付限额、支付频率等参数；另一方面，商业银行要验证每次支付交易的客户授权，确保支付交易是在客户允许的前提下发起的，每笔支付交易都应对第三方应用机构的身份进行核实和认证。

 

　　二是要利用支付标记化等账号脱敏技术避免支付敏感信息在公共网络上被传输和使用。支付标记化技术能够对用户的支付账号进行脱敏处理，生成虚拟账号代替真实的银行卡号、支付账户等支付要素，供第三方应用机构使用，避免用户真实的账户信息在第三方应用机构处留存，从信息源头控制支付环节敏感信息泄露的风险。

 

　　2. 通过自主建设或合作开发API平台

 

　　商业银行应搭建API平台，对自身内部的信息进行封装集成，并对外开放。对于技术实力较强的商业银行而言，可以自建API平台。对于技术实力较弱的商业银行而言，可以选择与实力较强的科技巨头或金融科技公司合作，通过“借船出海”的方式提供开放银行服务。

 

　　此外，在开放银行模式下，敏捷开发将成为常态。因此，商业银行也应做好API接口的赋码管理工作，对每一个支付API进行编码，并在安全层面进行相应的风险控制。

 

　　3. 通过大数据风控手段配备安全防护层

 

　　一是商业银行对支付类开放银行应用进行运行监控和流量监测，完整记录系统运行状况指标和接口访问日志，对开放接口流量实施动态管控，有效应对高频、大流量等突发支付状况，确保核心支付服务有序平稳运行。

 

　　二是商业银行应着力加强网络安全管理，优化网络安全风控流程，有效抵御DDo S、跨站脚本等网络攻击，确保支付服务的底层环境安全可控。

 

　　（二）对清算机构的影响分析

 

　　开放银行服务在支付领域的应用为清算机构注入了新动能，引导支付重回以商业银行、清算机构为代表的传统金融体系，为用户提供安全高效、便捷多元的数字化支付服务。因此，银联、网联等清算机构应持续提升系统开放程度，不断完善开放银行服务在支付领域应用的生态环境，重新夺回支付业务的枢纽地位。

 

　　一是要不断强化核心服务，做好基于银行账户的支付、结算、清分等核心基础服务。开放银行模式为支付行业带来了诸多变革，在此过程中清算机构应把握契机，着力完善并牢牢掌握清分、结算等支付枢纽功能。

 

　　二是要调整服务转化功能。通过构建Token服务平台，为商业银行将银行卡号转换为虚拟卡号提供技术支持和转接服务，向开放银行支付服务提供方提供账户映射、支付凭证发放、账户管理等功能。

 

　　三是应搭建开放接口平台。将移动支付、支付标记化服务、退税、电子化营销等综合支付能力进行模块化封装，向合作机构开放各类底层支付技术接口。

 

　　四是要重视安全风险防控。积极应用大数据、人工智能等技术，从支付业务和底层网络两个方面着力加强对潜在风险的预警、防控和处置力度。

 

　　五是要不断拓展应用场景。第三方应用机构能够调用清算机构提供的API接口并自由地进行服务拼接和组合，在不同领域、不同场景、不同渠道为用户提供多元化、个性化的支付服务和解决方案。

 

　　（三）对金融科技公司的影响分析

 

　　开放银行在支付领域的应用将不断扩展金融科技公司的角色和职责，使金融科技公司更加深入地参与到支付行业的生态系统中，极大地拓展了金融科技公司的发展空间。

 

　　一是金融科技公司能通过开放银行向用户提供定制化、个性化、便捷化的支付服务。开放银行模式下，金融科技公司可以利用商业银行、清算机构提供的API接口，根据用户的支付习惯等信息在本地搭建支付平台，为用户提供更优质的服务，增强获客引流的能力，优化用户支付体验。

 

　　二是金融科技公司可以借助自身雄厚的技术实力成为API集成商，向中小型商业银行输出API设计、平台搭建、数据分析等服务。金融科技公司可加强与中小商业银行的合作，利用自身技术实力协助其开展架构转型、业务流程优化、开放API制定等工作，以API集成商、技术能力输出商等身份更加深入地参与到新时代下的支付行为中。

 

　　（四）本章小结

 

　　可以看出，开放银行模式只是对支付的方式进行了优化和提升，并没有改变支付行为的本质。在开放银行模式下，支付市场的各参与方共同形成以央行支付清算系统为核心，以银联、网联等清算机构为纽带，连接商业银行、支付机构、商户及金融科技公司等新兴市场参与方的支付产业体系格局。该体系中，支付行为背后的资金清结算方式并未改变：支付机构与商业银行等收单机构将商户传来的交易请求传递至清算机构，清算机构对收到的交易请求统一清分，依据清分结果最终通过央行支付清算系统完成资金的调拨，实现央行支付系统对资金汇划的完全控制和流向监控，让支付行为回归本源，重回以商业银行和清算机构为枢纽的传统金融体系。

 

　　四、政策及建议

 

　　（一）加强对开放银行支付服务应用方的管理

 

　　一是要应加强对开放银行支付服务应用方的准入管理，要求应用方在运营管理、风险防控、技术实施等方面满足监管机构提出的最低技术安全要求。二是加强对开放银行支付服务应用方的身份核验，为应用方分配数字身份证明，并采用双因素身份验证方式对其身份进行鉴别和认证。三是要建立白名单，对风控能力较强、市场应用较好的支付服务应用方“开绿灯”，进一步完善公平、高效的开放银行市场竞争环境。

 

　　（二）建立开放API全生命周期管理机制

 

　　在设计环节，要从代码规范、接口设计、授权范围等方面对API进行全面评估和规划，确保API设计研发严格遵守相关规。在应用环节，要对被调用的API进行运行监控，完整记录API的应用状况，对API接口进行流量动态管控，确保支付服务安全稳定运行。在退出环节，要制定服务结束流程、应用方退出规程等服务退出相关制度规范，并建立相应的风险补偿机制。

 

　　（三）营造更具活力的创新环境

 

　　一是借鉴监管沙箱理念，为开放银行在支付领域的应用提供试错容错的环境。鼓励开放银行提供方在支付领域大胆尝试创新业务模式，并为其提供真实场景的测试环境，检验开放银行支付服务应用的安全性和市场反映。

 

　　二是提供纠纷解决方案。监管机构应提供解决纠纷的机制，充分考虑未经授权的交易、支付失败、退款等场景，解决各方之间的潜在纠纷，避免出现因责任分歧导致用户不愿意使用的情况。