作者:赵黎明(某银行武汉分行网络金融部)
编辑:严世杰
来源:九卦金融圈
第一章开篇
银行的服务无界仅仅是第一步,终极目标是银行服务的完整性。
-------------笔者按
内容提要:
开放银行是一种平台化的商业理念,以API为主要技术手段,旨在构建新的银行服务生态系统,并在该生态系统中形成新的商业模式,创造新的盈利增长点。笔者认为未来金融科技银行直接提供的产品可能将限于“持有资金”业务,如:多种货币的银行账户、信用卡和借记卡、电子钱包等,而像投资、交易和经纪、财富管理、贷款、信贷和抵押,众筹,保险,外汇等业务可能会借助API由传统银行或第三方提供商来提供。
那么我们是做平台的构建者?通过开放银行构建自己的生态平台,通过错位竞争的方式,从当下的“红海”中驶向“蓝海”,走一条差异化发展之路,还是成为该类平台的渠道商?是我们审视当下及未来发展的起点初心,同时也是我开放银行项目成功和可持续发展的制高点。
关键词:
平台化、生态系统、API、数据开放、风险与安全
第二章理念篇
是做平台平台构建者、服务撮合者、生态整合者还是做参与者、渠道商、分销商,就像是决定做舞台背景还是做舞台上的演员…
---笔者语
一、开放银行的理念及内涵
通过调研,笔者认为不同于以英国为典型代表的国外开放银行,随着我国开放银行的理论研究和实验实践,开放银行被赋予更多的内涵,已经将开放银行从“概念”进化到“理念”。
首先明确的是开放银行是一种平台化的商业理念,(而不是网络银行,更不是数字银行的概念)将自身定位与银行即平台,作为平台构建者、服务撮合者、生态整合者,是以API为主要技术手段,将银行的产品和服务拆分和打包,与各场景结合、按需分配重塑银行核心服务。将各种不同的商业生态嫁接至开放银行平台之上,再通过这些商业生态间接为客户提供各类金融服务,从而形成共享、开放的平台模型,构建一个全新的金融服务生态系统----开放银行生态系统。
二、开放银行的定义(该定义将贯穿整个开放银行构建及运营的全生命周期)
开放银行是主要通过API技术,与商业生态系统共享数据、算法、交易、流程和其他业务功能,为商业生态系统的客户、员工、第三方开发者、金融科技公司、提供商和其他合作伙伴提服务。
--高纳德咨询
这里包含三个主要问题:
1、与哪些商业生态系统,他们在那里?2、在监管或协商的基础上共享哪些数据、算法、交易、流程和其他业务功能,共享到什么程度、怎么来保障?3、为商业生态系统的客户、员工、第三方开发者、金融科技公司、提供商和其他合作伙伴提供哪些服务,怎么来实现和运营?
首先笔者认为构建该工作的核心理念是:要开展真正开创性的工作,需要解除思想上的桎梏,放弃“类比思维”,不再从已有的基础或者“模板”着手,而是直接回归问题的本源和设计的实质进行设计、推理、论证、实施。其次开放银行已经成为银行无法绕开的事实,然而,银行的核心:数据开放必然面临诸多挑战,所以开放银行一定是制度先行,需要制度的规范和约束,然而目前我国尚未有相关规定与标准落地。
比如正确看待数据开放与共享的对立矛盾统一问题:银行拥有海量的、丰富的、高质量数据资源以及可信的客户关系,虽然大都处于分散和割裂的状态,但是这些资源背后蕴藏着巨大的行业价值,不应视为威胁,而是机遇,“闭关锁国“的思维虽然是对自身业务暂时的保护,而付出的代价是错过时代发展的机遇,失去利用共享数据和金融科技公司创新技术的机会,进而很难为客户提供更加多元的产品和服务,在明天的残酷竞争中输在今天。
第三章调研篇
我国开放银行的概念、理念源自于欧美等发达国家,但因国情、市场等诸多不同,借鉴学习的同时更应结合自身情况与国内监管环境有取舍和分阶段逐步进行。
----笔者语
一、开放银行建设背景及意义
(一)开放银行的主动驱动因素:数据价值的崛起、战略的主动选择、监管的推进、市场的期待、技术驱动。
技术驱动
随着移动互联网的快速发展,智能设备、数字设备的广泛应用,全球已经步入数字化经济时代,而云计算、大数据、人工智能、分布式技术,密码技术、区块链以及无环图、哈希图等下一代分布式技术、边缘计算已经逐步成熟和应用,促使行业寻求跨界合作,为实现客户所需要的“完整的银行服务”的实现提供基础设施和技术实现保障。
2.市场的期待
无论是中小企业还是消费者等B端、C端长尾客群,甚至是G端(政府)和F端(同业),需要的不再是银行本身,而是银行服务,同时互联网以及智能手机等技术,打破了银行服务供给的时空限制,使银行服务已经具备在任何网络可及的地方实现“随时、随地”的供给,同时其服务供给边际成本和服务获取成本远远小于通过物理网点提供的服务。
第一:客户对产品和服务的即时性和便捷性要求越来越高。
第二:客户的行为信息和用户的触达都从线下转移到线上。
第三:用户转换服务提供商的门槛越来越低,用户忠诚度极大取决于产品和服务的满足。
所以一个无边界的时代促使银行业提供无边界的银行服务,以用户体验为首位,深入挖掘其需求,打破行业边界提供服务和产品。
3.机遇与挑战
银行4.0时代,用户需要的是完整的银行服务,而不是割裂的银行服务,目前这块领域是一片蓝海,虽码头未建好,但各造船厂已经陆续试水、下水。现在银行4.0时代的初期,银行和第三方机构都无法获得客户全部的金融数据,也无法渗入消费者所有生活场景,并进而输出银行服务。如:银行3.0时代,客户可以通过各家银行的APP得到相应的本行账务信息以及相应的存贷汇等服务;客户可以在各种线上线下场景使用第三方支付付款,以及投资理财或申请信用贷款,但由于银行数据的天然垄断和割裂,用户无法直接知道自己不同银行账户以及第三方支付账户里所有的存款以及负债情况。
(二)银行开展开放银行建`设的被动因素
年至年,非银金融科技公司趁数字经济的东风,利用互联网、移动技术以及大数据技术逐步切入传统银行的产业链,将银行的服务分解成一个个垂直的金融科技细分市场,提供支付、在线借贷和财富管理等服务,以极大的客户体验分流了大量银行客群,不仅极大的提高了金融服务的效率,降低了金融服务成本,以极快的增长速度改变了金融服务的供给方式,不仅挑战了银行的方方面面,更是直接向消费者提供更好的银行服务,拔高了客户对金融服务数字化、个性化的期望值,而且正努力构建未来的金融基础设施和金融服务生态系统。这些都给银行的获客能力、盈利模式带来了极大的冲击,所以银行不得的不重新审视自身的整体发展战略。
二、国内外行业政策法规
国外:顶层驱动类
(一)欧盟:
1、年,发布并实施《支付服务指令》(PSD);
2、年末,修订(具体修订内容详见附录P30)并通过《支付服务指令2》(PSD2),要求欧洲银行把支付服务和相关客户数据开放给客户授权的第三方提供商;并要求欧盟成员国在前落实在各国法律中;年9月所有欧盟境内公司都需要遵守该指令。
3、年2月,欧洲银行管理局(EBA)发布《关于强客户认证的监管技术标准草案》,正式文件将与今年年底生效。
(二)英国(由于英国的比较健全和完整,故单独列出):
1、年,英国竞争与市场管理局(CMA)启动面向个人和中小企业的银行服务情况市场调查;
2、年,公布调查结果:传统、大型银行竞争不充分,新兴、小型银行发展举步维艰;消费者未从新服务中获益。
3、年,开放银行实施机构(OBIE)正式发布《开放银行标准》
4、年,英国竞争与市场管理局采取了以开放银行为核心的一揽子措施,形成《年零售银行市场调查令》;《调查令》规定有英国9家,最大的个人和中小企业活期账户提供方(CMA9)构成开放银行实施机构(OBIE),制定和交付详细和通用的API标准,并负责实施和维护它们。
5、年,英国开放银行实施机构(主要由柏林集团完成)在PSD2和《通用数据保护条列》基础上制定了独立的银行间开放和共享标准以及操作细则和对应标准及具体事项。
(三)亚太
1、新加坡:新加坡金融管理局(MAS),专门成立了包含六大类金融数据API注册中心,花旗银行、新加坡华侨银行、(OCBC)、渣打银行是该中心主要共享银行。
2、韩国:年8月韩国成立由韩国金融电信清算机构和韩国证券信息公司,共同管理开放API数据平台,推动韩国金融数据共享。
3、年8月,澳大利亚财政部发布《澳大利亚开放银行评论》,明确提出金融数据共享的发展战略。
国内:市场驱动类
近日,中国人民银行印发《金融科技(FinTech)发展规划(-)》(银发号文)第三章重点任务--第三节赋能金融服务提质增效--(九)“充分运用信息技术与互联网资源做强线上业务,丰富完善金融产品和业务模式,为客户提供全方位、多层次的线上金融服务…。借助应用程序编程接口(API)、软件开发工具包(SDK)等手段深化跨界合作,在依法合规前提下将金融业务整合解构和模块封装,支持合作方在不同应用场景中自行组合与应用,借助各行业优质渠道资源打造新型商业范式,实现资源最大化利用,构建开放、合作、共赢的金融服务生态体系。
同时亦在第三章重点任务—第四节—增强金融风险技防能力--(十七)加大金融信息保护力度中强调“建立金融信息风险防控长效机制….加强金融信息安全防护,遵循合法、合理原则,选择符合国际及金融行业标准的安全控件、终端设备、APP等产品进行金融信息采集和处理,利用通道加密、双向认证等技术保障金融信息传输的安全性,运用加密存储、信息摘要等手段保证重要金融信息机密性与完整性,通过身份认证、日志完整性保护等措施确保金融信息使用过程有授权、有记录、防范金融信息集中泄露风险。….”
以及第三章重点任务—第五节—加大金融审慎监管力度--(二十一)提升穿透式监管能力中提到“加强监管科技应用…..完善监管数据采集机制,通过系统嵌入、API等手段,实时获取风险信息、自动抓取业务特征数据,保证监管信息的真实性和时效性。
第四章建设篇
开放银行模式是银行4.0的平台经营模式的先行者,是改变了传统银行的价值主张、与客户链接的纽带,并形成新的盈利模式。
------笔者语
一、开放银行的总体模式
具体来说,开发银行产生了以产品为中心向客户为中心、APP运营向API运营、封闭闭环服务向开放闭环服务、单边主义向共生共赢的思维模式转变,开放银行的客户来源于客户交互将更加混合化,服务更加精细化合垂直化,收入来源将更多依赖于关键资产的共享、利用和实践,盈利模式更加平台化、盈利来源更加多元化,所以开放银行的制胜关键在于平台模式。
而最适用于银行开放银行的终极模式是:使用开放API允许第三方向其核心产品添加功能,通过开发者中心引入潜在的大量第三方参与,带来超出银行原始组织范围的想法和客户,向平台客户输出完整的银行服务,实现盈利,最终形成新的商业范式。
二、开放银行的设计与架构
(一)开放银行的参与者(角色)
开放银行生态系统的参与者主要包括由账户支付服务提供商(一般来说是银行)组成的可读或可写数据参与者、第三方提供商、消费者。前两者之间的关系是银行在开放银行生态系统中发布可读或可写API,在客户同意的情况下,允许由第三方提供商发起的支付服务,或者使其客户的账户交易数据通过其API提供给第三方提供商。
其中账户支付服务提供商又分强制性账户支付服务提供商和自愿账户支付服务提供商。第三方提供商是使用标准开发的API访问客户账户,以提供账户信息服务或发起支付的组织。包括支付发起服务提供商和账户信息服务提供商。
(二)开发银行的目录
开放银行目录是开放银行关键的体系机构组建,目录的核心是身份和访问管理服务,提供支持自然人、实体和软件身份类的身份信息。主要具有以下功能:第一是管理身份和访问的功能,为与开放银行目录交互的实体和自然人发布和管理身份记录。第二是管理证书的功能,可颁布、管理和吊销数字证书。第三是管理目录信息的功能,可通过API或Web应用程序提供的用户界面更新和查找目录中维护的信息。
(三)开放银行API安全规则
1、API安全规则是所有开放银行参与者必须执行的安全标准,该安全标准定义并阐释了如何使用多层方法保护可读或可写API,比如欧盟标准的OAuth2.0授权框架和开放认证链接(OpenIDConnect)身份验证在互认证传输层安全性之上,可以提供强大和安全的开放银行安全配置文件体系。
OAuth作为开源性的标准,对用户比较友好,易于用户操作,低成本、规模化应用比较广泛。如果用户想授权第三方从银行获取自己的数据,只需在阅读完相应条款后,点击授权按钮即可。随后,银行将用户数据与第三方进行交换,无须用户自己上传或下载数据;而且不涉及分享敏感的信息登录细节或密码信息,大大降低用户隐私泄露的风险;同时用户可以有完全的自主权决定授权的内容、范围以及撤回。
注:OAuth是一个开发标准,允许用户授权第三方访问该用户在某一网站上存储的私密资源。与以往授权方式不同之处是,该授权不会使用第三方初级用户的账号信息(如用户名和密码),即第三方无须使用用户的用户名和密码就可以申请获得该用户资源的授权,因此相对比较安全,我认为该机制类似区块链的“无钥匙自证他证”原理。
2、开放银行安全性能的建议:
(1)实施信息安全管理系统,该系统主要用于控制组织内部信息安全风险。使用ISO:、信息安全管理系统或中小企业信息安全保障标准。后者可以弥补前者之间认证上的差距。
(2)所有参与者都设置安全运营中心,用于监控和管理安全事件、威胁和警报。安全运营中心是指用于监控、评估和保护企业信息系统(网站、应用程序、数据服务器、网络、硬件、软件和其他端点)的专用设施,使用专业工具(包括安全事件和事件管理系统),使银行能够识别、调查和解决安全事件和警报。该中心明确定义事件升级和响应过程(包括响应时间框架),7X24小时运行。
(3)确保所有参与者对数据和系统的访问都有明确的政策和规则界定,这些政策和规定包括但不限于API网关中的节流、超时规定和基于角色的访问等技术规则。所有参与者都需定义一组清晰的数据处理策略和规则,以保护数据的机密性、完整性和可用性。(具体可参考英国国家网络安全中心和美国国家标准与技术协会有关数据访问的密码和技术控制的最新信息)
(4)无论参与者提供的服务时在内部托管还是外包给第三方,都应该具备适当的基础设施来存储和管理开放银行安全凭证。包括但不限于:身份密钥、签署密钥、OAuth用户ID和密码、用户名和密码、访问令牌。同时当认证过程被分发或重新定向到其他站点和应用程序师,应有相应的技术手段避免信息泄露或凭证被拦截。
(5)所有系统和基础设施都应定期地由具备资质认证的外部测试渗透机构探测应用程序和网络中的漏洞,以此准确评估开放银行的防御攻击的能力,同时获取真实安全威胁的详细信息,应用必要的安全补丁或分配安全资源进行相关的补救工作。(如何找到该类外部机构)
(6)所有参与者都要求实施网络安全扎率,避免网络、硬件、应用程序和数据被窃取、破坏或攻击。包括但不限于防火墙防御,系统脆弱性和威胁治理、防病毒和恶意软件保护、拒绝服务或分布式拒绝服务保护、补丁管理、电子邮件过滤、网页过滤、行政特权、访问控制、情报和信息共享等。
(7)所有参与者都应将专业反欺诈操作纳入其信息安全战略框架。包括识别、控制和缓解客户面临的欺诈威胁。成立专门的反欺诈部门,构建情报和信息共享平台与组织内各中心开展反欺诈合作。
三、开放银行对各方的影响分析
(一)对银行
1、改善客户体验、为银行带来新的收入来源,弥补传统银行服务不足的市场空白;
2、将银行间、银企间拥有的庞大客户的准确签约信息、资产信息、现金流量信息以及支付、消费与投资信息等被“数据孤岛”化的数据资产打通,变现,实现客户核心价值的最大化;
3、通过API对第三方开放核心业务功能,不仅可以输出标准化的产品和服务,还可以输出银行风控、技术能力、扩展银行产品和服务的品类,获得多元化的收入,从传统金融服务收入向平台收入转变;
4、促进银行普惠金融的发展:开放银行通过B2B,甚至是B2B2B的形式对接到更多个人客户,服务半径得以延展,覆盖无法触达的农民、小微客群。其中API技术作为不同商业生态和银行业务的”粘合剂”,使银行与不同商业生态之间的服务合作模式的融合性以及连通性得以实现,同时减少技术摩擦,使业务关系得到巩固,服务合作模式得以深化;同时,在开放银行模式下,各机构间的数据在一定程度的共享,数据割裂的情况有所缓解,使长尾市场的边际成本大幅降低,而且服务的对象不局限于本行客群,实现银行服务从“服务客户“向”服务用户“转变,使普惠金融战略得以实现;
5、银行业务敏捷性的提升:开放银行的主要应用技术API可以通过解耦和公开业务流程来提高银行开展业务的敏捷性。同时,可以提高银行与合作伙伴之间业务程序的互通性,消除人为错误,提高内部效率,开拓新的分销渠道;
6、加强银行内部协调、降低银行业务创新成本:目前银行内部存在IT部门与业务脱节的情况,传统的IT架构以及信息系统开发的“瀑布式“的结构以及信息技术部门与业务部门的目标与考核导向,导致创新创造的时间成本、开发成本、沟通成本很高,且效能不强。而通过内部API的构建,使整个银行IT系统”轻量化“,为业务部门使用这些API围绕业务需求,达成某些领域的构想提供可行,同时方便IT部门与业务部门沟通协调,共同构建以业务需求为导向的API,通过及时调整银行IT架构,为产品创新提供保障。
(二)对消费者
1、更好的随时随地移动金融服务体验,降低了客户与银行间的信息不对称,可以获得更加透明公开的产品和服务,用较低成本在不同银行的产品和服务间进行切换。
2、一个平台一个应用可以获得多银行账户信息汇总,以及自己的支付、理财、信贷等全景化信息。
3、便于通过第三方获取更加全面的综合资产信息,并选择个性化的财富管理建议和差异化的定价产品。
(三)对合作方
1、提高财务管理效率:开放银行可以使合作方企业与银行共享日常往来财务信息,合作方只需授权自身财务活动所涉及的银行信息,然后共享给企业的自身记账平台(或银行提供的如“账务通”),记账平台会自动更新企业财务及会计信息,无需人工录入。在极大降低会计人工成本的同时,提高会计的工作效率,保障会计质量。
2、提高合作方营销人员精准营销:由于API技术的可扩展、可重复利用等支持访问信息系统的能力,就极大的方便了企业在内部物理工作场地以外开启系统访问。营销或外勤人员可以通过智能手机访问相应实施数据,销售人员可以指导客户在家中订购产品。API将数据与现有方案集成,二不用花费更高费用在信息系统中插入新软件。
四、开放银行的平台模式及生态系统构想
(一)平台经营理念、模式和阶段:开放银行是一种平台化的商业理念,旨在构建新的银行服务生态系统,并在该生态系统中形成新的商业模式,创造新的盈利增长点。开放银行的经营模式将颠覆目前银行现有的“端到端”的渠道模式,即平台模式(BaaS或BaaP)。
目前,银行通过线上(线上渠道、移动渠道)或线下(分支机构)各种渠道为客户提供一系列“端到端”的金融服务,银行和客户的交互是直接的,是金融服务的最终提供方。
1、开放银行建设的第一阶段:
银行API开放时期,构建一个平台,在此平台上,第三方公司构建的应用程序可以使用银行数据,银行的业务开展以客户开立账户为开端,是客户开展金融活动的站提,是客户办理贷款、抵押、储蓄、外汇等金融业务的基础设施。(如浦发