银行是开放的_普华永道:隐私保护是开放银行的绊脚石还是推进器?

每天晚上7: 30,一起看金融资源,展望未来

伴随着开设银行的实践而来,是一场关于数据隐私的讨论。如何制定数据标准以及政府、银行、技术服务提供商和其他实体扮演什么角色,都是行业合规领域需要解决的问题。

|普华永道中国

编辑|姚顺义

欧盟的“新支付指令”(PSD2)和“一般数据保护规定”(GDPR)是欧洲国家实施开放银行业务的法律依据然而,GDPR进入公众视线往往伴随着巨额罚款:由于数据保护不足,一个美国汽车预订平台、一家美国搜索引擎运营商和一家主要的英国航空公司都落在了这里。
对于对GDPR的惩罚是否过度甚至适得其反,经济学界和法律界仍有争议。诚然,建立可信的隐私保护是数字经济蓬勃发展的基础之一。回顾上述罚款背后的原因,它们都涉及未经授权使用信息或盗窃大量数据。从数字经济可持续发展的角度来看,这些惩罚是值得的。

开放银行下的隐私保护:多级数据标准分区

回到开放银行的角度,这种模式是通过银行在第三方平台上提供的应用编程接口访问客户的银行数据。认证和授权都需要直接的客户交互(例如,提供账户信息、输入手机验证码、密码等)。),因此银行和第三方机构很难在个人信息保护的两个关键环节(知识和同意)上“无意识地”违反信息保护要求。在开放式银行的应用场景中,用户需要授权第三方在特定场景中访问自己的数据。在这种模式下,用户可以相对容易地理解授权数据的目的。然而,传统的互联网应用程序提供了大量的信息收集和隐私保护声明,以传达个人信息将如何使用,其针对性和可读性不如前者。虽然在知情和同意方面很容易明确,但开户银行涉及的账户数据更为敏感,因此银行和第三方在数据保护方面需要更全面的措施。更好的做法是根据数据的风险级别和控制程度将数据分为多个级别(图1),并要求银行和第三方相应地采取有针对性的保护措施

银行是开放的

英国政府和监管机构不仅制定规则,而且参与开放银行生态系统的实际运作,促进银行开放,可以作为其他国家和地区的借鉴。我国的开放式银行监管可以概括为三个方面

研究和公共舆论大楼

(1)2014年9月,开放数据组织(ODI)和咨询公司芬格尔顿联合发布了一份题为“数据共享和银行开放数据”的报告,该报告认为,实施开放银行将有利于英国银行业和数字经济的发展。(2)2016年8月,英国竞争和市场管理局(CMA)发布了零售银行市场报告《让银行为客户更加努力》它认为,英国银行业非常缺乏竞争和创新活力。大银行可以依靠客户粘性来“躺下来赚钱”,而小银行在获得客户和运营方面面临困难。因此,必须实施开放银行,以确保公平竞争,促进市场活力和金融技术创新。(3)2019年4月,资本市场管理局向五家银行发出公开警告,指责它们未能如期实现公开银行设定的部分目标。(4)2019年7月,ODI和Fingleton发布了题为《开放银行:即将到来》的报告,回顾了英国开放银行取得的进展,并对未来发展提出了一些具体建议

制定标准,“标准标准”

(1)制定“开放银行标准”,为开放银行建设提供高水平的指导意见。该标准也是开放银行后续着陆标准的纲领性指南,因此被称为“标准标准”(2)启动“开户行登陆标准”,为开户行提出具体的应用编程接口规范和具体的操作规范(图2)

银行是开放的

3

参与开放银行生态系统的实际运作

(1)建立开放银行的治理结构,并根据治理结构建立一系列实体组织,明确各级监管职责,明确所有参与者,并分别为参与者制定审批标准此外,监管部门还提供了一份经批准的开放银行参与者名单和一个沙箱环境。(2)截至2019年7月,金融行为管理局(FCA)已批准151名参与者(包括95家第三方服务提供商和56家银行)加入开放式银行生态系统。英国的开放式银行治理系统包括独立监管机构的设计、参与者的审查和认证、保险提案的持有、事故的处理以及提案的分阶段实施(图3)——3——基于上述治理结构,英国建立了完整的开放式银行监管体系。图4显示了英国政府和监管机构在实施开放银行业务中的参与责任和主要产出。

银行是开放的

▲图4英国政府和监管机构在实施开放银行

(来源:普华永道分析)

中的参与责任和主要产出除英国外,大多数拥有发达金融业的海外国家或地区都围绕开放银行提出了相关监管标准图5是在不同国家和地区实施开放银行的驱动因素和监管规范的概述

银行是开放的

除香港和台湾外,中国大陆的监管当局尚未制定专门的法律法规来开办银行,但相关的基本法律法规正在不断完善。普华永道和国内知名律师事务所已经梳理了十几个主要的相关法律法规,其简要结论可以概括如下:

1。政府和监管机构越来越重视个人财务数据的管理,监管要求也越来越完善,个人财务数据的行为管理要求已经完全覆盖。

2是相关监管法律法规的制定,已经参考了国外开放银行监管的基本法律法规(如GDPR在《信息安全技术个人信息安全规范》中的参考),出台的各项法规不仅打击了非法交易数据和使用数据,而且规范和促进了对公众有益的合法数据使用权。

依托上述基本法律法规,中国内地已经具备建设和发展开放式银行生态的法律基础。如果监管部门能够进一步出台专门的开放式银行监管指引,将更有利于国内开放式银行的健康蓬勃发展。

建议在特殊指南中规定数据标准、原料药标准、安全要求、第三方合规要求和参与者的责任至于推进方向,我们可以参考新加坡和香港在我国的监管措施,分阶段逐步推进开放银行建设。

从目前的实际情况出发,关于中国大陆开放银行监管的重点和试点,我们可以考虑缓解小微企业的融资困难,解决信息不对称问题。

当前市场主要集中在低端。尽管法律层面是可行的,但由于中国监管机构肩负的使命和不同的金融环境,短期内直接参考海外监管路径并非最佳选择。

可以考虑以B方为重点,特别是小微企业,发挥开放平台的作用,加强参与者之间的数据信息共享和透明度,解决中小企业为实体经济服务的融资困难,走出中国式的开放式银行之路。

无论在B端还是C端,开放式创新都应该循序渐进地进行。监管沙箱作为提高容错性和创新性的摇篮,可以说是开放式银行监管的一种探索方式。

《他山之石可以开发:海外小企业开放生态案例研究》

Xero是一家基于API开放生态的云金融软件服务公司。它主要服务于缺乏专业财务人员、会计管理混乱的小企业,为其会计人员和会计机构提供实时跟踪和自动协作的在线会计系统。

Xero构建了小企业服务生态的“三步走”:

01

通过开放的银行界面访问各银行的小企业账户,为小企业客户提供基本的跨行账户聚合和财务管理功能

02

Xero提供自己的开放API,允许第三方软件公司和专业服务公司根据自己平台的数据开发小型企业所需的其他服务,包括计费、订单制作、支付、薪酬、客户关系管理、税务、审计和其他服务。Xero依靠第三方力量,在自己的平台上为小企业客户提供越来越全面的服务。同时,Xero平台已经积累了越来越丰富的小企业运营数据。

03

Xero在小企业客户授权的前提和范围内,为银行提供自身平台收集的小企业会计信息以及第三方软件厂商和服务提供商生成的小企业运营信息。银行根据这些信息为小企业提供更好的金融服务。这不仅在更深的层次上服务于小型和微型企业,而且反过来又回馈给通过开放的应用编程接口访问的银行

通过这一“三步”过程的不断迭代,赛乐已经连接了200多家银行、700多家第三方软件供应商,并为180多万用户提供服务。不断丰富的生态为其发展提供了良好的前景。赛乐公司的最新估值接近100亿美元。通过Xero的案例,可以清楚地看到,在一个开放的平台模式下,围绕多个小企业服务提供商形成了一个集成方案,这有利于所有参与者。集成服务不仅解决了中小企业更多的管理难题,还创造了新的信息和数据流。参与者之间的信息和数据流通使银行能够更好地获取、理解和服务小企业客户,从而进一步促进小企业的繁荣和发展。

建立信任,合规与

银行的合规能力需要随着开放银行的发展逐步提高。目前,我国开放银行的实践主要是基于科技开放,对合规能力的要求更多的是系统安全级别。随着未来开放银行的逐步发展,越来越多的做法,如数据开放和开户,将要求银行进一步考虑更多方面的合规要求,如第三方合作和数据保护(图6)

-6合规能力的提高是成功实施开放银行和数字转型的重要基础。我们需要从内部和外部两方面开展大量工作,以加强合规能力。国内银行将考虑和开展的工作包括:

01

根据国内相关法律和标准,建立开放式银行管理体系,实现法律和法规对开放式银行工作的推动。

02

建立指导性数据标准和管理要求,强化数据管理能力,有效管理数据的开放和共享

03

增强了应用编程接口的安全能力,从源头上实现了有效的防范,尽可能降低了金融数据泄露的风险,提高了网络安全能力

外资银行需要考虑的工作包括:

01

加强对客户的宣传教育,通过各种推广宣传手段,提高客户对开放式银行安全和信任机制的认识,以及对“知情权”和“同意权”的认识。

02

建立了第三方服务提供商的标准和访问机制,制定了银行与第三方服务提供商合作协议的标准,明确了双方的责任和义务以及接口使用的授权范围等。

03

建立事故处理机制,明确客户权益受到损害时的赔偿机制和责任划分机制

大家都在看

相关专题