China: 境外API Bank监管政策解析

引言

本文是我们推出的API Bank开放银行法律合规系列问题专题讨论之二。上一篇文章我们讨论了API Bank在金融数据合规方面需要关注的几个问题，包括银行在开展API Bank业务首先需要对金融数据进行划分以实施差异化的数据保护措施，需要全面评估第三方合作机构的数据来源、数据保护能力等以防止银行金融数据泄露风险以及目前国内关于金融数据出境的监管政策等。鉴于目前国内尚未出台API Bank相关的监管和指引文件，本文在研究分析有关国家和地区的API Bank监管政策的基础上，试图对国内未来可能出台的监管政策做一些展望，以期能为国内商业银行提供一些防范和化解API Bank法律合规风险的思路。后续我们还会就API Bank相关的其他法律合规问题推出专题讨论文章。

一 英国

（一）英国监管政策简介

英国是最早开展对金融数据共享及API Bank研究的国家之一，早在2014年英国财政部和内阁就已要求Open Data Institute和监管政策咨询机构Fingleton Associates对商业银行数据共享进行调查研究，并发布了名为《数据分享和银行的开放数据》的报告,也称为"Fingleton Report"。该报告认为，进一步的数据开放将促进英国银行业的竞争，建议制定银行数据共享标准，以便为第三方提供标准、统一的API。

2015年8月英国财政部开放银行工作组成立（"The Open Banking Working Group"，简称"OBWG"）旨在研究并制定详尽的开放银行框架与标准。OBWG的成员是多元化的，成员来自于银行业、技术业、消费者、商会等从业者。

2016年3月，OBWG正式对外发布了《开放银行标准框架》（"The Open Banking Standard"，简称"《标准框架》"）。《标准框架》根据英国银行金融业的商业实践，以此为基础并考虑了欧盟隐私和数据保护的相关规则，就开放API的架构、运作、标准等各方面提出了建议。

《标准框架》由三大标准以及一个治理模式组成。三大标准是指数据标准、API标准与安全标准，底层的治理模式则是维系开放银行标准有效运行的基石。

1.数据标准

开放银行中的数据标准，主要是数据描述、记录的规则，包括对数据展现、格式、定义、结构的共识。OBWG将数据分为五类，分别为开放数据、客户交易数据、客户参考数据、聚合数据、商业敏感数据。不同层次的数据所包含的信息不尽相同，通过数据划分，对不同的第三方合作机构匹配不同的数据共享权限。第三方企业对银行数据的权限有两种：一种是读取权限，即第三方可以读取银行提供的数据和文件，但不能对其进行修改。另一种是与之相反的写入权限，即第三方有权对银行提供的数据和文件进行修改、执行等操作。这两类权限均需通过开放API向第三方机构开放[1]。

2.API标准

API标准是关于开放API设计、开发和维护的准则，主要涉及架构风格、资源格式、版本控制等各个方面。OBWG将API标准纳入框架的目的是为了统一开发者从不同提供者处获取数据的体验。

3.安全标准

安全标准是指API规范的安全性，目的是为了保护消费者的数据安全。OBWG在用户同意、身份认证、欺诈监控、用户授权四个方面提出了相关意见。如下所示：

（1）用户同意。为保障用户利益，银行与第三方共享数据的过程必须征得用户同意。用户需清楚了解的授权条件，具体包括：向谁授权、第三方征得授权以后的目的、授权持续的时间。

（2）身份认证。身份认证需要数据提供者和第三方共同合作，严格掌控验证方法。并建议使用OAuth2.0与Open ID connect相协同的身份认证协议。

（3）欺诈监控。开放银行API应支持带外管理（Out-of-band，简称"OOB"）认证，以确保当发生变更情况（如收款人的改变）时，用户可以收到提醒。未来也可以尝试建立一种在第三方API返回消息中嵌入欺诈相关信息（如IP地址等）的机制。

（4）用户授权。为防范用户授权的恶意使用情况，建议：给予用户及数据提供者撤销数据授权的选择；要求数据提供者设立一种可让用户阅览与取消所有授权的机制；为授权划分风险等级；对授权的持续时间进行约束；API连接和数据传输需加密，至少满足TLSv1.2（传输层安全性协定1.2）的要求。

4.治理模式

为确保开放银行标准的落实和推进，OBWG呼吁采用一个有效的治理模式来统筹全局，具体包含五条措施[2]：

（1）设立一个独立的机构。其职责包含跟踪并监督开放银行标准的落实和部署进程，处理客户纠纷，确保数据安全性，维护API的可靠性与可拓展性以及其他开放银行框架下提出的要求。

（2）赋予独立机构审查第三方的权力。独立机构可能会在未来选择授权其他组织进行审查和/或认证，包括平台，行业协会或孵化器。这将减少独立机构的的工作量并开放对Open Banking API的访问权限。

（3）要求第三方机构持有保险。考虑到开放银行潜在的风险隐患，金融市场行为监管局（The Financial Conduct Authority，简称"FCA"）有责任指导第三方机构购买相应的保险，并评估与之相对应的风险程度。

（4）创建事故处理机制。当用户遭遇API相关事故之时，有权利联系第三方或者数据提供者来协商解决问题，如果逾期未处置，就可以启动下一事故处理流程，交由独立机构处理。

（5）分阶段逐步引入治理模式。OBWG并不要求一蹴而就建立一个完善的治理模式，而是提倡循序渐进分阶段进行。治理模式应遵循PSD2的要求，但也不应仅限于此。另外，也需要考虑资金成本相关问题。

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.