央行科技司司长李伟:API模式的开放银行成数字化转型新路径
近年来,随着数字经济的高速发展,银行业坚定不移贯彻创新、协调、绿色、开放、共享的新发展理念,积极利用新兴技术优化金融产品、拓宽服务渠道。在此背景下,金融服务模式不断创新迭代,实现了从“网点模式”到“APP模式”再
近年来,随着数字经济的高速发展,银行业坚定不移贯彻创新、协调、绿色、开放、共享的新发展理念,积极利用新兴技术优化金融产品、拓宽服务渠道。在此背景下,金融服务模式不断创新迭代,实现了从“网点模式”到“APP模式”再到“API模式”的发展演进。当前,基于API模式的开放银行已成为引领商业银行数字化转型升级、提升核心竞争力的新路径。银行业要秉持守正创新、安全合规原则,合理运用开放银行手段深化与实体经济、民生服务的跨界融合,全面拓展金融服务的广度与深度,为做好“六稳”工作、落实“六保”任务贡献金融硬核力量。
一、银行服务发展的新趋势
1.网点模式
早期的商业银行将展业重心置于线下渠道,通过传统实体网点、依托后台账户体系,以“面对面”方式为客户提供存贷汇等金融服务。这一阶段,商业银行将账户增量和网点拓展摆在首位。随着我国经济社会的高速发展和人民生活水平的不断提高,基于实体网点的金融服务与广大老百姓多样化、普惠化的金融需求矛盾日益突出,“网点模式”发展触及天花板。对客户而言,固定时间、固定地点的金融服务模式难以匹配高效、便捷的服务需求,银行服务门槛较高,存在业务办理时间长、排队长等现象。对银行而言,实体网点需要投入大量的人力、物力、财力,且受时空因素制约承载金融服务能力有限,网点运营效率与成本矛盾凸显。统计数据显示,近5年我国银行业实体网点净增加数量逐渐放缓,特别是2018年实体网点净增加数量由正转负,减少100家,成为历史转折点。2019年网点“负增长”的趋势加速,减少600家。新冠肺炎疫情的蔓延进一步压缩实体网点生存空间,截至9月中旬,今年已经减少近600家网点,网点撤并关停压力更加凸显。
2.APP模式
随着通信技术快速发展与移动终端广泛普及,商业银行为拓宽金融服务供给渠道,将金融服务向移动端迁移,纷纷打造手机银行、移动支付等APP,实现了银行服务从面对面方式向非接触式的转变。APP模式下银行服务渠道拓展成本降低、普惠性增强、受众面增加,这一阶段银行的商业思维开始从“二八定律”向“长尾理论”转变。但受内外部因素的冲击,银行APP在经历了一段快速发展期之后遇到瓶颈。从银行自身服务来看,APP承载的金融服务与场景结合不够紧密、与实体经济融合度不深,难以满足客户个性化、多元化需求。因此,部分银行APP用户活跃度相对不高,缺乏核心竞争力。从外部市场空间来看,目前老百姓移动支付习惯基本养成,移动金融APP的“跑马圈地”基本结束,市场已处于饱和状态,成为竞争激烈的红海。
3.API模式
近年来,商业银行扭转发展理念,依托金融科技不断释放创新源动力,在打造智能实体网点、智慧金融APP的同时,更加注重通过API技术将银行业务整合解构和模块封装,支持合作方以“乐高”拼接的方式在不同应用场景中自行组合与创造,实现与合作方优势资源互补,打造开放共享、融合共赢的数字金融新形态。API模式的兴起受到国内外广泛关注,欧盟、英国、新加坡等纷纷探索基于API模式的开放银行发展新路径。在我国,人民银行2019年出台《金融科技(Fintech)发展规划(2019-2021年)》、2020年发布《商业银行应用程序接口安全管理规范》(JR/T 0185-2020),明确要借助API深化跨界合作,拓展金融服务的广度与深度。当前,开放银行已逐渐形成以平台合作为基础,通过开放API技术,在保障信息安全前提下推动金融与其他行业数据规范共享,实现金融与民生服务、实体经济深度融合的一种商业模式。这种模式有助于商业银行提升获客能力、增强用户黏性,对促进银行业转型升级、更好地服务实体经济具有重要作用。
二、开放银行面临的新挑战
开放银行在加速业务流程再造,提升金融服务效能的同时,也使得商业银行金融服务风险敞口更多,风险管控链条更长,风险洼地效应更加明显,风险形式呈现出新特点、新变化。
1.数据风险
开放银行连接服务提供、场景建设、交易发起等众多主体,数据泄露风险点增多,任何一方数据保护存在薄弱环节都可能危及金融数据安全。一旦开放API存在设计缺陷或权限设置不当,恶意攻击者可能非法获取客户数据,应用方可能违规使用交易信息。近年来API安全漏洞造成数据泄露的事件屡见不鲜,例如某知名互联网公司今年再次被曝出由于其API存在安全漏洞,导致一个存有2亿余条用户记录的数据库被公开,大量用户信息被非法获取。
2.网络风险
开放银行接口具有公开共享属性,通过API连接银行端与外部应用端,客观上扩大了银行网络受攻击范围,风险传导路径增多,易被恶意调用并发起DDoS攻击,可能导致服务器被入侵、业务连续性中断等问题。如果完整性校验、安全加固等保护措施不到位,还存在被恶意篡改、逆向调试等风险。
3.业务风险
事前若缺少健全的授权机制,资质不佳的外部合作方可能会“混水摸鱼”,非授权使用银行服务,增加业务合规风险事件发生几率。事中外部合作方可能超范围使用开放银行服务接口,如将日常缴费接口用于理财产品购买,或将接口“二次打包”给未经授权的调用方使用,将对商业银行的反欺诈、反洗钱等业务管理带来新挑战。事后若没有完善的开放银行风控体系,缺乏健全的资金偿付、纠纷投诉等机制,一旦发生跨机构、跨行业的纠纷,可能出现责权不清、相互推诿,损害客户合法权益。
三、开放银行管理的新思路
1.树立正确开放理念,推动金融数字转型升级
开放银行健康发展的关键是要坚持合规原则,筑牢守正底线。首先,开放的是金融服务,而不是金融资质。开放银行的本质是开放服务,无论业务的模式、形态如何变化,其初心仍是将金融服务融入实体经济和老百姓的日常生活。金融机构绝不能将金融资质违规转包给合作方,必须确保金融的持牌经营,避免因开放而滋生监管套利。其次,开放的是数字能力,而不是原始数据。数据共享是开放银行发挥协同效应的重要基础,如何在数据的保护与共享之间取得平衡,关键是要处理好数据使用权和所有权的关系。商业银行应秉持最小够用、用而不存原则发挥数据要素倍增作用,稳健地利用开放银行推动数字化转型。最后,开放是双向赋能,而不是单向付出。金融业务离不开实体经济沃土,实体经济发展也离不开金融活水。开放银行要坚持引进来与走出去相结合的理念,通过双向赋能建立金融业务与实体经济二者间相互依托、相辅相成的良性生态体系。
2.加强金融能力输出,提升服务便民利企水平
在金融为民方面,商业银行要加强与教育、医疗、交通、社保等领域的场景共建、数据共享,结合自身禀赋通过API、SDK等方式将金融服务、产品、科技能力输出,打造服务场景化、业务扁平化、能力综合化的金融服务,使得金融服务不再只承载于银行自身的实体网点和电子渠道,真正实现哪有客户哪就有银行、哪有场景哪就有银行,做到服务“无处不在、无微不至”。在金融利企方面,通过服务模块化输出与插件式对接,将金融服务深度融入经济社会发展的“毛细血管”,为中小微企业“输血供氧”,彰显金融服务的独特价值,有效提升金融服务可得性和满意度。
3.强化内部风险管控,保障开放服务安全可靠
安全是开放的前提,商业银行要把风险管理作为发展开放银行的根基和命脉,强化安全意识,恪守安全红线。针对数据安全,充分运用加密存储、访问控制、标记化、安全审计等措施,加强开放银行数据隐私保护能力;借助多方安全计算、同态加密、零知识证明等技术手段建立数据可信共享机制,推动数据更好赋能金融服务。针对网络攻击,定期组织开展风险排查与安全评估,强化机构间联防联控,避免因某一合作方的风控短板而引发“木桶效应”,提升开放银行生态体系对网络攻击的整体防御水平。针对业务风险,要加强身份认证、权限管理和应用授权,建立完备的消费者权益保护机制,做好对合作方端到端的业务风险监测,确保开放银行业务全链条合规可靠。
4.深入应用监管科技,强化开放银行数字监管
开放银行是金融和科技深度融合的产物,促使商业银行与众多实体构成了你中有我、我中有你的服务新形态,客观上扩大了银行服务的外延与边界,给传统监管手段和能力提出了新挑战。因此,要强化监管科技研究与应用,运用现代科技成果优化金融监管手段,综合利用人工智能、大数据、区块链等技术,建立数字化监管规则库、监管知识图谱和智能化数字监管平台,探索数字化监管新范式,识别开放银行边界、解构交叉融合业务,不断增强金融监管的专业性和穿透性,引导金融业走出一条具有中国特色的开放银行健康高效发展之路。