开放银行理念和实践落地的冷思考

　　2018年1月，笔者在“央行观察”公众号上刊发《开放银行理念的缘由、实施和挑战》，转眼一年半过去，我国对于开放银行理论研究已更为全面，各商业银行纷纷推出开放银行实施成果，2018年也被称为“我国开放银行的元年”。

　　随着开放银行理念逐步深入人心和实践做法层出不穷，一些尚未上车或正处启动伊始的银行可能会陷入惶恐、焦急之中，迫切希望能够尽快赶上先行者的步伐。首先建议需要意识到以下三点，从而能更好地以平和心态、稳健步履前行。

　　其一，不要把开放银行当做噱头、时髦，充分认识到实施的难度和复杂性。一方面，现有的一些所谓开放银行概念论述和实施结果其实有名无实，仍是传统模式的延续或翻版，仅仅迎合了内外部宣传、交差等需要，未能对业务发展起到有效促进作用。新晋者不宜单纯为了此种名声所累，脱离本行实际而盲目投身。另一方面，应全面学习了解英国等最早实施开放银行计划的历程，充分理解其实施的困难之处和核心关键。如2019年4月1日，英国竞争和市场管理局对2017年以来参与开放银行计划的九大银行中的汇丰银行等五家发出警告，指出它们未能如期完成移动平台的实施目标，这被业界视为一种点名羞辱。此后各行表态大多是力争在9月前达到，而事实上，先前两个阶段的推进中就已有多家银行申请宽限延期、最多达到一年之久，此次可谓是情景再现。老牌知名大行学习曲线尚是如此，前车之鉴后事之师。

　　其二，工欲善其事必先利其器，需内部建立合适的机制体制。正如改革开放是指对内改革、对外开放，开放之前需要内部革新。传统银行的转型是痛苦的，新的理念方法在既有体系内可能会遇到障碍。正如飞信与短信、理财与存款首先是内部条线部门利益、诉求的博弈，新事物最终败于固有的规则，突围者却是外部的微信和余额宝。实际上，开放平台等类开放银行思路早在多年前就在国内大型银行中实践过，但由于不同主体间的激励、约束机制并不明晰，程序接口开发维护、内外部风险控制等未能有效开展，最终无疾而终。清末小站练兵摒弃八旗旧制、建立新式陆军，是近代军制史上重大转折，其启示是当跨向新领域时，如果内部阻力过大、基础条件不足，与其改造旧部，不如在体系外组建全新队伍，从零开始、开创新业务。因此可以先练兵，如派驻人员到新兴互联网实践中锻炼、吸收变革理念，投资头部企业、实驗转型思路，或是自建体系、干中学，才能有条件形成竞争保护层、培育增长突破点和爆发点。

　　其三，开放的底气在于自身先拥抱新技术、新趋势。开放银行这样的新兴事物会改变固有的作业方式、提高工作效率，传统银行首先应是认知、追赶、补课；其次是勇于尝试新技术，“黑科技”投向市场前先用于自己（内测），既能提高效率，又能预先查找错误、不断完善，从而有信心、有能力与外界联通、向外输出金融及科技核心优势能力。如外部API接口、数据存储交换等云端化之前，内部应该先应用私有云、数据共享以及网络化移动办公、反洗钱机防化、BI分析等。早在十多年前一些国外银行已经采用基于网络的无主机模式，员工无论身处何处用账户密码登陆后即可在网络硬盘上读取、编辑、存储资料，除了硬件、软件成本节约外，大幅减少单机安装、系统和软件维护、资料保管迁徙共享等工作，也显著提高信息、系统安全。

　　在具体实施过程中，各方还需要研究和探讨如下内容：

　　第一，技术、标准、口径等的统一和规范。标准化、格式化可以减少创建、发布、共享的难度和损耗，不同标准、不同接口等是程序员、提供方和使用方的共同梦魇，远的有宽窄铁轨无法对接、不同电源制式还需转换，近的有移动通信路线之争、手机操作系统和充电接口等差异，无不对互联互通造成阻碍、资源无效浪费。不同于英国等由官方和半官方协会组织逐步提出技术等方面的监管标准或参考依据，我国目前开放银行实践尚处于春秋战国诸侯混战时期，各家机构所建场景互有重叠、彼此间未必能够互通，待后续各自开疆拓土、势力范围和运行模式相对固定后，再想统一可能比推倒重建的成本都高。特别是，一些机构不仅是与外部链接、内嵌场景等，还更向前一步，主导了整体场景建设。如在政府治理和民生服务中提升大数据运用能力的要求和压力下，一些政务平台实际是完全由某家金融机构或BAT等外部盈利性机构开发、运行、维护，形成了信息闭环和相对于同业的垄断（而非在通用平台上互通和共享），甚至可能因出发点不同而“挟持”政府、公众利益。此外，后续协调、统一中如何防止过度、多头监管和监管真空也值得研究。

　　第二，平台、系统、技术的自主性，以及网络安全性。除了不同软硬件间兼容性等问题外，例如苹果将微信公众号打赏视为“虚拟购买”而要求抽成、Google停止向华为提供包括安卓系统在内的技术服务支持。一些银行部分依赖甚至主要依赖于第三方技术公司开发、运维开放银行所需系统、接口等，但凡遇到类似掉链子、甩锅甚至要挟的情形恐难以及时合理应对。此外，近年来网络空间已成为国家安全的重要主权空间、网络安全形势异常严峻，有组织性的恶意攻击不但正面进攻核心区域，更在并行寻找相关联薄弱点以寻求迂回渗透，2015～2016年SWIFT系统遭入侵，入手点分别是厄瓜多尔和孟加拉。另外，头号黑客米特尼克认为即使配置最好的技术、防火墙、入侵检测系统、生物鉴别设备，但“人是最薄弱的环节”，并在《欺骗的艺术》中提出利用人性弱点的社会工程学。客户信息是银行核心资产、数据保护是经营发展的基本前提，《信息安全技术个人信息安全规范》《通用数据保护条例》等国内外信息保护要求也日趋严格，而一个不尽完善的API、SDK或H5，一个略有大意的程序员、操作员，就可能让自己变成“肉鸡”，使攻击者长驱直入银行核心系统腹地，甚至借由实力薄弱银行为跳板，侵入银行间体系造成严重损失。第三方公司开发、维护或即使转由银行维护的情形下，风险管理等职责由谁承担的模糊界定更会加剧此种风险。

　　第三，优胜劣汰后的机构整合、退出。开放之后是更为直接地与同行业对标，自身优劣势会更为直观、广泛和快捷地展示出来，这可能会对自身的经营管理产生显著的冲击。各类数据开放、共享后，金融机构业务模式主要包括：仍主要基于原有数据服务客户，通过API等共享数据，并内嵌进其他机构以服务客户，整合从其他机构获取数据和自身数据，吸引新的客户和服务现有客户。这将呈现强者恒强的马太效应，但不会是简单的价格罗列和比拼，所谓智能存款等假结构性存款被叫停体现了监管思路，而将是数据运用水平越高、产品服务越有针对性、附加价值越显著则效果越明显。在包括开放银行在内网络化、云端化等背景下，在更快更直接的短兵相接中，市场可能会形成少量主导者、较多跟随者态势，更会有很多落伍者因无任何技术、产品、服务以及时间、地域等相对优势，在资产负债和中间业务等方面无以为继，只能寻求联盟、整合、重组乃至退出。尤其是退出方面，需要研究在互联互通趋势下如何明晰金融机构退出渠道和机制，降低流动性、声誉风险等传染和冲击，防范系统性金融风险。

　　总之，不要把开放银行当成一个筐，什么都往里装，不应再走人人热炒区块链比特币最后眼见其楼起楼落的老路。银行机构不要光顾玩概念结果把自己绕进去，要看真正为客户、为银行自身带来些什么，在此基础上才能真正有效落地开放银行理念和实践。要用符合互联网时代特点、开放和兼容并包的新思维、新技术、新方法，彻底革新旧有的理念、机制和模式，采用不限于开放银行在内的开放共享方式，围绕核心竞争力建立起周边生态圈，从而在不确定的未来中依然延续辉煌。

　　周科