邹传伟:从开放银行趋势看银行业务平台化的风险与监管

转载
1589 天前
12890
PlatOn

来源:PlatOn云图     作者:邹传伟


本文提出银行业务平台化概念(Platformization of Banking Business),提出应该在银行业务平台化框架下理解开放银行。本文共分四部分:第一部分讨论开放银行趋势。第二部分讨论银行核心功能与业务平台化,也就是银行业务平台化围绕银行的哪些核心功能展开,有哪些边界难以突破。第三部分讨论银行业务平台化的核心要素,涉及资金、账户、客户、数据、技术、场景和声誉等方面。第四部分讨论银行业务平台化的风险与监管。

开放银行近期在国内外备受关注。开放银行最早起源于欧洲,欧洲银行通过 API (Application Programming Interface,应用程序编程接口)来共享客户数据。我国对开放银行的探索聚焦于业务、产品和技术的开放,2018 年浦发银行明确提出「API 无界开放银行」概念。一些市场机构还在开放银行的基础上提出了「银行即服务」概念(Bank-as-a-Service)。如何理解开放银行趋势及其对银行业的影响?它与之前的银行脱媒(Bank Disintermediation)概念有什么关系?

如何理解开放银行趋势?

在全球银行业,开放银行是一个方兴未艾的重要趋势。根据巴塞尔委员会定义(BCBS,2019),开放银行指银行在客户允许的情况下将客户数据共享给第三方机构,以开发应用和服务,包括实时支付、帮客户更好地管理金融账户、市场营销和交叉销售机会等。开放银行允许客户在其他服务场景中(比如金融科技场景)使用银行服务,从而创新性地将银行功能模块和非银行功能模块融合在一起。银行与客户之间关系在开放银行下将发生根本变化,从「拥有客户」变为「共享客户」。

开放银行与 API 密不可分,大部分开放银行活动通过 API 进行。根据 EBA (2016),API 来自计算机领域,指(来自同一机构或不同机构的)不同软件应用程序之间的界面。API 使软件应用程序之间的沟通成为可能。应用程序通过 API 可以调用其他应用程序的功能。API 具有可拓展、可复用、安全和开发者可自助等特征。API 通常包含数据传输、数据交换、数据访问和 API 设计等技术标准。API 按可访问特征,可以分为私有 API (Private API)、合伙 API (Partner API)、成员 API (Member API)、熟人 API (Acquaintance API)和公共 API (Public API)等不同类型。

开放银行的发展与个人数据和隐私保护方面的监管有紧密关系。代表性监管文件包括欧盟《支付服务法案》(EU PSD2)、《一般数据保护条例》(GDPR)、英国《开放银行标准》以及我国 2020 年 7 月发布的《数据安全法(草案)》。开放银行强调客户对自己数据的所有权。银行应在客户授权的前提下,通过 API 将客户数据提供给第三方乃至第四方机构。开放银行的主要参与方包括:客户(数据所有者)、银行(数据生产者)、API (数据分发者)和数据聚合者(Data Aggregator)。

在开放银行下,银行通过 API 将自己的产品「解耦」成服务、功能模块甚至原始数据并对外分发。第三方机构再将这些服务、功能模块和数据整合进自己业务中提供给客户。比如,财务管理 App 将客户在不同金融机构的账户信息聚合成一张总表,无缝支付连接不同银行账户,日间支付(Intra-day Payment),以及银行费率和按揭产品比较工具。

本文认为,开放银行的兴起有以下三方面原因。

第一,这体现了客户第一、以客户为中心构建产品和服务以及客户拥有自己数据所有权的原则。客户可以在多家银行开设账户并办理「存贷汇」业务。站在客户的角度,他们需要一个跨越不同银行的统一应用界面。开放银行和 API 使得这种跨银行的业务整合成为可能,能显著改善用户体验。客户在银行的数据归自己所有并有可携带性,通过 API 整合在一起后,就能打通「数据孤岛」,维护客户利益完整性。

第二,客户在各种服务场景中,根据自己的需求通过 API 自主调用银行功能模块,掌握金融服务的主动权,提高金融服务的可自助性。相比银行被动响应客户需求的情形,开放银行能深度渗透应用场景和贴近用户需求,提供个性化、场景化的金融产品和服务。对客户而言,银行将不再是一个「黑箱」,而成为一个可以随时、随地和随需调用的工具箱。

第三,这体现了银行业务平台化的趋势。一些之前垂直整合并由银行「一站式」提供给客户的金融服务,在「解耦」并重新组合后由银行与第三方机构形成的市场分工网络提供。这些第三方机构有连接不同银行的中立地位,对应用场景和客户需求有深入了解(比如知道如何改善客户体验),以及对前沿技术的敏感,在这个市场分工网络中发挥了不可替代的功能。

开放银行兴起的这三方面因素,本文重点讨论银行业务平台化。如果没有这个因素,仅靠客户数据主权原则以及金融服务可自助化,开放银行不会产生这么大的影响。

银行业务平台化代表了银行业市场演化的自然趋势,在开放银行兴起前就在发生。尽管银行的核心业务模式是「存贷汇」,并从银行诞生之日起就变化不大,但银行业务的具体形态随着科技和监管环境变化一直在演进。从历史发展看,不断有人和机构提出银行脱媒(也被称为银行去中介化),去中心化,乃至颠覆银行等概念。从影子银行(以货币市场基金为代表)和金融科技(特别是 P2P 网贷和互联网贷款)等的实践来看,很多曾经全属于银行的业务,变为通过市场分工网络进行,但银行仍发挥核心作用。开放银行代表了这方面的最新趋势。银行业务平台化不是去中心化。银行仍执行一些不可替代的核心功能,但把一些辅助功能「解耦」、「外包」出去,并通过市场分工网络整合起来。这种平台化也不同于以共享经济为代表的双边市场平台,因为在后者中,平台只是为供需双方匹配提供便利。

银行核心功能与业务平台化

银行的货币创造、期限转化和受托监督等核心功能,不可能通过市场分工网络以去中心化的方式来「复制」,必须由银行自己执行。这一点不管在理论上还是在实践中都有充分证明。接下来讨论了这三项核心功能被平台化的情况和遇到的困难,既识别银行业务平台化的内核,也划定了银行业务平台化的边界。

银行的核心功能是调剂资金余缺 , 将资金从储蓄者(资金供给者) 转移到有投资和消费计划的人或机构(资金需求者) 手中。资金需求者一般需要长期稳定资金来实施投资和消费计划,而资金供给者因为要应对随时都可能发生的流动性冲击 ,,一般只愿意借出短期资金并保留一定灵活性。银行能解决资金供需双方之间的期限不匹配问题,原因是存款者(资金供给者)不会同时遇到流动性冲击。根据大数定理,银行在吸收存款后,只需将一部分资金以高流动性资产的形式存放,就能应付正常情况下存款者的提现要求,其余资金可以用来发放长期贷款。这就是银行的期限转化功能,同时伴随着流动性转化。

银行在贷款信用评估上具有专门技术和规模经济,适合受存款者的委托来监督贷款者对资金的运用。这是银行的受托监督功能。值得注意的是,除了银行以外,一些非银行金融机构也有发放贷款的功能,比如小贷公司和私募债券基金等。这些机构也能评估贷款申请者信用并对贷款定价,所以这些能力尽管是银行的专长,但不是银行专属的。这些非银行金融机构也会监督贷款资金运用,但在广度和深度上与银行有显著差异。此外,主权机构和大中型企业等除了银行贷款以外,还可以发债融资,同时接受债券投资者的监督。但对个人和大部分中小企业而言,银行贷款是它们唯一能获得的债权融资。

银行通过贷款创造出存款,这是银行承担的重要社会职能。在信用货币制度下,银行对个人和机构放贷时,资产方增加一笔贷款,负债方增加一笔存款。在部分存款准备金制度下,这个过程不断持续下去,就形成了存款的多倍扩张机制。尽管一些非银行金融机构也可以放贷,但只有银行放贷才伴随着负债(存款)增长,而在私人部门机构中,只有银行的负债才能行使货币功能。银行存款价值稳定并能等额兑换为中央银行货币,对经济和金融体系的平稳运行至关重要。

银行在执行这三项核心功能时,承担了不容忽视的风险,并受到相应监管。银行「借短贷长」的商业模式不可避免会产生流动性风险。银行的杠杆率很高,资产方小幅度减值就会损害银行的清偿能力。而存款者不掌握银行资产方的充分信息,一旦担忧存款安全,都会抢在其他存款者之前发出提现要求,从而造成银行挤兑。银行一旦遇到挤兑,因为资产方的流动性较差,不可能在短时间内无损失地变现,很难满足存款者的提现要求。在这种情况下,即使资产负债表健康的银行也不得不关门歇业。为此,银行一方面要受到以资本充足率、流动性和杠杆率等方面监管为代表的审慎监管(即巴塞尔协议),这些监管措施通过在事前控制银行的风险承担行为来保障银行安全稳健,另一方面享有金融安全网支持,包括中央银行的最后贷款人支持以及存款保险制度。

从银行业务平台化的角度看,银行这三项核心功能面临很不一样的局面。

第一,银行的放贷和受托监督功能在一定程度上可以由非银行金融机构来执行。这是银行业务平台化最活跃的方向之一。

第二,期限转化功能因为内在风险很高,没有哪类机构比银行更合适执行这个功能。因为资金供需双方之间的期限不匹配问题是根深蒂固且普遍存在的,期限转化属于「刚需」,很多机构试图「复制」银行这一功能。比如,以货币市场基金为代表的影子银行。货币市场基金的份额随时可赎回,但资金投向有期限限制。货币市场基金模式还被复制到以 Libra 为代表的稳定币中。稳定币也是可以随时赎回,但储备资产投资有期限限制。再比如,我国 P2P 网贷领域之所以系统性出问题,就是因为很多 P2P 网贷平台为满足期限转化需求走向了「资金池」模式,而不是坚持点对点撮合的信息中介模式。此外,我国一些信托公司也采取「资金池」模式,也是在「复制」银行的期限转化功能。

但银行是在审慎监管和金融安全网支持下执行期限转化功能的。实践已反复证明,在没有审慎监管和金融安全网支持的情况下进行期限转化,出风险就只是时间问题。因此,涉及期限转化的机构均需接受类似银行的监管。比如,Libra 2.0 单一货币稳定币对储备资产的风险管理措施:1. 储备资产至少 80% 是高信用等级的短期政府债券,其余不足 20% 的储备资产是现金及现金等价物;2. 极端情况下对稳定币赎回的限制;3. 一个规模适度、用于吸收损失的资本缓冲。

这方面值得一提的是我国曾经流行的「互联网小贷公司+资产证券化」模式。互联网小贷公司可以跨区域放贷,但资金来源和杠杆率受到限制。互联网小贷公司通过资产证券化把贷款转移出资产负债表,能盘活资金,在一定程度上绕开资金来源和杠杆率限制。这个模式还利用了资产证券化的期限转化功能,在一定程度上「复制」了银行的商业模式。但即便如此,这两个模式也有本质差别。「互联网小贷公司+资产证券化」模式依赖批发性融资,在资金来源的稳定性上不如银行,一旦资产证券化发不出去,就会遭遇瓶颈。

第三,银行的货币创造功能无可替代。比如,「互联网小贷公司+资产证券化」模式就不伴随着货币创造。实际上,一些学者提倡狭义银行模式,反而要削弱银行的货币创造功能。狭义银行尽管引发了很多讨论,有很多支持者,但目前只是设想而已。

尽管没有其他机构能进行货币创造,但很多机构能提供支付服务,这也是银行业务平台化最活跃的方向之一。这方面的典型代表是第三方支付。第三方支付机构为客户开立支付账户。支付账户所反映的余额,本质上是预付价值,类似于预付费卡中的余额,可以用于小额、快捷、便民的小微支付。比如,老百姓通过微信支付进行转账和发、抢红包,都是基于支付账户余额的操作。

银行业务平台化的核心要素

银行业务平台化有三方面背景。

第一,国际金融危机后,金融机构在强监管下收缩供给,将部分业务外包。

第二,技术的发展,模糊了金融市场(直接融资)、金融中介(间接融资)和其他金融服务提供者之间的边界。这也可以从新制度经济学关于企业与市场之间边界的角度理解。

第三,监管标准不一致造成了监管套利问题,一些金融活动或其中的部分环节转移到监管相对薄弱的环境中进行。

银行业务平台化,是在第二部分指出的内核和边界的约束下,向第三方机构开放资金、账户、客户、数据、技术、场景和声誉等核心要素。这些核心要素在银行内部和外部重新配置,在银行与第三方机构之间互通有无,形成市场化分工网络。在一些核心要素上,银行可以是需求者,比如场景要素。这些核心要素之间并非相互独立,而是有不少交集,而且很多银行业务平台化模式涉及多种核心要素。为行文方便,接下来按这七类核心要素依次展开讨论。

资金

银行是经营货币和信贷业务的特殊企业。在银行业务平台化中(特别是贷款业务),银行可以让合作机构负责信息处理,银行提供资金并承担主要风险。比如,一些互联网平台有流量、客户和信用评估能力,但没有放贷资质或资金。一些中小银行有可贷资金,但没有优质客户资源。它们可以形成互联网贷款方面的合作,互联网平台负责营销获客、尽职调查和逾期清收等,中小银行提供贷款资金。总的来说,银行将贷前、贷中和贷后的(包括营销、调查、授信、签约、放款、支付、跟踪和收回等)一些环节外包给合作机构,并与它们分担风险和收益,是一个值得关注的方向,也带来了监管挑战。

账户

银行账户分为银行结算账户和非银行结算账户。银行结算账户用来办理支付结算,账户状态比较活跃,有收有付,账户余额经常发生变动。其中,个人银行结算账户分为Ⅰ类银行账户、Ⅱ类银行账户、Ⅲ类银行账户和信用卡账户。非银行结算账户是存款人与银行之间的一种存款合约,账户余额一般只在存入、计息和支取时才发生变化,账户余额相对静止。

在法定货币的二级银行账户体系下,大部分货币由银行创造,并存在于银行账户中。银行账户对客户身份信息的要求和审查,是「三反」(反洗钱、反恐怖融资、反逃税)风险评估体系的基础。银行账户记录个人和机构借贷活动,是征信活动的基础。银行账户是理解支付结算的关键。不管是境内的同行和跨行转账,还是跨境支付,资金流通本质上都体现为针对一系列账户的借记和贷记操作。

支付结算领域创新离不开对银行账户的使用。比如,支付账户从诞生起便一直采用非面对面、远程的方式开立,面临的被冒用、盗用风险较高。绑定银行账户是开立支付账户时进行身份信息审查的重要手段之一。在「断直连」前,第三方支付机构可以绕监管直连银行,往往在多个银行开立备付金账户,实质上开展跨行清算工作。「断直连」本质上就是账户体系改革:撤销第三方支付机构在银行的备付金账户,在第三方支付机构与银行之间引入网联(即非银行支付机构网络支付清算平台),并将第三方支付备付金 100% 集中存管在人民银行。

账户体系与 Token 体系的区别,是理解央行数字货币的关键。账户分等级,包括中央银行存款准备金账户、商业银行存款账户和支付机构账户等。每级账户在开立时都需审批,是高度选择性的。账户等级对应支付清算等级。资金流动采取记账清算。资金从付款者到收款者,中间可能要经过多家机构的账户,均体现为相应账户余额的调整。如果看账户体系的拓扑结构,应该远非互联互通状态,而是存在不少「孤点」、「断头路」、「梗阻」和「迂回路」等。

主流的央行数字货币方案均采取 Token 体系。Token 体系无等级。地址并无上下高低之分,理论上都是平等。任何人,只要通过非对称加密技术生成一对公钥和私钥,就可以参与 Token 体系。但要做好 Token 体系开放性与「了解你的客户」(KYC)要求之间的平衡。Token 交易即结算,没有结算风险。Token 体系是点对点的拓扑结构,任何两个地址之间都可以直接交易。Token 体系这些不同于账户体系的特征,正是央行数字货币促进金融普惠和改善跨境支付的关键。

客户

客户是银行的核心资源,银行之间的竞争在很大程度上体现为对客户资源的争夺。银行为客户提供「一站式」金融服务和开展交叉销售,都离不开对客户需求的挖掘。

银行与客户之间关系是理解银行贷款技术和贷款供给行为的关键。银行贷款技术主要分为交易型贷款和关系型贷款两类。交易型贷款使用贷款客户的财务报表和信用评分等硬信息。在交易型贷款下,银行与贷款客户之间的关系较为松散,相互之间保持一定距离。关系型贷款使用银行在与贷款客户的长期和多渠道的接触中积累的软信息,比如贷款客户的声誉和、口碑等定性信息。关系型贷款要求银行与贷款客户之间有较为长期且紧密的关系,较不易受经济周期波动的影响。

银行与客户之间关系正在经历两个深刻变化。第一,在开放银行模式下,数据所有权由客户掌握并有可携带性,使得银行从「拥有客户」走向「共享客户」。第二,随着人类社会的「数字化迁徙」,客户越来越多的活动走向线上,银行需要升级营销获客手段,并向互联网公司学习如何更好地挖掘客户需求。

在「断直连」前,一些互联网平台(主要是电商平台)通过自己旗下的第三方支付阻断了银行与线上客户之间的联系。作为应对,一些银行成立自己的电商平台,以获取新客户以及现有客户的行为信息,但效果并不理想。「断直连」为银行提供了重建与线上客户之间关系的机会。银行通过 API 嵌入互联网平台的应用场景,一方面能改善互联网平台客户的体验,另一方面有助于银行获得新客户。这也体现了专业分工原则,优于银行自建电商模式和互联网平台打造封闭式生态的模式。

数据

在开放银行下,银行持有客户数据,并在客户授权下通过 API 对外共享;不同银行的客户数据不同,但对同一客户的数据可以通过 API 汇总。不同银行介入个人数据市场的程度和管理能力不同,个人数据在银行之间通过 API 流动,在市场机制的作用下最终流向能最大化数据价值并保证数据安全的银行。这些银行将在开放银行生态中居于枢纽地位——从其他银行、金融机构和互联网平台等处汇集个人数据,并对外提供数据产品。这些银行在经营货币和信贷以外,也将可能经营数据,但其合作机构必须遵守个人数据和隐私保护方面的监管。比如,银保监会《商业银行互联网贷款管理暂行办法(征求意见稿)》规定:银行如果需要从合作机构获取借款人风险数据,应通过适当方式确认合作机构的数据来源合法合规和真实有效,并已获得信息主体本人的明确授;银行不得与违规收集和使用个人信息的第三方开展数据合作。

技术

随着金融科技兴起,技术从金融的中后台逐渐走向前台,地位越来越重要,一些金融机构在人员和成本结构等方面越来越像技术公司。在这种情况下,金融机构的技术部门除了服务自身外,还有能力对外输出。比如,我国很多大中银行设立金融科技子公司,就体现了这个趋势。金融科技子公司除了输出 IT 能力以外,也可以输出风险管理能力。实际上,我国很多银行的开放银行战略主要就是技术开放。

场景

场景是一个从互联网领域被引入金融领域的概念。金融领域之前没有场景概念,最接近的可能是情景概念,但仍有很大差异。比如,金融风险管理和金融监管中有情景分析方法(Scenario Analysis):假设金融市场可能出现的情景(也可以使用历史上曾发生过的情景),分析这些情景下金融机构可能遭遇的损失以及应对措施。

至今尚无文献严格定义金融领域的场景概念。我们认为,场景代表一组边界清楚的经济和社会活动,引入金融服务可以显著提高这些活动的效率和用户体验,因此这些活动可以向金融活动转化。比如,第三方支付随着电子商务的发展而产生,最初主要功能是「担保支付」。在消费者购买商品或服务后、实际收到商品或服务前,暂时冻结资金,以增加网上消费过程中买卖双方之间互信。如果没有第三方支付的「担保支付」功能,我国的电子商务肯定发展不要今天的规模。

对金融机构而言,一是要开发场景,新场景意味着新业务和新客户,二是要把金融服务嵌入场景中,提高从场景中经济和社会活动向金融活动的「转化率」。金融机构自身能提供的场景比较单一,应该通过 API 等技术将金融服务嵌入互联网公司的场景中,这也体现了金融服务实体经济的原则。

声誉

银行受到严格监管,并有金融安全网支持,有很强的特许经营权价值。金融活动中如果有银行参与,能在一定程度上起到增信作用。因此,银行基于自身声誉对外提供背书,也是银行业务平台化的一个重要方向。比如,Libra 要求储备资产由一个在地理上分散、资本充足的托管银行网络持有。

银行基于自身声誉对外提供背书时,要做好尽职调查并厘清风险责任,不能变成对外提供隐性担保,以免承担不必要的风险责任。比如,我国银行业在利用自己的客户资源和线下服务渠道代销理财产品时,就出现过这方面的风险事件。

银行业务平台化的风险与监管

银行业务平台化为银行监管带来了很大挑战。在金融服务以整合形式由银行「一站式」提供给客户时,相关风险均在银行的资产负债表内,可以较为容易地评估银行承担了哪些风险以及规模多大,从而有针对性地引入资本充足程度、流动性和杠杆率等方面监管要求。

但在金融活动通过市场分工网络进行的情况下,风险承担和传导会变得隐蔽且复杂,机构监管不一定奏效。此时,应该突出功能监管,从「管机构」变成「管活动」。要使用穿透式分析方法,分析在银行业务平台化中,风险如何转移和分担,切实管好风险。功能监管的一个核心原则是,不管什么类型的机构,只要进行了同样的金融活动,承担了同样的金融风险,就应该接受同样的监管。当然,加强功能监管不意味着机构监管不重要。一方面要继续做好银行监管,另一方面也要监管与第三方机构的合作。比如,银保监会《商业银行互联网贷款管理暂行办法(征求意见稿)》规定,银行应当建立覆盖各类贷款合作机构的全行统一的准入机制,明确相应标准和程序,并实行名单制管理。

银行业务平台化中的一个突出风险是银行与合作机构之间的利益不一致和激励不相容。比如,银行在与合作机构开展互联网贷款业务时,如果合作机构推荐贷款对象并按照贷款成交量收费,合作机构就有动力放松贷款标准。当贷款风险暴露时,银行承担全部损失,而合作机构不会遭受损失。为此,银保监会《商业银行互联网贷款管理暂行办法(征求意见稿)》规定,银行必须独立有效开展授信审批、合同签订等核心风控环节。

银行业务平台化涉及个人数据和隐私保护方面的监管,第一部分讨论开放银行时已涉及。API 涉及运营风险和网络安全方面的问题,包括数据泄露、滥用、伪造、DoS 攻击和非加密登录(Un-encrypted Login)等(BCBS,2019)。

  • 参考文献
  • Basel Committee on Banking Supervision (BCBS), 2019, "Report on Open Banking and Application Programming Interfaces".
  • Euro Banking Association (EBA), 2016, "Understanding the Business Relevance of Open APIs and Open Banking for Banks".