消费者同意在开放银行中的作用：金融包容性支持框架

公开披露授权公开披露授权公开披露授权公开披露授权技术说明骗子的作用用户开放银行内容普惠金融支持框架2021 年 12 月 财务、竞争力和创新全球实践技术说明消费者在开放银行中的作用普惠金融支持框架2021 年 12 月 © 2021 国际复兴开发银行/世界银行集团 1818 H Street NW华盛顿特区 20433电话：202-473-1000 互联网：www.worldbank.org免责声明这项工作是世界银行集团工作人员的产物。世界银行集团是指世界银行集团的成员机构：世界银行（International Bank for Reconstruction and Development）；国际金融公司（IFC）；多边投资担保机构 (MIGA)，它们是独立且不同的法人实体，各自根据各自的协议条款组建。我们鼓励将其用于教育和非商业目的。本卷中表达的调查结果、解释和结论不一定反映世界银行集团各机构或它们所代表的政府的董事或执行董事的观点。世界银行不保证本文中包含的数据的准确性。本作品中任何地图上显示的边界、颜色、面额和其他信息并不意味着世界银行对任何领土的法律地位或对此类边界的认可或接受作出任何判断。权利和许可本作品中的材料受版权保护。未经许可复制和/或传输本作品的部分或全部可能违反适用法律。世界银行鼓励传播其工作和通常会准许立即复制部分作品。由于世界银行鼓励传播其知识，因此只要注明对本作品的全部出处，就可以出于非商业目的全部或部分复制本作品。有关权利和许可（包括附属权利）的任何疑问，请联系世界银行出版商办公室，地址为 1818 H Street NW, Washington, DC 20433, USA；传真：202-522-2422；电子邮件：pubrights@worldbank.org。 内容致谢 v首字母缩略词 vi1简介 22金融市场的信息经济学 93同意书和同意书的替代品 114同意在协调开放银行、隐私和5国家案例研究 21同意开放银行业务在印度 256结论和新兴的良好做法 38三 iv消费者同意在开放银行中的作用盒子专栏 1：开放银行原则将扩展到澳大利亚的能源和电信部门13数字图 1：全球开放银行的发展4图 2：开放银行生态系统5图 3：开放银行之前和之后的 PISP6图 4：开放银行之前和之后的 AISP6图 5：抓取和逆向工程与 API7图 6：影响客户银行数据共享的法律规定15图 7：巴西开放银行的分阶段方法23图 8：巴西框架下开放银行同意机制示意图24图 9：开放银行计划下的同意管理机制示意图27表格表 1：加强开放银行中的消费者数据保护和隐私39 致谢本报告由乔治城大学 Cyber SMART 董事总经理 Clare Sullivan 共同撰写； Margaret Miller，世界银行集团首席金融部门经济学家；世界银行集团高级金融部门专家 Fredesvinda Montes。该报告由比尔和梅琳达·盖茨基金会资助的金融包容性支持框架计划资助，是数字金融服务和金融科技背景下有关消费者风险的一系列文件的一部分。为本报告提供宝贵指导的同行评审者和其他人包括 Graciela Miralles Murciego、Harish Natarajan 和 James Neumann（世界银行）；和 Ariadne Plaitakis（援助穷人咨询小组）。所有错误和遗漏均由作者自行负责。v 缩略语列表ACCC澳大利亚竞争和消费者委员会AISP账户信息服务提供商API应用程序接口CCA2010 年竞争和消费者法案（联邦）CDR消费者数据权EDPB欧洲数据保护委员会GDPR一般数据保护条例LGPD一般个人数据保护法 (Lei Geral de Proteção de Dados Pessoais)OAIC澳大利亚信息专员办公室PISP支付发起服务提供商PPD保护私人所持个人资料的联邦法 (Ley Federal de Protección de Datos Personales en Posesión de los Particulares)PSD2修订的支付系统指令跨太平洋伙伴关系协定第三方供应商WP29第 29 条 工作组六 执行摘要抽象的：开放银行计划通过使用技术，特别是应用程序编程接口 (APIS)，为消费者提供更多选择和新的金融产品和服务。本文的主要目的是为如何实施消费者同意协议以在开放银行场景下访问银行账户数据提供指导。数字金融服务正在创造加速金融包容性的机会，缩小长期以来存在的接入差距，特别是对于低收入和农村消费者而言。在许多情况下，新的非银行金融服务提供商正在进入这些市场，利用它们与以前没有银行账户的客户的距离以及他们拥有的数据。移动网络运营商可能是最著名的非银行数字金融服务提供商，但许多其他运营商既涉足支付领域，也涉足其他领域，例如信贷（点对点借贷或电子现金流动借贷）。商业平台）、小额保险或提供优化其客户对金融服务使用的公司。在以银行为中心的金融系统中，大型机构负责管理客户数据，并且在许多情况下，与第三方共享有限数量的消费者数据。随着非银行机构进入金融市场，消费者账户数据——包括来自银行系统的数据——对于提供额外和更高效的服务以及定制产品是必不可少的。开放银行计划通过使用技术，特别是应用程序接口，为消费者提供更多的选择和新的金融产品和服务，使消费者能够顺畅访问数据，允许第三方提供需要此类数据的服务（例如付款），而无需收集或存储信息。开放银行业务的一个关键要素是与第三方共享消费者的个人数据，包括财务信息。从本质上讲，这一举措正在向新的参与者开放传统的银行和金融部门，目的是增加竞争和创新。迄今为止，全球已有超过 22 个司法管辖区实施了开放银行计划或正在努力实施。司法管辖区采用了不同的方案，这些方案的范围和要求各不相同，包括治理、参与者的类型和数量、访问的数据类型、对数据的访问类型（读取或写入）以及访问的技术解决方案。然而，所有司法管辖区的一个共同挑战是允许第三方访问获得许可的客户数据。本报告重点关注开放银行业务中的消费者同意问题，重点介绍了欧盟（作为全球许多国家的典范）和一些国家（澳大利亚、巴西、印度、墨西哥和卢旺达。该报告提供了有关如何在开放银行计划下实施同意机制的实用见解。1 介绍开放式银行被定义为银行与第三方开发商和公司共享和利用客户许可的数据来构建应用程序和服务，例如，提供实时支付、提高账户财务透明度选项的应用程序和服务持有人、营销和交叉销售机会。1实际上，开放银行正在开放更广泛的银行数据访问。2 一些作者将其定义为“通过系统的开放和集成实现数据和服务的标准化共享”（Plaitakis 和 Staschen 2020）。在第三方提供商 (TPP) 中持有客户账户的银行和其他金融机构访问和共享客户数据有时是法律规定的，而客户同意是一项核心功能。开放银行的发展旨在鼓励金融产品和服务的创新，并通过打破因获取客户信息的不平等而产生的竞争障碍，扩大消费者的选择范围。传统的银行系统通常基于客户数据的独家使用来进行支付、投资和资金管理；仅与第三方共享有限类型的数据，例如偿还贷款。开放式银行业务是过去十年开发的一种模式，允许第三方在客户许可的情况下访问银行持有的信息。欧盟修订后的支付服务指令 (PSD2) 及其前身 PSD1 是开放银行业务的基础。 2016 年，竞争和市场管理局发布了英国零售银行市场报告观察到较小和较新的银行发现很难发展和进入市场，虽然银行存在，特别是规模较大，但没有面临足够的竞争。这一主要观察结果影响了由 7000 万活跃个人账户组成的市场3和 550 万个企业账户——基于这样一个假设，即大部分个人账户持有人会从转向更便宜的产品中获益。传统上，银行一直在控制其客户的数据，并在一个封闭的架构内运营，从而使他们能够利用这些数据，并在设计和开发向客户提供的产品和服务方面具有内在优势。银行与第三方共享数据能力的主要法律限制之一是银行保密条款的存在，这些条款规定了银行对其客户的保密义务。在许多司法管辖区，违反银行保密规定被视为刑事犯罪，因此银行官员对向第三方披露客户信息持谨慎态度。然而，这些规定并不是绝对的，并且受到豁免——常见的豁免与防止洗钱和金融恐怖主义以及对信用风险的监控有关。在著名的 Tournier v. Bank of England 案中承认的另一项银行保密豁免是基于客户的同意。4开放式银行业务还基于客户同意创建了银行保密保护的例外，目的是通过启用第三方使消费者受益5 访问银行持有的账户数据。由于开放银行计划下的规则是由不同的当局制定的，潜在的法律冲突可能21 消费者同意在开放中的作用银行业3存在。此外，启用开放式银行的目标之一是让消费者能够更好地控制他们的账户信息，并有可能决定他们愿意与谁共享这些数据，以获得更多、更方便、更有吸引力的产品或服务。 .在这样的背景下，消费者是否同意允许第三方通过应用程序编程接口（API）访问信息已成为制定开放银行法律和监管框架的关键问题。本文件旨在探索提供同意的实用解决方案，同时考虑现有法律，同时还利用技术解决方案来解决客户获得许可访问其数据的需求。关于为什么在开放式银行计划下需要客户授权，有几个方面需要考虑：(i) 与访问、后续处理和存储个人数据相关的合同性质的要求。提供支付服务； (ii) 根据《通用数据保护条例》(GDPR) 第 6 条明确同意； (iii) 同意根据银行保密规定 (EDPB 2020a) 访问客户的银行数据。同意机制的目标不是解决与数据保护框架相关的所有措施，而是提供一个框架，将许可访问转化为支持技术。开放银行通过使数据更广泛地共享来提高金融市场的透明度，但它也引起了对个人数据保护和隐私的担忧。明确同意通过使消费者能够对其数据的使用施加控制，解决了将个人数据用于商业目的（例如开放银行）中存在的内在张力。与公司相比，这种方法也反映了个人隐私的法律方法——人们被认为拥有隐私权，而公司则没有。6 在许多司法管辖区，个人数据保护制度是更广泛的开放银行法律框架的一部分，并且通常基于另一个著名的欧洲基准——GDPR。开放银行的潜力很大；根据 Allied Market Research 的预测，2019 年至 2026 年间，全球开放式银行市场预计将以近 25% 的年增长率增长，从 2018 年的 72 亿美元增长到 2026 年的 430 亿美元以上。7数以百万计的消费者已经从开放银行业务中受益。韩国尤其突出。仅在此类服务推出的头两年（自 2019 年以来），就有 2000 万消费者使用了开放银行服务——约占经济活跃人口的 70%。8韩国在采用速度方面是一个异常值——其他国家，如英国和印度，各截至 2020 年，开放式银行的客户不足 500 万——但韩国的经验表明，在条件合适的情况下，开放式银行具有潜力。韩国开放银行的显着特点包括强大的监管框架和联合平台，不需要银行和 TPP 之间建立双边伙伴关系；大型和小型金融科技公司使用该系统促进创新和竞争的能力；功能，包括使用开放银行进行电汇的能力；智能手机的普及率非常高（超过 90% 的人口）。9开放银行对普惠金融的承诺具有潜在的变革意义，因为它不仅可以接触到新客户，还可以向现有客户提供新产品和服务。通过利用来自一系列金融提供商和商业公司（可能包括金融科技公司和其他技术公司、零售商和公用事业公司）的数据，开放银行减少了信息不对称，为新的创新产品和服务打开了大门，并增加了竞争。然而，要获得开放银行以促进金融包容性的好处，需要有意识地设计政策和产品，到目前为止，这在不同的司法管辖区是不平衡的。援助穷人咨询小组的研究将巴西、印度尼西亚和墨西哥确定为三个积极利用开放银行来提高金融包容性的国家（Plaitakis 和 Staschen 2020）。虽然最初的开放银行发展发生在欧盟和英国，但截至 2021 年 6 月，许多国家已经在亚洲、美洲以及在较小程度上在中欧实施开放银行业务。迄今为止，只有两个国家在非洲制定了开放银行计划。图 1 可以看出开放银行在欧洲以外的分布情况，该图是为巴塞尔银行