看世界 | MX:金融数据共享是银行业的未来
返 回
发布时间:2021.03.29
来源:睿翼
在这篇文章中:

2021年3月,金融技术软件公司MX Technologies从数据共享的角度,分析了金融科技数据领域的演变历程,包括标准格式、搜集方式及相关的数据监管法规,并探讨了消费者对数据使用的期望。报告认为,数据的连接共享是银行业当下及未来的重要发展领域,金融机构需尽快加强数据共享方面的研究及转型,以获得更好的业务发展。


数据共享发展史

尽管在1980年之前金融业中就有一些软件程序,但随着1983年Intuit公司的成立,数据共享的想法才真正开始。彼时,数据共享还停留在手工输入和拟态设计,例如,Intuit创建的理财界面需要用户手动将财务信息输入到数字支票中,才能进行财务管理。


然而,大多数人不想花费过多的时间进行财务数据的输入。因此在90年代中期,自动化方法得到了空前的发展,用户开始不必手动输入数据。最初存在多种数据标准,包括Intuit的开放式交换格式(OE)和微软的开放式金融连接格式(OFC)。1997年,各企业开始围绕Microsoft Money团队推动的标准,即开放金融交易(OFX)标准统一起来。

640.jpg

图:金融科技数据演变史

自1997年成立以来,OFX进行版本更新的次数并不多。2000年,OFX转向XML模式(即以人类可读和机器可读的格式对文档进行编码),2004年添加了401(k)和税收数据,2006年添加了MFA(多重身份验证)数据,并在2016年添加了基于OAuth令牌(即允许第三方网站访问用户数据的开放协议)的身份验证。


640 (1).jpg

图:OFX版本更新演变史


数据共享现状

目前,共有四种主要的数据共享方式:


(1) 屏幕抓取(Screen Scraping)


屏幕抓取是通过输入用户凭证(如用户名及密码)从一个应用程序收集数据并在另一个应用程序汇总显示数据的过程。该方式几乎是当今数据访问的基础,因为金融科技公司不需要与其他金融机构在法律上建立正式关系就能够进行链接,并且自由选择他们想要获取的数据字段。相比之下,有限制的API渠道允许金融机构限制他们想要共享的数据字段,这可能会让金融科技公司失去在综合体验中访问对他们最有用的数据的能力。


当机构更改网站结构时,屏幕抓取可能会失灵,但它仍然非常有用,尤其对于被列入白名单的IP。当一个IP被列入白名单,金融机构和金融科技公司就可以相互了解哪些公司正在提取哪些数据,避免了恶意行为的潜在风险。


(2) 手动输入(Manual Entry)


手动输入的数据共享方式非常灵活,用户可以输入所需的任何数据,涵盖从现金到卡支付等所有交易。其缺点也是显而易见的:手动输入程序繁琐,容易出现错误,也不能从自动化中受益,如动态警报、AI驱动的财务建议、数据分析等。


(3) OFX(API标准)


OFX的优点在于,它是一种标准化的格式,通常是可靠的并且包含已知的字段和格式。该方式目前得到了广泛的采用(约有7000多家金融机构)。然而OFX也有许多缺点:它没有定期维护,过去各版本差异很大,需要与金融科技连接中的每个金融机构建立联系,并且数据可能错误或缺失。有时,陈旧的或不完整的集成会导致从OFX返回的错误字段中提取数据。


(4) API专有连接


API专有连接具有与OFX相似的许多优势,尤其在可靠性、速度和一致性方面。最大的区别在于,API连接拥有良好的维护手段,在许多情况下是机构的最佳选择。缺点在于,AIP连接目前还未广泛应用,如果金融机构限制了可访问字段的数量,数据共享就会受到限制,并且在金融机构决定转型的情况下连接可能关闭。


所有共享方式都存在优缺点,没有一个是万能的解决办法。不过,综合考虑所有因素, API连接的方式通常是四种数据共享方式中最优的。


数据监管趋势

由于各国之间、甚至每个国家内部的公司和监管机构之间存在较大的意见分歧,因此围绕数据共享和数据隐私的法规制定往往非常复杂。报告选取了近期的一些进展情况进行介绍:


(1)PSD2


2015年,经修订的《支付服务指令》(PSD2)取代了欧盟2007年发布的《支付服务指令》(PSD)。这一更新指令侧重于在线和移动支付领域,尤其关注开放银行和API。它要求金融机构与客户共享数据,以便这些客户可以使用应用程序、用户界面和服务,创造最佳的财务结果。这项指令或许会在帮助其他国家找出连通和数据共享的最佳方法方面发挥巨大作用。


(2)CFPB声明


2017年,消费者金融保护局(Consumer Financial Protection Bureau,简称CFPB)概述了数据共享的原则,希望能平衡消费者、金融科技公司和金融机构的需求。这些原则(主要针对消费者)包括:


访问:消费者可以授权第三方安全地访问其数据。


数据范围和可用性:获得授权访问的第三方可以"访问为消费者提供所选产品或服务所需的数据。"


控制和知情同意:"消费者在获取有关其账户或金融服务的信息时,可以改善他们的财务生活。"这意味着客户可以获取自身的数据并有权利将其从一家银行转移至另一家银行。


授权支付:"访问信息和发起支付的提供商为这些单独的活动获得单独的消费者授权。"这意味着消费者无需共享银行凭证,便可以从他们的银行账户向所选的提供商发起支付。


安全性:"可以安全地访问、存储、使用和分发消费者数据。"


访问透明性:"消费者可以确定他们已授权的哪些第三方正在访问或使用有关消费者账户或金融服务使用的信息。"


准确性:"消费者可以要求他们访问的数据或授权他人访问、使用的数据是准确和最新的。"


具有争议和解决未经授权访问的权利:"消费者具有合理和实际的手段来质疑和解决未经授权访问的情况。"


高效及有效的问责机制:"授予访问、访问、使用、存储、重新分发和处置消费者数据的各方目标和动机相一致,以确保安全的消费者访问并阻止滥用。"


(3)金融机构


金融机构正致力于为开放式银行和API连接做准备。例如,由近7000家金融机构组成的金融服务信息共享与分析中心(Financial Services Information Sharing and Analysis Center,简称FS-ISAC)开发了持久数据API(也称为DDAs),以帮助推动该行业向前发展。DDAs结合了PSD2和OAuth 2.0的原理来对凭证进行标记。另一个例子是金融数据和技术协会(Financial Data and Technology Association ,简称FDATA),"一个致力于金融科技业务的全球金融服务公司构成的组织"。


此外,顶级金融机构越来越多地提供API对数据的访问权限,并建立自己的API连接。这是该行业确定的发展趋势,大型金融机构将引领潮流,而较小的机构紧随其后。无论是USAA集团还是Capital One都正在讨论或已签署了开发直接API访问的协议,虽然签署协议到正式实施尚有一段距离,但这已清楚地表明行业的发展方向。

640 (2).jpg

图:正在讨论或已签署开发API访问协议的机构


(4)美国货币监理署(OCC)


2020年3月5日,美国货币监理署(The Office of the Comptroller of the Currency,简称OCC)发布了一组最新的常见问题,以回应2013年题为《第三方关系:风险管理指南》的公告。在最新答复中,OCC重申:"银行对第三方的使用不会减少银行在法律上的任何责任;银行需以安全健康的方式运营,并遵守适用法律法规下的业务范畴。"OCC还呼吁受监管的银行对使用屏幕抓取方式获取客户数据的第三方支付平台进行治理。因此,OCC指出,银行必须计划提供有关正在抓取数据的第三方公司的流量报告。


这项声明增加了金融机构额外的治理责任,看似负面然而却可能将带来积极影响。因为它可以促进金融机构与金融科技公司之间的合作,同时促使行业以更接近开放银行的方式进行数据共享。


(5)一般规定


此外,还有一些法规出现了变动,如《通用数据保护法规》(GDPR)和《加利福尼亚消费者隐私法案》(CCPA)。这些政策不仅影响银行业,还延伸到了整个行业之外,它们是数据共享和OAuth推广的核心基础。证据表明,不同行业的监管机构正致力于制定针对终端用户共享数据的保护措施,以及如何为终端用户提供更好的控制力、洞察力和信任感。


由于数据共享涉及众多参与者,各方意见混杂,找到正确的监管方法可能非常困难。尽管如此,计划仍在推进中,整个行业正朝着正确的方向发展。如果业内有一个清晰的生态系统,那每个参与者都将受益。通过提供风险更低的结构化数据访问,金融机构可以更好地获得客户信任,帮助客户做出明智的决策,提供更加创新、安全的产品。


消费者需求:原始调查数据

为了更好地了解消费者在数据共享领域的需求,报告随机调查了1000多名美国消费者。90%的消费者表示,仅用一款应用程序便可查看所有名下账户(包括支票、储蓄、信用卡、贷款、投资账户等)对他们而言是非常有意义的;40%的消费者已拥有这种"一控多"的能力。


在使用功能调查中,22%的受访者表示,他们目前正在使用金融科技公司提供的现金管理功能(通常利用数据聚合技术);30%的人表示他们正在使用金融科技公司的投资类产品。这为这些金融科技公司成为消费者主要的金融中心带来了机遇。

640 (3).jpg

图:消费者使用金融科技公司服务情况


在服务满意度调查方面,高达86%的受访者表示,与传统银行相比,金融科技公司提供的支付服务更使他们满意。

640 (4).jpg

图:消费者使用金融科技公司服务满意度


在使用频率方面,接近一半的受访者(49%)表示更经常使用传统金融机构的应用程序,只有15%的受访者表示更经常使用金融科技公司的应用程序;但是也有36%的受访者表示未来金融科技公司是他们获取金融服务的首选。此外,95%的受访者表示日常使用数字化方式(移动APP和网站)查看账户余额;39%受访者曾因数字体验不佳而减少某家银行的使用频率。


总之,数字化服务对于企业而言越发重要,消费者也更加期望各类金融服务能够进行数据整合,以"一控多"的方式进行财务管理。此外,客户对透明度、权限和安全性的需求也与日俱增。


(1)增加透明度


通过将数据聚合使用者列入白名单,金融机构可以更加清楚地了解通过IP地址获取数据的情况。通过这种方式,领先的银行机构将通过其数字银行提供商或核心系统切实了解数据捕获的进程,并能立即查看是否有恶意的第三方正在获取其数据。他们可以确切地了解哪些公司出于什么目的正在抓取其数据。此外,实施API的金融机构还将对数据共享范围及共享对象有全面了解,从而增加流程的透明度。


(2)清晰的权限


金融服务行业的所有机构(从监管机构到金融科技公司)都担心未经客户允许就共享客户数据的操作。通过将屏幕抓取数据的第三方列入白名单及API连接的方式,金融机构更易获得客户的信任与许可。这些权限可以根据具体情况进行设置,因此每个客户都有权选择他们希望公开及不公开的个人信息。例如,如果客户设置了预算应用程序,他们可以授予特定数据集的权限,允许财务顾问查看其实现财务目标的进度,而不用共享所有的账户余额。这种额外的权限控制反映了整个银行业代表客户降低风险的愿望。


(3)提高安全性


在传统的屏幕抓取方式下,每个客户都必须输入相关凭证(包括用户名及密码),这意味着可能会有第三方恶意截取这些凭证。但通过将屏幕抓取的第三方IP列入白名单,则可以更轻松地发现数据泄露事件中的过错方。


此外,API连接的方式带来了更高的安全性。由于将共享凭据用匿名的一次性数字令牌进行了替代,这意味着恶意的第三方无法在交易期间访问终端用户的个人信息。令牌取消了用户数据的身份,大大提高了个人数据的安全性。


结论:数据的连接共享是银行业的未来

消费者期望在一个应用程序中查看和管理所有的账户,这就是银行业的未来。从行业整体的角度出发,报告认为,需要在重视客户需求的情况下以一种安全的方式进行发展,而实施正确的连接和数据共享方式是实现发展的重要途径。


在可预见的将来,屏幕抓取的数据共享方式将继续在行业中发挥重要作用。然而,随着越来越多的金融机构推行API连接的方式,这种做法将变得更为标准。由于客户允许的数据共享是双向的,API连接的方式能够使传统金融机构和金融科技公司共享双方数据资源,提高整体创新性,获得互惠互利。向API模式的转变不仅能够优化金融机构的服务水平,还能加强以客户为中心的运营理念,从而推动行业整体服务效率的提升。


Copyright © 中小银行互联网金融(深圳)联盟保留所有权利 备案号:粤ICP备20021792号