開放銀行正成為世界和國內銀行業發展的新趨勢,呈現百家爭鳴的態勢。國內各大銀行在數字化轉型之際,也紛紛制定開放銀行戰略,主動擁抱開放,意在構造一個開放共享、共建共贏的生態圈,為客戶提供“無處不在、無微不至”的銀行服務。然而開放銀行的核心是開放資料,如何在監管合規的前提下利用技術手段來實現各方資料安全可控的共享交換,這對大型商業銀、中小銀行以及第三方服務商提出了嚴峻的挑戰,也是開放銀行亟待解決的重大難題。區塊鏈技術天然具有分散式賬本、密碼學技術、共識機制、智慧合約等多種特性,能夠破解資料隱私與資訊共享的難題,為生態圈各方提供技術基礎,真正的打破藩籬,合作共贏,實現開放銀行的願景。
開放銀行平臺痛點分析
參與開放銀行生態圈的市場主體眾多,如表1所示,生態圈的建設需要協調各方利益,並嚴格保護各方擁有的資料資產。
資料共享是開放銀行所需面對的核心問題,但是開放資料難,銀行不願共享、不敢共享、不會共享,追究真正深層次的原因,可以歸結以下三大難題。
不願共享——平臺主導權之爭。如果中心化平臺由大型銀行或者第三方公司主導搭建,其他參與方則基本沒有掌控平臺的能力,也就不願意共享自身的資料資產,也擔心核心資料一旦共享至該平臺會得不償失,導致客戶黏性降低乃至流失等。即使開放銀行平臺由多個機構共同建設,也比較難以界定該平臺的主導方,任何一方主導平臺都會帶來其他參與機構的爭議或者不滿。
以我國的個人徵信現狀為例,我國形成了央行徵信結合百行徵信的格局,理論上可以覆蓋銀行與網際網路金融公司的個人信用資料,但是這種徵信資料集中上報的模式會遇到成員機構上鍊意願不強的困難。2019年9月19日,據英國媒體《金融時報》報道稱,以騰訊和阿里巴巴為首的五家機構,位居百行徵信八個民營徵信機構股東之列,卻拒絕向百行徵信提供自身產品體系中的個人徵信資料。
不敢共享——隱私保護存隱憂。開放銀行業務的使用者資料與個人或者企業客戶息息相關,保護資料隱私是維繫客戶信任的核心。開放銀行下,承載多方資訊不僅會拉長風控鏈條,也會增加使用者資料的儲存點與傳輸頻度,也大大增加了資料隱私洩露風險。資料共享對傳統技術來說並非難事,但是銀行的使用者資料共享給第三方機構之餘卻無力杜絕安全隱患,存在對外洩露的可能。根據Risk Based Security釋出的報告,2019年上半年全球就發生了4000起資料洩露事件,共暴露41億條資料。如何透過技術既幫助使用者解除隱私保護的隱憂,又能助力銀行和第三方機構實現資料共享與驗證,值得深入思考與研究。
不會共享——資料資產流通難。電子資料不同於實物資產,雖然網際網路便捷了共享,但是也容易在流通中被複制且難以確權。首先,如果不能對資料資產進行確權,就無法實現資料的精準授權;其次,如果不能明確資料的所有者、生產者、傳播者和使用者並如實記錄資料流轉,就無法對資料價值和收益進行合理的再分配。歐盟已經推出嚴格的《通用資料保護條例》,對收集、傳輸、保留或者處理個人資訊的機構組織進行法律上的嚴格約束。我國2017年推出的《網路安全法》特別加強和明確了個人資訊保護方面的要求,廣受公眾期待的“個人資訊保護法”則有望賦予公民對個人資訊的真正控制權。因此,技術實現上能否對資料資產進行確權,並確保權屬明確、收益共享和風險共擔,就是一個值得研究的課題。
基於區塊鏈技術的資料開放新模式
區塊鏈技術是一種去中心化的分散式賬本技術,其典型技術特徵是透過塊鏈式的資料結構實現全網確認和驗證的分散式賬本,實現防偽造、防篡改和可追溯等特性。因此,區塊鏈技術特別適用於去中心化的、多方參與的、共同維護以增強信任的應用場景,而銀行生態圈資料開放恰恰是一個需要多方參與且注重隱私保護的實際場景。
針對構建開放銀行生態圈開放資料面臨的三大挑戰,透過引入區塊鏈的三大特點(分散式賬本、密碼學技術、共識機制),可為資料開放保駕護航。
- 分散式賬本技術解決平臺主導權之爭
區塊鏈的分散式賬本技術使得各個參與方基於多方共識來記錄賬本,並在網路成員之間進行共享與同步資料,便於資產和資料的交換,消除了調解不同賬本的時間和開支。與傳統的中心化平臺相比,分散式賬本具有以下特殊優勢:首先是去中心化,它是無需中央機構儲存、確認的賬本,在這個網路裡的每個參與方都可獲得一個唯一真實的賬本副本,賬本里的任何改動都會在所有副本中體現出來,不再由一箇中心化的機構集中維護或者單獨決策;其次是不可篡改,透過時間戳證明、雜湊函式、首尾相連的塊鏈式資料結構、共識機制等技術應用與機制設計,區塊鏈技術將記錄不可篡改性做到了極致,提高了造假成本,增強了賬本可信度並降低了審計成本。
採用傳統的中心化資料集中的共享模式,無論這個平臺是自建還是歸屬第三方,不可避免地會遇到平臺主導權之爭。如果基於區塊鏈搭建分散式賬本,每個參與方都享有相對平等的權力和相同的賬本,系統不再是一個獨斷專治的中心化平臺,而是一個共同治理的生態網路,也就不存在平臺主導權的問題,主導權之爭的難題便可迎刃而解。
- 密碼學技術實現資料隱私保護
開放銀行做到開放服務和產品都相對比較容易,但是一旦涉及最為敏感的底層資料本身,無論是銀行抑或是第三方,都必須先保護好使用者的隱私資料,杜絕洩漏。區塊鏈可使用安全技術以及隱私保護技術等密碼學技術實現資料隱私保護。
以數字摘要演算法、數字簽名和加密演算法為代表的安全技術在區塊鏈中起著基礎作用,在保證區塊鏈資料安全性的同時,也確保了參與者身份的安全性,透過可授權加解密機制實現可參與者及使用者對鏈上自身資料的完全掌控。鏈上儲存的資料都是由相關參與方使用自身的金鑰進行加密後再上鍊並共識共享,這就保證了資料的安全性,大大減少了資料洩密的可能性。此外,在鏈上資料未獲得相應授權時,無法解密或者共享鏈上的密文資料,這就賦予了資料所有者真正的資料掌控權。相比於現在的線下授權或者APP隱私告知授權,基於區塊鏈的授權還可以支援更精細的欄位級別,透過最小授權的原則實現業務。譬如,使用者可以選擇只授權徵信報告中的某一條貸款記錄的貸款金額給第三方,而不透露具體的貸款用途。
以零知識證明為典型代表的隱私保護技術則將隱私保護的標準推向更高的高度。零知識證明指一方(證明者)向另一方(驗證者)證明某個事實的論斷,同時不透露該事實的原始資訊的方法。利用該技術可以在最大程度上保護身份的隱私性和資料的機密性,可以在密文情況下實現資料的關聯關係驗證,既保護資料隱私,又達到了資料共享的目的,真正實現密文資料的可用不可見。2018年9月香港金管局聯合12家銀行推出的金融壹賬通承建的貿易融資平臺就利用零知識證明技術大大降低了貿易欺詐的風險,防範了重複融資、超額融資,提高了銀行業的融資意願。
- 利用區塊鏈實現資料確權與流通
開放銀行生態圈能否真正的繁榮,很大程度上取決於底層的資料資產能否高效地流通。為達到資料流通的目的,必須建立完整的資料先確權、使用需授權、事後可追責的管理機制,充分賦予使用者對自身金融資料的資料控制權和利益分配權。
利用區塊鏈不可篡改、數字簽名、共識機制、智慧合約等技術可以對資料進行確權,並對資料的產生、收集、傳輸、使用與收益進行全週期的記錄與監控,為資料共享和流通提供了堅實的技術基礎。具體來說,資料資產的所有者、生產者和使用者作為重要的節點加入到區塊鏈網路中,利用區塊鏈同步共識,詳細記錄資料產生、流轉、交易等全部環節,不但記錄資料本身,而且記錄該資料資產相關主體的身份及其操作歷史,並全節點共識見證,任何一方都不能抵賴。這樣生態圈中的所有參與方都能貢獻自己的資料資產,並透過智慧合約對資產流轉與收益分配進行監督,實現了收益共享與風險共擔,大大促進了資料資產的流通,實現開放銀行生態圈的合作共贏。
基於區塊鏈構建三層網路體系的開放銀行生態圈
國內的開放銀行開展得如火如荼,卻收效甚微。究其根本原因,是各方之間缺乏信任,無法真正地開放自身資料。而利用區塊鏈上述特性和優勢,可有效解決開放資料過程中的難題,並逐步打造互聯互通的資料網路、真實可信的信任網路和高效安全的價值網路,最終構建合作共贏的開放銀行生態圈。
- 資料網路——平臺自主可控,保護核心資料
在這個資訊爆炸的移動網際網路時代,一方面資料孤島現象越來越嚴重,另外一方面開放銀行生態圈中的各個參與方對自己的平臺、客戶與資料也越來越重視,保護意識也越來越強,共享資料的意願並不強,這與開放銀行的開放理念背道而馳。而區塊鏈作為一個金融連結器,透過構建共治的聯盟鏈,將銀行、第三方服務商、科技公司和客戶組成開放銀行網路,在各參與方保持自身平臺可控的前提下,打破資料孤島,安全可控將資料共享開放,形成一個底層的資料網路,為業務協同和創新打下資料基礎。與以往的中心化平臺不同,各個參與方在這個網路中處於對等地位,享有相對平等的決策權,能夠很好地保護自身核心資料,也不必擔心客戶的流失。
- 信任網路——消除虛假貿易,降低金融風險
不可篡改的資料網路大大提高了資料做假的成本,再結合可授權加解密機制,共享給業務合作方的資料的真實性就大大增加,初步緩解了金融業務中的資訊不對稱,生態圈的信任網路也初步成形。為了進一步保證資料的一致性和準確性,從弱信任變為強信任,可再利用零知識證明對更多的業務相關方的資料進行密文驗證,消除虛假貿易,降低金融風險。
以2019年4月17日上線的海關總署天津口岸區塊鏈跨境貿易服務網路為例,生態圈中除了有貿易融資需求的買賣雙方之外,還引入了物流、海關等相關參與方,將訂單、運單、報關單等資料自行加密上傳至區塊鏈,這些資訊在其他參與方視角中僅以密文呈現,但卻可以利用這些密文進行交叉驗證。例如,當賣方向銀行發起融資申請時,銀行可以利用零知識證明進行各方資料的比對,比如驗證買方訂單和賣方發票以及運單中的單價、數量是否一致,買方的單價與運單數量的乘積是否等於海關報關單中的商品總額等,透過各方資料的比對可以驗證票據的貿易真實性以及資訊的匹配度,大大降低風險。
- 價值網路——資料資產確權,高流通可追溯
網際網路傳遞的是資訊,區塊鏈傳遞的則是價值。基於區塊鏈技術的開放銀行生態圈,底層的資料資產在上鍊時即被確權,並按照資料的權屬進行授權流轉與共享,不僅盤活了資產,在最大程度上挖掘出資產的價值,而且對資料的全生命週期全程可監管,收益可追溯,價值再分配。
價值網路為開放銀行生態圈的資料網路和信任網路注入活力,隨著資料資產跨平臺、跨機構共享流轉,新的業務價值不斷被創造並回饋給互相信任的參與方,這種正反饋的機制也可以不斷吸引更多的參與方、更多的資料,生態圈進一步擴充套件和壯大。
開放銀行作為新興的商業理念,在國內乃至全球範圍內正被廣泛認可與接受。基於區塊鏈技術的資料網路、信任網路和價值網路構建的銀行生態圈,可化解現有自建平臺或者第三方平臺的三大難題:平臺主導難、隱私保護難、資料流通難,進而將開放銀行真正落地,實現多方共贏。當然,我國目前對於開放銀行相關領域尚未出臺明確的監管法規,比如資料使用規範、開放API標準、開放銀行定義與邊界,業務實操上的監管指引等,但相信日後隨著監管的重視、法律法規的日益完善,對企業和個人的金融資料與隱私資料的規定必將更加細化,可開放的資料範圍與資料主體的相應權利與職責將更加明確,開放銀行業務開展也會更加合規,屆時基於區塊鏈的開放銀行便可從監管沙盒模式逐步過渡到大規模的落地生產應用中來。
