印度政府牵头、进入门槛高达2.9亿美元的“财务账户聚合平台”是一门怎样的生意?又为什么会“难产”?
印度在尝试的财务账户聚合模式可能带来个人数据共享的革命,但还有一些监管和技术的问题需要解决。
印度正逐步敲定以用户“同意”为核心的全新数据共享协议。在已获得访问和分发个人财务数据临时许可证的五家实体机构中,目前至少已有三家正在尝试在这一协议下安全地共享用户信息。但新的协议仍需扫除最后一些障碍才能为用户数据共享带来真正意义上的改变。
就像开创了数字交易时代的统一支付接口(UPI)一样,被称为账户聚合平台(NBFC-AA)的新型非银行 金融 机构(NBFC)也有望改变行业格局。
这些账户聚合平台的系统将允许用户数字化地与服务提供商共享个人数据,从而让用户更便捷地获得信贷、保险和其他金融产品或监看其个人 投资 。从本质上讲,账户聚合平台是管理用户同意(书)的经纪人,他们在获取用户的允许后,便能访问他们各金融账户的信息,然后在平台上集中管理用户的所有财务信息。
账户聚合平台类应用程序就像管道一样,用户可以通过此管道来安全地共享个人数据,以访问信贷、贷款和其他金融服务。| 图表来源:FactorDaily
尤为重要的是,账户聚合平台的服务框架需要允许用户自主选择向谁共享个人数据、共享哪些数据、共享数据可用于哪些目的,以及数据共享的时间期限,并允许用户撤销其个人数据的访问权限。
平台的工作原理大致是这样:假设你在向银行申请贷款,那么贷款专员需要获取你的信用记录、收入情况和纳税情况等详细资料来处理你的申请。整理这些文件是一个非常繁琐的过程。但如果利用账户聚合平台,贷方只需发起一条“用户同意”的请求去访问所有所需信息。该请求将通过 手机 App通知到你,在经你同意之后,账户聚合平台将从相关单位单独提取所请求的数据,并将其共享给银行。而银行或 NBFC 只有在处理申请时才能访问这些数据。
“以前,你无法在手机里的同一个地方(应用)快速查看所有财务信息,更无法向贷款人完全安全地共享信息。”Onemoney 的首席执行官 Atluri Krishna Prasad 表示。Onemoney 是印度储备银行(RBI)意向性批准的五家账户聚合平台运营单位之一。“现在,只要你同意,Onemoney 就可以从各个机构获取你的所有财务信息,并把这些信息整合在统一的窗口中供你查询。”
包含用户所有账户、有效“用户同意”和新“用户同意”请求的界面。| 图表来源:FactorDaily
其实数据聚合服务在印度早就存在,但其形式并不符合印度储备银行(RBI)的规定:用户数据需要以安全、标准化的格式发布,以便授权组织之间可以更容易地进行在线共享。
监管机构已将数据格式统一为机器可读格式,并允许使用与银行直接对接、用于为账户聚合平台提供数据馈送的开放式应用程序接口(即 API,指可以让不同应用程序实现交互的软件)。
“数据传输的整个过程将类似于在 UPI 应用程序中授权数据收集请求,”技术智库 iSPIRT Foundation 的志愿者 Siddharth Shetty 说,该基金会为账户聚合平台的系统提供技术支持。“账户聚合平台将允许用户‘支付’数据。用户只需点击几下鼠标,就可以将银行存款、共同基金、股票、养老基金等各类金融数据传输给需要访问这些数据的任何单位。”
而且账户聚合的作用还远不止这些。随着印度从“缺少数据”的国家发展为“大数据量”的国家,账户聚合的概念将有助于解决金融和医疗保健等行业中的一些基本问题,这些问题均涉及基于“用户同意”的数据共享。例如,医疗账户聚合平台可以整合病人分散在多个医生、医院和药房的各类健康数据。
尽管所有这些听起来都很美好,但真正的考验在于 “用户同意”架构的落地和与银行的伙伴关系,而账户聚合平台必须让这两者实现有机结合。
“产前阵痛”
要想真正实现账户聚合,仍需扫除一些障碍——大部分是监管方面的,还有少数是运营方面的。其中最令人担忧的是:
· “用户同意”的概念是否还不完整以及如何保证有效
· 银行对开放他们所拥有的用户数据犹豫不决
· 账户聚合平台仍在摸索相关技术和可行的 商业 模式
· 没有政府支持的单位来带头实施这类项目
首先,想做账户聚合平台的企业面临着很高的进入门槛,需要至少200亿卢比(约2.9亿美元)的银行余额才能获得账户聚合平台执照。虽然对申请人来说这是一大障碍,但对其他利益相关者而言这却是一个筛选措施,以确保只有高度可信的参与者才能进入这一系统。
迄今为止,RBI 只批准了五家实体单位来试点这一新的数据共享业务。然而,这五家拿到的也只是临时执照。它们必须通过良好的运营效果来让监管机构信服,然后才能获得开设平台的最终许可。
更大的担忧在于用户个人对“用户同意”和数据隐私的理解,以及平台系统是否有可靠的控制措施来防止数据滥用。
“印度有很多文盲,人们又说着不同的语言,所以签署‘用户同意’涉及到很多风险,更别说做到‘知情同意’了,”律师事务所 Khaitan & Co 的合伙人 Supratim Chakraborty 说,“账户聚合平台这个做法很好,它解决了银行、保险和其他行业‘数据可移动性’的问题。然而,我们必须要对隐私和用户同意的重要性有所认同并保持敏感,才能正确地理解和实施数据移动。”
还有一个大问题是商业模式不够清晰。
“目前有一点是确定的,就是我们已经获发了用于从财务信息提供商(FIP,例如银行、共同基金等)转移数据的开放式应用程序接口(API),我们也正在为此开发相应的软件。但在用户信息的汇总报告方面,包括如何完成这样一份报告、报告如何交付、储存在客户端还是在平台端这些问题,RBI 都没有明确规定。”另一家获得账户聚合平台初步运营许可的机构 NeSL Asset Data 的首席技术官 N Mohanram 说。Onemoney 的创始人 Prasad 对此也表示同意。
Onemoney 创始人 A Krishna Prasad | 图片来源:FactorDaily
账户聚合平台必须与银行和金融机构对接以获取客户数据,才能向 Reliance Capital、Bajaj Finance 和其他贷款机构等财务信息使用者(FIU)共享数据。虽然监管部门已经明确了这类数据提取和传输请求的技术规范,但尚不清楚具体由哪个单位来执行数据聚合的工作。要知道,印度有350多家已注册的金融机构。
账户聚合平台只能充当数据管道,而来自财务信息提供商的数据将通过这些管道传递给信息使用者。在向银行和金融机构请求数据时,账户聚合平台将获得客户数据的只读访问权限,不能存储、更改或加工这些信息。
“根据 RBI 目前的指导政策,账户聚合平台不能对用户数据进行分析。“任何分析都需要历史数据,而账户聚合平台不能存储用户的历史数据。”Fintify 的联合创始人 Javed Memon 表示。Fintify 是一款跨境个人金融类App,曾试图在印度开展账户聚合业务,但由于监管障碍,最终决定放弃。“平台唯一能做的就是把新数据贮备起来,然后对其进行分析。然后账户聚合平台可以将分析结果卖给客户,但这些客户也必须是财务信息使用者(FIU)。”
打造数据聚合模型
尽管如此,业界对账户聚合业务仍有很大兴趣。RBI 在2016年9月就公布了打造账户聚合平台的指导政策,但在2018年11月份才给出意向性批准。
“所以,这些账户聚合平台也只是在最近几个月才做好准备,其中有三家平台已经与银行和数据提供商展开了合作试点。” iSPIRT Foundation 的 Shetty 说。“他们已经进行了沙盒测试,现在的进度与 UPI 约一年半前刚开始试点的那个阶段类似。”
得到 RBI 初步批准的五家账户聚合平台运营单位 | 图表来源:FactorDaily
在获得意向性批准的五大账户聚合平台中,NeSL Asset Data、CookieJar Technologies 和 Finsec AA Solutions (Onemoney)均证实目前在进行试点工作,在构建软件和与数据提供商集成方面也都取得了不同的阶段性进展。CAMS Financial Information Services 和 Abcap Trustee Company (MyUniverse) 则没有回复 FactorDaily 的问题。
Onemoney 目前正在使用一些银行员工的数据进行试点。“我们目前正在对平台系统进行测试,用的是银行的测试环境服务器,没有使用生产服务器。我们已经拿到了相关数据,测试正在进行当中。”Prasad 说。
Onemoney 以及其他账户聚合平台均未透露各自合作的试点银行和数据提供商的名字。
“目前,有许多机构都能实现银行业务和其他金融服务的账户聚合功能,但它们尚未向 RBI 申请执照。RBI 想要亲自监管所有的金融信息数据整合,迫使现有机构在监管的灰色地带运营,”CashlessConsumer 的负责人 Srikanth Lakshmanan 表示。CashlessConsumer 是一项旨在帮助印度人提高数字支付意识的计划。
首要问题:账户聚合将如何实现?
对账户聚合平台而言,有一个大问题是它们无法整合和显示用户在资产、负债、信用卡和投资等方面的财务状况,因为平台无权查看这些数据。
“如果我无权将数据存储至少一两天,那就无法提供整合报告。我只能给到客户来自多个数据源的数据转储,”获得 RBI 批准的某账户聚合平台的一位不愿透露姓名的高管表示,“除非我将这些数据以可读的报告格式给出,否则它对客户毫无用处”。
用户接受或拒绝各单位的数据访问请求数据历史 | 图片来源:FactorDaily
Shetty 说,现有标准允许生成报告,但存在一些局限性。“拿技术标准来说,数据需要经过端到端加密。账户聚合平台可以对受托客户的数据进行解密。也就是说,数据在账户聚合平台的用户手机 App 或财务信息使用者(FIU)的服务器上解密。”
这意味着,该标准允许平台在移动 App 上为最终用户执行数据分析和可视化功能。“唯一的限制就是账户聚合平台将受到手机算力的限制,手机 App 很难完成平台所需要的一些机器学习任务。” Shetty 说。她补充道,“这方面来看,平台坚持要在服务器端进行数据分析是有一定道理的。但基本的可视化和分类功能还是可以在账户聚合平台的应用程序上完成。”
RBI 意向性批准的五大账户聚合平台都还没有打造出一个完全开放的应用程序。在接下来的几个月里,这几家企业需要向印度储备银行的技术部门——储备银行信息技术私人有限公司(ReBIT)展示其运行系统,以获得最终许可。
理清监管难题
欧盟和英国的新法规中也都包括了与账户聚合平台类似的系统,分别为“支付服务指令(PSD-2)”和“开放银行计划”。在英国的账户聚合系统——注册账户信息服务提供商(RAISP)中,财务信息使用者(FIU)在获得用户同意的同时也在消费着这些数据。
而在印度,账户聚合平台不能对用户共享的数据进行存储、处理或分析,也不能利用这些数据向用户推销任何产品或投放广告。聚合平台只起到向用户征得同意的作用。此外,RAISP 只聚合支付总额和支票账户信息,但印度的平台则聚合银行、证券、共同基金、养老基金、保险等各类相关信息。
“欧盟和英国做得更有条理一点。他们为 FIU 创建了用于测试的沙箱环境,而且有统一的开放银行联盟来推动银行和第三方服务商进入同一个平台。Fintify 的联合创始人 Ameet Gaikwad 说。
此外,英国的九大银行已得到授权,将在11月前向第三方服务商开放用户数据。这意味着银行不得不交出数据的掌控权。而印度方面,RBI 没有授权银行向服务商开放用户数据。
“有了联盟后,事情就好办多了。测试方面,有统一的中央机构(英国的 Open Banking Limited)来监管所有相关活动,包括使用哪些数据、银行可以给出哪些数据,以及数据是否符合开放银行列明的技术规范等,”Memon 说,“而在印度,没有统一的管控机构来监督这一切。印度需要有一个组织能每周坐下来谈一谈银行在共享数据方面所面临的挑战。”
这是业内大多数玩家认可的解决办法。
在很大程度上,RBI 扮演着账户聚合平台的带头大哥的角色,还颁布了总体指导政策。
“账户聚合平台让 RBI 获得了高于其他金融监管机构的监管地位,现在 RBI 可以同时监督投资数据的共享(由印度证券交易委员会管辖)、保险数据的标准化(由保险监管和发展局管辖)和养老金投资组合数据的共享(由养老基金监管和发展局管辖)。”一位不愿透露姓名的人士表示。
许多人提出的方案是成立一家管控机构来解决数据标准化问题。“正是印度国家支付公司(NPCI)的成立才推动了 UPI 的成功。现在账户聚合平台生态系统中缺少的就是类似 NPCI 的这种机构。” iSPIRT 的 Siddharth Shetty 表示。
话虽如此,但印度的“账户聚合模式是独特的,”他补充道,“这不是一个可以从英美照搬,然后在印度直接实施的模式。因此,它也给监管机构和企业带来了很多难题。”
来源:36氪