在英国,开放银行应用程序接口 (API) 为各类服务提供技术支撑,涵盖即时银行转账、实时账户数据调取等功能,助力实现更快捷的支付结算与信贷审批流程。仅在 2025 年 7 月,英国开放银行 API 调用量就突破 20 亿次,用户规模超过 1500 万。
本指南将阐释英国开放银行 API 的运作机制、核心价值,以及企业如何运用这些接口管理支付、核验客户身份,并开发更智能的金融产品。
本文内容
- 什么是英国的开放银行 API?
- 开放银行如何实现数据访问和支付启动?
- 英国开放银行框架的运作机制
- 英国开放银行 API 的技术标准和安全要求是什么?
- 企业使用开放银行 API 有哪些好处?
- 开放银行 API 带来了哪些挑战?
- 企业应如何选择合适的开放银行 API 解决方案?
- Stripe Financial Connections 如何提供帮助
什么是英国的开放银行 API?
开放银行 API 是一类数字化接口,支持用户通过已知应用共享特定金融信息或发起支付,且用户可完全掌控信息共享的内容与期限。借助开放银行 API,预算管理应用、贷款机构或支付服务商可安全地直接调取客户银行账户数据,或代表客户发起支付。客户无需向第三方提供银行账户登录信息,只需通过所属银行完成身份验证,银行会随即生成一个短期安全令牌,授予客户已核准的操作权限。整个过程不涉及任何密码传递,旧有的密码共享做法被更安全、标准化的方式所取代。
开放银行如何实现数据访问和支付启动?
开放银行通过安全的 API 发挥作用,在获得客户授权的前提下,允许经认证的第三方机构调取账户数据或发起支付操作。这两项功能被正式界定为账户信息服务 (AIS) 与支付发起服务 (PIS),二者均遵循标准化的 API 规则与授权流程。
账户信息服务 (AIS)
账户信息服务是一种机制,支持经授权的应用程序与平台直接从客户银行账户中调取实时金融数据。当某一应用程序请求调取权限时,客户会被引导至所属银行完成身份验证。客户核准授权后,银行将生成一个时效性令牌,允许该应用程序调取所申请的具体数据。这一机制可确保整个流程准确无误且具备完整可追溯性。
支付启动服务 (PIS)
PIS 采用相同的安全模式,并将其应用于资金划转流程。经授权的服务商可代表客户发起一次性付款请求,但必须先由客户通过自身银行应用程序或网上银行会话,确认付款金额与收款人信息。这一方式支持用户无需提供银行卡信息、无需手动操作转账,即可完成直接的银行对银行付款。
内置防护措施
账户信息服务与支付启动服务的运行均遵循严格规则。服务商必须获得英国金融行为监管局 (FCA) 授权,银行必须遵守英国开放银行标准,且每一项操作均需获得客户明确授权并完成多因素身份验证。这些防护机制共同保障客户能够安全使用第三方服务,调取金融数据或发起付款,全程无需分享账户凭证,也不会泄露敏感信息。
英国开放银行框架的运作机制
英国开放银行体系的运转,得益于监管政策、技术标准与行业监督三者的协同支撑。
以下是三者的协同作用机制:
监管基础
开放银行的诞生源于两项重要举措。其一,英国竞争与市场管理局 (CMA) 强制要求大型银行开放其数据。其二,经修订的《支付服务指令》 (PSD2) 的落地实施,为数据获取与支付发起制定了法律标准。上述两项法规共同要求,银行必须向获得许可、代表客户开展业务的第三方机构开放 API 接口权限。在英国国内法中,相关要求由 2017 年支付服务条例承接并推行。
治理与监督
开放银行有限公司 (OBL),前身为实施主体,负责制定银行与服务提供商必须遵循的技术标准,内容涵盖 API 规范及客户体验准则。英国金融行为监管局 (FCA) 对所有第三方服务提供商进行授权与监管,确保其满足严苛要求后,方可获取银行数据。开放银行名录则承担信任层职能,只有名录内的服务提供商,才可与银行建立基于证书的连接。
标准化 API 基础设施
英国制定了开放银行标准,这样开发人员就无需针对每家银行适配不同的数据格式与通信协议。该标准对账户及交易数据的结构规范、支付发起流程、以及差错处理方式均作出了明确规定。因此,针对某一家大型银行开发的关联程序,可在整个开放银行生态系统内通用。
客户控制权与授权机制
每项数据调取请求或支付操作,均需获得客户精细化、有时效性的授权。客户需通过所属银行的高强度安全验证方式完成身份验证,银行则会自动记录并执行相关授权权限。这一机制既保障了客户对自身金融信息的控制权,又能确保第三方支付处理商仅可访问已获授权的内容。
英国开放银行 API 的技术标准和安全要求是什么?
开放银行的有效运转,有赖于每一次系统关联的安全性、一致性与可核验性。
以下是保障措施:
金融级 API 安全标准 (FAPI):开放银行 API 采用经强化的 OAuth 2.0 及 OpenID Connect 协议,确保每一项请求均经过数字证书的签名、加密与核验。这一机制可实现银行与授权服务商之间的双向身份认证。
强客户认证 (SCA):每一项敏感操作均需客户通过所属银行完成多因素身份认证。由于未经客户自主完成的安全验证步骤,相关请求便无法推进,因此该机制可大幅降低支付欺诈。
端到端加密:银行与服务商之间传输的所有数据,均通过基于现代传输层安全协议 (TLS) 标准的加密通道进行。即便数据被拦截,也会处于不可读取、无法篡改的状态。
精细化、时效性授权:服务商仅可请求调取特定数据或发起支付的权限,且客户必须在明确知晓共享内容的前提下逐一核准。相关访问权限会自动过期,除非客户重新授权,这一机制可降低信息泄露风险,保障用户的控制权。
仅限合规主体参与:银行仅与经英国金融行为监管局 (FCA) 授权、且在开放银行名录中登记并持有有效数字证书的第三方机构开展交互。由此构建起一个封闭且受监管的网络环境。
合规性测试与性能监控:银行及服务商必须通过技术测试,以证明其符合开放银行安全及互操作性要求。开放银行有限公司 (OBL) 会对整个生态系统的系统正常运行时间与响应速度指标进行跟踪监测。这一性能标准有助于维持较高的 API 服务质量,并实现问题的快速识别。
清晰统一的用户流程:标准还涵盖了授权界面及跳转流程,确保客户明确知晓自己所核准的内容。这有助于减少客户困惑,同时帮助其识别任何可疑操作。
企业使用开放银行 API 有哪些好处?
企业借助开放银行 API 加快资金流转速度、深化客户洞察,并打造更简洁直观的数字化服务体验。
主要优势包括:
支付更快捷、成本更低:开放银行支付可实现银行账户间的直接转账,通常依托英国快速支付基础设施完成实时到账。
欺诈与撤单风险更低:由于每笔支付均需通过银行自身的安全流程完成确认,未授权交易的风险大幅降低。
支付结算体验更优:开放银行支持客户无需输入银行卡号或银行账户详情即可完成付款,从而降低交易放弃率。以 Stripe 推出的 Pay by Bank 功能为例,客户只需选定所属银行,在银行应用程序中完成付款确认,即可返回结算页面,交易同步完成。
信贷审批与核销的实时财务洞察:通过账户信息服务 (AIS) 关联,贷款机构可在获得客户授权后,直接从其银行账户调取收入规律、消费行为及现金流相关数据。
更可靠的身份与账户核验:企业可在入驻或付款环节,核验账户所有权、匹配账户名称与银行账户信息,从而降低欺诈风险。
更简洁的整合式财务管理:会计平台与金融工具可自动从多个银行账户抓取交易数据,为企业与个人用户提供一体化财务视图。这一功能减少了人工操作,同时保障财务数据的时效性。
更具个性化的产品与服务:依托更丰富的交易数据,企业能够打造贴合客户实际行为的定制化洞察分析、预算管理工具或金融建议服务。
开放银行 API 带来了哪些挑战?
开放银行目前仍面临诸多后勤、商业及市场推广层面的阻碍,具体包括:
API 质量参差不齐与遗留系统:部分银行仍在使用老旧的核心系统,难以提供稳定、高速且可靠的 API 服务。
银行间激励机制存在分歧:银行需要承担开放银行 API 的开发与维护成本,但相关收益却多体现在银行体系外的金融科技产品或面向客户的第三方应用上。若缺乏明确的商业回报,部分金融机构会将开放银行相关工作视为合规任务,而非值得重点投入的业务领域。
治理与监管体系分散:开放银行监管及合规监督的职责分散在多家监管机构与行业组织之间,这可能导致决策效率低下,同时在长期规划方面存在漏洞。
消费者认知度与信任度不足:许多人在使用开放银行应用时并不知情,而对数据隐私、授权和金融安全的担忧影响了采用速度。
欺诈与社会工程学攻击风险:诈骗分子的目标往往并非系统本身,而是针对用户实施诱导,通过操控用户授权来达成欺诈交易的目的。
大型银行之外的标准不统一问题:英国大不列颠及北爱尔兰地区的九家大型银行与建房互助会(又称 CMA9)采用统一的技术标准,但小型金融机构有时会采用略有差异的实施方案,这为开发人员增加了工作复杂度。此类标准碎片化问题,可能导致第三方服务提供商难以实现全市场覆盖。
生态系统成熟度与变现压力:部分企业难以依托基础的数据调取服务建立可持续的收入模式。这就催生了对更高级服务的需求,例如数据分析、还款能力评估及集成支付等功能。
企业应如何选择合适的开放银行 API 解决方案?
目标是挑选一家能够处理合规与技术层面事务,同时为客户提供便捷、可靠服务体验的供应商。
以下是需要关注的要点:
安全性与合规资质:仅与获得 FCA 授权、且列入开放银行名录的供应商合作,因为银行不会接受名录外机构的系统关联请求。此举可确保企业在受监管的生态系统内开展业务,并享有相应的保障与监督机制。
覆盖范围与功能:核实供应商是否支持账户信息服务 (AIS)、支付发起服务 (PIS) 或两者兼具,同时确认其是否覆盖您客户所使用的全部银行及账户类型。关注交易分类、收入核验工具等增值功能,以及对可变经常性付款等新兴功能的支持情况。
集成体验:完善的文档、规范的 API 及沙盒测试环境,能够加快开发进程并减少后期维护问题。在工具研发方面投入充足的供应商,通常能为企业提供更顺畅的投产流程,且在规模化扩张时不易出现突发问题。
用户流程与转化效率:从客户视角评估授权及身份验证流程,流程的清晰简洁程度会直接影响业务完成率。提供优化完善、适配移动端操作流程的供应商,往往能实现更高的关联成功率与支付成功率。
性能与可靠性:正常运行时间、响应速度及差错处理机制至关重要,尤其当您的产品依赖实时数据或实时支付功能时。可关注供应商是否提供透明的性能报告,或寻求与您的业务规模及需求相近的企业的参考反馈。
扩张性与定价:确认供应商能够应对用户规模及数据调用量的增长,且其定价结构与您的业务模式相契合。可预测的按用量定价有助于更便捷地开展长期规划。
与现有系统兼容:若您已部署支持开放银行功能的平台,借助此类系统集成可精简自身技术堆栈。
Stripe Financial Connections 如何提供帮助
Stripe Financial Connections 是一套 API,允许您安全地关联客户的银行账户并获取他们的财务数据,从而构建创新的金融产品和服务。
Financial Connections 可以帮助您:
简化入驻流程:提供无缝即时银行账户验证,无需人工核验身份与账户信息。
访问丰富的财务数据:获取客户银行账户的完整信息,包括余额、交易记录及账户详情。
自动化经常性付款流程:支持客户安全绑定银行账户实现经常性付款,提升支付成功率。
加强风险管理:分析客户财务数据,为信贷、借贷及其他金融产品决策提供依据。
遵守法规:Financial Connections 可帮助您满足客户身份验证 (KYC) 和反洗钱 (AML) 要求。
安心创新:基于安全可靠的 Financial Connections 基础设施开发新型金融产品与服务。
本文中的内容仅供一般信息和教育目的,不应被解释为法律或税务建议。Stripe 不保证或担保文章中信息的准确性、完整性、充分性或时效性。您应该寻求在您的司法管辖区获得执业许可的合格律师或会计师的建议,以就您的特定情况提供建议。