当前，开放银行已经成为金融科技领域的热点话题，并在全球呈现快速发展态势，国内外众多商业银行纷纷布局开放银行或将开放银行作为战略推进。

F5作为全球银行业紧密合作伙伴，密切关注国内外开放银行的发展进程与趋势。F5委托金科创新社邀请广州银行魏生博士针对开放银行的现状、面临的问题和挑战；开放银行面临的风险及应对；开放银行的实践经验及发展趋势等话题撰写《开放银行：银行数字化转型的未来之路》白皮书。本刊摘取“开放银行的潜在风险和应对”章节，阅读二万字长文请点击文末阅读原文或是扫码查看。

魏生博士：开放银行的潜在风险和应对

银行业作为经营风险的行业，无论业务形态如何改变，经营风险的本质都不会改变。开放银行是银行业发展的一种新业态，也仍然需要遵循相关风险与安全原则。

01

开放银行的潜在风险

开放银行涉及的风险，主要包括三个方面：一是目前监管层尚未出台开放银行的有关监管规则。目前，业内对数据的开放范围、数据的安全性、客户信息的保密性、数据传输的安全性以及开放接口的标准化等还没有相关规范，对于如何开放、开放什么等均没有标准的定义。特别是客户隐私及数据安全的保障问题、黑客攻击带来的网络安全问题以及政策和监管不明确导致的数据采集的合规性风险等是业界比较关注的。

在数据安全方面，API连接服务提供者、场景建设者、交易发起者等众多主体，导致数据泄露的风险点增多，任何一方数据保护存在薄弱环节，都有可能危及数据的安全。一旦开放API存在设计缺陷或是权限设置不当，恶意攻击者就可以非法获取客户的数据，应用方就可能违规使用信息。

在网络攻击方面，API接口具有共享属性，通过API连接银行端和外部应用端，延伸了银行的网络，风险传导的路径加长，更容易遭到攻击。

在业务风险方面，事前，如果缺少健全的授权机制，资质不佳的外部合作环境和方式，有可能混水摸鱼，非法盗用银行的服务和银行的数据，增加风险；事中，外部合作方可能超范围使用银行提供的接口，将日常的缴费接口用于理财，或将接口二次打包给未经授权的调用方使用，带来新的安全挑战；事后，如果没有完备的风控体系、纠纷投诉等机制，一旦发生跨机构跨行业的纠纷，可能出现权责不清的情况，进而损害消费者利益。

二是互联网“开疆拓土”与银行“稳健经营”的基因始终存在本质差异。金融是强调风险管控的，非金融是强调客户体验的，需要寻找体验与安全之间的平衡点。银行应当专注主业、理清边界，在金融场景生态建设中必须确保相关创新业务符合监管要求，严格界定各参与方的职责边界、强化风险研判和管控，严格风险隔离、有效控制风险传染。这种金融与非金融的冲突，还体现为金融消费者权益保护的审慎性与非金融服务的便利性。如果完全依据金融消费者权益保护标准去运营整个场景，在涉及非金融业务时服务效果就会大打折扣。

三是金融业务同质化。开放银行后，银行的个性化特色、品牌优势等均面临挑战，特别是对中小银行而言，面临开放银行后，护城河在哪里？特色化服务如何体现？品牌知名度如何打造？核心优势如何凸显等诸多问题。

02

开放银行技术风险应对

2020年2月13日，中国人民银行发布了《商业银行应用程序接口安全管理规范》（JR/T0185—2020）。该文件是监管部门发布的首份开放银行监管政策和行业标准，在满足平衡服务快速响应与金融信息保护的基础上，对银行应用程序的接口设计、应用部署、集成运行、运维监测及系统下线等全生命周期过程提出安全技术与安全管理要求。

对照该文件，可以通过自查方式进行问题排查，从而制定机制和技术应对措施。

01

Num

一是建立应用方技术准入及退出机制、标准，制定管理流程，明确业务方和技术方职责，在业务洽谈前期进行严格的背调、法律合规评审、合同评审、合作商资质及规模审核，对接企业信息查询平台和黑名单系统进行自动审查，对应用方进行身份有效性、完整性、真实性审核及反洗钱黑名单检查，同步进行技术准入评估，降低项目实施风险。

02

二是加强开放API服务治理工作，参考安全规范要求，更新服务治理规范，统一应用接口的识别码编码规则，开发过程中严格执行服务治理规范。

03

三是对业务交易风险控制进行需求分析，由开放API平台提供数据，行内反洗钱、反欺诈以及交易监控等相关系统进行完善，最终实现对开放API平台交易场景范围的全覆盖。

04

四是提升软件安全检查机制。强化服务安全设计，整改排查问题，加强接口权限控制和密钥管理，完善服务下线流程等；除已有的安全漏洞舆情监测手段外，持续补充完善监测方法，如增加安全舆情监测合作机构、定期获取开源软件网站信息等；建立安全漏洞修复机制，明确漏洞修复的方案制定、时间、验证等要求。

05

五是持续提升开放API平台的运维监控能力，实时监控服务器运行状态、接口服务状态；梳理服务日志的格式内容，并制定日志保留策略，满足监控和管理要求；配置不同的故障隔离策略参数，实现API级别的参数控制，解决不同API对于故障隔离异常场景的需求；完善监测异常告警机制，专人跟踪处理，事件统一上报，及时处理异常事件。

06

六是，强化监管科技研究与应用，利用人工智能、大数据、区块链等信息技术，建立数字化的监管规则库、监管知识图谱和智能化的数字监管平台，探索新型数字化监管范式，识别开放银行的边界，解构业务数据的纠缠，落实各项监管要求。