央行发布首份开放银行技术规范标准

　　疫情期间，无接触式金融服务成为各家金融机构发力重点。一时间不少中小银行纷纷寻求开放银行业务合作。近期，央行发布了《商业银行应用程序接口安全管理规范》(下简称《管理规范》)，对于商业银行与场景应用方合作，应用程序接口设计、集成运行、运维监测及系统下线等全生命周期过程提出安全技术与安全管理要求。据记者了解，这是监管发布的首份关于开放银行的规范，“虽然只是技术规范，但是对行业影响深远。”有业内人士对记者表示，这意味着监管对开放银行模式的认可，中国的开放银行技术和安全也有了规范和标准可循。

　　开放银行风险管理链条更长

　　其实，开放银行是指一种平台化商业模式，即通过与商业生态系统共享数据、算法、交易、流程和其他业务功能为商业生态系统的客户、员工、第三方开发者、金融科技公司、供应商和其他合作伙伴提供服务。简单理解为银行金融服务“出走”物理网点，嵌入到我们日常线上场景中。在实际业务运作中，开放银行通过API(应用程序编程接口)开放自身数据接口开放自身的数据端口，吸引外部合作机构加入其中，聚合各消费场景，为消费者提供金融服务；或是以SDK(软件开发工具包)方式嵌入到各类场景中，如微粒贷则是嵌入微信APP。

　　目前开放银行主力军有互联网银行，如微众银行、网商银行、新网银行等；有股份制银行，如浦发银行等；还有银行系金融科技子公司，如兴业数金、金融壹账通等。但一直以来，开放银行的全面发展需要充分运用API、SDK等技术，也需要和大量的第三方合作机构进行技术、数据和业务层面的合作，这样使得业务风险敞口更多，也拉长了整个风险管理的链条使得银行面临更多风险，如数据泄露、网络安全、合作方欺诈等。

　　对于上述API、SDK两种接口类型，《管理规范》中也指出了具体加码的安全措施，如SDK要针对个人金融信息安全进行保护，如密码数据安全加固等功能。

　　合作方要准入审核

　　对于不同接口的安全级别也做了不同规定。如涉及动账类金融交易、客户金融信息等敏感信息，《管理规范》规定了最好通过SDK方式接入，不建议采用API接口方式。如果使用API则需要更加严格的规范，需要制定更高等级的安全保障。“API是把开放银行数据接口给第三方合作机构，潜在风险更大，而SDK则是将银行的工具包嵌入到不同场景中，因此潜在风险相对较小。”有业内人士对记者表示。

　　对于商业银行合作的应用方，如场景等第三方合作伙伴的规范，《管理规范》中也规定了准入审核标准，要从服务客群、服务场景、市场份额、运营能力、风控能力等全方位考察。还规定了不能通过开放应用程序接口的方式变相开展跨境机构清算业务。

　　事实上，国外开放银行大多是由政府推动，各家商业银行都是在政府有标准、有约束的前提下有序对外开放。然而目前中国开放银行是由市场驱动，更应该建立完善的相关标准和机制，有业内预计未来监管有望下发更多关于开放银行的细则和规范。