2020年2月13日，中國人民銀行發布《商業銀行應用程序接口安全管理規范》（JR/T 0185—2020）（下稱“標準”）金融行業標準。標準規定了商業銀行應用程序接口的類型與安全級別、安全設計、安全部署、安全集成、安全運維、服務終止與系統下線、安全管理等安全技術與安全保障要求。

近幾年來，開放銀行成為銀行業頗受關注的一大熱點，而在開放銀行的討論中，由于缺乏統一的管理標準，安全問題一直備受爭議，標準的發布，從應用程序接口安全管理的角度，為開放銀行健康發展提供了一定的支持。

標準對于應用程序接口的界定是怎樣的呢？

商業銀行應用程序接口服務是一種依托API技術實現內部與外部互聯的金融服務模式。商業銀行通過為合作伙伴提供用以互聯的應用程序接口，輸出自身金融服務能力與信息技術能力，為增加金融生態粘性提供有益補充。

標準稱，商業銀行使用的API類型可分為內部API、企業定制API與外部API三種類型。

內部API指銀行內部系統間的API，促進了業務系統間的信息互通，僅供銀行內部使用。

企業定制API指銀行與特定合作伙伴之間定制集成，目標是支持特定的業務流程或產品的API，甚至使用專用網絡進行通信。

外部API指銀行廣泛地向應用方提供標準接口，供外部合作伙伴使用的API。外部機構可以通過互聯網渠道，調用外部API，獲取商業銀行提供的各類服務。

標準所述應用程序接口為外部API。

商業銀行應用程序接口服務的3個參與方

標準指出，商業銀行應用程序接口服務的參與方有用戶、應用方及商業銀行，并界定了各方在商業銀行應用程序接口服務中扮演怎樣的角色，應承擔怎樣的責任。

用戶發起商業銀行應用程序接口應用請求，并接收應用方和商業銀行返回的處理結果。

應用方負責接收并處理用戶請求，通過應用程序接口向商業銀行提交相關請求、接收返還結果，依照流程進行服務請求處理或反饋用戶。

商業銀行通過API直接連接或用SDK間接連接的方式向應用方和用戶提供應用程序接口服務，實現商業銀行服務的對外輸出。

商業銀行構建商業銀行應用程序接口、應用程序接口服務層和銀行業務系統以提供商業銀行應用程序接口服務。商業銀行應用程序接口服務層將應用方請求轉發至銀行業務系統處理，并將處理結果反饋應用方或用戶，包含認證鑒權、流量控制、監控分析、報文交換、服務組合等功能，不涉及具體業務邏輯處理，實現對商業銀行應用程序接口和應用方的管理。

標準對商業銀行應用程序接口服務的接口設計、應用部署、安全集成、運維監測及系統下線等全生命周期過程提出安全技術與安全管理要求，對各個過程均提出了安全要求。

在標準提及的3個參與方中，商業銀行作為服務提供者，應用方作為第三方，兩者共同為用戶服務。那么，在全生命周期的各個階段，標準對于商業銀行及應用方的安全要求分別是怎樣的？

標準對商業銀行的安全要求

移動支付網整理了標準中與商業銀行相關的條款，可以看出，標準對商業銀行的要求貫穿接口的整個生命周期，涵蓋接口設計、應用方接入、接口調用時的監測、系統（接口）下線各個相關場景。

標準按照服務類型將商業銀行應用程序接口安全級別分為兩級，安全保護要求從A2至A1遞減：

A2:資金交易與賬戶信息查詢應用類，此類金融產品和服務與用戶個體直接關聯，實施高等級安全保護強度，此類商業銀行應用程序接口包括但不限于：

?商業銀行通過SDK，提供資金交易類服務，如支付、轉賬以及金融產品與服務購買等；

?商業銀行通過SDK，提供用戶賬戶信息查詢類服務，如賬戶余額、交易歷史、賬戶限額、付款時間、金融產品和服務持有情況等；

?對于上述服務，若確需使用API直接連接方式進行服務調用，商業銀行應對接入風險評估，并制定專門的接口和應用方進行對接，實施高等級的安全保護強度要求。

A1：金融產品和服務信息查詢應用類，此類金融產品和服務與用戶個體并無直接關聯，實施通用的安全保護強度，此類商業銀行應用程序接口包括但不限于：商業銀行提供銀行金融產品和服務的詳細信息的“只讀”查詢服務。

標準對應用方的安全要求

與標準對商業銀行的要求相比，標準對應用方的要求涉及的生命周期階段相對較少，主要集中在接口調用時的安全問題和風險監測上，應用方一方面需要對用戶負責，做好安全運維工作，另一方面，商業銀行具有限制調用時長等接口調控能力，應用方調用接口行為的合規性就尤為重要。

頗值得一提的是，標準提出，應用程序接口采用統一格式的識別碼，并在相關平臺進行注冊和登記，“實名制”應用程序接口已經在路上。

可以想見，對應用程序接口的安全規范只是第一步，開放銀行的監管探索仍是進行時，需要行業各方共同關注。

責任編輯：Rachel