11月30日，由中國金融認證中心（CFCA）、數字金融聯合宣傳年聯合百余家銀行主辦的“數字化轉型前瞻 第十九屆（2023）數字金融聯合宣傳年年度活動”在京舉辦。本次活動設置“前瞻·數字新趨勢”與“前瞻·轉型新路徑”兩大板塊，與會嘉賓圍繞相關熱點話題進行分享?！?023中國數字金融調查報告》發布、“2023數字金融金榜獎”頒獎，以及“2023信創‘大比武’金融場景適配驗證賽道”專項獎表彰等重磅環節也在本次活動中精彩呈現。

交通銀行網絡金融部高級專家 陳利強

交通銀行網絡金融部高級專家陳利強出席活動并帶來《統籌發展與安全，構建開放銀行數字新生態》精彩分享。

陳利強首先分享了開放銀行的發展背景和相關概念。他指出，從Bank1.0到Bank3.0，銀行服務以自有渠道為“界”，渠道的演變催生新的銀行服務模式，到Bank4.0時代，金融服務與銀行的線上線下自有渠道在一定程度上“解耦”，為客戶提供完全基于場景的金融服務能力。

開放銀行是一種以API、金融生態云、銀企直聯等對接模式與合作機構系統互聯，通過對內引入與對外輸出，開放雙方的產品服務、技術能力和渠道，共建生態場景，服務雙邊客戶，實現合作共贏的模式。相比于銀行自有渠道的經營模式，開放銀行主要還有三個方面的特點：一是從服務銀行私域流量客群，到通過合作機構場景服務公域流量客群；二是從全品類標準化銀行金融產品，到結合場景特性，通過標準化接口，組裝個性化、定制化、綜合化服務；三是從為客戶提供線上金融服務，到無感、無縫為客戶提供場景+金融的服務閉環。

隨后，陳利強介紹了交通銀行開放銀行的基本情況。交通銀行自2020年系統性的啟動開放銀行建設以來，圍繞數字化轉型戰略指引，不斷創新融合大數據、人工智能等前沿技術手段，以技術領先、合作廣泛、發展穩健、創新活躍、特色鮮明的開放銀行為目標持續推進。

開放銀行是交行對外服務的“毛細血管”，可以有效降低金融服務“門檻”，增加各業務條線產品服務的客戶觸點，將銀行金融服務與場景有機融合，從而融入實體經濟全鏈條，融入數字經濟、數字生活、數字民生方方面面，充分踐行金融工作的政治性、人民性。陳利強認為，開放銀行通過“毛細血管”與“主動脈”構建了一個循環體系。一方面，利用“毛細血管”延伸金融服務觸點，另一方面依托“毛細血管”將復雜的客戶服務最終回流到“主動脈”之中，進一步提升和促進場景+金融服務的大循環。

目前，交行在產品層面累計開放接口超四千個，開放產品服務七大類、超四百項；在生態建設層面圍繞醫療、交通、教育、政務四大民生場景，以及平臺經濟、跨境、司法、住房、養老、鄉村振興等特色領域開展合作，服務合作機構超千家；在服務終端層面整合形成綜合場景解決方案，服務個人客戶超兩百萬，產業鏈核心、上下游企業超四萬。

在分享到開放銀行發展過程中面臨的新型風險時，陳利強從開放銀行面臨的業務風險和技術風險進行了深入的解析。

業務風險主要有四點。一是業務合規風險，主要包括運營風險和產品管理風險。運營管理風險包括第三方機構風險，比如營銷、交易欺詐等或存續期管理不到位等風險；產品管理風險會遇到比如信貸、理財等產品在互聯網平臺展業的監管新規導致的合規性風險。二是數據合規風險，包括數據收集合規風險、數據使用合規風險、數據傳輸合規風險、數據存儲合規風險。開放銀行連接了諸多主體，風險點增多，任何一方數據保護存在薄弱環節，都有可能危及數據安全。三是商譽風險，開放銀行合作模式容易將第三方的經營、信用風險傳導至銀行端，比如合作機構退出甚至倒閉帶來的輿情，以及消費者投訴帶來的聲譽風險。四是衍生風險，開放銀行綜合化的服務模式將業務鏈條拉長，以及通過第三方平臺提供業務，可能存在借產品創新之名迂回逃避監管的問題，如不恰當使用銀行數據和產品，可能存在借銀行渠道實現非法目的，導致洗錢、資金空轉套利等風險。

談及技術風險時，陳利強強調，“技術風險是開放銀行面臨的非常艱巨的防范任務，主要呈現三方面特征，如攻擊手段多樣化，攻擊途徑隱蔽化和攻擊場景自動化。一是多樣化，指一種攻擊往往效果不好，舉個例子，他打不過你，先把你絆倒再打你，組合法殺傷力還是很大的；二是隱蔽化，有些攻擊往往我們看不到，等到發現的時候已經出現了一些真正的風險；三是攻擊場景自動化，各種工具越來越多，用好了是服務大家，用不好就會用這些新技術做一些新的嘗試，比如對接口漏洞自動掃描、自動調整參數攻擊，這也是防不勝防的?！?/p>

最后，陳利強分享了交通銀行開放銀行如何統籌安全與發展的相關經驗。

在頂層設計上。交通銀行發揮網絡金融條線渠道整合優勢，聯合行內公司、零售、同業等業務部門建立了交通銀行開放銀行建設的統一藍圖，在總行層面發布了開放銀行三年規劃，明確了各類重點任務和保障措施。在制度體系層面，主要以管理辦法、業務指引、場景綜合服務方案為核心，構建了一個新型管理模式和業務體系。在組織保障層面，重點以公私聯動、業技融合作為核心，開放銀行最大的好處是把G-B-C-F端有機地進行了整合。在風險管理層面，最核心的是合作機構的準入，當然還有審核機制也是一個重要的屏障，最終目標要實現可監控、可阻斷、可溯源三位一體的預防體系。在業務管理層面，充分復用行內數字化轉型的成果，例如企業級架構、風控中臺等數字化轉型成果，發揮統籌協調作用，最終做到風險防范。

在平臺建設上。交通銀行以業務安全發展為導向，打造完善的開放銀行平臺底座，一是開放銀行門戶網站，有場景和解決方案、成功案例的展示；二是合作機構管理平臺，對合作機構進行全生命周期的管理，比如機構入駐、產品開通以及最終上線審批、存續期管理等都在這個平臺上完成；三是開放銀行治理平臺，重點治理API接口/H5頁面，通過治理最終形成開放銀行產品的全生命周期管理；四是開放銀行處理平臺，實現了開放銀行交易可監控、可阻斷、可溯源的交易管理和網絡監控防范體系；五是運維監控一體化平臺，主要是建立業技一體7×24小時的監控，對API資產的監控、對合作機構交易的監控等必不可少。

在產品體系上。交通銀行構建了三級產品體系，分為七大類服務能力，主要圍繞生產經營、民生消費、政務服務、同業場景等方面，充分挖掘行內平臺產品服務“寶庫”，最終把行內的能力向外輸出，不斷升級產品的配置化、服務化和組件化。

在技術治理和安全實踐上。陳利強闡釋了API設計原則、API動態伸縮性、API多樣對接能力、API監控報告、API全生命周期治理等全方位的技術治理規范。同時也分享了安全防護的實踐經驗，比如在網絡安全防護方面，加強代碼掃描，搭建WAF防火墻進行主動防御。采用多級nginx代理架構，實現流量分發和管理；在通訊安全方面，采用tls1.2協議鏈路加密并禁用tls1.2中的弱算法從而加固信息鏈路安全；在身份認證應用安全方面，支持公私鑰、數字證書、硬件key、加密機等認證模式；在數據安全方面，支持多種數據算法，合作方選擇RSA或SM2任一算法均可完成簽名/驗簽處理。

在最后的分享寄語中，陳利強提出，交通銀行希望以構建技術領先、合作廣泛、發展穩健、創新活躍、特色鮮明的智慧化開放銀行為契機，創新銀行對外合作模式，打造G-B-C-F端多元聯動的場景生態，統籌安全與發展，營造開放銀行數字新生態，共建服務實體經濟新模式。

責任編輯：韓希宇