本报记者王柯瑾北京报道

    人工智能、区块链、云计算、大数据等金融科技，为商业银行服务创新、更好了解客户需求提供了良好条件，站在技术的风口上，商业银行的开放银行建设进入新阶段。

    同时，值得注意的是，业务开放给银行及其用户带来更多效益和便利的同时，背后的银行应用程序接口（API）安全及数据安全问题也日益凸显。

    针对上述问题，商业银行不断探索破解应对。近日，《中国经营报》记者了解到，中国信息通信研究院发布了API安全系列最新评估结果，兴业银行开放银行平台通过API安全管理成熟度评估与API安全能力成熟度评估，这标志着该行成为国内首家获得该类评估先进级（最高级）认证的银行，开放银行平台建设取得新成效。

    开放银行取得新成绩

    今年以来，商业银行的开放银行建设稳步推进，上市银行中报有多家银行披露开放银行发展的最新数据和趋势。

    例如，平安银行中报披露，该行打造零售转型新模式，进阶“智能化银行3.0”。新模式包含开放银行、AI银行、远程银行、线下银行和综合化银行五个要素，要素之间相互衔接、融合，构成有机整体。

    平安银行将开放银行视为零售业务发展的流量池，通过“走出去”及“引进来”相结合与场景方平台合作，实现“共同经营、共建生态、共助实体”，让金融服务变得“无处不在、无所不能、无微不至”。截至2023年上半年，该行开放银行实现个人业务互联网获客102万户。不仅是零售业务，开放银行服务企业客户也呈现快速增长。截至2023年上半年，该行开放银行服务企业客户67898户，较上年年末增长33.2%。

    今年上半年，工商银行开放银行深化与外部生态平台合作，打造数字供应链服务平台，覆盖医药、建筑等近30个行业，合作方数量超4.6万户，交易金额超150万亿元，均保持同业领先。

    交通银行亦在中报中披露，今年上半年，该行面向政务、医疗、交通、教育等民生场景延展金融服务，积极推动平台经济、跨境、司法、养老、住房、乡村振兴场景下的企业数字化转型。截至今年6月末，该行累计开放接口3868个，累计调用次数超25亿次；通过开放银行获取零售新客户54.72万户，同比增长79.52%；通过开放银行线上链金融服务发放融资金额797.32亿元。

    如何理解开放银行？ 招联金融首席研究员、复旦大学金融研究院兼职研究员董希淼分析认为：首先，开放银行是一项技术，是一种通过使用API或软件工具包（SDK），向消费者直接接入金融机构的数据网络系统；其次，开放银行是一个平台，是银行以API、SDK、H5等为手段，通过整合生态、搭建平台，从而提供更聚焦、更敏捷、更智能、更开放的客户体验的平台合作模式；再次，开放银行更是一种理念，它意味着“银行是一种服务，而不是一种场所”，以及“用户在哪里，银行的服务就在哪里”。由此，开放银行意味着一种全新的银行业态，它促使银行服务随时随地、无处不在，全面回归以用户为核心。

    自2018年我国多家大型银行及股份制银行纷纷推出开放银行以来，开放银行建设发展迅速。

    中国银行研究院博士后马天娇在接受本报记者采访时表示：“目前，商业银行对开放银行的建设速度有所加快，包括工行、建行、中行、邮储、招行、浦发、平安在内的各大银行纷纷布局开放银行，但该领域仍处于早期发展阶段。开放银行深化与外部生态平台合作，打造数字供应链服务平台，覆盖医药、建筑、教育、交通等行业场景，为客户提供账户管理、跨境金融、融资信贷、投资理财等多条线服务，实现信息流、资金流、物流的全面连接与场景的共同经营。在技术方面，各大银行搭建门户网站，提供高可用、弹性扩容的技术框架，增加开放服务的弹性伸缩和动态扩容能力，支持高并发业务场景。”

    如何兼顾“开放”与“安全”？

    开放银行的核心在于金融数据的开放共享。开放的同时，API安全及数据安全问题也备受关注。

    “数据规范及管理将直接影响开放银行的安全性及稳定性。”董希淼表示，“银行客户数据可以让更多金融机构深入挖掘客户信息、拓展业务边界，但同时保障客户信息安全也是各金融机构的责任与义务。一方面，数据访问主体增多会加大数据安全风险。开放银行通过API等技术将多个数据共享主体连接，一旦任一关联方的连接处安全性薄弱或授权设置不正确，就可能会增加整个系统数据泄漏的风险，客户信息被非法获得。另一方面，互联网渠道本身存在数据安全风险。开放银行接口属于外部服务，存在访问漏洞等安全风险，一旦该漏洞被发现并恶意利用，将导致服务器入侵等不利后果。”

    实际上，提升安全性一直是商业银行开放银行发展努力的重点。

    近日，由中国信息通信研究院和中国通信标准化协会联合主办的“2023SecGo云和软件安全大会”在北京召开。会上，中国信息通信研究院发布了API安全系列最新评估结果，兴业银行开放银行平台通过API安全管理成熟度评估与API安全能力成熟度评估，兴业银行也成为国内首家获得该类评估先进级（最高级）认证的银行。

    兴业银行方面表示：“API安全管理成熟度评估从开发、测试、发布、运维、迭代、下线等六方面对API产品安全管理能力进行检测。API安全能力成熟度评估从资产管理、安全监测、安全防护、API审计等四方面对API安全运维能力进行检测。通过这两项评估标志着兴业银行开放银行平台已经具备行业领先的安全能力。”

    据了解，兴业银行是国家金融行业标准《商业银行应用程序接口安全管理规范》（JR/T0185-2020）的编制单位之一，也是首批通过人民银行金融科技产品认证（商业银行应用程序接口）的商业银行。近年来，该行全面加快数字化转型，积极构建连接一切的能力，在开放银行建设领域不断取得新成效。

    “作为金融服务与生态场景融合的桥梁，我行开放银行平台依托‘积木式’快速场景金融方案搭建能力，打破行业壁垒，为合作伙伴提供‘金融+科技’服务，构建全新的场景金融生态。平台上线以来，我行‘开放’与‘安全’并重，在打造开放场景的同时，落实开放银行API全生命周期安全管理，不断提升安全防护能力，为平台入驻企业提供安全便捷的生态赋能服务。截至2023年7月末，我行累计建设超过2000个API，覆盖教育、医疗、住建、供应链、普惠金融、生活服务等各类生态场景，接入生态合作伙伴超过7000个。”兴业银行相关负责人表示。

    在马天娇看来，商业银行开放银行兼顾开放和安全十分必要且并不容易。“强化技术应用能力是平衡开放与安全的关键。商业银行应夯实开放银行建设技术基础，借助海量信息优化风控模型，提高风险管理能力；强化与企业连接的场景搭建能力，基于开放平台提升数据共享的能力，提高信息基础设施的弹性运营能力。”

    除此之外，开放银行建设仍存在一些难点和挑战。马天娇分析认为：“一方面是技术难题，现有IT架构和技术能力无法支撑开放银行快速推进。商业银行应积极升级风控模式，加速数据共享，对接企业数字化系统，将银行金融服务快速嵌入企业的应用程序中，为行业用户提供更精准、更高效、更便捷的金融服务。另一方面是开放银行与产业连通的内部机制有待进一步优化。银行应深入挖掘企业业务场景背后的潜在金融服务需求，通过开放银行对接企业各类场景中的业务流程节点，为企业提供更有针对性的金融服务。商业银行的开放数据与银行服务，叠加企业的运营经验，共同构建行业生态，打通开放银行助力实体经济发展的通道。”

    此外，董希淼认为，当前，我国开放银行仍在发展初期，需要市场的包容，更需要一套完整的法律体系作为支撑。“一方面，与普惠金融相类似，开放银行作为降低金融行业壁垒、减少金融机构必要成本的一项重要举措，需要市场秉持包容的态度，发挥市场驱动效用，同时各金融机构也应及时把握市场运行规律，适应市场发展趋势，并适当结合监管政策，积极推动开放银行发展进程。另一方面，法律是一切新兴事物平稳发展的基础，健全的法律体系对于保障开放银行行稳致远是十分必要的。国家应尽快出台开放银行相关政策指引及纲领性文件，明确监管主体，制定开放银行推进规划，协调和保障银行与第三方机构间的利益关系，形成开放银行各参与方协同推进、利益共赢新格局。”