开放银行案例分析，开放银行数据保护与合规实践

金融科技是技术驱动的金融创新，目的在于运用新一代信息技术创新金融产品、业务流程甚至商业模式，赋能金融行业更好地服务实体经济。近年来，随着人工智能、区块链、云计算、大数据等信息技术在金融行业应用的深化，我国金融科技迅速发展，给以银行业为主体的金融行业带来了挑战，也提供了新的发展机遇。一方面，金融科技发展加剧了银行业的竞争，打破了传统银行的垄断地位;另一方面，金融科技赋能也为银行业转型升级提供了技术支撑和创新动力。为应对挑战和把握机遇，商业银行在金融科技背景下开始探索一种称为“开放银行”(Open Banking) 的新型银行业务模式，并逐渐引起业界的广泛关注。

目前，开放银行尚未形成统一的定义，比较有说服力的是知名咨询及分析机构Gartner的观点，即认为开放银行本质上是一种平台化商业模式，银行通过与商业生态系统参与者共享数据、算法、交易和流程，为生态系统的各类用户提供服务，创造新的价值。另外，陆岷峰和张欢(2018)认为，随着金融科技的高速发展，倒逼和赋能金融服务模式创新，推动了商业银行向开放银行转型，实现金融与场景的融合，打造自助化、场景化、线上线下一体化的新型金融架构。同时，开放银行也推动了互联网金融向金融科技转型升级，拓宽了金融科技的发展空间。

吴朝平(2020)进一步指出API开放银行是金融科技背景下商业银行转型升级的重要方向，有助于银行通过生态圈场景建设和平台迭代升级实现数字化转型。而商业银行与外部生态的利益博弈是制约API开放银行发展的重要因素。

开放银行系统架构图

开放银行形态主要有三种，即银行即服务、开放账户信息、共享收益平台。银行即服务也就是实现银行最基础产品和服务的开放，是目前开放银行的主流。开放账户信息即在银行即服务的基础上实现合作伙伴之间的客户信息的共享。共享收益平台的开放程度最高，即商业银行和合作伙伴实现产品、服务、客户三者的共享，最终形成一体化的泛银行生态系统，通过网络效应实现银行与合作伙伴的共赢。

开放银行实现途径多样化

2、开放银行模式

当前，开放银行主要有3大经营模式，分别是业务驱动的生态圈模式、金融科技创新模式、金融业务服务平台化模式。

(1)业务驱动的生态圈模式指以客户为中心，通过开放API将金融服务融合到客户的生活场景当中去，如衣食住行等生活场景。通过服务，以此来获得更多客户，提升客户的粘性，增加和客户在生活当中的联系，积累数据资产，解决“金融脱媒”等问题。

(2)金融科技创新模式指通过开放API和创新科技公司进行合作，以此来提升银行技术的创新能力和效率。通过人工智能、物联网等新兴技术，降低银行的运营成本，增加数据积累，提升客户的体验度，借助科技的力量解决客户的痛点。

(3)金融业务服务平台化模式指银行通过API、微服务等技术对内部系统进行重铸，打造出最新的服务和数据开放平台，对内对外提升协同效率。

3、开放银行案例

国外典型案例

数字化银行Monzo：利用活期账户吸引客户并定制产品，打造含其他金融产品的市场，客户在使用其活期账户的同时，还能够获得其他机构提供的6大类型产品和服务，包括P2P投资、境外支付、ISA投资、抵押贷款和账单拆分等。

某英国领先银行：与专业孵化器合作，围绕对公数字化银行业务建立创新的科技生态，开放出一系列金融服务能力，包括发票处理、财务情况、支付、数字化账户、专家支持、账户管理等等。

某澳大利亚领先银行：借鉴互联网公司的经验，该行在整个组织内部设立了29个创新平台，授权其采取分布式治理模式。这些平台横跨零售、对公、机构三大业务条线，覆盖业务、客群、职能支持以及IT技术等各个方面。

国内典型案例

早在“开放银行”概念正式提出前，拥有场景的互联网巨头和银行业先驱者就已将金融产品嵌入生态，一站式服务客户的所有需求。

某大型商业银行将开放银行作为数字化转型的重要抓手，通过开放API技术与生态圈各方快速对接，输出数据和能力。目前其合作伙伴达到70多家，共同为客户提供高品质、多方位的服务体验。

一些大型商业银行近年来通过对IT系统进行改造，实施微服务架构和API化，促进内部数字化产品创新和端到端流程优化.

部分银行在开放银行建设方面取得一定成就

建设银行：基于建行云搭建开放银行服务平台，通过标准、高效的方式，把本行的金融服务、数据服务嵌入第三方，将银行业务扩展到社会生活场景的方方面面。

浦发银行：API Bank无界开放银行，业内首个API Bank无界开放银行，通过API架构驱动，将场景金融融入互联网生态，突破传统物理网点、手机APP的局限，开放产品和服务，嵌入到各个合作伙伴的平台上，围绕客户需求和体验，形成即想即用的跨界服务，塑造全新银行业务模式。

兴业银行：在开放银行方面，重点支持总分行对接外部生态，持续优化“好兴动”APP，上线集团网络门户“多元金融”，推动“兴车融”、“兴油卡”、“电融通”等特色产品快速落地，为“交易型、结算型”银行能力建设赋能。

平安银行：于19年创新推出开放银行平台，利用开放API 技术打造共享型平台合作模式，以用户需求为导向，以场景服务为载体，以整合生态、搭建平台为目标，以API/SDK为手段，使银行服务更聚焦、更敏捷、更智能、更开放;并逐步结合银企直连、B2Bi(Business to BusinessIntegration)等传统接入方式，为客户提供最佳开放银行体验。

上海银行：深化科技赋能金融，以加快推进数字创新为引领打造Open penAPI开放

数字化金融平台，实现开放银行核心内容建设，为产品持续创新、业场景服务客户深度经营提供动力塑造。

近日，中国银联技术管理委员会发布《开放银行数据保护与合规实践案例报告》，报告指出开放银行的主旨和核心在于数据和服务的开放共享，是商业银行数字化转型的重要组成部分。该报告作为2021年发布的《开放银行数据保护与合规研究报告》续篇，收集了9家商业银行10个具有典型意义并取得积极成效的开放银行数据保护实践案例，据现状提出政策、标准、技术研究的完善建议，进一步有效推进开放银行生态建设。

报告提供了大量案例分析和讨论，主要涉及以下几个方面：

1.开放银行的业务场景和技术方案：报告介绍了开放银行的概念、发展历程、业务场景和技术方案，包括API接口、数据共享、数字身份认证等。

2.数据保护和隐私保护：报告讨论了开放银行中的数据保护和隐私保护问题，包括数据分类、脱敏技术、数据安全管理等。

3.合规实践：报告介绍了开放银行中的合规实践，包括反洗钱（AML）、反恐怖融资（CFT）、KYC等。

4.技术架构和平台建设：报告讨论了开放银行的技术架构和平台建设，包括上下文模型、访问控制策略、API管理平台等。

本文为大家梳理总结了报告中提到的10个典型案例。

01

开放平台的多平台SDK方案

关键字：加解密；SDK；多平台

提供方：华夏银行

简介:

该技术方案主要体现了数据传输合规，《个人金融信息保护技术规范》要求金融机构在使用公共网络传输时需对C2、C3类信息进行加密传输。该方案采用在管理台配置的方式，设定各平台数据传输所使用的加解密技术，包括对称加密和非对称加密的国密算法等，并将各平台数据传输的加解密方式进行封装进SDK，统一管控了加解密技术标准，并简化了日常项目开发的周期和成本，是数据传输合规较成熟的落地实践方案。

亮点:

1.为了方便第三方接入银行的开放API接口，银行提供了一套封装好的软件开发工具包（SDK），以支持不同平台（如服务器端、移动端、H5端）的应用程序接入。

2.这些SDK包含了认证授权算法、加解密算法、国密算法支持、证书管理、token管理、服务调用、结果解析等功能，使得第三方应用程序可以更加便捷地接入银行的开放API接口，并且保证数据安全和隐私保护。

3.这种多平台SDK方案也大大简化了第三方应用程序的开发周期和成本，提高了业务响应速度和效率。

图解:

该方案主要关注于数据传输阶段的数据安全的保护，并且针对SDK本身的安全，进行规范化管理。确保SDK自身的安全性，SDK的使用模式导致其自身的安全问题会产生放大效应。需要在SDK的开发、使用、监测等全生命周期执行严格的安全标准，减少安全漏洞的产生，及时发现安全漏洞并立即修补，提升SDK的安全性。

02

数据访问控制安全平台

关键字：数据访问控制；基于属性(ABAC)的上下文模型

提供方：中国建设银行

简介:

在数据使用方面，为满足数据使用的“最小化”原则，建成全行企业级的数据安全访问控制平台，提供业务过程中细粒度的数据安全访问控制，着力于解决个人信息保护与业务场景相融合的难题。

亮点:

1.细粒度的数据访问控制：该平台可以对数百个系统提供细粒度的数据访问控制，保护客户金融个人信息。

2.规范员工数据使用行为：该平台可以规范员工数据使用行为，保证客户隐私。

3.通用性和灵活性：该平台可以适应未来政策要求，并且具有通用性和灵活性。

4.降低成本和提高效率：该平台可以降低企业投入大量时间成本、人力成本和资金成本对现有系统功能改造，并且简化了日常项目开发周期和成本。

5.全面保障数据安全：该平台通过建立技术框架体系、规范员工行为等多种手段，全面保障银行内部和外部系统的数据安全。

图解:

要根除个人信息查询管理混乱的问题，建设易于实施、可持续使用、为企业降本增效 的数据访问控制安全平台，以下是能触达目标的三个关键步骤：

1.全局掌握业务过程中涉及个人信息查询的数据接口

应用系统的API接口是个人信息输出的重要关口，将数据访问控制点设在应用接口返回用户数据时，是实现数据访问控制的最理想途径。应用API接口都由什么业务在调用，每个接口都在输出些什么类型的数据，接口输出的数据是否包含个人敏感信息，厘清这些信息，是建立企业级API数据访问控制关键的一步。

2.整体评估业务过程中个人信息的访问控制策略

业务办理过程中的个人信息保护不能简单地一刀切。如果对所有个人信息都进行脱敏屏蔽，将导致很多需要核实个人信息的业务无法办理。企业需要在不影响业务正常执行的前提下，最小化用户对个人信息的查询权限，解决查询权限混乱与查询业务操作不规范的问题。

3.通过平台实现数据访问控制统一管理

全面的数据接口测绘与数据风险评估是解决个人信息查询问题的必要过程，但要真正解决个人信息查询的数据安全问题，最终必需要在每一支交易中实现访问控制。

以上就是小编为大家整理的关于开放银行的相关内容。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。