央行李伟：银行绝不能将金融资质转包给合作方

本报记者 郝亚娟 张荣旺 上海报道

近些年，金融业积极利用信息科技不断优化金融产品创新服务的模式，开放银行作为转型升级的创新模式，成为国内外产业各方关注的热点话题。

在国家金融科技监管基本规则框架下，开放金融将迎来哪些政策指引？开放银行模式应注意哪些问题？“开放银行健康发展的关键就是坚持合规的原则，我们开放的是金融服务，不是金融资质，无论业务的形态、模式如何变化。”9月25日，中国人民银行科技司司长李伟在外滩大会分论坛“开放金融与未来”上指出。

同时，李伟谈到，开放银行是金融和科技深度融合的产物，这对传统的监管手段和能力都提出了新的挑战。必须强化监管科技研究与应用，利用现在新的人工智能、大数据、区块链等信息技术，建立监管规则库、监管智能化的数字平台，探索数字化新型监管的范示，识别开放银行的边界、解构业务数据的纠缠，落实各项监管要求。

布局开放银行战略

“近年来商业银行转变发展的理念，依托金融科技不断释放创新原动力，通过API技术将银行业务整合解构和模块分装，支持合作方以乐高拼接的方式在应用的场景自行组合和创新，实现了与合作方的优势资源互补，打造开放共享融合供应的数字金融新生态。API的模式兴起也受到了国内外广泛的关注，欧盟、英国、新加坡这些国家，纷纷探索基于API的开放银行的发展新路径。”李伟指出。

在全球开放银行热潮下，国内各银行机构纷纷布局开放银行战略，有转向重金融服务弱化银行实体的趋势，前置客户需求的场景将金融服务嵌入其中，在融合生态中输出和共享金融服务。

2019年出台的《金融科技发展规划》也明确提出要借助API深化跨界合作，拓展金融服务的广度和深度，当前开放银行也已经逐渐成为我国商业银行提升获客能力、增强用户黏性的新途径，促进银行业更好转型升级促进实体有很好的作用。

不过，李伟提示道：“我们要清醒地看到开放银行也是技术的应用，技术的应用有两面性，在提升金融服务效能的同时，也使得风险的敞口更多，风险管控的链条更长，风险洼地的效益更加明显，风险的形式出现了一些新特点、新变化。”

李伟指出，首先在数据安全方面，API连接服务提供者、场景建设者、交易发起者等众多主体，数据泄露的风险点增多了，任何一方数据保护存在薄弱环节都有可能存在安全隐患，恶意攻击者会非法获取客户的数据。近年来这种API的风险导致数据泄露的现象屡见不鲜，以“脸谱”为例，今年就爆出了API存在漏洞，导致2亿名客户的数据库被公开了，大量的用户信息被非法获取。

网络攻击方面， API接口具有公共共享的属性，通过API连接银行端和外部应用端，延伸了银行的外部网络，风险传导的路径变多，容易发起攻击，导致业务连续性被中断的情况发生，如果安全加固做得不到位的话，恶意篡改、逆向调试等风险都有可能出现。

业务风险方面，事前如果缺少健全的授权机制，资质不佳的外部合作方就有可能浑水摸鱼，可能会非法盗用银行的数据，增加了业务的风险。事中如果外部的合作方超范围使用银行提供的接口，将接口二次打包给未经授权的调用权使用，这将给银行的管理带来新的挑战。事后如果没有开放银行的风控体系、健全的纠纷投诉等机制，一旦出现跨行业的纠纷，就会损害消费者的利益。