原題：【中關村銀行金融科技部總經理楊乾】淺析如何構建合規安全、智能有特色的開放銀行

中關村銀行金融科技部總經理 楊乾

2014年，英國監管機構做了一次金融調查，調查發現英國80%的經常賬戶都開立在幾家頭部銀行，一旦這種關系固定之后，客戶的賬戶綁定關系基本不會轉換，這個轉換率要低于當時的英國離婚率。這一調查也是英國開放銀行建設的緣起之一，核心問題是如何做到賬戶和數據的開放。

同樣的問題也存在于國內的中小銀行中，中小銀行面臨很多困難，賬戶和數據的封閉是經營中常常遇到的難題之一。開放銀行為該問題的解決提供了一個可行的思路。

開放銀行是平臺化的模式，對外進行API、SDK等形式的服務開放，共享金融數據，重視生態的建設，它本質是連接銀行跟非銀行兩個世界的雙向連接器。

一、 境外開放銀行發展情況

二、 國內開放銀行發展情況

三、 開放銀行建設不可忽視的關鍵點

關于開放銀行的建設，要考慮六個方面的情況：

(1)圍繞著開放銀行，大家會講很多技術方面的事情，其實開放銀行不僅僅是技術的問題，還包括非常多的業務協同和很多非技術因素。

(2)如果決定做開放銀行，首要的一件事情就是提升風控能力。

(3)必須重視合規與安全。

(4)推進開放銀行過程當中，還需要把全行的凝聚力跟效能集中在一起才能做好。

(5)在建設開放銀行過程中會建立并改造非常多的系統，會投入不少的成本，事實上有可能產生比較大的浪費，應注意和既有的金融科技能力的整合，避免資源浪費。

(6)不同的銀行在做開放銀行的時候一定要走獨特的路徑，不能千篇一律。

第一，最重要的是風險管理和安全合規。銀行開放，業務放至線上，面對眾多的合作方，其實銀行直接面對的是網絡安全的隱患，面對著幾十甚至上百個合作伙伴，大家之間便會有互動，有互動就有連鎖反應，這種連鎖反應有可能是好的，也有可能是壞的，搞不好就是連鎖風險的反應。開放銀行和傳統銀行面對的網絡沖擊是完全不一樣的。例如，2018年11月，美國郵政局發現了自身的一個漏洞，其實這個漏洞非常簡單，漏洞被攻擊的時候有6000多萬個人客戶信息可能被泄露，實際上攻擊者是用合法賬戶進去然后就把東西拿走了。再例如：國內某一著名咖啡企業，采取注冊免費送咖啡活動，但是因為他的網絡安全措施沒有做好，直接被“羊毛黨”薅掉了1000多萬元的營銷費用，所以說，風險和安全防范的重要性不可小覷。

第二，開放銀行除了API接口之外，也會發布SDK作為服務的一種開放方式，但是SDK也充滿著風險，把SDK開放出去之后，用戶、環境等因素均不可控制。另外，當前人臉識別被應用的非常廣泛，但根據互金協會目前的標準，聲紋是有標準的，人臉暫時還沒有，所以人臉識別的時候需謹防被非法分子用其他技術手段來繞過人臉識別牟利。

第三，開放一定要注意敏感數據不要泄露。

第四，風險有時來自開放的業務流程。實際上，銀行經營的是風險，既然叫做開放銀行，換一個角度講，風險也同時開放了，所以面臨著自身業務和合作伙伴輸出業務的雙重風險，這種模式下其實對合作方怎么樣去嚴格地評估是非常關鍵的。近期也爆出一些新聞，在很多不同的地方、不同的銀行或者機構都出現過類似的情況，幾年前的一些合作方，大家的業務合作開展的比較好，但一旦出現資產逾期之后，就會爆發出較大沖突，這一類事情歸根到底還是在當初跟合作方的業務管理模式上，或者說對開放銀行業務規程的選擇上出現了問題。

面對諸多問題，銀行要在開放銀行體系建設過程當中找原因，做好以下幾方面工作。

第一，針對上述談到的業務風險方面的問題，需從業務戰略、制度建設、業務體系這三個方面要做好規劃，以有效地規避業務流程可能帶來的風險和問題。做好頂層設計，在設計的時候就明確開放的對象和領域，明確業務的戰略規劃，明確可信的業務模式，堅持有所為有所不為，可以規避掉一些風險。值得強調的是，目前大家所推進的開放銀行，如果千篇一律其實是一件很危險的事情，需要找到契合自身特點的發展路徑，找不到，就是一片紅海，相互廝殺;找到了，就可能是一片生機勃勃的藍海。

第二，解決安全方面問題，也要做好技術體系、用戶體系和數據體系的建設：首先，在做技術體系建設的時候一定要把安全體系建設好。其次，在考慮用戶體系跟數據體系的時候，一方面考慮用戶的風險，做好風險防范措施。另一方面一定要把數據治理策略做好，防止敏感數據的泄露。

第三，在系統建設方面，強調兩個方面的工作：一是一定要以平臺化的思維來考慮開放銀行這件事情，而不是把它作為一種單純的技術。二是強化運營，其實開放銀行的運營不管是技術運營還是業務運營都是非常重要的，只有運營做到位，開放銀行才能體現其價值和效應。

第四，在開放銀行建設投入方面，千萬不可不假思索地大規模投入，一定要立足于現狀，立足于自身的金融科技能力。最好的辦法是做整合，要做好新能力構建與既有科技能力的整合。比如大多數銀行都具備OCR的能力，可以識別一些特定證件，識別一些固定的場景，在開放銀行的場景下，要考慮通過機器學習讓OCR能夠大量地適應自身特點所要識別的各類個性化對象;再比如RPA，平?？梢宰鲆恍┳詣恿鞒痰墓ぷ?，可以自動報稅，自動篩選簡歷等自動化的流程，在考慮科技能力輸出的時候，在AI的支持下，能不能讓RPA在非結構化的場景下有些應用。很多科技手段在建設開放銀行之前已經有了，或者部分具備了，那么這個時候就不能不假思索大干快上，一定要考慮如何整合現有的能力，而不是全部新建。

第五，在架構規劃方面，開放銀行要處理好幾個關于架構規劃的問題。一是要確定技術架構；二是確定業務架構，這將決定如何將產品整合至開放銀行中；三是確定安全架構；四是確定運行架構。

第六，在監管方面，中小銀行非常期待監管部門的指導，因為只有監管方面的指引和框架制定出來規范的標準后，開放銀行未來才不會野蠻生長，才能行穩致遠。

責任編輯：韓希宇