Dave，一個在美國十分常見的路人名字，就好似張偉這個名字在中國一樣。對于大多數中國人來說，第一次見到Dave這個名字大概是在游戲《植物大戰僵尸》中那個瘋子鄰居，Dave。

但是在美國，Dave不僅僅是一個人的名字或者一個游戲人物的稱呼，而是一家金融科技初創公司的名字，成立于2015年，以App和網頁為服務的主要載體，Banking for humans是他們的口號。

Dave：一個開放銀行應用

Dave是一家非常有意思的公司，Dave為其用戶提供信用卡管理、小額無息貸款、報告信用記錄等等服務，用以幫助用戶回避支付可能超過30美元的信用卡透支費(overdraft fee)，并且幫助用戶建立征信報告。

盈利模式上，Dave采用會員制，每月收費1美元，同時也接受用戶的小費：每次使用其小額無息貸款，需要支付大概1美元到4.99美元不等的小費?？赡蹹ave參考了支付寶的思路，每收到一筆小費該公司都會種一顆樹，稱之為“未來之樹”。

目前該公司已經和萬事達卡合作開始發卡，同時Dave也支持使用其他銀行的銀行卡，并提供同樣的服務。

也就是說，如果Dave的用戶不打算使用其他的金融服務，比如貸款買房買車，完全可以只使用Dave。

可以說，Dave是一家不是銀行的開放銀行應用。不是銀行是因為Dave本身并沒有銀行牌照。根據報道，美國金融科技公司很少愿意申領美國財政部頒發的類銀行牌照（bank-like license），因為一旦接受類銀行牌照，公司就需要接受大多數適用于銀行的監管，但是缺乏實利。

雖然沒有牌照，Dave卻以一種平臺和開放的思維，通過在不同銀行之間數據共享、算法和技術標準化的過程中，構建出一種新的生態系統，并在該生態系統上形成新的商業模式，創造新的盈利點。

Dave接入了賬戶數據API，可以讀取銀行賬戶數據，以便用戶管理自身銀行賬戶或獲取相應金融服務，另外接入了支付發起API，可以調用支付接口，便利用戶直接完成支付。如果以國外的標準來看是一個不折不扣的開放銀行應用。

不過以國內的眼光來看，Dave這家公司的業務更類似于“信用卡管家”或者“云閃付”，屬于金融科技創新應用，并不屬于開放銀行。

Dave的數據泄漏危機

對很多外國人來說，信用卡、支付、收入、征信等等與金錢相關的信息都屬于隱私中的隱私，是非常敏感的。美國在立法上也對金融隱私權有保護，比如有名的《財務隱私權法》。

在這樣的環境下，Dave推廣最大難點就在于如何讓用戶放心的將自己的信用卡、支付、收入、征信等等信息放心的提供給自己。很多用戶對于Dave最大顧慮就在于一旦使用Dave的服務，Dave就可以隨意查看自己的金融信息。

擁有超過700萬用戶的Dave在取得用戶信任方面使用的方法也很簡單：使用銀行級安全防護以及給每個賬戶上一張最高25萬美元的保單。

但常在河邊走，哪有不濕鞋。今年7月，Dave的數據庫發生了泄漏，而被攻擊的是Dave的第三方數據服務提供商Waydev。

這次泄漏幾乎涉及了所有的Dave用戶，在黑客論壇上免費下載的數據包包含7,516,691條用戶記錄，包括姓名、電話、住址、出生年月、加密的社保號、電子郵件地址，以及經過Bcrypt哈希處理的密碼以及3,092,396個電子郵件地址。

而在免費傳播之前，這份數據被另一名黑客以約16,000美元賣給了匿名用戶。事情發生之后，Dave第一時間披露了事件，并強制重置所有客戶登錄憑據，并要求所有客戶更改其密碼。

在8月21日，Dave再次發布了安全提示，希望用戶使用強密碼并繼續對可能發生的盜刷保持警惕，Dave提出很多建議，其中包括注冊免費的萬事達卡ID防盜竊業務，以及聯系銀行使用欺詐警報(fraud alert)或安全凍結(security freeze)。

目前事件還處于發酵過程當中，最后會發生什么樣子的事情，一切還不得而知。也許，Dave會被接到高昂的罰單。今年8月7日，美國最高銀行業監管機構對Capital One第一資本銀行處以8000萬美元（合計約5.56億人民幣）的罰款，原因是2019年該銀行云服務器發生數據泄漏。

除了罰單，Dave還有可能接到大量的集體訴訟。在Facebook數據泄露案之后，Facebook除了繳納50億美元天價罰單，還面對了大量由于數據泄露引起的非索償集體訴訟。在大量的訴訟面前，Facebook雖不至于傷筋動骨但也灰頭土臉。

幸運的是，美國處于疫情過后的經濟恢復期，用戶普遍需要Dave來為自己規劃預算、節省開支甚至提供無息小額貸款，在此時，Dave不會因為數據泄漏而被用戶放棄。

但可能的罰單和集體訴訟不免讓人擔憂Dave的未來。

國外事件與國內發展

在數字經濟和金融科技的催生下，商業銀行正處在數字化轉型的大變局之中，開放銀行則是所有銀行都在研究的課題。

今年新冠肺炎疫情帶來的沖擊幾乎影響了所有的線下業務，在疫情的影響下銀行的數字化進程迅速加快，但是其中存在的風險也很多，信息泄露是其中的重要一點。

8月5日，銀保監會官網信息顯示，招商銀行信用卡中心、交通銀行太平洋信用卡中心各被罰100萬元，被罰原因均涉及客戶個人信息未盡安全保護義務。

7月8日，河北銀保監局發布對于滄州銀行的行政處罰信息，該行因“信息科技風險管理不到位，嚴重違反審慎經營規則”的違法違規事實，河北銀保監局依據《中華人民共和國銀行業監督管理法》第四十六條，責令改正，并對其罰款20萬元。

6月19日，江蘇銀保監局公布了對于江蘇江南農村商業銀行股份有限公司的行政處罰。處罰信息顯示，江蘇江南農商行因網絡安全工作嚴重不足，江蘇銀保監局根據《中華人民共和國銀行業監督管理法》第四十六條第（五）項，罰款人民幣30萬元。

當前，銀行已成為國內外敵對勢力、黑客組織、不法分子實施網絡攻擊、電信詐騙和滲透竊密的重點目標，除了傳統的SQL注入、DDOS攻擊、病毒木馬等常見攻擊外，針對銀行的APT攻擊、精準式網絡攻擊等攻擊手段也愈演愈烈。

加強網絡安全保護是開放銀行或金融科技公司在發展業務時必須要做的事情。Dave之所以發生數據泄露，就是因為其使用的第三數據服務商在幾個月前遇到了黑客入侵。

另外，還需要對相關的威脅情報快速相應，如果Dave在第三方數據服務商遭到黑客入侵之后迅速反應，而不是忽略掉這個威脅情報，是完全有可能避免數據泄漏事件的發生。

Dave數據泄漏事件至今沒有結果，美國監管對Dave數據泄漏事件的態度也無從猜測。Dave的模式在國內能不能復制？國內銀行在開放銀行的進程上如何防止此類事件的發生？這一切都需要更多的思考。

責任編輯：王煊