2万字报告！隐私计算赋能开放银行数据合规

九卦金融圈

近期，《开放银行数据保护与合规研究报告》正式发布。报告的主要目的是梳理开放银行场景中相关的数据合规性要求，探索发布一系列符合安全监管要求的开放银行数据处理策略和规则，促进开放银行生态建设，实现银行关键数据资产的安全共享与利用。

一、背景与目标

开放银行（Opening Bank）概念，尚无行业共识的定义。中国互联网金融协会认为，开放银行是商业银行数字化转型的重要组成部分，强调以用户为中心，以 API、SDK 等技术实现方式为特点，通过双向开放的形式深化银行与第三方合作机构的业务链接和合作，将金融服务能力与客户生活、生产场景深度融合，从而优化资源配置，提升服务效率，实现双方或多方合作共赢。 

中国人民大学在其研究中也有类似定义，认为开放银行是一种银行向第三方开放数据和服务的模式。 本文所谓的开放银行指银行通过开放数据等形式与第三方机构合作，将银行服务嵌入各类生活场景的金融服务。其主旨和核心在于数据和服务的开放和共享。

自英国首先提出开放银行的概念后，各国家/地区开始推动本国/地区的开放银行的实践和监管。2015 年 11 月，欧洲议会和欧盟理事会发布了支付服务指令（Payment services，PSD 2），要求欧洲经济区内各国银行必须在 2018 年 1 月 13 日之前将客户数据以 API 的形式开放给第三方机构。

截至 2020 年 12 月，英国共有 294 个受监管的供应商包括金融科技公司加入开放银行的生态系统， API 调用量从 2018 年的6680 万增加到 2020 年的近 60 亿。

中国的开放银行主要由市场驱动，各商业银行充分结合自身特点，都在不断推进和尝试开放银行。2012 年中国银行推出首个开放平台，2015 年工行 API 开放平台上线， 2018 年 浦发银行推出无边界 API Bank，建设银行、招商银行、农业银行、平安银行等纷纷推出开放银行平台。目前各开放银行发展趋势可以概括为借助金融科技手段努力将自身产品嵌入各类场景以拓宽业务渠道。

随着中国开放银行实践的不断深入，中国也在加紧制定规范以求在保证数据和信息安全的同时促进开放银行的发展。2019 年央行印发了《金融科技（FinTech）发展规划（2019-2021 年）》。2020 年 2 月，央行进一步发布了《商业银行应用程序接口安全管理规范》和《个人金融信息保护技术规范》。

随着《数据安全法》以及《个人信息保护法》的出台，我国对于数据安全的监管力度进一步加大。数据的可复制性和极低的边际成本意味着一旦发生数据安全事故，个人隐私受到严重侵害，银行的数据资产的价值也会极大缩水、数据掌控能力下降，国家金融安全和信息安全也将面临威胁。

因此，数据安全不仅是监管机构的监管重点，也是关系到银行的客户、银行本身以及国家利益的关键问题。

本研究报告的主要目的是梳理开放银行场景中相关的数据合规性要求，探索发布一系列符合安全监管要求的开放银行数据处理策略和规则，促进开放银行生态建设，实现银行关键数据资产的安全共享与利用。

二、开放银行中的数据范围与分类

2.1． 数据范围

本研究报告所研究的数据是在开放银行场景中由金融机构收集和使用的各类信息数据。开放银行信息数据主要来自个人和企业。根据数据来源主体性质的不同，可以分为个人信息与企业信息。

（1）个人信息

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

其中，个人金融信息是金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。

（2）企业信息

企业信息是企业在从事生产经营活动过程中形成的信息，以及政府部门在履行职责过程中产生的能够反映企业状况的信息等。

企业信息可分为企业公示信息与非公示信息。《企业信息公示暂行条例》中对企业需要公示的信息进行了详细的列举，包括：

1）企业基本信息：企业注册登记、备案信息；企业通信地址、邮政编码、联系电话、电子邮箱等信息。

2）行政许可和行政处罚信息：行政许可取得、变更、延续信息；行政处罚信息。

3）企业经营信息：动产抵押登记信息；股权出质登记信息；知识产权出质登记信息；企业开业、歇业、清算等存续状态信息；有限责任公司股东股权转让等股权变更信息；企业网站以及从事网络经营的网店的名称、网址等信息。

4）其他依法应当公示的信息。

除上述依法应当公示的信息外，企业对法律法规未做硬性要求的企业信息可以选择不公示。对于企业的商业秘密，企业还应采取适当的保密措施进行保护。

具体到金融领域，《金融安全数据安全分级指南》中将企业信息分为基本信息，身份鉴别信息，资讯信息，关系信息，行为信息，标签信息五类。

同时，《金融安全数据安全分级指南》还根据数据安全性遭到破坏后产生影响的大小，将上述信息的数据安全级别从高到低分成了 5 级、4 级、3 级、2 级、1 级。

我国现行法律法规较为重视对个人信息的保护，陆续出台了《个人金融信息保护技术规范》、《个人信息保护法》等相关规定，而对企业信息的规定相对较少。因此本研究报告将重点探讨开放银行业务落地中个人信息数据的保护问题，同时也包括企业信息数据的保护问题。

2.2．数据分类

为更清晰地了解开放银行业务过程中所涉及的数据，进一步明确数据保护对象，从而有的放矢的实施数据安全管理，可以结合相关数据规范及实践对开放银行场景中的数据进行分类分析。

就个人信息来说，可以分为敏感信息和非敏感信息：

• 敏感信息指的是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

• 上述范围以外的信息为非敏感信息。

就个人金融信息来说，可以根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，按敏感程度从低到高分为 C1、C2、C3 三个类别。区别各类信息的标准及相应示例如下表所示：

表 2 个人金融信息敏感程度分类表

从数据安全的角度，根据影响对象和影响程度，将数据分为 1-5 级。

表 3 数据安全定级规则参考表

从数据安全的角度，根据影响对象和影响程度，将数据分为 1-5 级。

除了上述主要分类方式，实践中，也有银行根据采集方式不同，将数据分为直接数据和间接数据。

• 直接数据指由金融信息主体主动提供、通过与金融信息主体交互或记录金融信息主体行为等收集到的数据。

• 间接数据则是指通过共享、转让、搜集公开信息等间接获取金融信息的行为搜集到的数据，具体请见 5.1.3 收集方式。

此外，目前开放银行实践中，主要的数据使用场景大致可分为如下四类：

1. “政务+银行”，由政府主导开放电子政务数据资源，银行利用政务数据提升金融服务水平，提供普惠金融服务，推动数字政府的建设。例如，某银行与某地交警合作开发交通罚款缴费工具，提供认证、资金结算等服务。

2. “银行组织、联盟、协会或银行+银行”，在银行联盟、行业协会或银行之间开展数据合作。例如，多家银行将接口接入统一的开放银行平台，进行数据共享。

3. “企业+银行”，企业和银行之间进行数据合作，银行利用企业的社交、消费、生活等行为数据为金融服务提质增效；企业利用银行资金渠道拓展业务领域，双方相互促进各自业务发展。例如，某银行向停车场和地铁提供商户运营、账户管理、资金结算、网络融资等服务。除此之外，企业还可以将开放银行的服务纳入企业管理和商业运营。例如，某银行为企业提供员工工资结算、投资理财、网络融资等服务。

4. “社会服务+银行”，银行利用医疗、教育等社会服务行业进一步开放数据，将开放银行嵌入社会的各个领域，帮助行业从业者获得一站式的支付解决方案。例如，某银行与医院合作，为医院提供对公综合金融服务，提供包括身份认证、费用收缴、资金结算等多种服务。

三、开放银行中相关数据主体的权利与义务

开放银行生态圈中涉及作为数据主体的客户、银行、第三方、技术信息转接机构等各方参与者，本部分将就开放银行运行过程中涉及的不同主体的权利和义务进行分析。

3.1．客户

银行的客户包括个人客户和企业客户，作为数据主体，均为数据的产生者。

（1）权利

个人客户即金融信息标识的自然人，根据《个人信息保护法》，个人拥有的权利包括：

1）知情权：个人有权了解信息处理的目的、范围、过程等内容。

2）决定权：个人有权决定如何处理自己的信息。3）限制和拒绝权：个人有权限制或拒绝信息处理者对其信息进行处理。

4）查阅和复制权：个人有权查阅和复制保存在信息处理者一方的信息，信息处理者应当如实提供。

5）可携带权：个人有权将个人信息转移至其指定的其他个人信息处理者，信息处理者应当提供转移途径。

6）更正权：个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。信息处理者核实信息后应及时更正。

7）删除权：在处理目的已实现、个人撤回同意等情况下，个人可以要求信息处理者删除数据等。

由于企业数据的构成中包含大量的个人数据，因此企业数据的权利问题相对复杂，目前学界还存在一定分歧，尚未有定论。实践中，企业数据的权利被侵犯时，企业常常倾向应用《不正当竞争法》的方法，诉诸于法律途径解决问题。

在实践中，开放银行业务涉及的企业数据主要来自企业本身，如企业交易明细等。这种情况下，可以认为企业作为数据的产生者应享有和个人同样的权利，即知情权、决定权、限制和拒绝权、可携带权、更正权、删除权等相关的权利。

当然，数据主体享有的权利并非绝对的，与国家安全、国防安全直接相关的、和与公共安全、公共卫生、重大公共利益直接相关的个人金融信息的共享、转让、公开披露无需征得个人信息主体的授权同意。

（2）义务

根据《民法典》诚实信用原则，数据主体理应提供真实数据。

关于个人作为数据主体的义务，《反洗钱法》及相关规章明确规定，“金融机构应当建立健全和执行客户身份识别制度，遵循‘了解你的客户’原则，了解客户及其交易目的和交易性质， 了解实际控制客户的自然人和交易的实际受益人”，但相应的，我国法律未规定个人在办理金融业务时，必须向银行如实提供真实有效的身份信息以及开户和交易的目的、资金的来源和用途等信息，也未规定个人必须如实向金融机构告知账户或交易的受益所有人。

尽管如此，个人不提供真实数据应承担不利后果，例如，《网络安全法》第二十四条规定，网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

再如，《保险法》第三十二条规定，投保人申报的被保险人年龄不真实，并且其真实年龄不符合合同约定的年龄限制的，保险人可以解除合同。

关于企业作为数据主体的义务，虽然我国法律尚未明确规定企业作为数据主体在办理金融业务时如实提供信息的义务，但诚实信用是民事主体从事经济活动的基本准则，同时，法律在其他部门法中也有明确规定，例如，《电子商务法》第二十七条规定，电子商务平台应当要求平台内经营者提交真实信息，进行核验、登记，并定期更新。

因此，尽管尚无金融特别法明文规定个人或企业必须提交真实信息，但个人或企业在办理金融业务时也应遵循诚实信用原则，保证信息的真实性，否则将承担不利后果。

3.2． 银行

银行是个人金融信息的控制者，是有权决定个人金融信息处理目的、方式等的机构。

（1）权利

银行可以依法收集、处理、展示、披露、共享个人信息。可以对使用其数据的第三方合作者进行事前及事后监督，如设立准入门槛、评估安全能力、停止开放、降低合作等级等。

（2）义务

根据《网络安全法》、《个人信息保护法》以及相关行业标准的要求，银行处理信息数据时应当履行以下义务：

1）确保数据处理安全的义务：根据信息处理目的、处理方式、信息的种类以及对数据主体权益的影响、可能存在的安全风险等，采取相应措施保障数据安全；

2）合规审计义务：银行应当定期对其处理个人信息的合规情况进行审计；

3）评估和记录义务：对于敏感信息、委托他人处理的信息、向第三方提供的信息、向境外提供的信息等，银行应当事前进行信息处理影响的评估，并对处理情况进行记录；

4）补救和报告义务：在发生数据泄露时，要采取及时有效的补救措施并及时上报泄漏事件；

5）关键信息基础设施运营者义务：根据《关键信息基础设施确定指南（试行）》，若银行的设施和系统被监管机构认定为关键信息基础设施，应履行如建设网络安全机制、设置专门的安全管理机构、进行风险评估等义务。

值得特别注意的是，作为个人信息的收集者、处理者和控制者，处理个人信息侵害个人信息权益造成损害，银行不能证明自己没有过错的，应当承担损害赔偿等侵权责任。这意味着一旦发生个人信息泄露事件，银行需承担举证责任，即使没有过错，但不能举证证明的仍旧可能面临承担损害赔偿等侵权责任的风险。

3.3． 第三方

第三方指的是利用开放银行共享数据嵌入自身行业应用场景中的各类机构和企业。现有实践表明，政务服务、校园管理、景区管理、物业服务、宗教管理、党务管理和人力资源管理等领域的机构均可成为数据的使用者。

（1）权利

第三方可以利用开放银行分享的数据满足具体的场景需求， 也可以在其本身服务范围内合法收集、使用数据。

（2）义务

• 第三方首先需要遵循一般性的数据安全规范的要求。一般性的数据安全规范指的是所有信息收集和使用者处理个人信息时都应遵循的要求。

• 如《个人信息保护法》规定的确保数据安全义务、合法处理数据义务、补救和报告义务等。《个人信息安全规范》规定的响应信息主体请求的义务、处理投诉的义务等。无论第三方企业/机构来自何种领域均应遵循上述法律规范。

• 其次，第三方业务涉及特殊行业或领域的，还需要遵循特殊领域的数据安全的要求。如交通出行类企业需遵守《汽车数据安全管理若干规定（试行）》等行业特殊的法律规范，医疗机构遵循《国家健康医疗大数据标准、安全和服务管理办法（试行）》等法律规范。

• 最后，第三方需遵循相关开放银行对于第三方的评估要求和签署的《使用协议》规定的义务。

现有实践中，开放银行多根据公安部网络安全等级保护 2.0 标准评估第三方的技术和管理的安全等级。第三方可结合此标准自我评估是否满足开放银行的安全要求。

除此之外，作为第三方，应严格遵守其与开放银行签署的《数据共享和使用协议》，如不得转售、不得自行留存、采取符合开放银行要求的数据安全保护措施等。

3.4． 技术信息转接机构

技术信息转接机构是指伴随着开放银行业务发展起来的管理类组织，其主要负责制定统一的接口和安全规范、建设和更新服务目录，以及对开放银行参与方（银行、第三方）进行注册及管理，和对服务参与方身份验证、权限设定，及证书、密钥的管理。

此外，技术信息转接机构也提供相应的测试服务以帮助接口和服务的落地。国外实践中已产生相应的主体，目前国内仍在探索中。

因此，技术信息转接机构能够促使银行基于用户许可通过技术聚合平台向第三方进行数据和服务开放，实现了开放银行生态规模化发展。技术信息转接机构本身不参与具体银行业务或账户管理，仅负责数据和信息的传输。

在国内现有监管制度安排下，商业银行对于“数据开放”总体上持谨慎态度，通常是将开放银行作为创新金融产品和服务供给模式，依托 API/SDK 等技术，通过线上场景化链接，有效触达长尾客户。

• 一方面，开放银行应用方有多家银行连接的需求，支持统一的标准接口是市场的强需求；

• 另一方面，银行希望规范市场合作，尤其是长尾、中小合作伙伴的合作准入，建立统一的业务安全门槛，避免出现因准入标准不统一产生的恶性竞争；

• 再则，从产业可持续发展角度，需要有一个良好低成本的运营环境，避免多对多连接提高整体社会运营成本。

在应用方面也需要加强穿透式监管的应用支持，技术信息转接机构应运而生，在国外具体实践中，已有技术信息转接机构的角色存在，如以美国为代表的市场驱动开放银行市场，就主要由 Plaid 等技术信息转接机构协助市场应用，在监管驱动模式的韩国，则由其金融清算所承担技术信息转接机构的角色。中国市场可借鉴其优点并根据自身发展特色，有效、平稳、安全地推动开放银行健康、常态发展。

（1）权利

技术信息转接机构在生态中发挥了信息转接的功能，进行数据传输和汇聚，为保障合作方的利益，其承担相应的合作方管理职能，享有一定的管理权。

技术信息转接机构主要功能包括制定统一的接口和安全规范，对开放银行参与方（银行、第三方）进行注册及管理，建设服务目录实现对参与方的身份验证、权限设定，管理证书和密钥，并更新服务目录信息，此外，为帮助市场落地提供相应的测试服务。

（2）义务

按照《金融数据安全 数据安全分级指南》，汇聚融合是导致数据发生升降级的主要技术手段之一。

汇聚融合是指对数据进行集中、清洗、转换、重组、关联分析、多方计算等处理的过程，相对于汇聚融合前的数据的安全级别，经过不同的数据汇聚融合处理手段所产生的数据，其安全级别可能上升，也可能下降。

技术信息转接机构需要履行的义务包括：

一般性的数据安全规范的要求：技术信息转接机构在其业务中涉及数据传输和管理，需遵循一般性数据安全规范的要求，如《个人信息保护法》、《网络安全法》、《数据安全法》、《互联网个人信息安全保护指南》等附录。

关键信息基础设施保护的义务：技术信息转接机构作为开放银行和第三方之间的桥梁，其业务中涉及大量金融信息，一旦遭到破坏或造成泄露会严重危害国计民生和国家安全，按照《关键信息基础设施安全保护条例》的规定，应属于关键信息基础设施。

如果技术信息转接机构被认定为关键信息基础设施，应在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件。

具体来说应当：

• 1）建立健全网络安全保护制度和责任制。由技术信息转接机构的主要负责人负责信息基础设施的安全；设置安全管理机构，负责安全培训、管理、制定应急预案等；对关键岗位的责任人员进行背景审查；

• 2）发生重大网络安全事件或者发现重大网络安全威胁时向保护工作部门、公安机关报告；

• 3）采购网络产品和服务时按照国家有关规定与网络产品和服务提供者签订安全保密协议等。

  基于合作协议的义务：技术信息转接机构应遵循其与开放银行和第三方签订的协议，履行协议中的义务，如不得留存数据、不得转售数据等。

作为数据交易中介服务商的义务：技术信息转接机构作为汇总、交换相关数据的渠道，属于《数据安全法》第三十三条所规范的数据交易中介服务机构，在提供数据交易中介服务过程中，必须要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。

四、开放银行数据管理总体原则

开放银行的数据基本原则指的是数据处理者在数据生命周期的各阶段进行各种数据处理时均应遵循的根本准则，是指导监管机构制定规范、进行管理以及开放银行进行具体数据处理行为的纲领。

根据《民法典》、《个人信息保护法》等法律规范，开放银行数据处理者需遵循合法性、公开明示、知情同意、最小够用、数据安全与可问责性、准确性六大原则。

4.1． 合法性原则

作为第一项基本原则，《民法典》、《网络安全法》、《数据安全法》和《个人信息保护法》等均指出处理个人信息应当遵循合法性原则，遵守国家各类法律规范，不得通过误导、欺诈、胁迫、窃取等方式处理个人信息。

4.2． 公开明示原则

为保证信息主体对收集的知情权，本项原则要求个人信息收集者履行公开、明示义务，要求在收集前明示个人信息的收集规则，明示处理的目的、方式和范围。数据控制者应制定明确的信息处理规则并进行公开，规则的内容应包含信息处理的方式和目的。

4.3． 知情同意原则

在公开明示原则的基础上，在收集、使用、披露、展示、共享个人金融信息时，履行告知义务，征得数据主体的同意。此原则内容分为两个部分：告知以及征得同意。数据处理者需要以容易理解的语言对数据处理的范围、过程和目的等内容进行明确的告知，告知后以合法的方式征得数据主体同意，不能采用捆绑性同意等方法。

4.4． 最小够用原则

处理个人信息时，应当限于实现处理目的的最小范围，不得过度收集或调用个人信息，即首先确定恰当的数据处理目的，然后根据目的确定满足目的的最小范围，在调用数据时以最小的频次进行，并以最少时间存储。

例如在从事某一特定活动时可以使用、也可以不使用个人信息时，要尽量不使用。再如，在收集个人信息时， 其所获取的个人信息应当以满足使用目的为限， 不得超出该范围收集个人信息。为达到目的如 果只需要使用权利人的非敏感个人信息，则不应该扩大信息收集和使用的范围。

4.5． 数据安全和可问责性原则

数据处理者应当采取必要措施保护信息安全。包括但不限于建立安全制度体系，采取技术保护措施，进行安全情况评估，确定信息保护负责人，定期进行安全教育和培训，制定并组织实施个人信息安全事件应急预案等。

4.6． 准确性原则

数据处理者应保证信息的准确性，避免因信息不准确给数据主体的权益造成不利影响。

相对的，数据主体可以要求处理者更改或删除错误信息。

可以看出，我国法律规范中确定的以上几条原则基本对标欧盟《通用数据保护条例》，对信息和数据的保护采取了较为严格的态度。

五、开放银行中的数据收集

信息收集是个人金融信息生命周期的第一个环节。信息收集指获得信息的控制权的行为。

5.1． 数据收集的合规性要求

本部分将从信息收集规则、收集同意、收集方式、停止收集几部分对开放银行数据收集的合规性进行详述。在涉及特殊信息类型和特殊信息主体时，将分别展开讨论。

5.1.1． 收集规则

制定收集规则是进行获取数据的第一步，银行等金融机构应当制定信息收集的规则，明示收集的目的及方式。

首先，规则中应明确收集目的及范围。收集需合理且限于实现目的的最小范围。

一般情况下最小范围的内涵有三个方面：

• 一是直接关联，即收集的个人信息的类型应与实现产品或服务的业务功能有直接关联，如果没有上述个人信息的参与，产品或服务的功能无法实现。

• 二是最低频率，即自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率。

• 三是最少数量，即间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

• 规则制定后应以简明易懂的方式完全公开，并提示数据主体阅读收集规则。

5.1.2． 知情和同意

除制定收集规则外，正式收集信息前要经过信息主体的同意。如果法律规定需要书面做出同意表示的，还应征求书面同意。

为保证信息主体对收集的完全知情，应以信息主体能理解的语言告知其收集者的身份、联系方式、收集目的、收集方式，收集的个人信息种类、保存期限、个人享有的权利和行使方式及程序、自身的数据安全能力、对外共享的转让的规则等。对于敏感信息，除上述告知内容外，还应当向个人告知收集敏感信息的必要性，并获得个人的单独同意。收集不满 14 周岁的自然人信息的，还应取得其监护人同意。

【不得强制同意或捆绑同意】

开放银行不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由，强制要求个人信息主体同意收集个人信息。

对于当事人未申请/使用的业务，不应通过捆绑产品或服务各项业务功能的方式，要求个人同意其收集。另外，如果利用 APP 收集数据，还需提供撤回同意的功能。如未向用户提供撤回同意收集个人信息的途径、方式则视为没有获得用户同意。

【同意的限制】

在特定情况下可以不经信息主体同意进行收集。根据《个人信息保护法》等相关法律规范，在

• a）与开放银行履行法律法规规定的义务相关的；

• b）与国家安全、国防安全直接相关的；

• c）与公共安全、公共卫生、重大公共利益直接相关的；

• d）与刑事侦查、起诉、审判和判决执行等直接相关的；

• e）出于维护信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的；

• f）所涉及的信息是信息主体自行向社会公众公开的；

• g）签订和履行合同所必需的；

• h）从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道等情况下，可以无需信息主体同意。

5.1.3． 收集方式

现行法律规范中对不同信息的收集方式和不同的渠道收集方式做出差别化规定。无论以何种方式收集何种信息，都应遵守收集方式的一般原则。

【收集方式的一般原则】

收集个人信息应采用对个人权益影响最小的方式，并保证收集个人信息过程的安全性。一般来说安全的收集方式应当：

• 1）在收集信息之前，应对被收集人进行身份认证。

• 2）收集个人信息时，信息在传输过程中应进行加密保护；

• 3）收集个人信息的系统应落实网络安全等级保护要求；

• 4）收集个人信息时应对收集内容进行安全检测和过滤。

【对于特殊信息收集的特别规定】

C3 及敏感信息：《个人金融信息保护技术规范》、《数据安全管理办法（征求意见稿）》及《互联网个人信息安全保护指南》等法律规范对 C3 类信息及敏感信息的收集做出了特别规定。

具体来说，收集 C3 类别信息要使用加密等技术措施保证数据的保密性，防止其被未授权的第三方获取。以经营为目的收集个人敏感信息的，应向所在地网信部门备案，并明确数据安全责任人。

其他信息：对于除上述特殊信息的其他信息的收集，应遵守开放银行指定的收集规则和收集的一般原则。

【不同渠道的收集方式】

开放银行可以直接收集数据，也可以间接方式或委托方式收集信息。

直接收集指由个人金融信息主体主动提供、通过与个人金融信息主体交互或记录个人金融信息主体行为等自动采集行为，如通过门户网站、APP 客户端等渠道从个人直接获取信息，而不经过第三者。直接收集应遵守开放银行制定的收集规则，以及收集方式的一般原则。

间接收集指通过共享、转让、搜集公开信息等间接获取个人金融信息等行为，如银行通过对政务服务开放 API 获取信息，通过连接银联的端口获取数据。对间接收集数据的，应要求信息提供方说明个人信息来源，并对其个人信息来源的合法性进行确认；了解信息提供方已获得的个人信息处理的授权同意范围，包括使用目的，个人信息主体是否授权同意转让、共享、公开披露、删除。

委托收集指委托他人/机构按照开放银行的要求进行数据收集。首先，需要查证受托方的资质，不得委托或授权无金融业相关资质的机构收集 C3、C2 类别信息。事前对委托收集进行信息安全影响评估。委托收集过程中要记录收集情况。

5.1.4． 停止收集

符合特定条件时，数据收集应及时停止。停止收集的情形主要有两种：

• 1）当用户退出某服务类型，应停止该服务类型收集个人信息的活动。

• 2）开放银行或第三方停止运营，当个人信息控制者停止运营其产品或服务时，应及时停止继续收集个人信息，将停止运营的通知以逐一送达或公告的形式通知个人信息主体，并对其所持有的个人信息进行删除或匿名化处理。

5.2．数据收集阶段的操作流程

及相关技术支持方案

根据上述合规性要求和银行实践中的做法，就信息收集阶段，推荐按照以下流程和方案。

5.2.1． 制定并完善收集规则

并进行公开

制定规则程序方面，建议首先明确负责部门，由负责部门组织其他相关部门制定。然后全面梳理开放银行现有的收集的信息类型、收集方式，根据不同的类型和方式制定不同的规则。在规则制定时建议一并确定规则修改的程序。

收集规则遵循最小范围原则，详见第 5.1.1 收集规则。具体来说，可以参考《信息安全技术 移动互联网应用（App）收集个人信息基本规范（草案）》对各类互联网服务可收集信息的最小范围的示范。

就网络支付领域来说，最小信息范围信息应为：网络日志；手机号码；身份证件信息：姓名、身份证件种类、身份证件号码、身份证件有效期限、身份证件复印件或影印件；客户操作行为；交易信息；账号信息：账户、口令；银行账户信息：开户行名称、银行卡卡号、银行卡有效期、银行预留手机号；交易身份验证信息：静态密码、数字证书、电子签名、动态密码。

规则的内容还应包括：

a）收集者信息：基本信息；收集者的主要负责人、数据安全责任人的姓名及联系方式；

b）收集信息：使用个人信息的目的、种类、数量、频度、方式、范围等；

c）保存信息：个人信息保存地点、期限及到期后的处理方式；

d）向他人提供个人信息的规则；

e）个人信息安全保护策略等相关信息；

f）个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法；

g）投诉、举报渠道和方法等；以及，h）法律、行政法规规定的其他内容。

规则制定后及时公开且应保证用户易于访问。规则可通过弹窗、文本链接、附件、常见问题（FAQs）等多种形式进行展示，但建议在页面的固定路径展示规则避免仅在用户注册时才能查阅。

5.2.2． 在收集前确保

信息主体的知情权

实践中，第三方和开放银行多以用户注册服务时点击同意《隐私政策》的方式进行请求授权。但我国规范中要求处理敏感信息、向境外或第三方提供个人信息的应单独告知。

尽管对于“单独”的操作并未明确，但是参考欧盟《通用数据保护条例》（GDPR）及现有的案例 ， “一揽子”请求基于不同目的的信息收集不符合公开透明性的原则。

因此，为了符合合规要求，个人信息控制者可采用分阶段、分窗口、 分屏幕等方式逐条、明确的请求授权，以向信息主体展示信息收集者、收集目的和后果。 窗口采用的语言应清楚易懂，不能采用模糊性或概括性语言。不能采用预同意的方式取得授权。

5.2.3． 对第三方收集信息

进行有效管理和控制

【对第三方进行事前审核方面】

• 首先对第三方设立恰当的准入门槛。建议参考英国《开放银行标准》（The Opening Bank Standard）中的做法。根据该标准，英国采用“白名单”的方式确定“开放银行” 的参与机构。 国内开放银行可考虑成立行业联盟，并由联盟确定第三方的评估标准和方式。对符合评估要求的第三方开放服务，并允许其收集信息。

• 其次，对已确定可以进入开放银行生态系统的第三方的具体应用场景，建议采用“多岗审核制”，在第三方通过开放银行的接口收集信息前，要求其提交收集的范围和目的，并由技术、法务、风险控制等部门对其安全性和必要性进行审核。

• 除此之外，还建议继续使用与第三方签署承诺书或数据协议的方式，在承诺书或协议中要求第三方按照法律规定和协议收集数据并明确第三方违规的责任。

【对第三方的事中监督方面】

首先建议建立线上管理系统，对第三方已获授权的收集范围进行管理和记录。

具体来说，可以要求第三方提供数据来源合法的证明文件、要求第三方定期披露信息收集的情况并进行追踪记录，发现超出法律规定和协议约定范围的及时采取措施。

其次，要求第三方遵守 “三重授权原则”，即“用户授权”+“平台授权”+“用户授权”。 开放银行直接收集用户数据时需获得用户授权，第三方开发者通过开放银行 API 接口间接收集用户数据的，还需获得开放银行授权并再次获得用户授权。授权协议应告知数据主体授权的对象具体为哪个平台/公司的何种服务、授权的起止时间、授权范围、授权可能产生的结果等信息。

最后，可通过一定的技术方案控制第三方可以获得的信息。建议对于敏感信息，采用强制性页面跳转，当数据主体在第三方合作者的平台上输入信息时，强制跳转到开放银行的界面，使第三方无法接触原始信息。

【对第三方的事后处理方面】

建议对违规或违约收集信息的第三方进行降级处理，限制其与开放银行的合作。另外，可以考虑建立行业联盟，联盟成员可以分享违规或违约第三方的名单，提示其他银行对该第三方进行更严格的事前审核。

5.3．实践中需要关注的事项

在目前的开放银行实践中，收集阶段可能面临的困难：

1. 数据主体的知情权确认需要各参与方共同推进。数据主体对信息的认知与收集者的认知存在差异。另外，对知情权的合规保护和用户体验之间的平衡也需要做好相应的处理和安排。

2. 实现合规目标的成本高。例如，法律法规要求银行对全部的第三方进行安全评估和追踪监督，然而实践中，开放银行服务有大量的第三方参与，因此较高的评估和监督成本业限制了开放银行服务的高速发展。

因此，各银行在设计数据收集环节的操作流程时需要格外注意上述问题，同时也要密切关注新的技术进步带来的可能性解决方案。

六、开放银行中的数据共享使用

6.1． 数据共享使用的合规性要求

根据《个人金融信息技术保护规范》对使用的定义，使用指对个人金融信息进行展示、共享和转让、公开披露、委托处理、加工处理等操作的过程。从定义可以看出，“使用”包含了数据处理、数据披露、数据转让和数据共享等多种含义。

其中，“共享”是指个人金融信息控制者向其他控制者提供个人金融信息，且双方分别对个人金融信息拥有独立控制权的过程。结合开放银行对数据共享的使用，针对数据共享的合规要求归纳为以下几点：

6.1.1．数据可共享性识别

首先，要对数据是否能够进行共享进行甄别、定性。例如，C3 类别信息以及 C2 类别信息中的用户鉴别辅助信息（如动态口令、短信验证码、密码提示问题答案、动态声纹密码）不应共享、转让。对于上述信息应直接从数据共享“数据池”中剔除。

6.1.2．明示告知义务并征得同意

在共享个人金融信息时，要征得个人金融信息主体同意，履行告知义务。除法律法规与行业主管部门另有规定或开展金融业务所必需的数据共享与转让（如转接清算等）外，金融业机构原则上不应共享、转让其收集的个人金融信息，确需共享、转让的，需要向个人金融信息主体告知共享、转让个人金融信息的目的、数据接收方的类型，并事先征得个人金融信息主体明示同意。

但并不是所有的个人金融信息共享行为均需要获得个人信息主体的同意，以下行为无需征得个人金融信息主体的授权同意： 

1）与履行法律法规及行业主管部门规定的义务相关的；

2）与国家安全、国防安全直接相关的；

3）与公共安全、公共卫生、重大公共利益直接相关的

4）与犯罪侦查、起诉、审判和判决执行等直接相关的；

5）出于维护个人金融信息主体或其他主体的生命、财产等重大合法权益但又很难得到本人同意的；

6）个人金融信息主体自行向社会公众公开的；

7）从合法公开披露的信息中收集个人金融信息的，如合法的新闻报道、政府信息公开等渠道的情况金融业机构共享、转让、公开披露个人金融信息。

6.1.3． 脱敏处理

在收集到个人信息后，个人信息控制者宜立即采用去标识化、匿名化、数字偏移取整、掩码遮蔽、无效化等手段对数据进行脱敏处理。在共享个人金融信息时，不应共享未经处理的原始数据，共享 “去标识化”处理（不应仅使用加密技术） 的个人金融信息时，如确保数据接收方无法重新识别个人金融信息主体的，无需履行 5.1.2 的明示告知和征得同意的义务。例如，在共享支付账号及其他类似信息时，可采用支付标记化技术（JR/T 0149-2016）进行脱敏处理。

6.1.4． 安全性要求

为更好的保障个人金融信息的安全，进行数据共享的个人金融信息控制者应建立安全制度体系，具体包括应建立个人金融信息保护组织架构，制定个人金融信息安全影响评估制度，归档保存安全评估报告等。

6.1.5． 对第三方的监督及约束

个人金融信息控制者在向第三方共享个人金融信息后，应对第三方对共享数据的使用情况进行审查与评估，评估其个人金融信息的保护能力是否达到国家、行业主管部门与金融业机构的要求。

6.2． 数据共享使用中的操作流程

及相关技术支持方案

对数据信任问题，可以考虑启用第三方机构进行数据可信度评估，建立数据发布、下载可追溯制度，可持续对共享数据的真实性、可信度进行打分，对于可信度低甚至恶意发布误导性数据的数据提供方，采取禁号、清退等措施。

技术层面，可以从共享者身份，共享数据来源，共享数据通道，共享数据使用等方面进行信用评估及记录，形成底层是技术资源（区块链、动态加密等），中间层是数据共享平台（身份鉴定、交易保护、安全流转等），最上层则是各行业/产业应用的立体数据共享系统。

1. 数据共享前，对数据的可共享性进行识别，可设置数据共享前的前置审批程序，并设立“多岗审核”机制，依据《个人金融信息保护技术规范》中的分级分类规定，由业务人员对数据进行一轮风险评估，由产品经理对数据进行二轮字段和使用场景评估，由技术人员对数据进行三轮技术层面的安全警告，使用技术手段对不具有数据共享性的用户鉴别辅助信息数据进行识别、拦截和警报，阻止该部分数据的共享，并从 “数据共享池”中删除。最终达到全流程均评估具备数据可共享性的数据才能进行对外数据共享，保证数据安全。

2. 在进行个人金融信息共享前，需要获得个人金融信息主体的同意，即明确授权。这要求信息收集者不仅在数据收集的时候获得个人金融信息主体的明确授权，在后续使用、分享的时候也需获得个人金融信息主体的明确授权。实践中信息收集主体往往只获得了“信息收集的明确授权”，没有遵循“用户授权+平台授权+用户授权”的三重授权原则。因此，建议信息收集主体再对外进行数据共享时，应当再次征询个人金融信息主体的同意，征询内容应当包括个人金融信息共享的目的，数据接收方的类型等。

实际操作中可以考虑在需要对个人金融信息数据进行共享时，自动弹出窗口，注意征询收集同意的窗口应在征询共享同意的窗口之前，由用户逐个进行授权。当用户选择同意时，个人信息收集主体获得相应的授权，后续不再弹出授权同意征询窗口。对于用户选择不同意的情况，在信息收集主体再次想要对个人金融信息数据进行共享时需要再次弹出窗口进行同意征询，为防止多次弹出降低使用感受，需设置“不再弹出” 选项，由用户自行选择。

3．敏感数据在共享时应进行“去标识化”等脱敏处理，实践中常见的脱敏做法包括进行替换、重排、加密、截断、掩码、日期偏移取整，根据不同的场景需求选择最优的脱敏方法。

例如用户身份证号和电话号等可以进行数据替换，使用虚拟值替换真值，或者也可以“*”代替。再如，用户的名字可以使用对称加密的方法进行处理，通过加密密钥和算法进行加密，通过密钥解密可以恢复原始数据。再如，对于时间类的数据，可以采取日期偏移取证的方法，通过随机移位改变数字数据，偏移取整在保持了数据的安全性的同时保证了范围的大致真实性。

实践中，数据脱敏手段往往采取多方案配合使用的方式，以达到更高的安全级别。另外，在涉及到开放银行数据共享的方案设计时，一方面可以采用数据脱敏技术，在源头上避免敏感数据流出。另一方面，隐私计算技术（如差分隐私、同态加密、秘密分享、混淆电路等）能做到在原始数据不离开本地的情况与第三方进行联合计算，并将结果返回给调用方。因此，隐私计算技术也可以作为数据脱敏手段使用，来打造开放银行业务场景解决方案。

4、在应对保障个人金融信息的安全性要求时，可按照数据共享的时间顺序进行安全部署，例如在共享个人金融信息前，个人金融信息控制者应开展个人金融信息安全影响评估和个人金融信息接收方信息安全保障能力评估，同时报经行业主管监管部门同意，行业主管监管部门不明确的，应经省级网信部门批准。

在共享个人金融信息后，个人金融信息控制者应记录包括但不限于日期、规模、目的、范围，以及数据接收方基本情况与使用意图等在内的个人金融信息共享和转让情况，确保共享和转让的信息及其过程可被追溯。应部署信息防泄露监控工具，和流量监控技术措施，对共享、转让的信息进行监控和审计等，及时掌握泄露、盗取个人金融信息的违法行为。

在安全制度体系建立方面，

首先，数据控制者应完善组织机构建设，成立专门的数据安全管理团队，指定明确的安全保护负责人，自上而下建立从领导层面至基层的管理组织架构，包括决策层、管理层，执行层和监督层；

其次，完善技术手段，结合具体业务场景，建立围绕数据安全生命周期的安全防护体系，实现数据安全的自动化落实；

最后提升人员数据安全管理能力，根据内部参与人员的角色，培养内部人员的安全意识、安全能力等。

在安全风险评估方面，首先要梳理安全基线，定期梳理面临风险，更新对应的安全策略，形成安全基线，同时进行监控审计。

在进行安全评估时，将业务现状与安全基线对标，不断升级、优化安全措施。形成周期性的内部评估工作机制，由管理层牵头并将评估结果与绩效考核挂钩，可采取内部评估自查、应急演练、对抗模拟等形式的内部评估方法。也可以引入第三方评估，从组织架构、制度流程、技术工具、人员能力体系等维度进行数据安全能力评估。

一些国家已经形成了比较完备的数据安全评估评测体系，例如美国的 TURSTe 认证，欧盟 GDPR 认证。2020 年 12 月，中国信息通信研究院团体标准 T/ISC-0011-2021《数据安全治理能力评估方法》推出了国内首个数据安全治理能力评估服务，为实践提供操作指南和度量准则。

实践中，以某互联网公司为例，APP 上线前，需要经过代码检测、动态沙箱及真机模拟检测，确保各场景的数据采集合法、正当、必要。APP 上线后，通过覆盖全场景的安全切面技术对 APP 进行保护，及时发现针对 APP 的异常攻击行为，并进行细粒度动态安全管控。

5、 对第三方的监督和约束方面，通过访谈发现，大部分的数据控制者是通过协议或合同的方式约束第三方的，需注意此种协议和合同中至少需要约定外包服务机构与外部合作机构不应留存 C2、C3 类别信息。对于 C2 类别信息中的支付账号等信息，若因清分清算、差错处理等业务需要确需留存，金融业机构应明确第三方机构的保密义务与保密责任，并应根据安全要求落实安全控制措施，将有关资料留档备查。

6.3． 实践中需要关注的事项

实践中，数据共享使用过程中可能面临以下问题：

1. 对数据可共享性识别时存在一定挑战，这导致了敏感信息间接泄露的问题。恶意合作方可以利用撞库等相关技术手段，对共享的数据样本实现重标识，因此某些敏感信息或用户鉴别的辅助信息有可能被推导出来，导致敏感信息泄漏。

2. 开放银行的参与方在数据共享时需要建议对应的信任机制。随着开放银行数据共享的范围的扩大和参与机构数量的增多，在数据合规共享过程中，还需要关注参与方之间信任机制的建设工作，从而提升通过开放银行实现数据共享的效率。

因此，各银行在设计数据共享使用环节的操作流程时需要格外注意上述情形，同时也要密切关注新的技术进步带来的解决方案。

七、开放银行中的数据传输

数据传输就是按照一定的规程，通过一条或者多条数据链路，将数据从数据源传输到数据终端，它的主要作用就是实现点与点之间的信息传输与交换。

7.1． 数据传输的基本合规性要求

7.1.1． 数据传输加密

根据《个人金融信息保护技术规范》，金融机构在使用公共网络传输时需对 C2、C3 类信息进行加密传输，采用有效措施保证数据传输可靠性，并应关注该类数据的保密与委托处理限制。对于 C3 类别中的支付敏感信息，其安全传输技术控制措施应符合有关行业技术标准与行业主管部门有关规定要求。

即，开展网络支付业务时，不得委托或授权无支付业务资质的合作机构采集支付敏感信息，应采用具有信息输入、采集安全防护、即时数据加密功能的安全控件或安全芯片，采取有效措施防止合作机构获取、留存支付敏感信息。

《商用密码应用安全性评估量化评估规则》从密码使用安全、密码管理安全和密码算法/技术安全三方面进行量化评估，其中重要数据传输机密性和完整性被纳入测评指标。

7.1.2． 网络可用性管理

金融机构作为网络运营者应当保证网络稳定运行。根据《信息安全技术 数据安全能力成熟度模型》，网络可用性管理是通过网络基础设施及网络层数据防泄漏设备的备份建设，实现网络的高可用性，从而保证数据传输过程的稳定性。

网络可用性并不单纯指网络设备、服务器、节点或传输链路的通断，而是一种衡量支持业务的网络对业务所要求的连接性和性能需求的响应程度的综合信息。网络系统的可用性包括：传输链路的可用性、交换节点（如交换机和路由器）的可用性、网络拓扑结构的可用性等。

7.2． 数据跨境传输的特殊合规性要求

我国并不禁止将个人信息传输至中国境外，但如果确实需要向境外提供的，需要在通过国家网信部门组织的安全评估后再进行传输。具体而言，个人金融信息如果确需向境外提供的，有如下合规要求：

1. 应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意；

2. 通过国家网信部门组织的安全评估，按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务，确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的个人信息保护安全要求；

3. 应与境外机构签订协议、现场核查等方式，明确并监督境外机构有效履行个人金融信息保护保密、数据删除、案件协查等职责义务。

7.2.1． 明示同意

此等同意必须是个人信息主体明确授权同意。个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

银行业通常采取与个人信息主体签署格式文本的方式，但必须对个人信息的收集、保管、处理、利用，及其相关授权的目的、可能产生的风险等向个人信息主体进行解释。

7.2.2．安全评估

根据数据跨境传输的相关规定，一方面，银行应自行组织对数据出境涉及到的信息交换的合法性、必要性以及安全影响进行评估，并对评估结果负责。评估报告及处理情况至少保存三年。

另一方面，国家网信部门将根据数据出境类型、数量、范围、重要程度等，酌情组织开展主管部门评估。

7.2.3． 对境外接收方的监督

银行在开展数据出境业务时，要保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准，包括需采取各项措施、需满足各项要求及所要达成的效果。

此外，在跨境传输中还要符合数据接收方所在国的合规要求。不过由于各国往往希望保持在网络空间和数据资源上的优势，对数据流入和流出呈现不同的管理思路，即在数据流出方面加强管控，而流入方面主张“数据自由流动”，因此对于数据跨境流通的流入基本无明确规定，持开放的态度。

7.3．数据传输相关操作流程

及技术支持方案

7.3.1．数据传输加密实践

传输需要严格符合加密规则，通常采用传输通道加密和数据内容加密。常见的传输通道加密方式是 HTTPS，这属于传输层的加密；数据内容加密是对应用层的数据信息进行加密，一般通过调用加密算法实现，这属于应用层的加密。对传输层和应用层的加密主要是为了防止数据在传输过程中的“中间人”攻击。对 C3 类别中的支付敏感信息的安全防护，各商业银行、支付机构在客户端软件与服务器、服务器与服务器之间应进行通道加密和双向认证，相当于为此类数据的安全上了多层保险。

（1）传输模式

《数据安全能力成熟度模型》提出不同等级的传输安全模式有：

（2）密码算法

【哈希算法】

哈希算法（HASH）的过程是将输入的任意长度的明文信息通过哈希算法转换成固定长度的散列值的输出。由于哈希过程是从任意长度转换到固定长度，所以对于数据来说这种转换是一种压缩映射，也就是说，输出的散列值的空间通常小于输入数据的空间。由于哈希算法的关键特性是不同的数据在经过散列算法后可能会得出相同的散列值，但无法通过散列值来确定唯一的原数据输入，因此哈希算法是单向算法，这也是其不可逆的原因。目前常用的哈希算法有国密 SM3 和 SHA256 等算法。哈希算法主要用在不可还原的密码存储、信息完整性校验、数据签名等方面。

【对称加密】

对称加密和非对称加密的工作原理相同，两者的区别在于，对称加密的加密密钥和解密密钥使用同一个密钥，而非对称加密的加密密钥和解密密钥使用不同的两个密钥。

对称加密算法是应用较早、技术更成熟的加密算法。在对称加密算法中，明文数据在由发送方发送之前和加密密钥一起经过特定加密算法进行加密，形成复杂的加密密文数据后被发送出去。接收方接收到密文数据之后，如果想解读明文数据，就必须使用相同的加密密钥经过相同加密算法的拟算法进行解密，才能恢复成加密前的明文数据。 由于对称加密的加密和解密使用的是同一个密钥，这就要求接收方需要事先持有发送方进行加密的密钥。对称加密算法的优点是加密解密的高速度、高效率和使用长密钥时的难破解性；其缺点是由于加密解密均使用同样的密钥，一旦密钥泄露，安全性得不到保证；另外由于加密解密使用同一个密钥，为了保证安全性每次传输都要生成一个唯一的密钥，这还导致密钥数量将呈几何级增长，密钥难以管理。对称加密算法主要有 SM4、3DES、AES 等算法。

【非对称加密】

非对称加密算法需要两个密钥，即公开密钥和私有密钥，公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。非对称加密算法的优点是由于公私钥是不同的，所以在分发和管理上相对简单，密钥数量也远远小于对称加密的密钥数量；其安全性远远高于对称加密的安全性，即使公钥任何被泄露，也无法解密信息。其缺点是在加密解密的速度上要比对称加密慢不少，计算量和资源消耗大。常见的非对称加密算法有 RSA、DSA、ECDSA 以及国密 SM2 等。

对称加密常与非对称加密联合使用打造安全高效的一次一密的通讯链接方式。除上述数据加密技术外，在数据加密传输的过程中还涉及一些技术手段，例如数字证书技术，密钥管理技术，安全传输通道等。

另外，一些隐私计算技术（如差分隐私、同态加密、私密共享等）也可以为开放银行打造基于数据价值流通的安全通道，并且避免原始数据的传输。在某些只需要原始数据参与计算、向制定参与方返回计算结果的开放银行业务场景中，利用隐私计算技术能够从根本上解决数据共享带来的潜在数据泄露风险。

7.3.2． 网络可用性管理实践

影响网络可用性的主要因素有传输介质因素、设备因素和网络设计因素等。

在实践中，提高网络可用性的手段主要有避错、容错、检错、恢复等。

避错就是通过改进硬件的设计和制造工艺，和/或选择成熟可靠的软硬件等来防止网络系统的错误产生，从而提高网络的可靠性。避错方法可涉及硬件、软件和管理措施，体现以预防为主的思想。

容错就是当出现某些硬件故障或软件错误时，系统仍然不失效而能够执行规定的一组程序，或者程序不会因系统中的故障而中止或被修改，并且执行结果也不包含系统中故障所引起的差错。冗余技术是容错的主要手段。

检错包括故障检测和故障诊断两方面，故障检测的作用是确定故障是否存在，故障诊断的作用是确定故障的位置。通常的检错是从故障现象出发，以网络诊断工具为手段获取故障诊断信息，确定网络故障点，查找问题的根源。

恢复是在网络出现故障时，通过排除故障来恢复系统的可用性。排错方法通常可以分为分层故障排除方法、分块故障排除方法、分段故障排除方法和替换排除方法。

7.3.3． 跨境传输评估流程

经与多家银行访谈，大多数银行较少涉及数据出境业务，尚未形成跨境传输的相关实践。但开放银行在进行评估时可参考《信息安全技术个人信息安全影响评估指南》、《信息安全技术 数据出境安全评估指南（征求意见稿）》、《个人信息和重要数据出境安全评估办法（征求意见稿）》等文件中的方法论及流程。

具体而言，包括评估总体流程、安全自评估流程、主管部门评估流程。安全自评估流程包括：启动条件、工作组、制定数据出境计划、评估要点及方法、评估报告等。主管部门评估流程包括：启动条件、评估方案、工作组、评估要点及方法、评估报告、专家委员会审议等。

流程如下：

评估要点包括合法正当性评估和风险可控性评估。

应重点评估的内容如下：

（一）数据出境的必要性；（二）涉及个人信息情况，包括个人信息的数量、范围、类型、敏感程度，以及个人信息主体是否同意其个人信息出境等；（三）涉及重要数据情况，包括重要数据的数量、范围、类型及其敏感程度等；（四）数据接收方的安全保护措施、能力和水平，以及所在国家和地区的网络安全环境等；（五）数据出境及再转移后被泄露、毁损、篡改、滥用等风险；（六）数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险；（七）其他需要评估的重要事项。通过对个人信息的类型、重要数据的影响程度等级以及安全事件可能性等级进行综合判定，得出数据出境安全风险级别为：低、中、高、极高。

此外，开放银行作为网络运营者，还需出具“个人信息出境安全风险及安全保障措施分析报告”，该等报告材料的内容至少包括如下内容：（一）网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等；（二）个人信息出境计划，包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等；（三）个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施。

7.4． 实践中需要关注的事项

实践中，数据传输环节可能面临以下问题：

1. 合作方实际行为难以监控。在客户信息传输方面，银行一方会对客户敏感信息进行加密传输，并且合作方承诺不能对信息做其他处理，然而合作方的相关承诺与其实际行为的一致性难以完全监控。

2. 数据传输涉及到的审核流程、技术方案尚不完善。传统的审核方式的优势是精细、准确，但对大字段内容的审核效果较差，往往需要人工介入，导致整体效率偏低；新兴的审核技术的优势是自动化程度高、对不同类型的数据适配性好，但是学习成本较高，对 IT 基础有一定的要求，这导致新兴技术手段的实施成本较高。

因此，银行在设计数据传输相关的操作流程时要格外重视上述问题，同时关注相关技术进展，不断改进现有实践。

八、开放银行中的数据存储

在开放银行领域，数据存储是指银行在提供金融产品和服务、开展经营管理等活动中，将数据进行持久化保存的过程，包括但不限于云存储服务、网络存储设备等载体存储数据。

8.1． 数据存储的合规性要求

8.1.1． 安全存储

数据安全存储指在存储环节，应保护数据免受未经许可而故意或偶然的传送、泄露、破坏、修改，是标志程序和数据等信息的安全程度的重要指标。

数据安全有三个特性，分别是保密性、完整性、可用性。

• 保密性一般是指对数据进行加密，只有授权者方可使用。在数据存储环节主要依赖于先进的加密技术措施和科学的管理体系，保证数据不被窃取。

• 完整性指数据未经授权不得进行修改，确保数据在存储过程中不被篡改、破坏、盗用、丢失。

• 可用性指经授权的合法用户能够得到系统和网络提供的正常服务，而不因采取避免数据泄露的措施而拒绝合法使用者。数据的完整性和可用性主要依靠技术措施来保障。

开放银行应通过数据的加密、解密技术，可以让客户随时安全地取用数据。存储个人敏感信息时，应采用加密等安全措施。数据存储加密一般需要对结构化数据的某几个敏感字段加密，比如含有个人隐私信息的字段。

8.1.2． 本地化存储

关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。个人信息和重要数据保护是国家网络安全整体工作的一部分，因此该项要求既普遍适用于各行业，同时也强调结合行业特点，发挥行业监管部门的作用。

银行业一贯负有客户资料保密义务，要求对客户的身份资料、账户信息、交易信息等予以保密。进入信息时代以后，客户资料普遍实现了信息化和数字化，对客户资料的保密自然也就延伸到对客户信息和数据的保密。

金融监管部门主导的个人金融信息的存储要求，发端于 2011 年《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》（以下简称“17 号文”）。17 号文确立了中国个人金融信息存储的基本框架，即“本地存储+处理+分析”。

8.1.3． 分类分级存储

数据分类分级是法律明确规定的银行等金融机构合规责任。通过对数据的分类分级，识别数据的具体价值，金融机构能够确定以何种适当的策略进行数据存储。我国企业应当按照网络安全等级保护制度的要求，采取数据分类等措施，并应当对其中的重要数据采取备份、加密等措施。

数据分类与分级的含义不同，可以进行拆分理解。数据分级指按照一定的原则对数据进行定级，从而为数据的开放和共享安全策略制定提供支撑的过程。数据分类主要是根据数据的某种共同属性或特征，将其按照一定的原则和方法进行区分和归类，并建立起一定的分类体系和排列顺序，以便更好地管理和使用数据的过程。数据分级通常考虑数据的敏感程度和数据遭破坏后导致的影响程度，数据分类通常更多是从业务角度或数据管理的角度出发的。

8.1.4． 存储期限最小化

存储期限最小化，要求信息的保存时间应是使用目的所需的最短时间，法律、行政法规另有规定的除外。在超过保存期限后，即应对信息作出删除或匿名化处理。

采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。依据此条款，包含个人信息的相关网络日志至少需要保存六个月。

8.1.5． 去标识化后存储

“去标识化”是指通过对个人金融信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的过程。去标识化建立在个体基础之上，保留了个体颗粒度，采用假名、加密、哈希函数等技术手段替代对个人信息的标识。

个人信息控制者对存储和传输的个人敏感信息采取响应的安全措施（加密、审计、脱敏等），对于生物识别类信息，应采用技术措施处理后再行存储。该处理方式与去标识化处理方式存在差异，去标识化处理主要是针对信息的个体特征处理，使该信息失去独立识别信息主体的能力，而此处涉及的技术措施是对生物识别信息通过加密技术手段存储或只存储该信息的摘要部分。金融机构应对委托处理的信息采用去标识化（不应仅使用加密技术）进行脱敏处理。

一些新兴的隐私计算技术也可以用来保护敏感数据。例如，针对只需要群体分布信息的场景下，差分隐私技术可以用来给数据加入一些人为可控的扰动项，从而保证群体数据的分布不变，个体的信息完全被隐藏。同态加密技术也可以用来将原始数据完全加密，数据的计算参与方仍旧可以在密文上完成计算任务，输出密文结果。只有拥有密钥的一方才能将计算结果解密还原。同态加密技术能够将数据的计算方和结果方完全分离，为数据的共享权限管理提供了更精细化的解决方案。

另外，通过隐私计算技术与人工智能建模相结合，即可打造原始数据不出域的联合模型训练技术——联邦学习技术。此项技术可完成基于多方样本数据的联合模型训练，并且各方的样本数据是在去标识化后参与模型训练的，从而有效的保护了个体信息。训练好的联合模型可以存储下来，供后续模型推理服务所用，因此这也是一种数据去标识化存储的有效手段。在模型的推理阶段，也需要利用有效的技术手段如同态加密、或多方安全计算协议对模型参数予以保护，从而有效保证一方无法通过解密反推出个体信息或模型参数。

8.1.6． 金融云的监管要求

2019年 10 月 16 日国家认证认可监督管理委员会发布并实施《金融科技产品认证规则》，将“云计算平台”作为金融科技产品中的其中一类，包括各金融机构自建、自用、自运行、自维护的私有云和供各金融机构使用和共享的团体云。实践中，金融云的部署方式以私有云、团体云及上述两者的混合云为主。

2020年 10 月 16 日，中国人民银行发布了《云计算技术金融应用规范--技术架构》（JR/T 0166—2020）、《云计算技术金融应用规范--安全技术要求》（JR/T 0167— 2020）、《云计算技术金融应用规范--容灾》（JR/T 0168—2020）。

上述三项标准，结合《信息安全技术--云计算服务安全指南》（GB/T 31167-2014）和《信息安全技术--云计算服务安全能力要求》（GB/T 31168-2014），共同构成了金融云的标准体系。

该金融云的标准体系结合了金融云的运行机制与风险特征，从基本能力、网络安全、数据保护、运行环境安全、业务连续性保障等方面提出了有针对性的技术要求，确保金融云在安全性、稳定性、适配性等方面满足监管要求和行业需求，防范因云服务缺陷引发的风险向金融领域传导。

根据对相关政策的梳理，主要有以下监管要求。

1、物理隔离

物理隔离，是指采用物理方法将内网与外网隔离从而避免入侵或信息泄露的风险的技术手段。在适用于金融行业时，是指将云计算数据中心在基础设施层面与其他行业进行隔离，对物理服务器、网络接入设施等均实现隔离。

物理隔离实现网络在逻辑上和物理上都与其他网络隔离开，是网络安全防护的最高等级防护措施。由于金融业务虚拟性、在线化的特点，以及金融内在的脆弱性、强外部性属性和风险的强大破坏力，对金融云提出高等级安全防护措施要求，是金融机构正常开展业务以及金融数据特别是个人金融信息保护的必然要求。对此，《云计算技术金融应用规范--安全技术要求》6.1（a）专门规定，“应保证用于金融业的云计算数据中心运行环境与其他行业物理隔离。”

2、以资源控制范围定责

《云计算安全参考架构》（GB/T 35279-2017）示出了云服务商及其服务客户在三种云计算服务模式即 IaaS、PaaS 和 SaaS 下可以分别控制的资源范围。云服务商的安全责任主要是保障其提供的云计算环境的安全。取决于所提供服务模式的不同，云服务商能够触达或管控的资源范围也会有所不同，通常包括物理基础设施、物理服务器、存储设备、网络设备、操作系统、数据库、应用和服务等。

根据一般的归责原则，有效触达或控制范围内的资源所导致的网络安全与数据安全责任，由其实施控制的主体承担责任。按照这一原则，云服务提供商与云服务接受方需要根据实际情况分担各自的责任。尽管如此，针对金融机构使用云服务过程中承担的安全责任，《云计算技术金融应用规范--安全技术要求》明确：金融机构是金融服务的最终提供者，其承担的安全责任不应因使用云服务而免除或减轻。因此，金融机构所需承担的责任不仅限于金融行业准入机制下的行业责任，还应当对于在将相关数据提供至云服务商后，承担网络安全等责任。金融机构在对外承担责任后，可以根据实际的责任分担情况向云服务商追偿，但目前尚无相关司法判例予以支持。

3、容灾备份

对于网络安全的防控而言，容灾是非常重要的一环。《网络安全法》第三十四条对能源、交通、水利、金融、公共服务、电子政务等重要行业关键信息基础设施的重要系统和数据库提出了容灾备份的要求，并且《关键信息基础设施安全保护条例》第十五条也规定了为满足不限于上述要求而需要采取的具体细化措施。

8.2． 数据存储环节的实施措施

及相关技术支持方案

开放银行应用的多样性，决定了数据的多样性，从而也决定了对存储设备选择的多样性。开放银行需要对数据存储介质提供有效的技术和管理手段，防止对其不当存储而可能引发的数据泄漏风险。《数据安全能力成熟度模型》构建了数据安全能力成熟度模型（DSMM），其中对数据存储安全方面提到了“存储媒体安全”、“逻辑存储安全”和“数据备份和恢复”三个维度。根据《数据安全能力成熟度模型》推荐做法，数据存储方案可以从以下方面展开：

8.2.1． 组织建设

银行内部应由业务团队相关人员根据实际业务需求负责执行存储媒体安全管理工作。该相关人员应当熟悉存储媒体安全管理的相关制度要求，并在技术上能够理解和熟悉不同存储环节的合规要求。

同时，银行结合实际情况，制定数据存储安全管理规范、数据逻辑存储系统安全管理要求、数据备份与恢复的策略和管理制度等。对于数据存储介质而言，可以建立存储介质的使用、审批、记录流程等，对相关存储介质状态、存储介质性能、流程进行常规和随机检查，考察其是否符合存储规范、使用规范以及是否存在其他的风险点。对于逻辑存储安全而言，包括例如明确各类数据存储系统的账号权限管理、访问控制、日志管理、加密管理、版本升级等方面的要求规范。对于数据备份和恢复，需要建立数据备份与恢复的操作流程、数据备份与恢复的定期检查和更新工作程序等。

8.2.2． 存储媒体安全

存储媒体从介质上进行区分，包括终端设备及网络存储，既有物理实体介质（磁盘、硬盘），也有虚拟存储介质（容器、虚拟盘）等，对介质的不当使用极其容易引发数据泄露风险。在保障存储介质安全过程中，《数据安全能力成熟度模型》提到的技术方案有：

1. 应使用技术工具对存储媒体性能进行监控，包括存储媒体的使用历史、性能指标、错误或损坏情况，对超过安全阈值的存储媒体进行预警；

2. 应对存储媒体访问和使用行为进行记录和审计；

3. 数据储存媒体应必须有明确的分类标识，数据类型、保存日期、保存期限等信息。

4. 对于到期的数据存储媒体，应及时对其进行转存和清理，可根据情况对原存储媒体进行销毁。

8.2.3． 逻辑存储安全

逻辑存储安全是基于机构内部的业务特性和数据存储安全要求，建立针对数据逻辑存储、存储容器和架构的有效安全控制。通过针对存储容器和存储架构的安全要求，比如认证鉴权、访问控制、日志管理、通信矩阵、文件防病毒等安全配置，以及安全配置策略，保证数据存储安全。

在逻辑存储安全管理阶段，《数据安全能力成熟度模型》提到的技术方案有：

1. 应提供数据存储系统配置扫描工具，定期对主要数据存储系统的安全配置进行扫描，以保证符合安全基线要求；

2. 应利用技术工具监测逻辑存储系统的数据使用规范性，确保数据存储符合组织的相关安全要求；

3. 应具备对个人信息、重要数据等敏感数据的加密存储能力。

在实施过程中，逻辑存储过程中，数据的机密性可通过如下方式予以保证，

1. 采取访问控制机制，确保客户敏感信息等敏感数据不被授权以外的任何用户或授权用户以任何未经授权的方式访问。

2. 除了必要信息外，其他中间环节应用系统的服务器和终端设备不储存重要的客户敏感信息。

3. 对于密码、密钥等数据应采取加密措施进行存储。

4. 对于涉密电子文件等，采用加密和授权的方式进行存储。

在实施过程中，逻辑存储过程中，数据的完整性可通过如下方式予以保证，

1. 依靠系统功能实现存储数据完整性。

2. 存储时对重要数据采用奇偶校验、计算校验等技术计算校验码，检查时重新计算并核对。

3. 存储时对重要数据采用密码技术（Hash、MAC、数字签名等）计算校验码，检查时重新计算并核对。

8.2.4． 数据备份和恢复

数据备份和恢复是通过执行定期的数据备份和恢复，实现对存储数据的冗余管理，保护数据的可用性。开放银行需要通过数据备份，减少数据中心发生事故后造成用户数据丢失，保证数据的完整性。

灾难备份系统建设要根据灾难恢复策略制定灾难备份系统技术方案，包含数据备份系统、备用数据处理系统和备用网络系统，技术方案中所涉及的系统应获得同生产系统相当的安全防护水平和具有可扩展性；其次，为满足灾难恢复策略的要求，应对技术方案中关键技术应用的可行性进行验证测试，并记录和保存验证测试的结果；最后，应制定灾难备份系统集成与测试计划并组织实施，通过技术和业务测试，确认灾难备份系统的功能与性能达到设计指标要求。在数据备份与恢复阶段，《数据安全能力成熟度模型》提到的技术方案有：

1. 应建立数据备份与恢复的统一技术工具，保证相关工作的自动执行；

2. 应建立备份和归档数据安全的技术手段，包括但不限于对备份和归档数据的访问控制、压缩或加密管理、完整性和可用性管理，确保对备份和归档数据的安全性、存储空间的有效 利用、安全存储和安全访问；

3. 应定期采取必要的技术措施查验备份和归档数据完整性和可用性；

4. 应建立过期存储数据及其备份数据彻底删除或匿名化的方法和机制，能够验证数据已被完全删除、无法恢复或无法识别到个人，并告知数据控制者和数据使用者；

5. 应通过风险提示和技术手段避免非过期数据的误删除，确保在一定的时间窗口内的误删除数据可以手动恢复；

6. 应确保存储架构具备数据存储跨机柜或跨机房容错部署能力。

在银行实际实施中，可以将数据根据主题、业务条线、安全性等因素进行分类分级，根据数据当前所处的生命周期阶段，对其备份级别和备份策略进行针对性调整。为了保证备份数据的可恢复性，应当对备份作业完成情况、带库设备状态以及备份数据恢复测试三方面进行全面检查；为了验证备份数据的完整性，可通过对备份磁带进行物理扫描，保证备份数据恢复后的有效性。

此外，针对金融云服务作为关键信息基础设施运营者的情形，可参考《信息安全技术-关键信息基础设施安全控制措施》第 6.5 条制定容灾备份策略，建设灾难备份中心并保证业务的连续性。

同时《云计算技术金融应用规范--容灾》细化了金融云服务中的云服务商及应用云计算的金融机构的容灾能力，根据应用于金融领域的云计算平台发生故障或瘫痪的影响范围、危害程度，将其容灾能力等级划分为 6 级，应用于金融领域的云计算平台至少应达到容灾能力 3 级要求。具体如下：

8.3． 实践中需要关注的事项

基于目前的开放银行实践，数据存储环节可能存在以下问题：

1. 基于行业特征、组织架构、数据现状及合规成本等因素，金融机构在开展数据分类分级时，很难仅按照一个维度分类分级数据，通常会采用多个维度交叉验证，统筹实施。

2. 针对敏感个人信息，按银行与合作方的协议约定，合作方不得留存客户信息，仅提供相关服务。然而在实践中，客户主要通过合作方掌控的界面输入信息，此处可能存在合作方的道德风险，即违约留存客户个人敏感信息等行为。

九、其他事项或建议

基于前期调研，报告发现实践中普遍存在数据安全监控难题。

实践中银行一般采取签订协议或保函的方式，与第三方明确数据共享及使用的权利义务，对于第三方的使用方式、是否履行了删除义务等问题，无法从技术层面进行有效监控，面临数据泄露、数据转卖等风险。

结合访谈、调研以及国际上的做法，可以考虑探讨建立开放银行的行业联盟以及相应信用机制的可行性。行业联盟为较为中立的机构，负责确定第三方准入和评估机制，为开放银行提供事前保障。然后，根据联盟和联盟成员的关系，确定恰当的信用机制。如取消第三方注册、共享违规信息、对第三方进行评级等措施进行事后监管。以韩国金融电信和清算研究所为例，其管理和存储着支付信息，如帐户转账、电子支付、电子账单交易等。目前只有其成员才能访问这些数据。 第三方无需与银行单独签订协议，而是向金融清算所提交申请，经审核后获得许可才能开始使用开放银行服务。

2、从平台搭建的角度，目前走在开放银行业务前端的少数银行，除了常见的搭建自己的数据平台外，还联合了保险等其他金融业机构，共同开发数据平台，但在开发过程中存在数据公开不彻底，数据信任程度差等问题，严重影响了平台的开发速度。

结合访谈和调研，可以考虑探讨从政府或银联方面，是否有可能负责 API 标准的制定和更新、API 共享平台的搭建。

以新加坡为例，新加坡金融管理局与新加坡银行协会合作，发布了《金融即服务：API 手册》，确定了数据标准、API 标准和安全标准。其中 API 标准针对 API 架构、开发与部署、授权、版本等方面做了统一规范，以便于在整个行业内形成统一的 API 设计语言，为开发人员提供快捷、简易的使用体验。

安全标准则主要被用于保护通过 API 传输的信息，从而确保客户数据的隐私，涵盖身份认证、授权、加密三块内容。除此之外针对 API 提供者、API 消费者（第三方）、开发者社区、金融科技公司等 API 各方主体的开发、使用流程做出规定 。

新加坡政府还建立了一个 API 交换（APEX）的数据共享平台，允许整个新加坡的政府机构通过 API 安全地共享数据。还建立了一个金融行业 API 注册表，每半年更新一次，在启动时按功能类别跟踪 API。

另外，利用隐私计算技术，打造基于场景的开放银行数据服务也是可供选择的技术方案。开发银行业务可以采用多方安全计算协议，对涉及到的业务场景的相关 API 和 SDK 做出定制化的改造，保证业务场景能够实现的情况，数据使用的最小够用原则。基于密文的多方安全计算协议也能够保证，即使开放银行业务在需要第三方参与计算时，第三方也不会获取到与计算相关的原始数据，进一步降低了第三方违规留存数据的风险。

十、开放银行落地案例

10.1． 中银跨境 e 商通—跨境电商支付结算服务

10.2． 工银 e 钱包—智能的线上零售业务综合解决方案

10.3． 合作方 H5 服务接入—中国银行场景生态建设