开放银行数据保护与合规的10个典型实践案例

开放隐私计算 2024-01-09

近日，中国银联技术管理委员会发布《开放银行数据保护与合规实践案例报告》，报告指出开放银行的主旨和核心在于数据和服务的开放共享，是商业银行数字化转型的重要组成部分。该报告作为2021年发布的《开放银行数据保护与合规研究报告》续篇，收集了9家商业银行10个具有典型意义并取得积极成效的开放银行数据保护实践案例，据现状提出政策、标准、技术研究的完善建议，进一步有效推进开放银行生态建设。

报告提供了大量案例分析和讨论，主要涉及以下几个方面：1.开放银行的业务场景和技术方案：报告介绍了开放银行的概念、发展历程、业务场景和技术方案，包括API接口、数据共享、数字身份认证等。2.数据保护和隐私保护：报告讨论了开放银行中的数据保护和隐私保护问题，包括数据分类、脱敏技术、数据安全管理等。3.合规实践：报告介绍了开放银行中的合规实践，包括反洗钱（AML）、反恐怖融资（CFT）、KYC等。4.技术架构和平台建设：报告讨论了开放银行的技术架构和平台建设，包括上下文模型、访问控制策略、API管理平台等。本文为大家梳理总结了报告中提到的10个典型案例。01开放平台的多平台SDK方案关键字：加解密；SDK；多平台提供方：华夏银行简介:该技术方案主要体现了数据传输合规，《个人金融信息保护技术规范》要求金融机构在使用公共网络传输时需对C2、C3类信息进行加密传输。该方案采用在管理台配置的方式，设定各平台数据传输所使用的加解密技术，包括对称加密和非对称加密的国密算法等，并将各平台数据传输的加解密方式进行封装进SDK，统一管控了加解密技术标准，并简化了日常项目开发的周期和成本，是数据传输合规较成熟的落地实践方案。亮点:1.为了方便第三方接入银行的开放API接口，银行提供了一套封装好的软件开发工具包（SDK），以支持不同平台（如服务器端、移动端、H5端）的应用程序接入。2.这些SDK包含了认证授权算法、加解密算法、国密算法支持、证书管理、token管理、服务调用、结果解析等功能，使得第三方应用程序可以更加便捷地接入银行的开放API接口，并且保证数据安全和隐私保护。3.这种多平台SDK方案也大大简化了第三方应用程序的开发周期和成本，提高了业务响应速度和效率。图解:

该方案主要关注于数据传输阶段的数据安全的保护，并且针对SDK本身的安全，进行规范化管理。确保SDK自身的安全性，SDK的使用模式导致其自身的安全问题会产生放大效应。需要在SDK的开发、使用、监测等全生命周期执行严格的安全标准，减少安全漏洞的产生，及时发现安全漏洞并立即修补，提升SDK的安全性。

02数据访问控制安全平台

关键字：数据访问控制；基于属性(ABAC)的上下文模型提供方：中国建设银行简介:在数据使用方面，为满足数据使用的“最小化”原则，建成全行企业级的数据安全访问控制平台，提供业务过程中细粒度的数据安全访问控制，着力于解决个人信息保护与业务场景相融合的难题。亮点:1.细粒度的数据访问控制：该平台可以对数百个系统提供细粒度的数据访问控制，保护客户金融个人信息。2.规范员工数据使用行为：该平台可以规范员工数据使用行为，保证客户隐私。3.通用性和灵活性：该平台可以适应未来政策要求，并且具有通用性和灵活性。4.降低成本和提高效率：该平台可以降低企业投入大量时间成本、人力成本和资金成本对现有系统功能改造，并且简化了日常项目开发周期和成本。5.全面保障数据安全：该平台通过建立技术框架体系、规范员工行为等多种手段，全面保障银行内部和外部系统的数据安全。图解:

要根除个人信息查询管理混乱的问题，建设易于实施、可持续使用、为企业降本增效的数据访问控制安全平台，以下是能触达目标的三个关键步骤：1.全局掌握业务过程中涉及个人信息查询的数据接口应用系统的API接口是个人信息输出的重要关口，将数据访问控制点设在应用接口返回用户数据时，是实现数据访问控制的最理想途径。应用API接口都由什么业务在调用，每个接口都在输出些什么类型的数据，接口输出的数据是否包含个人敏感信息，厘清这些信息，是建立企业级API数据访问控制关键的一步。2.整体评估业务过程中个人信息的访问控制策略业务办理过程中的个人信息保护不能简单地一刀切。如果对所有个人信息都进行脱敏屏蔽，将导致很多需要核实个人信息的业务无法办理。企业需要在不影响业务正常执行的前提下，最小化用户对个人信息的查询权限，解决查询权限混乱与查询业务操作不规范的问题。3.通过平台实现数据访问控制统一管理全面的数据接口测绘与数据风险评估是解决个人信息查询问题的必要过程，但要真正解决个人信息查询的数据安全问题，最终必需要在每一支交易中实现访问控制。

03敏感信息标记化输出

关键字：授权机制；敏感信息标记化处理提供方：民生银行简介:《开放银行数据保护与合规研究报告》对数据共享使用合规性要求、操作流程和技术支持方案等进行了归纳总结，在共享个人金融信息时，要征得个人金融信息主体同意，履行告知义务。《个人金融信息保护规范》(JR-T0171-2020)规定，在共享个人金融信息时，支付账号及其等效信息在共享和转让时，除法律法规和行业主管部门另有规定外，应使用支付标记化（按照JR/T0149-2016）技术进行脱敏处理（因业务需要无法使用支付标记化技术时，应进行加密），防范信息泄露风险。亮点:1.敏感信息安全：通过标记化输出技术，可以对个人敏感信息进行掩码处理和加密处理等方式，确保数据在传输过程中不会被泄露。2.统一处理：该技术可以对个人敏感信息进行统一处理，避免了不同系统之间的差异性。3.明文传输：该技术可以确保开放银行与接入方之间无敏感信息明文传输，提高了数据安全性。4.规范化：该技术可以规范数据输出格式和内容，提高了数据交互的效率和准确性。5.适应性强：该技术可以适应不同系统和场景的需继续求，具有较强的适应性和灵活性，可以满足不同行业和企业的需求。6.保障用户隐私：该技术可以有效保障用户的隐私，避免个人敏感信息被泄露或滥用。7.提高数据价值：通过标记化输出技术，可以提高数据的价值和流转效率，促进数字经济的发展。图解:

敏感信息标记化由开放平台网关根据预定规则统一处理，对手机号、卡号、姓名等个人敏感信息进行掩码处理，对重要敏感字段采用加密处理，确保开放银行与接入方之间无敏感信息明文传输。
04基于责任链的开放银行数据保护及合规实践

关键字：责任链模型；数据保护

提供方：中国农业银行

简介:

数据收集合规方面，开放银行在提供用户信息相关服务时，若涉及收集用户信息将以签署授权协议的方式获取用户授权;数据共享使用方面，第三方在调用获取、使用、变更客户信息、账户、资金等接口时，需先取得客户明示同意，同时开放银行依据最少够用原则，采用了报文非必要字段过滤及关键字脱敏的方式；数据传输合规方面，通道层基于TLS1.2及以上版本安全通道进行通信，应用层支持标准国际国密算法加密，为保证与第三方之间数据传输的完整性与不可抵赖性，采用数字签名技术，为合作方应用一对一颁发证书，后续通过证书来验证第三方合法身份；数据存储合规方面，平台不存储业务类数据，业务数据从后台关联系统获取，技术类数据则入库大数据平台永久保存，对于交易日志，在完成去标识化处理后上送运维平台展示，并依据标准脱敏规则，对邮箱、身份证号、手机号等信息进行脱敏处理。

亮点:

1.基于责任链模型：该案例采用了基于责任链模型的开放银行认证授权及数据保护体系，通过一系列紧密配合工作的Filter按照预设的FilterOrder实现，Filter间不直接通信，通过RequestContext共享状态。

2.保障数据安全和用户隐私：该案例通过授权机制和敏感信息标记化处理等技术，有效保障了数据安全和用户隐私。

3.满足监管要求：该案例在满足监管要求的前提下，实现了便捷、高效、安全的数据传输，提高了数据价值应用和流转效率。

图解:

开放银行数据保护责任链模型主要包括三部分：PreFilters、ErrorFilters和PostFilters。ErrorFilters和PostFilters分别负责进行统一异常处理和事后流水记录，Pre Filters是模型的重点，包含了一系列的数据处理节点，上图重点列出了一部分。其中，报文转换节点用于校验合作方报文格式是否符合HTTP规范以及是否满足开放银行标准；鉴权节点用于鉴别合作方是否具有开放银行接口访问权限；签名验签节点通过验证合作方数字证书的有效性以确认合作方身份真实性；加解密节点在应用层面采用密钥加密手段保护数据安全；后台调用节点负责链接我行多样的开放金融产品服务；输出过滤节点可根据实际需求过滤掉报文中的非必要字段，保证了信息的最小集输出原则；关键字脱敏节点可按预设脱敏规则对响应报文的敏感信息进行脱敏处理，保护用户隐私；组装响应报文节点在完成前面所有节点处理后将组装后的响应数据共享给合作方。

责任链模型中各个处理节点形成了先后的层级关系，但各个节点间互不影响，耦合度较低，仅通过RequestContext共享状态。PreFilters执行过程中失败则会由ErrorFilters接手处理，执行完毕后进入PostFilters记录流水日志。只有链条上所有节点均正常执行完毕后，才会视为请求处理成功。

05服务开放平台数据安全管控关键字：数据安全、服务开放提供方：邮政储蓄银行简介：在数据收集方面，服务开放平台在接口投产前对接口的数据收集合规性进行评估，并制定统一的数据收集授权机制和隐私协议，提示并获得用户主动授权同意。在数据传输方面，服务开放平台和合作伙伴间利用SM2和SM4算法实现私钥加密和报文加密，保障数据传输的保密性，并对合作伙伴的API请求做签名验签，保障通信过程的完整性和真实性。在数据存储方面，将客户个人信息等隐私数据上传至行内客户信息平台进行统一管控，身份鉴别类和密钥等数据由专门渠道系统、生物特征系统和密钥管理平台等系统全程加密存储，实现重要数据的分区分域存储管理。数据使用方面，提供统一的数据访问、数据共享、数据脱敏展示等策略，在服务端控制用户对敏感数据的使用，禁止所有接口提供批量打印或导出敏感数据服务，保障数据使用安全。数据删除方面，服务开放平台对已注销客户和平台已下线服务涉及的客户进行状态标记，并通过状态标记结果，限制服务开放平台对相关客户数据的在线访问和使用，保障用户合法权益。亮点：1.多维度同步开展全管理、接口与数据交互安全评估、数据安全合规评估等，共同为服务开放平台数据安全提供保障。2.邮储银行研发安全团队建立软件研发全生命周期安全管控流程，将安全左移，从业务需求分析、系统设计、系统研发和安全投产验收等各个环节，充分识别系统面临的安全威胁，建立集网络、主机、应用、数据和场景等安全闭环管控流程。3.邮储银行运维安全团队提供全面的运维监控、服务监控、流量监控、入侵检测、态势感知、数据备份与恢复等安全能力，充分保障系统安全运行。4.邮储银行数据安全管理团队建立外部数据交付安全评估管理流程，在服务开放平台业务服务接入前开展数据安全评估，识别服务开放平台在外提供服务时数据控制情况，评估数据在出行、入行以及各应用场景下的安全风险，形成数据安全影响评估报告。图解：

邮储银行服务开放平台是通过互联网和专线两种接入模式，为第三方合作伙伴以及总、分行等应用方提供API、H5、SDK等多种形式的一站式接口服务平台。服务开放平台是一个多层次的、多业务的、跨平台的业务处理系统，内部与邮储银行目前运营的多个关联系统有连接，外部对接产业应用平台及消费平台各种生态系统。因此系统的安全需求体现在多个层面上，这些层面的安全目标各不相同但互相关联。邮储银行服务开放平台通过IaaS云平台、行内各关联系统和平台自身的安全组件为平台提供通用的安全服务能力，形成一个集硬件与软件于一体的安全服务网关。服务开放平台技术框架如下图所示。
06开放银行整合银企直连的代发工资服务输出关键字：开放银行版前置机加密机；提供方：中国交通银行简介：在数据收集合规方面，为满足《个人信息保护法》中的“知情同意”原则，在企业入驻开通产品的时候会通过签署协议告知获取用户信息的授权，同时企业也会征询员工的授权；在数据传输合规方面，链路采用TLS1.2进行通信，链路数据是按照国密或国际加密算法进行加密保护，用户通过加密机和硬件KEY进行解密获取，最大程度上保证数据传输的安全性；在数据存储方面，密钥存储在加密机或者前置机中，银行端交易日志存储在专用历史库中，客户端交易日志按照入驻协议要求进行安全存储并在有效期过后进行删除。亮点：

1.整合银企直连的代发工资服务，实现了银行与企业之间的无缝对接，提高了服务效率和客户体验。

2.通过开放银行的方式，将代发工资服务输出到第三方平台，扩大了服务范围和覆盖面。

3.采用标准化接口和数据格式，降低了接入门槛和成本，并提高了系统的兼容性和可扩展性。

4.通过智能化风控模型和实时监测机制，保障了交易安全和数据隐私。

5.提供多种支付方式和结算工具，满足不同客户的需求，并支持多种货币类型的转账。

图解：

交行通过设置API的不同等级来识别是否配套使用前置机或加密机模式，若使用前置机或加密机，开放银行平台需要在交易中通过鉴权中心CA系统的接口去验证客户的密钥。具体业务流程如下：1.客户通过门户网站申请开通代发工资产品，根据产品在治理平台配置的安全校验等级为硬件KEY校验，提示客户待银行审批通过后需至柜面领取硬件key，并在上线后通过网站权限管理功能将开放银行产品接口与硬件key及网站用户做关联绑定。如由分行代为客户进行入驻操作的，需提示客户经理在上线前需及时领取硬件KEY。2.完成入驻审批后，客户经理通知用户至网点领取硬件KEY并进行企业现场身份识别，开通网络金融客户号、企业对公结算帐号（如需）及核心客户号。3.经开放银行入驻审批通过的客户可登录开放银行门户网站使用手机或者企业网银身份登录，并在用户权限管理中新增虚拟操作员，关联产品及硬件KEY，并为每位操作员配置接口调用的权限。4.用户开通产品后，可调用接口推送交易。如用户开通的产品为需要加密机和前置机的代发工资接口，每次发送交易前需要经前置机硬件key或加密机完成相应的授权操作。
07信贷模型预测服务关键字：隐私计算；普惠信贷提供方：中国工商银行简介：在数据收集合规方面，为满足《个人信息保护法》中的“知情同意”原则，在用户提出申请时通过签署协议的方式获取用户信息的授权；在数据传输合规方面，模型训练阶段不涉及用户原始数据的传输，并且对于所传输的中间参数、梯度等信息采用同态加密等方式进行了保护，在模型预测阶段，由于涉及用户三要素的传输，采用了国密等加密算法对原始数据进行了保护；在数据存储方面，最需要关注的模型资产数据及推理结果采用了加密手段被存储在合作方，密钥储存在工商银行侧，保障了用户的预测标签只有工商银行能够获取。亮点1.采用机器学习和大数据技术，构建了高精度的信贷模型，能够快速、准确地预测客户的信用风险。2.通过开放银行的方式，将信贷模型预测服务输出到第三方平台，扩大了服务范围和覆盖面。3.提供多种数据源和特征工程方法，支持客户自定义模型训练和调优。4.提供实时监测和反欺诈机制，保障了交易安全和数据隐私。5.支持多种查询方式和结果展示方式，满足不同客户的需求，并提供可视化分析工具，帮助客户更好地理解模型预测结果。图解：

工商银行通过银联开放银行服务查询加密评分：银联将训练完成的联邦模型包装为开放银行数据服务提供给工商银行调用。当小微企业通过申请工商银行“商户贷”产品的贷款时，工商银行将小微企业主的身份证加密后作为查询条件，调用银联侧通过开放银行提供的模型服务，查询计算出该商户的违约评分（密文）后，返回工商银行。工商银行解密商户违约评分：工商银行侧的联邦学习节点收到密文的商户违约评分后，使用密钥进行解密并将解密后的明文商户违约评分返回给信贷管理平台，基于贷款审批策略根据评分进行贷款自动审批，实现精准授信。
08多方安全数据分析平台与金融反诈应用关键字：金融反诈；联邦学习；多方安全计算提供方：中国农业银行简介：在数据收集合规方面，本项目严格按照《个人金融信息保护技术规范》（JR/T0171—2020）、《区块链技术金融应用评估规则》（JR/T0193—2020）、《金融科技创新安全通用规范》等相关金融行业技术标准规范要求进行；在数据传输合规方面，平台使用区块链平台负责管理控制流，具有“不可伪造”“全程留痕”“可以追溯”“公开透明”“集体维护”等特征，隐私计算引擎负责基于多方安全计算及联邦学习等技术，实现数据的安全计算流，真正做到数据的“可用不可见”。安全计算基于盲签名、秘密分享和不经意传输技术实现了安全求和、安全求交和隐私查询功能，整体协议安全性归约到RSA，SM2的安全性，其满足《中华人民共和国金融行业标准》（JR/T0025.17–2013）以及国密局《GB/T32918-2016信息安全技术SM2椭圆曲线公钥密码算法》规范标准。两种科技手段的结合使用将有效解决平台建设阶段中数据信息安全、效率成本、监督管理等方面存在的欠缺，进一步完善机制、提升效率，扩大成果；在数据存储合规方面，各参与方数据均在本地存储，查询完成后，查询方存储查询结果，保证数据存储安全。亮点：1.采用多方数据安全计算技术，实现了金融机构之间的数据共享和联合分析，提高了反欺诈能力和风险控制水平。2.通过建立反欺诈模型和风险评估模型，实现了对客户身份、交易行为等多维度信息的分析和预测，提高了反欺诈效果和准确率。3.提供实时监测和预警机制，能够及时发现异常交易和风险事件，并采取相应措施进行处置。4.支持多种查询方式和结果展示方式，满足不同用户的需求，并提供可视化分析工具，帮助用户更好地理解数据分析结果。5.平台具有高度可扩展性和灵活性，能够根据不同金融机构的需求进行定制化开发和部署。
09行司联动提升风控能力关键字：隐私计算；联邦学习；联合风控提供方：中国银行简介：在数据收集合规方面，为满足《个人信息保护法》中的“知情同意”原则，在用户提出申请“好客贷”时签署相应授权协议获取用户信息的授权；在数据传输合规方面，模型训练阶段不涉及用户原始数据的传输，并且对于所传输的中间参数、梯度等信息采用同态加密等方式进行了保护，在模型预测阶段，由于涉及用户ID的传输，采用了国密等加密算法对原始数据进行了保护，推理中间结果采用了加密手段进行传输；在数据存储方面，模型资产数据和预测数据均在中国银行和附属子公司域内分别存储，保障了用户信息不出域，保护客户隐私。亮点：1.采用联邦学习技术，实现了行司之间的数据共享和联合建模，提高了风控能力和数据利用率。2.通过建立风险评估模型，实现了对客户信用、交易行为等多维度信息的分析和预测，提高了风险控制水平。3.支持模型接口集成，方便行司内部系统调用和使用，并提供实时监测和预警机制，能够及时发现异常交易和风险事件，并采取相应措施进行处置。4.平台具有高度可扩展性和灵活性，能够根据不同行司的需求进行定制化开发和部署。5.该案例是金融机构之间合作的典范，通过共享数据、联合建模等方式实现了互利共赢。图解：

整个架构采用了前置机/加密机保证了数据传输和处理的安全性，采用联邦学习技术实现了行司之间的数据共享和联合建模，提高了风控能力和数据利用率。同时，平台具有高度可扩展性和灵活性，能够根据不同行司的需求进行定制化开发和部署。
10前高价值户识别模型预测服务关键字：隐私计算；企业智慧营销提供方：招商银行简介:该场景仅涉及企业相关数据。模型训练阶段不涉及用户原始数据的传输，并且对于所传输的中间参数、梯度等信息采用同态加密等方式进行了保护，仅凭这些参数无法反推各自原始数据，且建模完后各自建模数据销毁，建模阶段仅输出一个模型，模型是没有ID属性或和ID有相关性的，也不会指向任何特定客户ID。在模型预测阶段，采用了国密等加密算法对原始数据进行了保护。亮点:1.数据隐私和合规保护：a.在模型训练阶段，不传输用户原始数据，只传输中间参数和梯度等信息。b.中间参数和梯度等信息采用同态加密等方式进行保护，确保数据隐私不被泄露。c.在模型预测阶段，采用国密等加密算法对原始数据进行保护，确保数据安全性和合规性。2.高价值户识别模型预测服务：a.引入政务数据作为特征，该数据能够衡量客户真实价值。b.客户根据特征进行分层，分层结果对营销和高质量拓客经营具有重要的指导意义。图解：

该模型引入可衡量客户真实价值的政务数据作为特征及客户价值标签构建模型，模型对客户进行分层，分层结果对于营销和高质量拓客经营有很高的指导意义。1.地方大数据公司提供特征，以及用于衡量客户真实价值的政务数据生成客户标签。2.行内提供特征。3.双方训练联邦xgb模型，模型形成服务获得客户分层，客户名单分别用于分行各类产品的精准营销。

在本报告中，各家银行根据自身优势、定位和需求的差异，采用了多样化的技术方案和管理手段，从不同阶段对开放银行数据的安全和合规进行保障。华夏银行、建行、民生银行、农业银行、邮储银行、交通银行等银行都采用了各自的安全技术和管理制度，以确保数据在传输、访问控制、敏感信息采集传输、授权认证等环节的安全性和合规性。同时，随着中国银联技术管理委员会开放银行课题组的研究和创新，监管前哨的安全框架和核心技术的提出，为商业银行和应用方在数据共享使用中的安全隐患提供了技术支持，推动了开放银行生态的持续健康发展。面对日益严峻的数据安全挑战，商业银行将继续加大对数据保护和合规的投入，以适应数字经济发展的要求，为客户提供更安全、便捷、高效的金融服务。

本文由“开放隐私计算”综合整理，转载请声明来源，仅供学习分享，若有不当请联系我们处理，回复“20230531”可获取《开放银行数据保护与合规实践案例报告》全文。

END热门文章: