浦发、平安、南京、新网银行开放API的思与行

导读：近年来，开放 API 推动了银行业服务能力和服务渠道的全面对外赋能。在此过程中，几大变化使银行机构受益其中：首先是客户服务逐渐进化为用户服务，银行与用户在各种场景中建立了更多维度和更深层次的连接。第二是银行服务从封闭业务转化为场景服务，银行在满足客户不同场景需求的基础上整合生态、建构平台，对外服务愈加开放。第三是从独享内部生态向融入外部生态圈转化，自身降本增效的同时，达成了与生态平台的合作共赢。为加强金融同业对合规开 放 API、创新对外服务模式的思考，来自浦发、平安、南京、新网银行的五位专家，通过“对话”形式，深入探讨了“开放 API 的实施路径及难点应对”。

近年来，开放 API 推动了银行业服务能力和服务渠道的全面对外赋能。在此过程中，几大变化使银行机构受益其中：首先是客户服务逐渐进化为用户服务，银行与用户在各种场景中建立了更多维度和更深层次的连接。第二是银行服务从封闭业务转化为场景服务，银行在满足客户不同场景需求的基础上整合生态、建构平台，对外服务愈加开放。第三是从独享内部生态向融入外部生态圈转化，自身降本增效的同时，达成了与生态平台的合作共赢。

以生态连接为核心驱动力开放 API

Q：贵行何时开始实施开放API策略，初衷是什么？

陈海宁：新浦发银行无界开放银行API Bank并非天然概念，而是经历了一个逐步深化提炼的过程。2015年浦发银行开始接触研究API时，还只是从技术层面意识到API技术平台对IT架构开放和延展的重要意义。2017年API开放平台投产运营后，我们逐渐发现：凭借信息直达、能力开放、场景嵌入的特点，API是绝佳的生态成员连接器，是开放银行的基石，API与Bank相遇，将推动银行业务经营产生诸多化学反应。2018年7月，浦发银行在业内率先发布了“API Bank无界开放银行”，标志着国内关于“开放银行”构想的正式落地，引发了开放银行建设的浪潮。

周博、卢健：平安银行自2017年开始实施开放API策略，初衷是希望依托API加强与合作方的连接，扩展业务应用场景和渠道，不断聚集互联网新客户。同时，纳入合作方能够进一步丰富本行的产品服务，构建一个覆盖社会生活各个方面的互联网金融生态圈。采用标准化的API形式，能够满足合作方的调用需求，提升复用率，降低与商户对接的开发成本。

李勇：南京银行最早在2014年开始尝试使用开放API的方式与外部平台进行技术连接、开展合作，初衷是满足某一特定客户需求，服务较单一。2017年11月，南京银行聚焦行业发展痛点，用开放的精神、先进的技术、普惠的愿景，打造出“六行代码接入”的“鑫云+”互联网金融开放平台，合作方可以标准服务（API/SDK）形式，快速接入各类专业金融和数据服务。至此，南京银行正式开始通过平台化的方式实施开放API策略，并在技术实施和组织保障等方面建立了相应机制。

毛航：作为一家新成立的民营银行，新网银行在开业初期面临着没有场景、没有网点、没有存量客户、没有强大资本背景的不利局面。在2016年筹建阶段，为满足业务的生存和发展，坚持走数字惠普、差异化经营路线，新网银行根据自身整体战略目标和信息科技发展规划，提出了“开放合作，万能连接”的发展战略。作为互联网生态中合作方之间服务协同和服务融合的主要技术手段，开放API技术为新网银行的开放策略提供了有效的技术支持。

推进开放 API收效显著

Q：结合行内重点项目，请介绍落地开放API策略的具体思路和举措。

陈海宁：浦发银行开放API持续推进平台服务功能和安全能力建设、完善配套的业务经营体系、加强风险合规管理，以实现开放银行服务和运营模式的转变。例如，浦发API开放银行服务外贸企业，用户在跨境电商APP上即可完成跨境资金结算、外汇交易、网上收支统计和核对等多项金融操作，打通了“进出口企业、境外支付公司和浦发银行”的三方信息流、资金流。我们通过产品共建、风险共担的新型合作方式，打造服务外贸企业的一站式服务，服务实体经济，未来还可拓展到教育、医疗缴费、社保等各项民生领域。

周博、卢健：平安银行开放API历经高度定制化到标准化输出、线下对接到线上自主化开发、散点式向平台化发展的过程。以与某电商旗下金融科技公司合作为例，2018年下半年，我行开始对“二类户+理财产品”进行API标准的开发，2019年将这些API对其他合作商户输出，整个过程都是通过线下开发完成，由商户对接银行的测试环境。2020年4月，我行将上述API发布在开放平台，商户通过平台自主在线申请API合作，并与银行测试环境进行开发联调。2020年7月，开放银行沙箱上线，商户可通过沙箱环境与银行对接相关API，进一步缩短对接周期，降低开发成本。

在产品开发上，以“大中台”概念打破了条线壁垒和技术边界，汇聚了平安银行万人科技队伍、千人产品经理、数百个科技产品团队的精华。例如，平安智慧城市项目为开封市民打造的掌上生活APP，集合生活缴费、公交、医疗、社保等功能，其中平安银行的钱包账户集合了零售一户通和电商见证宝的核心功能，通过开放API，实现行内核心产品功能的货架式选择，可按用户需求，快速组合部署。

李勇：南京银行落实开放API策略主要分为三个部分：第一，建设私有云平台，构建全行级开放API平台，夯实技术基础，同时，配套构建DevOps体系，实现业务应用的持续集成和敏捷开发，降低生产发布风险。第二，不断总结和提炼平台合作经验，形成标准化API服务清单。目前，已经总结出融资、投资、支付、账户、公共等五大类、80多个标准API服务，并结合客户服务场景归纳出基本产品方案，形成有针对性的客户对接手册，帮助客户快速理解，实现高效沟通。第三，构建开放平台敏捷开发团队，2020年在信息技术部内成立创新产品管部，统一负责业务需求对接、设计开发、测试联调、上线运维等。目前，南京银行所有外部平台合作对接都由API开放平台承载。

毛航：新网银行落地开放API策略主要涉及技术和场景两方面。技术方面，借鉴“开放银行”模式，搭建了包括外部应用接入层、开放平台核心层和业务功能层在内的金融开放平台，利用开放API技术实现银行与第三方机构之间的数据共享，通过接口标准化、功能模块化改造，实现信贷、支付等金融功能的对外输出。消费场景方面，通过API接口开放连接场景，将银行服务入口嵌入到合作伙伴的APP内，充分延伸普惠金融服务半径。满足汽车、旅游、消费、出行及小微业务等多个领域的金融需求，实现了金融跨场景深度融合。

Q：结合落地进展，商业银行通过开放API获得了哪些经营收效？

李勇：目前，南京银行对外合作机构已经超过了180家，包括互联网平台、企业、政府、医院、校园等。产品涵盖消费金融、小微信贷、电子账户、支付收单、投资理财、资产证券化、信用支付、资金监管等金融产品以及身份鉴权、人脸识别、电子签章等技术类产品。截至2020年9月，累计获客4100万，贷款累计投放超过4000亿元，余额610亿元，存款账户890万个，开放API平台每日约承载400万笔交易，有效支撑起我行互联网业务的合作和发展。

毛航：新网银行从发展模式、技术架构、业务策略等各层面形成开放发展格局，实现优势互补、合作共赢，形成开放的数字银行格局。截至2020年9月末，我行共计开放了超过300个API接口，合作的机构超过70个，累计发放普惠金融贷款超9000万笔，金额超过3300亿元。

周博、卢健：平安银行的收效主要在两方面。一是合作商户数量迅速增长。开放API的集中规模化发布以及在线开发联调技术的应用，突破了我行与商户对接资源的瓶颈，同时自助化、低门槛接入的优势增强了商户的合作意愿。二是金融产品的标准化输出。智慧城市项目目前落地了开封市民卡APP-汴京通、周口市民卡APP-周口通、珠海市民卡APP-最珠海等10多个城市，累积覆盖千万级人群，拉动百万级零售客户增长，贡献了亿级存款收益。

陈海宁：从行业角度看，开放银行的收效集中体现于几个转变。首先是“产品服务”向“综合服务解决方案”转变。各类开放银行建设初期均提供传统金融产品输出，在发展过程中逐步意识到：仅提供金融产品服务能力开放无法满足多元化场景的复合需求。开放银行将根据客户的需求，整合产品、服务、科技、运营能力，以及合作方的产品和服务，融合形成综合服务解决方案。

第二是“为客户服务”向“为用户服务”转变。开放银行建设初期，沿用了银行传统渠道的服务门槛和服务方式，随着银行通过合作伙伴与最终用户在各种场景中的接触，产生了更多维度、更深层次的连接，当具备对最终用户的全方位需求进行洞察和服务的能力时，开放银行将逐渐帮助银行弥合客户与用户之间的信息差异，从而在合法合规的前提下，通过生态协同完成对用户的服务。

第三是“渠道合作”向“产品合作”转变。开放银行建设初期，API开放平台主要作为技术平台用于渠道合作，即合作方作为流量导入方、银行作为产品提供方。该类合作方式缺乏生态黏性，在商业银行产品趋同、服务趋同、竞争趋烈的大背景下，银行与合作方要加强能力共享、产品共建、风险共担的新型合作方式，并最终推动用户体验升级。

开放 API的风险及应对

Q：在执行《商业银行应用程序接口安全管理规范》、API专项自查工作过程中，暴露了哪些风险点？

毛航：新网银行针对开放API采取了一系列技术+管理的控制手段，如身份验证、传输保护、权限管控、检查评估、异常预警、准入机制等。目前存在的主要风险点有：一是业务准入风险评估难以全面覆盖，根据本行业务准入相关要求，在开展合作前，须对机构开展接入风险评估工作，由于本行业务发展迅速，合作机构多分布广等特点，目前较难对须开展准入风险评估的机构进行全面覆盖；二是开源软件的安全漏洞风险，本行在开发业务功能时，根据功能实现选用了一定的开源软件，当发现开源软件存在零日安全漏洞时，将影响API稳定运行。

周博、卢健：在执行规范、专项自查中，平安银行总体符合要求，但也发现了一些风险点。例如：规范文件对应用方准入提出了具体要求，不仅要求评估应用方的服务客群、服务场景、市场份额、运营能力、风控能力，还要求重点考察应用方的用户信息保护、身份核验等能力。这对银行现行的制度、技术应用和风控等方面均提出了新挑战。再如：接口故障隔离策略较为简单，所有接口共享一套策略，对于不同特性的交易接口，其适用性需要加强。比如“资金交易与账户信息查询类A2接口”的流量控制和故障隔离控制规则比“金融产品与服务信息查询类A1接口”会更加严格。出现偶发的异常场景时，因故障隔离策略参数设置不准确，会出现服务被拒绝的情况。对API的管理、监测等处理措施未形成统一、完善的安全管控制度，往往延误异常事件的处置时机。

李勇：南京银行通过对规范的学习，对现有API应用和管理进行自查，发现存在以下几点风险：一是应用方技术准入及退出机制不够完善。例如我们在平台合作方面，是由各个部门进行前期商务接洽、可行性分析，业务评估立项完成后提交需求给技术部门实施。在此过程中，我们对应用方的技术评估往往不够及时和全面。二是服务治理工作待完善，人行的安全管理规范中对接口有明确定义，如规范中制定了应用接口统一识别码编码规则，这些需要我们参考整改。三是服务安全设计待完善，如服务授权管理方面，并未对作废接口的权限回收；密钥管理方面，部分私钥存放在代码中，存在风险隐患；服务终止和系统下线方面，完善的系统下线管理制度和流程。四是运维监控工作需进一步加强，例如系统的交易日志、系统日志，保留期限不够，交易风险监控方面，业务反欺诈、反洗钱、资金活动监控等应用能力需进一步完善。

产业建议及重点工作

Q：对于通过自查捕获的风险敞口，大家采取了哪些应对方案？

李勇：针对排查问题，南京银行制定了具体的应对措施，包括：第一建立应用方技术准入及退出机制、标准，制定管理流程，明确业务方和技术方职责，在业务洽谈前期及时介入进行技术准入评估，降低项目实施风险。第二加强开放API服务治理工作，参考安全规范要求更新服务治理规范，统一应用接口的识别码编码规则，所有服务的发布必须满足应用规范，将服务治理规范在开发过程中严格执行。第三强化服务安全设计，整改排查问题，加强接口权限控制和密钥管理，完善服务下线流程等。第四是持续提升开放API平台的运维监控能力，梳理服务日志的格式内容，并制定日志保留策略，满足监控和管理要求。同时，对于业务交易风险控制进行需求分析，由开放API平台提供数据，行内反洗钱、反欺诈以及交易监控等相关系统进行完善，最终实现开放API平台交易场景范围的完全覆盖。

周博、卢健：一是对应用方及合作产品进行严格的背调、法律合规评审、合同评审、合作商资质及规模审核。二是对接企业信息查询平台和平安集团黑名单系统进行自动审查，对应用方进行身份有效性、完整性、真实性审核及反洗钱黑名单检查。三是配置不同的故障隔离策略参数，甚至可以做到API级别的参数控制，解决不同API对于故障隔离异常场景的需求。四是通过运维平台实时监控服务器运行状态、接口服务状态，保存接口交易日志，完善监测异常告警机制，专人跟踪处理，事件统一上报，及时处理异常事件。

毛航：在业务准入方面，一是适当简化评估流程，提高准入效率，针对组织架构完备、信息安全能力较好、科技风险管理机制健全的部分合作机构，采取线上访谈、远程调研、资料调阅、线上测试等方式进行评估。二是完善合作协议和保密承诺，明确合作过程中双方的责任与义务，特别是客户信息保护内容。

在软件安全方面，一是除已有的安全漏洞舆情监测手段外，持续补充完善监测方法，如增加安全舆情监测合作机构、定期获取开源软件网站信息等。二是建立安全漏洞修复机制，明确漏洞修复的方案制定、时间、验证等要求。三是结合安全监测设备和业务异常监测预警系统，及时发现安全攻击、业务数据异常等情况，并启动相应的处置流程。四是建立应急预案，一旦发生开源软件安全漏洞事件，立即启动预案，降低事件影响。

陈海宁：最近，浦发银行正式发布包括《全景银行生态安全蓝皮书》在内的系列蓝皮书，以开放生态的健康有序发展为安全目标，通过生态场景相关的最终用户、API使用者（合作方）、API平台方以及API提供者的共同参与，从安全治理、安全管理、安全技术和安全运营等保障措施视角，防控隐私与数据泄漏、技术、合作方信用、欺诈、洗钱、法律合规等类型风险，并依据该模型提出基于用户旅程的安全设计方法，感知用户旅程风险轮廓的变化，对应采取时空多维属性动态部署的安全措施。

Q：在数字化、特色化经营的大势下，在技术和服务层面，商业银行开放API面临哪些新的机遇和挑战？对API相关产业链有何建议或呼吁？

陈海宁：业务创新方面，开放银行涉及业务领域宽、场景多元，关联银行不同条线板块、不同部门之间的业务协作，需要银行提供更为全面、更为创新的综合解决方案，实现线上经营。此外，按照现有流程，部分银行业务需线下办理，推动线上服务闭环具有较大难度。

科技引领方面，开放银行是在金融科技发展基础之上的全新发展模式，需着力提升科技能力，打造平台服务模式。一方面，需要加大新技术研究与应用投入，创新服务方式，提升数字服务能力,加强信息交互的安全管控能力以保障信息安全。另一方面，也需建立科技创新试错机制，这需要监管层、银行管理层给予直接指导和支持。

周博、卢健：商业银行开放API面临成本效益、业务合规、信息安全等挑战，需要从技术研发、组织架构和数据治理等方面共同发力。

一是重视新技术研发应用。密切关注新技术发展趋势及金融应用。运用金融科技完善底层基础设施、构建先进的技术支撑架构。二是重塑组织架构。面向开放银行转型调整原有组织，重新界定责任，匹配新产品、新业务场景的服务模式，更为迅速、敏捷地响应客户需求。三是强化数据治理。首先是获取大量数据，增加非结构化数据管理；其次是在大数据“库存”中去除无效、低效数据，增强数据质量；最后是发挥数据价值，包括与保障信息安全、改善管理流程、提升业务效率、加强外部合作等相关的数字化工作。

希望监管部门可以出台更多的指导性或鼓励性政策，进一步推动开放API的发展。希望社会上有更多独立软件开发商、互联网平台参与进来，共同搭建商业银行与中小企业的互动桥梁。

李勇：开放API不可避免地增加了风险敞口，风险管理链条更长，风险形式也出现新的特点和变化。部分商业银行对于开放API的商业模式和目标定义不清晰，盲目进行平台建设，缺少API治理，开发模式沿袭传统的产品交付模式，难以满足市场快速变化和客户需求。部分商业银行为了追求短期效益忽视产品创新，将API单纯作为从第三方平台向银行引流的工具，这与开放API的战略初衷相偏离。

“世界正处于百年未有之大变局”，开放银行也将是未来银行业发展的大势所趋。API相关产业链的各方需要秉持开放的心态，积极迎接变革。以开放API为契机，梳理和规范自身数字化能力和数据资产，在合规的前提下，共享能力和数据，孵化出新的能力模式，共同构建业务领域的生态圈，为客户创造价值。

毛航：优势在于可充分使用金融科技手段促进各种服务之间的融合，协同构建互联互通型的综合服务生态系统，构建场景端客户流量和金融机构服务供给之间的业务连接，实现用户需求和金融产品适配，为客户提供更加便利的金融服务，形成业务可持续发展的开放式金融服务模式。

面临的挑战包括:一是开放API模式是将服务能力输出给合作伙伴，进而形成开放的生态体系，在业务模式、产品形态上都与传统商业银行的业务和产品有较大差异，实施开放API战略的商业银行需要自上而下的对此有清楚认识，并建立与之匹配的业务和产品管理流程。二是开放API意味着需要将一些敏感数据通过安全、合规的技术手段在网络上传输，要求商业银行在业务安全、数据安全、网络安全等方面制定管理方案并严格落实。

Q：结合技术和服务的发展趋势，请各位谈谈本行开放API的下一步工作动态。

陈海宁：下一步，浦发银行将围绕全 景银行建设目标，从业务模式转型、技术 能力夯实、安全体系建设三方面推进。

转型业务模式，一是持续建设“浦惠到家”等C端生活服务平台，并为平台商户提供会员、导流、数据分析等非金融服务。二是加快产业数字金融体系构建，运用 API 链接工具，把金融服务、科技能力输送到产业端，以“科技 + 金融”一体化方案的思维，为长尾客户提供个性化的 金融及非金融服务，以开放金融，惠及千行百业。

夯实技术能力，推进数据驱动的智能 中枢应用架构转型，为“全智联”提供各类技术模型、能力和手段，满足全用户全 生命周期不同时点和场景的服务需求，实现向用户提供“全时域”“全服务”的建设目标。

建设安全体系，强化构建基于智能感知、动态适配的全旅程场景级风险防控体系，持续建设开放金融技术规范、数据隐私保护、合作方安全管理等重点领域，持 续推动 CARE 安全模型及相关安全防护 方法的实践运用。

周博、卢健：一是继续完善开放API的基础实施，加强人工智能、大数据、区块链等新技术的应用，例如建立AI智能机器人为开放平台客户服务提供7×24小时在线解答服务，结合大数据技术对交易进行实时风控，提高开放银行接入交易的风险控制能力。二是依据场景定制触发金融产品的营销，实现合作伙伴端的尾随营销。三是健全用户身份鉴权体系，依据平台、客户、场景提供多种身份鉴权手段，保障客户金融交易安全。

李勇：南京银行下一步的重点工作主要包括：一是加强API的治理和运营，建立起API配套的运营和治理机制，以API生命周期管理为主路线，以央行《商业银行应用程序接口安全管理规范》为指引，建立起从需求分析、设计开发、测试联调、上线投产、运营管理、API数据表现检视，到API下线退出的全流程管理体系。二是围绕业务场景，开展行内数字资产和数字化能力盘点和规范，打磨行内业务和技术能力；升级和维护API开放平台，提升平台使用体验，实现第三方合作伙伴和行内分支行一线用户，也能借助平台拓展外部合作；同时建立业务科技融合、总分行联动的敏捷高效组织，以适应市场的不断变化，实现产品的快速交付。三是围绕客户和细分行业，研究客户服务场景，协同合作伙伴创新产品，以场景连接客户，以连接共筑平台，以平台构建生态，实现用户、银行、合作方的多赢局面。

毛航：基于业务领域模型和共享服务体系，新网银行后续将构建统一业务中台和金融产品创新平台，通过对传统金融应用系统的微服务化改造，形成各类金融交易的服务组件，并在此基础上研发微服务业务调度引擎，快速实现产品业务逻辑的封装和流程的组织，提供更强的金融产品快速开发、敏捷迭代的平台化业务能力，积极探索和应用金融科技支撑以客户为中心的业务产品创新。

来源：金融电子化