《开放银行数据保护与合规实践案例报告（2023）》

33告开放银行数据保护与合规实践案例报告3告目录、标 4、述 5）则 5）规 5）规 6）规 6）规 8）规 8、例 9）台K案 9）台 4）出 8）践 1）控 3）出 8）务 1）用 4）力 5）务 9、望 0、录 23告开放银行数据保护与合规实践案例报告一、背景与目标1年1月，中国银联技术管理委员会开放银行工作组发布了开放银行数据保护与合规研究报告（1）》（以下称1年报告）。自1年报告发布以来，多家银行的开放银行服务都进行了业务场景的拓展与技术方案的更迭。基于此，我们推出了本报告作为21年报告的续篇，通过大量详实的案例分析讨论开放银行落地所。n务金重接自2以我2年2数数了0定，日。自1比1年1，管白银。2年6M系经推据。1中国银联技术管理委员会开放银行工作组：《开放银行数据保护与合规研究报告》，第5页2中国银联技术管理委员会开放银行工作组：《开放银行数据保护与合规研究报告》，第11页3/zh/banking/commercial-bank-data-strategy-nov2021.pdf4/downloads/cas/VZYOA3BB3告2年7与C书，放用。，平。2年22放，的0不。于1年，易。二、开放银行数据保护合规要求概述于1发。（一）总体原则数进》同。2年2管诚。（二）数据收集合规术公收5/corporate/extended/whitePaper6/upload/resources/file/2022/12/07/199023.pdf7中国银联技术管理委员会开放银行工作组：《开放银行数据保护与合规研究报告》，第14页3告，8直能人个满4定用则于3，或。（三）数据使用合规享保进来感行数信能收，保于3及2，合或术10（四）数据传输合规数技术传输3的8《信息安全技术个人信息安全规范》第5.4条9《个人金融信息保护技术规范》第4.2条将个人金融信息按敏感程度分为C1、C2、C3三个类别，C3类别敏感程度最高10《个人金融信息保护技术规范》第条3告足，个。体。1年2审络2年7信出者理0年1月1日供0者1提估评外效全。2年6人在2年2指范0法以2年1办证。3年2自3年6月1出立和的标念区、收。3告（五）数据存储合规化人术据，1。1境库。（六）其他最新法律法规在1的法。1年1见平分不。事丢管。1年2全评以T0全、T全要结。2年4应解、11根据《个人信息保护法》第四十条和《中国人民银行关于银行业金融机构做好个人金信息保护工作的通知》要求，境内收集和产生的个人信息存储在境内。12中国人民银行JR/T0167-202《云计算技术金融应用规范安全技术要求》6.1（a）。物理隔离，即服务金融行业的云计算数据中心在基础设施层面与其他行业进行隔离，对物理服务器、网络接入设施等均实现隔离。3告高好银业。2年2用等授、制据据括，发传生；需条体责场13三、开放银行数据保护及合规落地案例过I与务银取服章、。（一）开放平台的多平台SDK方案台13《数启新篇，智赢未来——“数据二十条”对金融行业的影响与启示》，普华永道，海数据交易所3告行合规概况介绍构对3置国进技方。背景台K算n、5的K一相。方案以法6。aKaK：图1JavaSDK加密通讯机制对D用行6，据过S。3告行6，成对n对n，。用n，于n。端K为d和S端：图2移动端SDK加密通讯机制端K对D据行6钥以S。文行6，端。端K对、对过S供。取用D验成将n对n行6端。端K和n获的n于n。3告SKSK5：图3JSSDK加密通讯机制SK以S。对D将行6钥以S务。行6对D，成对n和n行6。对n明n可将n给SK。SK到n于n。数据保护及合规情况梳理。3告图4SDK安全管理机制对K保KK用在K生，升K。段发K决K攻。前的K众。对K算台I强K的。布的K在K中主p发、的p保K。3告中K对K实对K如K主p行击过K常可。时对K助K检K，。KK入PPI也于K。（二）数据访问控制安全平台型行合规概况介绍访护。背景线，向T具及发的的效。3告硬系，数。为护于0的过人制台，。方案路图5系统整体架构效：口的I返用I调，级I。3告略敏执作。理正。案图6数据访问控制安全平台解决方案用I予I性先的I，落。数据应境数数，C条生3告文更。略和C的，逻。估敏的估参。成效及价值效的往，：们必面的口。与脱脱需访属务K，KK要制K都3告制K控全。效，安近3。（三）敏感信息标记化输出理行合规概况介绍术，T-融规照T无。背景0企倾的用。通。户别。3告方案劳务。动台，标。制图7个人客户授权机制号。用。过。3告理图8标记化处理过程个之。图9标记化处理逻辑3告：。使于A4。：。。成效及价值效，果。价。效的合高B展C。（四）基于责任链的开放银行数据保护及合规实践护行合规概况介绍以变少通于2，方平台脱。3告背景三和银于er的r的rr过t。方案型图10开放银行数据保护责任链模型ers和trs和tses。合P放点面服集，共。3告度过tes由rs入ts均。成效及价值效效、犹第。效字至2在0个0。（五）服务开放平台数据安全管控放行合规概况介绍并传用2和4，的I整台理供的删并户。3告背景业对。项”对银布I5K式一。务及方I全。方案设平服。图11服务开放平台数据安全管控制度建设示意图略安安3告为。，充控。监。，务安。在I提全的。行等。：图12服务开放平台数据安全管控策略示意图现、供K。3告行。。过S平开。图13服务开放平台技术框架图障：3告图14服务开放平台数据交互安全技术设计图合钥cy1钥e1.伙钥cy2钥yy,钥e。起I个y个y对做4用cy2个y行2加.用e2的y的y。全用4钥y1成取3用cy2行2.平用ey2文钥y1做3名报。成效及价值系全了1的合统3告取求确I保对I上了I管据于I。（六）开放银行整合银企直连的代发工资服务输出；行合规概况介绍入工用2或件Y上端在。背景近0。户：定访访。比I式于I。广持I此行I护联到I以I。：3告L于2过t立S端立L。据加。台件Y钥性。件y。。方案构图15基于前置机加密机的双密钥安全通讯架构3告图16密钥交互流程交行通过设置I的不同等级来识别否配套使用前置机或加密机模式，若用前置机或加密机，开放银行平台需要在交易中通过鉴权中心A系统的接口去验证客户的。程等件Y件y后件y由件。件Y识。身件Y作。机件y操。成效及价值效校。3告效模件Y。。（七）信贷模型预测服务贷行合规概况介绍提练态密及预。背景荣工为心方小。实提。3告方案段图17商户违约评分模型训练。完。的t纵理钥。算图18商户违约评分模型正式线上服务（因涉及征信，需要持牌机构百行参与中转）3告开品开。，审。图19商户贷申请流程成效及价值效安过标商共所达。效为的群仅3常。3告（八）多方安全数据分析平台与金融反诈应用算行合规概况介绍T—用T新台公技、安到2标》T7–T6术M2阶升，。背景银业频差块了私、著。方案私、；了对任数3告置。成效及价值效设等/。效步，放据风。（九）行司联动提升风控能力控行合规概况介绍提，息户D了在，。背景进在目，合。3告3.方案图20中银消费行司联动架构图型据,等。中行。户，。于户。3告图21贷前审批模型型、。；。。户，。图22贷中风控模型3告4. 成效及价值效护的。程密d密d的d存。效据习t”在、过客。图23中银消费“好客贷”申请流程图3告（十）高价值户识别模型预测服销行合规概况介绍所反是有D和D户，。背景数数实的不结。方案型。。。邦b各。图24招商银行高价值客户识别场景示意图3告成效及价值，幅。有利同定字方。四、总结与展望应阶据术保。务对行K。业控行方链过理方I、转加件Y报原场数。展型3告开据