中國(guó)人民銀行、中央網信辦等五部門關于規範金融業開(kāi)源技術應用與發(fā)展的意見

中國(guó)人民銀行辦公廳 中央網絡安全和信息化委員會辦公室秘書局 工業和信息化部辦公廳 中國(guó)銀行保險監督管理委員會辦公廳 中國(guó)證券監督管理委員會辦公廳關于規範金融業開(kāi)源技術應用與發(fā)展的意見

　　近年來，開(kāi)源技術在金融業各領域得到廣泛應用，在推動金融機構科技創新和數字化轉型方面(miàn)發(fā)揮著(zhe)積極作用，但也面(miàn)臨安全可控等諸多挑戰。爲規範金融機構合理應用開(kāi)源技術，提高應用水平和自主可控能(néng)力，促進(jìn)開(kāi)源技術健康可持續發(fā)展，現提出以下意見，請結合實際貫徹執行。

　　一、本意見所指開(kāi)源技術是金融機構從代碼托管平台、技術社區、開(kāi)源機構官方網站等渠道(dào)獲取，或通過(guò)合作研發(fā)、商業采購等方式引入的開(kāi)源代碼、開(kāi)源組件、開(kāi)源軟件和基于開(kāi)源技術的雲服務等。

　　二、金融機構在使用開(kāi)源技術時應遵循以下原則：

　　（一）堅持安全可控。金融機構應當把保障信息系統安全作爲使用開(kāi)源技術的底線，認真開(kāi)展事(shì)前技術評估和安全評估，堵塞安全漏洞，切實保證技術可持續和供應鏈安全，提升信息系統業務連續性水平。

　　（二）堅持合規使用。金融機構應當遵循開(kāi)源技術相關法律和許可要求，合規使用開(kāi)源技術，明确開(kāi)源技術的使用範圍和使用的權利與義務，保障開(kāi)源技術作者或權利人的合法權益。

　　（三）堅持問題導向(xiàng)。鼓勵金融機構有針對(duì)性地選擇和使用開(kāi)源技術，建立開(kāi)源技術使用問題發(fā)現、反饋、解決等閉環機制，推動開(kāi)源技術不斷叠代升級。

　　（四）堅持開(kāi)放創新。鼓勵金融機構重視開(kāi)源技術應用與發(fā)展，積極參與國(guó)際國(guó)内開(kāi)源技術社區建設，汲取先進(jìn)技術，貢獻中國(guó)智慧，培育适合金融場景的開(kāi)源産業鏈，提升開(kāi)源技術話語權。

　　三、金融機構可以將(jiāng)開(kāi)源技術應用納入自身信息化發(fā)展規劃，明确開(kāi)源技術應用目标，制定開(kāi)源技術應用工作方案并組織實施。

　　四、鼓勵金融機構加強對(duì)開(kāi)源技術應用的組織管理和統籌協調，成(chéng)立由科技、法務、采購等部門組成(chéng)的開(kāi)源技術應用協調機制，負責開(kāi)源技術評估、選擇、應用等工作，協調解決應用中遇到的困難和問題。

　　五、鼓勵金融機構建立健全開(kāi)源技術應用管理制度體系，規範開(kāi)源技術的引入審批、技術評估、合規使用、漏洞檢測、更新維護、應急處置、停用退出等行爲。

　　六、金融機構可以根據金融業務場景，選擇适宜的技術路線，制定合理的開(kāi)源技術應用策略，包括獨立完成(chéng)開(kāi)源技術應用及運維、引入第三方機構的開(kāi)源技術支持服務、采購開(kāi)源技術提供商的商業軟件版本及服務等。

　　七、金融機構可以根據開(kāi)源技術使用情況，建立開(kāi)源技術應用台賬，及時掌握開(kāi)源許可證變更、漏洞、閉源、停服等變化情況，實行常态化管理，規避風險。

　　八、鼓勵金融機構將(jiāng)開(kāi)源技術應用作爲提高核心技術自主可控能(néng)力的重要手段，加強開(kāi)源技術研究儲備，掌握開(kāi)源技術核心，以應用促提升，依托金融業豐富的業務場景促進(jìn)開(kāi)源技術叠代升級。

　　九、推動金融機構建立健全對(duì)開(kāi)源技術基本功能(néng)、性能(néng)指标、安全性、社區成(chéng)熟度、商業支持度、行業認可度等方面(miàn)的評估體系，對(duì)開(kāi)源技術引入、使用、更新、退出等環節開(kāi)展定期評估，在提升自身評估能(néng)力的同時，可結合實際引入第三方評估服務。

　　十、支持金融機構對(duì)開(kāi)源技術版權、專利、商标、聲明等進(jìn)行事(shì)前合規審查，通過(guò)審查開(kāi)源許可證遵從性和兼容性、梳理開(kāi)源技術間依賴性等，避免法律糾紛。可根據需要引入第三方合規審查服務。

　　十一、支持金融機構制定應急處置預案，應對(duì)開(kāi)源技術潛在漏洞、後(hòu)門及閉源、停服等突發(fā)情況。通過(guò)規劃備選方案、限制使用場景、儲備核心技術人才等措施降低風險。及時更新應急處置預案，定期開(kāi)展演練，保證應急處置預案的有效性。

　　十二、支持金融機構加強開(kāi)源技術供應鏈管理，保障開(kāi)源技術産品和服務質量，通過(guò)合同或協議條款，明确開(kāi)源技術提供商義務和責任，并要求開(kāi)源技術提供商對(duì)其提供的開(kāi)源技術進(jìn)行技術評估、合規審查等。

　　十三、鼓勵金融機構積極參與開(kāi)源生态建設，依法合規分享開(kāi)源技術應用經(jīng)驗，共享開(kāi)源技術研究成(chéng)果。通過(guò)主動開(kāi)源、貢獻代碼解決行業共性問題，提升開(kāi)源技術整體應用水平。鼓勵金融機構之間開(kāi)展開(kāi)源項目合作，實現優勢互補、互利共赢、共同發(fā)展。

　　十四、鼓勵金融機構與科技企業、高等院校、科研院所、中介服務等機構加強交流合作，基于市場化原則開(kāi)展開(kāi)源技術聯合研發(fā)和運營，加強開(kāi)源技術人才培養，推進(jìn)開(kāi)源技術叠代升級，促進(jìn)開(kāi)源技術成(chéng)果轉化。

　　十五、支持金融機構加入合法合規的開(kāi)源社區、開(kāi)源基金會等開(kāi)源社會組織，參與開(kāi)源技術規劃設計、研發(fā)決策、社區運營等活動。開(kāi)源社會組織發(fā)揮自律作用，研究出台自律公約，規範開(kāi)源技術參與機構行爲，保障開(kāi)源技術貢獻者合法權益。發(fā)揮橋梁紐帶作用，建立穩定、高效的交流分享機制，定期開(kāi)展開(kāi)源技術交流、産金對(duì)接、應用推廣等活動。

　　十六、鼓勵開(kāi)源技術提供商加快提升技術創新能(néng)力，切實掌握開(kāi)源技術核心代碼，形成(chéng)自主知識産權，夯實産業支撐能(néng)力。在提供基于開(kāi)源技術的商業軟件或服務時，遵循開(kāi)源許可協議和相關法律法規要求，明确開(kāi)源技術的使用範圍和使用的權利與義務，保障用戶合法權益。探索自主開(kāi)源生态，重點在操作系統、數據庫、中間件等基礎軟件領域和雲計算、大數據、人工智能(néng)、區塊鏈等新興技術領域加快生态建設，利用開(kāi)源模式加速推動信息技術創新發(fā)展。

　　十七、人民銀行、中央網信辦、工業和信息化部、銀保監會、證監會等部門加強統籌協調，建立跨部門協作配合、信息共享機制，定期召開(kāi)跨部門協調會議，完善金融機構開(kāi)源技術應用指導政策，推動金融機構合理規範使用開(kāi)源技術。

　　十八、探索建立開(kāi)源技術公共服務平台，爲金融機構識别開(kāi)源技術風險、動态管理開(kāi)源軟件、持續跟蹤開(kāi)源前沿技術、共享開(kāi)源發(fā)展動态信息、參與開(kāi)源社區運營等提供專業化、定制化服務。推動金融機構開(kāi)展開(kāi)源技術成(chéng)熟度評估，進(jìn)行開(kāi)源許可安全合規審查，建立開(kāi)源技術選型評估模型，提升開(kāi)源技術應用質量與效率。

　　十九、加強開(kāi)源技術及應用标準化建設，瞄準急需、重點領域加快标準制定與實施。加快推進(jìn)開(kāi)源技術應用和标準研究制定一體化。加強開(kāi)源技術标準建設與信息化規劃的銜接配套，推動金融業開(kāi)源技術及應用高質量發(fā)展。

　　二十、鼓勵金融機構加強知識産權保護研究與宣傳，提升知識産權保護意識，制定軟件版權、專利、商标等開(kāi)源技術知識産權保護策略和制度。依法合規使用開(kāi)源技術，同時保障自身在使用開(kāi)源技術、參與開(kāi)源生态貢獻中的合法權益。

中國(guó)人民銀行辦公廳

中央網信辦秘書局

工業和信息化部辦公廳

中國(guó)銀保監會辦公廳

中國(guó)證監會辦公廳

2021年9月28日