开放银行正在重塑个人与企业之间的资金流动方式。它让客户能够直接将自己的银行账户关联到知名的应用程序和服务上，从而更便捷地进行支付、记账和财务管理。2024 年，全球开放银行市场规模约为 316 亿美元 ，且预计将持续增长。开放银行业务快捷高效，但它安全吗？

好消息是，开放银行在设计之初就考虑了安全性。它基于由加密技术保障的关联运行，并采用强客户认证 (SCA) 机制和严格的监管措施。用户在整个过程中始终掌握控制权：他们可以决定共享哪些信息、共享多长时间，还能立即撤销访问权限。

开放银行的安全性既依赖于技术，也取决于信任。接下来，我们将解释什么是开放银行、其保护机制如何运作，以及使用开放银行时如何保障自身安全。

本文内容

• 什么是开放银行？
  
• 开放银行安全吗？
  
• 开放银行有哪些风险？
  
• 开放银行在设计上如何保障安全？
  
• 谁监管开放银行并执行安全标准？
  
• 英国的开放银行安全吗？
  
• 使用开放银行时如何保障安全？
  
• Stripe Payments 如何提供帮助
  

什么是开放银行？

开放银行是一种框架，它允许银行在获得客户许可的情况下，安全地将客户的财务数据共享给其他授权企业（例如预算规划应用、会计工具、支付平台）。开放银行没有让每家银行各自独立地守护数据，而是采用标准化的应用程序编程接口 (API)，这些接口如同数字通道，使受信任的第三方能够代表用户访问特定的信息或发起支付。

当有人通过开放银行将某个应用关联到自己的银行账户时，他们会直接在自己的银行进行身份验证，而不是将密码或登录凭证交出去。随后，他们会获得一个安全且有时效限制的令牌，该令牌仅允许获得批准的访问操作。

开放银行安全吗？

只要按照监管机构的预期进行设计和使用，开放银行就是安全的。它基于与银行保护自身系统相同的安全标准构建，每一次关联、每一份共享数据以及每一笔支付都基于授权并经过加密处理。

当客户使用开放银行应用程序或支付服务时，他们不会将自己的银行密码共享给第三方。相反，他们会被重定向至银行自己的界面进行登录，并明确确认共享或授权的具体内容。

这种架构使得开放银行比“屏幕抓取”等旧数据共享方法更为安全。“屏幕抓取”需要用户将登录凭证交给第三方，而开放银行模式下，账户凭证始终不会离开银行，且用户可随时撤销访问权限。

尽管开放银行在整体上较为安全，但并非毫无瑕疵。开放银行仍需依赖严格的监管、安全的技术以及用户的防范意识。

开放银行有哪些风险？

开放银行扩大了需要保障安全的数字“范围”，从而带来了更多风险。

开放银行可能存在的风险包括以下方面：

• 关联增多意味着暴露增多：银行与每个第三方服务提供商之间的新连接，都是需要额外防护的节点。若某家提供商的系统存在安全漏洞或维护不善，就可能成为欺诈分子的潜在突破口。

• 第三方责任未必明确：在许多管辖区，所有接触金融数据的提供商均须获得牌照并接受监管。但若发生数据泄露或未经授权的交易，确定责任方往往需要耗费时间。

• 欺诈瞄准人性弱点：即便技术层面安全无虞，许多犯罪分子仍会通过社会工程手段窃取用户资金。诈骗者利用钓鱼攻击或仿冒应用，诱骗用户批准支付或泄露敏感信息。

• 技术故障可能引发阻碍：API 有时会出现故障或异常。这些问题通常影响较小，但若未及时修复，可能暂时中断服务或泄露有限数据。

开放银行并非毫无风险，但现代金融的任何领域都存在风险。其核心区别在于，开放银行的风险是可见、受监管且被主动管理的。

开放银行在设计上如何保障安全？

开放银行的每一层架构——从技术到规范——均旨在实现数据与支付共享的透明化和可控化。其构建标准与银行基础设施本身同样严苛。

以下措施保障了开放银行的安全性：

• 银行级加密：所有开放银行关联均采用符合金融安全标准的端到端加密 API。数据在传输过程中无法被拦截或篡改。

• 强客户认证 (SCA)：每笔开放银行交易均需通过多因素认证——通常结合用户已知信息（如密码）和用户拥有的设备或生物特征（如手机或指纹）。这种方式确保只有账户持有人才能批准访问或支付操作。

• 精细化权限与有限访问：用户可精确批准服务可访问的数据范围（例如，仅允许查看近期交易而非完整账户历史）及访问时长。该授权通常会在设定时间后自动失效，除非用户主动续期。

• 随时可撤销的访问权限：客户可通过银行或应用本身即时断开与某款应用的连接。一旦访问权限被撤销，服务提供商将完全无法查看数据或发起支付。

• 严格监管的供应商：接触金融数据的服务商通常需满足监管要求并接受监督，以保护客户和企业。这些提供商需接受定期审计，遵守严格的数据保护规则，并承担相应的责任义务。

• 纳入消费者保护：若通过开放银行渠道发生未经授权的支付，客户通常会获得退款——其处理方式与银行或银行卡欺诈案件的退款流程一致。

谁监管开放银行并执行安全标准？

已采纳开放银行的国家/地区通常会制定明确规则，规定哪些主体可参与、数据如何共享，以及违规行为的处理方式。

在英国

英国金融行为监管局 (FCA) 对所有开放银行服务提供商进行监督。只有经 FCA 授权的公司才能访问银行数据或发起支付，且必须列入官方《开放银行目录》。该框架由 Open Banking Limited 维护，其负责制定银行必须遵循的技术与安全标准。

整个欧盟 (EU)

开放银行受修订后的支付服务指令 (PSD2) 管辖，由各国金融监管机构负责执行。欧洲银行业管理局制定底层技术标准，各国监管机构则确保银行与第三方服务提供商合规。

世界其他地方

澳大利亚、巴西和美国等国家/地区已制定或正在敲定类似的指令。无论开放银行在哪个国家落地，普遍遵循的规则是：只有获得牌照并接受监管的机构才能处理金融数据。

英国的开放银行安全吗？

英国被广泛视为全球开放银行安全领域的标杆。自 2018 年推出《开放银行标准》以来，该框架已发展为一个监管严密的网络，被数百万个人用户和企业使用。

每笔交易均通过安全 API 和强客户认证 (SCA) 完成。用户直接通过其银行进行身份验证，而非第三方应用，因此密码始终得到保护。

根据 Open Banking Limited 2024 年报告，英国开放银行交易的欺诈率（按交易量计算）显著低于其他支付方式。即便发生欺诈，除非能证明用户存在疏忽，否则银行通常需向客户退还款项。

包括英国税务海关总署 (HMRC) 在内的众多大型零售商、金融科技公司，甚至政府机构，都在使用开放银行进行支付。

使用开放银行时如何保障安全？

客户可通过提高安全意识并养成良好的数字使用习惯，在使用开放银行时保护自己。

以下是关于保护账户安全的最佳建议：

• 仅使用受监管的服务提供商：在将银行账户关联到任何应用之前，请确认该应用已获得所在国金融监管机构的授权。若在监管机构批准的名单中找不到该应用，切勿关联账户。

• 切勿泄露银行账户凭证：真正的开放银行服务绝不会索要您的密码、个人识别码 (PIN) 或一次性验证码。您应仅通过银行官方网站或应用登录账户。若某款应用或电子邮件直接索要这些信息，请将其视为诈骗行为。

• 仔细阅读您授权的内容：在批准应用访问权限前，您应详细查看该应用将查看的内容或执行的具体操作。信誉良好的服务商会明确说明需要这些权限的原因及有效期限。

• 定期检查账户：留意是否存在不认识的交易记录或数据访问，及时撤销不再使用的应用的访问权限。通常可通过银行应用程序直接完成此操作。

• 保护您的设备：保持手机和电脑系统更新至最新版本，设置高强度密码，并尽可能启用生物识别验证功能。

Stripe Payments 如何提供帮助

Stripe Payments 提供一体化的全球支付解决方案，帮助任何企业——从成长型初创公司到全球性企业——在全球范围内接受线上和线下付款。

Stripe Payments 可帮您：

• 优化结账体验： 通过预构建的支付用户界面、超过 125 种支付方式以及 Stripe 构建的数字钱包 Link，营造顺畅的客户体验，并节省数千个小时的工程时间。

• 更快拓展新市场： 覆盖全球客户，并通过跨境支付选项降低多币种管理的复杂性和成本，服务覆盖 195 个国家、支持 135 种以上的货币。

• 统一线下与线上付款： 整合线上与线下渠道，打造一体化商务体验，实现个性化互动、奖励客户忠诚度并增加收入。

• 优化支付性能： 通过一系列可定制、易于配置的支付工具提升收入，包括无代码的欺诈保护功能与提高授权率的高级功能。

• 依托灵活可靠的平台加速业务增长： 采用专为弹性扩展设计的平台架构，提供 99.999% 正常运行时间与业界领先的可靠性保障。

了解关于 Stripe Payments 如何助力线上与实体支付业务的更多信息，或立即开始使用。