關於規範金融業開源技術套用與發展的意見

《關於規範金融業開源技術套用與發展的意見》

近年來，開源技術在金融業各領域得到廣泛套用，在推動金融機構科技創新和數位化轉型方面發揮著積極作用，但也面臨安全可控等諸多挑戰。為規範金融機構合理套用開源技術，提高套用水平和自主可控能力，促進開源技術健康可持續發展，現提出以下意見，請結合實際貫徹執行。

　　一、本意見所指開源技術是金融機構從代碼託管平台、技術社區、開源機構官方網站等渠道獲取，或通過合作研發、商業採購等方式引入的開原始碼、開源組件、開源軟體和基於開源技術的雲服務等。

　　二、金融機構在使用開源技術時應遵循以下原則：

　　（一）堅持安全可控。金融機構應當把保障信息系統安全作為使用開源技術的底線，認真開展事前技術評估和安全評估，堵塞安全漏洞，切實保證技術可持續和供應鏈安全，提升信息系統業務連續性水平。

　　（二）堅持合規使用。金融機構應當遵循開源技術相關法律和許可要求，合規使用開源技術，明確開源技術的使用範圍和使用的權利與義務，保障開源技術作者或權利人的合法權益。

　　（三）堅持問題導向。鼓勵金融機構有針對性地選擇和使用開源技術，建立開源技術使用問題發現、反饋、解決等閉環機制，推動開源技術不斷疊代升級。

　　（四）堅持開放創新。鼓勵金融機構重視開源技術套用與發展，積極參與國際國內開源技術社區建設，汲取先進技術，貢獻中國智慧，培育適合金融場景的開源產業鏈，提升開源技術話語權。

　　三、金融機構可以將開源技術套用納入自身信息化發展規劃，明確開源技術套用目標，制定開源技術套用工作方案並組織實施。

　　四、鼓勵金融機構加強對開源技術套用的組織管理和統籌協調，成立由科技、法務、採購等部門組成的開源技術套用協調機制，負責開源技術評估、選擇、套用等工作，協調解決套用中遇到的困難和問題。

　　五、鼓勵金融機構建立健全開源技術套用管理制度體系，規範開源技術的引入審批、技術評估、合規使用、漏洞檢測、更新維護、應急處置、停用退出等行為。

　　六、金融機構可以根據金融業務場景，選擇適宜的技術路線，制定合理的開源技術套用策略，包括獨立完成開源技術套用及運維、引入第三方機構的開源技術支持服務、採購開源技術提供商的商業軟體版本及服務等。

　　七、金融機構可以根據開源技術使用情況，建立開源技術套用台賬，及時掌握開源許可證變更、漏洞、閉源、停服等變化情況，實行常態化管理，規避風險。

　　八、鼓勵金融機構將開源技術套用作為提高核心技術自主可控能力的重要手段，加強開源技術研究儲備，掌握開源技術核心，以套用促提升，依託金融業豐富的業務場景促進開源技術疊代升級。

　　九、推動金融機構建立健全對開源技術基本功能、性能指標、安全性、社區成熟度、商業支持度、行業認可度等方面的評估體系，對開源技術引入、使用、更新、退出等環節開展定期評估，在提升自身評估能力的同時，可結合實際引入第三方評估服務。

　　十、支持金融機構對開源技術著作權、專利、商標、聲明等進行事前合規審查，通過審查開源許可證遵從性和兼容性、梳理開源技術間依賴性等，避免法律糾紛。可根據需要引入第三方合規審查服務。

　　十一、支持金融機構制定應急處置預案，應對開源技術潛在漏洞、後門及閉源、停服等突發情況。通過規劃備選方案、限制使用場景、儲備核心技術人才等措施降低風險。及時更新應急處置預案，定期開展演練，保證應急處置預案的有效性。

　　十二、支持金融機構加強開源技術供應鏈管理，保障開源技術產品和服務質量，通過契約或協定條款，明確開源技術提供商義務和責任，並要求開源技術提供商對其提供的開源技術進行技術評估、合規審查等。

　　十三、鼓勵金融機構積極參與開源生態建設，依法合規分享開源技術套用經驗，共享開源技術研究成果。通過主動開源、貢獻代碼解決行業共性問題，提升開源技術整體套用水平。鼓勵金融機構之間開展開源項目合作，實現優勢互補、互利共贏、共同發展。

　　十四、鼓勵金融機構與科技企業、高等院校、科研院所、中介服務等機構加強交流合作，基於市場化原則開展開源技術聯合研發和運營，加強開源技術人才培養，推進開源技術疊代升級，促進開源技術成果轉化。

　　十五、支持金融機構加入合法合規的開源社區、開源基金會等開源社會組織，參與開源技術規劃設計、研發決策、社區運營等活動。開源社會組織發揮自律作用，研究出台自律公約，規範開源技術參與機構行為，保障開源技術貢獻者合法權益。發揮橋樑紐帶作用，建立穩定、高效的交流分享機制，定期開展開源技術交流、產金對接、套用推廣等活動。

　　十六、鼓勵開源技術提供商加快提升技術創新能力，切實掌握開源技術核心代碼，形成自主智慧財產權，夯實產業支撐能力。在提供基於開源技術的商業軟體或服務時，遵循開源許可協定和相關法律法規要求，明確開源技術的使用範圍和使用的權利與義務，保障用戶合法權益。探索自主開源生態，重點在作業系統、資料庫、中間件等基礎軟體領域和雲計算、大數據、人工智慧、區塊鏈等新興技術領域加快生態建設，利用開源模式加速推動信息技術創新發展。

　　十七、人民銀行、中央網信辦、工業和信息化部、銀保監會、證監會等部門加強統籌協調，建立跨部門協作配合、信息共享機制，定期召開跨部門協調會議，完善金融機構開源技術套用指導政策，推動金融機構合理規範使用開源技術。

　　十八、探索建立開源技術公共服務平台，為金融機構識別開源技術風險、動態管理開源軟體、持續跟蹤開源前沿技術、共享開源發展動態信息、參與開源社區運營等提供專業化、定製化服務。推動金融機構開展開源技術成熟度評估，進行開源許可安全合規審查，建立開源技術選型評估模型，提升開源技術套用質量與效率。

　　十九、加強開源技術及套用標準化建設，瞄準急需、重點領域加快標準制定與實施。加快推進開源技術套用和標準研究制定一體化。加強開源技術標準建設與信息化規劃的銜接配套，推動金融業開源技術及套用高質量發展。

　　二十、鼓勵金融機構加強智慧財產權保護研究與宣傳，提升智慧財產權保護意識，制定軟體著作權、專利、商標等開源技術智慧財產權保護策略和制度。依法合規使用開源技術，同時保障自身在使用開源技術、參與開源生態貢獻中的合法權益。 　　

　　中國人民銀行辦公廳

　　網信辦秘書局

　　 工業和信息化部辦公廳

　　銀保監會辦公廳

　　 證監會辦公廳

　　 2021年9月28日

近日，人民銀行辦公廳、中央網信辦秘書局、工業和信息化部辦公廳、銀保監會辦公廳、證監會辦公廳聯合發布《關於規範金融業開源技術套用與發展的意見》（以下簡稱《意見》）。

《意見》的出台，有助於規範金融機構合理套用開源技術，提高套用水平和自主可控能力，促進開源技術健康可持續發展。

《意見》要求金融機構在使用開源技術時，應遵循“安全可控、合規使用、問題導向、開放創新”等原則。《意見》鼓勵金融機構將開源技術套用納入自身信息化發展規劃，加強對開源技術套用的組織管理和統籌協調，建立健全開源技術套用管理制度體系，制定合理的開源技術套用策略；鼓勵金融機構提升自身對開源技術的評估能力、合規審查能力、應急處置能力、供應鏈管理能力等；鼓勵金融機構積極參與開源生態建設，加強與產學研交流合作力度，加入開源社會組織等。

《意見》強調要加強統籌協調，建立跨部門協作配合、信息共享機制，完善金融機構開源技術套用指導政策，探索建立開源技術公共服務平台，加強開源技術及套用標準化建設等。