信息來源：安全內(nèi)參

近日，人民銀行辦公廳、中央網(wǎng)信辦秘書局、工業(yè)和信息化部辦公廳、銀保監(jiān)會辦公廳、證監(jiān)會辦公廳聯(lián)合發(fā)布《關(guān)于規(guī)范金融業(yè)開源技術(shù)應用與發(fā)展的意見》（以下簡稱《意見》）。

近年來，開源技術(shù)在金融業(yè)各領(lǐng)域得到廣泛應用，在推動金融機構(gòu)科技創(chuàng)新和數(shù)字化轉(zhuǎn)型方面發(fā)揮著積極作用，但也面臨安全可控等諸多挑戰(zhàn)。《意見》的出臺，有助于規(guī)范金融機構(gòu)合理應用開源技術(shù)，提高應用水平和自主可控能力，促進開源技術(shù)健康可持續(xù)發(fā)展。

《意見》要求金融機構(gòu)在使用開源技術(shù)時，應遵循“安全可控、合規(guī)使用、問題導向、開放創(chuàng)新”等原則?！兑庖姟饭膭罱鹑跈C構(gòu)將開源技術(shù)應用納入自身信息化發(fā)展規(guī)劃，加強對開源技術(shù)應用的組織管理和統(tǒng)籌協(xié)調(diào)，建立健全開源技術(shù)應用管理制度體系，制定合理的開源技術(shù)應用策略；鼓勵金融機構(gòu)提升自身對開源技術(shù)的評估能力、合規(guī)審查能力、應急處置能力、供應鏈管理能力等；鼓勵金融機構(gòu)積極參與開源生態(tài)建設，加強與產(chǎn)學研交流合作力度，加入開源社會組織等?！兑庖姟窂娬{(diào)要加強統(tǒng)籌協(xié)調(diào)，建立跨部門協(xié)作配合、信息共享機制，完善金融機構(gòu)開源技術(shù)應用指導政策，探索建立開源技術(shù)公共服務平臺，加強開源技術(shù)及應用標準化建設等。

下一步，人民銀行、中央網(wǎng)信辦、工業(yè)和信息化部、銀保監(jiān)會、證監(jiān)會將繼續(xù)協(xié)同聯(lián)動，推進《意見》中的各項工作部署落實落地，切實提升金融業(yè)開源技術(shù)應用水平。

---

中國人民銀行辦公廳 中央網(wǎng)絡安全和信息化委員會辦公室秘書局 工業(yè)和信息化部辦公廳 中國銀行保險監(jiān)督管理委員會辦公廳 中國證券監(jiān)督管理委員會辦公廳

關(guān)于規(guī)范金融業(yè)開源技術(shù)應用與發(fā)展的意見

銀辦發(fā)〔2021〕146號

近年來，開源技術(shù)在金融業(yè)各領(lǐng)域得到廣泛應用，在推動金融機構(gòu)科技創(chuàng)新和數(shù)字化轉(zhuǎn)型方面發(fā)揮著積極作用，但也面臨安全可控等諸多挑戰(zhàn)。為規(guī)范金融機構(gòu)合理應用開源技術(shù)，提高應用水平和自主可控能力，促進開源技術(shù)健康可持續(xù)發(fā)展，現(xiàn)提出以下意見，請結(jié)合實際貫徹執(zhí)行。

一、本意見所指開源技術(shù)是金融機構(gòu)從代碼托管平臺、技術(shù)社區(qū)、開源機構(gòu)官方網(wǎng)站等渠道獲取，或通過合作研發(fā)、商業(yè)采購等方式引入的開源代碼、開源組件、開源軟件和基于開源技術(shù)的云服務等。

二、金融機構(gòu)在使用開源技術(shù)時應遵循以下原則：

（一）堅持安全可控。金融機構(gòu)應當把保障信息系統(tǒng)安全作為使用開源技術(shù)的底線，認真開展事前技術(shù)評估和安全評估，堵塞安全漏洞，切實保證技術(shù)可持續(xù)和供應鏈安全，提升信息系統(tǒng)業(yè)務連續(xù)性水平。

（二）堅持合規(guī)使用。金融機構(gòu)應當遵循開源技術(shù)相關(guān)法律和許可要求，合規(guī)使用開源技術(shù)，明確開源技術(shù)的使用范圍和使用的權(quán)利與義務，保障開源技術(shù)作者或權(quán)利人的合法權(quán)益。

（三）堅持問題導向。鼓勵金融機構(gòu)有針對性地選擇和使用開源技術(shù)，建立開源技術(shù)使用問題發(fā)現(xiàn)、反饋、解決等閉環(huán)機制，推動開源技術(shù)不斷迭代升級。

（四）堅持開放創(chuàng)新。鼓勵金融機構(gòu)重視開源技術(shù)應用與發(fā)展，積極參與國際國內(nèi)開源技術(shù)社區(qū)建設，汲取先進技術(shù)，貢獻中國智慧，培育適合金融場景的開源產(chǎn)業(yè)鏈，提升開源技術(shù)話語權(quán)。

三、金融機構(gòu)可以將開源技術(shù)應用納入自身信息化發(fā)展規(guī)劃，明確開源技術(shù)應用目標，制定開源技術(shù)應用工作方案并組織實施。

四、鼓勵金融機構(gòu)加強對開源技術(shù)應用的組織管理和統(tǒng)籌協(xié)調(diào)，成立由科技、法務、采購等部門組成的開源技術(shù)應用協(xié)調(diào)機制，負責開源技術(shù)評估、選擇、應用等工作，協(xié)調(diào)解決應用中遇到的困難和問題。

五、鼓勵金融機構(gòu)建立健全開源技術(shù)應用管理制度體系，規(guī)范開源技術(shù)的引入審批、技術(shù)評估、合規(guī)使用、漏洞檢測、更新維護、應急處置、停用退出等行為。

六、金融機構(gòu)可以根據(jù)金融業(yè)務場景，選擇適宜的技術(shù)路線，制定合理的開源技術(shù)應用策略，包括獨立完成開源技術(shù)應用及運維、引入第三方機構(gòu)的開源技術(shù)支持服務、采購開源技術(shù)提供商的商業(yè)軟件版本及服務等。

七、金融機構(gòu)可以根據(jù)開源技術(shù)使用情況，建立開源技術(shù)應用臺賬，及時掌握開源許可證變更、漏洞、閉源、停服等變化情況，實行常態(tài)化管理，規(guī)避風險。

八、鼓勵金融機構(gòu)將開源技術(shù)應用作為提高核心技術(shù)自主可控能力的重要手段，加強開源技術(shù)研究儲備，掌握開源技術(shù)核心，以應用促提升，依托金融業(yè)豐富的業(yè)務場景促進開源技術(shù)迭代升級。

九、推動金融機構(gòu)建立健全對開源技術(shù)基本功能、性能指標、安全性、社區(qū)成熟度、商業(yè)支持度、行業(yè)認可度等方面的評估體系，對開源技術(shù)引入、使用、更新、退出等環(huán)節(jié)開展定期評估，在提升自身評估能力的同時，可結(jié)合實際引入第三方評估服務。

十、支持金融機構(gòu)對開源技術(shù)版權(quán)、專利、商標、聲明等進行事前合規(guī)審查，通過審查開源許可證遵從性和兼容性、梳理開源技術(shù)間依賴性等，避免法律糾紛?？筛鶕?jù)需要引入第三方合規(guī)審查服務。

十一、支持金融機構(gòu)制定應急處置預案，應對開源技術(shù)潛在漏洞、后門及閉源、停服等突發(fā)情況。通過規(guī)劃備選方案、限制使用場景、儲備核心技術(shù)人才等措施降低風險。及時更新應急處置預案，定期開展演練，保證應急處置預案的有效性。

十二、支持金融機構(gòu)加強開源技術(shù)供應鏈管理，保障開源技術(shù)產(chǎn)品和服務質(zhì)量，通過合同或協(xié)議條款，明確開源技術(shù)提供商義務和責任，并要求開源技術(shù)提供商對其提供的開源技術(shù)進行技術(shù)評估、合規(guī)審查等。

十三、鼓勵金融機構(gòu)積極參與開源生態(tài)建設，依法合規(guī)分享開源技術(shù)應用經(jīng)驗，共享開源技術(shù)研究成果。通過主動開源、貢獻代碼解決行業(yè)共性問題，提升開源技術(shù)整體應用水平。鼓勵金融機構(gòu)之間開展開源項目合作，實現(xiàn)優(yōu)勢互補、互利共贏、共同發(fā)展。

十四、鼓勵金融機構(gòu)與科技企業(yè)、高等院校、科研院所、中介服務等機構(gòu)加強交流合作，基于市場化原則開展開源技術(shù)聯(lián)合研發(fā)和運營，加強開源技術(shù)人才培養(yǎng)，推進開源技術(shù)迭代升級，促進開源技術(shù)成果轉(zhuǎn)化。

十五、支持金融機構(gòu)加入合法合規(guī)的開源社區(qū)、開源基金會等開源社會組織，參與開源技術(shù)規(guī)劃設計、研發(fā)決策、社區(qū)運營等活動。開源社會組織發(fā)揮自律作用，研究出臺自律公約，規(guī)范開源技術(shù)參與機構(gòu)行為，保障開源技術(shù)貢獻者合法權(quán)益。發(fā)揮橋梁紐帶作用，建立穩(wěn)定、高效的交流分享機制，定期開展開源技術(shù)交流、產(chǎn)金對接、應用推廣等活動。

十六、鼓勵開源技術(shù)提供商加快提升技術(shù)創(chuàng)新能力，切實掌握開源技術(shù)核心代碼，形成自主知識產(chǎn)權(quán)，夯實產(chǎn)業(yè)支撐能力。在提供基于開源技術(shù)的商業(yè)軟件或服務時，遵循開源許可協(xié)議和相關(guān)法律法規(guī)要求，明確開源技術(shù)的使用范圍和使用的權(quán)利與義務，保障用戶合法權(quán)益。探索自主開源生態(tài)，重點在操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎(chǔ)軟件領(lǐng)域和云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等新興技術(shù)領(lǐng)域加快生態(tài)建設，利用開源模式加速推動信息技術(shù)創(chuàng)新發(fā)展。

十七、人民銀行、中央網(wǎng)信辦、工業(yè)和信息化部、銀保監(jiān)會、證監(jiān)會等部門加強統(tǒng)籌協(xié)調(diào)，建立跨部門協(xié)作配合、信息共享機制，定期召開跨部門協(xié)調(diào)會議，完善金融機構(gòu)開源技術(shù)應用指導政策，推動金融機構(gòu)合理規(guī)范使用開源技術(shù)。

十八、探索建立開源技術(shù)公共服務平臺，為金融機構(gòu)識別開源技術(shù)風險、動態(tài)管理開源軟件、持續(xù)跟蹤開源前沿技術(shù)、共享開源發(fā)展動態(tài)信息、參與開源社區(qū)運營等提供專業(yè)化、定制化服務。推動金融機構(gòu)開展開源技術(shù)成熟度評估，進行開源許可安全合規(guī)審查，建立開源技術(shù)選型評估模型，提升開源技術(shù)應用質(zhì)量與效率。

十九、加強開源技術(shù)及應用標準化建設，瞄準急需、重點領(lǐng)域加快標準制定與實施。加快推進開源技術(shù)應用和標準研究制定一體化。加強開源技術(shù)標準建設與信息化規(guī)劃的銜接配套，推動金融業(yè)開源技術(shù)及應用高質(zhì)量發(fā)展。

二十、鼓勵金融機構(gòu)加強知識產(chǎn)權(quán)保護研究與宣傳，提升知識產(chǎn)權(quán)保護意識，制定軟件版權(quán)、專利、商標等開源技術(shù)知識產(chǎn)權(quán)保護策略和制度。依法合規(guī)使用開源技術(shù)，同時保障自身在使用開源技術(shù)、參與開源生態(tài)貢獻中的合法權(quán)益。

中國人民銀行辦公廳

網(wǎng)信辦秘書局

工業(yè)和信息化部辦公廳

銀保監(jiān)會辦公廳

證監(jiān)會辦公廳

2021年9月28日