銀辦發(fā)〔2021〕146號(hào)
近年來(lái)��,開源技術(shù)在金融業(yè)各領(lǐng)域得到廣泛應(yīng)用�,在推動(dòng)金融機(jī)構(gòu)科技創(chuàng)新和數(shù)字化轉(zhuǎn)型方面發(fā)揮著積極作用,但也面臨安全可控等諸多挑戰(zhàn)�����。為規(guī)范金融機(jī)構(gòu)合理應(yīng)用開源技術(shù)�,提高應(yīng)用水平和自主可控能力�,促進(jìn)開源技術(shù)健康可持續(xù)發(fā)展,現(xiàn)提出以下意見��,請(qǐng)結(jié)合實(shí)際貫徹執(zhí)行����。
一、本意見所指開源技術(shù)是金融機(jī)構(gòu)從代碼托管平臺(tái)�����、技術(shù)社區(qū)、開源機(jī)構(gòu)官方網(wǎng)站等渠道獲取����,或通過(guò)合作研發(fā)、商業(yè)采購(gòu)等方式引入的開源代碼����、開源組件、開源軟件和基于開源技術(shù)的云服務(wù)等��。
二�����、金融機(jī)構(gòu)在使用開源技術(shù)時(shí)應(yīng)遵循以下原則:
����。ㄒ唬﹫(jiān)持安全可控。金融機(jī)構(gòu)應(yīng)當(dāng)把保障信息系統(tǒng)安全作為使用開源技術(shù)的底線�,認(rèn)真開展事前技術(shù)評(píng)估和安全評(píng)估,堵塞安全漏洞���,切實(shí)保證技術(shù)可持續(xù)和供應(yīng)鏈安全�����,提升信息系統(tǒng)業(yè)務(wù)連續(xù)性水平��。
��。ǘ﹫(jiān)持合規(guī)使用�。金融機(jī)構(gòu)應(yīng)當(dāng)遵循開源技術(shù)相關(guān)法律和許可要求,合規(guī)使用開源技術(shù)���,明確開源技術(shù)的使用范圍和使用的權(quán)利與義務(wù)���,保障開源技術(shù)作者或權(quán)利人的合法權(quán)益。
���。ㄈ﹫(jiān)持問(wèn)題導(dǎo)向。鼓勵(lì)金融機(jī)構(gòu)有針對(duì)性地選擇和使用開源技術(shù)����,建立開源技術(shù)使用問(wèn)題發(fā)現(xiàn)、反饋�、解決等閉環(huán)機(jī)制,推動(dòng)開源技術(shù)不斷迭代升級(jí)����。
����。ㄋ模﹫(jiān)持開放創(chuàng)新��。鼓勵(lì)金融機(jī)構(gòu)重視開源技術(shù)應(yīng)用與發(fā)展��,積極參與國(guó)際國(guó)內(nèi)開源技術(shù)社區(qū)建設(shè)����,汲取先進(jìn)技術(shù),貢獻(xiàn)中國(guó)智慧�,培育適合金融場(chǎng)景的開源產(chǎn)業(yè)鏈,提升開源技術(shù)話語(yǔ)權(quán)���。
三�����、金融機(jī)構(gòu)可以將開源技術(shù)應(yīng)用納入自身信息化發(fā)展規(guī)劃��,明確開源技術(shù)應(yīng)用目標(biāo)�,制定開源技術(shù)應(yīng)用工作方案并組織實(shí)施����。
四�����、鼓勵(lì)金融機(jī)構(gòu)加強(qiáng)對(duì)開源技術(shù)應(yīng)用的組織管理和統(tǒng)籌協(xié)調(diào)���,成立由科技、法務(wù)�、采購(gòu)等部門組成的開源技術(shù)應(yīng)用協(xié)調(diào)機(jī)制,負(fù)責(zé)開源技術(shù)評(píng)估�����、選擇�、應(yīng)用等工作,協(xié)調(diào)解決應(yīng)用中遇到的困難和問(wèn)題�。
五、鼓勵(lì)金融機(jī)構(gòu)建立健全開源技術(shù)應(yīng)用管理制度體系���,規(guī)范開源技術(shù)的引入審批、技術(shù)評(píng)估�����、合規(guī)使用、漏洞檢測(cè)�����、更新維護(hù)����、應(yīng)急處置、停用退出等行為���。
六����、金融機(jī)構(gòu)可以根據(jù)金融業(yè)務(wù)場(chǎng)景�,選擇適宜的技術(shù)路線,制定合理的開源技術(shù)應(yīng)用策略�,包括獨(dú)立完成開源技術(shù)應(yīng)用及運(yùn)維、引入第三方機(jī)構(gòu)的開源技術(shù)支持服務(wù)�����、采購(gòu)開源技術(shù)提供商的商業(yè)軟件版本及服務(wù)等�。
七、金融機(jī)構(gòu)可以根據(jù)開源技術(shù)使用情況,建立開源技術(shù)應(yīng)用臺(tái)賬��,及時(shí)掌握開源許可證變更��、漏洞����、閉源�����、停服等變化情況�����,實(shí)行常態(tài)化管理��,規(guī)避風(fēng)險(xiǎn)����。
八、鼓勵(lì)金融機(jī)構(gòu)將開源技術(shù)應(yīng)用作為提高核心技術(shù)自主可控能力的重要手段����,加強(qiáng)開源技術(shù)研究?jī)?chǔ)備,掌握開源技術(shù)核心���,以應(yīng)用促提升�,依托金融業(yè)豐富的業(yè)務(wù)場(chǎng)景促進(jìn)開源技術(shù)迭代升級(jí)����。
九、推動(dòng)金融機(jī)構(gòu)建立健全對(duì)開源技術(shù)基本功能�����、性能指標(biāo)�����、安全性、社區(qū)成熟度�����、商業(yè)支持度、行業(yè)認(rèn)可度等方面的評(píng)估體系���,對(duì)開源技術(shù)引入�����、使用��、更新��、退出等環(huán)節(jié)開展定期評(píng)估�����,在提升自身評(píng)估能力的同時(shí)����,可結(jié)合實(shí)際引入第三方評(píng)估服務(wù)。
十���、支持金融機(jī)構(gòu)對(duì)開源技術(shù)版權(quán)�、專利、商標(biāo)���、聲明等進(jìn)行事前合規(guī)審查�,通過(guò)審查開源許可證遵從性和兼容性�、梳理開源技術(shù)間依賴性等���,避免法律糾紛��������?筛鶕(jù)需要引入第三方合規(guī)審查服務(wù)�����。
十一�、支持金融機(jī)構(gòu)制定應(yīng)急處置預(yù)案,應(yīng)對(duì)開源技術(shù)潛在漏洞、后門及閉源�����、停服等突發(fā)情況���。通過(guò)規(guī)劃備選方案、限制使用場(chǎng)景�、儲(chǔ)備核心技術(shù)人才等措施降低風(fēng)險(xiǎn)��。及時(shí)更新應(yīng)急處置預(yù)案���,定期開展演練���,保證應(yīng)急處置預(yù)案的有效性。
十二�、支持金融機(jī)構(gòu)加強(qiáng)開源技術(shù)供應(yīng)鏈管理�,保障開源技術(shù)產(chǎn)品和服務(wù)質(zhì)量,通過(guò)合同或協(xié)議條款,明確開源技術(shù)提供商義務(wù)和責(zé)任�,并要求開源技術(shù)提供商對(duì)其提供的開源技術(shù)進(jìn)行技術(shù)評(píng)估�、合規(guī)審查等�����。
十三、鼓勵(lì)金融機(jī)構(gòu)積極參與開源生態(tài)建設(shè)�,依法合規(guī)分享開源技術(shù)應(yīng)用經(jīng)驗(yàn)��,共享開源技術(shù)研究成果���。通過(guò)主動(dòng)開源�����、貢獻(xiàn)代碼解決行業(yè)共性問(wèn)題���,提升開源技術(shù)整體應(yīng)用水平。鼓勵(lì)金融機(jī)構(gòu)之間開展開源項(xiàng)目合作��,實(shí)現(xiàn)優(yōu)勢(shì)互補(bǔ)、互利共贏、共同發(fā)展�����。
十四、鼓勵(lì)金融機(jī)構(gòu)與科技企業(yè)��、高等院校�、科研院所�����、中介服務(wù)等機(jī)構(gòu)加強(qiáng)交流合作����,基于市場(chǎng)化原則開展開源技術(shù)聯(lián)合研發(fā)和運(yùn)營(yíng)�,加強(qiáng)開源技術(shù)人才培養(yǎng)��,推進(jìn)開源技術(shù)迭代升級(jí),促進(jìn)開源技術(shù)成果轉(zhuǎn)化��。
十五、支持金融機(jī)構(gòu)加入合法合規(guī)的開源社區(qū)����、開源基金會(huì)等開源社會(huì)組織��,參與開源技術(shù)規(guī)劃設(shè)計(jì)��、研發(fā)決策、社區(qū)運(yùn)營(yíng)等活動(dòng)����。開源社會(huì)組織發(fā)揮自律作用�,研究出臺(tái)自律公約���,規(guī)范開源技術(shù)參與機(jī)構(gòu)行為���,保障開源技術(shù)貢獻(xiàn)者合法權(quán)益����。發(fā)揮橋梁紐帶作用��,建立穩(wěn)定、高效的交流分享機(jī)制����,定期開展開源技術(shù)交流、產(chǎn)金對(duì)接、應(yīng)用推廣等活動(dòng)�����。
十六���、鼓勵(lì)開源技術(shù)提供商加快提升技術(shù)創(chuàng)新能力����,切實(shí)掌握開源技術(shù)核心代碼,形成自主知識(shí)產(chǎn)權(quán)���,夯實(shí)產(chǎn)業(yè)支撐能力�。在提供基于開源技術(shù)的商業(yè)軟件或服務(wù)時(shí)��,遵循開源許可協(xié)議和相關(guān)法律法規(guī)要求��,明確開源技術(shù)的使用范圍和使用的權(quán)利與義務(wù)��,保障用戶合法權(quán)益���。探索自主開源生態(tài)����,重點(diǎn)在操作系統(tǒng)����、數(shù)據(jù)庫(kù)、中間件等基礎(chǔ)軟件領(lǐng)域和云計(jì)算���、大數(shù)據(jù)�����、人工智能���、區(qū)塊鏈等新興技術(shù)領(lǐng)域加快生態(tài)建設(shè)��,利用開源模式加速推動(dòng)信息技術(shù)創(chuàng)新發(fā)展。
十七��、人民銀行�����、中央網(wǎng)信辦�、工業(yè)和信息化部、銀保監(jiān)會(huì)�����、證監(jiān)會(huì)等部門加強(qiáng)統(tǒng)籌協(xié)調(diào),建立跨部門協(xié)作配合�、信息共享機(jī)制�,定期召開跨部門協(xié)調(diào)會(huì)議,完善金融機(jī)構(gòu)開源技術(shù)應(yīng)用指導(dǎo)政策��,推動(dòng)金融機(jī)構(gòu)合理規(guī)范使用開源技術(shù)��。
十八、探索建立開源技術(shù)公共服務(wù)平臺(tái)���,為金融機(jī)構(gòu)識(shí)別開源技術(shù)風(fēng)險(xiǎn)、動(dòng)態(tài)管理開源軟件�����、持續(xù)跟蹤開源前沿技術(shù)、共享開源發(fā)展動(dòng)態(tài)信息、參與開源社區(qū)運(yùn)營(yíng)等提供專業(yè)化����、定制化服務(wù)。推動(dòng)金融機(jī)構(gòu)開展開源技術(shù)成熟度評(píng)估�,進(jìn)行開源許可安全合規(guī)審查��,建立開源技術(shù)選型評(píng)估模型�,提升開源技術(shù)應(yīng)用質(zhì)量與效率。
十九���、加強(qiáng)開源技術(shù)及應(yīng)用標(biāo)準(zhǔn)化建設(shè)��,瞄準(zhǔn)急需���、重點(diǎn)領(lǐng)域加快標(biāo)準(zhǔn)制定與實(shí)施。加快推進(jìn)開源技術(shù)應(yīng)用和標(biāo)準(zhǔn)研究制定一體化�。加強(qiáng)開源技術(shù)標(biāo)準(zhǔn)建設(shè)與信息化規(guī)劃的銜接配套�����,推動(dòng)金融業(yè)開源技術(shù)及應(yīng)用高質(zhì)量發(fā)展�。
二十、鼓勵(lì)金融機(jī)構(gòu)加強(qiáng)知識(shí)產(chǎn)權(quán)保護(hù)研究與宣傳����,提升知識(shí)產(chǎn)權(quán)保護(hù)意識(shí)�,制定軟件版權(quán)、專利、商標(biāo)等開源技術(shù)知識(shí)產(chǎn)權(quán)保護(hù)策略和制度�����。依法合規(guī)使用開源技術(shù)���,同時(shí)保障自身在使用開源技術(shù)�、參與開源生態(tài)貢獻(xiàn)中的合法權(quán)益�����。
中國(guó)人民銀行辦公廳
網(wǎng)信辦秘書局
工業(yè)和信息化部辦公廳
銀保監(jiān)會(huì)辦公廳
證監(jiān)會(huì)辦公廳
2021年9月28日
