身处数字金融时代，商业银行应用程序接口（API）的安全边界，正逐渐由独立的局域网络扩展到开放的互联网，诸如移动支付、跨界授信等数字金融服务，日益渗入我们生活的各个方面。电话推销、网络诈骗等传统手段，或将演变为身份盗窃、舆论攻击等手段，乃至危及到人身安全。在可预见的未来，金融服务安全的主战场，是提供金融服务的每一家企业、是接入互联网的每一台设备、是社会上的每一人。

近年来，个人信息泄露事件屡见不鲜。比如，在此前一起车辆信息泄露事件中，大量车主的姓名、电话、车辆品牌等信息赫然在列。这份数据表格按条分档售卖，从7分到9毛不等，且量大从优。不难想象，如此详尽的信息若被非法利用，用户可能会被定向推送、精准营销、大数据杀熟……甚至被诈骗。

依照常见的车贷流程，APP、车商、车贷公司、商业银行作为信息提交、转送、审核、放贷等环节，相互之间都使用了API实现的数据交互。

车贷流程简图

注：上图只是描述车贷流程的一种可能的连接形式，还有如APP与车贷公司或银行直连，车商为第三方接入的情况等。此图仅为方便理解简化绘制。

我们根据案例，分析了信息泄露的可能方式，如用户端泄露、相关人员泄露、API设计缺陷以及服务器被攻击等情况，具体如下：

1. 用户端泄露：用户提交非必要信息或APP权限使用过度等

2. 相关人员泄露：由各个环节的相关经手人泄露或被转卖

3. API设计缺陷：数据没有加密传输或权限控制不完善等情况

4. 服务器被攻击：服务器防护不到位或数据未安全存储等情况

不止于此，近年来多起信息泄露安全事件都与API相关或间接相关，API管理疏漏、API设计缺陷、API防护缺位等为信息泄露的主要原因。

2020年2月，中国人民银行正式发布《商业银行应用程序接口安全管理规范》(JR/T 0185—2020）(以下简称《规范》）和《个人金融信息保护技术规范》(JR/T 0171—2020)。

《规范》针对使用商业银行应用程序接口的各类金融服务，对个人金融信息保护和金融API安全在技术和管理两方面，从API的设计、部署、集成、运维、服务终止与下线到管理的整个生命周期，对商业银行和应用方提出明确要求，为我们安全使用数字金融服务打造了坚实的金融后盾。

值得关注的是，2021年3月，中国金融认证中心（CFCA）已完成“商业银行应用程序接口检测”项目的试点。

安全之重，势如泰山，在保护金融服务安全的道路上我们从未停歇。CFCA立足于金融行业，提供商业银行应用程序接口（API）检测服务，共同守护你我金融生活的生命线。

责任编辑：王超