近年來,開源技術在金融業各領域得到廣泛應用,在推動金融機構科技創新和數字化轉型方面發揮著積極作用,但也面臨安全可控等諸多挑戰。為規範金融機構合理應用開源技術,提高應用水準和自主可控能力,促進開源技術健康可持續發展,現提出以下意見,請結合實際貫徹執行。
一、本意見所指開源技術是金融機構從代碼託管平臺、技術社區、開源機構官方網站等渠道獲取,或通過合作研發、商業採購等方式引入的開源代碼、開源組件、開源軟體和基於開源技術的雲服務等。
二、金融機構在使用開源技術時應遵循以下原則:
(一)堅持安全可控。金融機構應當把保障資訊系統安全作為使用開源技術的底線,認真開展事前技術評估和安全評估,堵塞安全漏洞,切實保證技術可持續和供應鏈安全,提升資訊系統業務連續性水準。
(二)堅持合規使用。金融機構應當遵循開源技術相關法律和許可要求,合規使用開源技術,明確開源技術的使用範圍和使用的權利與義務,保障開源技術作者或權利人的合法權益。
(三)堅持問題導向。鼓勵金融機構有針對性地選擇和使用開源技術,建立開源技術使用問題發現、反饋、解決等閉環機制,推動開源技術不斷迭代升級。
(四)堅持開放創新。鼓勵金融機構重視開源技術應用與發展,積極參與國際國內開源技術社區建設,汲取先進技術,貢獻中國智慧,培育適合金融場景的開源産業鏈,提升開源技術話語權。
三、金融機構可以將開源技術應用納入自身信息化發展規劃,明確開源技術應用目標,制定開源技術應用工作方案並組織實施。
四、鼓勵金融機構加強對開源技術應用的組織管理和統籌協調,成立由科技、法務、採購等部門組成的開源技術應用協調機制,負責開源技術評估、選擇、應用等工作,協調解決應用中遇到的困難和問題。
五、鼓勵金融機構建立健全開源技術應用管理制度體系,規範開源技術的引入審批、技術評估、合規使用、漏洞檢測、更新維護、應急處置、停用退出等行為。
六、金融機構可以根據金融業務場景,選擇適宜的技術路線,制定合理的開源技術應用策略,包括獨立完成開源技術應用及運維、引入第三方機構的開源技術支援服務、採購開源技術提供商的商業軟體版本及服務等。
七、金融機構可以根據開源技術使用情況,建立開源技術應用臺賬,及時掌握開源許可證變更、漏洞、閉源、停服等變化情況,實行常態化管理,規避風險。
八、鼓勵金融機構將開源技術應用作為提高核心技術自主可控能力的重要手段,加強開源技術研究儲備,掌握開源技術核心,以應用促提升,依託金融業豐富的業務場景促進開源技術迭代升級。
九、推動金融機構建立健全對開源技術基本功能、性能指標、安全性、社區成熟度、商業支援度、行業認可度等方面的評估體系,對開源技術引入、使用、更新、退出等環節開展定期評估,在提升自身評估能力的同時,可結合實際引入第三方評估服務。
十、支援金融機構對開源技術版權、專利、商標、聲明等進行事前合規審查,通過審查開源許可證遵從性和相容性、梳理開源技術間依賴性等,避免法律糾紛。可根據需要引入第三方合規審查服務。
十一、支援金融機構制定應急處置預案,應對開源技術潛在漏洞、後門及閉源、停服等突發情況。通過規劃備選方案、限制使用場景、儲備核心技術人才等措施降低風險。及時更新應急處置預案,定期開展演練,保證應急處置預案的有效性。
十二、支援金融機構加強開源技術供應鏈管理,保障開源技術産品和服務品質,通過合同或協議條款,明確開源技術提供商義務和責任,並要求開源技術提供商對其提供的開源技術進行技術評估、合規審查等。
十三、鼓勵金融機構積極參與開源生態建設,依法合規分享開源技術應用經驗,共用開源技術研究成果。通過主動開源、貢獻代碼解決行業共性問題,提升開源技術整體應用水準。鼓勵金融機構之間開展開源項目合作,實現優勢互補、互利共贏、共同發展。
十四、鼓勵金融機構與科技企業、高等院校、科研院所、中介服務等機構加強交流合作,基於市場化原則開展開源技術聯合研發和運營,加強開源技術人才培養,推進開源技術迭代升級,促進開源技術成果轉化。
十五、支援金融機構加入合法合規的開源社區、開源基金會等開源社會組織,參與開源技術規劃設計、研發決策、社區運營等活動。開源社會組織發揮自律作用,研究出臺自律公約,規範開源技術參與機構行為,保障開源技術貢獻者合法權益。發揮橋梁紐帶作用,建立穩定、高效的交流分享機制,定期開展開源技術交流、産金對接、應用推廣等活動。
十六、鼓勵開源技術提供商加快提升技術創新能力,切實掌握開源技術核心代碼,形成自主知識産權,夯實産業支撐能力。在提供基於開源技術的商業軟體或服務時,遵循開源許可協議和相關法律法規要求,明確開源技術的使用範圍和使用的權利與義務,保障用戶合法權益。探索自主開源生態,重點在作業系統、數據庫、中間件等基礎軟體領域和雲計算、大數據、人工智慧、區塊鏈等新興技術領域加快生態建設,利用開源模式加速推動資訊技術創新發展。
十七、人民銀行、中央網信辦、工業和信息化部、銀保監會、證監會等部門加強統籌協調,建立跨部門協作配合、資訊共用機制,定期召開跨部門協調會議,完善金融機構開源技術應用指導政策,推動金融機構合理規範使用開源技術。
十八、探索建立開源技術公共服務平臺,為金融機構識別開源技術風險、動態管理開源軟體、持續跟蹤開源前沿技術、共用開源發展動態資訊、參與開源社區運營等提供專業化、定制化服務。推動金融機構開展開源技術成熟度評估,進行開源許可安全合規審查,建立開源技術選型評估模型,提升開源技術應用品質與效率。
十九、加強開源技術及應用標準化建設,瞄準急需、重點領域加快標準制定與實施。加快推進開源技術應用和標準研究制定一體化。加強開源技術標準建設與信息化規劃的銜接配套,推動金融業開源技術及應用高品質發展。
二十、鼓勵金融機構加強知識産權保護研究與宣傳,提升知識産權保護意識,制定軟體版權、專利、商標等開源技術知識産權保護策略和制度。依法合規使用開源技術,同時保障自身在使用開源技術、參與開源生態貢獻中的合法權益。
中國人民銀行辦公廳
中央網信辦秘書局
工業和信息化部辦公廳
中國銀保監會辦公廳
中國證監會辦公廳
2021年9月28日