中國銀行業(yè)信息技術安全的相關規(guī)定���,主要指2014年9月3日由中國銀監(jiān)會��、國家發(fā)展改革委、科技部��、工業(yè)和信息化部聯(lián)合發(fā)布的《關于應用安全可控信息技術加強銀行業(yè)網(wǎng)絡安全和信息化建設的指導意見》(銀監(jiān)發(fā)〔2014〕39號)��,以及銀監(jiān)會��、工業(yè)和信息化部于2014年12月26日發(fā)布的《銀行業(yè)應用安全可控信息技術推進指南(2014—2015年度)》(銀監(jiān)辦發(fā)〔2014〕317號)�����。
民間認為��,銀監(jiān)會39號文與317號文的發(fā)布�,是中國銀行業(yè)去IOE的標志事件。隨著業(yè)務的迅猛發(fā)展����,中國銀行業(yè)的IT投入多年來持續(xù)保持高位���,成為中外IT產(chǎn)業(yè)的重點關注對象��,而由于銀行IT對穩(wěn)定性�����、可靠性等方面的嚴苛要求�,在IT關鍵應用上基本上被IOE一統(tǒng)江山��。因此�����,39號文與317號文被認為是對“國產(chǎn)IT產(chǎn)品的保護”,同時也是對國外高端IT產(chǎn)品的打壓�。
實際上,《銀行業(yè)應用安全可控信息技術推進指南(2014—2015年度)》發(fā)布后不到兩個月的2月12日����,中國銀監(jiān)會網(wǎng)站刊出“關于《銀行業(yè)應用安全可控信息技術推進指南(2014-2015年度)》(銀監(jiān)辦發(fā)〔2014〕317號)的相關說明”一文,指出����,“源代碼備案具體工作還在研究中,備案方式和流程將在充分聽取各方意見后實施”���,且“在銀行業(yè)范疇以內(nèi)����,關于隨機軟件擁有自主知識產(chǎn)權,現(xiàn)階段只要求供應商提供軟件的知識產(chǎn)權證明或合法來源證明”�。
這表明,對于軟件知識產(chǎn)權���,“相關說明”并未強調(diào)必須是國產(chǎn)知識產(chǎn)權�,這一解釋說明,在新政發(fā)布后的密集咨詢期���,銀監(jiān)會已經(jīng)發(fā)現(xiàn)《指南》本身存在準備不充分��、說明不清晰的情況。因此��,面臨外界的各種壓力���,銀監(jiān)會此次暫緩實施銀行業(yè)信息技術安全新規(guī)��,并不十分意外����。
2013年6月斯諾登事件之后��,中國政府對來自美國信息技術領域的安全擔憂明顯上升。根據(jù)銀監(jiān)會信息科技監(jiān)管部的一份政策解讀文件顯示�,“自主可控既是銀行業(yè)網(wǎng)絡安全和信息化建設的客觀需要,也是銀行業(yè)創(chuàng)新��、發(fā)展和轉(zhuǎn)型的現(xiàn)實需要,更是國家戰(zhàn)略的必然要求����。”
有分析人士認為,面對外界的重重壓力����,銀監(jiān)會安全可控政策存在流產(chǎn)的可能����。筆者以為����,作為國家戰(zhàn)略在關鍵行業(yè)的落地之舉,信息技術自主可控在銀行業(yè)的推行可能因為需要完善而延后����,但絕無取消的可能。對銀監(jiān)會來說���,主要存在三個方面的考驗���。
1.國外政府與跨國企業(yè)層面
2月27日,美國貿(mào)易代表邁克爾·佛曼(Michael Froman)指責中國頒布的銀行業(yè)信息技術安全新規(guī)違反了中國的貿(mào)易承諾���。由于這些規(guī)定要求中國銀行業(yè)增加對安全技術的使用��,但美國和歐盟相關企業(yè)則表示這些規(guī)則具有侵入性���,例如規(guī)定要求企業(yè)向中國銀監(jiān)會進行源代碼備案�。
此前�����,包括佛曼在內(nèi)的美國有關官員曾致信中國政府表達了對新提出的銀行業(yè)科技規(guī)則的擔憂�。這封信由佛曼、美國國務卿約翰·克里(John Kerry)�、美國商務部部長佩尼·普里茲克(PennyPritzker)和美國財政部長雅各布·盧(Jacob Lew)聯(lián)名簽署。
此外����,據(jù)路透社報道,當?shù)貢r間4月13日��,來自美國��、日本和歐洲的商會向中國方面表達了他們對中國銀行業(yè)IT國產(chǎn)化的“強烈擔憂”���,并要求中國暫停實施這一采購新規(guī)。據(jù)報道,“這一由31家商會發(fā)起的聯(lián)名信已經(jīng)遞交給了中共中央網(wǎng)絡安全和信息化領導小組辦公室�����。”
對于以上“指責與擔憂”�,中國銀行業(yè)監(jiān)督管理委員會從未予以正面回應。但4月17日由外媒首先報道“中國暫停執(zhí)行銀行IT新規(guī)����,并將對規(guī)定內(nèi)容進行修訂完善”,表明中國在這一事件上做出了暫時的妥協(xié)或者是策略性延后����。雖如此�����,筆者相信���,一旦銀監(jiān)會再次推出完善后的新政�����,這種質(zhì)疑還將繼續(xù)存在���,甚至可能引發(fā)更大的反彈�。
2.中國銀行業(yè)層面
按照銀監(jiān)會39號文要求,兩個量化指標納入商業(yè)銀行2015年年度考核���,即從2015年起��,各銀行業(yè)金融機構對安全可控信息技術的應用以不低于15%的比例逐年增加����,直至2019年達到不低于75%的總體占比(2014年應用的技術和產(chǎn)品可納入2015年度計算);2015年起��,銀行業(yè)金融機構應安排不低于5%的年度信息化預算���,專門用于支持本機構圍繞安全可控信息系統(tǒng)開展前瞻性��、創(chuàng)新性和規(guī)劃性研究���,支持本機構掌握信息化核心知識和技能。
當前����,商業(yè)銀行處于高速發(fā)展期與市場化改革期�����,新產(chǎn)品新服務不斷推出��,這對商業(yè)銀行信息科技的可靠性����、穩(wěn)定性提出了更高的要求�。對于商業(yè)銀行來說,銀監(jiān)會以上的兩項量化指標看似沒有彈性�,但存在事實上的操作空間�����,如對安全可控信息技術及其應用的界定�。
此外,面對銀行業(yè)的實際情況�����,新政落地也存在較大的難度����。在一次交流中,某股份制銀行信息科技部總經(jīng)理曾言:現(xiàn)在規(guī)模較大的商業(yè)銀行�,尤其是系統(tǒng)性重要銀行,核心系統(tǒng)應用基本上都是國外的產(chǎn)品且應用成熟度較高�����。從安全可控的政策層面����,這些部分的應用是存在問題的����;但是從銀行階段性穩(wěn)定發(fā)展的角度,它們又是穩(wěn)定可控的���。
“我們其實非常希望能夠采用國產(chǎn)的產(chǎn)品����。但是目前來看���,與國外產(chǎn)品相比,國產(chǎn)產(chǎn)品在先進性����、可靠性、穩(wěn)定性以及成熟度方面存在較大的差距�。商業(yè)銀行不可能在核心應用上一刀切,搞國產(chǎn)化���,這只能給商業(yè)銀行帶來不可預料的風險����。”
因此�,預料銀監(jiān)會將會與商業(yè)銀行進行更深層次的溝通與博弈�,信息技術安全可控將會在細節(jié)層面更清晰��,更具有可操作性�。
3.中國IT產(chǎn)業(yè)層面
對于金融IT的國產(chǎn)化應用����,在網(wǎng)絡����、服務器�、信息安全等領域已經(jīng)有較大的占比,如華為���、浪潮�、天威誠信等����,但與其說是自主可控����,不如說是市場發(fā)展的結(jié)果��。然而����,在核心業(yè)務系統(tǒng)應用、操作系統(tǒng)����、數(shù)據(jù)庫、存儲等層面���,國產(chǎn)產(chǎn)品基本上只能旁觀�����。
所以說����,中國IT業(yè)雖然很希望通過這樣的保護來發(fā)展壯大自己,但在自身實力還不能完全滿足用戶的前提下���,很多事情也不能一蹴而就。
綜上可以看出��,說是金融IT系統(tǒng)安全問題����,其實是一個從硬件基礎架構到操作系統(tǒng)和數(shù)據(jù)庫、業(yè)務系統(tǒng)���,而后是安全問題�����。而在這些方面�,中國IT服務提供商的產(chǎn)品在長期的市場競爭中�,沒能成為一個良好的有競爭力的生態(tài)鏈和產(chǎn)業(yè)鏈�����,這需要不僅是銀監(jiān)會也是其他各行各業(yè)的主管領導應該認清的。當然��,不是說自主安全���、自主可控的戰(zhàn)略我們不服從�����,而是應該是一個循序漸進,分步驟、分階段的過程����,否則,一個規(guī)定出了就改���,既說明我們對行業(yè)現(xiàn)狀認識不夠�,又說明我們領導制定決策的水平有問題���。
果-1.jpg)
