中國銀行業(yè)信息技術(shù)安全的相關(guān)規(guī)定���,主要指2014年9月3日由中國銀監(jiān)會(huì)�����、國家發(fā)展改革委��、科技部���、工業(yè)和信息化部聯(lián)合發(fā)布的《關(guān)于應(yīng)用安全可控信息技術(shù)加強(qiáng)銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見》(銀監(jiān)發(fā)〔2014〕39號(hào))���,以及銀監(jiān)會(huì)、工業(yè)和信息化部于2014年12月26日發(fā)布的《銀行業(yè)應(yīng)用安全可控信息技術(shù)推進(jìn)指南(2014—2015年度)》(銀監(jiān)辦發(fā)〔2014〕317號(hào))��。
民間認(rèn)為�,銀監(jiān)會(huì)39號(hào)文與317號(hào)文的發(fā)布,是中國銀行業(yè)去IOE的標(biāo)志事件�����。隨著業(yè)務(wù)的迅猛發(fā)展,中國銀行業(yè)的IT投入多年來持續(xù)保持高位�����,成為中外IT產(chǎn)業(yè)的重點(diǎn)關(guān)注對象����,而由于銀行IT對穩(wěn)定性、可靠性等方面的嚴(yán)苛要求��,在IT關(guān)鍵應(yīng)用上基本上被IOE一統(tǒng)江山���。因此��,39號(hào)文與317號(hào)文被認(rèn)為是對“國產(chǎn)IT產(chǎn)品的保護(hù)”��,同時(shí)也是對國外高端IT產(chǎn)品的打壓����。
實(shí)際上���,《銀行業(yè)應(yīng)用安全可控信息技術(shù)推進(jìn)指南(2014—2015年度)》發(fā)布后不到兩個(gè)月的2月12日�����,中國銀監(jiān)會(huì)網(wǎng)站刊出“關(guān)于《銀行業(yè)應(yīng)用安全可控信息技術(shù)推進(jìn)指南(2014-2015年度)》(銀監(jiān)辦發(fā)〔2014〕317號(hào))的相關(guān)說明”一文�����,指出���,“源代碼備案具體工作還在研究中,備案方式和流程將在充分聽取各方意見后實(shí)施”���,且“在銀行業(yè)范疇以內(nèi)����,關(guān)于隨機(jī)軟件擁有自主知識(shí)產(chǎn)權(quán)��,現(xiàn)階段只要求供應(yīng)商提供軟件的知識(shí)產(chǎn)權(quán)證明或合法來源證明”���。
這表明���,對于軟件知識(shí)產(chǎn)權(quán),“相關(guān)說明”并未強(qiáng)調(diào)必須是國產(chǎn)知識(shí)產(chǎn)權(quán)��,這一解釋說明,在新政發(fā)布后的密集咨詢期�,銀監(jiān)會(huì)已經(jīng)發(fā)現(xiàn)《指南》本身存在準(zhǔn)備不充分、說明不清晰的情況����。因此,面臨外界的各種壓力�����,銀監(jiān)會(huì)此次暫緩實(shí)施銀行業(yè)信息技術(shù)安全新規(guī)�,并不十分意外。
2013年6月斯諾登事件之后���,中國政府對來自美國信息技術(shù)領(lǐng)域的安全擔(dān)憂明顯上升���。根據(jù)銀監(jiān)會(huì)信息科技監(jiān)管部的一份政策解讀文件顯示,“自主可控既是銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的客觀需要�,也是銀行業(yè)創(chuàng)新、發(fā)展和轉(zhuǎn)型的現(xiàn)實(shí)需要�����,更是國家戰(zhàn)略的必然要求����。”
有分析人士認(rèn)為����,面對外界的重重壓力���,銀監(jiān)會(huì)安全可控政策存在流產(chǎn)的可能��。筆者以為���,作為國家戰(zhàn)略在關(guān)鍵行業(yè)的落地之舉���,信息技術(shù)自主可控在銀行業(yè)的推行可能因?yàn)樾枰晟贫雍?���,但絕無取消的可能�����。對銀監(jiān)會(huì)來說�����,主要存在三個(gè)方面的考驗(yàn)。
1.國外政府與跨國企業(yè)層面
2月27日�����,美國貿(mào)易代表邁克爾·佛曼(Michael Froman)指責(zé)中國頒布的銀行業(yè)信息技術(shù)安全新規(guī)違反了中國的貿(mào)易承諾���。由于這些規(guī)定要求中國銀行業(yè)增加對安全技術(shù)的使用�����,但美國和歐盟相關(guān)企業(yè)則表示這些規(guī)則具有侵入性���,例如規(guī)定要求企業(yè)向中國銀監(jiān)會(huì)進(jìn)行源代碼備案。
此前����,包括佛曼在內(nèi)的美國有關(guān)官員曾致信中國政府表達(dá)了對新提出的銀行業(yè)科技規(guī)則的擔(dān)憂。這封信由佛曼�����、美國國務(wù)卿約翰·克里(John Kerry)��、美國商務(wù)部部長佩尼·普里茲克(PennyPritzker)和美國財(cái)政部長雅各布·盧(Jacob Lew)聯(lián)名簽署��。
此外,據(jù)路透社報(bào)道�,當(dāng)?shù)貢r(shí)間4月13日,來自美國���、日本和歐洲的商會(huì)向中國方面表達(dá)了他們對中國銀行業(yè)IT國產(chǎn)化的“強(qiáng)烈擔(dān)憂”�����,并要求中國暫停實(shí)施這一采購新規(guī)�����。據(jù)報(bào)道���,“這一由31家商會(huì)發(fā)起的聯(lián)名信已經(jīng)遞交給了中共中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室���。”
對于以上“指責(zé)與擔(dān)憂”�����,中國銀行業(yè)監(jiān)督管理委員會(huì)從未予以正面回應(yīng)����。但4月17日由外媒首先報(bào)道“中國暫停執(zhí)行銀行IT新規(guī),并將對規(guī)定內(nèi)容進(jìn)行修訂完善”�����,表明中國在這一事件上做出了暫時(shí)的妥協(xié)或者是策略性延后��。雖如此�,筆者相信,一旦銀監(jiān)會(huì)再次推出完善后的新政�,這種質(zhì)疑還將繼續(xù)存在,甚至可能引發(fā)更大的反彈���。
2.中國銀行業(yè)層面
按照銀監(jiān)會(huì)39號(hào)文要求��,兩個(gè)量化指標(biāo)納入商業(yè)銀行2015年年度考核�,即從2015年起����,各銀行業(yè)金融機(jī)構(gòu)對安全可控信息技術(shù)的應(yīng)用以不低于15%的比例逐年增加,直至2019年達(dá)到不低于75%的總體占比(2014年應(yīng)用的技術(shù)和產(chǎn)品可納入2015年度計(jì)算)���;2015年起���,銀行業(yè)金融機(jī)構(gòu)應(yīng)安排不低于5%的年度信息化預(yù)算���,專門用于支持本機(jī)構(gòu)圍繞安全可控信息系統(tǒng)開展前瞻性、創(chuàng)新性和規(guī)劃性研究��,支持本機(jī)構(gòu)掌握信息化核心知識(shí)和技能���。
當(dāng)前��,商業(yè)銀行處于高速發(fā)展期與市場化改革期��,新產(chǎn)品新服務(wù)不斷推出����,這對商業(yè)銀行信息科技的可靠性�����、穩(wěn)定性提出了更高的要求���。對于商業(yè)銀行來說,銀監(jiān)會(huì)以上的兩項(xiàng)量化指標(biāo)看似沒有彈性���,但存在事實(shí)上的操作空間���,如對安全可控信息技術(shù)及其應(yīng)用的界定���。
此外,面對銀行業(yè)的實(shí)際情況����,新政落地也存在較大的難度。在一次交流中����,某股份制銀行信息科技部總經(jīng)理曾言:現(xiàn)在規(guī)模較大的商業(yè)銀行,尤其是系統(tǒng)性重要銀行����,核心系統(tǒng)應(yīng)用基本上都是國外的產(chǎn)品且應(yīng)用成熟度較高。從安全可控的政策層面�,這些部分的應(yīng)用是存在問題的;但是從銀行階段性穩(wěn)定發(fā)展的角度���,它們又是穩(wěn)定可控的�。
“我們其實(shí)非常希望能夠采用國產(chǎn)的產(chǎn)品�。但是目前來看�����,與國外產(chǎn)品相比����,國產(chǎn)產(chǎn)品在先進(jìn)性���、可靠性����、穩(wěn)定性以及成熟度方面存在較大的差距�。商業(yè)銀行不可能在核心應(yīng)用上一刀切,搞國產(chǎn)化�����,這只能給商業(yè)銀行帶來不可預(yù)料的風(fēng)險(xiǎn)���。”
因此���,預(yù)料銀監(jiān)會(huì)將會(huì)與商業(yè)銀行進(jìn)行更深層次的溝通與博弈,信息技術(shù)安全可控將會(huì)在細(xì)節(jié)層面更清晰�����,更具有可操作性�����。
3.中國IT產(chǎn)業(yè)層面
對于金融IT的國產(chǎn)化應(yīng)用��,在網(wǎng)絡(luò)�、服務(wù)器、信息安全等領(lǐng)域已經(jīng)有較大的占比�����,如華為�����、浪潮�����、天威誠信等��,但與其說是自主可控����,不如說是市場發(fā)展的結(jié)果����。然而��,在核心業(yè)務(wù)系統(tǒng)應(yīng)用����、操作系統(tǒng)、數(shù)據(jù)庫��、存儲(chǔ)等層面�,國產(chǎn)產(chǎn)品基本上只能旁觀。
所以說����,中國IT業(yè)雖然很希望通過這樣的保護(hù)來發(fā)展壯大自己,但在自身實(shí)力還不能完全滿足用戶的前提下����,很多事情也不能一蹴而就。
綜上可以看出����,說是金融IT系統(tǒng)安全問題�,其實(shí)是一個(gè)從硬件基礎(chǔ)架構(gòu)到操作系統(tǒng)和數(shù)據(jù)庫���、業(yè)務(wù)系統(tǒng),而后是安全問題����。而在這些方面,中國IT服務(wù)提供商的產(chǎn)品在長期的市場競爭中�����,沒能成為一個(gè)良好的有競爭力的生態(tài)鏈和產(chǎn)業(yè)鏈�,這需要不僅是銀監(jiān)會(huì)也是其他各行各業(yè)的主管領(lǐng)導(dǎo)應(yīng)該認(rèn)清的。當(dāng)然�,不是說自主安全、自主可控的戰(zhàn)略我們不服從��,而是應(yīng)該是一個(gè)循序漸進(jìn)��,分步驟���、分階段的過程����,否則,一個(gè)規(guī)定出了就改���,既說明我們對行業(yè)現(xiàn)狀認(rèn)識(shí)不夠����,又說明我們領(lǐng)導(dǎo)制定決策的水平有問題��。
果-1.jpg)
