中國銀行業(yè)信息技術(shù)安全的相關(guān)規(guī)定��,主要指2014年9月3日由中國銀監(jiān)會、國家發(fā)展改革委����、科技部����、工業(yè)和信息化部聯(lián)合發(fā)布的《關(guān)于應(yīng)用安全可控信息技術(shù)加強銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見》(銀監(jiān)發(fā)〔2014〕39號)��,以及銀監(jiān)會���、工業(yè)和信息化部于2014年12月26日發(fā)布的《銀行業(yè)應(yīng)用安全可控信息技術(shù)推進(jìn)指南(2014—2015年度)》(銀監(jiān)辦發(fā)〔2014〕317號)��。
民間認(rèn)為��,銀監(jiān)會39號文與317號文的發(fā)布����,是中國銀行業(yè)去IOE的標(biāo)志事件����。隨著業(yè)務(wù)的迅猛發(fā)展,中國銀行業(yè)的IT投入多年來持續(xù)保持高位,成為中外IT產(chǎn)業(yè)的重點關(guān)注對象�,而由于銀行IT對穩(wěn)定性、可靠性等方面的嚴(yán)苛要求��,在IT關(guān)鍵應(yīng)用上基本上被IOE一統(tǒng)江山���。因此��,39號文與317號文被認(rèn)為是對“國產(chǎn)IT產(chǎn)品的保護”,同時也是對國外高端IT產(chǎn)品的打壓���。
實際上����,《銀行業(yè)應(yīng)用安全可控信息技術(shù)推進(jìn)指南(2014—2015年度)》發(fā)布后不到兩個月的2月12日,中國銀監(jiān)會網(wǎng)站刊出“關(guān)于《銀行業(yè)應(yīng)用安全可控信息技術(shù)推進(jìn)指南(2014-2015年度)》(銀監(jiān)辦發(fā)〔2014〕317號)的相關(guān)說明”一文�,指出�,“源代碼備案具體工作還在研究中��,備案方式和流程將在充分聽取各方意見后實施”�,且“在銀行業(yè)范疇以內(nèi),關(guān)于隨機軟件擁有自主知識產(chǎn)權(quán)���,現(xiàn)階段只要求供應(yīng)商提供軟件的知識產(chǎn)權(quán)證明或合法來源證明”。
這表明����,對于軟件知識產(chǎn)權(quán),“相關(guān)說明”并未強調(diào)必須是國產(chǎn)知識產(chǎn)權(quán)�����,這一解釋說明����,在新政發(fā)布后的密集咨詢期,銀監(jiān)會已經(jīng)發(fā)現(xiàn)《指南》本身存在準(zhǔn)備不充分�����、說明不清晰的情況���。因此�,面臨外界的各種壓力�,銀監(jiān)會此次暫緩實施銀行業(yè)信息技術(shù)安全新規(guī)��,并不十分意外���。
2013年6月斯諾登事件之后,中國政府對來自美國信息技術(shù)領(lǐng)域的安全擔(dān)憂明顯上升�。根據(jù)銀監(jiān)會信息科技監(jiān)管部的一份政策解讀文件顯示,“自主可控既是銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的客觀需要�,也是銀行業(yè)創(chuàng)新、發(fā)展和轉(zhuǎn)型的現(xiàn)實需要�,更是國家戰(zhàn)略的必然要求。”
有分析人士認(rèn)為�,面對外界的重重壓力,銀監(jiān)會安全可控政策存在流產(chǎn)的可能���。筆者以為�����,作為國家戰(zhàn)略在關(guān)鍵行業(yè)的落地之舉,信息技術(shù)自主可控在銀行業(yè)的推行可能因為需要完善而延后�����,但絕無取消的可能����。對銀監(jiān)會來說,主要存在三個方面的考驗�����。
1.國外政府與跨國企業(yè)層面
2月27日�����,美國貿(mào)易代表邁克爾·佛曼(Michael Froman)指責(zé)中國頒布的銀行業(yè)信息技術(shù)安全新規(guī)違反了中國的貿(mào)易承諾����。由于這些規(guī)定要求中國銀行業(yè)增加對安全技術(shù)的使用����,但美國和歐盟相關(guān)企業(yè)則表示這些規(guī)則具有侵入性,例如規(guī)定要求企業(yè)向中國銀監(jiān)會進(jìn)行源代碼備案�。
此前,包括佛曼在內(nèi)的美國有關(guān)官員曾致信中國政府表達(dá)了對新提出的銀行業(yè)科技規(guī)則的擔(dān)憂����。這封信由佛曼、美國國務(wù)卿約翰·克里(John Kerry)�、美國商務(wù)部部長佩尼·普里茲克(PennyPritzker)和美國財政部長雅各布·盧(Jacob Lew)聯(lián)名簽署��。
此外�,據(jù)路透社報道����,當(dāng)?shù)貢r間4月13日,來自美國���、日本和歐洲的商會向中國方面表達(dá)了他們對中國銀行業(yè)IT國產(chǎn)化的“強烈擔(dān)憂”�,并要求中國暫停實施這一采購新規(guī)�。據(jù)報道,“這一由31家商會發(fā)起的聯(lián)名信已經(jīng)遞交給了中共中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室����。”
對于以上“指責(zé)與擔(dān)憂”,中國銀行業(yè)監(jiān)督管理委員會從未予以正面回應(yīng)�����。但4月17日由外媒首先報道“中國暫停執(zhí)行銀行IT新規(guī)���,并將對規(guī)定內(nèi)容進(jìn)行修訂完善”,表明中國在這一事件上做出了暫時的妥協(xié)或者是策略性延后�。雖如此��,筆者相信�,一旦銀監(jiān)會再次推出完善后的新政���,這種質(zhì)疑還將繼續(xù)存在�����,甚至可能引發(fā)更大的反彈����。
2.中國銀行業(yè)層面
按照銀監(jiān)會39號文要求���,兩個量化指標(biāo)納入商業(yè)銀行2015年年度考核,即從2015年起�,各銀行業(yè)金融機構(gòu)對安全可控信息技術(shù)的應(yīng)用以不低于15%的比例逐年增加,直至2019年達(dá)到不低于75%的總體占比(2014年應(yīng)用的技術(shù)和產(chǎn)品可納入2015年度計算)����;2015年起,銀行業(yè)金融機構(gòu)應(yīng)安排不低于5%的年度信息化預(yù)算��,專門用于支持本機構(gòu)圍繞安全可控信息系統(tǒng)開展前瞻性�����、創(chuàng)新性和規(guī)劃性研究����,支持本機構(gòu)掌握信息化核心知識和技能。
當(dāng)前����,商業(yè)銀行處于高速發(fā)展期與市場化改革期,新產(chǎn)品新服務(wù)不斷推出���,這對商業(yè)銀行信息科技的可靠性、穩(wěn)定性提出了更高的要求�。對于商業(yè)銀行來說,銀監(jiān)會以上的兩項量化指標(biāo)看似沒有彈性�,但存在事實上的操作空間�,如對安全可控信息技術(shù)及其應(yīng)用的界定。
此外�,面對銀行業(yè)的實際情況,新政落地也存在較大的難度����。在一次交流中����,某股份制銀行信息科技部總經(jīng)理曾言:現(xiàn)在規(guī)模較大的商業(yè)銀行,尤其是系統(tǒng)性重要銀行���,核心系統(tǒng)應(yīng)用基本上都是國外的產(chǎn)品且應(yīng)用成熟度較高���。從安全可控的政策層面,這些部分的應(yīng)用是存在問題的�����;但是從銀行階段性穩(wěn)定發(fā)展的角度���,它們又是穩(wěn)定可控的���。
“我們其實非常希望能夠采用國產(chǎn)的產(chǎn)品。但是目前來看�����,與國外產(chǎn)品相比����,國產(chǎn)產(chǎn)品在先進(jìn)性、可靠性�����、穩(wěn)定性以及成熟度方面存在較大的差距�。商業(yè)銀行不可能在核心應(yīng)用上一刀切,搞國產(chǎn)化��,這只能給商業(yè)銀行帶來不可預(yù)料的風(fēng)險�����。”
因此�����,預(yù)料銀監(jiān)會將會與商業(yè)銀行進(jìn)行更深層次的溝通與博弈�����,信息技術(shù)安全可控將會在細(xì)節(jié)層面更清晰����,更具有可操作性��。
3.中國IT產(chǎn)業(yè)層面
對于金融IT的國產(chǎn)化應(yīng)用����,在網(wǎng)絡(luò)�����、服務(wù)器�、信息安全等領(lǐng)域已經(jīng)有較大的占比����,如華為���、浪潮����、天威誠信等����,但與其說是自主可控,不如說是市場發(fā)展的結(jié)果��。然而��,在核心業(yè)務(wù)系統(tǒng)應(yīng)用、操作系統(tǒng)�、數(shù)據(jù)庫、存儲等層面���,國產(chǎn)產(chǎn)品基本上只能旁觀。
所以說�����,中國IT業(yè)雖然很希望通過這樣的保護來發(fā)展壯大自己�����,但在自身實力還不能完全滿足用戶的前提下,很多事情也不能一蹴而就�。
綜上可以看出,說是金融IT系統(tǒng)安全問題�,其實是一個從硬件基礎(chǔ)架構(gòu)到操作系統(tǒng)和數(shù)據(jù)庫�、業(yè)務(wù)系統(tǒng)����,而后是安全問題。而在這些方面�,中國IT服務(wù)提供商的產(chǎn)品在長期的市場競爭中,沒能成為一個良好的有競爭力的生態(tài)鏈和產(chǎn)業(yè)鏈���,這需要不僅是銀監(jiān)會也是其他各行各業(yè)的主管領(lǐng)導(dǎo)應(yīng)該認(rèn)清的�。當(dāng)然��,不是說自主安全�、自主可控的戰(zhàn)略我們不服從����,而是應(yīng)該是一個循序漸進(jìn),分步驟�����、分階段的過程���,否則���,一個規(guī)定出了就改,既說明我們對行業(yè)現(xiàn)狀認(rèn)識不夠�,又說明我們領(lǐng)導(dǎo)制定決策的水平有問題。
果-1.jpg)
