各方关注的中国银行业实施IT安全新规有了最新进展。
据美国《华尔街日报》网站4月17日报道,中国已暂停执行引发美国政府和商业组织抗议的银行业技术新规。中国官方通知表明,旨在改善中国银行业信息技术安全的规定已暂停执行,等待进一步通知,监管部门正在研究银行的反馈。
中国银行业信息技术安全的相关规定,主要指2014年9月3日由中国银监会、国家发展改革委、科技部、工业和信息化部联合发布的《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(银监发〔2014〕39号),以及银监会、工业和信息化部于2014年12月26日发布的《银行业应用安全可控信息技术推进指南(2014—2015年度)》(银监办发〔2014〕317号)。
民间认为,银监会39号文与317号文的发布,是中国银行业去IOE的标志事件。随着业务的迅猛发展,中国银行业的IT投入多年来持续保持高位,成为中外IT产业的重点关注对象,而由于银行IT对稳定性、可靠性等方面的严苛要求,在IT关键应用上基本上被IOE一统江山。因此,39号文与317号文被认为是对“国产IT产品的保护”,同时也是对国外高端IT产品的打压。
实际上,《银行业应用安全可控信息技术推进指南(2014—2015年度)》发布后不到两个月的2月12日,中国银监会网站刊出“关于《银行业应用安全可控信息技术推进指南(2014-2015年度)》(银监办发〔2014〕317号)的相关说明”一文,指出,“源代码备案具体工作还在研究中,备案方式和流程将在充分听取各方意见后实施”,且“在银行业范畴以内,关于随机软件拥有自主知识产权,现阶段只要求供应商提供软件的知识产权证明或合法来源证明”。
这表明,对于软件知识产权,“相关说明”并未强调必须是国产知识产权,这一解释说明,在新政发布后的密集咨询期,银监会已经发现《指南》本身存在准备不充分、说明不清晰的情况。因此,面临外界的各种压力,银监会此次暂缓实施银行业信息技术安全新规,并不十分意外。
2013年6月斯诺登事件之后,中国政府对来自美国信息技术领域的安全担忧明显上升。根据银监会信息科技监管部的一份政策解读文件显示,“自主可控既是银行业网络安全和信息化建设的客观需要,也是银行业创新、发展和转型的现实需要,更是国家战略的必然要求。”
有分析人士认为,面对外界的重重压力,银监会安全可控政策存在流产的可能。笔者以为,作为国家战略在关键行业的落地之举,信息技术自主可控在银行业的推行可能因为需要完善而延后,但绝无取消的可能。对银监会来说,主要存在三个方面的考验。
1.国外政府与跨国企业层面
2月27日,美国贸易代表迈克尔·佛曼(Michael Froman)指责中国颁布的银行业信息技术安全新规违反了中国的贸易承诺。由于这些规定要求中国银行业增加对安全技术的使用,但美国和欧盟相关企业则表示这些规则具有侵入性,例如规定要求企业向中国银监会进行源代码备案。
此前,包括佛曼在内的美国有关官员曾致信中国政府表达了对新提出的银行业科技规则的担忧。这封信由佛曼、美国国务卿约翰·克里(John Kerry)、美国商务部部长佩尼·普里兹克(PennyPritzker)和美国财政部长雅各布·卢(Jacob Lew)联名签署。
此外,据路透社报道,当地时间4月13日,来自美国、日本和欧洲的商会向中国方面表达了他们对中国银行业IT国产化的“强烈担忧”,并要求中国暂停实施这一采购新规。据报道,“这一由31家商会发起的联名信已经递交给了中共中央网络安全和信息化领导小组办公室。”
对于以上“指责与担忧”,中国银行业监督管理委员会从未予以正面回应。但4月17日由外媒首先报道“中国暂停执行银行IT新规,并将对规定内容进行修订完善”,表明中国在这一事件上做出了暂时的妥协或者是策略性延后。虽如此,笔者相信,一旦银监会再次推出完善后的新政,这种质疑还将继续存在,甚至可能引发更大的反弹。
2.中国银行业层面
按照银监会39号文要求,两个量化指标纳入商业银行2015年年度考核,即从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年达到不低于75%的总体占比(2014年应用的技术和产品可纳入2015年度计算);2015年起,银行业金融机构应安排不低于5%的年度信息化预算,专门用于支持本机构围绕安全可控信息系统开展前瞻性、创新性和规划性研究,支持本机构掌握信息化核心知识和技能。
当前,商业银行处于高速发展期与市场化改革期,新产品新服务不断推出,这对商业银行信息科技的可靠性、稳定性提出了更高的要求。对于商业银行来说,银监会以上的两项量化指标看似没有弹性,但存在事实上的操作空间,如对安全可控信息技术及其应用的界定。
此外,面对银行业的实际情况,新政落地也存在较大的难度。在一次交流中,某股份制银行信息科技部总经理曾言:现在规模较大的商业银行,尤其是系统性重要银行,核心系统应用基本上都是国外的产品且应用成熟度较高。从安全可控的政策层面,这些部分的应用是存在问题的;但是从银行阶段性稳定发展的角度,它们又是稳定可控的。
“我们其实非常希望能够采用国产的产品。但是目前来看,与国外产品相比,国产产品在先进性、可靠性、稳定性以及成熟度方面存在较大的差距。商业银行不可能在核心应用上一刀切,搞国产化,这只能给商业银行带来不可预料的风险。”
因此,预料银监会将会与商业银行进行更深层次的沟通与博弈,信息技术安全可控将会在细节层面更清晰,更具有可操作性。
3.中国IT产业层面
对于金融IT的国产化应用,在网络、服务器、信息安全等领域已经有较大的占比,如华为、浪潮、天威诚信等,但与其说是自主可控,不如说是市场发展的结果。然而,在核心业务系统应用、操作系统、数据库、存储等层面,国产产品基本上只能旁观。
所以说,中国IT业虽然很希望通过这样的保护来发展壮大自己,但在自身实力还不能完全满足用户的前提下,很多事情也不能一蹴而就。
综上可以看出,说是金融IT系统安全问题,其实是一个从硬件基础架构到操作系统和数据库、业务系统,而后是安全问题。而在这些方面,中国IT服务提供商的产品在长期的市场竞争中,没能成为一个良好的有竞争力的生态链和产业链,这需要不仅是银监会也是其他各行各业的主管领导应该认清的。当然,不是说自主安全、自主可控的战略我们不服从,而是应该是一个循序渐进,分步骤、分阶段的过程,否则,一个规定出了就改,既说明我们对行业现状认识不够,又说明我们领导制定决策的水平有问题。
