2014年12月26日,中国银监会办公厅与工业和信息化部办公厅联合下发《银行业应用安全可控信息技术推进指南(2014-2015年度)》(银监办发【2014】317号,下称“317号文”)。该文件的出台立即在中外企业中引发了激烈的讨论,尤其是在在华提供信息技术的外国科技企业中引起了恐慌,可谓一石激起千层浪。
美国总统奥巴马也针对中国对金融机构的信息技术系统推行这一监管政策发表批评意见,并已就此向中国国家主席习近平提出质疑。究竟317号文是一个什么文件,能引起如此之大的震动,现在就让我们带您一起走进317号文。
解读317号文
317号文系2014年9月3日中国银行业监督管理委员会发布的《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(【2019】39号,下称“39号文”)的持续发酵,表明中国银行业正在全力加强行业安全可控信息技术以及网络安全的建设。39号文只是一个框架性文件,笼统提出提升银行业网络安全保障能力和信息化建设水平,推动银行业深化改革,发展转型,促进战略新兴产业发展。为了配合39号文的实施,银监会于2014年年底发布317号文,进一步明确了对银行业信息化所涉及的技术、产品及服务的安全可控要求和评价标准,从应用和研究两个方向细化任务要求,并在如下各方面进一步贯彻落实39号文的精神,使其具有了一定的可操作性。
1. 明确开展应用安全可控信息技术的范围。在中国境内依法设立的银行业金融机构中开展应用安全可控信息技术,具体包括各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司、邮政储蓄银行,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司。
2. 明确安全可控信息技术的具体内容。即安全可控信息技术是指能够满足银行业信息安全需求,且技术风险、外包风险和供应链风险可控的信息技术。其中,技术风险泛指与银行业金融机构信息资产相关的固有风险和操作风险,银行业金融机构不因采用任何技术、产品或服务而损失对技术风险的识别、监测和控制能力,信息技术企业应充分保障银行业金融机构识别技术风险的权利,并为识别和控制风险提供充分的知识、技能和工具支持。外包风险是指因信息科技外包而产生的科技能力丧失、业务中断、信息泄露等风险。供应链风险是指因技术、产品或服务供应渠道中断、知识产权限制而造成银行业金融机构无法获得必要的维修、支持、升级等服务,进而导致系统运行中断的风险。概括之即是政府拟从技术风险、外包风险及供应链风险三方面对金融机构安全可控信息技术予以监管。
3. 明确建立银行业信息技术资产分类(简称“IT资产分类”)目录。IT资产分类由类别代码、名称、说明和相关引用标准等要素组成。类别分为十个大类和六十多个小类。十大类主要涉及软件、硬件及技术服务等方面。软件主要包括通用软件(数据库、操作系统、安全管理、监控管理等)和专用软件(银行专用软件)。硬件包括计算机设备(大、小型计算机、PC服务器、台式机、便携式计算设备)、网络设备(路由器、交换机等)、存储设备(网络附加存储、磁盘陈列等)、安全设备(防病毒网关、认证加密设备等)、自助设备(POS机、自助服务终端、自动存取款机等)及终端机具(柜员终端、打印机等)。技术服务包括咨询服务、设计开发服务等。
4. 明确各类别的安全可控指标。安全可控指标由安全可控要求、年度应用任务、年度研究任务、评价方法等要素组成。在IT资产分类表中,明确载明了各类别安全可控要求、应用任务及评价方法。以便于银监会会同工业和信息化部对银行业开展的安全可控信息技术应用工作进行评价,以确定相关技术的推广应用及研究任务的完成情况。
5. 进一步明确和强调39号文中提出的两个量化指标。即:(1)到2019年末安全可控信息技术使用率达到75%。对于317号文印发时已达到75%的资产类别,原则上应保持比例只增不减。(2)2015年起,银行业金融机构应安排不低于5%的年度信息化预算,专门用于支持本机构围绕安全可控信息系统开展前瞻性、创新性和规划性研究,支持本机构掌握信息化核心知识和技能。
6. 明确现阶段工作安排。即各金融机构于2015年3月15日前将本机构应用安全可控信息技术推进领导小组、牵头部门的组成及职责,以及安全可控信息技术推进工作的战略计划、总体规划和年度工作计划按照属地监管原则报送银监会或其派出机构。
317号文影响力
通过对317号文解读,我们不难得出一个结论,即中国政府意欲通过对银行业应用安全可控信息技术的推进及监管,加强国家金融安全保障水平,实现金融领域信息技术的自主可控,间接支持鼓励相关民族企业的发展,抑制外国企业在信息技术的主导地位,促进中国信息技术的发展及信息安全的保护。
317号文的发布,引起诸多相关外资企业及合资企业的高度关注。各企业纷纷收到银行的咨询函或调研函,以确认其现有技术和产品是否属于自主知识产权,是否属于安全可控范围。从而使得相关企业纷纷紧急启动内部评估机制以确认本企业提供的技术是否安全可控。也有不少企业已着手有针对性的战略研究,以有效应对现有危机、长远规划企业未来。
社会上对317号文存在不同的声音:有的认为自主可控即意味着国产化,有的则认为317号文违反我国在入世时所做的承诺,有违法之嫌疑,还有一部分认为该文的发布将会极大地刺激我国自主信息技术产业的发展,推进我国信息技术产业达到一个新的发展高度。针对各种声音,业内专业人士认为,目前正在使用的一些国际厂商产品出现较大问题时,往往需要从国外邀请专家解决,效率很低,自主可控是银行业必须走的一条路。同时自主可控并非等同于国产化,如果国外厂商共享知识产权,在国内成立合资公司,或者通过设立研发和技术中心等方式,能够让国内金融机构迅速解决存在的潜在问题,提供及时的服务,应该也算自主可控。我们认为,目前317号文并未确定明确的标准来判断自主可控,这可能是今后需要进一步重点明确的内容,也是下一阶段作为被监管方的企业、行业与作为监管方的政府之间协调、沟通的关键所在。
317号文带来的机遇和挑战
金融领域的信息安全可控,为从事信息技术的各类企业既带来了挑战也带来了机遇。可控信息技术以及网络安全提供的一个机遇是开放源代码市场。“IOE”(IBM、Oracle、EMC)产品普遍使用的是封闭的系统,其存在的问题是,技术上会有很多排他性的内嵌软件,出现问题很难快速解决;经济上会维护成本高,且易形成垄断。自提出国内信息安全可控后,作为外资企业三大巨头之一的IBM (服务器) 已选择在国内和合作伙伴共同开发市场,同时公布了很多芯片源代码等。该举动将直接推动中国相关技术领域的发展,促使国内大型软件和硬件企业积极加强与国外先进企业的交流与合作,逐步吸取国际厂商的产品设计经验及技术,从而推进自主信息技术厂商的技术发展和市场拓展。
当然也会带来一定的挑战。对于国内企业,可能因技术不到位等一系列问题而面临淘汰。对于外企,则可能因其提供的技术、产品和服务不符合317号文提及的应用安全可控信息技术,而存在逐步退出中国市场的潜在风险。应对该风险,我们建议,企业应对自身技术等做全面系统评估,加强与同行业竞争者沟通交流,积极配合中国政府的调研,通过与同业竞争者之间的沟通交流,与监管机构的对话合作,顺利度过此次大规模政策监管的关卡。
317号文对中国信息技术的发展意义深远,无论是国内企业还是外资企业,都应该正确对待,积极应对监管、革新技术、开拓市场、规划未来,力求在中国大市场中更好地前行。
