作者:秦昔 金杜律师事务所外商投资

近日,银监会出台了《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(即银监发[2014]39号文,以下简称《指导意见》),《指导意见》由银监会、发改委、科技部和工信部四部门联合发文,提出将安全可控信息技术应用纳入战略规划,制定配套政策,建立推进平台,大力推广使用能够满足银行业信息安全需求,且技术风险、外包风险和供应链风险可控的信息技术;并提出,到2019年,掌握银行业信息化的核心知识和关键技术;实现银行业关键网络和信息基础设施的合理分布,关键设施和服务的集中度风险得到有效缓解;安全可控信息技术在银行业总体达到75%左右的使用率。

有人将此作为IT行业在银行金融领域“国进洋退”的标志性文件,其实这并非是银监会首次对银行业提出“安全可控”的信息技术要求。早在2012年12月的“中国银行业信息科技风险管理2012年会暨银行业信息科技风险管理高层指导委员会全体会议”上,银监会就明确提出:银行业要围绕“自主可控”、“持续发展”、“科技创新”三大战略切实加强信息科技建设;那是“自主可控”第一次被明确地提出来。而实际上,银监会在此半年前已经酝酿着这一对中国银行产业乃至国家信息安全至关重要的战略部署,并于2012年8月成立了“银行业信息科技监管部”,作为此战略的具体实施和推动部门,充分体现了监管改革注重顶层设计的新思路。

如果再从国家层面来看,这也是国家信息安全战略在银行金融行业的部署实施。今年2月全国两会召开前,“中央网络安全和信息化领导小组”组建成立。这是十八届三中全会以来,继中央全面深化改革领导小组和中央国家安全委员会后的第三个由国家最高领导人习近平牵头的超级国家机构,这三个机构均由习近平主席、李克强总理担任正副职。而在今年8月26日召开的“2014中国互联网大会”上,工信部部长苗圩也表示,要把增强网络信息安全保障能力摆在更加突出的位置,推动完善网络与信息安全的法律法规、技术标准,加强基础设施和技术手段体系化建设。据悉,国家信息安全战略文件曾于7月再次上报中央高层,但因涉及部门较多,还有待进一步修改。在去年底,国家信息安全战略被列入工信部今年重点工作任务,要求“修改完善国家信息安全战略并推动尽早出台”。目前,虽然国家信息安全战略出台的时间尚不明朗,但是金融行业已经率先成为带动信息化改革和转变的排头兵。

《指导意见》核心解读:安全和可控

其实将《指导意见》的核心思想理解为国家将在银行业IT部署中强制推动“国产化”,即使不说是一种错误解读,至少是有失偏颇的解读。《指导意见》共列了四条加强银行业网络安全和信息化建设的“指导原则”,而其中的第一条就是“坚持开放合作”。银监会要求,必须要“兼容并蓄”以及“凝聚各方智慧和力量”。当然,兼容并蓄是有条件的、有底线的,即所谓两个“优先”和一个“避免”:优先应用开放性强、透明度高、适用面广的技术和解决方案,优先选择愿意在核心知识和关键技术领域进行合作的机构,避免对单一产品或技术的依赖”。

IT服务业的商业模式中,“交付”加“运维”是广受推崇的模式。因此,在某种程度上,对IT服务企业而言,银行业客户如果对其产品或技术形成长期依赖,则说明其商业模式的成功。可是如果涉及核心知识和关键技术领域,不光事关企业效益和信息安全,更涉及行业和国家信息安全,如果受制于人,便是没有“可控性”,更谈不上“自主可控”。所谓自主可控技术就是依靠自身研发设计,全面掌握产品核心技术,实现信息系统从硬件到软件的自主研发、生产、升级、维护的全程可控;简单地说就是核心技术、关键零部件、各类软件全都国产化,自己开发、自己制造,不受制于人。自主可控是我们国家信息化建设的关键环节,在信息安全方面意义重大。《指导意见》还对“自主”的具体要求做了阐释:整体架构自主设计、核心应用自主研发、核心知识自主掌握、关键技术自主应用。

“去IOE”不是目标

实际上,去年以来一场轰轰烈烈的去IOE运动,并没有像某些人预料的那样快延伸到金融行业。金融机构的运营特点决定了他们对于稳定安全有极高的要求,互联网电子商务网站是容忍一定程度的账目不准,因此他可以用集群用分布式数据库,但对银行来说,一个交易错了就可能带来巨额损失,因为一个交易就可能金额数亿。当然,开放是否就意味着不安全?这仍然是一个值得思考的问题。所谓“去IOE”到底是一场技术变革,还是一次“政治运动”?这更是一个必须要深思的问题。不论如何,这一场市场变革对于在整个金融行业生态系统或者整个IT和互联网生态系统中的每个企业而言,都是一个重大的挑战,也是一次绝好的机遇。在不触碰国家安全的底线下,不论是电信运营商还是数据中心,不论是国际IT架构巨头还是本土互联网新贵,不论是智能终端制造商还是系统软件或应用软件厂商,都面临着可能决定企业生死前途的重大机遇与挑战。

本土企业现阶段在网络设备、存储、中低端服务器、信息安全、运维服务和部分应用软件领域具有竞争力;而在核心应用基础架构、操作系统、数据库、中间件和银行业专用设备等领域本土企业实力仍较弱。冰冻三尺,非一日之寒;银行IT业此种情况不可能一夜之间改变。回顾《指导意见》,并未要求一味地国产化:而是要求掌握关键技术的“选择权”,摆脱在“关键信息”和“网络基础设施”领域对单一技术和产品的依赖。请注意,是摆脱对“单一技术和产品”的依赖,而非摆脱对“国外技术和产品”的依赖。《指导意见》给出的具体路径是要求银行从战略角度规划和建设业务连续性系统架构,应当至少有一种“基于安全可控信息技术架构的数据级或应用级存储、备份、归档和容灾等一体化的业务连续性方案”。可以预见的是,国际IT 巨头与国内银企合作的趋势将加快,不排除会出现若干个中外合作的自主可控示范项目,获得银行业和监管层认可。

推动自主创新 知识产权保护

在推动自主创新方面,《指导意见》也给出了一条明确的路线图,要求银行业金融机构“积极尝试应用安全可靠、自主创新的信息技术,通过应用提出改进需求,增强创新技术的适应性和健壮性”。《指导意见》进一步要求,在技术选型中,如存在安全可靠的自主创新产品和技术,应至少引入一家此类产品或技术进行选型和测试;对提供专用设备或集成解决方案的供应商,应要求其方案使用的硬件和软件至少能够各应用一项安全可靠的自主创新产品或技术。而且银监会还进一步要求各银行不仅作为技术购买方,而应积极参与安全可控信息技术研发,加强与产业机构、大学和科研机构的合作,开展技术合作,实施技术转移,形成高质量、具有行业推广价值的科技成果;在核心应用基础架构、操作系统、数据库等领域加大研究力度,集中突破制约安全可控发展的关键技术。《指导意见》还明确要求,从2015年起,银行业金融机构应安排不低于5%的年度信息化预算,专门用于支持本机构围绕安全可控信息系统开展前瞻性、创新性和规划性研究,支持本机构掌握信息化核心知识和技能。

离开了知识产权保护措施,所谓科技成果和关键技术突破是无法得到最终实现的。因此《指导意见》还进一步要求银行业金融机构加强知识产权保护意识,对各项研究成果及时申请技术专利保护,同时积极参与各类技术标准的研究和制定工作,推进安全可控信息技术的标准化、专利化。《指导意见》对此还要求工信部积极配合,共同制定银行业应用安全可控信息技术推进指南,依托银行业安全可控信息技术创新战略联盟和技术实验室、国家工程实验室,分析银行业应用需求,解决共性问题,逐年制定推进指南,对推进领域、重点信息技术和产品以及推进方案予以细化。《指导意见》要求各级工信部门应做好适用技术、产品、服务及典型解决方案推介,推动需求对接。

由上可见,具有研发创新能力的中小创新型企业将面临巨大的市场机遇。《指导意见》在“主要措施”部分明确要求“加强部门间协作,加强政策协同,加大力度支持银行业应用安全可控信息技术,以银行业应用不断完善安全可控信息技术,为安全可控信息技术创造市场空间”。这里的“市场空间”对于中小创新型科技企业而言,是绝好的市场机会,不容错过;而对专注于TMT行业投资的风险投资基金,亦是指明了一条潜力巨大且受国家政策支持的行业投资路径,即:能够提供安全可控信息技术、在银行业转型发展中扮演关键角色的技术型公司,将会得到国家政策、监管部门和银行业客户的积极支持,前景美好。

《指导意见》体现监管思路改革

应该说《指导意见》作为一份银监会颁布的规范性文件,充分体现了新一届政府锐意改革而又务实高效的施政理念。《指导意见》并未一刀切,也未强推在所有领域尽快实施,而是要求银行业金融机构“客观评估自身信息化需求和信息科技风险情况……按年度制定应用推进计划……选择与本单位信息化需求相匹配的技术与产品,避免一味求大求全”以及“在涉及客户敏感数据的信息处理环节,应优先使用安全可靠、风险可控的信息技术和服务”。《指导意见》还进一步明确,当前重点在网络设备、存储、中低端服务器、信息安全等领域积极推进,在操作系统、数据库等领域要加大探索和尝试力度,并且制定了一个目标明确但又循序渐进的时间表和路线图,即在本文开头提到的从2015年起对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年达到不低于75%的要求。这个要求既明确又务实,可操作性强。整个《指导意见》,既明确了总体目标和指导原则,又提出了具体的任务要求,还对后续措施和行动计划进行了部署,不仅仅对银行业金融机构的发展未来具有十分关键的引导作用,而且也将对国内IT/互联网/云计算和服务产业的进一步纵深整合产生积极深远的影响。