金融云服务的法令与合规问题初探

  2016年,我国银职业监督办理委员会印发《我国银职业信息科技“十三五”开展规划监管辅导定见》,提出银职业金融组织要稳步推动云核算运用并自动施行架构转型。考虑到云核算技能的“资源同享”和“弹性分配”的天然优势,直至2018年,近九成金融组织现已或正计划运用云核算技能。[1]其间,我国银联的“银联云”、工商银行的“工银星云”、招商证券的“混合云Azure”、众安稳妥金融云、兴业数金的“银行云”、安全集团打造的安全云生态,以及其他供给云服务的新式企业不断推动了金融职业的云核算服务运用。

  金融云服务,能够从两个视点来了解:从金融组织视点,能够了解为金融组织运用云核算技能供给更高效的金融服务;从云服务商视点,能够了解云服务商为面向金融职业客户(稳妥、证券、基金、银行、消费金融等)供给的云核算服务。与公有云比较,金融云具有特定的职业技能标准。一方面,金融云应遵从云服务的根本规矩;另一方面,金融云还需求契合金融职业的运用标准。

  2020年10月16日,我国人民银行发布了《云核算技能金融运用标准--技能架构》(JR/T 0166—2020,下称“《技能架构》”)、《云核算技能金融运用标准--安全技能要求》(JR/T 0167—2020,下称“《安全技能要求》”)、《云核算技能金融运用标准--容灾》(JR/T 0168—2020,下称“《容灾》”)。[2]上述三项标准,结合《信息安全技能--云核算服务安全攻略》(GB/T 31167-2014),一起构成了金融云的标准体系。该金融云标准体系结合了金融云的的运转机制与危险特征,从根本才干、网络安全、数据保护、运转环境安全、事务连续性确保等方面提出了有针对性的技能要求,确保金融云在安全性、安稳性、适配性等方面满意监管要求和职业需求,防备因云服务缺点引发的危险向金融范畴传导。

  本文将对金融云服务的概念,准入标准,以及现在监管体系是从何种视点标准金融云等问题进行探求和考虑,以期进一步厘清金融云服务中的法令规制问题。

  2016年11月24日,工业和信息化部发布了“关于搜集《关于标准云服务商场运营行为的告诉》定见的公告”,其间对云服务做了界定:本告诉所称云服务是指互联网数据中心事务(IDC)中的互联网资源协作服务事务。该《告诉》向社会征求定见的期限到2016年12月24日,现在并未正式发布。

  而依据工业和信息化部发布的《电信事务分类目录(2015年版)》(2019年修订版),与云服务相关的是B11类增值电信事务,即互联网数据中心事务(IDC),IDC事务在解说“互联网数据中心事务”的一起,界说了“互联网资源协作服务事务”。

  据此,云服务是互联网数据中心事务的组成部分,一般特指“互联网资源协作服务事务”,即:“运用架起在数据中心之上的设备和资源,经过互联网或其他网络以随时获取、按需运用、随时扩展、协作同享等方法,为用户供给的数据存储、互联网运用开发环境、互联网运用布置和运转办理等服务。”

  云服务作为一种存储与运算资源同享的互联网服务方式,具有资源按需运用、泛在接入、资源池化、动态分配、灵活性强、体系可用性高级特色。

  关于金融云,我国尚未在法令层面清晰其概念及法令内在。依据国家认证认可监督办理委员会于2019年10月发布并施行《金融科技产品认证规矩》,金融科技产品中含有一类为“云核算渠道”,其包含金融业各组织自建、自用、自运转的私有云和供金融业各组织同享运用的集体云。

  结合《技能架构》、《安全技能要求》及《容灾》三项金融职业标准对金融云服务运用中的各类安全技能作了整理和阐明,以及《金融科技产品认证规矩》的界定,金融云是结合金交融规与安全要求而开展起来的职业运用,金融云的布置方法以私有云、集体云及上述两者的混合云为主。

  其间,金融私有云是指为某个金融组织独自运用而构建的,可依据事务流程进行专属化定制的,可布置在金融组织体系数据中心的防火墙内的一种云布置方式,其间心在于资源专属,数据安全性高。而金融集体云,则指仅供金融组织同享运用,承载金融事务体系的集体云。而其间集体云系由一组特定的云服务运用者运用和同享,且资源被云服务供给者或运用者操控的一种云布置方式,云服务者和运用者在监管方针、安全要求等方面相同或高度类似。

  关于金融云服务供给者而言,除了遵从云核算的一般规矩外,还应遵从人民银行、银保监会、证监会等金融监管组织关于金融科技与金融外包服务的相关规矩。

  正是因为金融云的特别特色,相较公有云及其他职业化的集体云,金融云在资质与准入方面,除需求具有通用云服务的资质条件外,还有其特别的准入标准。

  现在,依据《电信事务分类目录(2015年版)》的规矩,电信事务分为根底电信事务和增值电信事务。“云核算”的服务所触及的“云存储”、“云核算”及其他相关服务首要归归于IDC服务及“互联网资源协作服务”,皆归于第一类增值电信事务,需向通讯主管部分申领相应的(B11)类增值电信事务许可证。

  此外,依据《网络安全法》第二十一条,网络运营者应当依照网络安全等级保护原则的要求,实行安全保护职责,确保网络免受搅扰、损坏或许未经授权的拜访,避免网络数据走漏或许被盗取、篡改。因而,云服务商供给的产品应依据《网络安全等级保护测评要求第2部分:云核算安全扩展要求》具有公安部信息体系等级保护相应等级的认证资质。

  金融云所触及的金融职业资质问题,包含两个视角,一个是云服务供给商的视角,一个是云服务承受者的视角。

  依据《技能架构》的要求,关于云服务供给商而言,其所受监管应不弱于金融组织。依照这一要求,云服务商在选用的技能标准、安全标准和方法方面,应契合人民银行、银保监会、证监会等监管组织关于金融组织信息体系施行的安全标准。

  值得重视的是,监管组织关于云服务的不同层次也设置了不同的监管要求。针对运用体系层级的云服务,《技能架构》7.4.4专门规矩:“云核算渠道供给SaaS时,应满意金融范畴相应类型的信息体系在服务外包、信息安全、事务流程等方面的监管要求。”

  因而,关于SaaS云服务商而言要求更为严厉,除了网络与信息体系的监管要求外,还需求考虑金融监管的要求。例如,银监会于2017年牵头树立云服务公司---融联易云金融信息服务(北京)有限公司[3]在运营规模中标明“金融信息服务”[4],而依据《金融信息服务办理规矩》第四条,金融信息服务供给者从事应予以存案的金融事务应当取得相应资质,并承受有关主管部分的监督办理。

  在SaaS技能语境下,云服务商能够直接触摸和处理金融组织的事务、数据和用户信息,做到了对运用、数据、中间件、操作体系、虚拟化、服务器、贮存以及网络全掌控,SaaS体系现实上成为了金融组织详细事务的支撑。所以,SaaS云服务商现实上也成了承载特定金融事务的重要参与者,关于事务本身的合规性应有相应的留意职责。

  依照技能架构的界说,金融云服务的承受者,应为金融组织。可是关于金融组织的界说,现在金融云标准体系未给予清晰的规模。

  笔者以为,依照监管标准同等的原则,金融组织应首要包含由人民银行、银保监会、证监会发放金融许可证的组织。如银行、稳妥、信任、证券公司、金融租借、期货、公募基金、基金子公司、基金出售、非银行付出组织等。

  可是,关于具有金融特色,依照国家规矩承受当地金融监管部分监管的组织,如小额贷款公司、融资担保公司、典当行、融资租借公司、商业保理公司等,现在还存在一些争议。因为监管标准和体系的不同,此类组织能否作为金融云的用户,参照怎样的技能安全标准,以及合规的要求几许?这些问题亟需监管组织进一步予以清晰。

  云核算的特征是核算资源运用的功率最大化,并且,一般以为公有云布置方法具有最大的体系优化才干和资源配置才干。可是关于金融云而言,并不支撑选用公有云架构。

  依照央行的标准,金融云应首要选用私有云、集体云或上述两种方法混合布置。也就是说,无论是在IaaS、PaaS、SaaS层面,所供给的云服务均应在金融集体云或私有云布置下完结。对此,《安全技能要求》6.1(a)专门规矩,“应确保用于金融业的云核算数据中心运转环境与其他职业物理阻隔。”物理阻隔,即服务金融职业的云核算数据中心在根底设备层面与其他职业进行阻隔,对物理服务器、网络接入设备等均完结了阻隔。

  物理阻隔是信息体系及数据安全防护的最高级级防护方法,关于金融云提出这样的高级级安全方法要求,是依据金融数据,特别是金融个人信息保护的需求,以及金融组织事务正常展开的需求。金融事务具有虚拟性、在线化的特色,云上布置的体系一旦受到损坏导致体系无法正常运转或数据丢掉,关于经济金融次序、社会安定、国家安全都会带来极大的危害。

  依据《云核算安全参阅架构》(GB/T 35279-2017),列示的IaaS、PaaS和SaaS服务供给商及其服务客户能够别离操控的资源规模,云服务商首要安全职责是确保其布置在云渠道根底设备之上的云核算环境的安全。并且,云服务商布置并操控的环境,依据其供给的服务类型,或许包含数据中心物理设备、网络层、服务器/存储、安全设备、虚拟化渠道,数据库体系、中间件、运用程序甚至数据。因而实践中,云服务商所供给服务方式的不同,能够触达或操控、办理的规模也会有所不同。从一般的归责原则来看,有用操控规模内的设备、设备毛病、缝隙,或许操作不妥所导致的网络安全与数据安全职责,由其施行操控的主体承当职责。依照这一原则,云服务商与云服务的承受方需求依据实践状况区分各自的职责。

  一起,需求清晰的是,尽管云服务商与金融组织各自为体系安全与数据安全承当相应的职责,但因为金融组织直接面临用户,假如发生网络安全及数据安全事故导致用户丢失,则金融组织仍然是首要的职责方。

  详细而言,关于金融组织运用云服务过程中承当的安全职责,《安全技能要求》清晰:金融组织是金融服务的终究供给者,其承当的安全职责不该因运用云服务而革除或减轻。因而,金融组织所需承当职责不只限于金融职业准入机制下的职业职责,还应该对事务“上云”承当网络安全等职责。金融组织在对外承当职责后,能够依据实践的职责分管状况向云服务商追偿。

  依据《网络安全法》第三十一条规矩,要害信息根底设备(Critical Information Infrastructure,下称“CII”)是指“公共通讯和信息服务、动力、交通、水利、金融、公共服务、电子政务等重要职业和范畴,以及其他一旦遭到损坏、丢失功用或许数据走漏,或许严重危害国家安全、国计民生、公共利益的要害信息根底设备。”关于CII更深层次的技能了解,能够参阅2020年7月发布的《信息安全技能 要害信息根底设备鸿沟确认方法(征求定见稿)》中的界说,即“支撑要害事务继续、安稳运转不可或缺的网络设备、信息体系。在形状构成上,能够是单个网络设备、信息体系,也能够是由多个网络设备、信息体系组成的调集。在本质上,归于要害事务的信息化部分,为要害事务供给信息化支撑。”

  依照《要害信息根底设备安全保护法令(征求定见稿)》第十八条的规矩:下列单位运转、办理的网络设备和信息体系,一旦遭到损坏、丢失功用或许数据走漏,或许严重危害国家安全、国计民生、公共利益的,应当归入要害信息根底设备保护规模:(一)政府机关和动力、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等职业范畴的单位;(二)电信网、播送电视网、互联网等信息网络,以及供给云核算、大数据和其他大型公共信息网络服务的单位。

  关于金融云服务的供给者而言,相关信息体系一起具有金融、云核算、大数据的特色,因而,尽管《要害信息根底设备安全保护法令(征求定见稿)》仍处于征求定见阶段,但金融云所依靠的信息体系被归入要害信息根底设备应该是不会存在争议的。

  因而,《网络安全法》、《网络安全查看方法》(2020年6月),以及公安部于2020年7月发布的《贯彻落实网络安全等级保护原则和要害信息根底设备安全保护原则的辅导定见》,以及其他有关要害信息根底设备运营者的网络安全与数据安全保护职责,关于金融云服务供给者相同适用。金融云服务供给者首要的职责包含以下几个方面:

  从网络安全及数据安全的视点看,金融云服务供给者应依照相关法令、法规、监管规矩的要求,树立内部的网络安全与数据安全办理原则和操作规程,严厉身份认证和权限办理。在人员办理和训练层面,《网络安全法》规矩应设置专门网络安全办理组织和网络安全办理担任人,并对该担任人和要害岗位人员进行安全布景查看,以及定时对从业人员进行网络安全教育、技能训练和技能查核,并拟定网络安全事情应急预案并定时进行演练。

  需求重视的是,《安全技能要求》第11条清晰提出了包含树立安全战略、办理原则、人员办理以及安全建造等在内的办理要求,其间安全建造的计划在施行前还应提交批阅,即安全计划有必要依据云核算渠道的需求挑选根本安全方法,计划应证明其合理性和正确性,并在监管单位同意后才干正式施行。

  金融云服务供给者在收购相关网络产品及服务时,应依据2020年4月27日,国家网信办、国家发改委、工信部、公安部、国家安全部等12个部分联合发布了《网络安全查看方法》,在收购网络产品和服务时评价其事务影响国家安全的或许性,并依照该方法自动进行网络安全申报,完结相关查看。

  《网络安全法》第三十七条规矩要求CII运营者在我国境内运营中搜集和发生的个人信息和重要数据应当在境内存储。金融云服务供给者本身不直接搜集用户信息,但供给云服务过程中,又必然会触及到个人信息或其他数据的搜集和存储问题。尽管直接搜集个人信息和其他数据的主体是云服务的承受者,但数据一般会存储在云服务器中。云服务供给者服务器中存储的个人信息和重要数据,其数量一般十分巨大。因而,关于数据的境内存储要求愈加严厉。

  关于网络安全的防控而言,容灾是也是十分重要的一环。《网络安全法》第三十四条以及《要害信息根底设备安全保护法令(征求定见稿)》第二十四条,都对CII的重要体系和数据库提出了容灾备份的要求。

  详细而言,金融云服务作为CII运营者可参阅《信息安全技能--要害信息根底设备安全操控方法》第6.5条拟定容灾备份战略,建造灾祸备份中心并确保事务的连续性。一起《容灾》细化了金融云服务中的云服务商及运用云核算的金融组织的容灾才干。

  在《关于增强个人信息保护意识依法展开事务的告诉(2019)》、《个人金融信息(数据)保护试行方法(2019年初稿)》、《我国人民银行金融顾客权益保护施行方法》(2016年)以及《银职业金融组织外包危险办理指引》(2010年)等标准和指引文件的根底上,央行和全国金融标准化技能委员会于2020年2月13日发布了《个人金融信息保护技能标准》(JR/T 0171-2020,下称“《标准》”)。尽管该标准文件是引荐性职业标准,但在实践中,不扫除会成为监管组织监督查看的重要参阅依据。

  《标准》将侧要点放在了“个人金融信息”,对个人金融信息安全办理提出了包含安全原则、安全战略、拜访操控、安全监测与危险评价、安全事情处置五个方面要求。

  在金融云服务情形中,关于或许触及到个人金融信息的状况,《标准》清晰重视到的问题包含数据运用过程中的信息屏蔽,以及数据毁掉和铲除。《标准》要求在经过信息屏蔽(或截词)技能使信息本身的安全等级降级,完结对灵敏信息展现的牢靠保护,并使屏蔽的信息保存其原始个人金融信息格局和特色,然后能够在云核算环境中安全地运用脱敏后的信息集。此外,《标准》要求云环境下有关数据铲除应依据《安全技能要求》第9.6条履行,即根本做到云服务运用者鉴别信息的存储空间在被开释或再分配时被彻底铲除,以及对被替换或作废的存储介质做到物理损坏避免数据被康复。作为金融云还应支撑全部副本数据的铲除。

  因而,在金融云服务语境下,无论是运用云核算服务的金融组织单位抑或是云服务供给者,在事务运营过程中都应参阅该标准并展开合规作业,在重视数据安全的根底上,掌握触及个人金融信息处理的自查与合规办理。

  在金融组织与多种云核算服务结合方式中,选用云核算的金融组织和云服务商应当依据事务特色判别职业准入标准和资质批阅。依据服务方式和操控鸿沟,掌握权责鸿沟,重视最新云核算技能金融场景运用的安全要求,例如物理阻隔、要害信息根底设备安全、收购查看、数据安全、运维办理、危险预警及容灾备份等。在个人信息保护层面,金融云还需要点重视《个人金融信息保护技能标准》施行动态,熟知监管部分在个人金融信息安全方面的技能要求,然后躲避法令危险。

  [2]2020年我国人民银行发布的三项云核算技能金融运用标准标准,对2018年发布的《云核算技能金融运用标准--技能架构》(JR/T 0166—2018)、《云核算技能金融运用标准--安全技能要求》(JR/T 0167—2018)、《云核算技能金融运用标准--容灾》(JR/T 0168—2018)三项金融职业标准的进一步完善。

  本文内容仅为供给信息之意图由作者/锦天城律师事务所制造,不该视为广告、吸引或法令定见。阅览、传达本文内容不以树立律师-委托人联系为意图,订阅咱们的文章也不构成律师-委托人联系。本文所包含的信息仅是作为一般性信息供给,作者/锦天城律师事务所不对本文做日常性保护、修正或更新,故或许未反映最新的法令开展。读者在就本身案子取得相关法域内执业律师的法令定见之前, 不要为任何意图依靠本文信息。作者/锦天城律师事务所清晰不承当因依据对本文任何方式的运用(包含作为或不作为)而发生的全部职责、丢失或危害。

  要害词

  本文为汹涌号作者或组织在汹涌新闻上传并发布,仅代表该作者或组织观念,不代表汹涌新闻的观念或态度,汹涌新闻仅供给信息发布渠道。请求汹涌号请用电脑拜访。

上一篇:全面进军金融科技银职业危机中的反扑 下一篇:华为金融云助诺华诚信透视危险背面的信贷机会