广州互联网金融协会

当前位置: 网站首页 > 行业要闻

金融云的法律风险防范

发布日期:2019年06月17日 08:52:39 访问人数:4440

云是指在互联网上实现硬件、软件、资源的统一计算、处理、存储与共享的一种托管技术,是推动信息技术能力实现按需供给、促进信息技术和数据资源充分利用的全新业态。由于云计算、大数据、人工智能等技术的普及,整个社会在数字化转型方面需求强烈,带动了云服务市场的迅猛扩张。而在金融行业,随着新兴金融业态带来的巨大冲击,数字化转型已经迫在眉睫。中国人民银行发布了《中国金融业信息技术“十三五”发展规划》,标志着金融行业数字化转型全面铺开。因此,作为行业云的重要分支的金融云,也成为了云服务市场的必争之地。然而,金融云的发展,既为金融行业的数字化转型和业务创新提供了可能,也给市场带来了新的风险,需要注意防范。

一、金融云概述

金融云是云计算服务在技术和概念上的专业化延伸,是为金融行业量身定制的云服务产品,属于行业云的一种。金融云通过网络将各系统与数据链接,实现互联互通,并通过网络提供专门的服务。云计算技术在金融领域的广泛应用,将提高金融机构的数据处理能力,从而完善流程,达到改善客户体验、降低运营成本的目的。相比传统IT架构,云计算在调用计算资源和存储海量数据等方面表现得更为灵活,能很好地适应当下的金融环境,尤其是互联网金融的要求。

一些金融机构自建金融云,也有一些金融机构使用金融云外包服务。自建金融云,就是将金融机构内部系统及数据中心互联互通,构成云网络。使用金融云外包服务,就是利用云计算服务提供商的云网络,将金融产品、信息、服务分散到云网络当中。当然,更多的是采取两者结合的模式,即金融机构在某些核心领域加快金融上云的自建进程,而云计算服务提供商也努力参与到金融机构金融上云的进程中来,提供从云架构规划、云架构建设以及运营端到端的行业解决方案,同时,在诸如独立机房管理、安全容灾能力、网络安全隔离、安全解决方案等方面提供底层支撑,延展金融场景,让金融机构以金融云的姿势更好地服务用户,而用户以金融云的方式更方便地享受金融服务。利用“云”来承载应用和处理高并发业务的强大市场需求,使得金融行业在快速发展的同时,也给金融云服务商提供了更广阔的平台。金融行业引入云计算技术也是企业在服务上的升级,这种结合既能实现企业业务模式的创新,又能加速促进跨行业间的合作。例如,腾讯云与多家银行联合共建金融科技创新实验室,并与多家银行进行深度合作,如建设银行、招商银行、光大银行、锦州银行、济宁银行、微众银行等。阿里云以金融智能化为契机与民生银行、重庆银行、南京银行、顺德农商行、网商银行等建立深度合作。金山云也为建设银行、招商银行、新网银行、小米金融等金融机构提供相关的云服务,无论是合作形式、业务范围都在朝向更全和更深的场景延伸。

这种合作的商业模式主要有:一是IaaS,即通过Web将数据中心、基础设施硬件资源分配给金融机构使用的商业模式;二是SaaS,即金融软件的供应商在自购的服务器上部署应用软件,客户根据自身的需求付费订购相应的软件服务;三是PaaS,即供应商通过Web将开发环境、计算环境等平台作为一种服务提供给客户。金融云所使用的云计算技术主要包括:一是基础架构云。即通过虚拟化的手段实现快速交付并对业务资产进行管理。二是容器技术。即通过更加便捷的手段来提升用户体验,快速地响应用户需求。使用容器技术可以支撑敏捷思路进行快速持续上线,包括持续交互、持续集成、DevOps等。三是人工智能技术。可以帮助金融机构更好地了解客户,同时,可以在金融业风控方面发挥重要应用。通过对特征码的学习,发现用户的潜在需求和风险特征,从而作出向用户推荐产品或规避贷款所带来的风险的行为。

二、金融云的法律风险防范

虽然金融云在金融行业的运用越来越广泛,但也存在诸多风险。除了市场风险、技术风险之外,还有以下一些法律风险,需要作出防范:

第一,合规风险。金融行业属于严监管行业,服务于银行、证券、保险、基金等金融机构的行业云,其运营必须符合一行两会的监管要求。按照人民银行和银保监会的合规建设标准,金融云必须在安全性、服务可用性和数据可靠性等方面达标。具体的合规建设标准有:《金融业信息系统机房动力系统测评规范》《金融行业信息系统信息安全等级保护测评指南》《银行业信息系统灾难恢复管理规范》《网上银行系统信息安全通用规范》《商业银行业务连续性监管指引》《银行业金融机构信息科技外包风险监管指引》《保险信息安全风险评估指标体系规范》《保险公司信息系统安全管理指引(试行)》《证券公司网上证券信息系统技术指引》《证券期货业信息系统安全等级保护测评要求》等。然而,目前市场上有传统IT厂商、互联网提供商、软件提供商等企业在不同层面提供各式各样的金融云服务,但我国尚未针对这些金融云外包服务提供商进行必要监管,导致市场上这些金融云外包服务提供商良莠不齐,存在合规风险。

因此,金融机构有必要针对不同的金融云服务需求作出更有针对性的风控措施和安排。例如,属于金融核心业务的云服务,应当完全符合当前监管部门对金融机构和金融业务的监管要求,即这些金融云服务提供商应当提供足以证明其专业性、技术能力和特点的证明材料并经核验。如果属于非金融核心业务的云服务,则可适当放宽要求,但应当在合同中明确合同目的及具体服务内容及要求,并督促相关服务提供商严格遵守。

第二,信息泄露风险与信息保护。无论是云计算还是人工智能,都是依赖各种海量数据。在金融云中,也同样涉及资金、交易、客户身份等大量敏感信息,这些数据即便在传统的自建模式中可以做到有效的物理隔离,但也存在因为系统漏洞而被黑客盗取的可能,或者内部人员故意泄露的可能。而在金融云外包服务中,数据存放在服务商的云端,由云计算服务提供商托管,更容易产生数据泄密、非法使用、数据混同等风险。云服务数据的安全性和隐私性仍然是大多数金融机构的主要关注点。为了保护敏感数据的安全并避免合规性问题,许多银行要么采用严格的“无云”策略,要么选择部署私有云。这也是很多金融机构尚未做好准备将其金融云业务外包的原因。虽然2017年实施的《网络安全法》明确规定了网络运营商的信息保护的责任,但金融云的信息保护的行业标准和行业监管都不健全,信息保护制度尚未完全建立。

因此,建议金融机构建立健全涉及金融云的信息保护制度,从设立独立的资源集群、严格的机房管理、严格的网络安全隔离要求、严格的访问控制、严格的用户准入机制等方面入手,制定更为严格的信息保护制度。例如,要求专线接入,保证和金融机构内网络连接的高速连接,提供安全、私密的通讯机制,杜绝网络安全及传输过程中的敏感信息泄露。

第三,不正当竞争风险与规制。金融云通过对数据的占有和使用,整合生态链上的上下游企业,解决整个产业集群的云服务问题,这需要集成金融云服务能力的众多团队的合力才可做到。例如,一些金融云服务提供商在为金融机构服务时,提供了从获客到引流,到风险控制,到复购,再到客户的换回等多方面的服务,没有强大的技术、资金、客户等实力,根本就做不到。由于金融云服务的这种复杂性,一旦金融云建立起来,其他市场主体再想进入其中,相关壁垒就会非常高。因而现在各个金融机构以及金融云服务提供商都纷纷加大资金的密集投入,到处抢占地盘,让市场竞争充满了火药味。一些地方政府也介入进来,并依靠行政手段获得地方金融云建设的垄断地位,使得金融云的可扩展性的特点遭到破坏。

因此,建议监管部门及早制定关于金融云的不正当竞争的规制制度,不允许金融云服务过于集中,也要防止行政垄断的出现,并制止不同金融云服务提供商之间的不正当竞争行为,也呼吁国家能够尽快制定金融云服务分类管理、信息保护的相关监管制度,打造开放、有序、可扩展性、高可用性以及公益性的金融云体系。

 

来源:广州互联网金融协会法律服务中心