2016年，中國銀行業監督管理委員會印發《中國銀行業信息科技“十三五”發展規劃監管指導意見》，提出銀行業金融機構要穩步推進云計算應用并主動實施架構轉型?？紤]到云計算技術的“資源共享”和“彈性調配”的天然優勢，直至2018年，近九成金融機構已經或正計劃應用云計算技術。[1]其中，中國銀聯的“銀聯云”、工商銀行的“工銀星云”、招商證券的“混合云Azure”、眾安保險金融云、興業數金的“銀行云”、平安集團打造的平安云生態，以及其他提供云服務的新興企業不斷推動了金融行業的云計算服務應用。

金融云服務，可以從兩個角度來理解：從金融機構角度，可以理解為金融機構應用云計算技術提供更高效的金融服務；從云服務商角度，可以理解云服務商為面向金融行業客戶（保險、證券、基金、銀行、消費金融等）提供的云計算服務。與公有云相比，金融云具有特定的行業技術標準。一方面，金融云應遵循云服務的基本規則；另一方面，金融云還需要符合金融行業的應用標準。

2020年10月16日，中國人民銀行發布了《云計算技術金融應用規范--技術架構》（JR/T 0166—2020，下稱“《技術架構》”）、《云計算技術金融應用規范--安全技術要求》（JR/T 0167—2020，下稱“《安全技術要求》”）、《云計算技術金融應用規范--容災》（JR/T 0168—2020，下稱“《容災》”）。[2]上述三項標準，結合《信息安全技術--云計算服務安全指南》（GB/T 31167-2014），共同構成了金融云的標準體系。該金融云標準體系結合了金融云的的運行機制與風險特征，從基本能力、網絡安全、數據保護、運行環境安全、業務連續性保障等方面提出了有針對性的技術要求，確保金融云在安全性、穩定性、適配性等方面滿足監管要求和行業需求，防范因云服務缺陷引發的風險向金融領域傳導。

本文將對金融云服務的概念，準入標準，以及目前監管系統是從何種角度規范金融云等問題進行探究和思考，以期進一步厘清金融云服務中的法律規制問題。

一、金融云的概念與內涵

（一）云服務的概念與內涵

2016年11月24日，工業和信息化部發布了“關于征集《關于規范云服務市場經營行為的通知》意見的公告”，其中對云服務做了界定：本通知所稱云服務是指互聯網數據中心業務（IDC）中的互聯網資源協作服務業務。該《通知》向社會征求意見的期限截至2016年12月24日，目前并未正式發布。

而根據工業和信息化部發布的《電信業務分類目錄（2015年版）》（2019年修訂版），與云服務相關的是B11類增值電信業務，即互聯網數據中心業務（IDC），IDC業務在解釋“互聯網數據中心業務”的同時，定義了“互聯網資源協作服務業務”。

據此，云服務是互聯網數據中心業務的組成部分，一般特指“互聯網資源協作服務業務”，即：“利用架設在數據中心之上的設備和資源，通過互聯網或其他網絡以隨時獲取、按需使用、隨時擴展、協作共享等方式，為用戶提供的數據存儲、互聯網應用開發環境、互聯網應用部署和運行管理等服務?！?/p>

云服務作為一種存儲與運算資源共享的互聯網服務模式，具有資源按需使用、泛在接入、資源池化、動態分配、靈活性強、系統可用性高等特點。

（二）金融云的概念與內涵

對于金融云，我國尚未在法律層面明確其概念及法律內涵。依據國家認證認可監督管理委員會于2019年10月發布并實施《金融科技產品認證規則》，金融科技產品中含有一類為“云計算平臺”，其包括金融業各機構自建、自用、自運行的私有云和供金融業各機構共享使用的團體云。

結合《技術架構》、《安全技術要求》及《容災》三項金融行業標準對金融云服務應用中的各類安全技術作了梳理和說明，以及《金融科技產品認證規則》的界定，金融云是結合金融合規與安全要求而發展起來的行業應用，金融云的部署方式以私有云、團體云及上述兩者的混合云為主。

其中，金融私有云是指為某個金融機構單獨使用而構建的，可根據業務流程進行專屬化定制的，可部署在金融機構系統數據中心的防火墻內的一種云部署模式，其核心在于資源專屬，數據安全性高。而金融團體云，則指僅供金融機構共享使用，承載金融業務系統的團體云。而其中團體云系由一組特定的云服務使用者使用和共享，且資源被云服務提供者或使用者控制的一種云部署模式，云服務者和使用者在監管政策、安全要求等方面相同或高度相似。

對于金融云服務提供者而言，除了遵循云計算的一般規則外，還應遵循人民銀行、銀保監會、證監會等金融監管機構對于金融科技與金融外包服務的相關規則。

二、金融云服務的資質與準入問題

正是由于金融云的特殊屬性，相較公有云及其他行業化的團體云，金融云在資質與準入方面，除需要具備通用云服務的資質條件外，還有其特殊的準入標準。

（一）通用的電信行業資質

目前，根據《電信業務分類目錄（2015年版）》的規定，電信業務分為基礎電信業務和增值電信業務?！霸朴嬎恪钡姆账婕暗摹霸拼鎯Α?、“云計算”及其他相關服務主要歸屬于IDC服務及“互聯網資源協作服務”，皆屬于第一類增值電信業務，需向通信主管部門申領相應的（B11）類增值電信業務許可證。

此外，根據《網絡安全法》第二十一條，網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。因此，云服務商提供的產品應依據《網絡安全等級保護測評要求第2部分：云計算安全擴展要求》具備公安部信息系統等級保護相應級別的認證資質。

（二）金融行業的服務資質

金融云所涉及的金融行業資質問題，包含兩個視角，一個是云服務提供商的視角，一個是云服務接受者的視角。

1、云服務商的角度

根據《技術架構》的要求，對于云服務提供商而言，其所受監管應不弱于金融機構。按照這一要求，云服務商在采用的技術標準、安全標準和措施方面，應符合人民銀行、銀保監會、證監會等監管機構對于金融機構信息系統實施的安全標準。

值得關注的是，監管機構對于云服務的不同層次也設置了不同的監管要求。針對應用系統層級的云服務，《技術架構》7.4.4專門規定：“云計算平臺提供SaaS時，應滿足金融領域相應類型的信息系統在服務外包、信息安全、業務流程等方面的監管要求?！?/p>

因此，對于SaaS云服務商而言要求更為嚴格，除了網絡與信息系統的監管要求外，還需要考慮金融監管的要求。例如，銀監會于2017年牽頭成立云服務公司---融聯易云金融信息服務（北京）有限公司[3]在經營范圍中標示“金融信息服務”[4]，而根據《金融信息服務管理規定》第四條，金融信息服務提供者從事應予以備案的金融業務應當取得相應資質，并接受有關主管部門的監督管理。

在SaaS技術語境下，云服務商可以直接接觸和處理金融機構的業務、數據和用戶信息，做到了對應用、數據、中間件、操作系統、虛擬化、服務器、儲存以及網絡全掌控，SaaS系統事實上成為了金融機構具體業務的支撐。于是，SaaS云服務商事實上也成了承載特定金融業務的重要參與者，對于業務本身的合規性應有相應的注意義務。

2、云服務接受者的角度

按照技術架構的定義，金融云服務的接受者，應為金融機構。但是對于金融機構的定義，目前金融云標準體系未給予明確的范圍。

筆者認為，按照監管標準等同的原則，金融機構應主要包括由人民銀行、銀保監會、證監會發放金融許可證的機構。如銀行、保險、信托、證券公司、金融租賃、期貨、公募基金、基金子公司、基金銷售、非銀行支付機構等。

但是，對于具有金融屬性，按照國家規定接受地方金融監管部門監管的機構，如小額貸款公司、融資擔保公司、典當行、融資租賃公司、商業保理公司等，目前還存在一些爭議。由于監管標準和體系的不同，此類機構能否作為金融云的用戶，參照怎樣的技術安全標準，以及合規的要求幾何？這些問題亟需監管機構進一步予以明確。

三、金融云服務的網絡安全與數據安全問題

（一）關于物理隔離

云計算的特征是計算資源利用的效率最大化，而且，通常認為公有云部署方式具有最大的系統優化能力和資源配置能力。但是對于金融云而言，并不支持采用公有云架構。

按照央行的標準，金融云應主要采用私有云、團體云或上述兩種方式混合部署。也就是說，無論是在IaaS、PaaS、SaaS層面，所提供的云服務均應在金融團體云或私有云部署下完成。對此，《安全技術要求》6.1（a）專門規定，“應保證用于金融業的云計算數據中心運行環境與其他行業物理隔離?！蔽锢砀綦x，即服務金融行業的云計算數據中心在基礎設施層面與其他行業進行隔離，對物理服務器、網絡接入設施等均實現了隔離。

物理隔離是信息系統及數據安全防護的最高等級防護措施，對于金融云提出這樣的高等級安全措施要求，是基于金融數據，特別是金融個人信息保護的需求，以及金融機構業務正常開展的需要。金融業務具有虛擬性、在線化的特點，云上部署的系統一旦受到破壞導致系統無法正常運行或數據丟失，對于經濟金融秩序、社會安定、國家安全都會帶來極大的危害。

（二）網絡及數據安全責任主體

原則上，云計算服務的安全責任邊界受限于云服務參與各方可以觸達的資源控制范圍。

根據《云計算安全參考架構》（GB/T 35279-2017），列示的IaaS、PaaS和SaaS服務提供商及其服務客戶可以分別控制的資源范圍，云服務商主要安全責任是保障其部署在云平臺基礎設施之上的云計算環境的安全。而且，云服務商部署并控制的環境，根據其提供的服務類型，可能包括數據中心物理設施、網絡層、服務器/存儲、安全設備、虛擬化平臺，數據庫系統、中間件、應用程序乃至數據。因此實踐中，云服務商所提供服務模式的不同，能夠觸達或控制、管理的范圍也會有所不同。從一般的歸責原則來看，有效控制范圍內的設備、設施故障、漏洞，或者操作不當所導致的網絡安全與數據安全責任，由其實施控制的主體承擔責任。按照這一原則，云服務商與云服務的接受方需要根據實際情況劃分各自的責任。

同時，需要明確的是，雖然云服務商與金融機構各自為系統安全與數據安全承擔相應的責任，但由于金融機構直接面對用戶，如果發生網絡安全及數據安全事故導致用戶損失，則金融機構仍然是首要的責任方。

具體而言，關于金融機構使用云服務過程中承擔的安全責任，《安全技術要求》明確：金融機構是金融服務的最終提供者，其承擔的安全責任不應因使用云服務而免除或減輕。因此，金融機構所需承擔責任不僅限于金融行業準入機制下的行業責任，還應該對業務“上云”承擔網絡安全等責任。金融機構在對外承擔責任后，可以根據實際的責任分擔情況向云服務商追償。

（三）金融云服務中的“關鍵信息基礎設施”安全與容災恢復

1、關鍵信息基礎設施的定義

根據《網絡安全法》第三十一條規定，關鍵信息基礎設施（Critical Information Infrastructure，下稱“CII”）是指“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施?！睂τ贑II更深層次的技術理解，可以參考2020年7月發布的《信息安全技術 關鍵信息基礎設施邊界確定方法（征求意見稿）》中的定義，即“支撐關鍵業務持續、穩定運行不可或缺的網絡設施、信息系統。在形態構成上，可以是單個網絡設施、信息系統，也可以是由多個網絡設施、信息系統組成的集合。在本質上，屬于關鍵業務的信息化部分，為關鍵業務提供信息化支撐?！?/p>

2、金融云服務商作為CII運營者的網絡安全與數據安全保護義務

按照《關鍵信息基礎設施安全保護條例（征求意見稿）》第十八條的規定：下列單位運行、管理的網絡設施和信息系統，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的，應當納入關鍵信息基礎設施保護范圍：（一）政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的單位；（二）電信網、廣播電視網、互聯網等信息網絡，以及提供云計算、大數據和其他大型公共信息網絡服務的單位。

對于金融云服務的提供者而言，相關信息系統同時具備金融、云計算、大數據的屬性，因而，雖然《關鍵信息基礎設施安全保護條例（征求意見稿）》仍處于征求意見階段，但金融云所依賴的信息系統被納入關鍵信息基礎設施應該是不會存在爭議的。

因此，《網絡安全法》、《網絡安全審查辦法》（2020年6月），以及公安部于2020年7月發布的《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》，以及其他有關關鍵信息基礎設施運營者的網絡安全與數據安全保護責任，對于金融云服務提供者同樣適用。金融云服務提供者主要的義務包括以下幾個方面：

（1）相關制度及操作規程的建立

從網絡安全及數據安全的角度看，金融云服務提供者應按照相關法律、法規、監管規則的要求，建立內部的網絡安全與數據安全管理制度和操作規程，嚴格身份認證和權限管理。在人員管理和培訓層面，《網絡安全法》規定應設置專門網絡安全管理機構和網絡安全管理負責人，并對該負責人和關鍵崗位人員進行安全背景審查，以及定期對從業人員進行網絡安全教育、技術培訓和技能考核，并制定網絡安全事件應急預案并定期進行演練。

需要關注的是，《安全技術要求》第11條明確提出了包括建立安全策略、管理制度、人員管理以及安全建設等在內的管理要求，其中安全建設的方案在實施前還應提交審批，即安全方案必須根據云計算平臺的需求選擇基本安全措施，方案應論證其合理性和正確性，并在監管單位批準后才能正式實施。

（2）履行有關產品及服務的安全審查申報義務

金融云服務提供者在采購相關網絡產品及服務時，應依據2020年4月27日，國家網信辦、國家發改委、工信部、公安部、國家安全部等12個部門聯合發布了《網絡安全審查辦法》，在采購網絡產品和服務時評估其業務影響國家安全的可能性，并按照該辦法主動進行網絡安全申報，完成相關審查。

（3）數據存儲本地化的義務

《網絡安全法》第三十七條規定要求CII運營者在中國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。金融云服務提供者本身不直接收集用戶信息，但提供云服務過程中，又必然會涉及到個人信息或其他數據的收集和存儲問題。雖然直接收集個人信息和其他數據的主體是云服務的接受者，但數據通常會存儲在云服務器中。云服務提供者服務器中存儲的個人信息和重要數據，其數量通常非常巨大。因此，對于數據的境內存儲要求更加嚴格。

（4）容災備份義務

對于網絡安全的防控而言，容災是也是非常重要的一環?！毒W絡安全法》第三十四條以及《關鍵信息基礎設施安全保護條例（征求意見稿）》第二十四條，都對CII的重要系統和數據庫提出了容災備份的要求。

具體而言，金融云服務作為CII運營者可參考《信息安全技術--關鍵信息基礎設施安全控制措施》第6.5條制定容災備份策略，建設災難備份中心并保證業務的連續性。同時《容災》細化了金融云服務中的云服務商及應用云計算的金融機構的容災能力。

（四）個人金融信息安全

在《關于增強個人信息保護意識依法開展業務的通知（2019）》、《個人金融信息（數據）保護試行辦法（2019年初稿）》、《中國人民銀行金融消費者權益保護實施辦法》（2016年）以及《銀行業金融機構外包風險管理指引》（2010年）等規范和指引文件的基礎上，央行和全國金融標準化技術委員會于2020年2月13日發布了《個人金融信息保護技術規范》（JR/T 0171-2020，下稱“《規范》”）。雖然該規范文件是推薦性行業標準，但在實踐中，不排除會成為監管機構監督檢查的重要參考依據。

《規范》將側重點放在了“個人金融信息”，對個人金融信息安全管理提出了包括安全準則、安全策略、訪問控制、安全監測與風險評估、安全事件處置五個方面要求。

在金融云服務情景中，對于可能涉及到個人金融信息的情況，《規范》明確關注到的問題包括數據使用過程中的信息屏蔽，以及數據銷毀和清除?！兑幏丁芬笤谕ㄟ^信息屏蔽（或截詞）技術使信息本身的安全等級降級，實現對敏感信息展示的可靠保護，并使屏蔽的信息保留其原始個人金融信息格式和屬性，從而可以在云計算環境中安全地使用脫敏后的信息集。此外，《規范》要求云環境下有關數據清除應依據《安全技術要求》第9.6條執行，即基本做到云服務使用者鑒別信息的存儲空間在被釋放或再分配時被完全清除，以及對被更換或報廢的存儲介質做到物理損壞防止數據被恢復。作為金融云還應支持所有副本數據的清除。

因此，在金融云服務語境下，無論是使用云計算服務的金融機構單位抑或是云服務提供者，在業務運營過程中都應參考該規范并開展合規工作，在關注數據安全的基礎上，把握涉及個人金融信息處理的自查與合規管理。

四、結論

在金融機構與多種云計算服務結合模式中，采用云計算的金融機構和云服務商應當根據業務特點判斷行業準入標準和資質審批。根據服務模式和控制邊界，把握權責邊界，關注最新云計算技術金融場景應用的安全要求，例如物理隔離、關鍵信息基礎設施安全、采購審查、數據安全、運維管理、風險預警及容災備份等。在個人信息保護層面，金融云還需重點關注《個人金融信息保護技術規范》實施動態，熟知監管部門在個人金融信息安全方面的技術要求，從而規避法律風險。

本文作者：

吳衛明 上海市錦天城律師事務所律師

趙彬吟 律師

責任編輯：王超