[轉載]銀行安全新規可能波及到誰?

發布日期:2015-08-31   |   點擊率:

 銀行安全新規可能波及到誰?


來源:“金杜說法”微信平台

作者:金杜律師事務所 陳勝


據媒體報道,中國銀監會將重啓銀行業安全新規的實施,並已就修訂後的新規征詢微軟、IBM、思科等西方科技公司代表的意見。這意味著今年4月暫停實施的《銀行業應用安全可控信息技術推進指南(2014—2015年度)》(以下簡稱“317號文”)和《關于應用安全可控信息技術加強銀行業網絡安全和信息化建設的指導意見》(以下簡稱“39號文”)將在修訂後重新予以落實,以進一步推動和保護中國金融業的信息技術安全。


近年來,中國政府出台了一系列加強網絡安全防範的法律法規,除317號文和39號文外,2015年7月1日起實施的《國家安全法》和出台的《網絡安全法》草案,都體現了中國對信息技術安全的重視。


鑒于修訂後的新規尚未對社會公開,本文將基于此前317號文及39號文的規定,《國家安全法》、《網絡安全法》草案及WTO《補貼與反補貼措施協定》的相關內容,探討並分析修訂後的新規可能對銀行業金融機構及其設備與技術供應商産生的影響。


新規的適用範圍


根據317號文的規定,其適用範圍爲中華人民共和國境內依法設立的銀行業金融機構。此前對于外資銀行(特別是在華分行)是否適用存在不同的觀點。結合《網絡安全法》草案中的規定“國家對提供公共通信、廣播電視傳輸等服務的基礎信息網絡,能源、交通、水利、金融等重要行業……實行重點保護。關鍵信息基礎設施安全保護辦法由國務院制定。”其中,境外金融機構在中國境內設立的子公司及分支機構都將屬于關鍵信息基礎設施運行者並受到《草案》相關規定的約束。


我們認爲,基于上述規定,外國銀行在中國的分支機構均應遵守317號文的規定,但銀監會在之前的相關規定中並沒有作出明確的解釋。因而,修訂後的新規可能會對適用範圍予以進一步明確。


安全可控信息技術的範圍和要求


此前,317號文將“安全可控信息技術”定義爲“能夠滿足銀行業信息安全需求,且技術風險、外包風險和供應鏈風險可控的信息技術”。其中,將信息技術産品和服務(包括各類設備、軟件和技術服務)分爲了十個大類和六十多個小類,每一類産品或服務均規定有對應的“安全可控要求”。換言之,每項信息技術産品和服務必須要符合317號文附件中對應的“安全可控要求”。


然而,引起絕大多數外資企業(特別是信息技術企業)強烈擔憂的正是“安全可控要求”的嚴格規定。具體而言,安全可控要求主要有四大要件。第一,對于國內技術研發與服務中心,要求大部分産品或服務的技術提供方在中國境內擁有技術研發與服務中心。第二,自主知識産權,要求中國公民、企業法人或非法人機構對部分信息技術産品擁有獨立支配權或相對控制權。第三,源代碼備案,要求部分信息技術産品的源代碼必須交銀監會信科部備案。第四,供應鏈風險可控,對大部分信息技術産品均要求供應鏈風險可控,這可能意味著對技術提供方本土化程度要求較高。


在上述四項要求中,無論是作爲監管機構的銀監會,還是作爲政策實施機構的銀行業金融機構,都比較注重供應商或服務商是否對相關技術或産品擁有自主知識産權。現317號文中規定的隨機軟件擁有自主知識産權,也僅從形式上要求供應商提供軟件的知識産權證明或合法來源證明,且上述證明並不存在國別差異,並未對金融服務企業自主知識産權的界定標准予以明確規定,故我們認爲,如何界定金融服務企業自主知識産權將是本次修訂的一大亮點。


除上述外,我們認爲,本次修訂的另一大亮點將可能進一步擴大安全可控的範圍,即擬將在華尋求合資,設立研發中心,願意共享知識産權的外資企業納入到安全可控的監管範圍內。這也進一步說明,我國未來在積極推進信息技術本土化的同時,既認可外資企業在金融服務方面的經驗和技術。又對信息技術安全可控予以嚴格要求。《網絡安全法》草案第29條規定“關鍵信息基礎設施的運營者采購網絡産品或服務,應當與提供者簽訂安全保密協議,明確安全和保密義務與責任。”《國家安全法》第59條也明確將網絡信息技術産品和服務列入國家安全審查和監管的範圍。因此,對未來向境內金融機構提供網絡産品或服務的供應商而言,市場准入門檻將更高,安全性要求也更爲嚴格。


安全可控信息技術的應用比例


根據此前39號文的要求,從2015年起,各銀行業金融機構對安全可控信息技術的應用以不低于15%的比例逐年增加,直至2019年總體占比不低于75%。317號文則在這一總體框架之下,進一步規定了2014-2015年度安全可控信息技術應用的比例。這一“硬性”比例的設定表明了中國政府推進網絡安全的決心,從一定程度上體現了中國政府對本土金融服務産業的支持,屆時,中國本土企業將是最大受益者,這對包括美國、歐洲、日本等國在內的外資金融服務企業無疑是一個巨大的挑戰。他們認爲中國的這一銀行業新規將會把他們拒在價值將近5000億美元的金融服務市場之外。


我們認爲,39號文設定的安全可控信息技術的總體目標不會改變,即“2019年,掌握銀行業信息化的核心知識和關鍵技術,安全可控信息技術在銀行業總體達到75%的使用率”。但新規如何設定安全可控信息技術的應用比例仍將是一個關鍵點。考慮到目前中國企業在核心設備和技術上與外資企業可能存在的差距,歐美等國與中國之間的貿易往來及部分中國本土大型企業對信息技術市場放開的承受力等一系列現實情況,中國政府將會采取更爲穩妥的發展策略,有效地協調和平衡各方之間的關系。因而,新規很可能會對每年度安全可控技術應用的比例,安全可控信息技術的具體落實要求及外資企業的適用範圍進行修訂,以便保證新規在整個銀行業金融機構落實的可行性。


銀行業信息機構的研究預算比例


根據此前第39號文規定:“從2015年起,銀行業金融機構應安排不低于5%的年度信息化預算,專門用于支持本機構圍繞安全可控信息系統開展前瞻性、創新性和規劃性研究,支持本機構掌握信息化核心知識和技能”。鑒于中國的國有商業銀行被WTO專家組和上訴機構認定爲《補貼與反補貼措施協定》中的“公共機構”,因此上述5%的信息化預算很可能違反WTO相關補貼制度的規定。同樣,317號文中規定的技術成果推廣和經費補償,同樣有可能構成專項性補貼。


我們認爲,一國的國家安全和金融安全直接涉及到國家的主權,具有較高的政治敏感度。同時,鑒于網絡及信息技術等的安全具有特殊性,我國對于信息技術網絡安全的保護將越來越“平時化”和“常態化”。因此,我們認爲中國將在國際貿易規則的框架內,對我國的網絡及信息技術安全進行正當和必要的保護。


結語


鑒于中國現階段科技金融領域發展的薄弱及中國國情等一系列現狀,修訂後的新規可能相對包容,且對外資企業的限制有所減弱,但是中國政府推進網絡安全及自主知識産權的決心和努力並不會有任何改變。而在“主動合規”的銀行業文化的影響下,不排除部分銀行業機構依舊按照317號文的相關規定予以執行。因此,建議在華的外資金融設備及信息服務企業一方面要關注新規的修訂動向,另一方面應在現有技術基礎上,通過共享知識産權,成立合資公司或是設立研發中心等方式提前做好戰略轉型,以更好的姿態應對銀行業信息技術安全新規帶來的新挑戰