[转载]银行安全新规可能波及到谁?

发布日期:2015-08-31   |   点击率:

 银行安全新规可能波及到谁?


来源:“金杜说法”微信平台

作者:金杜律师事务所 陈胜


据媒体报道,中国银监会将重启银行业安全新规的实施,并已就修订后的新规征询微软、IBM、思科等西方科技公司代表的意见。这意味着今年4月暂停实施的《银行业应用安全可控信息技术推进指南(2014—2015年度)》(以下简称“317号文”)和《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(以下简称“39号文”)将在修订后重新予以落实,以进一步推动和保护中国金融业的信息技术安全。


近年来,中国政府出台了一系列加强网络安全防范的法律法规,除317号文和39号文外,2015年7月1日起实施的《国家安全法》和出台的《网络安全法》草案,都体现了中国对信息技术安全的重视。


鉴于修订后的新规尚未对社会公开,本文将基于此前317号文及39号文的规定,《国家安全法》、《网络安全法》草案及WTO《补贴与反补贴措施协定》的相关内容,探讨并分析修订后的新规可能对银行业金融机构及其设备与技术供应商产生的影响。


新规的适用范围


根据317号文的规定,其适用范围为中华人民共和国境内依法设立的银行业金融机构。此前对于外资银行(特别是在华分行)是否适用存在不同的观点。结合《网络安全法》草案中的规定“国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业……实行重点保护。关键信息基础设施安全保护办法由国务院制定。”其中,境外金融机构在中国境内设立的子公司及分支机构都将属于关键信息基础设施运行者并受到《草案》相关规定的约束。


我们认为,基于上述规定,外国银行在中国的分支机构均应遵守317号文的规定,但银监会在之前的相关规定中并没有作出明确的解释。因而,修订后的新规可能会对适用范围予以进一步明确。


安全可控信息技术的范围和要求


此前,317号文将“安全可控信息技术”定义为“能够满足银行业信息安全需求,且技术风险、外包风险和供应链风险可控的信息技术”。其中,将信息技术产品和服务(包括各类设备、软件和技术服务)分为了十个大类和六十多个小类,每一类产品或服务均规定有对应的“安全可控要求”。换言之,每项信息技术产品和服务必须要符合317号文附件中对应的“安全可控要求”。


然而,引起绝大多数外资企业(特别是信息技术企业)强烈担忧的正是“安全可控要求”的严格规定。具体而言,安全可控要求主要有四大要件。第一,对于国内技术研发与服务中心,要求大部分产品或服务的技术提供方在中国境内拥有技术研发与服务中心。第二,自主知识产权,要求中国公民、企业法人或非法人机构对部分信息技术产品拥有独立支配权或相对控制权。第三,源代码备案,要求部分信息技术产品的源代码必须交银监会信科部备案。第四,供应链风险可控,对大部分信息技术产品均要求供应链风险可控,这可能意味着对技术提供方本土化程度要求较高。


在上述四项要求中,无论是作为监管机构的银监会,还是作为政策实施机构的银行业金融机构,都比较注重供应商或服务商是否对相关技术或产品拥有自主知识产权。现317号文中规定的随机软件拥有自主知识产权,也仅从形式上要求供应商提供软件的知识产权证明或合法来源证明,且上述证明并不存在国别差异,并未对金融服务企业自主知识产权的界定标准予以明确规定,故我们认为,如何界定金融服务企业自主知识产权将是本次修订的一大亮点。


除上述外,我们认为,本次修订的另一大亮点将可能进一步扩大安全可控的范围,即拟将在华寻求合资,设立研发中心,愿意共享知识产权的外资企业纳入到安全可控的监管范围内。这也进一步说明,我国未来在积极推进信息技术本土化的同时,既认可外资企业在金融服务方面的经验和技术。又对信息技术安全可控予以严格要求。《网络安全法》草案第29条规定“关键信息基础设施的运营者采购网络产品或服务,应当与提供者签订安全保密协议,明确安全和保密义务与责任。”《国家安全法》第59条也明确将网络信息技术产品和服务列入国家安全审查和监管的范围。因此,对未来向境内金融机构提供网络产品或服务的供应商而言,市场准入门槛将更高,安全性要求也更为严格。


安全可控信息技术的应用比例


根据此前39号文的要求,从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年总体占比不低于75%。317号文则在这一总体框架之下,进一步规定了2014-2015年度安全可控信息技术应用的比例。这一“硬性”比例的设定表明了中国政府推进网络安全的决心,从一定程度上体现了中国政府对本土金融服务产业的支持,届时,中国本土企业将是最大受益者,这对包括美国、欧洲、日本等国在内的外资金融服务企业无疑是一个巨大的挑战。他们认为中国的这一银行业新规将会把他们拒在价值将近5000亿美元的金融服务市场之外。


我们认为,39号文设定的安全可控信息技术的总体目标不会改变,即“2019年,掌握银行业信息化的核心知识和关键技术,安全可控信息技术在银行业总体达到75%的使用率”。但新规如何设定安全可控信息技术的应用比例仍将是一个关键点。考虑到目前中国企业在核心设备和技术上与外资企业可能存在的差距,欧美等国与中国之间的贸易往来及部分中国本土大型企业对信息技术市场放开的承受力等一系列现实情况,中国政府将会采取更为稳妥的发展策略,有效地协调和平衡各方之间的关系。因而,新规很可能会对每年度安全可控技术应用的比例,安全可控信息技术的具体落实要求及外资企业的适用范围进行修订,以便保证新规在整个银行业金融机构落实的可行性。


银行业信息机构的研究预算比例


根据此前第39号文规定:“从2015年起,银行业金融机构应安排不低于5%的年度信息化预算,专门用于支持本机构围绕安全可控信息系统开展前瞻性、创新性和规划性研究,支持本机构掌握信息化核心知识和技能”。鉴于中国的国有商业银行被WTO专家组和上诉机构认定为《补贴与反补贴措施协定》中的“公共机构”,因此上述5%的信息化预算很可能违反WTO相关补贴制度的规定。同样,317号文中规定的技术成果推广和经费补偿,同样有可能构成专项性补贴。


我们认为,一国的国家安全和金融安全直接涉及到国家的主权,具有较高的政治敏感度。同时,鉴于网络及信息技术等的安全具有特殊性,我国对于信息技术网络安全的保护将越来越“平时化”和“常态化”。因此,我们认为中国将在国际贸易规则的框架内,对我国的网络及信息技术安全进行正当和必要的保护。


结语


鉴于中国现阶段科技金融领域发展的薄弱及中国国情等一系列现状,修订后的新规可能相对包容,且对外资企业的限制有所减弱,但是中国政府推进网络安全及自主知识产权的决心和努力并不会有任何改变。而在“主动合规”的银行业文化的影响下,不排除部分银行业机构依旧按照317号文的相关规定予以执行。因此,建议在华的外资金融设备及信息服务企业一方面要关注新规的修订动向,另一方面应在现有技术基础上,通过共享知识产权,成立合资公司或是设立研发中心等方式提前做好战略转型,以更好的姿态应对银行业信息技术安全新规带来的新挑战