金融云應用的國際經驗與監(jiān)管研究

由于高度契合金融業(yè)務需求，云計算加速在金融領域得到廣泛應用。支付結算、數字信貸、投資顧問等數字金融服務與大模型等創(chuàng)新金融云融合應用，促進了金融數據的云上流通。應積極借鑒美國、歐洲國家金融云應用發(fā)展經驗，加大云上金融產品和服務的研發(fā)力度，平衡技術創(chuàng)新和監(jiān)管挑戰(zhàn)，加快構建金融行業(yè)云安全體系。

隨著數字技術的發(fā)展，金融云作為一種新興的金融服務模式，正深刻改變金融行業(yè)的格局。其在提高金融服務效率、降低成本、創(chuàng)新業(yè)務等方面具有顯著優(yōu)勢，受到全球金融機構的廣泛關注。我國以銀行為代表的金融機構對云服務的應用已較為普遍，但距離常態(tài)化云使用仍須較長發(fā)展時間。對比歐美等國金融云應用發(fā)展，我國金融機構加速采用云服務仍面臨安全性及監(jiān)管合規(guī)挑戰(zhàn)，如何在鼓勵金融科技創(chuàng)新的同時保障金融穩(wěn)定，監(jiān)管政策和導向還須持續(xù)探索。

金融行業(yè)云服務應用模式

根據美國國家標準與技術研究院（NIST）的定義，云計算是一種通過網絡方式按需付費的方式獲取計算資源（包括網絡、服務器、存儲、應用和服務等）的共享的、可配置的資源池，并能夠以最省力和無人工干預的方式獲取和釋放。

云計算的基本特征主要包括按需自助服務、廣泛的網絡接人、資源共享、快速彈性擴展和可度量的服務。服務模式主要包括SaaS（軟件即服務）、PaaS（平臺即服務）和IaaS（基礎設施即服務）。部署方式主要包括公有云、私有云、社區(qū)云和混合云（見表1）。

作為一項關鍵數字創(chuàng)新技術，云計算往往被視為是助力金融機構數字化轉型的核心基礎設施。隨著產業(yè)的發(fā)展，全球云計算市場規(guī)模迅速增長，從最初的十幾億迅速增長到當前的千億美元級別。世界各國政府紛紛推出“云優(yōu)先”戰(zhàn)略。金融云的應用代表了金融機構內部運營和向客戶提供服務的重大變化，各類金融機構逐步將云服務提供商為其提供的服務視為技術能力的重要組成部分。金融機構云服務目前主要應用于技術開發(fā)和應用程序基礎架構，但核心業(yè)務功能也在逐步引人。金融機構通常采用“混合”模式，包括使用公有云、私有云服務以及自己的數據中心。通過在公有云環(huán)境中托管應用程序和數據，減少數據中心的占地面積。部分中小型金融機構甚至完全在公有云上運行IT基礎設施，部分還融入新型云原生應用。

金融云的應用能夠降低金融機構成本、快速部署新的信息技術（IT）資產、縮短開發(fā)新產品和服務的時間，同時增強安全性和運營彈性。新冠疫情的流行也加速了金融云的使用，客戶對通過數字渠道提供的創(chuàng)新產品的需求加快，金融機構也需要適應遠程工作。同時，金融云的應用也面臨系列挑戰(zhàn)，對中小金融機構來說挑戰(zhàn)可能更為嚴峻。金融機構在應用云服務時需要考慮一系列復雜問題，例如，缺乏足夠的專業(yè)人才，數據隱私與安全性，突發(fā)運營中斷風險事件難以應對，由于云服務提供商市場集中度過高帶來的合同談判地位不平等問題等。

美國和歐洲金融云應用的發(fā)展現狀

美國的大科技公司微軟、亞馬遜和谷歌作為云服務提供商在全球處于領先地位，其國內銀行、證券、保險等各類金融機構廣泛使用金融云服務。大型銀行如高盛、摩根大通、花旗等銀行都已經利用金融云來優(yōu)化其核心業(yè)務系統(tǒng)，提升交易處理效率和客戶服務質量。通過將客戶數據存儲在云端，實現了客戶信息的實時更新和共享，方便客戶在不同渠道辦理業(yè)務。借助金融云平臺開展支付結算、數字信貸、投資顧問等創(chuàng)新業(yè)務。例如PayPal利用金融云技術為用戶提供便捷的在線支付服務，支持全球范圍內的跨境支付交易。此外，通過與云服務廠商簽訂協議，金融機構將自身的實時數據分析、交易執(zhí)行和風險管理大數據分析平臺遷移到云服務上，實現精準營銷、風險評估和反欺詐等功能。例如富國銀行利用大數據分析技術，對客戶的交易行為和信用記錄進行分析，及時發(fā)現潛在的風險并采取措施。作為美國首家全面上云的銀行，第一資本銀行將關鍵應用程序和基礎設施遷移到亞馬遜提供的公有云上，包括移動銀行應用程序、數據分析平臺和機器學習功能。上云為金融機構業(yè)務帶來支持的同時，其安全責任也實現了與云服務提供商共擔。

從目前實際執(zhí)行情況看，歐洲主要云服務提供商同樣是美國亞馬遜、微軟、谷歌三家，而歐洲最大的云服務提供商德國電信僅占約 2% 份額。自新冠疫情以來，歐洲金融機構云服務的需求大幅提升，調查顯示 21% 的歐洲銀行將云作為戰(zhàn)略重點，認為上云能夠提升其經營競爭力。歐洲主要銀行、金融市場基礎設施機構積極應用金融云服務，支持網上銀行、移動支付、資金清算等應用。例如德意志銀行、西班牙對外銀行等，歐洲支付聯盟（SEPA）利用金融云技術實現了跨境支付的實時處理，提高了支付效率。橡樹銀行是英國第一家將核心系統(tǒng)放置在云端的銀行，在成立之初便與亞馬遜達成合作，為創(chuàng)業(yè)者及中小微企業(yè)提供貸款，成立僅一年就實現了盈利，被視為歐洲最具盈利能力的金融科技獨角獸。

表1

NIST對云的定義和分類

美國和歐洲金融云監(jiān)管機構與框架

美國無論是對云服務提供商還是對金融云的監(jiān)管規(guī)則都相對細致且嚴格。美國財政部作為金融部門的部門風險管理機構（SRMA），將定期評估廣泛使用的技術服務（如云服務）可能影響金融部門的風險和挑戰(zhàn)，同時支持金融機構利用云服務來提升金融行業(yè)的運營彈性。此外，財政部網絡安全與關鍵基礎設施保護辦公室（OCCIP）與金融機構、行業(yè)團體和政府合作伙伴密切合作，共享有關網絡安全和物理威脅和漏洞的信息，并對重大事件做出反應及事故恢復。財政部主持的金融和銀行信息基礎設施委員會（FBIIC）由18個聯邦和州金融監(jiān)管機構組成，FBIIC由總統(tǒng)金融市場工作組負責，財政部負責金融機構的助理部長擔任秘書長主持委員會。聯邦調查局成員組織的工作人員通過每月會議，處理與金融服務行業(yè)內部關鍵基礎設施事項（包括網絡安全）有關的業(yè)務操作問題。委員會每三年召開一次會議，為FBIIC的工作提供戰(zhàn)略和政策層面的指導。FBIIC負責改善金融監(jiān)管機構之間的協調和溝通，促進金融服務部門的公私伙伴關系，并增強金融部門的整體彈性。金融服務部門協調委員會（FSSCC）成立于2002年，是金融服務關鍵基礎設施保護及國土安全部門協調人。FSSCC的任務得到第7號國土安全總統(tǒng)令的支持，指導政府機構識別和保護關鍵基礎設施。FSSCC與財政部密切合作，建立公私伙伴關系作為其指定的特定部門機構，其70多個成員包括金融行業(yè)協會、金融市場基礎設施公司和金融機構。

2021年5月，拜登總統(tǒng)發(fā)布行政命令《改善國家網絡安全》，闡述美國聯邦政府“零信任架構”網絡的愿景。根據上述行政命令，美國財政部管理和預算辦公室（OMB）發(fā)布一項聯邦零信任戰(zhàn)略，呼呼美國機構定義和實施基于云的基礎設施來支持其零信任模型，并聯合美國網絡安全和基礎設施局（CISA）發(fā)布了技術參考架構，為金融機構提供此類實施的指導。OMB實施“云優(yōu)先”聯邦云計算戰(zhàn)略和聯邦風險和授權管理計劃（FedRAMP）。FedRAMP通過云服務的授權和持續(xù)網絡安全創(chuàng)建標準化的安全要求，促進整個聯邦政府的云應用安全。該計劃使各機構或聯合授權委員會（JAB）能夠直接與云服務提供商合作，審查個別云服務的安全性，并根據需要進行補救。聯邦機構一旦被FedRAMP授權，就可以審查和批準云服務相關產品，使多個機構能夠利用在初始授權過程中進行評估。授權后，云服務提供商必須持續(xù)監(jiān)控其云服務產品的安全狀態(tài)，按要求進行補救并遵守事件報告要求。

美國金融機構受到一系列機構控制、風險管理框架以及監(jiān)管要求的制約。具體包括《金融服務現代化法案》（GLBA）的一般性隱私和披露條款要求，此外還包括特定金融機構須遵循根據法定權限體現為不同形式的特定標準。例如美國聯邦存款保險公司（FDIC）、聯邦儲備銀行（FRB）和貨幣監(jiān)理署（OCC）根據GLBA和《聯邦存款保險法》的規(guī)定發(fā)布了建立信息安全標準的機構間指引，以及第三方風險管理指南等。美國證券交易委員會（SEC）對其管轄范圍內的某些實體實施了系統(tǒng)合規(guī)性和完整性的規(guī)則（RegSCI），美國商品期貨交易委員會（CFTC）對注冊實體實施系統(tǒng)保障，要求建立和維護風險分析和監(jiān)督計劃。此外，美國金融云監(jiān)管框架還包括保持業(yè)務連續(xù)性和災難恢復計劃，對金融機構的檢查和監(jiān)督權，技術系統(tǒng)變更的通知要求，以及對第三方服務的直接審查和監(jiān)管等。

在歐洲，金融機構對于金融云的應用經歷了較長時間。其監(jiān)管由多個監(jiān)管機構共同管理，主要包括歐洲央行（ECB）、歐洲銀行管理局（EBA）、歐洲證券市場監(jiān)管局（ESMA）等機構。2017年，EBA首次發(fā)布了針對使用云服務提供商的建議和指南，規(guī)定了外包云服務的要求，保證對于云服務提供商不受限制的信息、審計和控制權。2020年，ESMA發(fā)布咨詢文件，指導設定云服務提供商外包的準則，應對和監(jiān)控云外包安排帶來的風險和挑戰(zhàn)。歐盟《通用數據保護條例》（GDPR）2018年正式生效后，對數據主體的數據權利范圍和保護機制做出規(guī)定，并明確要求所有從歐盟公民收集數據的企業(yè)均須遵守相關規(guī)則。歐盟《數字操作彈性法案》（DORA）為歐盟層面針對信息和通信技術（ICT）相關風險的監(jiān)管框架，制定了相關風險管理、風險事件報告、業(yè)務穩(wěn)定性測試、第三方服務提供商風險監(jiān)測等規(guī)則。

此外，法國和德國聯合倡議和牽頭歐洲云計劃，歐盟27國參與，旨在建立一個真正屬于歐洲的數據基礎設施，成為歐盟的“母云端”，并創(chuàng)立通用云標準、參考云架構和互操作性要求等。其由多家歐洲公司共同成立的一個非營利組織負責具體實施，旨在開發(fā)歐洲自己具有競爭力的“云存儲”服務。通過制定一系列云上數據分享標準，試圖構建安全的歐洲數據生態(tài)，但其如何確保實施仍然懸而未決。

推動金融云應用的監(jiān)管政策建議

金融云應用是一個循序漸進、持續(xù)演進的過程，在此過程中應積極鼓勵云技術的進步，充分發(fā)揮云端數字化轉型的強天力量，加速效率提升與創(chuàng)新發(fā)展，從而釋放經濟價值。監(jiān)管政策框架須逐步建立并完善，其覆蓋范圍應逐步拓展，涵蓋所有云服務提供商。同時，應建立起行業(yè)反饋機制，并依據實際情況持續(xù)動態(tài)調整規(guī)則與指引，強化機構間協作及監(jiān)管合作。具體建議如下：

一是確保盡職調查與監(jiān)測能力。簽訂合同中保留金融機構及監(jiān)管部門對云服務提供商及重要分包商進行審計或聘請第三方進行審計的權利，允許審查相關證據，包括對物理設施的檢查。云服務提供商發(fā)現關鍵漏洞并采取補救措施后，需及時通知報告，確保數據安全。

二是明確角色、責任及終止退出要求。嚴格建立并定義金融機構及云服務提供商的共享責任模型，包括建議金融機構實施達到最低安全要求、彈性和操作有效性的控制措施。同時，定期在服務變更或交付新服務后特定時間內更新相關條款。

三是確保云服務提供商業(yè)務連續(xù)性與彈性。云服務提供商應向客戶提供關于常見事件及服務環(huán)境、個別服務使用的最佳實踐操作指南。此外，云服務提供商須與相關金融機構和監(jiān)管部門協調，開發(fā)并發(fā)布行業(yè)常見故障場景（極端但可能發(fā)生）及應對措施。

四是提高金融機構與云服務提供商合同談判的能力。云服務提供商應基于明確的標準和時間框架，主動通知金融機構服務變更。同時，主動通知其任何個別服務條款的變更，并保存所有先前版本的服務條款，方便金融機構查閱。金融機構不應同意要求自身為供應商疏忽承擔賠償責任的合同條款。合同協議應包括與可預見損失相稱的責任水平。

總之，伴隨金融機構數字化轉型的加速推進，我國應積極借鑒國際金融云發(fā)展經驗，加快云上金融產品和服務的研發(fā)應用，平衡技術創(chuàng)新和監(jiān)管挑戰(zhàn)，加快構建金融行業(yè)云安全體系。

（龐鑫為清華大學五道口金融學院金融發(fā)展與監(jiān)管科技研究中心研究專員，郝超凡、郭琬盈為清華大學五道口金融學院博士生。責任編輯/王茅）