“门槛设定较高,最后还能剩几家?”
“肯定要申请,正进行调整和完善。”
“还在观望,看看后续落地强度如何。”
上述内容系部分云服务提供商近日对《财经》记者所述,事起金融云备案。
九个月前(2020年10月),《中国人民银行关于发布金融行业标准强化金融云规范管理的通知》(银发〔2020〕247号,下称“247号文”)下发,要求金融机构在采用金融云时,应选择通过标准符合性自律备案的金融云。
鏖战正酣的金融云市场参与者没有想到,不知不觉中,备案已在路上。
《财经》记者独家获悉,《金融云备案管理办法(试行)征求意见稿》(下称《备案办法(征求意见稿)》)已于2021年6月向部分金融机构、云服务提供商下发。
在完成三轮征求意见后,《备案办法(征求意见稿)》正待相关部门审订。虽然可能还会有进一步调整,但整体方向已经锚定:任何机构和个人未经备案不得从事或变相从事金融云服务业务。同时,金融机构不得使用未经备案的金融云产品。
央行对金融云的界定,主要是指“金融团体云”,这一业务概念与私有云并列。但有云服务市场从业人士告诉《财经》记者,与央行定义有所不同,市场通常将私有云视作金融云的一种。
《备案办法(征求意见稿)》显示,金融云与私有云将分别备案,私有云可自愿备案。但值得注意的是,金融云备案要求,为金融机构提供PaaS(平台即服务,Platform as a Service)、SaaS(软件即服务,Software as a Service)类别服务的,承载上述服务的IaaS(基础设施即服务,Infrastructure as a Service)须进行备案。
这意味着,目前市场上常见的,诸如阿里巴巴、腾讯、百度、京东、华为等涉及IaaS服务的云服务提供商,未来若想继续向金融机构提供金融团体云服务,均应申请备案。
但当下,尚未有一家云服务提供商符合《备案办法(征求意见稿)》要求。多名接近监管的知情人士直言,备案标准的确定得不低,但金融云服务本就不是谁都能做,备案的机构数量一定是“在精不在多”。
虽然上述部分机构纷纷对照《备案办法(征求意见稿)》积极进行调整,但谁能率先拿到“入场券”,尚不可知。市场关注,伴随监管“前置”,金融云服务市场在走向规范之际,又将如何重塑?
监管“立规”
“近几年,云服务市场发展得颇为火热,监管也一直在观察金融机构的上云情况以及可能存在的风险。金融业对安全等方面的要求远高于其他行业,但市场上提供服务的机构却参差不齐,都说自己做得好,实际情况如何,恐怕还是个问号。”一名曾参与金融云相关标准制定的原监管人士告诉《财经》记者。
基于上述情况,为了明确行业标准,2018年,《中国人民银行关于发布实施金融行业标准规范云计算技术金融应用的通知》(银发〔2018〕195号)下发,三项金融行业标准《云计算技术金融应用规范 技术架构》(JR/T 0166-2018)、《云计算技术金融应用规范 安全技术要求》(JR/T 0167-2018)、《云计算技术金融应用规范 容灾》(JR/T 0168-2018)亦同步亮相,适用对象包括金融领域的云服务提供者、云服务使用者、云服务合作者等。
据《财经》记者了解,此后,市场主要云服务提供商在向金融机构提供相关服务时,均以上述三项标准作为参照,从架构体系、安全技术、容灾能力等多方面调整、优化自身系统和服务,但进度不一。
两年后,央行发布247号文,废止2018年三项标准,同时下发《云计算技术金融应用规范 技术架构》(JR/T 0166-2020)、《云计算技术金融应用规范 安全技术要求》(JR/T 0167-2020)、《云计算技术金融应用规范 容灾》(JR/T 0168-2020)等新三项金融行业标准(以下统称《规范》)。
上述原监管人士直言,最新的三项标准可视作2018年版的“升级”,金融行业标准通常是五年左右去做一次复审,然后再决定是否修订等。如今在不到三年的时间里就发布了“升级”后的版本,可见随着金融云市场变化,监管更加与时俱进。
值得注意的是,央行亦在247号文中指出,由中国互联网金融协会(下称“中互金协会”)根据工作需要按照《规范》加强对金融云的标准符合性自律备案工作,制定行业自律公约,建立健全风险监控、信息共享等机制,并定期向央行报送有关情况。
基于上述要求,据《财经》记者了解,中互金协会自247号文下发后,开始进行金融云市场调研,并推进《备案办法(征求意见稿)》的制定工作。
“此前已向部分金融机构和头部云服务提供商征集意见,并根据大家意见相应地进行了三次调整。目前正待相关部门审订,可能还会有调整,争取在2021年底前发布出来。”有接近备案的知情人士告诉《财经》记者,标准相对较高,现阶段市场上没有一家云服务提供商满足备案要求,部分服务商已经按照《备案办法(征求意见稿)》去调整和优化。
他进一步补充道,在制定《备案办法(征求意见稿)》的过程中,相关负责人一直与头部云服务提供商保持密切沟通,总体原则是基于这些云服务提供商的现实情况,并结合金融机构在与云服务提供商合作过程中认为不合理的地方,去设定较高的标准,而不是说把标准降到所有云服务提供商都能达到。
不过,有云服务提供商内部人士质疑,按照央行在247号文中“标准符合性自律备案工作”这一说法,中互金协会并非直接金融监管机构,由其发布《备案办法(征求意见稿)》,这是否意味着云服务提供商可以选择性备案?金融云备案落地效力会否有限?
“备案这件事不是一个纯自律行为,而且是基于央行247号文开展,具有强制效力。”接近央行的知情人士直言,247号文下发的对象和内容,主要是面向金融机构。云服务提供商虽然不在监管的直接管辖范围,但是监管可以去约束金融机构的行为,比如明确金融机构必须使用已备案的金融云。这就意味着,如果金融机构不遵守,监管可能会采取相应的处罚措施。
从《财经》记者获得的247号文及《规范》原文来看(央行并未在官网发布),前者的下发对象确实主要是银行、证券公司、基金公司、期货公司、保险公司、保险资管公司、非银行支付机构等,后者则适用于金融领域的云服务提供者、云服务使用者、云服务合作者等。
群雄逐鹿
数字化转型浪潮下,近年来,金融机构上云提速。
多名云服务市场人士告诉《财经》记者,从整体进展来看,目前银行业上云比例远高于保险、证券等领域。这些领域的相应机构都以上行业云或私有云为主,涉及服务类别包括IaaS、PaaS和SaaS。
通常来说,云计算的部署模式主要包含公有云、私有云、混合云等。根据央行下发的《规范》,“公有云”指可被任意云服务使用者使用,且资源被云服务提供者控制的一种云部署模式;“私有云”指仅被一个云服务使用者使用,且资源被该云服务使用者控制的一种云部署模式;“混合云”则是包含两种及以上部署模式的云部署模式。
《规范》同时指出,具体到金融领域,云计算部署模式主要包括私有云、团体云以及由其组成的混合云等。其中,“团体云”指由一组特定的云服务使用者使用和共享,且资源被云服务提供者或使用者控制的一种云部署模式;“金融团体云”指仅供金融机构共享使用,承载金融业务系统的团体云。
“团体云其实介于公有云和私有云之间,针对金融领域,行业里更通俗的说法是‘金融行业云’或‘金融云专区’。”有头部云服务提供商内部人士向《财经》记者表示。
从云服务类型来看,IaaS提供计算、存储、网络等基础资源服务;PaaS提供运行在云计算基础设施上的软件开发和运行环境服务;SaaS则提供运行在云计算基础设施上的应用软件服务(见图1)。
IBM的软件架构师Albert Barron曾以披萨为喻,力图通俗化地解释这三类云服务。有行业人士据此引申:假设自己在做披萨生意,那可以从头到尾自己制作披萨,但是这样比较麻烦,需要准备的东西很多,因此你决定外包一部分工作,采用他人的服务。这时有三个方案可选(见图2) :
方案一是由他人提供厨房、燃气、烤箱等基础设施,你来烤披萨。这可以理解为IaaS。
方案二是除了基础设施,他人还提供制作披萨的饼皮。你需要做的就是把自己的配料洒在饼皮上,让对方帮你烤出来即可。也就是说,你要做的是设计披萨的味道、尺寸,他人则提供平台服务,帮助你将自己的设计实现。对应可理解为PaaS。
方案三则是他人直接制作好披萨,无需你的介入,收到的就是成品。你要做的就是把它销售出去,最多再包装一下,并印上自己的Logo。这可以理解为SaaS。
整体而言,从披萨由自己准备所需工具及材料制作,再到方案一、二、三,自己承担的工作量越来越少,与此相对应的就是本地化部署、IaaS、PaaS、SaaS服务。
结合金融机构的不同需求,云服务提供商们根据自身所长,从不同的服务方式切入,近年来在金融云市场“各显神通”,拼抢到一定的市场份额。
国际数据公司IDC在其中最新发布的《中国金融云市场(2020年下半年)跟踪》报告(下称“报告”)中,将金融云市场的参与者主要分为四大类:由硬件提供商向私有云服务商延伸而来(华为、联想等),由云服务商向金融云延伸而来(阿里巴巴、腾讯、百度等),由大型金融集团等成立的科技子公司(兴业数金、建信金融科技、招银云创等),由金融垂直行业解决方案商转型延伸而来(宇信科技、科蓝软件等)。
上述分类,也可理解为硬件厂商、互联网巨头、银行系金融科技公司、金融业IT服务商四大阵营。
硬件厂商开展云服务的核心优势在于可以自己生产设备。“当然,设备优势只是一方面,还得有极强的执行力。这方面,华为是一个典型代表,华为曾暂停过云业务,去做芯片和服务器,但后来发现自己逐步被边缘化,成了互联网巨头系的设备供应商,于是又再度‘杀’回来。”金融云行业某资深人士直言,短短几年时间,华为云的市场份额就冲进前几位。
互联网巨头系云服务的产生,主要还是基于自身需求触发。2009年9月,阿里云正式成立。其背后的动因就是在于,传统IOE架构下,不仅需要高昂投入,而且伴随阿里巴巴旗下淘宝、支付宝等业务扩张迅速,业务发展难以得到有效支撑。
“此类型机构的优势在于,在多年‘双十一’等重要节点流量爆发过程中,通过数次‘苦战’,底层架构和平台能力得以锻造。因此,这类机构在PaaS、IaaS服务上优势突出。”某头部云服务提供商内部人士直言。
银行系金融科技公司诸如兴业数金等,通常是内、外各一朵云,内部的云主要是支撑自身业务,外部的云主要向中小银行等提供服务。
有金融行业资深人士告诉《财经》记者,兴业数金的金融云服务主要包括银行信息系统云服务(主要是SaaS服务)、基础设施资源服务(IaaS)等。“毕竟背靠母行,且在多年服务中小行的过程中积累了丰富的经验,因此对银行业务、合规性要求等理解更为深刻。”
在上述类别之外,金融业IT服务商近年来亦表现抢眼。以银行IT服务商宇信科技为例,提及具体优势,该公司内部人士直言,“我们的云是为银行客户而生,最初,宇信科技就是以帮助银行开展网银业务见长。同时,一直按照金融监管等方面要求来开展机房管理、系统搭建等工作,安全性、合规性都能符合金融业的高要求。”
据《财经》记者了解,此前部分银行IT服务商、银行系金融科技公司等开展金融云等服务的主要依据是原银监会于2014年下发的《关于通报成立银行业科技外包合作组织的函》《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》《中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作通知》等,以及2015年下发的《关于发布首批银行业信息科技非驻场集中式外包服务监管评估名单的通知》等文件。
按照上述文件要求,外包服务企业可按照自愿原则提出申请,将其为银行业金融机构提供的信息科技外包服务纳入监管评估,接受原银监会及派出机构对上述服务的科技风险监测、现场核查、风险评估和处置。
“虽然不是针对金融云,但在机房条件、人员管理等很多方面的要求也很严格,而且会有现场检查。”有银行系金融科技公司内部人士告诉《财经》记者,原银监会曾下发过几批外包服务商名单,近年来没有再更新。
谁得先手
在差异化的成长环境和优势下,不同类型的云服务提供商走出了自己的发展路径,并在金融云市场抢占到一定的份额。
IDC上述报告显示,2020年下半年,中国金融云市场规模达到27.3亿美元。其中,金融云基础设施市场(记者注:对应IaaS服务)规模达到19.3亿美元:公有云基础设施部分,阿里巴巴、腾讯、百度、华为和AWS(记者注:亚马逊云科技)位居前五,占据85.4%的市场份额;私有云基础设施部分,华为、新华三、浪潮、戴尔和联想位居前五,占据81.6%的市场份额。
金融云平台(记者注:对应PaaS服务)与应用解决方案(记者注:对应SaaS服务)市场分别达到3.2亿美元和4.7亿美元。其中,在平台解决方案上,阿里巴巴、腾讯、华为、百度、京东云位居前五,占据76.8%的市场份额(见图3);应用解决方案市场上,中科软科技、中电金信、宇信科技、南天信息、百度、融信云占据34.2%的市场份额(见图4)。
据《财经》记者了解,IDC上述分类的考量之一是将硬件和软件服务做出明确区隔,但IaaS、PaaS、SaaS服务本身就存在互相交叉的可能性,因此不完全精准。不过,基于上述数据,或可窥见当前金融云市场竞争格局。
这些在市场上已占据一定份额的云服务提供商是否都应申请金融云备案?
《备案办法(征求意见稿)》明确指出,私有云与金融云将分别备案,私有云可自愿备案。具体来看,金融云备案要求,为金融机构提供PaaS、SaaS类别服务的,承载该服务的IaaS应通过备案。
需要注意,此处的“金融云”亦是《规范》中所明确的“金融团体云”,指仅供金融机构共享使用,承载金融业务系统的团体云。也可理解为市场上常提及的“金融行业云”“金融云专区”。
也就是说,在上述IDC的分类下,阿里巴巴、腾讯、百度、华为等公司若要提供《备案办法(征求意见稿)》中要求的金融团体云服务,均应申请备案。另据《财经》记者了解,有银行系金融科技公司亦在积极申请备案。
另一方面,按照上述要求,是否意味着提供PaaS、SaaS服务的机构,无需进行备案?
“不排除向其他服务类型扩展的可能性。”接近备案的知情人士告诉《财经》记者,之所以选择从IaaS开始备案,主要依据是《规范》中的安全技术要求,在云服务提供者和使用者的安全分工上,IaaS服务涉及范围更广,且囊括了PaaS和SaaS的相应内容。不过,因为对具体服务类别的界定本身就存在差异,且三个服务之间可能存在交叉,还是要具体问题具体分析。
部分云服务提供商已经感受到来自《备案办法(征求意见稿)》的压力。
有银行系金融科技公司高管向《财经》记者表示,业务团队已经比对着相关要求列出待优化项,满满好几页。总体来看,难度不小。
以被多家机构提到的容灾门槛高为例。某头部银行IT服务商高管告诉《财经》记者,要开展金融云服务,首先需要满足“两地三中心”的灾备模式,也就是说,如果我在北京有一个主机房,那还需要在30公里以外的地方再建一个完全一样的同城灾备机房。此外,在距北京1000公里以外的地方,还需一个同样的异地灾备机房,以便在灾难情况下可以由备份机房紧急接管业务,确保业务的连续性和可靠性。这种模式投入很大,而且前提是得有满足具体要求的地点,可以搭建或租用这样的数据中心。
“市场上的部分云服务提供商其实之前都有在做‘两地三中心’,但通常异地机房达到的灾备等级可能相对较低,按照《规范》最新要求,异地机房灾备等级需要进一步提高。”上述高管说。
某头部互联网公司金融云业务相关负责人亦指出,金融机构主流灾备技术是“两地三中心”,基本都做到了“同城双活”,但能做到“异地多活”的机构少之又少。其中,银行“两地三中心”的特点是异地备份数据中心一般不作为关键应用宿主地。
“‘异地多活’模式,是目前正在兴起的模式,仅某些大型银行的核心关键应用已经在此模式下进行了成功验证。‘异地多活’有很多关键技术,数据是比较关键的环节,需要将底层数据库的数据打通,实现和解决低延迟、数据一致性和高吞吐的问题。”上述头部互联网公司相关负责人说。
对于备案中可能出现的重重“难关”,有银行系金融科技公司高管向《财经》记者坦言,《备案办法(征求意见稿)》可能存在落地困难,而且涉及面较广,何时能调整完无法预估。
不过,接近备案的知情人士向《财经》记者强调,什么时候调整完,满足了备案标准,再来申请备案。“与中互金协会此前开展的移动金融App备案不同,总体来看,市场上大部分合规的移动金融App都能进行备案,没有数量限制。但金融云可能就是一家一家的备案,标准定得高也就意味着需要足够的实力,最终能通过备案的云服务商肯定是有限的。”
依据《规范》,申请金融云备案的云服务提供商需要提供对应的标准符合性证明材料复印件。同时,还应提供《中华人民共和国增值电信业务经营许可证》(许可业务种类应包含互联网资源协作服务)、《云计算服务安全评估办法》标准符合性证明材料、《金融行业网络安全等级保护测试指南》第四级标准符合性证明材料等的复印件。据《财经》记者了解,这几项均属于“底线要求”。
此外,《备案办法(征求意见稿)》亦从注册资本实缴额、主要股东和实控人、风险补偿机制等方面对云服务提供商提出要求。
格局重塑
事实上,之所以对金融云备案设定高门槛,监管有着现实考量。
据多家媒体报道,今年3月10日,欧洲云计算巨头OVH位于法国莱茵省首府斯特拉斯堡的数据中心发生严重火灾。火灾导致OVH多个数据中心无法服务,大量客户网站瘫痪,部分客户数据完全丢失且无法恢复。
不久前的7月18日,河南郑州出现罕见持续强降雨,导致当地多区域断电,部分云服务商受到不同程度的影响。
“这就是《规范》对云计算平台提出较高容灾要求的原因,虽然难度大,但不能降低标准。”上述接近备案的知情人士透露,有头部云服务提供商就缺少异地灾备,而他们的云上面至少有百余家中小银行,如果主机房当地网络出现问题,那就可能导致这些中小银行的资金清算、转账等服务同时瘫痪。
另一方面,近年来金融云市场暗潮汹涌,参与机构水平更是参差不齐。
一名银行IT服务商高管接受《财经》记者采访时表示,印象最深的是几年前云服务市场打“价格战”,出现0元或1分钱中标的情况。虽然金融云这块没有那么夸张,但是竞标的时候依然有对手会给出瞠目结舌的价格。“近一两年基本不会再出现打‘价格战’的情况,一方面是市场逐步成熟和理性,另一方面也是因为没有太大的单子,该建的都已经建好。”
“有城商行在找云服务商合作的时候,选择标准相当野蛮粗暴,就看哪家云厂商能在它那儿存款,哪家云厂商能帮它带来流量。但现在监管趋严,可能导流就比较难。最后变成,哪家能帮它做一些互联网化的营销,云服务就交给谁。”对此,某头部互联网公司金融云业务相关负责人颇为无奈。
数据安全等问题亦不容忽视。
有银行系金融科技公司业务人员告诉《财经》记者,在《备案办法(征求意见稿)》正式下发前,金融机构可能会把自己全量或部分系统部署在公有云或其他行业云上,与本地系统连接成混合云部署,云上系统本身的安全性和高可用性,以及云平台本身的冗余性完全依赖于云平台运营方,缺乏数据安全的自主把控能力;对于云平台运营商来说,则可能会将非金融机构的系统与强金融属性的系统部署在同一物理资源池中,数据隔离和访问控制的有效性待考量。
接近央行的知情人士向《财经》记者强调,金融云属于金融业的重要基础设施,不是谁都能做,其对云服务提供商的资金投入、运营经验、技术能力、金融风险理解等多方面均有着很高的要求。“监管的初衷是通过备案这件事去规范行业发展,提高准入标准。”
事实上,海外金融监管机构也多次提醒云计算服务可能带来的风险。据路透社7月13日报道,英国央行表示,向金融业提供云计算的供应商可能很“隐秘”,监管机构需要采取行动,避免银行对少数外部公司的依赖成为对金融稳定的威胁。
更早些时候,英国央行金融政策委员会(FPC)表示,需要采取额外的政策措施来减轻云计算的金融稳定风险。
若《备案办法(征求意见稿)》落地,金融云市场格局将会发生怎样的变化?
“在云服务部署、合规要求等方式上,由于头部互联网公司的金融云专区与《备案办法(征求意见稿)》所要求还是存在不小差异,这意味着他们如果要备案,将花不少力气改造。不过一旦改造完成,备案成功,优势将进一步扩大。”某头部银行IT服务商高管直言,另一方面,部分云服务商可能需要综合考虑,未来是加大投入满足备案要求,还是去牵手头部服务商共同备案,或者直接退出金融行业的云业务。
另有头部互联网公司金融云业务相关负责人认为,从《备案办法(征求意见稿)》的具体要求来看,门槛确实不低,就注册资本实缴金等要求,小型金融云服务厂商基本很难满足。对于这类机构,面对金融团体云这个市场,接下来可能就直接退出或倒下,要不就会被头部云服务提供商收购。
也有部分云服务商表示,目前《备案办法(征求意见稿)》要求的主要是IaaS层面,那未来依然可从PaaS、SaaS层面与已进行备案的头部云服务厂商合作。也就是说,在PaaS、SaaS层面,市场依然可以百花齐放。
但正如前文所述,备案是否会扩至PaaS、SaaS层面,目前尚不明确。同时,每个云服务商提供的服务或产品均不同,亦需具体问题具体分析。
市场同时关注,若部分云服务提供商没有通过备案,那其已经提供相应服务的金融机构或将面临迁移等难题。
“一方面,迁移需要时间,比如A银行要做迁移,那它就得做计划、走审批,然后按流程逐步推进,这其中会涉及到数据安全等问题;另一方面,现在很多小银行找我们上云都是‘组团’来上,因为这样成本更低。但如果相应的服务未来只有少量的头部云服务商,上云价格肯定不会低,这些小银行是否能承受?”某银行IT服务商内部合规负责人向《财经》记者表示,建议《备案办法(征求意见稿)》落地时,兼顾现实难题。
多家云服务提供商直言,尽管可能困难重重,但待《备案办法(征求意见稿)》正式下发,肯定会努力去“冲一冲”。“毕竟,如果拿不到相应资质,未来可能连金融机构招投标时的门槛都达不到了。”
针对《备案办法(征求意见稿)》何时下发等问题,《财经》记者向中互金协会发送采访提纲,截至发稿前,未进行正式回应。