對決金融云：備案將至，誰得先手

張穎馨

創意設計/黎立

“門檻設定較高，最后還能剩幾家？”

“肯定要申請，正進行調整和完善。”

“還在觀望，看看后續落地強度如何。”

上述內容系部分云服務提供商近日對《財經》記者所述，事起金融云備案。

九個月前（2020年10月），《中國人民銀行關于發布金融行業標準強化金融云規范管理的通知》（銀發〔2020〕247號，下稱“247號文”）下發，要求金融機構在采用金融云時，應選擇通過標準符合性自律備案的金融云。

鏖戰正酣的金融云市場參與者沒有想到，不知不覺中，備案已在路上。

《財經》記者獨家獲悉，《金融云備案管理辦法（試行）征求意見稿》（下稱《備案辦法（征求意見稿）》）已于2021年6月向部分金融機構、云服務提供商下發。

在完成三輪征求意見后，《備案辦法（征求意見稿）》正待相關部門審訂。雖然可能還會有進一步調整，但整體方向已經錨定：任何機構和個人未經備案不得從事或變相從事金融云服務業務。同時，金融機構不得使用未經備案的金融云產品。

央行對金融云的界定，主要是指“金融團體云”，這一業務概念與私有云并列。但有云服務市場從業人士告訴《財經》記者，與央行定義有所不同，市場通常將私有云視作金融云的一種。

《備案辦法（征求意見稿）》顯示，金融云與私有云將分別備案，私有云可自愿備案。但值得注意的是，金融云備案要求，為金融機構提供PaaS（平臺即服務，Platform as a Service）、SaaS（軟件即服務，Software as a Service）類別服務的，承載上述服務的IaaS（基礎設施即服務，Infrastructure as a Service）須進行備案。

這意味著，目前市場上常見的，諸如阿里巴巴、騰訊、百度、京東、華為等涉及IaaS服務的云服務提供商，未來若想繼續向金融機構提供金融團體云服務，均應申請備案。

但當下，尚未有一家云服務提供商符合《備案辦法（征求意見稿）》要求。多名接近監管的知情人士直言，備案標準的確定得不低，但金融云服務本就不是誰都能做，備案的機構數量一定是“在精不在多”。

雖然上述部分機構紛紛對照《備案辦法（征求意見稿）》積極進行調整，但誰能率先拿到“入場券”，尚不可知。市場關注，伴隨監管“前置”，金融云服務市場在走向規范之際，又將如何重塑？

監管“立規”

“近幾年，云服務市場發展得頗為火熱，監管也一直在觀察金融機構的上云情況以及可能存在的風險。金融業對安全等方面的要求遠高于其他行業，但市場上提供服務的機構卻參差不齊，都說自己做得好，實際情況如何，恐怕還是個問號。”一名曾參與金融云相關標準制定的原監管人士告訴《財經》記者。

基于上述情況，為了明確行業標準，2018年，《中國人民銀行關于發布實施金融行業標準規范云計算技術金融應用的通知》（銀發〔2018〕195號）下發，三項金融行業標準《云計算技術金融應用規范 技術架構》（JR/T 0166-2018）、《云計算技術金融應用規范 安全技術要求》（JR/T 0167-2018）、《云計算技術金融應用規范 容災》（JR/T 0168-2018）亦同步亮相，適用對象包括金融領域的云服務提供者、云服務使用者、云服務合作者等。

據《財經》記者了解，此后，市場主要云服務提供商在向金融機構提供相關服務時，均以上述三項標準作為參照，從架構體系、安全技術、容災能力等多方面調整、優化自身系統和服務，但進度不一。

兩年后，央行發布247號文，廢止2018年三項標準，同時下發《云計算技術金融應用規范 技術架構》（JR/T 0166-2020）、《云計算技術金融應用規范 安全技術要求》（JR/T 0167-2020）、《云計算技術金融應用規范 容災》（JR/T 0168-2020）等新三項金融行業標準（以下統稱《規范》）。

上述原監管人士直言，最新的三項標準可視作2018年版的“升級”，金融行業標準通常是五年左右去做一次復審，然后再決定是否修訂等。如今在不到三年的時間里就發布了“升級”后的版本，可見隨著金融云市場變化，監管更加與時俱進。

值得注意的是，央行亦在247號文中指出，由中國互聯網金融協會（下稱“中互金協會”）根據工作需要按照《規范》加強對金融云的標準符合性自律備案工作，制定行業自律公約，建立健全風險監控、信息共享等機制，并定期向央行報送有關情況。

基于上述要求，據《財經》記者了解，中互金協會自247號文下發后，開始進行金融云市場調研，并推進《備案辦法（征求意見稿）》的制定工作。

“此前已向部分金融機構和頭部云服務提供商征集意見，并根據大家意見相應地進行了三次調整。目前正待相關部門審訂，可能還會有調整，爭取在2021年底前發布出來。”有接近備案的知情人士告訴《財經》記者，標準相對較高，現階段市場上沒有一家云服務提供商滿足備案要求，部分服務商已經按照《備案辦法（征求意見稿）》去調整和優化。

他進一步補充道，在制定《備案辦法（征求意見稿）》的過程中，相關負責人一直與頭部云服務提供商保持密切溝通，總體原則是基于這些云服務提供商的現實情況，并結合金融機構在與云服務提供商合作過程中認為不合理的地方，去設定較高的標準，而不是說把標準降到所有云服務提供商都能達到。

不過，有云服務提供商內部人士質疑，按照央行在247號文中“標準符合性自律備案工作”這一說法，中互金協會并非直接金融監管機構，由其發布《備案辦法（征求意見稿）》，這是否意味著云服務提供商可以選擇性備案？金融云備案落地效力會否有限？

“備案這件事不是一個純自律行為，而且是基于央行247號文開展，具有強制效力。”接近央行的知情人士直言，247號文下發的對象和內容，主要是面向金融機構。云服務提供商雖然不在監管的直接管轄范圍，但是監管可以去約束金融機構的行為，比如明確金融機構必須使用已備案的金融云。這就意味著，如果金融機構不遵守，監管可能會采取相應的處罰措施。

從《財經》記者獲得的247號文及《規范》原文來看（央行并未在官網發布），前者的下發對象確實主要是銀行、證券公司、基金公司、期貨公司、保險公司、保險資管公司、非銀行支付機構等，后者則適用于金融領域的云服務提供者、云服務使用者、云服務合作者等。

群雄逐鹿

數字化轉型浪潮下，近年來，金融機構上云提速。

多名云服務市場人士告訴《財經》記者，從整體進展來看，目前銀行業上云比例遠高于保險、證券等領域。這些領域的相應機構都以上行業云或私有云為主，涉及服務類別包括IaaS、PaaS和SaaS。

通常來說，云計算的部署模式主要包含公有云、私有云、混合云等。根據央行下發的《規范》，“公有云”指可被任意云服務使用者使用，且資源被云服務提供者控制的一種云部署模式;“私有云”指僅被一個云服務使用者使用，且資源被該云服務使用者控制的一種云部署模式;“混合云”則是包含兩種及以上部署模式的云部署模式。

《規范》同時指出，具體到金融領域，云計算部署模式主要包括私有云、團體云以及由其組成的混合云等。其中，“團體云”指由一組特定的云服務使用者使用和共享，且資源被云服務提供者或使用者控制的一種云部署模式;“金融團體云”指僅供金融機構共享使用，承載金融業務系統的團體云。

“團體云其實介于公有云和私有云之間，針對金融領域，行業里更通俗的說法是‘金融行業云或‘金融云專區。”有頭部云服務提供商內部人士向《財經》記者表示。

從云服務類型來看，IaaS提供計算、存儲、網絡等基礎資源服務;PaaS提供運行在云計算基礎設施上的軟件開發和運行環境服務;SaaS則提供運行在云計算基礎設施上的應用軟件服務（見圖1）。

圖1：云服務的層次劃分

資料來源：央行《云計算技術金融應用規范 技術架構 JR/T 0166 —2020）》。制圖：顏斌

IBM的軟件架構師Albert Barron曾以披薩為喻，力圖通俗化地解釋這三類云服務。有行業人士據此引申：假設自己在做披薩生意，那可以從頭到尾自己制作披薩，但是這樣比較麻煩，需要準備的東西很多，因此你決定外包一部分工作，采用他人的服務。這時有三個方案可選（見圖2） ：

圖2：用披薩作比云服務

資料來源：《財經》記者根據公開資料及采訪內容整理

方案一是由他人提供廚房、燃氣、烤箱等基礎設施，你來烤披薩。這可以理解為IaaS。

方案二是除了基礎設施，他人還提供制作披薩的餅皮。你需要做的就是把自己的配料灑在餅皮上，讓對方幫你烤出來即可。也就是說，你要做的是設計披薩的味道、尺寸，他人則提供平臺服務，幫助你將自己的設計實現。對應可理解為PaaS。

方案三則是他人直接制作好披薩，無需你的介入，收到的就是成品。你要做的就是把它銷售出去，最多再包裝一下，并印上自己的Logo。這可以理解為SaaS。

整體而言，從披薩由自己準備所需工具及材料制作，再到方案一、二、三，自己承擔的工作量越來越少，與此相對應的就是本地化部署、IaaS、PaaS、SaaS服務。

結合金融機構的不同需求，云服務提供商們根據自身所長，從不同的服務方式切入，近年來在金融云市場“各顯神通”，拼搶到一定的市場份額。

國際數據公司IDC在其中最新發布的《中國金融云市場（2020年下半年）跟蹤》報告（下稱“報告”）中，將金融云市場的參與者主要分為四大類：由硬件提供商向私有云服務商延伸而來（華為、聯想等），由云服務商向金融云延伸而來（阿里巴巴、騰訊、百度等），由大型金融集團等成立的科技子公司（興業數金、建信金融科技、招銀云創等），由金融垂直行業解決方案商轉型延伸而來（宇信科技、科藍軟件等）。

上述分類，也可理解為硬件廠商、互聯網巨頭、銀行系金融科技公司、金融業IT服務商四大陣營。

硬件廠商開展云服務的核心優勢在于可以自己生產設備。“當然，設備優勢只是一方面，還得有極強的執行力。這方面，華為是一個典型代表，華為曾暫停過云業務，去做芯片和服務器，但后來發現自己逐步被邊緣化，成了互聯網巨頭系的設備供應商，于是又再度‘殺回來。”金融云行業某資深人士直言，短短幾年時間，華為云的市場份額就沖進前幾位。

互聯網巨頭系云服務的產生，主要還是基于自身需求觸發。2009年9月，阿里云正式成立。其背后的動因就是在于，傳統IOE架構下，不僅需要高昂投入，而且伴隨阿里巴巴旗下淘寶、支付寶等業務擴張迅速，業務發展難以得到有效支撐。

“此類型機構的優勢在于，在多年‘雙十一等重要節點流量爆發過程中，通過數次‘苦戰，底層架構和平臺能力得以鍛造。因此，這類機構在PaaS、IaaS服務上優勢突出。”某頭部云服務提供商內部人士直言。

銀行系金融科技公司諸如興業數金等，通常是內、外各一朵云，內部的云主要是支撐自身業務，外部的云主要向中小銀行等提供服務。

有金融行業資深人士告訴《財經》記者，興業數金的金融云服務主要包括銀行信息系統云服務（主要是SaaS服務）、基礎設施資源服務（IaaS）等。“畢竟背靠母行，且在多年服務中小行的過程中積累了豐富的經驗，因此對銀行業務、合規性要求等理解更為深刻。”

在上述類別之外，金融業IT服務商近年來亦表現搶眼。以銀行IT服務商宇信科技為例，提及具體優勢，該公司內部人士直言，“我們的云是為銀行客戶而生，最初，宇信科技就是以幫助銀行開展網銀業務見長。同時，一直按照金融監管等方面要求來開展機房管理、系統搭建等工作，安全性、合規性都能符合金融業的高要求。”

據《財經》記者了解，此前部分銀行IT服務商、銀行系金融科技公司等開展金融云等服務的主要依據是原銀監會于2014年下發的《關于通報成立銀行業科技外包合作組織的函》《中國銀監會辦公廳關于加強銀行業金融機構信息科技非駐場集中式外包風險管理的通知》《中國銀監會辦公廳關于開展銀行業金融機構信息科技非駐場集中式外包監管評估工作通知》等，以及2015年下發的《關于發布首批銀行業信息科技非駐場集中式外包服務監管評估名單的通知》等文件。

按照上述文件要求，外包服務企業可按照自愿原則提出申請，將其為銀行業金融機構提供的信息科技外包服務納入監管評估，接受原銀監會及派出機構對上述服務的科技風險監測、現場核查、風險評估和處置。

“雖然不是針對金融云，但在機房條件、人員管理等很多方面的要求也很嚴格，而且會有現場檢查。”有銀行系金融科技公司內部人士告訴《財經》記者，原銀監會曾下發過幾批外包服務商名單，近年來沒有再更新。

位于寧夏的一處云基地。圖/新華

誰得先手

在差異化的成長環境和優勢下，不同類型的云服務提供商走出了自己的發展路徑，并在金融云市場搶占到一定的份額。

IDC上述報告顯示，2020年下半年，中國金融云市場規模達到27.3億美元。其中，金融云基礎設施市場（記者注：對應IaaS服務）規模達到19.3億美元：公有云基礎設施部分，阿里巴巴、騰訊、百度、華為和AWS（記者注：亞馬遜云科技）位居前五，占據85.4%的市場份額;私有云基礎設施部分，華為、新華三、浪潮、戴爾和聯想位居前五，占據81.6%的市場份額。

金融云平臺（記者注：對應PaaS服務）與應用解決方案（記者注：對應SaaS服務）市場分別達到3.2億美元和4.7億美元。其中，在平臺解決方案上，阿里巴巴、騰訊、華為、百度、京東云位居前五，占據76.8%的市場份額（見圖3）;應用解決方案市場上，中科軟科技、中電金信、宇信科技、南天信息、百度、融信云占據34.2%的市場份額（見圖4）。

圖3：2020年下半年中國金融云（平臺）解決方案市場份額

資料來源：IDC中國，2021

圖4：2020下半年中國金融云（應用）解決方案市場份額

資料來源：IDC中國，2021

據《財經》記者了解，IDC上述分類的考量之一是將硬件和軟件服務做出明確區隔，但IaaS、PaaS、SaaS服務本身就存在互相交叉的可能性，因此不完全精準。不過，基于上述數據，或可窺見當前金融云市場競爭格局。

這些在市場上已占據一定份額的云服務提供商是否都應申請金融云備案？

《備案辦法（征求意見稿）》明確指出，私有云與金融云將分別備案，私有云可自愿備案。具體來看，金融云備案要求，為金融機構提供PaaS、SaaS類別服務的，承載該服務的IaaS應通過備案。

需要注意，此處的“金融云”亦是《規范》中所明確的“金融團體云”，指僅供金融機構共享使用，承載金融業務系統的團體云。也可理解為市場上常提及的“金融行業云”“金融云專區”。

也就是說，在上述IDC的分類下，阿里巴巴、騰訊、百度、華為等公司若要提供《備案辦法（征求意見稿）》中要求的金融團體云服務，均應申請備案。另據《財經》記者了解，有銀行系金融科技公司亦在積極申請備案。

另一方面，按照上述要求，是否意味著提供PaaS、SaaS服務的機構，無需進行備案？

“不排除向其他服務類型擴展的可能性。”接近備案的知情人士告訴《財經》記者，之所以選擇從IaaS開始備案，主要依據是《規范》中的安全技術要求，在云服務提供者和使用者的安全分工上，IaaS服務涉及范圍更廣，且囊括了PaaS和SaaS的相應內容。不過，因為對具體服務類別的界定本身就存在差異，且三個服務之間可能存在交叉，還是要具體問題具體分析。

部分云服務提供商已經感受到來自《備案辦法（征求意見稿）》的壓力。

有銀行系金融科技公司高管向《財經》記者表示，業務團隊已經比對著相關要求列出待優化項，滿滿好幾頁。總體來看，難度不小。

以被多家機構提到的容災門檻高為例。某頭部銀行IT服務商高管告訴《財經》記者，要開展金融云服務，首先需要滿足“兩地三中心”的災備模式，也就是說，如果我在北京有一個主機房，那還需要在30公里以外的地方再建一個完全一樣的同城災備機房。此外，在距北京1000公里以外的地方，還需一個同樣的異地災備機房，以便在災難情況下可以由備份機房緊急接管業務，確保業務的連續性和可靠性。這種模式投入很大，而且前提是得有滿足具體要求的地點，可以搭建或租用這樣的數據中心。

“市場上的部分云服務提供商其實之前都有在做‘兩地三中心，但通常異地機房達到的災備等級可能相對較低，按照《規范》最新要求，異地機房災備等級需要進一步提高。”上述高管說。

某頭部互聯網公司金融云業務相關負責人亦指出，金融機構主流災備技術是“兩地三中心”，基本都做到了“同城雙活”，但能做到“異地多活”的機構少之又少。其中，銀行“兩地三中心”的特點是異地備份數據中心一般不作為關鍵應用宿主地。

“‘異地多活模式，是目前正在興起的模式，僅某些大型銀行的核心關鍵應用已經在此模式下進行了成功驗證。‘異地多活有很多關鍵技術，數據是比較關鍵的環節，需要將底層數據庫的數據打通，實現和解決低延遲、數據一致性和高吞吐的問題。”上述頭部互聯網公司相關負責人說。

對于備案中可能出現的重重“難關”，有銀行系金融科技公司高管向《財經》記者坦言，《備案辦法（征求意見稿）》可能存在落地困難，而且涉及面較廣，何時能調整完無法預估。

不過，接近備案的知情人士向《財經》記者強調，什么時候調整完，滿足了備案標準，再來申請備案。“與中互金協會此前開展的移動金融App備案不同，總體來看，市場上大部分合規的移動金融App都能進行備案，沒有數量限制。但金融云可能就是一家一家的備案，標準定得高也就意味著需要足夠的實力，最終能通過備案的云服務商肯定是有限的。”

依據《規范》，申請金融云備案的云服務提供商需要提供對應的標準符合性證明材料復印件。同時，還應提供《中華人民共和國增值電信業務經營許可證》（許可業務種類應包含互聯網資源協作服務）、《云計算服務安全評估辦法》標準符合性證明材料、《金融行業網絡安全等級保護測試指南》第四級標準符合性證明材料等的復印件。據《財經》記者了解，這幾項均屬于“底線要求”。

此外，《備案辦法（征求意見稿）》亦從注冊資本實繳額、主要股東和實控人、風險補償機制等方面對云服務提供商提出要求。

格局重塑

事實上，之所以對金融云備案設定高門檻，監管有著現實考量。

據多家媒體報道，今年3月10日，歐洲云計算巨頭OVH位于法國萊茵省首府斯特拉斯堡的數據中心發生嚴重火災。火災導致OVH多個數據中心無法服務，大量客戶網站癱瘓，部分客戶數據完全丟失且無法恢復。

不久前的7月18日，河南鄭州出現罕見持續強降雨，導致當地多區域斷電，部分云服務商受到不同程度的影響。

“這就是《規范》對云計算平臺提出較高容災要求的原因，雖然難度大，但不能降低標準。”上述接近備案的知情人士透露，有頭部云服務提供商就缺少異地災備，而他們的云上面至少有百余家中小銀行，如果主機房當地網絡出現問題，那就可能導致這些中小銀行的資金清算、轉賬等服務同時癱瘓。

另一方面，近年來金融云市場暗潮洶涌，參與機構水平更是參差不齊。

一名銀行IT服務商高管接受《財經》記者采訪時表示，印象最深的是幾年前云服務市場打“價格戰”，出現0元或1分錢中標的情況。雖然金融云這塊沒有那么夸張，但是競標的時候依然有對手會給出瞠目結舌的價格。“近一兩年基本不會再出現打‘價格戰的情況，一方面是市場逐步成熟和理性，另一方面也是因為沒有太大的單子，該建的都已經建好。”

“有城商行在找云服務商合作的時候，選擇標準相當野蠻粗暴，就看哪家云廠商能在它那兒存款，哪家云廠商能幫它帶來流量。但現在監管趨嚴，可能導流就比較難。最后變成，哪家能幫它做一些互聯網化的營銷，云服務就交給誰。”對此，某頭部互聯網公司金融云業務相關負責人頗為無奈。

數據安全等問題亦不容忽視。

有銀行系金融科技公司業務人員告訴《財經》記者，在《備案辦法（征求意見稿）》正式下發前，金融機構可能會把自己全量或部分系統部署在公有云或其他行業云上，與本地系統連接成混合云部署，云上系統本身的安全性和高可用性，以及云平臺本身的冗余性完全依賴于云平臺運營方，缺乏數據安全的自主把控能力;對于云平臺運營商來說，則可能會將非金融機構的系統與強金融屬性的系統部署在同一物理資源池中，數據隔離和訪問控制的有效性待考量。

接近央行的知情人士向《財經》記者強調，金融云屬于金融業的重要基礎設施，不是誰都能做，其對云服務提供商的資金投入、運營經驗、技術能力、金融風險理解等多方面均有著很高的要求。“監管的初衷是通過備案這件事去規范行業發展，提高準入標準。”

事實上，海外金融監管機構也多次提醒云計算服務可能帶來的風險。據路透社7月13日報道，英國央行表示，向金融業提供云計算的供應商可能很“隱秘”，監管機構需要采取行動，避免銀行對少數外部公司的依賴成為對金融穩定的威脅。

更早些時候，英國央行金融政策委員會（FPC）表示，需要采取額外的政策措施來減輕云計算的金融穩定風險。

若《備案辦法（征求意見稿）》落地，金融云市場格局將會發生怎樣的變化？

“在云服務部署、合規要求等方式上，由于頭部互聯網公司的金融云專區與《備案辦法（征求意見稿）》所要求還是存在不小差異，這意味著他們如果要備案，將花不少力氣改造。不過一旦改造完成，備案成功，優勢將進一步擴大。”某頭部銀行IT服務商高管直言，另一方面，部分云服務商可能需要綜合考慮，未來是加大投入滿足備案要求，還是去牽手頭部服務商共同備案，或者直接退出金融行業的云業務。

另有頭部互聯網公司金融云業務相關負責人認為，從《備案辦法（征求意見稿）》的具體要求來看，門檻確實不低，就注冊資本實繳金等要求，小型金融云服務廠商基本很難滿足。對于這類機構，面對金融團體云這個市場，接下來可能就直接退出或倒下，要不就會被頭部云服務提供商收購。

也有部分云服務商表示，目前《備案辦法（征求意見稿）》要求的主要是IaaS層面，那未來依然可從PaaS、SaaS層面與已進行備案的頭部云服務廠商合作。也就是說，在PaaS、SaaS層面，市場依然可以百花齊放。

但正如前文所述，備案是否會擴至PaaS、SaaS層面，目前尚不明確。同時，每個云服務商提供的服務或產品均不同，亦需具體問題具體分析。

市場同時關注，若部分云服務提供商沒有通過備案，那其已經提供相應服務的金融機構或將面臨遷移等難題。

“一方面，遷移需要時間，比如A銀行要做遷移，那它就得做計劃、走審批，然后按流程逐步推進，這其中會涉及到數據安全等問題;另一方面，現在很多小銀行找我們上云都是‘組團來上，因為這樣成本更低。但如果相應的服務未來只有少量的頭部云服務商，上云價格肯定不會低，這些小銀行是否能承受？”某銀行IT服務商內部合規負責人向《財經》記者表示，建議《備案辦法（征求意見稿）》落地時，兼顧現實難題。

多家云服務提供商直言，盡管可能困難重重，但待《備案辦法（征求意見稿）》正式下發，肯定會努力去“沖一沖”。“畢竟，如果拿不到相應資質，未來可能連金融機構招投標時的門檻都達不到了。”

針對《備案辦法（征求意見稿）》何時下發等問題，《財經》記者向中互金協會發送采訪提綱，截至發稿前，未進行正式回應。