对决金融云:备案将至,谁得先手
作者: 张颖馨
“门槛设定较高,最后还能剩几家?”
“肯定要申请,正进行调整和完善。”
“还在观望,看看后续落地强度如何。”
上述内容系部分云服务提供商近日对《财经》记者所述,事起金融云备案。
九个月前(2020年10月),《中国人民银行关于发布金融行业标准强化金融云规范管理的通知》(银发〔2020〕247号,下称“247号文”)下发,要求金融机构在采用金融云时,应选择通过标准符合性自律备案的金融云。
鏖战正酣的金融云市场参与者没有想到,不知不觉中,备案已在路上。
《财经》记者独家获悉,《金融云备案管理办法(试行)征求意见稿》(下称《备案办法(征求意见稿)》)已于2021年6月向部分金融机构、云服务提供商下发。
在完成三轮征求意见后,《备案办法(征求意见稿)》正待相关部门审订。虽然可能还会有进一步调整,但整体方向已经锚定:任何机构和个人未经备案不得从事或变相从事金融云服务业务。同时,金融机构不得使用未经备案的金融云产品。
央行对金融云的界定,主要是指“金融团体云”,这一业务概念与私有云并列。但有云服务市场从业人士告诉《财经》记者,与央行定义有所不同,市场通常将私有云视作金融云的一种。
《备案办法(征求意见稿)》显示,金融云与私有云将分别备案,私有云可自愿备案。但值得注意的是,金融云备案要求,为金融机构提供PaaS(平台即服务,Platform as a Service)、SaaS(软件即服务,Software as a Service)类别服务的,承载上述服务的IaaS(基础设施即服务,Infrastructure as a Service)须进行备案。
这意味着,目前市场上常见的,诸如阿里巴巴、腾讯、百度、京东、华为等涉及IaaS服务的云服务提供商,未来若想继续向金融机构提供金融团体云服务,均应申请备案。
但当下,尚未有一家云服务提供商符合《备案办法(征求意见稿)》要求。多名接近监管的知情人士直言,备案标准的确定得不低,但金融云服务本就不是谁都能做,备案的机构数量一定是“在精不在多”。
虽然上述部分机构纷纷对照《备案办法(征求意见稿)》积极进行调整,但谁能率先拿到“入场券”,尚不可知。市场关注,伴随监管“前置”,金融云服务市场在走向规范之际,又将如何重塑?
监管“立规”
“近几年,云服务市场发展得颇为火热,监管也一直在观察金融机构的上云情况以及可能存在的风险。金融业对安全等方面的要求远高于其他行业,但市场上提供服务的机构却参差不齐,都说自己做得好,实际情况如何,恐怕还是个问号。”一名曾参与金融云相关标准制定的原监管人士告诉《财经》记者。
基于上述情况,为了明确行业标准,2018年,《中国人民银行关于发布实施金融行业标准规范云计算技术金融应用的通知》(银发〔2018〕195号)下发,三项金融行业标准《云计算技术金融应用规范 技术架构》(JR/T 0166-2018)、《云计算技术金融应用规范 安全技术要求》(JR/T 0167-2018)、《云计算技术金融应用规范 容灾》(JR/T 0168-2018)亦同步亮相,适用对象包括金融领域的云服务提供者、云服务使用者、云服务合作者等。
据《财经》记者了解,此后,市场主要云服务提供商在向金融机构提供相关服务时,均以上述三项标准作为参照,从架构体系、安全技术、容灾能力等多方面调整、优化自身系统和服务,但进度不一。
两年后,央行发布247号文,废止2018年三项标准,同时下发《云计算技术金融应用规范 技术架构》(JR/T 0166-2020)、《云计算技术金融应用规范 安全技术要求》(JR/T 0167-2020)、《云计算技术金融应用规范 容灾》(JR/T 0168-2020)等新三项金融行业标准(以下统称《规范》)。
上述原监管人士直言,最新的三项标准可视作2018年版的“升级”,金融行业标准通常是五年左右去做一次复审,然后再决定是否修订等。如今在不到三年的时间里就发布了“升级”后的版本,可见随着金融云市场变化,监管更加与时俱进。
值得注意的是,央行亦在247号文中指出,由中国互联网金融协会(下称“中互金协会”)根据工作需要按照《规范》加强对金融云的标准符合性自律备案工作,制定行业自律公约,建立健全风险监控、信息共享等机制,并定期向央行报送有关情况。
基于上述要求,据《财经》记者了解,中互金协会自247号文下发后,开始进行金融云市场调研,并推进《备案办法(征求意见稿)》的制定工作。
“此前已向部分金融机构和头部云服务提供商征集意见,并根据大家意见相应地进行了三次调整。目前正待相关部门审订,可能还会有调整,争取在2021年底前发布出来。”有接近备案的知情人士告诉《财经》记者,标准相对较高,现阶段市场上没有一家云服务提供商满足备案要求,部分服务商已经按照《备案办法(征求意见稿)》去调整和优化。
他进一步补充道,在制定《备案办法(征求意见稿)》的过程中,相关负责人一直与头部云服务提供商保持密切沟通,总体原则是基于这些云服务提供商的现实情况,并结合金融机构在与云服务提供商合作过程中认为不合理的地方,去设定较高的标准,而不是说把标准降到所有云服务提供商都能达到。
不过,有云服务提供商内部人士质疑,按照央行在247号文中“标准符合性自律备案工作”这一说法,中互金协会并非直接金融监管机构,由其发布《备案办法(征求意见稿)》,这是否意味着云服务提供商可以选择性备案?金融云备案落地效力会否有限?
“备案这件事不是一个纯自律行为,而且是基于央行247号文开展,具有强制效力。”接近央行的知情人士直言,247号文下发的对象和内容,主要是面向金融机构。云服务提供商虽然不在监管的直接管辖范围,但是监管可以去约束金融机构的行为,比如明确金融机构必须使用已备案的金融云。这就意味着,如果金融机构不遵守,监管可能会采取相应的处罚措施。
从《财经》记者获得的247号文及《规范》原文来看(央行并未在官网发布),前者的下发对象确实主要是银行、证券公司、基金公司、期货公司、保险公司、保险资管公司、非银行支付机构等,后者则适用于金融领域的云服务提供者、云服务使用者、云服务合作者等。
群雄逐鹿
数字化转型浪潮下,近年来,金融机构上云提速。
多名云服务市场人士告诉《财经》记者,从整体进展来看,目前银行业上云比例远高于保险、证券等领域。这些领域的相应机构都以上行业云或私有云为主,涉及服务类别包括IaaS、PaaS和SaaS。
通常来说,云计算的部署模式主要包含公有云、私有云、混合云等。根据央行下发的《规范》,“公有云”指可被任意云服务使用者使用,且资源被云服务提供者控制的一种云部署模式;“私有云”指仅被一个云服务使用者使用,且资源被该云服务使用者控制的一种云部署模式;“混合云”则是包含两种及以上部署模式的云部署模式。
《规范》同时指出,具体到金融领域,云计算部署模式主要包括私有云、团体云以及由其组成的混合云等。其中,“团体云”指由一组特定的云服务使用者使用和共享,且资源被云服务提供者或使用者控制的一种云部署模式;“金融团体云”指仅供金融机构共享使用,承载金融业务系统的团体云。
“团体云其实介于公有云和私有云之间,针对金融领域,行业里更通俗的说法是‘金融行业云’或‘金融云专区’。”有头部云服务提供商内部人士向《财经》记者表示。
从云服务类型来看,IaaS提供计算、存储、网络等基础资源服务;PaaS提供运行在云计算基础设施上的软件开发和运行环境服务;SaaS则提供运行在云计算基础设施上的应用软件服务(见图1)。
图1:云服务的层次划分
IBM的软件架构师Albert Barron曾以披萨为喻,力图通俗化地解释这三类云服务。有行业人士据此引申:假设自己在做披萨生意,那可以从头到尾自己制作披萨,但是这样比较麻烦,需要准备的东西很多,因此你决定外包一部分工作,采用他人的服务。这时有三个方案可选(见图2) :
图2:用披萨作比云服务
方案一是由他人提供厨房、燃气、烤箱等基础设施,你来烤披萨。这可以理解为IaaS。
方案二是除了基础设施,他人还提供制作披萨的饼皮。你需要做的就是把自己的配料洒在饼皮上,让对方帮你烤出来即可。也就是说,你要做的是设计披萨的味道、尺寸,他人则提供平台服务,帮助你将自己的设计实现。对应可理解为PaaS。
方案三则是他人直接制作好披萨,无需你的介入,收到的就是成品。你要做的就是把它销售出去,最多再包装一下,并印上自己的Logo。这可以理解为SaaS。
整体而言,从披萨由自己准备所需工具及材料制作,再到方案一、二、三,自己承担的工作量越来越少,与此相对应的就是本地化部署、IaaS、PaaS、SaaS服务。
结合金融机构的不同需求,云服务提供商们根据自身所长,从不同的服务方式切入,近年来在金融云市场“各显神通”,拼抢到一定的市场份额。
国际数据公司IDC在其中最新发布的《中国金融云市场(2020年下半年)跟踪》报告(下称“报告”)中,将金融云市场的参与者主要分为四大类:由硬件提供商向私有云服务商延伸而来(华为、联想等),由云服务商向金融云延伸而来(阿里巴巴、腾讯、百度等),由大型金融集团等成立的科技子公司(兴业数金、建信金融科技、招银云创等),由金融垂直行业解决方案商转型延伸而来(宇信科技、科蓝软件等)。
上述分类,也可理解为硬件厂商、互联网巨头、银行系金融科技公司、金融业IT服务商四大阵营。
硬件厂商开展云服务的核心优势在于可以自己生产设备。“当然,设备优势只是一方面,还得有极强的执行力。这方面,华为是一个典型代表,华为曾暂停过云业务,去做芯片和服务器,但后来发现自己逐步被边缘化,成了互联网巨头系的设备供应商,于是又再度‘杀’回来。”金融云行业某资深人士直言,短短几年时间,华为云的市场份额就冲进前几位。
互联网巨头系云服务的产生,主要还是基于自身需求触发。2009年9月,阿里云正式成立。其背后的动因就是在于,传统IOE架构下,不仅需要高昂投入,而且伴随阿里巴巴旗下淘宝、支付宝等业务扩张迅速,业务发展难以得到有效支撑。
“此类型机构的优势在于,在多年‘双十一’等重要节点流量爆发过程中,通过数次‘苦战’,底层架构和平台能力得以锻造。因此,这类机构在PaaS、IaaS服务上优势突出。”某头部云服务提供商内部人士直言。
银行系金融科技公司诸如兴业数金等,通常是内、外各一朵云,内部的云主要是支撑自身业务,外部的云主要向中小银行等提供服务。