原標題：獨家 | 對決金融雲：備案將至，誰得先手

　　作者：張穎馨

　　來源：財經五月花

　　摘要

　　伴隨監管「前置」，金融雲服務市場在走向規範之際，又將如何重塑

　　「門檻設定較高，最後還能剩幾家？」

　　「肯定要申請，正進行調整和完善。」

　　「還在觀望，看看後續落地強度如何。」

　　上述內容系部分雲服務提供商近日對《財經》記者所述，事起金融雲備案。

　　九個月前（2020年10月），《中國人民銀行關於發佈金融行業標準強化金融雲規範管理的通知》（銀髮〔2020〕247號，下稱「247號文」）下發，要求金融機構在採用金融雲時，應選擇通過標準符合性自律備案的金融雲。

　　鏖戰正酣的金融雲市場參與者沒有想到，不知不覺中，備案已在路上。

　　《財經》記者獨家獲悉，《金融雲備案管理辦法（試行）徵求意見稿》（下稱《備案辦法（徵求意見稿）》）已於2021年6月向部分金融機構、雲服務提供商下發。

　　在完成三輪徵求意見后，《備案辦法（徵求意見稿）》正待相關部門審訂。雖然可能還會有進一步調整，但整體方向已經錨定：任何機構和個人未經備案不得從事或變相從事金融雲服務業務。同時，金融機構不得使用未經備案的金融雲產品。

　　央行對金融雲的界定，主要是指「金融團體雲」，這一業務概念與私有雲並列。但有雲服務市場從業人士告訴《財經》記者，與央行定義有所不同，市場通常將私有雲視作金融雲的一種。

　　《備案辦法（徵求意見稿）》顯示，金融雲與私有雲將分別備案，私有雲可自願備案。但值得注意的是，金融雲備案要求，為金融機構提供PaaS（平台即服務，Platform as a Service）、SaaS（軟體即服務，Software as a Service）類別服務的，承載上述服務的IaaS（基礎設施即服務，Infrastructure as a Service）須進行備案。

　　這意味著，目前市場上常見的，諸如阿里巴巴、騰訊、百度、京東、華為等涉及IaaS服務的雲服務提供商，未來若想繼續向金融機構提供金融團體雲服務，均應申請備案。

　　但當下，尚未有一家雲服務提供商符合《備案辦法（徵求意見稿）》要求。多名接近監管的知情人士直言，備案標準的確定得不低，但金融雲服務本就不是誰都能做，備案的機構數量一定是「在精不在多」。

　　雖然上述部分機構紛紛對照《備案辦法（徵求意見稿）》積極進行調整，但誰能率先拿到「入場券」，尚不可知。市場關注，伴隨監管「前置」，金融雲服務市場在走向規範之際，又將如何重塑？

　　監管「立規」

　　「近幾年，雲服務市場發展得頗為火熱，監管也一直在觀察金融機構的上雲情況以及可能存在的風險。金融業對安全等方面的要求遠高於其他行業，但市場上提供服務的機構卻參差不齊，都說自己做得好，實際情況如何，恐怕還是個問號。」一名曾參與金融雲相關標準制定的原監管人士告訴《財經》記者。

　　基於上述情況，為了明確行業標準，2018年，《中國人民銀行關於發佈實施金融行業標準規範雲計算技術金融應用的通知》（銀髮〔2018〕195號）下發，三項金融行業標準《雲計算技術金融應用規範 技術架構》（JR/T 0166-2018）、《雲計算技術金融應用規範 安全技術要求》（JR/T0167-2018）、《雲計算技術金融應用規範 容災》（JR/T 0168-2018）亦同步亮相，適用對象包括金融領域的雲服務提供者、雲服務使用者、雲服務合作者等。

　　據《財經》記者了解，此後，市場主要雲服務提供商在向金融機構提供相關服務時，均以上述三項標準作為參照，從架構體系、安全技術、容災能力等多方面調整、優化自身系統和服務，但進度不一。

　　兩年後，央行發佈247號文，廢止2018年三項標準，同時下發《雲計算技術金融應用規範技術架構》（JR/T 0166-2020）、《雲計算技術金融應用規範 安全技術要求》（JR/T 0167-2020）、《雲計算技術金融應用規範 容災》（JR/T0168-2020）等新三項金融行業標準（以下統稱《規範》）。

　　上述原監管人士直言，最新的三項標準可視作2018年版的「升級」，金融行業標準通常是五年左右去做一次複審，然後再決定是否修訂等。如今在不到三年的時間里就發佈了「升級」后的版本，可見隨著金融雲市場變化，監管更加與時俱進。

　　值得注意的是，央行亦在247號文中指出，由中國互聯網金融協會（下稱「中互金協會」）根據工作需要按照《規範》加強對金融雲的標準符合性自律備案工作，制定行業自律公約，建立健全風險監控、信息共享等機制，並定期向央行報送有關情況。

　　基於上述要求，據《財經》記者了解，中互金協會自247號文下發后，開始進行金融雲市場調研，並推進《備案辦法（徵求意見稿）》的制定工作。

　　「此前已向部分金融機構和頭部雲服務提供商徵集意見，並根據大家意見相應地進行了三次調整。目前正待相關部門審訂，可能還會有調整，爭取在2021年底前發佈出來。」有接近備案的知情人士告訴《財經》記者，標準相對較高，現階段市場上沒有一家雲服務提供商滿足備案要求，部分服務商已經按照《備案辦法（徵求意見稿）》去調整和優化。

　　他進一步補充道，在制定《備案辦法（徵求意見稿）》的過程中，相關負責人一直與頭部雲服務提供商保持密切溝通，總體原則是基於這些雲服務提供商的現實情況，並結合金融機構在與雲服務提供商合作過程中認為不合理的地方，去設定較高的標準，而不是說把標準降到所有雲服務提供商都能達到。

　　不過，有雲服務提供商內部人士質疑，按照央行在247號文中「標準符合性自律備案工作」這一說法，中互金協會並非直接金融監管機構，由其發佈《備案辦法（徵求意見稿）》，這是否意味著雲服務提供商可以選擇性備案？金融雲備案落地效力會否有限？

　　「備案這件事不是一個純自律行為，而且是基於央行247號文開展，具有強制效力。」接近央行的知情人士直言，247號文下發的對象和內容，主要是面向金融機構。雲服務提供商雖然不在監管的直接管轄範圍，但是監管可以去約束金融機構的行為，比如明確金融機構必須使用已備案的金融雲。這就意味著，如果金融機構不遵守，監管可能會採取相應的處罰措施。

　　從《財經》記者獲得的247號文及《規範》原文來看（央行並未在官網發佈），前者的下發對象確實主要是銀行、證券公司、基金公司、期貨公司、保險公司、保險資管公司、非銀行支付機構等，後者則適用於金融領域的雲服務提供者、雲服務使用者、雲服務合作者等。

　　群雄逐鹿

　　數字化轉型浪潮下，近年來，金融機構上雲提速。

　　多名雲服務市場人士告訴《財經》記者，從整體進展來看，目前銀行業上雲比例遠高於保險、證券等領域。這些領域的相應機構都以上行業雲或私有云為主，涉及服務類別包括IaaS、PaaS和SaaS。

　　通常來說，雲計算的部署模式主要包含公有雲、私有雲、混合雲等。根據央行下發的《規範》，「公有雲」指可被任意雲服務使用者使用，且資源被雲服務提供者控制的一種雲部署模式；「私有雲」指僅被一個雲服務使用者使用，且資源被該雲服務使用者控制的一種雲部署模式；「混合雲」則是包含兩種及以上部署模式的雲部署模式。

　　《規範》同時指出，具體到金融領域，雲計算部署模式主要包括私有雲、團體雲以及由其組成的混合雲等。其中，「團體雲」指由一組特定的雲服務使用者使用和共享，且資源被雲服務提供者或使用者控制的一種雲部署模式；「金融團體雲」指僅供金融機構共享使用，承載金融業務系統的團體雲。

　　「團體雲其實介於公有雲和私有雲之間，針對金融領域，行業里更通俗的說法是『金融行業雲』或『金融雲專區』。」有頭部雲服務提供商內部人士向《財經》記者表示。

　　從雲服務類型來看，IaaS提供計算、存儲、網路等基礎資源服務；PaaS提供運行在雲計算基礎設施上的軟體開發和運行環境服務；SaaS則提供運行在雲計算基礎設施上的應用軟體服務（見圖1）。

　　IBM的軟體架構師AlbertBarron曾以披薩為喻，力圖通俗化地解釋這三類雲服務。有行業人士據此引申：假設自己在做披薩生意，那可以從頭到尾自己製作披薩，但是這樣比較麻煩，需要準備的東西很多，因此你決定外包一部分工作，採用他人的服務。這時有三個方案可選（見圖2） ：

　　方案一是由他人提供廚房、燃氣、烤箱等基礎設施，你來烤披薩。這可以理解為IaaS。

　　方案二是除了基礎設施，他人還提供製作披薩的餅皮。你需要做的就是把自己的配料灑在餅皮上，讓對方幫你烤出來即可。也就是說，你要做的是設計披薩的味道、尺寸，他人則提供平台服務，幫助你將自己的設計實現。對應可理解為PaaS。

　　方案三則是他人直接製作好披薩，無需你的介入，收到的就是成品。你要做的就是把它銷售出去，最多再包裝一下，並印上自己的Logo。這可以理解為SaaS。

　　整體而言，從披薩由自己準備所需工具及材料製作，再到方案一、二、三，自己承擔的工作量越來越少，與此相對應的就是本地化部署、IaaS、PaaS、SaaS服務。

　　結合金融機構的不同需求，雲服務提供商們根據自身所長，從不同的服務方式切入，近年來在金融雲市場「各顯神通」，拼搶到一定的市場份額。

　　國際數據公司IDC在其中最新發佈的《中國金融雲市場（2020年下半年）跟蹤》報告（下稱「報告」）中，將金融雲市場的參與者主要分為四大類：由硬體提供商向私有雲服務商延伸而來（華為、聯想等），由雲服務商向金融雲延伸而來（阿里巴巴、騰訊、百度等），由大型金融集團等成立的科技子公司（興業數金、建信金融科技、招銀雲創等），由金融垂直行業解決方案商轉型延伸而來（宇信科技、科藍軟體等）。

　　上述分類，也可理解為硬體廠商、互聯網巨頭、銀行系金融科技公司、金融業IT服務商四大陣營。

　　硬體廠商開展雲服務的核心優勢在於可以自己生產設備。「當然，設備優勢只是一方面，還得有極強的執行力。這方面，華為是一個典型代表，華為曾暫停過雲業務，去做晶元和伺服器，但後來發現自己逐步被邊緣化，成了互聯網巨頭系的設備供應商，於是又再度『殺』回來。」金融雲行業某資深人士直言，短短幾年時間，華為雲的市場份額就衝進前幾位。

　　互聯網巨頭系雲服務的產生，主要還是基於自身需求觸發。2009年9月，阿里雲正式成立。其背後的動因就是在於，傳統IOE架構下，不僅需要高昂投入，而且伴隨阿里巴巴旗下淘寶、支付寶等業務擴張迅速，業務發展難以得到有效支撐。

　　「此類型機構的優勢在於，在多年『雙十一』等重要節點流量爆發過程中，通過數次『苦戰』，底層架構和平台能力得以鍛造。因此，這類機構在PaaS、IaaS服務上優勢突出。」某頭部雲服務提供商內部人士直言。

　　銀行系金融科技公司諸如興業數金等，通常是內、外各一朵雲，內部的雲主要是支撐自身業務，外部的雲主要向中小銀行等提供服務。

　　有金融行業資深人士告訴《財經》記者，興業數金的金融雲服務主要包括銀行信息系統雲服務（主要是SaaS服務）、基礎設施資源服務（IaaS）等。「畢竟背靠母行，且在多年服務中小行的過程中積累了豐富的經驗，因此對銀行業務、合規性要求等理解更為深刻。」

　　在上述類別之外，金融業IT服務商近年來亦表現搶眼。以銀行IT服務商宇信科技為例，提及具體優勢，該公司內部人士直言，「我們的雲是為銀行客戶而生，最初，宇信科技就是以幫助銀行開展網銀業務見長。同時，一直按照金融監管等方面要求來開展機房管理、系統搭建等工作，安全性、合規性都能符合金融業的高要求。」

　　據《財經》記者了解，此前部分銀行IT服務商、銀行系金融科技公司等開展金融雲等服務的主要依據是原銀監會於2014年下發的《關於通報成立銀行業科技外包合作組織的函》《中國銀監會辦公廳關於加強銀行業金融機構信息科技非駐場集中式外包風險管理的通知》《中國銀監會辦公廳關於開展銀行業金融機構信息科技非駐場集中式外包監管評估工作通知》等，以及2015年下發的《關於發佈首批銀行業信息科技非駐場集中式外包服務監管評估名單的通知》等文件。

　　按照上述文件要求，外包服務企業可按照自願原則提出申請，將其為銀行業金融機構提供的信息科技外包服務納入監管評估，接受原銀監會及派出機構對上述服務的科技風險監測、現場核查、風險評估和處置。

　　「雖然不是針對金融雲，但在機房條件、人員管理等很多方面的要求也很嚴格，而且會有現場檢查。」有銀行系金融科技公司內部人士告訴《財經》記者，原銀監會曾下發過幾批外包服務商名單，近年來沒有再更新。

　　誰得先手

　　在差異化的成長環境和優勢下，不同類型的雲服務提供商走出了自己的發展路徑，並在金融雲市場搶佔到一定的份額。

　　IDC上述報告顯示，2020年下半年，中國金融雲市場規模達到27.3億美元。其中，金融雲基礎設施市場（記者注：對應IaaS服務）規模達到19.3億美元：公有雲基礎設施部分，阿里巴巴、騰訊、百度、華為和AWS（記者注：亞馬遜雲科技）位居前五，佔據85.4%的市場份額；私有雲基礎設施部分，華為、新華三、浪潮、戴爾和聯想位居前五，佔據81.6%的市場份額。

　　金融雲平台（記者注：對應PaaS服務）與應用解決方案（記者注：對應SaaS服務）市場分別達到3.2億美元和4.7億美元。其中，在平台解決方案上，阿里巴巴、騰訊、華為、百度、京東雲位居前五，佔據76.8%的市場份額（見圖3）；應用解決方案市場上，中科軟科技、中電金信、宇信科技、南天信息、百度、融信雲佔據34.2%的市場份額（見圖4）。

　　據《財經》記者了解，IDC上述分類的考量之一是將硬體和軟體服務做出明確區隔，但IaaS、PaaS、SaaS服務本身就存在互相交叉的可能性，因此不完全精準。不過，基於上述數據，或可窺見當前金融雲市場競爭格局。

　　這些在市場上已佔據一定份額的雲服務提供商是否都應申請金融雲備案？

　　《備案辦法（徵求意見稿）》明確指出，私有雲與金融雲將分別備案，私有雲可自願備案。具體來看，金融雲備案要求，為金融機構提供PaaS、SaaS類別服務的，承載該服務的IaaS應通過備案。

　　需要注意，此處的「金融雲」亦是《規範》中所明確的「金融團體雲」，指僅供金融機構共享使用，承載金融業務系統的團體雲。也可理解為市場上常提及的「金融行業雲」「金融雲專區」。

　　也就是說，在上述IDC的分類下，阿里巴巴、騰訊、百度、華為等公司若要提供《備案辦法（徵求意見稿）》中要求的金融團體雲服務，均應申請備案。另據《財經》記者了解，有銀行系金融科技公司亦在積極申請備案。

　　另一方面，按照上述要求，是否意味著提供PaaS、SaaS服務的機構，無需進行備案？

　　「不排除向其他服務類型擴展的可能性。」接近備案的知情人士告訴《財經》記者，之所以選擇從IaaS開始備案，主要依據是《規範》中的安全技術要求，在雲服務提供者和使用者的安全分工上，IaaS服務涉及範圍更廣，且囊括了PaaS和SaaS的相應內容。不過，因為對具體服務類別的界定本身就存在差異，且三個服務之間可能存在交叉，還是要具體問題具體分析。

　　部分雲服務提供商已經感受到來自《備案辦法（徵求意見稿）》的壓力。

　　有銀行系金融科技公司高管向《財經》記者表示，業務團隊已經比對著相關要求列出待優化項，滿滿好幾頁。總體來看，難度不小。

　　以被多家機構提到的容災門檻高為例。某頭部銀行IT服務商高管告訴《財經》記者，要開展金融雲服務，首先需要滿足「兩地三中心」的災備模式，也就是說，如果我在北京有一個主機房，那還需要在30公里以外的地方再建一個完全一樣的同城災備機房。此外，在距北京1000公里以外的地方，還需一個同樣的異地災備機房，以便在災難情況下可以由備份機房緊急接管業務，確保業務的連續性和可靠性。這種模式投入很大，而且前提是得有滿足具體要求的地點，可以搭建或租用這樣的數據中心。

　　「市場上的部分雲服務提供商其實之前都有在做『兩地三中心』，但通常異地機房達到的災備等級可能相對較低，按照《規範》最新要求，異地機房災備等級需要進一步提高。」上述高管說。

　　某頭部互聯網公司金融雲業務相關負責人亦指出，金融機構主流災備技術是「兩地三中心」，基本都做到了「同城雙活」，但能做到「異地多活」的機構少之又少。其中，銀行「兩地三中心」的特點是異地備份數據中心一般不作為關鍵應用宿主地。

　　「『異地多活』模式，是目前正在興起的模式，僅某些大型銀行的核心關鍵應用已經在此模式下進行了成功驗證。『異地多活』有很多關鍵技術，數據是比較關鍵的環節，需要將底層資料庫的數據打通，實現和解決低延遲、數據一致性和高吞吐的問題。」上述頭部互聯網公司相關負責人說。

　　對於備案中可能出現的重重「難關」，有銀行系金融科技公司高管向《財經》記者坦言，《備案辦法（徵求意見稿）》可能存在落地困難，而且涉及面較廣，何時能調整完無法預估。

　　不過，接近備案的知情人士向《財經》記者強調，什麼時候調整完，滿足了備案標準，再來申請備案。「與中互金協會此前開展的移動金融App備案不同，總體來看，市場上大部分合規的移動金融App都能進行備案，沒有數量限制。但金融雲可能就是一家一家的備案，標準定得高也就意味著需要足夠的實力，最終能通過備案的雲服務商肯定是有限的。」

　　依據《規範》，申請金融雲備案的雲服務提供商需要提供對應的標準符合性證明材料複印件。同時，還應提供《中華人民共和國增值電信業務經營許可證》（許可業務種類應包含互聯網資源協作服務）、《雲計算服務安全評估辦法》標準符合性證明材料、《金融行業網路安全等級保護測試指南》第四級標準符合性證明材料等的複印件。據《財經》記者了解，這幾項均屬於「底線要求」。

　　此外，《備案辦法（徵求意見稿）》亦從註冊資本實繳額、主要股東和實控人、風險補償機制等方面對雲服務提供商提出要求。

　　格局重塑

　　事實上，之所以對金融雲備案設定高門檻，監管有著現實考量。

　　據多家媒體報導，今年3月10日，歐洲雲計算巨頭OVH位於法國萊茵省首府斯特拉斯堡的數據中心發生嚴重火災。火災導致OVH多個數據中心無法服務，大量客戶網站癱瘓，部分客戶數據完全丟失且無法恢復。

　　不久前的7月18日，河南鄭州出現罕見持續強降雨，導致當地多區域斷電，部分雲服務商受到不同程度的影響。

　　「這就是《規範》對雲計算平台提出較高容災要求的原因，雖然難度大，但不能降低標準。」上述接近備案的知情人士透露，有頭部雲服務提供商就缺少異地災備，而他們的雲上面至少有百余家中小銀行，如果主機房當地網路出現問題，那就可能導致這些中小銀行的資金清算、轉賬等服務同時癱瘓。

　　另一方面，近年來金融雲市場暗潮洶湧，參與機構水平更是參差不齊。

　　一名銀行IT服務商高管接受《財經》記者採訪時表示，印象最深的是幾年前雲服務市場打「價格戰」，出現0元或1分錢中標的情況。雖然金融雲這塊沒有那麼誇張，但是競標的時候依然有對手會給出瞠目結舌的價格。「近一兩年基本不會再出現打『價格戰』的情況，一方面是市場逐步成熟和理性，另一方面也是因為沒有太大的單子，該建的都已經建好。」

　　「有城商行在找雲服務商合作的時候，選擇標準相當野蠻粗暴，就看哪家雲廠商能在它那兒存款，哪家雲廠商能幫它帶來流量。但現在監管趨嚴，可能導流就比較難。最後變成，哪家能幫它做一些互聯網化的營銷，雲服務就交給誰。」對此，某頭部互聯網公司金融雲業務相關負責人頗為無奈。

　　數據安全等問題亦不容忽視。

　　有銀行系金融科技公司業務人員告訴《財經》記者，在《備案辦法（徵求意見稿）》正式下發前，金融機構可能會把自己全量或部分系統部署在公有雲或其他行業雲上，與本地系統連接成混合雲部署，雲上系統本身的安全性和高可用性，以及雲平台本身的冗餘性完全依賴於雲平台運營方，缺乏數據安全的自主把控能力；對於雲平台運營商來說，則可能會將非金融機構的系統與強金融屬性的系統部署在同一物理資源池中，數據隔離和訪問控制的有效性待考量。

　　接近央行的知情人士向《財經》記者強調，金融雲屬於金融業的重要基礎設施，不是誰都能做，其對雲服務提供商的資金投入、運營經驗、技術能力、金融風險理解等多方面均有著很高的要求。「監管的初衷是通過備案這件事去規範行業發展，提高准入標準。」

　　事實上，海外金融監管機構也多次提醒雲計算服務可能帶來的風險。據路透社7月13日報導，英國央行表示，向金融業提供雲計算的供應商可能很「隱秘」，監管機構需要採取行動，避免銀行對少數外部公司的依賴成為對金融穩定的威脅。

　　更早些時候，英國央行金融政策委員會（FPC）表示，需要採取額外的政策措施來減輕雲計算的金融穩定風險。

　　若《備案辦法（徵求意見稿）》落地，金融雲市場格局將會發生怎樣的變化？

　　「在雲服務部署、合規要求等方式上，由於頭部互聯網公司的金融雲專區與《備案辦法（徵求意見稿）》所要求還是存在不小差異，這意味著他們如果要備案，將花不少力氣改造。不過一旦改造完成，備案成功，優勢將進一步擴大。」某頭部銀行IT服務商高管直言，另一方面，部分雲服務商可能需要綜合考慮，未來是加大投入滿足備案要求，還是去牽手頭部服務商共同備案，或者直接退出金融行業的雲業務。

　　另有頭部互聯網公司金融雲業務相關負責人認為，從《備案辦法（徵求意見稿）》的具體要求來看，門檻確實不低，就註冊資本實繳金等要求，小型金融雲服務廠商基本很難滿足。對於這類機構，面對金融團體雲這個市場，接下來可能就直接退出或倒下，要不就會被頭部雲服務提供商收購。

　　也有部分雲服務商表示，目前《備案辦法（徵求意見稿）》要求的主要是IaaS層面，那未來依然可從PaaS、SaaS層面與已進行備案的頭部雲服務廠商合作。也就是說，在PaaS、SaaS層面，市場依然可以百花齊放。

　　但正如前文所述，備案是否會擴至PaaS、SaaS層面，目前尚不明確。同時，每個雲服務商提供的服務或產品均不同，亦需具體問題具體分析。

　　市場同時關注，若部分雲服務提供商沒有通過備案，那其已經提供相應服務的金融機構或將面臨遷移等難題。

　　「一方面，遷移需要時間，比如A銀行要做遷移，那它就得做計劃、走審批，然後按流程逐步推進，這其中會涉及到數據安全等問題；另一方面，現在很多小銀行找我們上雲都是『組團』來上，因為這樣成本更低。但如果相應的服務未來只有少量的頭部雲服務商，上雲價格肯定不會低，這些小銀行是否能承受？」某銀行IT服務商內部合規負責人向《財經》記者表示，建議《備案辦法（徵求意見稿）》落地時，兼顧現實難題。

　　多家雲服務提供商直言，儘管可能困難重重，但待《備案辦法（徵求意見稿）》正式下發，肯定會努力去「沖一衝」。「畢竟，如果拿不到相應資質，未來可能連金融機構招投標時的門檻都達不到了。」

　　針對《備案辦法（徵求意見稿）》何時下發等問題，《財經》記者向中互金協會發送採訪提綱，截至發稿前，未進行正式回應。