2016年，中国银行业监督管理委员会印发《中国银行业信息科技“十三五”发展规划监管指导意见》，提出银行业金融机构要稳步推进云计算应用并主动实施架构转型。考虑到云计算技术的“资源共享”和“弹性调配”的天然优势，直至2018年，近九成金融机构已经或正计划应用云计算技术。[1]其中，中国银联的“|银联云”、工商银行的“工银星云”、招商证券的“混合云Azure”、众安保险金融云、兴业数金的“银行云”、平安集团打造的平安云生态，以及其他提供云服务的新兴企业不断推动了金融行业的云计算服务应用。

金融云服务，可以从两个角度来理解：从金融机构角度，可以理解为金融机构应用云计算技术提供更高效的金融服务；从云服务商角度，可以理解云服务商为面向金融行业客户（保险、证券、基金、银行、消费金融等）提供的云计算服务。与公有云相比，金融云具有特定的行业技术标准。一方面，金融云应遵循云服务的基本规则；另一方面，金融云还需要符合金融行业的应用标准。

2020年10月16日，中国人民银行发布了《云计算技术金融应用规范--技术架构》（JR/T 0166—2020，下称“《技术架构》”）、《云计算技术金融应用规范--安全技术要求》（JR/T 0167—2020，下称“《安全技术要求》”）、《云计算技术金融应用规范--容灾》（JR/T 0168—2020，下称“《容灾》”）。[2]上述三项标准，结合《信息安全技术--云计算服务安全指南》（GB/T 31167-2014），共同构成了金融云的标准体系。该金融云标准体系结合了金融云的的运行机制与风险特征，从基本能力、网络安全、数据保护、运行环境安全、业务连续性保障等方面提出了有针对性的技术要求，确保金融云在安全性、稳定性、适配性等方面满足监管要求和行业需求，防范因云服务缺陷引发的风险向金融领域传导。

本文将对金融云服务的概念，准入标准，以及目前监管系统是从何种角度规范金融云等问题进行探究和思考，以期进一步厘清金融云服务中的法律规制问题。

（一）云服务的概念与内涵

2016年11月24日，工业和信息化部发布了“关于征集《关于规范云服务市场经营行为的通知》意见的公告”，其中对云服务做了界定：本通知所称云服务是指互联网数据中心业务（IDC）中的互联网资源协作服务业务。该《通知》向社会征求意见的期限截至2016年12月24日，目前并未正式发布。

而根据工业和信息化部发布的《电信业务分类目录（2015年版）》（2019年修订版），与云服务相关的是B11类增值电信业务，即互联网数据中心业务（IDC），IDC业务在解释“互联网数据中心业务”的同时，定义了“互联网资源协作服务业务”。

据此，云服务是互联网数据中心业务的组成部分，一般特指“互联网资源协作服务业务”，即：“利用架设在数据中心之上的设备和资源，通过互联网或其他网络以随时获取、按需使用、随时扩展、协作共享等方式，为用户提供的数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务。”

云服务作为一种存储与运算资源共享的互联网服务模式，具有资源按需使用、泛在接入、资源池化、动态分配、灵活性强、系统可用性高等特点。

（二）金融云的概念与内涵

对于金融云，我国尚未在法律层面明确其概念及法律内涵。依据国家认证认可监督管理委员会于2019年10月发布并实施《金融科技产品认证规则》，金融科技产品中含有一类为“云计算平台”，其包括金融业各机构自建、自用、自运行的私有云和供金融业各机构共享使用的团体云。

结合《技术架构》、《安全技术要求》及《容灾》三项金融行业标准对金融云服务应用中的各类安全技术作了梳理和说明，以及《金融科技产品认证规则》的界定，金融云是结合金融合规与安全要求而发展起来的行业应用，金融云的部署方式以私有云、团体云及上述两者的混合云为主。

其中，金融私有云是指为某个金融机构单独使用而构建的，可根据业务流程进行专属化定制的，可部署在金融机构系统数据中心的防火墙内的一种云部署模式，其核心在于资源专属，数据安全性高。而金融团体云，则指仅供金融机构共享使用，承载金融业务系统的团体云。而其中团体云系由一组特定的云服务使用者使用和共享，且资源被云服务提供者或使用者控制的一种云部署模式，云服务者和使用者在监管政策、安全要求等方面相同或高度相似。

对于金融云服务提供者而言，除了遵循云计算的一般规则外，还应遵循人民银行、银保监会、证监会等金融监管机构对于金融科技与金融外包服务的相关规则。

正是由于金融云的特殊属性，相较公有云及其他行业化的团体云，金融云在资质与准入方面，除需要具备通用云服务的资质条件外，还有其特殊的准入标准。

（一）通用的电信行业资质

目前，根据《电信业务分类目录（2015年版）》的规定，电信业务分为基础电信业务和增值电信业务。“云计算”的服务所涉及的“云存储”、“云计算”及其他相关服务主要归属于IDC服务及“互联网资源协作服务”，皆属于第一类增值电信业务，需向通信主管部门申领相应的（B11）类增值电信业务许可证。

此外，根据《网络安全法》第二十一条，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。因此，云服务商提供的产品应依据《网络安全等级保护测评要求第2部分：云计算安全扩展要求》具备公安部信息系统等级保护相应级别的认证资质。

（二）金融行业的服务资质

金融云所涉及的金融行业资质问题，包含两个视角，一个是云服务提供商的视角，一个是云服务接受者的视角。

1、云服务商的角度

根据《技术架构》的要求，对于云服务提供商而言，其所受监管应不弱于金融机构。按照这一要求，云服务商在采用的技术标准、安全标准和措施方面，应符合人民银行、银保监会、证监会等监管机构对于金融机构信息系统实施的安全标准。

值得关注的是，监管机构对于云服务的不同层次也设置了不同的监管要求。针对应用系统层级的云服务，《技术架构》7.4.4专门规定：“云计算平台提供SaaS时，应满足金融领域相应类型的信息系统在服务外包、信息安全、业务流程等方面的监管要求。”

因此，对于SaaS云服务商而言要求更为严格，除了网络与信息系统的监管要求外，还需要考虑金融监管的要求。例如，银监会于2017年牵头成立云服务公司---融联易云金融信息服务（北京）有限公司[3]在经营范围中标示“金融信息服务”[4]，而根据《金融信息服务管理规定》第四条，金融信息服务提供者从事应予以备案的金融业务应当取得相应资质，并接受有关主管部门的监督管理。

在SaaS技术语境下，云服务商可以直接接触和处理金融机构的业务、数据和用户信息，做到了对应用、数据、中间件、操作系统、虚拟化、服务器、储存以及网络全掌控，SaaS系统事实上成为了金融机构具体业务的支撑。于是，SaaS云服务商事实上也成了承载特定金融业务的重要参与者，对于业务本身的合规性应有相应的注意义务。

2、云服务接受者的角度

按照技术架构的定义，金融云服务的接受者，应为金融机构。但是对于金融机构的定义，目前金融云标准体系未给予明确的范围。

笔者认为，按照监管标准等同的原则，金融机构应主要包括由人民银行、银保监会、证监会发放金融许可证的机构。如银行、保险、信托、证券公司、金融租赁、期货、公募基金、基金子公司、基金销售、非银行支付机构等。

但是，对于具有金融属性，按照国家规定接受地方金融监管部门监管的机构，如小额贷款公司、融资担保公司、典当行、融资租赁公司、商业保理公司等，目前还存在一些争议。由于监管标准和体系的不同，此类机构能否作为金融云的用户，参照怎样的技术安全标准，以及合规的要求几何？这些问题亟需监管机构进一步予以明确。

（一）关于物理隔离

云计算的特征是计算资源利用的效率最大化，而且，通常认为公有云部署方式具有最大的系统优化能力和资源配置能力。但是对于金融云而言，并不支持采用公有云架构。

按照央行的标准，金融云应主要采用私有云、团体云或上述两种方式混合部署。也就是说，无论是在IaaS、PaaS、SaaS层面，所提供的云服务均应在金融团体云或私有云部署下完成。对此，《安全技术要求》6.1（a）专门规定，“应保证用于金融业的云计算数据中心运行环境与其他行业物理隔离。”物理隔离，即服务金融行业的云计算数据中心在基础设施层面与其他行业进行隔离，对物理服务器、网络接入设施等均实现了隔离。

物理隔离是信息系统及数据安全防护的最高等级防护措施，对于金融云提出这样的高等级安全措施要求，是基于金融数据，特别是金融个人信息保护的需求，以及金融机构业务正常开展的需要。金融业务具有虚拟性、在线化的特点，云上部署的系统一旦受到破坏导致系统无法正常运行或数据丢失，对于经济金融秩序、社会安定、国家安全都会带来极大的危害。

（二）网络及数据安全责任主体

原则上，云计算服务的安全责任边界受限于云服务参与各方可以触达的资源控制范围。

根据《云计算安全参考架构》（GB/T 35279-2017），列示的IaaS、PaaS和SaaS服务提供商及其服务客户可以分别控制的资源范围，云服务商主要安全责任是保障其部署在云平台基础设施之上的云计算环境的安全。而且，云服务商部署并控制的环境，根据其提供的服务类型，可能包括数据中心物理设施、网络层、服务器/存储、安全设备、虚拟化平台，数据库系统、中间件、应用程序乃至数据。因此实践中，云服务商所提供服务模式的不同，能够触达或控制、管理的范围也会有所不同。从一般的归责原则来看，有效控制范围内的设备、设施故障、漏洞，或者操作不当所导致的网络安全与数据安全责任，由其实施控制的主体承担责任。按照这一原则，云服务商与云服务的接受方需要根据实际情况划分各自的责任。

同时，需要明确的是，虽然云服务商与金融机构各自为系统安全与数据安全承担相应的责任，但由于金融机构直接面对用户，如果发生网络安全及数据安全事故导致用户损失，则金融机构仍然是首要的责任方。

具体而言，关于金融机构使用云服务过程中承担的安全责任，《安全技术要求》明确：金融机构是金融服务的最终提供者，其承担的安全责任不应因使用云服务而免除或减轻。因此，金融机构所需承担责任不仅限于金融行业准入机制下的行业责任，还应该对业务“上云”承担网络安全等责任。金融机构在对外承担责任后，可以根据实际的责任分担情况向云服务商追偿。

（三）金融云服务中的“关键信息基础设施”安全与容灾恢复

1、关键信息基础设施的定义

根据《网络安全法》第三十一条规定，关键信息基础设施（Critical Information Infrastructure，下称“CII”）是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。”对于CII更深层次的技术理解，可以参考2020年7月发布的《信息安全技术 关键信息基础设施边界确定方法（征求意见稿）》中的定义，即“支撑关键业务持续、稳定运行不可或缺的网络设施、信息系统。在形态构成上，可以是单个网络设施、信息系统，也可以是由多个网络设施、信息系统组成的集合。在本质上，属于关键业务的信息化部分，为关键业务提供信息化支撑。”

2、金融云服务商作为CII运营者的网络安全与数据安全保护义务

按照《关键信息基础设施安全保护条例（征求意见稿）》第十八条的规定：下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：（一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；（二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位。

对于金融云服务的提供者而言，相关信息系统同时具备金融、云计算、大数据的属性，因而，虽然《关键信息基础设施安全保护条例（征求意见稿）》仍处于征求意见阶段，但金融云所依赖的信息系统被纳入关键信息基础设施应该是不会存在争议的。

因此，《网络安全法》、《网络安全审查办法》（2020年6月），以及公安部于2020年7月发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》，以及其他有关关键信息基础设施运营者的网络安全与数据安全保护责任，对于金融云服务提供者同样适用。金融云服务提供者主要的义务包括以下几个方面：

（1）相关制度及操作规程的建立

从网络安全及数据安全的角度看，金融云服务提供者应按照相关法律、法规、监管规则的要求，建立内部的网络安全与数据安全管理制度和操作规程，严格身份认证和权限管理。在人员管理和培训层面，《网络安全法》规定应设置专门网络安全管理机构和网络安全管理负责人，并对该负责人和关键岗位人员进行安全背景审查，以及定期对从业人员进行网络安全教育、技术培训和技能考核，并制定网络安全事件应急预案并定期进行演练。

需要关注的是，《安全技术要求》第11条明确提出了包括建立安全策略、管理制度、人员管理以及安全建设等在内的管理要求，其中安全建设的方案在实施前还应提交审批，即安全方案必须根据云计算平台的需求选择基本安全措施，方案应论证其合理性和正确性，并在监管单位批准后才能正式实施。

（2）履行有关产品及服务的安全审查申报义务

金融云服务提供者在采购相关网络产品及服务时，应依据2020年4月27日，国家网信办、国家发改委、工信部、公安部、国家安全部等12个部门联合发布了《网络安全审查办法》，在采购网络产品和服务时评估其业务影响国家安全的可能性，并按照该办法主动进行网络安全申报，完成相关审查。

（3）数据存储本地化的义务

《网络安全法》第三十七条规定要求CII运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。金融云服务提供者本身不直接收集用户信息，但提供云服务过程中，又必然会涉及到个人信息或其他数据的收集和存储问题。虽然直接收集个人信息和其他数据的主体是云服务的接受者，但数据通常会存储在云服务器中。云服务提供者服务器中存储的个人信息和重要数据，其数量通常非常巨大。因此，对于数据的境内存储要求更加严格。

（4）容灾备份义务

对于网络安全的防控而言，容灾是也是非常重要的一环。《网络安全法》第三十四条以及《关键信息基础设施安全保护条例（征求意见稿）》第二十四条，都对CII的重要系统和数据库提出了容灾备份的要求。

具体而言，金融云服务作为CII运营者可参考《信息安全技术--关键信息基础设施安全控制措施》第6.5条制定容灾备份策略，建设灾难备份中心并保证业务的连续性。同时《容灾》细化了金融云服务中的云服务商及应用云计算的金融机构的容灾能力。

（四）个人金融信息安全

在《关于增强个人信息保护意识依法开展业务的通知（2019）》、《个人金融信息（数据）保护试行办法（2019年初稿）》、《中国人民银行金融消费者权益保护实施办法》（2016年）以及《银行业金融机构外包风险管理指引》（2010年）等规范和指引文件的基础上，央行和全国金融标准化技术委员会于2020年2月13日发布了《个人金融信息保护技术规范》（JR/T 0171-2020，下称“《规范》”）。虽然该规范文件是推荐性行业标准，但在实践中，不排除会成为监管机构监督检查的重要参考依据。

《规范》将侧重点放在了“个人金融信息”，对个人金融信息安全管理提出了包括安全准则、安全策略、访问控制、安全监测与风险评估、安全事件处置五个方面要求。

在金融云服务情景中，对于可能涉及到个人金融信息的情况，《规范》明确关注到的问题包括数据使用过程中的信息屏蔽，以及数据销毁和清除。《规范》要求在通过信息屏蔽（或截词）技术使信息本身的安全等级降级，实现对敏感信息展示的可靠保护，并使屏蔽的信息保留其原始个人金融信息格式和属性，从而可以在云计算环境中安全地使用脱敏后的信息集。此外，《规范》要求云环境下有关数据清除应依据《安全技术要求》第9.6条执行，即基本做到云服务使用者鉴别信息的存储空间在被释放或再分配时被完全清除，以及对被更换或报废的存储介质做到物理损坏防止数据被恢复。作为金融云还应支持所有副本数据的清除。

因此，在金融云服务语境下，无论是使用云计算服务的金融机构单位抑或是云服务提供者，在业务运营过程中都应参考该规范并开展合规工作，在关注数据安全的基础上，把握涉及个人金融信息处理的自查与合规管理。

在金融机构与多种云计算服务结合模式中，采用云计算的金融机构和云服务商应当根据业务特点判断行业准入标准和资质审批。根据服务模式和控制边界，把握权责边界，关注最新云计算技术金融场景应用的安全要求，例如物理隔离、关键信息基础设施安全、采购审查、数据安全、运维管理、风险预警及容灾备份等。在个人信息保护层面，金融云还需重点关注《个人金融信息保护技术规范》实施动态，熟知监管部门在个人金融信息安全方面的技术要求，从而规避法律风险。