深度丨中国加强银行IT监管

　深度丨中国加强银行 IT 监管

　2014 年 9 月 3 日，中国银监会与国家发改委、工信部及科技部共同下发了《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(银监发[2014]39 号文，下称“39 号文”)。作为落实 39 号文的实施细则，银监会办公厅随后又于 2014 年 12 月 26 日，与工信部办公厅共同印发了《银行业应用安全可控信息技术推进指南(2014-2015 年度)》(银监办发[2014]317 号文，下称“317 号文”)。39 号文和 317 号文(以下合称“银监会新规”)旨在加强我国银行业乃至金融行业的信息安全，并为银行设定了一系列相关任务和指标，从而也引发了各银行业金融机构对银监会新规的广泛关注。

　银监会新规的适用范围

　从 317 号文的规定来看，此次银监会新规适用于中华人民共和国境内依法设立的银行业金融机构。

　值得注意的是，目前市场上对外资银行(尤其是外国银行在华分行)是否适用银监会新规仍然存在不同观点。尽管银监会主要被下发至外资法人银行，我们认为从目前的规定来看，无论是外资法人银行还是外国银行分行，均应落入“在中国依法设立的银行业金融机构”的范畴，因此也均应遵守银监会新规。当然，相关解释口径仍有待银监会的进一步澄清。

　何为“安全可控信息技术”

　317 号文将“安全可控信息技术”宽泛地定义为“能够满足银行业信息安全需求，且技术风险、外包风险和供应链风险可控的信息技术”。然而需要注意的是，317 号文的附件将信息技术产品和服务(包括各类设备、软件和技术服务)分为了十个大类和六十多个小类，每一类产品或服务均规定有对应的

　“安全可控要求”。这也就是说，一项信息技术产品只有符合了其在 317 号文附件中对应的“安全可控要求”，才能被视为一项“安全可控信息技术”。

　以下“安全可控要求”尤其值得关注:  国内技术研发与服务中心 – 附件要求大部分产品或服务的技术提供方在中国境内拥有技术研发与服务中心。

　 自主知识产权 – 附件要求部分信息技术产品拥有我国公民、企业法人或非法人机构具有独立支配权或相对控制权的自主知识产权。

　 源代码备案 – 附件要求部分信息技术产品的源代码必须交银监会信科部备案。

　 供应链风险可控 – 附件对大部分信息技术产品均要求供应链风险可控，这可能意味着技术提供方的本土化程度有较高要求。

　主要合规要求

　银监会新规对银行的主要合规要求包括：

　 对安全可控信息技术的应用比例 – 39 号文要求从 2015 年起，各银行业金融机构对安全可控信息技术的应用以不低于 15％的比例逐年增加，直至 2019 年达到不低于 75％的总体占比。317 号文附件针对对每一类信息技术产品或服务，进一步规定了详细的 2014-2015 年度安全可控信息技术应用比例要求。

　 制订并报送安全可控信息技术推进计划 – 各银行业金融机构应制订其应用安全可控信息技术推进小组、牵头部门和专题小组(如有)的组成及职责、涵盖安全可控信息技术推进工作的战略计划(或其修订草案)、总体规划和年度工作计划，并于 2015 年 3 月 15 日前将上述材料按照属地原则报送银监会或其派出机构。

　 研究预算 – 各银行业金融机构应安排不低于 5％的年度信息化预算，专门用于支持本机构围绕安全可控信息系统开展前瞻性、创新性和规划性研究，支持本机构掌握信息化核心知识和技能。

　 信息系统架构和灾备方案 – 银行业金融机构应向开放、弹性的信息系统总体架构转型，2015 年应至少完成一个开放弹性架构原型，完成至少一个信息系统的迁移，并至少实现一种基于安全可控信息技术的数据级(或应用级)灾备方案。

　 银监会年度评估 – 银监会将按年度对银行业金童机构安全可控能力成熟度和相关企业支持、保障银行业开展安全可控信息技术应用工作进行评价。

　银监会新规对银行业金融机构的影响

　对银行业金融机构而言，银监会新规的发布带来了诸多新问题和新挑战，我们认为以下事项尤其值得各银行业金融机构留意:  总体策略 – 针对银监会新规，在采取具体的相关应对措施前，银行应首先深入了解银监会新规的内容，评估其可能产生的影响，在此基础上制定出相应的短期和长期总体策略。

　 对供应商和服务商的尽职调查 – 银行需对现有及将来可能采用的信息科技产品供应商和服务提供商进行尽职调查，以了解其是否符合银行业新规的要求。银行可考虑采用设计一套调查表，并要求相关信息科技产品供应商和服务提供商填写调查表的方式进行尽职调查。

　 终止现有供应或服务合同 – 如果银行现有的相关供应商或服务商不能满足银监会新规的要求，或者相关供应商或服务商由于银监会新规的颁布而决定放弃中国市场，银行将需要考虑终止现有的供应或服务合同。银行需谨慎处理现有供应或服务合同的终止事宜，避免银行因此而承担任何责任或招致索赔。

　 保障业务连续性 – 如果银行决定采用符合银监会新规要求的供应商或服务商，以替换现有的供应商或服务商，则银行应重视管理从旧供应商/服务商到新供应商/服务商的过渡事宜，采取必要措施以确保银行的业务连续性不受影响。

　 在供应或服务合同中加入相关条款 – 在签订新的供应或服务合同时，银行需要更加谨慎。我们建议银行要求其供应商或服务商在相关合同中明确承诺：其会遵守银监会不时提出的“安全可控要求”；就银行的相关合规要求向银行提供必要的配合及协助；且其会在其不能满足银监会相关要求时第一时间告知银行。

　 内部制度 – 除了向银监会递交银监会要求的相关安全可控信息技术推进计划，银行应同时确保其在相关内部制度(例如其业务连续性方案及灾备方案)中，也相应反映了银监会新规的要求。

　 本土信息技术产品的兼容性问题 – 尽管银监会新规并未明文要求银行必须选用境内本土的供应商和服务商，但银监会新规在某些方面反映了对境内供应商和服务商的倾向性。这也就意味着银行未来可能将更多地使用境内本土的供应商和服务商。因此，银行(尤其是外资银行)在技术层面上需要确保其使用的境内信息技术产品及服务能与其境外信息系统实现兼容和对接。

　 关注法规变化 – 317 号文仅仅是 2014-2015 年度对银行业金融机构推进安全可控信息技术工作的指南。也就是说，银监会将会每年对相关的“安全可控要求”进行更新调整。我们建议各银行业金融机构紧密关注相关的法规变化和监管动态。

　如您对此法律观察所涉事宜有任何疑问，或就任何特别事项需要进一步的阐述，请随时联系以下律师。我们将十分乐于与您讨论，并提供进一步的意见。