成全在线观看免费完整的,成全影视大全免费追剧大全,成全视频高清免费播放电视剧好剧,成全在线观看免费完整,成全在线观看高清全集,成全动漫视频在线观看完整版动画

2016年，中國銀行業(yè)監(jiān)督管理委員會印發(fā)《中國銀行業(yè)信息科技“十三五”發(fā)展規(guī)劃監(jiān)管指導(dǎo)意見》，提出銀行業(yè)金融機構(gòu)要穩(wěn)步推進云計算應(yīng)用并主動實施架構(gòu)轉(zhuǎn)型。考慮到云計算技術(shù)的“資源共享”和“彈性調(diào)配”的天然優(yōu)勢，直至2018年，近九成金融機構(gòu)已經(jīng)或正計劃應(yīng)用云計算技術(shù)。[1]其中，中國銀聯(lián)的“|銀聯(lián)云”、工商銀行的“工銀星云”、招商證券的“混合云Azure”、眾安保險金融云、興業(yè)數(shù)金的“銀行云”、平安集團打造的平安云生態(tài)，以及其他提供云服務(wù)的新興企業(yè)不斷推動了金融行業(yè)的云計算服務(wù)應(yīng)用。

金融云服務(wù)，可以從兩個角度來理解：從金融機構(gòu)角度，可以理解為金融機構(gòu)應(yīng)用云計算技術(shù)提供更高效的金融服務(wù)；從云服務(wù)商角度，可以理解云服務(wù)商為面向金融行業(yè)客戶（保險、證券、基金、銀行、消費金融等）提供的云計算服務(wù)。與公有云相比，金融云具有特定的行業(yè)技術(shù)標準。一方面，金融云應(yīng)遵循云服務(wù)的基本規(guī)則；另一方面，金融云還需要符合金融行業(yè)的應(yīng)用標準。

2020年10月16日，中國人民銀行發(fā)布了《云計算技術(shù)金融應(yīng)用規(guī)范--技術(shù)架構(gòu)》（JR/T 0166—2020，下稱“《技術(shù)架構(gòu)》”）、《云計算技術(shù)金融應(yīng)用規(guī)范--安全技術(shù)要求》（JR/T 0167—2020，下稱“《安全技術(shù)要求》”）、《云計算技術(shù)金融應(yīng)用規(guī)范--容災(zāi)》（JR/T 0168—2020，下稱“《容災(zāi)》”）。[2]上述三項標準，結(jié)合《信息安全技術(shù)--云計算服務(wù)安全指南》（GB/T 31167-2014），共同構(gòu)成了金融云的標準體系。該金融云標準體系結(jié)合了金融云的的運行機制與風險特征，從基本能力、網(wǎng)絡(luò)安全、數(shù)據(jù)保護、運行環(huán)境安全、業(yè)務(wù)連續(xù)性保障等方面提出了有針對性的技術(shù)要求，確保金融云在安全性、穩(wěn)定性、適配性等方面滿足監(jiān)管要求和行業(yè)需求，防范因云服務(wù)缺陷引發(fā)的風險向金融領(lǐng)域傳導(dǎo)。

本文將對金融云服務(wù)的概念，準入標準，以及目前監(jiān)管系統(tǒng)是從何種角度規(guī)范金融云等問題進行探究和思考，以期進一步厘清金融云服務(wù)中的法律規(guī)制問題。

（一）云服務(wù)的概念與內(nèi)涵

2016年11月24日，工業(yè)和信息化部發(fā)布了“關(guān)于征集《關(guān)于規(guī)范云服務(wù)市場經(jīng)營行為的通知》意見的公告”，其中對云服務(wù)做了界定：本通知所稱云服務(wù)是指互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)（IDC）中的互聯(lián)網(wǎng)資源協(xié)作服務(wù)業(yè)務(wù)。該《通知》向社會征求意見的期限截至2016年12月24日，目前并未正式發(fā)布。

而根據(jù)工業(yè)和信息化部發(fā)布的《電信業(yè)務(wù)分類目錄（2015年版）》（2019年修訂版），與云服務(wù)相關(guān)的是B11類增值電信業(yè)務(wù)，即互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)（IDC），IDC業(yè)務(wù)在解釋“互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)”的同時，定義了“互聯(lián)網(wǎng)資源協(xié)作服務(wù)業(yè)務(wù)”。

據(jù)此，云服務(wù)是互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)的組成部分，一般特指“互聯(lián)網(wǎng)資源協(xié)作服務(wù)業(yè)務(wù)”，即：“利用架設(shè)在數(shù)據(jù)中心之上的設(shè)備和資源，通過互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)以隨時獲取、按需使用、隨時擴展、協(xié)作共享等方式，為用戶提供的數(shù)據(jù)存儲、互聯(lián)網(wǎng)應(yīng)用開發(fā)環(huán)境、互聯(lián)網(wǎng)應(yīng)用部署和運行管理等服務(wù)。”

云服務(wù)作為一種存儲與運算資源共享的互聯(lián)網(wǎng)服務(wù)模式，具有資源按需使用、泛在接入、資源池化、動態(tài)分配、靈活性強、系統(tǒng)可用性高等特點。

（二）金融云的概念與內(nèi)涵

對于金融云，我國尚未在法律層面明確其概念及法律內(nèi)涵。依據(jù)國家認證認可監(jiān)督管理委員會于2019年10月發(fā)布并實施《金融科技產(chǎn)品認證規(guī)則》，金融科技產(chǎn)品中含有一類為“云計算平臺”，其包括金融業(yè)各機構(gòu)自建、自用、自運行的私有云和供金融業(yè)各機構(gòu)共享使用的團體云。

結(jié)合《技術(shù)架構(gòu)》、《安全技術(shù)要求》及《容災(zāi)》三項金融行業(yè)標準對金融云服務(wù)應(yīng)用中的各類安全技術(shù)作了梳理和說明，以及《金融科技產(chǎn)品認證規(guī)則》的界定，金融云是結(jié)合金融合規(guī)與安全要求而發(fā)展起來的行業(yè)應(yīng)用，金融云的部署方式以私有云、團體云及上述兩者的混合云為主。

其中，金融私有云是指為某個金融機構(gòu)單獨使用而構(gòu)建的，可根據(jù)業(yè)務(wù)流程進行專屬化定制的，可部署在金融機構(gòu)系統(tǒng)數(shù)據(jù)中心的防火墻內(nèi)的一種云部署模式，其核心在于資源專屬，數(shù)據(jù)安全性高。而金融團體云，則指僅供金融機構(gòu)共享使用，承載金融業(yè)務(wù)系統(tǒng)的團體云。而其中團體云系由一組特定的云服務(wù)使用者使用和共享，且資源被云服務(wù)提供者或使用者控制的一種云部署模式，云服務(wù)者和使用者在監(jiān)管政策、安全要求等方面相同或高度相似。

對于金融云服務(wù)提供者而言，除了遵循云計算的一般規(guī)則外，還應(yīng)遵循人民銀行、銀保監(jiān)會、證監(jiān)會等金融監(jiān)管機構(gòu)對于金融科技與金融外包服務(wù)的相關(guān)規(guī)則。

正是由于金融云的特殊屬性，相較公有云及其他行業(yè)化的團體云，金融云在資質(zhì)與準入方面，除需要具備通用云服務(wù)的資質(zhì)條件外，還有其特殊的準入標準。

（一）通用的電信行業(yè)資質(zhì)

目前，根據(jù)《電信業(yè)務(wù)分類目錄（2015年版）》的規(guī)定，電信業(yè)務(wù)分為基礎(chǔ)電信業(yè)務(wù)和增值電信業(yè)務(wù)。“云計算”的服務(wù)所涉及的“云存儲”、“云計算”及其他相關(guān)服務(wù)主要歸屬于IDC服務(wù)及“互聯(lián)網(wǎng)資源協(xié)作服務(wù)”，皆屬于第一類增值電信業(yè)務(wù)，需向通信主管部門申領(lǐng)相應(yīng)的（B11）類增值電信業(yè)務(wù)許可證。

此外，根據(jù)《網(wǎng)絡(luò)安全法》第二十一條，網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。因此，云服務(wù)商提供的產(chǎn)品應(yīng)依據(jù)《網(wǎng)絡(luò)安全等級保護測評要求第2部分：云計算安全擴展要求》具備公安部信息系統(tǒng)等級保護相應(yīng)級別的認證資質(zhì)。

（二）金融行業(yè)的服務(wù)資質(zhì)

金融云所涉及的金融行業(yè)資質(zhì)問題，包含兩個視角，一個是云服務(wù)提供商的視角，一個是云服務(wù)接受者的視角。

1、云服務(wù)商的角度

根據(jù)《技術(shù)架構(gòu)》的要求，對于云服務(wù)提供商而言，其所受監(jiān)管應(yīng)不弱于金融機構(gòu)。按照這一要求，云服務(wù)商在采用的技術(shù)標準、安全標準和措施方面，應(yīng)符合人民銀行、銀保監(jiān)會、證監(jiān)會等監(jiān)管機構(gòu)對于金融機構(gòu)信息系統(tǒng)實施的安全標準。

值得關(guān)注的是，監(jiān)管機構(gòu)對于云服務(wù)的不同層次也設(shè)置了不同的監(jiān)管要求。針對應(yīng)用系統(tǒng)層級的云服務(wù)，《技術(shù)架構(gòu)》7.4.4專門規(guī)定：“云計算平臺提供SaaS時，應(yīng)滿足金融領(lǐng)域相應(yīng)類型的信息系統(tǒng)在服務(wù)外包、信息安全、業(yè)務(wù)流程等方面的監(jiān)管要求。”

因此，對于SaaS云服務(wù)商而言要求更為嚴格，除了網(wǎng)絡(luò)與信息系統(tǒng)的監(jiān)管要求外，還需要考慮金融監(jiān)管的要求。例如，銀監(jiān)會于2017年牽頭成立云服務(wù)公司---融聯(lián)易云金融信息服務(wù)（北京）有限公司[3]在經(jīng)營范圍中標示“金融信息服務(wù)”[4]，而根據(jù)《金融信息服務(wù)管理規(guī)定》第四條，金融信息服務(wù)提供者從事應(yīng)予以備案的金融業(yè)務(wù)應(yīng)當取得相應(yīng)資質(zhì)，并接受有關(guān)主管部門的監(jiān)督管理。

在SaaS技術(shù)語境下，云服務(wù)商可以直接接觸和處理金融機構(gòu)的業(yè)務(wù)、數(shù)據(jù)和用戶信息，做到了對應(yīng)用、數(shù)據(jù)、中間件、操作系統(tǒng)、虛擬化、服務(wù)器、儲存以及網(wǎng)絡(luò)全掌控，SaaS系統(tǒng)事實上成為了金融機構(gòu)具體業(yè)務(wù)的支撐。于是，SaaS云服務(wù)商事實上也成了承載特定金融業(yè)務(wù)的重要參與者，對于業(yè)務(wù)本身的合規(guī)性應(yīng)有相應(yīng)的注意義務(wù)。

2、云服務(wù)接受者的角度

按照技術(shù)架構(gòu)的定義，金融云服務(wù)的接受者，應(yīng)為金融機構(gòu)。但是對于金融機構(gòu)的定義，目前金融云標準體系未給予明確的范圍。

筆者認為，按照監(jiān)管標準等同的原則，金融機構(gòu)應(yīng)主要包括由人民銀行、銀保監(jiān)會、證監(jiān)會發(fā)放金融許可證的機構(gòu)。如銀行、保險、信托、證券公司、金融租賃、期貨、公募基金、基金子公司、基金銷售、非銀行支付機構(gòu)等。

但是，對于具有金融屬性，按照國家規(guī)定接受地方金融監(jiān)管部門監(jiān)管的機構(gòu)，如小額貸款公司、融資擔保公司、典當行、融資租賃公司、商業(yè)保理公司等，目前還存在一些爭議。由于監(jiān)管標準和體系的不同，此類機構(gòu)能否作為金融云的用戶，參照怎樣的技術(shù)安全標準，以及合規(guī)的要求幾何？這些問題亟需監(jiān)管機構(gòu)進一步予以明確。

（一）關(guān)于物理隔離

云計算的特征是計算資源利用的效率最大化，而且，通常認為公有云部署方式具有最大的系統(tǒng)優(yōu)化能力和資源配置能力。但是對于金融云而言，并不支持采用公有云架構(gòu)。

按照央行的標準，金融云應(yīng)主要采用私有云、團體云或上述兩種方式混合部署。也就是說，無論是在IaaS、PaaS、SaaS層面，所提供的云服務(wù)均應(yīng)在金融團體云或私有云部署下完成。對此，《安全技術(shù)要求》6.1（a）專門規(guī)定，“應(yīng)保證用于金融業(yè)的云計算數(shù)據(jù)中心運行環(huán)境與其他行業(yè)物理隔離。”物理隔離，即服務(wù)金融行業(yè)的云計算數(shù)據(jù)中心在基礎(chǔ)設(shè)施層面與其他行業(yè)進行隔離，對物理服務(wù)器、網(wǎng)絡(luò)接入設(shè)施等均實現(xiàn)了隔離。

物理隔離是信息系統(tǒng)及數(shù)據(jù)安全防護的最高等級防護措施，對于金融云提出這樣的高等級安全措施要求，是基于金融數(shù)據(jù)，特別是金融個人信息保護的需求，以及金融機構(gòu)業(yè)務(wù)正常開展的需要。金融業(yè)務(wù)具有虛擬性、在線化的特點，云上部署的系統(tǒng)一旦受到破壞導(dǎo)致系統(tǒng)無法正常運行或數(shù)據(jù)丟失，對于經(jīng)濟金融秩序、社會安定、國家安全都會帶來極大的危害。

（二）網(wǎng)絡(luò)及數(shù)據(jù)安全責任主體

原則上，云計算服務(wù)的安全責任邊界受限于云服務(wù)參與各方可以觸達的資源控制范圍。

根據(jù)《云計算安全參考架構(gòu)》（GB/T 35279-2017），列示的IaaS、PaaS和SaaS服務(wù)提供商及其服務(wù)客戶可以分別控制的資源范圍，云服務(wù)商主要安全責任是保障其部署在云平臺基礎(chǔ)設(shè)施之上的云計算環(huán)境的安全。而且，云服務(wù)商部署并控制的環(huán)境，根據(jù)其提供的服務(wù)類型，可能包括數(shù)據(jù)中心物理設(shè)施、網(wǎng)絡(luò)層、服務(wù)器/存儲、安全設(shè)備、虛擬化平臺，數(shù)據(jù)庫系統(tǒng)、中間件、應(yīng)用程序乃至數(shù)據(jù)。因此實踐中，云服務(wù)商所提供服務(wù)模式的不同，能夠觸達或控制、管理的范圍也會有所不同。從一般的歸責原則來看，有效控制范圍內(nèi)的設(shè)備、設(shè)施故障、漏洞，或者操作不當所導(dǎo)致的網(wǎng)絡(luò)安全與數(shù)據(jù)安全責任，由其實施控制的主體承擔責任。按照這一原則，云服務(wù)商與云服務(wù)的接受方需要根據(jù)實際情況劃分各自的責任。

同時，需要明確的是，雖然云服務(wù)商與金融機構(gòu)各自為系統(tǒng)安全與數(shù)據(jù)安全承擔相應(yīng)的責任，但由于金融機構(gòu)直接面對用戶，如果發(fā)生網(wǎng)絡(luò)安全及數(shù)據(jù)安全事故導(dǎo)致用戶損失，則金融機構(gòu)仍然是首要的責任方。

具體而言，關(guān)于金融機構(gòu)使用云服務(wù)過程中承擔的安全責任，《安全技術(shù)要求》明確：金融機構(gòu)是金融服務(wù)的最終提供者，其承擔的安全責任不應(yīng)因使用云服務(wù)而免除或減輕。因此，金融機構(gòu)所需承擔責任不僅限于金融行業(yè)準入機制下的行業(yè)責任，還應(yīng)該對業(yè)務(wù)“上云”承擔網(wǎng)絡(luò)安全等責任。金融機構(gòu)在對外承擔責任后，可以根據(jù)實際的責任分擔情況向云服務(wù)商追償。

（三）金融云服務(wù)中的“關(guān)鍵信息基礎(chǔ)設(shè)施”安全與容災(zāi)恢復(fù)

1、關(guān)鍵信息基礎(chǔ)設(shè)施的定義

根據(jù)《網(wǎng)絡(luò)安全法》第三十一條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施（Critical Information Infrastructure，下稱“CII”）是指“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。”對于CII更深層次的技術(shù)理解，可以參考2020年7月發(fā)布的《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法（征求意見稿）》中的定義，即“支撐關(guān)鍵業(yè)務(wù)持續(xù)、穩(wěn)定運行不可或缺的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)。在形態(tài)構(gòu)成上，可以是單個網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)，也可以是由多個網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)組成的集合。在本質(zhì)上，屬于關(guān)鍵業(yè)務(wù)的信息化部分，為關(guān)鍵業(yè)務(wù)提供信息化支撐。”

2、金融云服務(wù)商作為CII運營者的網(wǎng)絡(luò)安全與數(shù)據(jù)安全保護義務(wù)

按照《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意見稿）》第十八條的規(guī)定：下列單位運行、管理的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的，應(yīng)當納入關(guān)鍵信息基礎(chǔ)設(shè)施保護范圍：（一）政府機關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護、公用事業(yè)等行業(yè)領(lǐng)域的單位；（二）電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)，以及提供云計算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位。

對于金融云服務(wù)的提供者而言，相關(guān)信息系統(tǒng)同時具備金融、云計算、大數(shù)據(jù)的屬性，因而，雖然《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意見稿）》仍處于征求意見階段，但金融云所依賴的信息系統(tǒng)被納入關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)該是不會存在爭議的。

因此，《網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全審查辦法》（2020年6月），以及公安部于2020年7月發(fā)布的《貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導(dǎo)意見》，以及其他有關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施運營者的網(wǎng)絡(luò)安全與數(shù)據(jù)安全保護責任，對于金融云服務(wù)提供者同樣適用。金融云服務(wù)提供者主要的義務(wù)包括以下幾個方面：

（1）相關(guān)制度及操作規(guī)程的建立

從網(wǎng)絡(luò)安全及數(shù)據(jù)安全的角度看，金融云服務(wù)提供者應(yīng)按照相關(guān)法律、法規(guī)、監(jiān)管規(guī)則的要求，建立內(nèi)部的網(wǎng)絡(luò)安全與數(shù)據(jù)安全管理制度和操作規(guī)程，嚴格身份認證和權(quán)限管理。在人員管理和培訓(xùn)層面，《網(wǎng)絡(luò)安全法》規(guī)定應(yīng)設(shè)置專門網(wǎng)絡(luò)安全管理機構(gòu)和網(wǎng)絡(luò)安全管理負責人，并對該負責人和關(guān)鍵崗位人員進行安全背景審查，以及定期對從業(yè)人員進行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核，并制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案并定期進行演練。

需要關(guān)注的是，《安全技術(shù)要求》第11條明確提出了包括建立安全策略、管理制度、人員管理以及安全建設(shè)等在內(nèi)的管理要求，其中安全建設(shè)的方案在實施前還應(yīng)提交審批，即安全方案必須根據(jù)云計算平臺的需求選擇基本安全措施，方案應(yīng)論證其合理性和正確性，并在監(jiān)管單位批準后才能正式實施。

（2）履行有關(guān)產(chǎn)品及服務(wù)的安全審查申報義務(wù)

金融云服務(wù)提供者在采購相關(guān)網(wǎng)絡(luò)產(chǎn)品及服務(wù)時，應(yīng)依據(jù)2020年4月27日，國家網(wǎng)信辦、國家發(fā)改委、工信部、公安部、國家安全部等12個部門聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》，在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時評估其業(yè)務(wù)影響國家安全的可能性，并按照該辦法主動進行網(wǎng)絡(luò)安全申報，完成相關(guān)審查。

（3）數(shù)據(jù)存儲本地化的義務(wù)

《網(wǎng)絡(luò)安全法》第三十七條規(guī)定要求CII運營者在中國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當在境內(nèi)存儲。金融云服務(wù)提供者本身不直接收集用戶信息，但提供云服務(wù)過程中，又必然會涉及到個人信息或其他數(shù)據(jù)的收集和存儲問題。雖然直接收集個人信息和其他數(shù)據(jù)的主體是云服務(wù)的接受者，但數(shù)據(jù)通常會存儲在云服務(wù)器中。云服務(wù)提供者服務(wù)器中存儲的個人信息和重要數(shù)據(jù)，其數(shù)量通常非常巨大。因此，對于數(shù)據(jù)的境內(nèi)存儲要求更加嚴格。

（4）容災(zāi)備份義務(wù)

對于網(wǎng)絡(luò)安全的防控而言，容災(zāi)是也是非常重要的一環(huán)。《網(wǎng)絡(luò)安全法》第三十四條以及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意見稿）》第二十四條，都對CII的重要系統(tǒng)和數(shù)據(jù)庫提出了容災(zāi)備份的要求。

具體而言，金融云服務(wù)作為CII運營者可參考《信息安全技術(shù)--關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》第6.5條制定容災(zāi)備份策略，建設(shè)災(zāi)難備份中心并保證業(yè)務(wù)的連續(xù)性。同時《容災(zāi)》細化了金融云服務(wù)中的云服務(wù)商及應(yīng)用云計算的金融機構(gòu)的容災(zāi)能力。

（四）個人金融信息安全

在《關(guān)于增強個人信息保護意識依法開展業(yè)務(wù)的通知（2019）》、《個人金融信息（數(shù)據(jù)）保護試行辦法（2019年初稿）》、《中國人民銀行金融消費者權(quán)益保護實施辦法》（2016年）以及《銀行業(yè)金融機構(gòu)外包風險管理指引》（2010年）等規(guī)范和指引文件的基礎(chǔ)上，央行和全國金融標準化技術(shù)委員會于2020年2月13日發(fā)布了《個人金融信息保護技術(shù)規(guī)范》（JR/T 0171-2020，下稱“《規(guī)范》”）。雖然該規(guī)范文件是推薦性行業(yè)標準，但在實踐中，不排除會成為監(jiān)管機構(gòu)監(jiān)督檢查的重要參考依據(jù)。

《規(guī)范》將側(cè)重點放在了“個人金融信息”，對個人金融信息安全管理提出了包括安全準則、安全策略、訪問控制、安全監(jiān)測與風險評估、安全事件處置五個方面要求。

在金融云服務(wù)情景中，對于可能涉及到個人金融信息的情況，《規(guī)范》明確關(guān)注到的問題包括數(shù)據(jù)使用過程中的信息屏蔽，以及數(shù)據(jù)銷毀和清除。《規(guī)范》要求在通過信息屏蔽（或截詞）技術(shù)使信息本身的安全等級降級，實現(xiàn)對敏感信息展示的可靠保護，并使屏蔽的信息保留其原始個人金融信息格式和屬性，從而可以在云計算環(huán)境中安全地使用脫敏后的信息集。此外，《規(guī)范》要求云環(huán)境下有關(guān)數(shù)據(jù)清除應(yīng)依據(jù)《安全技術(shù)要求》第9.6條執(zhí)行，即基本做到云服務(wù)使用者鑒別信息的存儲空間在被釋放或再分配時被完全清除，以及對被更換或報廢的存儲介質(zhì)做到物理損壞防止數(shù)據(jù)被恢復(fù)。作為金融云還應(yīng)支持所有副本數(shù)據(jù)的清除。

因此，在金融云服務(wù)語境下，無論是使用云計算服務(wù)的金融機構(gòu)單位抑或是云服務(wù)提供者，在業(yè)務(wù)運營過程中都應(yīng)參考該規(guī)范并開展合規(guī)工作，在關(guān)注數(shù)據(jù)安全的基礎(chǔ)上，把握涉及個人金融信息處理的自查與合規(guī)管理。

在金融機構(gòu)與多種云計算服務(wù)結(jié)合模式中，采用云計算的金融機構(gòu)和云服務(wù)商應(yīng)當根據(jù)業(yè)務(wù)特點判斷行業(yè)準入標準和資質(zhì)審批。根據(jù)服務(wù)模式和控制邊界，把握權(quán)責邊界，關(guān)注最新云計算技術(shù)金融場景應(yīng)用的安全要求，例如物理隔離、關(guān)鍵信息基礎(chǔ)設(shè)施安全、采購審查、數(shù)據(jù)安全、運維管理、風險預(yù)警及容災(zāi)備份等。在個人信息保護層面，金融云還需重點關(guān)注《個人金融信息保護技術(shù)規(guī)范》實施動態(tài)，熟知監(jiān)管部門在個人金融信息安全方面的技術(shù)要求，從而規(guī)避法律風險。