新基建主题系列——金融机构建立数据中心的合规要点分析
作者:唐梦沅 盛于兰 穆耸
前言
由于高度敏感性,金融行业网络设施和信息系统等通常被世界各国视为关键基础设施,列入重点保护和规制对象。如美国1998年第63号总统令《对关键基础设施保护的政策》[1]中将金融与信息通信、电力、石油等共同列入重点国家基础设施。习近平总书记也明确指出:“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标”[2]。
随着科技水平的提高,欧美国家中大量金融机构开始建立云计算系统与互联网数据中心(例如,被誉为世界金融服务标准的高盛(Goldman Sachs)已经从基础的数据中心走向了云计算,其云计算已占公司目前在云框架中运行的工作量的85%左右[3]),但也由于金融数据电子化程度的不断提高,黑客攻击、数据泄露等情况也层出不穷[4]。对此,如何在拥抱科技革新的同时保障金融机构的系统性安全是各国金融机构均需要面对的问题。
就此,笔者认为,金融机构自建或租用数据中心已是科技发展的必然趋势,但金融机构在建立数据中心的过程中,除需要关注传统的投融资、土地获取、厂方与设施设备建设(就数据中心建设方面的问题,请关注新基建系列文章《IDC工程建设的“危”与“机”》)等方面的法律问题外,也应关注与金融机构业务特性相关的合规问题。在本文中,笔者拟对金融机构自建或租用数据中心所需关注的合规问题提出我们的意见。
一
数据中心如何赋能金融机构
需要指出的是,数据中心目前正面临更新换代的过程。在世界范围内,大量技术过时、能耗较大的老式数据中心已不能满足现今的发展需要,需要进行更新或关停。近十年来,我国在数据中心建设运营标准文件方面也做出了不小的改动(比如《数据中心设计规范》2017版较2008版在建设要求、安全性等方面做出了大量调整更新)。因此,本文所述数据中心主要讨论的是适用我国目前有效新标准要求的数据中心。
1. 面对日趋庞大的数据体量,各类金融机构建立数据中心已为必然趋势
金融机构管理的数据规模日益扩大,需要数据中心提供强大的存储及运维服务。根据网络公开信息,在境内,部分地方性银行5年左右影像数据可达近8PB,年增量在1.6PB左右[5]。在境外,以荷兰银行为例,其20个数据中心有大约7PB磁盘和超过20PB的磁带存储,而且每年50%~70%存储量的增长,根据笔者估算,这些数据可能会占用近20吨储存媒介。
我们可以预计,未来金融机构所掌握与管理的数据体量会越发庞大,由专业化的数据中心提供数据存储及运维服务将成为必然趋势。实践中,较多金融机构已着手建立现代化数据中心,例如国泰君安、中国建设银行、山西农信社[6]等早已开展数据中心建设,在监管部门方面,中国人民银行、证监会等也正在不断建立数据中心。
2. 专业IDC运营公司已可为金融机构提供多样化的服务与产品,且其数据中心原则上在设计建设、网络与管理等安全方面均可达到较高标准
就运维服务而言,专业IDC运营公司的服务内容涵盖了机柜租用或管理、宽带租用、内容分发网络、数据同步、云计算、网络安全等多维度的服务与产品内容,可满足金融机构在自建、租用数据中心的需求,并有助于业务使用及满足合规监管要求。
目前IDC行业的专业化程度已非常高,在国家层面已有较多法规政策与标准文件为数据中心的建设、运营提供指引。如《关于数据中心建设布局的指导意见》(工信部联通〔2013〕13号)、《数据中心基础设施运行维护标准》(GBT51314-2018)、《数据中心设计规范》(GB 50174-2017)、《互联网数据中心工程技术规范》(GB51195-2016)、《数据中心基础设施施工及验收规范》(GB50462-2015)、《互联网数据中心安全防护要求》(YDT 2584-2015)等规定与标准文件,为数据中心在选址、内外部设计与工艺、消防、防震、能耗、网络技术安全等方面提出标准化建设及运维要求[7]。
3. 国家鼓励包括现代化数据中心在内的新基建项目,数据中心建设可享受诸多利好政策
在宏观政策层面,2019年起,我国已将包括数据中心在内的新基建项目开发建设置于发展重点,2020年,国家发改委明确新基建内容包括“新一代信息技术演化生成的基础设施……以数据中心、智能计算中心为代表的算力基础设施等。”在实践中,大量数据中心项目主要使用工业用地开发建设,也存在部分项目的用地性质为一类物流仓储用地、邮电设施用地、行政办公用地等。
从各地政策来看,部分地区对数据中心项目建设提供了用地政策支持,比如《重庆市规划和自然资源局关于强化用地保障支持产业发展的意见》提出优先保障大数据中心等新型基础设施建设项目的用地供应,并规定产业用地可以采取长期租赁、先租后让、租让结合、弹性年期出让方式供应。此外,北京[8]、上海[9]、天津[10]等地区现有的多样化产业用地、工业用地供地模式(例如弹性年期、先租后让、租让结合等)也有利于数据中心建设。
部分地区也提供了其他优惠政策,以成都地区为例,政府提出对互联网数据中心等给予项目用地、市场拓展、投融资服务等支持,并在电价、带宽资费、通信资费方面给予优惠或补贴。
二
金融机构建立数据中心的合规要点分析
实践中,金融机构可以通过自建企业数据中心、租用第三方IDC运营公司的设备与服务器并由其提供服务(即本文中所称“租用数据中心”)等形式来建立数据中心。对此,《中国银监会办公厅关于加强非银行金融机构信息科技建设和管理的指导意见》(银监办发[2016]188号)也提及,规模较小的非银行金融机构可考虑采用租用、托管、共享数据中心的建设方式,具备能力的非银行金融机构可自建数据中心。
(一) 数据中心配置
1. 灾备中心配置
在《国务院关于加强金融监管防范金融风险工作情况的报告》中,国务院统一要求金融机构完善灾备中心布局,监管部门在具体规定中作出了一些具体要求,如:
根据《商业银行数据中心监管指引》(银监办发〔2010〕114号)等规定,商业银行数据中心应包括生产中心和灾备中心[11],并根据资产规模,灾备中心恢复能力应达到《信息安全技术信息系统灾难恢复规范》相应级别。并根据《中国银监会关于印发商业银行监管评级内部指引的通知》(银监发〔2014〕32号),灾备中心的信息覆盖率、建设要求等均需符合监管要求,并以其达标程度进行评级打分。
根据《保险公司董事及高级管理人员审计管理办法》(保监发〔2010〕78号),对于保险公司是否建立灾备中心及应急处理机制纳入信息技术高级管理人员的审计内容之一。
实践中,也已出现因违反灾备中心相关规定受到监管处罚的案例。[12]据此,基于金融机构监管要求,也为保证金融机构的安全稳定,金融机构应关注数据中心中同地或异地灾备中心的建立及相应制度合规。
2. 物理安全保护区域
根据《商业银行信息科技风险管理指引》(银监发〔2009〕19号),数据中心所在区域,银行应当设立物理安全保护区域,明确相应的职责,采取必要的预防、检测和恢复控制措施。并根据《中国银监会办公厅关于加强非银行金融机构信息科技建设和管理的指导意见》,数据中心与其他机构(包括出资人)共用或托管至外包服务商的,应确保重要信息科技设备与其他机构的有效隔离,明确物理安全区域,严格控制物理访问权限。
根据上述规定,金融机构数据中心应当设立物理安全保护区域,控制数据中心的物理访问权限,并在制度与协议约定上体现落实。
(二) 业务连续性要求
根据《商业银行业务连续性监管指引》(银监发〔2011〕104号)、《中国银监会办公厅关于加强非银行金融机构信息科技建设和管理的指导意见》等规定,金融机构应当建立业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。此外,金融机构还应当制定总体应急预案及重要业务专项应急预案,以应对运营中断事件,例如运营中断时间的预警、报告、分析、决策、处理、恢复等处置程序。
实践中,金融机构可能因为设备陈旧及风险管理措施不到位而遭受处罚,例如某银行由于数据中心网络先后两次中断,分别造成网点业务中断,因而被处罚20万元[13]。
据此,金融机构在自建或者租用第三方数据中心时,应当对业务连续性提起关注,制定相应的制度及应急处理方案,以免业务中断导致遭受行政处罚。
(三) 相关资质要求
1. 银行业金融机构异地非持牌机构
根据《中国银保监会关于规范银行业金融机构异地非持牌机构的指导意见》(银保监发〔2018〕71号)规定,对于银行业金融机构在异地设立的区域审批中心、灾备中心、软件开发中心等非经营性机构,应当根据规定向监管机构履行报告义务,并满足相关地域、管理监管要求。
2. 增值电信业务经营许可证/跨地区增值电信业务经营许可证(涉及互联网数据中心)
根据《电信业务分类目录(2015年版)》,“互联网数据中心业务”属于增值电信业务分类中的第B11项,因此IDC运营公司应当持有增值电信业务经营许可证(IDC业务),如业务范围涉及云计算,其取得的IDC业务许可证中应当明确标示包括互联网资源协作服务业务。实践中,并非所有的第三方IDC运营公司均持有自建的数据中心,以IDC行业内的租赁经营模式为例(产权公司进行投建,运营公司向产权公司租赁数据中心对外提供数据中心服务)。此种模式下,根据《新版<电信业务分类目录>典型增值业务调整说明》,产权公司与运营公司均需取得相应IDC业务许可,否则项目及相关主体可能会面临行政处罚,甚至停业整顿等情况。
并需关注,金融机构一般需设置多地数据中心,如金融机构租用数据中心的,根据《电信条例》规定,IDC运营商经营增值电信业务覆盖范围在两个以上省、自治区、直辖市的,应当经过国务院信息产业主管部门审查批准,取得《跨地区增值电信业务经营许可证》。对于该等资质要求,金融机构需谨慎核实。
3. 其他资质证书
根据《银行业金融机构信息科技外包风险监管指引》(银监发〔2013〕5号),金融机构的重点外包服务机构,包括承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务方,应当具有并通过业界公认较为权威的信息安全管理、业务连续性管理资质认证、质量管理资质认证、运行服务管理资质认证。
(四) 外包合规要求
《银行业金融机构信息科技外包风险监管指引》规定银行业金融机构应将信息科技外包(包括数据中心、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包等)管理纳入全面风险管理体系,并对外包风险评估与准入、尽职调查、合同约定、监控评价等做出了详细的要求。并需关注,规定明确“不得将信息科技管理责任外包”,即合规管理责任理论上无法通过外包方式予以转移。
此外,根据《商业银行信息科技风险管理指引》、《保险公司信息系统安全管理指引(试行)》(保监发〔2011〕68号),金融机构实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。
因此,对于银行业金融机构而言,其租用第三方数据中心、设施、网络或仅由其提供运维服务等,均应被纳入《银行业金融机构信息科技外包风险监管指引》规制范围,需对外包机构开展尽职调查,进行严谨的风险评估、采取管控措施并履行报告程序。
(五) 数据与反洗钱合规要求
1. 数据与个人信息合规制度
根据《银行业金融机构数据治理指引》(银保监发〔2018〕22号),银行业金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私。
另根据《网络安全法》、《个人金融信息保护技术规范》(JR/T 0171—2020)的规定,金融机构、网络运营者应确保收集的个人信息安全,建立健全用户信息保护制度,防止信息泄露、毁损、丢失。如根据《个人金融信息保护技术规范》,在使用公共网络传输时需对C2、C3类信息进行加密传输,采用有效措施保证数据传输可靠性,并应关注该类数据的保密与委托处理限制。
对于金融机构而言,由于一般需满足多地多中心的配置要求,且相关数据可能需通过公共网络进行传输,因此更需从制度层面对数据保护、个人信息安全提起关注,包括建立安全策略与标准、信息合规制度以满足监管部门对信息保护提出的相关要求。
2. 反洗钱信息保密要求
根据《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》(中国人民银行、中国银行业监督管理委员会、中国证券监督管理委员会、中国保险监督管理委员会令(2007)第2号),金融机构应按照安全、准确、完整、保密的原则,妥善保存客户身份资料和交易记录,确保能足以重现每项交易,以提供识别客户身份、监测分析交易情况、调查可疑交易活动和查处洗钱案件所需的信息。在保存方式上,根据《法人金融机构洗钱和恐怖融资风险管理指引(试行)》(银反洗发〔2018〕19号)等法规要求,金融机构应采取必要管理措施和技术措施,防止客户身份资料和交易记录的缺失、损毁,防止泄漏客户身份信息和交易信息。
根据《反洗钱法》(主席令第五十六号)、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》等规定,违反数据保存、信息保密、个人隐私保护等要求的,金融机构可能被监管部门处罚,相关董监高及责任人员亦可能同时被处罚,并已有处罚先例[14]。因此,金融机构数据中心应当对防止反洗钱信息泄露额外提起关注,在第三方提供服务时,更应妥善划分与IDC运营公司、其他服务企业间权责。
3. 反洗钱监管合规
根据《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》的要求,金融机构对于客户身份资料和交易记录的保存应需便于反洗钱调查和监督管理,不得违反规定设置信息壁垒,阻止或影响反洗钱部门正常获取开展反洗钱工作所必需的信息和数据,并应按照规定将客户身份信息和交易记录迅速、便捷、准确地提供给监管机构、执法机构等部门。《银行业金融机构反洗钱现场检査数据接口规范(试行)》(银发〔2017〕300号)对于金融机构面对现场检查的数据接口格式也作出了要求。
理论上讲,更高级别的数据中心与机房[15]有利于金融机构内部准确、迅速调取信息并应对监管检查。但具体到每个金融机构,由于其数据体量、数据中心位置、数据调取频次不同,其对数据中心网络设备、带宽、运维服务的要求(比如是否需要进行服务器托管、系统运维与网安服务)也不同。
总而言之,金融机构应以保障安全并能兼备满足监管要求作为基础定制数据中心,如数据中心系统不能满足监管要求的,可能面临处罚风险[16]。
(六) 国家安全合规要求
1. 数据跨境流动风险
大多数情况下,各国政府基于对国家安全的考量,对于数据信息的跨境流通均持限制性态度,金融领域更是如此。对于我国而言,大量的反洗钱、金融监管规定要求金融机构未经我国政府允许不得擅自对外提供数据信息。根据《反洗钱法》、《法人金融机构洗钱和恐怖融资风险管理指引(试行)》、《网络安全法》(主席令第五十三号)等规定,如我国金融机构留存的数据信息拟进行跨境流动的,需严格按照要求进行,对于境外政府部门的信息提供要求也不得擅自配合提供。
尤其需要关注的是,《网络安全法》明确将金融领域列入涉及关键信息基础设施的领域,并明确关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当进行安全评估。违反该等规定的,严重者可以处以吊销相关业务许可证或者吊销营业执照。
因此,金融机构应注意到,是否可能因自身或第三方原因(比如因IDC运营公司原因)导致存储于数据中心的数据产生跨境流动的风险,并应在相关协议中对于该等风险处理进行约定。
2. 网络安全审查问题
根据最新出台的《网络安全审查办法》(国家互联网信息办公室公告第6号),关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。虽然目前法规层面对于关键信息基础设施运营者暂无明确定义,但结合美国法规实践[17]及我国的行业观点,金融机构很可能会被列入关键信息基础设施运营者,从而未来金融机构采购数据中心服务以及与数据中心相关的设备需接受网络安全审查。此外,IDC运营公司基于业务原因,可能需进一步采购第三方服务(如网络产品、网络安全设备、软件等)并向金融机构提供该等产品与服务,而该等采购可能也需面临网络安全审查,金融机构应当谨慎处理。
总 结:
我们理解,金融机构理应抓住国家鼓励数据中心建设的时机,利用优惠政策与窗口期优势,以最小的成本完成从传统机房到新型数据中心的蜕变,同时需关注日趋完备的监管规定对金融机构的安保、数据、反洗钱、网络安全等提出的更高合规要求。
[注]
[1] Presidential Decision Directives 63,President Clinton.
[2] “《网络安全法》促进国家关键信息基础设施安全保护新发展”,中华人民共和国网信办,http://www.cac.gov.cn/2016-11/10/c_1119889958.htm
[3] “How Goldman Sachs and Bank of America use the cloud and containers”,https://www.networkworld.com/article/3013474/how-goldman-sachs-and-bank-of-america-use-the-cloud-and-containers.html.
[4] 根据中国信息通信研究院、平安金融安全研究院和普华永道联合发布的《2018-2019年度金融科技安全分析报告》的,针对客户资料及企业重要业务数据的安全时间成为发生频率最高的安全事件类别,合计高达44%的比例,其中造成客户资料泄露约为22%,企业敏感性信息泄露约为22%,DDoS攻击占比约21%, 有害程序攻击,如网络勒索、病毒、蠕虫占到20%的比例。
[5] “想请教一下有没有全国银行业影像的数据,大概在多少pb级别?每年的增长率大概多少?”,https://www.zhihu.com/question/346063565(笔者注:相关数据非官方数据,可能不准确,仅做参考用)。
[6] “华为助山西最大金融机构打造强健数据中心”http://www.enet.com.cn/article/2015/0715/A20150715483222.shtml。
[7] 例如,在管理安全方面,《互联网数据中心安全防护要求》对数据储存、使用、销毁等均作出了要求。其中,第2级防护(共5级)要求数据中心应有介质存取、验证、转存、销毁管理制度,确保备份数据授权访问。且应当具备相应服务器设备的灾难备份及恢复的管理制度。此外,数据中心应有灾难恢复预案的教育和培训,至少每半年一次;灾难恢复预案的演练,至少每年一次。
[8] 如《中共北京市委、北京市人民政府关于进一步提升民营经济活力促进民营经济高质量发展的实施意见》中明确对产业用地的供地方式、成本等提出支持与鼓励政策。
[9]《关于印发<关于本市推进产业用地高质量利用的实施细则>的通知》(沪规土资地〔2018〕687号)中对工业用地转型、存量土地盘活提出了建议。
[10]《天津市人民政府办公厅关于进一步做好稳就业工作的实施意见》(津政办规〔2020〕7号)对工业用地的供地方式、成本等提出支持与鼓励政策。
[11] 实践中“两地三中心”(即金融机构在同城设立生产中心和灾备中心,并同时增加异地灾备中心)模式能够最大化防止地质灾害等意外事件对数据造成损害。
[12] 豫银监罚决字〔2018〕50号。
[13] 青银监罚决字〔2016〕1号。
[14] 西银罚字〔2018〕第1号。
[15] 例如《数据中心设计规范》中规定A级数据中心的核心网络设备应采用容错系统并应具备可拓展性。《互联网数据中心工程技术规范》下R3级别IDC机房的核心路由器需与同一运营商2个不同的省级骨干网核心会接节点链接或者与2个不同的运营商骨干节点链接,且接连带款根据业务需求不宜小于2*10Gbps。
[16] 如《非银行支付机构反洗钱现场检查数据接口规范(试行)》中明确规定不能及时提供资料或不符合接口规范要求的将“依法予以处理”。
[17] “关键信息基础设施,保!”,左晓栋,http://www.cac.gov.cn/2015-11/04/c_1117015673.htm。
新基建主题系列阅读
点击下列文章标题可查看原文
1. 《新基建主题系列——关注特高压及新能源项目的用地法律风险》
2. 《新基建主题系列——IDC行业有关运营和架构的法律考量》
3. 《“新基建”风口下投资新能源汽车充电桩项目的法律问题》
4. 《新基建主题系列——智能家居出海的八个数据保护关键词》
6. 《新基建主题系列——数字金融的应用、监管及合规思考》
7. 《新基建主题系列——人工智能之间达成“垄断协议”?算法合谋的反垄断法律风险分析》
8. 《新基建主题系列——人工智能技术开发中的知识产权法律风险》
12. 《新基建主题系列——IDC工程建设的“危”与“机”(上)》
The End
作者简介
唐梦沅 律师
北京办公室 房地产和基础设施部
盛于兰
北京办公室 房地产和基础设施部
穆耸 律师
北京办公室 合伙人
业务领域:房地产, 公司/外商直接投资, 诉讼仲裁
作者往期文章推荐:
《新规解读 | 美国联邦金融机构检查委员会<反洗钱检查指导手>合规指南》
《存量土地开发新路径——深圳市土地整备利益统筹项目初探(下)》
《存量土地开发新路径——深圳市土地整备利益统筹项目初探(上)》
《浅谈经营性用地非公开竞价出让方式——以轨道交通场站周边土地为例》
《建设用地指标那些事儿 | 增减挂钩及废弃工矿用地复垦制度》
《刍议非银行机构反洗钱和反恐怖融资内控制度建立的必要性及可行性》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。