浙江融信收購恒生集團(tuán)的事情,讓一直以來只知道悶聲發(fā)財(cái)?shù)慕鹑贗T服務(wù)商的圈子炸開了鍋。作為一個在行業(yè)里面待了三四年的軟件架構(gòu)設(shè)計(jì)師,確實(shí)從來沒看到任何一家公司能夠像恒生電子一樣被關(guān)注和討論。而這一切都因浙江融信是馬云控股的公司。
那些看好或者唱衰的觀點(diǎn)我不好做評論,但這場討論中關(guān)于數(shù)據(jù)安全的討論實(shí)在讓人哭笑不得。比如有觀點(diǎn)認(rèn)為,借助恒生電子,馬云未來就可以直接“竊取”銀行交易、清算、運(yùn)營和客戶等數(shù)據(jù),“抄掉銀行后路”。
我可以很負(fù)責(zé)地說,說出這種觀點(diǎn)的肯定是門外漢。一個金融IT系統(tǒng)服務(wù)商就想抄整個金融行業(yè)的后門,這也太小看金融業(yè)的內(nèi)控水平了。
1、別小看銀行的內(nèi)控
毫不夸張地說,金融行業(yè)具備強(qiáng)大的安全保障能力,是具備最高安全級別的行業(yè)之一。特別是大型銀行一般自身的IT開發(fā)力量都很強(qiáng),比如工商銀行的IT隊(duì)伍估計(jì)在6000人到1萬人左右,自己的開發(fā)和技術(shù)能力就比恒生電子也毫不遜色。
從技術(shù)角度分析,IT服務(wù)商要竊取客戶數(shù)據(jù)信息完全不可能。如果把金融機(jī)構(gòu)的IT系統(tǒng)比作保險(xiǎn)箱,IT服務(wù)商就是生產(chǎn)保險(xiǎn)箱的,而數(shù)據(jù)是放在保險(xiǎn)箱里的珠寶。金融機(jī)構(gòu)為這個保險(xiǎn)箱設(shè)了密碼,然后把它放在一個密室里。不知道密室地址、沒有密碼的IT服務(wù)商,怎么可能拿到保險(xiǎn)箱里的珠寶?
根據(jù)國家和行業(yè)的要求,金融行業(yè)的相關(guān)機(jī)構(gòu)都要建立完備的信息系統(tǒng)使用和管理制度,只有獲得授權(quán)的用戶才可能接觸和使用IT系統(tǒng)。金融IT系統(tǒng)一般分為測試環(huán)境和生產(chǎn)環(huán)境。測試環(huán)境是IT服務(wù)商和金融機(jī)構(gòu)用來進(jìn)行各項(xiàng)臨時功能測試,其中的數(shù)據(jù)都是模擬的、非真實(shí)的數(shù)據(jù)。而生產(chǎn)環(huán)境才是金融機(jī)構(gòu)系統(tǒng)實(shí)際的運(yùn)行環(huán)境。
同樣是根據(jù)國家和行業(yè)的要求,測試環(huán)境和生產(chǎn)環(huán)境必須物理性地完全隔離,這就杜絕了測試環(huán)境和生產(chǎn)環(huán)境交叉訪問的可能。并且,即使是IT服務(wù)商使用和訪問測試環(huán)境,往往也需要獲得客戶的授權(quán)并全程接受客戶的監(jiān)督,所以IT服務(wù)商根本不可能通過測試環(huán)境獲取客戶真實(shí)數(shù)據(jù)。
想通過生產(chǎn)環(huán)境獲得數(shù)據(jù)就更不可能了。金融機(jī)構(gòu)IT系統(tǒng)的生產(chǎn)環(huán)境必須采用內(nèi)外網(wǎng)隔離、多重身份認(rèn)證、多層網(wǎng)絡(luò)防攻擊、系統(tǒng)訪問監(jiān)控等措施。任何人要獲得生產(chǎn)環(huán)境上的信息,都必須經(jīng)過層層授權(quán),并且任何操作都會留痕。而金融機(jī)構(gòu)一般不允許IT服務(wù)商的工作人員直接操作生產(chǎn)環(huán)境,也不允許其攜帶任何存儲介質(zhì)進(jìn)入客戶生產(chǎn)環(huán)境。換言之,系統(tǒng)數(shù)據(jù)的管理和監(jiān)控完全由金融機(jī)構(gòu)自己掌握,IT服務(wù)商根本沒有機(jī)會獲取。
如果客戶仍舊對IT服務(wù)商存有警惕,它還可以提出更高的技術(shù)標(biāo)準(zhǔn)和要求,比如客戶可以對IT服務(wù)商為自己開發(fā)的系統(tǒng)的代碼提出嚴(yán)格的獨(dú)占性需求。當(dāng)然,這種獨(dú)占需求的價(jià)格也會很高,比一般需求的價(jià)格大約能高出4、5倍。
從監(jiān)管角度來說,目前行業(yè)內(nèi)大部分的金融IT服務(wù)商,在技術(shù)管理上都要通過ISO9001(質(zhì)量保證體系)、ISO20000(IT服務(wù)管理體系標(biāo)準(zhǔn))、ISO27001(信息安全管理體系)、CMMI4(軟件能力成熟度模型)等權(quán)威資質(zhì)認(rèn)證。通過這些認(rèn)證意味著,這家公司向客戶提供的是符合國家、行業(yè)等各項(xiàng)技術(shù)標(biāo)準(zhǔn)、安全標(biāo)準(zhǔn)的合格產(chǎn)品,恒生電子也不例外。
2、巨大的法律風(fēng)險(xiǎn)
之所以說IT服務(wù)商不敢竊取客戶的數(shù)據(jù),第二點(diǎn)就是嚴(yán)格的法律約束??蛻魯?shù)據(jù)、技術(shù)信息、營業(yè)信息都是客戶商業(yè)秘密的范疇,竊取就是犯罪,《合同法》、《反不正當(dāng)競爭法》、《刑法》里面都有相應(yīng)的規(guī)定,這就不多說了。
IT服務(wù)商面臨的法律約束還遠(yuǎn)遠(yuǎn)不止這些。證監(jiān)會、銀監(jiān)會、證券業(yè)協(xié)會、期貨業(yè)協(xié)會等監(jiān)管機(jī)構(gòu)或行業(yè)協(xié)會還制定了《證券期貨業(yè)信息安全保障管理辦法》、《網(wǎng)上基金銷售信息系統(tǒng)技術(shù)指引》、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等規(guī)范性文件或行業(yè)規(guī)定,也都要求證券公司、基金公司、期貨公司、商業(yè)銀行等在與軟件開發(fā)供應(yīng)商簽訂信息系統(tǒng)開發(fā)協(xié)議時,必須在協(xié)議中明確約定信息安全和保密條款。
上述規(guī)范性文件的主要目的,就是為了確保商業(yè)銀行、證券、基金和期貨公司的客戶數(shù)據(jù)、交易資料等商業(yè)秘密不被泄露。而在實(shí)際操作中,IT服務(wù)商在與客戶簽訂的所有協(xié)議中也確實(shí)都會明確約定有保密條款,或者簽署保密協(xié)議。一旦IT服務(wù)商違反該保密義務(wù),就要根據(jù)協(xié)議承擔(dān)相應(yīng)的違約責(zé)任。
因此,不論是法律法規(guī),抑或是交易雙方簽訂的協(xié)議合同,都會對IT服務(wù)商保守客戶商業(yè)秘密作出明確的要求。IT服務(wù)商竊取不到、也不敢竊取、泄露客戶的商業(yè)秘密。如果哪家IT服務(wù)商鋌而走險(xiǎn),那公司的負(fù)責(zé)人就可能面臨牢獄之災(zāi)。
3、恒生的股東除了馬云同樣有金融機(jī)構(gòu)
浙江融信由馬云控制,因此有人擔(dān)心恒生電子未來可能會將客戶的商業(yè)信息泄露給阿里巴巴。有這種想法的估計(jì)都是純互聯(lián)網(wǎng)行業(yè)的,對金融IT行業(yè)的情況不夠了解。
看看恒生電子的股東情況:前10大股東中,有7只基金,6家基金公司,其中一個華商基金就一共持有8.49%的股權(quán)。6家基金公司一共持股量達(dá)到20.95%。而馬云的浙江融信只收購了恒生電子大約20.62%的股權(quán),恒生實(shí)在沒有理由為了阿里而得罪其他股東。
再者,金融IT系統(tǒng)開發(fā)的市場,主要的公司就那么幾家。任何一家IT服務(wù)商都要同時為多家金融機(jī)構(gòu)客戶服務(wù),比如金蝶、用友。如果IT服務(wù)商真的能拿到數(shù)據(jù)或者泄露數(shù)據(jù),在過去十多年中早就已經(jīng)出現(xiàn)了,不會因?yàn)檫@一交易才出現(xiàn)。舉例來說,華商基金持有恒生電子8.49%的股份,是恒生電子的第二大股東,那以前恒生電子是否也會把其他基金公司的信息泄露給華商基金?