截至 2026-07-14 12:35 UTC,英国首个关键第三方(Critical Third Party,CTP)监管制度已经运行。自 7 月 13 日起,Amazon Web Services EMEA SARL、Google Cloud EMEA Limited、Microsoft Ireland Operations Limited 和 Oracle Corporation UK Limited 向英国金融业提供的系统重要性服务,开始接受英格兰银行、审慎监管局和金融行为监管局的直接监督。[1][2][3]
这项表述包含两条容易被标题抹去的界线。指定仅落在四个具名法人实体上,并未覆盖使用这些品牌的每一家公司。监管范围也只涵盖中断后足以威胁英国金融体系信心或稳定的服务,并未延伸至这些服务商的全球业务全貌。[1][2]
实际变化依然重大。一次云服务故障可以同时波及多家银行、保险公司、支付机构或金融市场基础设施,而每个客户通常只能看到自己的合同与架构。新制度让三家监管机构能够直接进入共同服务商这一层:监管机构可以要求提供信息、审查韧性、测试严重情景,并在系统重要性服务缺乏安全管理时介入。金融机构对尽职调查、应急规划和恢复所负的责任仍归自身,不会转移给服务商或监管机构。[3][4]
图片背景:封面是 Vuk Valcic 为 Sopa Images 拍摄的真实照片,画面中一列码头区轻便铁路列车正驶过金丝雀码头。《卫报》在报道此次指定时采用了这张照片。它承担的是纪实功能:画面把报道放在伦敦金融区的现实环境中,分析则由文章完成,图像无意把云服务集中度化作街头可见的符号。[7]
哪些发生了变化,哪些仍然不变
| 记录 | 由此确立的事项 | 可信度与证据限度 |
|---|---|---|
| 7 月 8 日制定、7 月 13 日生效的法定文书 | 四个具名实体在全英国依法获指定为关键第三方。[2] | 高。文书只含两项条文,列明实体与生效时间,没有公布逐项服务清单。 |
| 英国财政部 7 月 10 日公告 | 监管仅覆盖向金融业提供的系统重要性服务;日后还可指定更多服务商;金融机构继续承担供应商风险责任。[1] | 对政府设定的范围而言,可信度高。这份公告不能证明任何服务商均可避免故障。 |
| 三家监管机构 7 月 10 日联合公告 | 英格兰银行、审慎监管局和金融行为监管局于 7 月 13 日启动联合监督,2024 年制定的规则在指定生效时立即适用。[3] | 对法律与监管状态而言,可信度高。早期监管成效尚未公开。 |
| 2024 年 11 月联合政策声明 | 制度包含风险、网络安全、映射、事件、测试、自我评估与执法等规则和工具。[4] | 对规则文本而言,可信度高。工具能发挥多大力度,取决于具体执行与真实事件。 |
| 2026 年 3 月金融行为监管局报告制度更新 | 2025 年向金融行为监管局报告的网络安全事件中,超过 40% 与第三方有关;范围更广的机构报告制度将于 2027 年 3 月启动。[6] | 对金融行为监管局披露的占比而言,可信度高。数据描述的是已报告事件,不能代表任何一家云服务商发生故障的概率。 |
从时间线看,这次指定远远超出新增一个标签的意义。英国议会在《2023 年金融服务与市场法》中设立了指定权与监督权。三家监管机构于 2024 年 11 月敲定共同政策,相关规则在 2025 年 1 月 1 日生效;直到财政部指定首批服务商,规则之下才有了具体监管对象。[3][4]
财政部的指定程序有意采用比一般供应商分类更窄的标准。程序从金融稳定测试出发,通常参考监管机构的建议,随后向服务商发出通知并给予其陈述意见的机会,最后制定法定文书。随着依赖关系变化,财政部日后可以新增指定或撤销已有指定。[2][5] 因此,这份 7 月文书的作用在于启动监督;采购背书、四家服务商排名以及其全部在售服务均具系统重要性的宣告,都不在文书效力之内。
一次中断,三层责任
理解这项制度,可以从三层同时运作的责任入手。
1. 服务商须说明共同基础设施如何运作
针对每项系统重要性第三方服务,规则覆盖治理、风险管理、依赖关系与供应链管理、技术和网络韧性、变更管理、映射、事件管理与终止安排。获指定的服务商须在指定后三个月内提交临时自我评估,此后每年提交一次评估。服务商还须测试严重但合理可信的中断情景,与有代表性的金融机构演练事件响应,分阶段报告运营事件,并向依赖受影响服务的客户通报情况。[4]
制度在可见性上的核心增量由此产生。一家银行知道自己的欺诈检测引擎使用某个云数据库,另一家银行知道移动应用依赖同一区域,一家市场基础设施机构则知道某个相连供应商依赖一项共同身份服务。服务商与监管机构更有条件识别这些表面分立的安排是否最终汇集到同一控制平面、更新流程、网络依赖或关键分包商。
规则没有要求向公众披露每一项敏感依赖关系,客户也不会因此取得服务商内部安全材料的无限制访问权。有效的监管结果,是以受监督且可比较的方式说明哪些系统重要性服务具有关键作用、可承受多长时间的中断、隐藏着哪些依赖,以及真实事件发生时服务商与客户的响应计划如何衔接。[4]
2. 监管机构可以在系统层面采取行动
指定生效前,监管机构可以向其已经监督的金融机构提出要求,并根据这些机构的报告还原共同风险敞口;这套专门制度当时尚不能直接作用于云服务企业。如今,监管机构就指定服务取得了规则制定、信息收集、调查、委任专业人员、发出指令和执法等权力。[4]
监管机构的职责仍不包括在中断期间亲自操作云恢复,也不包括替银行选择架构。负责维护金融稳定的同一组监管机构,如今可以审查共同节点、质询其测试假设,并在多家机构同时受影响时协调信息。独立报道已经说明其中与消费者直接相关的原因:数据存储、自动欺诈检测和数字银行业务都依赖云平台,远端服务故障的影响可以越过最初的数据中心,波及更广泛的金融机构。[7]
3. 金融机构继续承担面向客户的风险
监管机构公告中最重要的一句话,也最不引人注目:指定对金融机构现有义务起到“补充、但不取代”的作用。[3] CTP 标签不等于韧性证书。它无法证明某项具体服务符合一家机构的影响容忍度,无法证明多区域设计彼此独立,也无法证明备份可以恢复,或退出计划能够在客户遭受不可容忍的损害前奏效。
这种责任划分有其清晰逻辑。监管机构可以监督系统重要性服务商,但只有银行或保险公司了解哪项业务服务依赖哪个云组件、组件停止时会发生什么,以及哪条人工或替代路线可以维持支付、理赔、交易或客户访问。架构、合同保障、集中度决策、业务连续性与沟通责任仍由客户方承担。
金融行为监管局另行制定的报告规则,使两部分信息更容易衔接。自 2027 年 3 月 18 日起,适用范围内的机构须报告新增或发生重大变更的重要第三方安排,并每年提交一份登记册。金融行为监管局表示,这些数据将用于识别共同风险敞口和日后的潜在 CTP。[6] 金融机构应利用实施前的准备期,建立一份可供采购、韧性测试、事件报告和监管登记共同使用的依赖记录,避免留下四套互不兼容的清单。
接下来各方应采取哪些行动
未来 24 小时:受监管机构应将合同与账户逐一对应到获指定的确切法人实体,然后找出每项匹配背后的业务负责人、重要业务服务、云服务、区域、身份层、数据路径和事件联系人。仅按品牌检索会造成遗漏:集团内另一实体作为合同对手方时,该合同会落在四个具名实体之外;一项系统重要性服务也可以依赖关联实体或分包商,后两者在运营上依然重要。[2][4]
未来 7 天:风险、技术、采购和运营团队应开展一次桌面演练,假设某项指定服务同时在多家机构发生故障。演练范围应覆盖客户沟通、账目核对、人工变通方案、特权访问、服务商状态信息和决策权限;工程师能否提交支持工单只是其中一项,不能代表完整响应能力。机构还应对照合同及鉴证材料所记录的服务商假设,审视自身可容忍的最长中断时间。[3][4]
未来 30 天:金融机构应把 CTP 映射结果与金融行为监管局 2027 年重要第三方登记册的准备工作对齐。需要上报处理的缺口包括:没有具名负责人的服务、退出时仍依赖故障服务商的安排、共享同一身份或网络依赖的“多云”设计,以及事件信息送达过晚、无法满足机构自身报告时限的合同。[4][6]
指定本身不构成消费者更换服务商的理由。公众真正需要观察的是,银行和支付机构能否在中断期间维持或恢复重要服务,并说明正在发生的情况。CTP 制度属于上游基础设施监管,金融机构面向客户的服务与补救责任仍然保留。
此后的三条走向
基准情景——监管转化为严格的证据循环。四家服务商映射系统重要性服务,在三个月内提交临时自我评估,统一事件沟通渠道,并开始由监管机构主导的测试。金融机构运用这些信息,同时维持自身控制措施的力度。触发信号来自可见的实施进展:明确服务范围的通知、协同演练,以及客户真正能够使用的鉴证材料。[3][4]
上行情景——制度在下一次中断前揭示共同故障路径。联合演练发现双边供应商审查遗漏的共同身份、网络、更新或分包商依赖,服务商与金融机构随后消除瓶颈,或建立实际有效的恢复路线。触发信号是测试真正改变架构、响应次序或影响容忍度,最终成果没有停留在一份合规演示文稿上。
下行情景——指定带来虚假安全感。采购团队把 CTP 标签视为批准,金融机构保留未经测试的退出安排,重大事件随后暴露出多项所谓“独立”服务共享同一故障路径。触发信号包括:有证据显示机构削减了尽职调查、接受笼统的韧性说法,或在事件中发现服务商与客户的恢复假设互相冲突。[3][4]
行动清单
- 确认每份合同是否由四个获指定法人实体之一签署;认定法律交易对手时应以合同为准,品牌标识不能取代法人名称。[2]
- 标明哪些外部服务直接关系到重要业务服务,哪些只带来便利;监管按服务划定范围,覆盖面有限。[1][3]
- 指定生效后,继续维持由金融机构自行设定的影响容忍度、备份、变通方案、事件沟通和退出测试。[3][4]
- 将 CTP 依赖梳理接入 2027 年 3 月重要第三方报告项目,确保不同团队对同一项服务采用一致描述。[6]
- 持续查看财政部与监管机构页面,关注新增指定、撤销指定、服务范围指引和执法信号。[1][3][5]
- 把真实中断视为决定性检验:对照演练所用假设,衡量影响传播、客户损害、信息延迟和恢复表现。
若指定法规被暂停或发生重大修订、某家服务商的指定被撤销,或监管机构发布大幅收窄适用服务范围的指引,本文的核心解读就应随之修订。若直接监督服务商没有改善系统层面的可见性,同时金融机构又削弱自身控制,这套解读在实践中也会失效。当前证据支持两点同时成立:英国可以直接监督共同云节点,而每家受监管机构仍须对该节点失效后的结果负责。
来源
- 英国财政部,《英国金融体系引入针对主要技术服务商的新保障措施,体系韧性进一步增强》(2026 年 7 月 10 日)——首批指定、适用范围、滚动指定政策,以及金融机构继续承担的责任。
- 英国 2026 年第 777 号法定文书《2026 年关键第三方(指定)条例》——获指定实体的确切名称、法律测试、地域效力与 7 月 13 日生效日期。
- 英格兰银行、审慎监管局和金融行为监管局,《英国金融监管机构将开始监督英国财政部公布的关键第三方》(2026 年 7 月 10 日)——联合监督、规则立即适用、范围限制与金融机构责任划分。
- 英格兰银行、审慎监管局和金融行为监管局,《PS16/24——英国金融业关键第三方的运营韧性》(2024 年 11 月 12 日)——最终规则、服务映射、测试、自我评估、事件报告与监管权力。
- 英国财政部,《关键第三方——英国财政部的指定方法》(2024 年 3 月 21 日)——建议、通知、陈述、指定与撤销指定程序。
- 金融行为监管局,《金融行为监管局确认新的事件与第三方规则,以增强韧性》(2026 年 3 月 18 日)——2025 年事件数据、统一报告设计,以及面向金融机构的 2027 年 3 月实施日期。
- Kalyeena Makortoff 与 Dan Milmo,《卫报》,《英格兰银行获权监管包括 Amazon 与 Google 在内的关键科技公司》(2026 年 7 月 10 日)——独立事件报道、运营背景,以及 Vuk Valcic 金丝雀码头照片的来源页面。