浙江融信收購恒生集團的事情，讓一直以來只知道悶聲發財的金融IT服務商的圈子炸開了鍋。作為一個在行業里面待了三四年的軟件架構設計師，確實從來沒看到任何一家公司能夠像恒生電子一樣被關注和討論。而這一切都因浙江融信是馬云控股的公司。

那些看好或者唱衰的觀點我不好做評論，但這場討論中關于數據安全的討論實在讓人哭笑不得。比如有觀點認為，借助恒生電子，馬云未來就可以直接“竊取”銀行交易、清算、運營和客戶等數據，“抄掉銀行后路”。

我可以很負責地說，說出這種觀點的肯定是門外漢。一個金融IT系統服務商就想抄整個金融行業的后門，這也太小看金融業的內控水平了。

1、別小看銀行的內控

毫不夸張地說，金融行業具備強大的安全保障能力，是具備最高安全級別的行業之一。特別是大型銀行一般自身的IT開發力量都很強，比如工商銀行的IT隊伍估計在6000人到1萬人左右，自己的開發和技術能力就比恒生電子也毫不遜色。

從技術角度分析，IT服務商要竊取客戶數據信息完全不可能。如果把金融機構的IT系統比作保險箱，IT服務商就是生產保險箱的，而數據是放在保險箱里的珠寶。金融機構為這個保險箱設了密碼，然后把它放在一個密室里。不知道密室地址、沒有密碼的IT服務商，怎么可能拿到保險箱里的珠寶？

根據國家和行業的要求，金融行業的相關機構都要建立完備的信息系統使用和管理制度，只有獲得授權的用戶才可能接觸和使用IT系統。金融IT系統一般分為測試環境和生產環境。測試環境是IT服務商和金融機構用來進行各項臨時功能測試，其中的數據都是模擬的、非真實的數據。而生產環境才是金融機構系統實際的運行環境。

同樣是根據國家和行業的要求，測試環境和生產環境必須物理性地完全隔離，這就杜絕了測試環境和生產環境交叉訪問的可能。并且，即使是IT服務商使用和訪問測試環境，往往也需要獲得客戶的授權并全程接受客戶的監督，所以IT服務商根本不可能通過測試環境獲取客戶真實數據。

想通過生產環境獲得數據就更不可能了。金融機構IT系統的生產環境必須采用內外網隔離、多重身份認證、多層網絡防攻擊、系統訪問監控等措施。任何人要獲得生產環境上的信息，都必須經過層層授權，并且任何操作都會留痕。而金融機構一般不允許IT服務商的工作人員直接操作生產環境，也不允許其攜帶任何存儲介質進入客戶生產環境。換言之，系統數據的管理和監控完全由金融機構自己掌握，IT服務商根本沒有機會獲取。

如果客戶仍舊對IT服務商存有警惕，它還可以提出更高的技術標準和要求，比如客戶可以對IT服務商為自己開發的系統的代碼提出嚴格的獨占性需求。當然，這種獨占需求的價格也會很高，比一般需求的價格大約能高出4、5倍。

從監管角度來說，目前行業內大部分的金融IT服務商，在技術管理上都要通過ISO9001(質量保證體系)、ISO20000(IT服務管理體系標準)、ISO27001(信息安全管理體系)、CMMI4(軟件能力成熟度模型)等權威資質認證。通過這些認證意味著，這家公司向客戶提供的是符合國家、行業等各項技術標準、安全標準的合格產品，恒生電子也不例外。

2、巨大的法律風險

之所以說IT服務商不敢竊取客戶的數據，第二點就是嚴格的法律約束。客戶數據、技術信息、營業信息都是客戶商業秘密的范疇，竊取就是犯罪，《合同法》、《反不正當競爭法》、《刑法》里面都有相應的規定，這就不多說了。

IT服務商面臨的法律約束還遠遠不止這些。證監會、銀監會、證券業協會、期貨業協會等監管機構或行業協會還制定了《證券期貨業信息安全保障管理辦法》、《網上基金銷售信息系統技術指引》、《商業銀行信息科技風險管理指引》等規范性文件或行業規定，也都要求證券公司、基金公司、期貨公司、商業銀行等在與軟件開發供應商簽訂信息系統開發協議時，必須在協議中明確約定信息安全和保密條款。

上述規范性文件的主要目的，就是為了確保商業銀行、證券、基金和期貨公司的客戶數據、交易資料等商業秘密不被泄露。而在實際操作中，IT服務商在與客戶簽訂的所有協議中也確實都會明確約定有保密條款，或者簽署保密協議。一旦IT服務商違反該保密義務，就要根據協議承擔相應的違約責任。

因此，不論是法律法規，抑或是交易雙方簽訂的協議合同，都會對IT服務商保守客戶商業秘密作出明確的要求。IT服務商竊取不到、也不敢竊取、泄露客戶的商業秘密。如果哪家IT服務商鋌而走險，那公司的負責人就可能面臨牢獄之災。

3、恒生的股東除了馬云同樣有金融機構

浙江融信由馬云控制，因此有人擔心恒生電子未來可能會將客戶的商業信息泄露給阿里巴巴。有這種想法的估計都是純互聯網行業的，對金融IT行業的情況不夠了解。

看看恒生電子的股東情況：前10大股東中，有7只基金，6家基金公司，其中一個華商基金就一共持有8.49%的股權。6家基金公司一共持股量達到20.95%。而馬云的浙江融信只收購了恒生電子大約20.62%的股權，恒生實在沒有理由為了阿里而得罪其他股東。

再者，金融IT系統開發的市場，主要的公司就那么幾家。任何一家IT服務商都要同時為多家金融機構客戶服務，比如金蝶、用友。如果IT服務商真的能拿到數據或者泄露數據，在過去十多年中早就已經出現了，不會因為這一交易才出現。舉例來說，華商基金持有恒生電子8.49%的股份，是恒生電子的第二大股東，那以前恒生電子是否也會把其他基金公司的信息泄露給華商基金？