英国央行把AWS、Azure和Google Cloud纳入直接监管

2026.07.10 23:42
英国央行自2026年7月13日起,将Amazon(AWS)、Google(Google Cloud)、Microsoft(Azure)和Oracle四家云服务商纳入金融监管体系,金融企业须主动证明云中断时的运营韧性,而非依赖合同索赔。这标志着云计算从外包选择正式变为受监管的金融基础设施,集中度风险成为永久性监管课题。

2026年7月13日,一个看似普通的周一,四家美国科技公司在英国的法律身份被永久改写。Amazon Web Services、Google Cloud、Microsoft Azure和Oracle不再只是金融企业的“IT供应商”。它们成了英国金融体系中的“关键第三方”,直接置于英国央行、审慎监管局和金融行为监管局的联合监管之下。

这不是一次监管升级。这是云计算从“外包选择”变成“金融基础设施”的法律确认。

四家云巨头同时被“点名”

2026年7月10日,英国财政部正式宣布,依据《2023年金融服务与市场法案》建立的“关键第三方”制度,指定四家云服务商为第一批受监管实体:Amazon Web Services EMEA SARL、Google Cloud EMEA Limited、Microsoft Ireland Operations Ltd 和 Oracle Corporation UK Limited。监管自7月13日起生效。

这是英国首次将非金融机构纳入金融监管体系。

英国财政部的理由简洁而直接:早在2020年,超过65%的英国金融机构就已经依赖同一四家云提供商的基础设施服务。其中任何一家出现故障,都可能同时冲击多家银行、保险公司和市场基础设施,最终影响数百万消费者和企业。

英国央行在配套政策声明中强调,监管范围仅限于这些公司向金融部门提供的“关键服务”的韧性。不是要管理整个云行业,而是要让这个行业对依赖它的金融体系变得“透明可读”。

同一时间,欧盟也在落子。2025年11月18日,欧盟依据《数字运营韧性法案》(DORA)指定了19家关键ICT第三方服务商,Google Cloud EMEA Limited和Microsoft Ireland Operations Limited均在名单之列。2026年1月12日,英国与欧盟的监管机构正式签署合作备忘录,建立了信息交换与协调监管框架。全球两大金融市场的监管框架正在同步成型。

从合同到监管:谁承担证明责任?

旧模式下,金融企业购买云服务,签署SLA。合同里写好了可用性承诺。如果AWS宕机了,银行可以找AWS索赔,但银行自己必须证明“我已经尽力了”。

新模式下,责任倒置了。金融企业必须主动证明:在云服务中断的情况下,它们能继续运营。银行的风险团队和董事会必须回答:当某个区域或服务层失效时,哪些业务还能跑?连续性计划需要多长时间才能恢复关键功能?

这把运营韧性从后台技术问题变成了董事会层面的治理问题。英国央行说得很清楚:一个普通供应商的失败不会威胁市场,但一个关键第三方的失败会。

65%的“巧合”:路径依赖如何锁死选择

超过65%的英国金融机构使用同一四家云服务商。这个2020年的数据到今天只增不减。这不是巧合,而是超大规模云计算的底层商业逻辑决定的。

AWS、Azure和Google Cloud的共同特征是:它们通过规模优势不断降低单位成本。越多的工作负载迁移到同一平台,平台就能越充分地分摊固定成本、改进工具链、加深与企业系统的集成。这种飞轮效应让切换变得更加困难。不是技术上的不可能,而是经济上的不划算。

结果是,金融行业对云的依赖在持续累积,而切换成本在同步上升。英国财政部在2023年的咨询文件中就已经指出,这种“路径依赖”意味着集中度风险不会自动消失。

两线作战:英欧监管的竞合博弈

英国和欧盟几乎同时构建了针对云巨头的监管框架,但路径不同。

欧盟的DORA指定了19家CTPP,覆盖范围更广。从云服务商到核心银行软件商(FIS、SAP)、支付处理商、网络安全公司,甚至包括电信运营商(德国电信、Orange)。英国的CTP制度则更聚焦,首批仅4家云服务商,针对的是“如果该服务中断,金融体系无法在合理时间内替代”的极端依赖场景。

2026年1月12日签署的英欧监管合作备忘录表明,双方都意识到监管套利和跨境协调的重要性。一家在伦敦和法兰克福同时运营的云服务商,现在需要面对两套监管体系。虽然目标一致,但要求细节可能不同。对金融企业而言,这意味着合规成本的叠加。

监管的“意外后果”:护城河变深?

一个反直觉的推论是:监管可能反而巩固了这四家巨头的地位。

一旦被指定为CTP,这些公司必须通过韧性测试、定期自我评估和事件报告。合规成本是固定的。对于已经投入数十亿美元建立合规架构的巨头来说,边际合规成本几乎为零。但对于试图进入金融云市场的第二梯队,比如IBM Cloud、OVHcloud、阿里云,同样一套监管要求意味着新的进入壁垒。

讽刺的是,一套旨在解决集中度风险的制度,可能在客观上加深了集中度。

经济学变了:边际成本思维必须更新

旧时代的交易很简单:超大规模云提供速度、规模优势和更低的单位成本。金融企业算一笔账就迁移了。

新交易增加了监管、报告和韧性证明的成本。这并不会摧毁云经济模型,但会改变边际成本的计算方式。当一个集中化的依赖关系变成受监管的状态时,最便宜的架构就不再是唯一的选择。

对金融企业来说,这意味着多云策略不再是“锦上添花”,而是“必选项”。但混合云和多云本身也有代价。架构复杂性、数据一致性、运维团队技能要求,这些成本此前被单云集中化的效率优势所掩盖。

结构性判断:云集中度不再是可逆的

这轮监管最值得关注的信号,不是罚款金额,不是合规条款,而是政策制定者已经做出了一个结构性判断:云计算的集中度不再是可逆的。

循环叙事会要求均值回归。你要看到企业在大规模冲击后离开最大的提供商,然后当冲击消退后再回来。但这不是政策逻辑所暗示的。这里的机制是累积性依赖。每多一个工作负载迁移到公共平台,就会提高未来离开的成本。国家正在对这种路径依赖做出回应,而不是对一次性的定价扭曲。

英国财政部创建了常设的指定权力,监管机构围绕它构建了永久性的监督制度。政府不会为它们预期会自行消退的风险创建常设监督。

三个信号值得追踪。英国财政部是否会扩大指定名单,将更多云服务商或非云的关键第三方纳入监管。监管机构是否会发布更详细的韧性测试和事件报告指引。大型英国金融机构是否开始以可见的方式重新设计连续性计划或转移关键工作负载。如果这些信号都没有出现,这个制度仍然重要,但主要作为政策制定者已接受云集中度是金融体系永久特征的一个标志。

市场没有被要求害怕云提供商。它被要求把它们当作受监管的基础设施来定价。

当AWS、Azure和Google Cloud从“供应商”变成“基础设施”时,它们得到的不只是监管,而是一个新的身份。金融体系的承重墙。承重墙不能倒,但也不能随便换。

作品声明:内容由AI生成