英國財政部 7 月 13 日宣布,AWS EMEA、Google Cloud EMEA、Microsoft Ireland Operations 與 Oracle UK 被指定為金融體系的 Critical Third Parties。這項制度讓英國金融監管機關可以直接監督可能影響金融穩定的科技服務,四家業者的指定也在同日生效。

英國金融行為監管局(FCA)表示,CTP regime 的對象是金融機構廣泛依賴、而中斷可能威脅金融穩定的服務。指定範圍針對相關服務本身,不是把四家公司所有雲端、軟體或商業活動都變成英國受監管金融業務。
英國財政部七月十三日指定四家雲端業者
英國政府公告列出的四個法人分別是 Amazon Web Services EMEA SARL、Google Cloud EMEA Limited、Microsoft Ireland Operations Limited 與 Oracle UK Limited。財政部是在諮詢後作出決定,指定結果讓金融監管機關取得針對關鍵服務的直接監督權。
CTP 指定不等同於核發金融服務牌照,也不代表雲端供應商會替銀行或保險公司承擔金融服務責任。業者受到監督的核心是提供金融業廣泛使用、而且中斷可能產生系統性影響的服務。
FCA 監管範圍鎖定可能影響金融穩定的服務
FCA 說明,英國的 CTP 制度自 2025 年 1 月 1 日開始,第一批指定在 2026 年 7 月 13 日生效。英國央行、審慎監管局(PRA)與 FCA 共同負責監督,重點包含韌性、事件處理與可能造成大範圍中斷的風險。
監管機關可把檢視重點放在被指定的服務與營運安排,而不必等到某一家金融機構先發生事故。這讓雲端服務的區域設計、備援方式、事件通報與恢復能力進入金融監理的直接討論範圍。
金融機構仍須自行管理第三方供應商風險
FCA 明確表示,金融機構仍要自行管理第三方風險,不能因為供應商成為 CTP 就把責任移交給監管機關。銀行與支付業者仍須掌握自己的服務依賴、資料位置、替代方案與中斷處置方式。
對四家雲端業者而言,CTP 身分也不會自動替客戶提供跨區域備援或資料遷移。這些條件仍要寫進金融機構與供應商的服務設計、合約與事件演練中。
CTP 制度要求業者面對英國監管機關
英國政府表示,金融服務對雲端與其他科技供應商的依賴持續增加,監管機關需要一套可以直接處理關鍵服務中斷的制度。四家業者成為首批 CTP 後,具體監督內容、檢查安排與業者提交的韌性資料將依指定服務與監管程序逐步展開。
消息來源:英國政府公告、英國 FCA CTP 說明、英國金融監管機關聲明。