在經(jīng)歷一年多的征求意見(jiàn)后，銀保監會(huì )1月21日正式發(fā)布《銀行保險機構信息科技外包風(fēng)險監管辦法》(以下簡(jiǎn)稱(chēng)《辦法》)，要求銀保機構建立信息科技外包管理體系，將信息科技外包風(fēng)險納入全面風(fēng)險管理體系，有效控制由于外包而引發(fā)的風(fēng)險，銀保監會(huì )及其派出機構監管的其他金融機構參照執行。

《辦法》共7章46條，從信息科技外包治理、準入、監控評價(jià)、風(fēng)險管理等方面對銀行保險機構信息科技外包提出要求。這意味著(zhù)，金融IT外包市場(chǎng)迎來(lái)全面監管。

外包業(yè)務(wù)存六大風(fēng)險

所謂信息科技外包，是指銀行保險機構將原本由自身負責處理的信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行處理的行為。近年來(lái)，銀行保險機構積極開(kāi)展數字化轉型，在加大科技創(chuàng )新力度、更好地滿(mǎn)足金融消費者需求的同時(shí)，對信息科技外包服務(wù)的依賴(lài)度不斷加大。與此同時(shí)，部分銀行保險機構對信息科技外包風(fēng)險管控不力而導致的業(yè)務(wù)中斷、敏感信息泄露等事件時(shí)有發(fā)生。此外，部分領(lǐng)域外包服務(wù)提供商高度集中，形成了行業(yè)集中度風(fēng)險。

《辦法》第五章明確指出，信息科技外包可能產(chǎn)生的風(fēng)險包括但不限于以下六項：(一)科技能力喪失。過(guò)度依賴(lài)外包導致失去科技控制及創(chuàng )新能力，影響業(yè)務(wù)創(chuàng )新與發(fā)展。(二)業(yè)務(wù)中斷。支持業(yè)務(wù)運營(yíng)的外包服務(wù)無(wú)法持續提供導致業(yè)務(wù)中斷。(三)數據泄露、丟失和篡改。因服務(wù)提供商的不當行為或其服務(wù)的信息系統遭受網(wǎng)絡(luò )攻擊，導致銀行保險機構重要數據或客戶(hù)個(gè)人信息泄露、丟失和篡改。(四)資金損失。因服務(wù)提供商的不當行為或其服務(wù)的信息系統遭受網(wǎng)絡(luò )攻擊，導致銀行保險機構客戶(hù)資金被盜取。(五)服務(wù)水平下降。由于外包服務(wù)質(zhì)量問(wèn)題或內外部協(xié)作效率低下，使得信息科技服務(wù)水平下降。(六)可能導致的戰略、聲譽(yù)、合規等其他風(fēng)險。

監管定調將分級監管

此前，監管部門(mén)關(guān)于金融機構信息科技外包風(fēng)險監管僅僅出臺了一個(gè)指引。“從指引到《辦法》，是監管的一次升級。”中國社科院金融研究所金融科技研究室主任尹振濤對《中國消費者報》記者說(shuō)。

根據《辦法》，銀行保險機構應當建立與本機構信息科技戰略目標相適應的信息科技外包管理體系，將信息科技外包風(fēng)險納入全面風(fēng)險管理體系，有效控制由于外包而引發(fā)的風(fēng)險。

《辦法》要求，銀行保險機構在實(shí)施信息科技外包時(shí)應堅持以下原則：不得將信息科技管理責任、網(wǎng)絡(luò )安全主體責任外包;以不妨礙核心能力建設、積極掌握關(guān)鍵技術(shù)為導向;保持外包風(fēng)險、成本和效益的平衡;保障網(wǎng)絡(luò )和信息安全，加強個(gè)人信息保護;強調事前控制和事中監督;持續改進(jìn)外包策略和風(fēng)險管理措施。

《辦法》還將信息服務(wù)外包劃分為咨詢(xún)規劃類(lèi)、開(kāi)發(fā)測試類(lèi)、運行維護類(lèi)、安全服務(wù)類(lèi)、業(yè)務(wù)支持類(lèi)等類(lèi)別，同時(shí)區分一般外包和重要外包。針對不同類(lèi)型的外包服務(wù)，采取不同管理措施。尹振濤認為，差異化管控是《辦法》的一大特色。

強化網(wǎng)絡(luò )和個(gè)人信息保護

尹振濤指出，《辦法》在個(gè)人隱私、數據安全方面的規定值得注意。

記者對比發(fā)現，相比之前的征求意見(jiàn)稿，《辦法》新增了“保障網(wǎng)絡(luò )和信息安全，加強重要數據和個(gè)人信息保護”這一原則，與《個(gè)人信息保護法》相銜接。例如，對于符合重要外包條件的非駐場(chǎng)外包，《辦法》要求對服務(wù)提供商是否擁有或可能擁有業(yè)務(wù)系統的最高管理權限或訪(fǎng)問(wèn)權限，是否能夠瀏覽、獲取重要數據或客戶(hù)個(gè)人敏感信息等進(jìn)行盡職調查。再比如，《辦法》要求外包協(xié)議必須有安全保密和消費者權益保護約定，包括但不限于：禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行保險機構的信息，服務(wù)提供商不得將銀行保險機構數據以任何形式轉移、挪用或謀取外包合同約定以外的利益。此外，如果發(fā)生銀行保險機構重要數據或客戶(hù)個(gè)人信息泄露等重大風(fēng)險事件，應立即向監管部門(mén)報告。

銀保監會(huì )相關(guān)負責人在答記者問(wèn)時(shí)指出，近年來(lái)銀行保險機構在各個(gè)領(lǐng)域與第三方的合作越來(lái)越多，其中不少合作涉及機構重要數據和客戶(hù)個(gè)人信息處理。為充分保護金融消費者權益，加強第三方合作當中的信息科技風(fēng)險管理，防止敏感信息泄露和不當使用，對銀行保險機構與其他第三方合作當中涉及銀行保險機構的重要數據和客戶(hù)個(gè)人信息處理的信息科技活動(dòng)，也須按照《辦法》進(jìn)行管理。

“從信息消費的角度看，當前信息科技外包也屬于一種信息消費。”中南財經(jīng)政法大學(xué)數字經(jīng)濟研究院執行院長(cháng)盤(pán)和林在接受《中國消費者報》記者采訪(fǎng)時(shí)表示，保護消費者的權益，需要打通信息消費維權渠道，比如設置一個(gè)常態(tài)化的投訴部門(mén)。同時(shí)，信息技術(shù)外包時(shí)要防止大包干，加強個(gè)人信息保護力度。

關(guān)鍵詞： 金融IT 外包市場(chǎng) 網(wǎng)絡(luò )安全 個(gè)人信息保護