■本報記者聶國春
在經歷一年多的征求意見后����,銀保監(jiān)會1月21日正式發(fā)布《銀行保險機構信息科技外包風險監(jiān)管辦法》(以下簡稱《辦法》),要求銀保機構建立信息科技外包管理體系��,將信息科技外包風險納入全面風險管理體系��,有效控制由于外包而引發(fā)的風險�,銀保監(jiān)會及其派出機構監(jiān)管的其他金融機構參照執(zhí)行���。
《辦法》共7章46條�����,從信息科技外包治理�����、準入�、監(jiān)控評價、風險管理等方面對銀行保險機構信息科技外包提出要求�����。這意味著���,金融IT外包市場迎來全面監(jiān)管�����。
外包業(yè)務存六大風險
所謂信息科技外包�,是指銀行保險機構將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為���。近年來�,銀行保險機構積極開展數(shù)字化轉型����,在加大科技創(chuàng)新力度、更好地滿足金融消費者需求的同時�,對信息科技外包服務的依賴度不斷加大。與此同時��,部分銀行保險機構對信息科技外包風險管控不力而導致的業(yè)務中斷、敏感信息泄露等事件時有發(fā)生���。此外�����,部分領域外包服務提供商高度集中���,形成了行業(yè)集中度風險。
《辦法》第五章明確指出�����,信息科技外包可能產生的風險包括但不限于以下六項:(一)科技能力喪失��。過度依賴外包導致失去科技控制及創(chuàng)新能力��,影響業(yè)務創(chuàng)新與發(fā)展��。(二)業(yè)務中斷�。支持業(yè)務運營的外包服務無法持續(xù)提供導致業(yè)務中斷���。(三)數(shù)據(jù)泄露��、丟失和篡改����。因服務提供商的不當行為或其服務的信息系統(tǒng)遭受網(wǎng)絡攻擊,導致銀行保險機構重要數(shù)據(jù)或客戶個人信息泄露���、丟失和篡改�����。(四)資金損失���。因服務提供商的不當行為或其服務的信息系統(tǒng)遭受網(wǎng)絡攻擊,導致銀行保險機構客戶資金被盜取���。(五)服務水平下降�����。由于外包服務質量問題或內外部協(xié)作效率低下���,使得信息科技服務水平下降。(六)可能導致的戰(zhàn)略���、聲譽�����、合規(guī)等其他風險�。
監(jiān)管定調將分級監(jiān)管
此前,監(jiān)管部門關于金融機構信息科技外包風險監(jiān)管僅僅出臺了一個指引�����?����!皬闹敢健掇k法》��,是監(jiān)管的一次升級���。”中國社科院金融研究所金融科技研究室主任尹振濤對《中國消費者報》記者說�。
根據(jù)《辦法》,銀行保險機構應當建立與本機構信息科技戰(zhàn)略目標相適應的信息科技外包管理體系����,將信息科技外包風險納入全面風險管理體系��,有效控制由于外包而引發(fā)的風險����。
《辦法》要求���,銀行保險機構在實施信息科技外包時應堅持以下原則:不得將信息科技管理責任����、網(wǎng)絡安全主體責任外包��;以不妨礙核心能力建設�����、積極掌握關鍵技術為導向�����;保持外包風險�����、成本和效益的平衡;保障網(wǎng)絡和信息安全���,加強個人信息保護����;強調事前控制和事中監(jiān)督����;持續(xù)改進外包策略和風險管理措施。
《辦法》還將信息服務外包劃分為咨詢規(guī)劃類����、開發(fā)測試類、運行維護類�����、安全服務類��、業(yè)務支持類等類別�����,同時區(qū)分一般外包和重要外包����。針對不同類型的外包服務,采取不同管理措施�����。尹振濤認為���,差異化管控是《辦法》的一大特色�����。
強化網(wǎng)絡和個人信息保護
尹振濤指出�,《辦法》在個人隱私���、數(shù)據(jù)安全方面的規(guī)定值得注意�。
記者對比發(fā)現(xiàn)�����,相比之前的征求意見稿���,《辦法》新增了“保障網(wǎng)絡和信息安全��,加強重要數(shù)據(jù)和個人信息保護”這一原則����,與《個人信息保護法》相銜接。例如���,對于符合重要外包條件的非駐場外包����,《辦法》要求對服務提供商是否擁有或可能擁有業(yè)務系統(tǒng)的最高管理權限或訪問權限�����,是否能夠瀏覽����、獲取重要數(shù)據(jù)或客戶個人敏感信息等進行盡職調查。再比如����,《辦法》要求外包協(xié)議必須有安全保密和消費者權益保護約定,包括但不限于:禁止服務提供商在合同允許范圍外使用或者披露銀行保險機構的信息�����,服務提供商不得將銀行保險機構數(shù)據(jù)以任何形式轉移、挪用或謀取外包合同約定以外的利益��。此外�,如果發(fā)生銀行保險機構重要數(shù)據(jù)或客戶個人信息泄露等重大風險事件�,應立即向監(jiān)管部門報告。
銀保監(jiān)會相關負責人在答記者問時指出���,近年來銀行保險機構在各個領域與第三方的合作越來越多���,其中不少合作涉及機構重要數(shù)據(jù)和客戶個人信息處理。為充分保護金融消費者權益�����,加強第三方合作當中的信息科技風險管理�,防止敏感信息泄露和不當使用,對銀行保險機構與其他第三方合作當中涉及銀行保險機構的重要數(shù)據(jù)和客戶個人信息處理的信息科技活動���,也須按照《辦法》進行管理���。
“從信息消費的角度看,當前信息科技外包也屬于一種信息消費���?��!敝心县斀浾ù髮W數(shù)字經濟研究院執(zhí)行院長盤和林在接受《中國消費者報》記者采訪時表示�����,保護消費者的權益�,需要打通信息消費維權渠道����,比如設置一個常態(tài)化的投訴部門。同時�����,信息技術外包時要防止大包干�,加強個人信息保護力度。
