保障消費者資金安全 監管為金融IT外包立規矩

  經過一年多的意見，中國銀行業保險監督管理委員會于1月21日正式發布了《銀行業保險機構信息技術外包風險監管辦法》（以下簡稱《辦法》），要求中國銀行業保險機構建立信息技術外包管理體系，將信息技術外包風險納入綜合風險管理體系，有效控制外包風險，中國銀行業保險監督管理委員會及其派出機構監管的其他金融機構參照實施。

  《辦法》共7章46條，從信息技術外包治理、準入、監控評估、風險管理等方面對銀行保險機構信息技術外包提出要求。這意味著金融IT外包市場迎來了全面監管。

外包業務存在六大風險。

所謂信息技術外包，是指銀行和保險機構委托服務提供商處理原有的信息技術活動。近年來，銀行和保險機構積極開展數字化轉型。在加強科技創新、更好地滿足金融消費者需求的同時，銀行和保險機構越來越依賴信息技術外包服務。同時，由于信息技術外包風險控制不力，部分銀行和保險機構不時發生業務中斷、敏感信息泄露等事件。此外，一些領域的外包服務提供商高度集中，形成了行業集中風險。

《辦法》第五章明確指出，信息技術外包可能產生的風險包括但不限于以下六項：（1）技術能力的喪失。過度依賴外包導致科技控制和創新能力的喪失，影響業務創新和發展。（2）業務中斷。支持業務運營的外包服務不能繼續提供，導致業務中斷。（3）數據泄露、丟失和篡改。銀行保險機構的重要數據或客戶的個人信息泄露、丟失和篡改是由于服務提供商的不當行為或其服務信息系統受到網絡攻擊造成的。（5）服務水平下降。由于外包服務質量問題或內外合作效率低，信息技術服務水平下降。（6）戰略、聲譽、合規等可能的風險。

監管定調將分級監管。

此前，監管機構只發布了金融機構信息技術外包風險監管的指導方針。中國社會科學院金融研究所金融科技研究室主任尹振濤告訴《中國消費者日報》：從指導方針到措施是監管的升級。

根據本辦法，銀行保險機構應當建立適合本機構信息技術戰略目標的信息技術外包管理體系，將信息技術外包風險納入綜合風險管理體系，有效控制外包風險。

《辦法》要求銀行保險機構在實施信息技術外包時，應當堅持以下原則：不得外包信息技術管理責任和網絡安全主體責任；保持外包風險、成本和效外包風險、成本和效和信息安全，加強個人信息保護；提前控制和監督，不斷完善外包策略和風險管理措施。

本辦法還將信息服務外包分為咨詢規劃、開發測試、運行維護、安全服務、業務支持等類別，區分一般外包和重要外包。對不同類型的外包服務采取不同的管理措施。尹振濤認為，差異化控制是本辦法的主要特點。

加強網絡和個人信息保護。

尹振濤指出，《辦法》對個人隱私和數據安全的規定值得注意。

記者比較發現，與之前的草案相比，《辦法》增加了確保網絡和信息安全，加強重要數據和個人信息保護的原則，與《個人信息保護法》有關。例如，對于符合重要外包條件的非現場外包，本辦法要求盡職調查服務提供商是否擁有或可能擁有業務系統的最高管理權限或訪問權限，是否可以瀏覽、獲取重要數據或客戶個人敏感信息。另一個例子是，本辦法要求外包協議必須有安全保密和消費者權益保護協議，包括但不限于：禁止服務提供商在合同允許的范圍內使用或披露銀行保險機構的信息，服務提供商不得以任何形式轉移銀行保險機構的數據，挪用或尋求外包合同約定的利益。此外，如果銀行保險機構的重要數據或客戶的個人信息泄露，應立即向監管機構報告。

中國銀行業和保險監督管理委員會相關負責人在回答記者提問時指出，近年來，銀行保險機構在各個領域與第三方的合作越來越多，其中許多涉及機構的重要數據和客戶的個人信息處理。為充分保護金融消費者權益，加強第三方合作中信息技術風險管理，防止敏感信息泄露和使用不當，還必須按照《辦法》管理銀行保險機構與其他第三方合作中涉及銀行保險機構的重要數據和客戶個人信息處理的信息技術活動。

從信息消費的角度來看，目前的信息技術外包也是一種信息消費。中南財經法大學數字經濟研究所執行院長潘和林在接受《中國消費者日報》采訪時表示，為了保護消費者的權益，我們需要打開信息消費者權益保護的渠道進入黑貓投訴，如建立一個正常的投訴部門。同時，在信息技術外包時，應防止大包裝，加強個人信息保護。