保障消費者資金安全 監(jiān)管為金融IT外包立規(guī)矩

  經過一年多的意見，中國銀行業(yè)保險監(jiān)督管理委員會于1月21日正式發(fā)布了《銀行業(yè)保險機構信息技術外包風險監(jiān)管辦法》（以下簡稱《辦法》），要求中國銀行業(yè)保險機構建立信息技術外包管理體系，將信息技術外包風險納入綜合風險管理體系，有效控制外包風險，中國銀行業(yè)保險監(jiān)督管理委員會及其派出機構監(jiān)管的其他金融機構參照實施。

  《辦法》共7章46條，從信息技術外包治理、準入、監(jiān)控評估、風險管理等方面對銀行保險機構信息技術外包提出要求。這意味著金融IT外包市場迎來了全面監(jiān)管。

外包業(yè)務存在六大風險。

所謂信息技術外包，是指銀行和保險機構委托服務提供商處理原有的信息技術活動。近年來，銀行和保險機構積極開展數(shù)字化轉型。在加強科技創(chuàng)新、更好地滿足金融消費者需求的同時，銀行和保險機構越來越依賴信息技術外包服務。同時，由于信息技術外包風險控制不力，部分銀行和保險機構不時發(fā)生業(yè)務中斷、敏感信息泄露等事件。此外，一些領域的外包服務提供商高度集中，形成了行業(yè)集中風險。

《辦法》第五章明確指出，信息技術外包可能產生的風險包括但不限于以下六項：（1）技術能力的喪失。過度依賴外包導致科技控制和創(chuàng)新能力的喪失，影響業(yè)務創(chuàng)新和發(fā)展。（2）業(yè)務中斷。支持業(yè)務運營的外包服務不能繼續(xù)提供，導致業(yè)務中斷。（3）數(shù)據(jù)泄露、丟失和篡改。銀行保險機構的重要數(shù)據(jù)或客戶的個人信息泄露、丟失和篡改是由于服務提供商的不當行為或其服務信息系統(tǒng)受到網絡攻擊造成的。（5）服務水平下降。由于外包服務質量問題或內外合作效率低，信息技術服務水平下降。（6）戰(zhàn)略、聲譽、合規(guī)等可能的風險。

監(jiān)管定調將分級監(jiān)管。

此前，監(jiān)管機構只發(fā)布了金融機構信息技術外包風險監(jiān)管的指導方針。中國社會科學院金融研究所金融科技研究室主任尹振濤告訴《中國消費者日報》：從指導方針到措施是監(jiān)管的升級。

根據(jù)本辦法，銀行保險機構應當建立適合本機構信息技術戰(zhàn)略目標的信息技術外包管理體系，將信息技術外包風險納入綜合風險管理體系，有效控制外包風險。

《辦法》要求銀行保險機構在實施信息技術外包時，應當堅持以下原則：不得外包信息技術管理責任和網絡安全主體責任；保持外包風險、成本和效外包風險、成本和效和信息安全，加強個人信息保護；提前控制和監(jiān)督，不斷完善外包策略和風險管理措施。

本辦法還將信息服務外包分為咨詢規(guī)劃、開發(fā)測試、運行維護、安全服務、業(yè)務支持等類別，區(qū)分一般外包和重要外包。對不同類型的外包服務采取不同的管理措施。尹振濤認為，差異化控制是本辦法的主要特點。

加強網絡和個人信息保護。

尹振濤指出，《辦法》對個人隱私和數(shù)據(jù)安全的規(guī)定值得注意。

記者比較發(fā)現(xiàn)，與之前的草案相比，《辦法》增加了確保網絡和信息安全，加強重要數(shù)據(jù)和個人信息保護的原則，與《個人信息保護法》有關。例如，對于符合重要外包條件的非現(xiàn)場外包，本辦法要求盡職調查服務提供商是否擁有或可能擁有業(yè)務系統(tǒng)的最高管理權限或訪問權限，是否可以瀏覽、獲取重要數(shù)據(jù)或客戶個人敏感信息。另一個例子是，本辦法要求外包協(xié)議必須有安全保密和消費者權益保護協(xié)議，包括但不限于：禁止服務提供商在合同允許的范圍內使用或披露銀行保險機構的信息，服務提供商不得以任何形式轉移銀行保險機構的數(shù)據(jù)，挪用或尋求外包合同約定的利益。此外，如果銀行保險機構的重要數(shù)據(jù)或客戶的個人信息泄露，應立即向監(jiān)管機構報告。

中國銀行業(yè)和保險監(jiān)督管理委員會相關負責人在回答記者提問時指出，近年來，銀行保險機構在各個領域與第三方的合作越來越多，其中許多涉及機構的重要數(shù)據(jù)和客戶的個人信息處理。為充分保護金融消費者權益，加強第三方合作中信息技術風險管理，防止敏感信息泄露和使用不當，還必須按照《辦法》管理銀行保險機構與其他第三方合作中涉及銀行保險機構的重要數(shù)據(jù)和客戶個人信息處理的信息技術活動。

從信息消費的角度來看，目前的信息技術外包也是一種信息消費。中南財經法大學數(shù)字經濟研究所執(zhí)行院長潘和林在接受《中國消費者日報》采訪時表示，為了保護消費者的權益，我們需要打開信息消費者權益保護的渠道進入黑貓投訴，如建立一個正常的投訴部門。同時，在信息技術外包時，應防止大包裝，加強個人信息保護。