保障消費(fèi)者資金安全 監(jiān)管為金融IT外包立規(guī)矩
經(jīng)過(guò)一年多的意見(jiàn),中國(guó)銀行業(yè)保險(xiǎn)監(jiān)督管理委員會(huì)于1月21日正式發(fā)布了《銀行業(yè)保險(xiǎn)機(jī)構(gòu)信息技術(shù)外包風(fēng)險(xiǎn)監(jiān)管辦法》(以下簡(jiǎn)稱《辦法》),要求中國(guó)銀行業(yè)保險(xiǎn)機(jī)構(gòu)建立信息技術(shù)外包管理體系,將信息技術(shù)外包風(fēng)險(xiǎn)納入綜合風(fēng)險(xiǎn)管理體系,有效控制外包風(fēng)險(xiǎn),中國(guó)銀行業(yè)保險(xiǎn)監(jiān)督管理委員會(huì)及其派出機(jī)構(gòu)監(jiān)管的其他金融機(jī)構(gòu)參照實(shí)施。
《辦法》共7章46條,從信息技術(shù)外包治理、準(zhǔn)入、監(jiān)控評(píng)估、風(fēng)險(xiǎn)管理等方面對(duì)銀行保險(xiǎn)機(jī)構(gòu)信息技術(shù)外包提出要求。這意味著金融IT外包市場(chǎng)迎來(lái)了全面監(jiān)管。
外包業(yè)務(wù)存在六大風(fēng)險(xiǎn)。
所謂信息技術(shù)外包,是指銀行和保險(xiǎn)機(jī)構(gòu)委托服務(wù)提供商處理原有的信息技術(shù)活動(dòng)。近年來(lái),銀行和保險(xiǎn)機(jī)構(gòu)積極開(kāi)展數(shù)字化轉(zhuǎn)型。在加強(qiáng)科技創(chuàng)新、更好地滿足金融消費(fèi)者需求的同時(shí),銀行和保險(xiǎn)機(jī)構(gòu)越來(lái)越依賴信息技術(shù)外包服務(wù)。同時(shí),由于信息技術(shù)外包風(fēng)險(xiǎn)控制不力,部分銀行和保險(xiǎn)機(jī)構(gòu)不時(shí)發(fā)生業(yè)務(wù)中斷、敏感信息泄露等事件。此外,一些領(lǐng)域的外包服務(wù)提供商高度集中,形成了行業(yè)集中風(fēng)險(xiǎn)。
《辦法》第五章明確指出,信息技術(shù)外包可能產(chǎn)生的風(fēng)險(xiǎn)包括但不限于以下六項(xiàng):(1)技術(shù)能力的喪失。過(guò)度依賴外包導(dǎo)致科技控制和創(chuàng)新能力的喪失,影響業(yè)務(wù)創(chuàng)新和發(fā)展。(2)業(yè)務(wù)中斷。支持業(yè)務(wù)運(yùn)營(yíng)的外包服務(wù)不能繼續(xù)提供,導(dǎo)致業(yè)務(wù)中斷。(3)數(shù)據(jù)泄露、丟失和篡改。銀行保險(xiǎn)機(jī)構(gòu)的重要數(shù)據(jù)或客戶的個(gè)人信息泄露、丟失和篡改是由于服務(wù)提供商的不當(dāng)行為或其服務(wù)信息系統(tǒng)受到網(wǎng)絡(luò)攻擊造成的。(5)服務(wù)水平下降。由于外包服務(wù)質(zhì)量問(wèn)題或內(nèi)外合作效率低,信息技術(shù)服務(wù)水平下降。(6)戰(zhàn)略、聲譽(yù)、合規(guī)等可能的風(fēng)險(xiǎn)。
監(jiān)管定調(diào)將分級(jí)監(jiān)管。
此前,監(jiān)管機(jī)構(gòu)只發(fā)布了金融機(jī)構(gòu)信息技術(shù)外包風(fēng)險(xiǎn)監(jiān)管的指導(dǎo)方針。中國(guó)社會(huì)科學(xué)院金融研究所金融科技研究室主任尹振濤告訴《中國(guó)消費(fèi)者日?qǐng)?bào)》:從指導(dǎo)方針到措施是監(jiān)管的升級(jí)。
根據(jù)本辦法,銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立適合本機(jī)構(gòu)信息技術(shù)戰(zhàn)略目標(biāo)的信息技術(shù)外包管理體系,將信息技術(shù)外包風(fēng)險(xiǎn)納入綜合風(fēng)險(xiǎn)管理體系,有效控制外包風(fēng)險(xiǎn)。
《辦法》要求銀行保險(xiǎn)機(jī)構(gòu)在實(shí)施信息技術(shù)外包時(shí),應(yīng)當(dāng)堅(jiān)持以下原則:不得外包信息技術(shù)管理責(zé)任和網(wǎng)絡(luò)安全主體責(zé)任;保持外包風(fēng)險(xiǎn)、成本和效外包風(fēng)險(xiǎn)、成本和效和信息安全,加強(qiáng)個(gè)人信息保護(hù);提前控制和監(jiān)督,不斷完善外包策略和風(fēng)險(xiǎn)管理措施。
本辦法還將信息服務(wù)外包分為咨詢規(guī)劃、開(kāi)發(fā)測(cè)試、運(yùn)行維護(hù)、安全服務(wù)、業(yè)務(wù)支持等類別,區(qū)分一般外包和重要外包。對(duì)不同類型的外包服務(wù)采取不同的管理措施。尹振濤認(rèn)為,差異化控制是本辦法的主要特點(diǎn)。
加強(qiáng)網(wǎng)絡(luò)和個(gè)人信息保護(hù)。
尹振濤指出,《辦法》對(duì)個(gè)人隱私和數(shù)據(jù)安全的規(guī)定值得注意。
記者比較發(fā)現(xiàn),與之前的草案相比,《辦法》增加了確保網(wǎng)絡(luò)和信息安全,加強(qiáng)重要數(shù)據(jù)和個(gè)人信息保護(hù)的原則,與《個(gè)人信息保護(hù)法》有關(guān)。例如,對(duì)于符合重要外包條件的非現(xiàn)場(chǎng)外包,本辦法要求盡職調(diào)查服務(wù)提供商是否擁有或可能擁有業(yè)務(wù)系統(tǒng)的最高管理權(quán)限或訪問(wèn)權(quán)限,是否可以瀏覽、獲取重要數(shù)據(jù)或客戶個(gè)人敏感信息。另一個(gè)例子是,本辦法要求外包協(xié)議必須有安全保密和消費(fèi)者權(quán)益保護(hù)協(xié)議,包括但不限于:禁止服務(wù)提供商在合同允許的范圍內(nèi)使用或披露銀行保險(xiǎn)機(jī)構(gòu)的信息,服務(wù)提供商不得以任何形式轉(zhuǎn)移銀行保險(xiǎn)機(jī)構(gòu)的數(shù)據(jù),挪用或?qū)で笸獍贤s定的利益。此外,如果銀行保險(xiǎn)機(jī)構(gòu)的重要數(shù)據(jù)或客戶的個(gè)人信息泄露,應(yīng)立即向監(jiān)管機(jī)構(gòu)報(bào)告。
中國(guó)銀行業(yè)和保險(xiǎn)監(jiān)督管理委員會(huì)相關(guān)負(fù)責(zé)人在回答記者提問(wèn)時(shí)指出,近年來(lái),銀行保險(xiǎn)機(jī)構(gòu)在各個(gè)領(lǐng)域與第三方的合作越來(lái)越多,其中許多涉及機(jī)構(gòu)的重要數(shù)據(jù)和客戶的個(gè)人信息處理。為充分保護(hù)金融消費(fèi)者權(quán)益,加強(qiáng)第三方合作中信息技術(shù)風(fēng)險(xiǎn)管理,防止敏感信息泄露和使用不當(dāng),還必須按照《辦法》管理銀行保險(xiǎn)機(jī)構(gòu)與其他第三方合作中涉及銀行保險(xiǎn)機(jī)構(gòu)的重要數(shù)據(jù)和客戶個(gè)人信息處理的信息技術(shù)活動(dòng)。
從信息消費(fèi)的角度來(lái)看,目前的信息技術(shù)外包也是一種信息消費(fèi)。中南財(cái)經(jīng)法大學(xué)數(shù)字經(jīng)濟(jì)研究所執(zhí)行院長(zhǎng)潘和林在接受《中國(guó)消費(fèi)者日?qǐng)?bào)》采訪時(shí)表示,為了保護(hù)消費(fèi)者的權(quán)益,我們需要打開(kāi)信息消費(fèi)者權(quán)益保護(hù)的渠道進(jìn)入黑貓投訴,如建立一個(gè)正常的投訴部門。同時(shí),在信息技術(shù)外包時(shí),應(yīng)防止大包裝,加強(qiáng)個(gè)人信息保護(hù)。