保障消费者资金安全 监管为金融IT外包立规矩
经过一年多的意见,中国银行业保险监督管理委员会于1月21日正式发布了《银行业保险机构信息技术外包风险监管办法》(以下简称《办法》),要求中国银行业保险机构建立信息技术外包管理体系,将信息技术外包风险纳入综合风险管理体系,有效控制外包风险,中国银行业保险监督管理委员会及其派出机构监管的其他金融机构参照实施。
《办法》共7章46条,从信息技术外包治理、准入、监控评估、风险管理等方面对银行保险机构信息技术外包提出要求。这意味着金融IT外包市场迎来了全面监管。
外包业务存在六大风险。
所谓信息技术外包,是指银行和保险机构委托服务提供商处理原有的信息技术活动。近年来,银行和保险机构积极开展数字化转型。在加强科技创新、更好地满足金融消费者需求的同时,银行和保险机构越来越依赖信息技术外包服务。同时,由于信息技术外包风险控制不力,部分银行和保险机构不时发生业务中断、敏感信息泄露等事件。此外,一些领域的外包服务提供商高度集中,形成了行业集中风险。
《办法》第五章明确指出,信息技术外包可能产生的风险包括但不限于以下六项:(1)技术能力的丧失。过度依赖外包导致科技控制和创新能力的丧失,影响业务创新和发展。(2)业务中断。支持业务运营的外包服务不能继续提供,导致业务中断。(3)数据泄露、丢失和篡改。银行保险机构的重要数据或客户的个人信息泄露、丢失和篡改是由于服务提供商的不当行为或其服务信息系统受到网络攻击造成的。(5)服务水平下降。由于外包服务质量问题或内外合作效率低,信息技术服务水平下降。(6)战略、声誉、合规等可能的风险。
监管定调将分级监管。
此前,监管机构只发布了金融机构信息技术外包风险监管的指导方针。中国社会科学院金融研究所金融科技研究室主任尹振涛告诉《中国消费者日报》:从指导方针到措施是监管的升级。
根据本办法,银行保险机构应当建立适合本机构信息技术战略目标的信息技术外包管理体系,将信息技术外包风险纳入综合风险管理体系,有效控制外包风险。
《办法》要求银行保险机构在实施信息技术外包时,应当坚持以下原则:不得外包信息技术管理责任和网络安全主体责任;保持外包风险、成本和效外包风险、成本和效和信息安全,加强个人信息保护;提前控制和监督,不断完善外包策略和风险管理措施。
本办法还将信息服务外包分为咨询规划、开发测试、运行维护、安全服务、业务支持等类别,区分一般外包和重要外包。对不同类型的外包服务采取不同的管理措施。尹振涛认为,差异化控制是本办法的主要特点。
加强网络和个人信息保护。
尹振涛指出,《办法》对个人隐私和数据安全的规定值得注意。
记者比较发现,与之前的草案相比,《办法》增加了确保网络和信息安全,加强重要数据和个人信息保护的原则,与《个人信息保护法》有关。例如,对于符合重要外包条件的非现场外包,本办法要求尽职调查服务提供商是否拥有或可能拥有业务系统的最高管理权限或访问权限,是否可以浏览、获取重要数据或客户个人敏感信息。另一个例子是,本办法要求外包协议必须有安全保密和消费者权益保护协议,包括但不限于:禁止服务提供商在合同允许的范围内使用或披露银行保险机构的信息,服务提供商不得以任何形式转移银行保险机构的数据,挪用或寻求外包合同约定的利益。此外,如果银行保险机构的重要数据或客户的个人信息泄露,应立即向监管机构报告。
中国银行业和保险监督管理委员会相关负责人在回答记者提问时指出,近年来,银行保险机构在各个领域与第三方的合作越来越多,其中许多涉及机构的重要数据和客户的个人信息处理。为充分保护金融消费者权益,加强第三方合作中信息技术风险管理,防止敏感信息泄露和使用不当,还必须按照《办法》管理银行保险机构与其他第三方合作中涉及银行保险机构的重要数据和客户个人信息处理的信息技术活动。
从信息消费的角度来看,目前的信息技术外包也是一种信息消费。中南财经法大学数字经济研究所执行院长潘和林在接受《中国消费者日报》采访时表示,为了保护消费者的权益,我们需要打开信息消费者权益保护的渠道进入黑猫投诉,如建立一个正常的投诉部门。同时,在信息技术外包时,应防止大包装,加强个人信息保护。
上一篇: 老牌IT外包公司难逃华为阴影