6月27日,成立不久的国家金融监管总局向各地方银保监局、银行、保险、理财公司等机构下发了《关于加强第三方合作中网络和数据安全管理的通知》(简称《通知》),要求各银行保险机构在与第三方商业机构开展业务合作时,应持续加强安全责任方面的跟踪监管,不能“一包了之”。
国家金融监管总局之所以及时发布《通知》,原因是近期部分银行保险机构的外包服务商发生多起安全风险事件,对银行保险机构的网络和数据安全、业务连续性造成了一定影响,暴露出银行保险机构在外包服务管理上存在突出风险问题。比如近期出版的《财经》杂志发文披露,有企业微信服务商私自使用数家银行600余万条会话存档数据,省联社大量客户信息和账户信息被窃取,因代理商失误,银行的金融交易受影响达68分钟等问题,这是银行保险机构外包服务商发生的严重安全风险事件。这些安全风险事件发生,既损害了广大金融消费者的合法权益,也严重损害了银行保险机构的社会形象。
而银行保险机构服务外包之所以不断发生客户信贷泄密风险事件,原因在四方面:一是银行保险机构对数字生态场景合作情况底数不清,缺乏统筹管理,给客户个人信息泄密留下了漏洞;二是银行保险机构对合作中的数据安全风险和责任识别划分不清,思想意识重视不够,给客户个人信息泄密留下了管理空当;三是银行保险机构对合作的第三方商业机构审查把关不严,致使一些资质不合格公司也与银行保险机构合作,给客户个人信息泄密打开了闸门;四是少数银行保险机构对第三方商业合作机构过于信任,在信息安全方面缺乏严格的防范合同约定,“一包了之”,给客户个人信息泄密打开了方便之门。同时,客户个人信息泄密风险事件发生,也暴露了银行保险机构自身存在的严重问题:主要是在供应链安全管理上履职不到位,对外包服务的应急管理机制不健全等。
银行管理“疏忽”导致客户个人信息泄露,其带来的社会危害是相当大的:首先,客户个人信息泄露为一些别有用心的不法组织机构或个人实施金融诈骗犯罪提供了便利,或使不少客户合法权益受到损失。其次,客户个人信息泄露,既增加了客户的不安全感,也引发了广大民众对银行保险机构服务的极端不信任,会严重损害银行保险机构社会形象和声誉,最终让银行保险机构失去更多的客户。再次,由于银行保险机构在与第三方合作上审核把关不严,可能让更多的第三方商业合作机构心存侥幸,趁机“浑水摸鱼”参与到服务外包中来,这样会导致银行保险服务外包鱼龙混杂,最终将损害服务外包生态,使服务外包这个新兴的金融服务产业走向歧路,也会让我国金融服务多元化陷入困局。
由此,国家金融监管总局此时发布《通知》,不仅是“及时雨”,也具有较强的现实针对性;尤其提出的相关监管要求更具有较强的可操作性。作为银行保险机构,应认真学习并领会《通知》精神,按照《通知》提出的具体监管要求抓紧落实。
一方面,应在思想认识上高度重视,抱定“亡羊补牢”心态,认真开展风险自查,将发现或有可能存在的风险隐患漏洞全部堵住。应针对服务外包存在的相关问题,全面开展一次自查,摸清数字生态场景合作中的网络和数据安全风险底数,开展排查整改。同时,在合同协议中强化数据安全要求,对于存在违规行为或违反合同约定的,要追究有关外包合作单位的责任,情节特别严重的取消合作合同。此外,加强科技风险统筹管理,银行保险机构科技和数据管理部门应加强外包合作的网络和数据安全管理,加强风险评估和事件处置。此外,重点做好重要数据和客户个人敏感信息的安全管理,并加强风险监测。
另一方面,银行保险机构应压实外包服务商安全责任,对客户个人信息安全实行全流程、无间隙监管,做到“服务外包、责任不外包”,担负起数据安全主体责任,统筹管理科技风险,提升整体安全防控水平。银行保险机构应履行网络和数据安全保护义务,加强对外包服务商的监督管理和实地检查,合作结束后必须下线相关系统并删除数据;强化合同的网络和数据安全要求条款,验收时严格执行安全风险检查,对发生安全生产事件的要按合同约定进行处罚。此外,建立健全应急处置机制,将涉及外包服务商的投诉纳入投诉管理办法,要求外包服务商第一时间报告自身的安全生产事件和投诉举报,报告其产品或服务发现的安全缺陷和漏洞,并将相关风险事件及时报告监管部门,及时调查处置相关问题,确保将风险问题消灭在萌芽状态。
作者/莫开伟 中国地方金融研究院研究员
编辑/岳彩周
校对/卢茜
