《银行保险机构信息科技外包风险监管办法》...

近日，中国银行保险监督管理委员会（以下简称“银保监会”）印发了《银行保险机构信息科技外包风险监管办法》（银保监办发〔2021〕141号）（以下简称“《办法》”），于公布之日起实施。

《银行业金融机构信息科技外包风险监管指引》（银监发〔2013〕5号，以下简称“《监管指引》”）、《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》（银监办发〔2014〕187号）、《中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知》（银监办发〔2014〕272号）于《办法》实施之日同时废止。

《办法》的出台，将对银行保险机构及银保监会及其派出机构监管的其他金融机构的信息科技外包活动产生重大影响。本文旨在对《办法》的重点修订内容以新旧法规对比的方式进行解读，以飨读者。

相较于《监管指引》，《办法》第二条明确将保险集团（控股）公司、保险公司、保险资产管理公司、金融资产管理公司纳入适用范围，并要求银保监会及其派出机构监管的其他金融机构参照《办法》执行。

点击可查看大图

与《监管指引》相比，《办法》未明确列举可以进行信息科技外包的业务类型，而是采用负面清单的形式明确不得进行信息科技外包的范围：《办法》明确要求银行保险机构在进行信息科技外包时应将“不得将信息科技管理责任、网络安全主体责任进行外包”作为原则之一；信息科技外包治理方面，《办法》明确规定银行保险机构应当明确不能外包的信息科技职能。涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能不得外包。强化了银行保险机构在信息科技安全方面的主体责任。

点击可查看大图

鉴于《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》于2021年先后出台，与《中华人民共和国网络安全法》形成了国内数据安全立法的“三驾马车”，《办法》以“三驾马车”为上位法，在此基础上提出网络安全、数据安全、跨境外包的信息跨境处理等要求。

《办法》对于个人信息保护和网络安全的强调主要体现在以下方面：

1. 除信息科技外包（银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为）外，相较于《监管指引》，《办法》明确要求银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动，亦应按照《办法》相关要求进行管理，法律法规另有要求的除外。

2. 强调银行保险机构实施信息科技外包时，应将 “保障网络和信息安全，加强重要数据和个人信息保护”作为原则之一。

3.《办法》明确要求银行保险机构应当制定和落实网络和信息安全管理措施，包括但不限于：

（1）对服务提供商和外包人员进行网络和信息安全教育或培训，增强网络和信息安全意识，服务提供商应与银行保险机构签订安全保密协议，外包人员应签署安全保密承诺书；
（2）明确外包活动需要访问或使用的信息资产，按“必需知道”和“最小授权”原则进行访问授权，严格管控远程维护行为；
（3）对信息系统开发交付物（含拥有知识产权的源代码）进行安全扫描和检查；
（4）对客户信息、源代码和文档等敏感信息采取严格管控措施，对敏感信息泄露风险进行持续监测；
（5）对服务提供商所提供的模型、算法及相关信息系统加强管理，确保模型和算法遵循可解释、可验证、透明、公平的原则；
（6）定期对外包活动进行网络和信息安全评估。

4.《办法》附则对重要数据、客户个人信息和敏感信息注明参考国家法律法规和国家标准相关定义，此前多项法律法规、监管规定、国家和行业标准已对个人信息或金融数据委托处理的行为作出规范要求，《办法》与之有效联动。

根据《办法》，银行保险机构应对信息科技外包活动及相关服务提供商进行分级管理，对重要外包和一般外包采取差异化管控措施。与《监管指引》相比，《办法》明确界定了重要外包的范围，以便构建对重要外包进行重点监管的监管体系。根据《办法》第十三条，下列信息科技外包活动原则上属于重要外包：

（1）信息科技工作整体外包，仅保留必要的管理团队和核心职能；

（2）数据中心（机房）整体外包；

（3）涉及基础设施和信息系统整体架构发生重大变化的信息科技外包；

（4）核心业务系统开发测试和运行维护的整体外包；

（5）信息科技战略规划（含中长期规划）咨询外包；

（6）安全运营的整体外包；

（7）涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包；

（8）直接影响实时服务、影响账务准确性的重要信息系统外包；

（9）其它对机构业务运营具有重要影响的外包。

1. 提高重要外包的内部审批层级

相较于《监管指引》，《办法》明确规定重要外包银行保险机构应至少向高管层报告并经过审批，提高了重要外包的内部审批层级。

点击可查看大图

2. 扩大对重要外包的备选服务提供商的准入尽职调查范围，并明确非驻场重要外包的重点调查内容

与《监管指引》相比，《办法》对重要外包的备选服务商的尽职调查要求涵盖的范围更为广泛。根据《办法》，银行保险机构应在签订合同前，对重要外包的备选服务提供商深入开展尽职调查，必要时可聘请第三方机构协助调查。

点击可查看大图

此外，在上述尽职调查范围的基础上，《办法》进一步明确规定对于符合重要外包条件的非驻场外包，应当进一步重点调查如下内容：

（1）服务提供商对银行保险机构与其他机构的设施、系统和数据是否有明确、清晰的边界；

（2）服务提供商是否有管理制度和技术措施保障银行保险机构数据的完整性和保密性；

（3）服务提供商对涉及银行保险机构的服务器、存储、网络设备、操作系统、数据库、中间件等软硬件基础设施是否具有最高访问权限；

（4）服务提供商是否拥有或可能拥有业务系统的最高管理权限或访问权限，是否能够浏览、获取重要数据或客户个人敏感信息；

（5）服务提供商是否有完善的灾难恢复设施和应急管理体系，是否有业务连续性安排；

（6）服务提供商是否存在不正当竞争或规避监管的情形。

3. 明确要求制定重要外包的退出策略

相较于《监管指引》，《办法》明确要求银行保险机构考虑重要外包终止的可能性，并制定重要外包的退出策略。退出策略至少明确以下内容：

（1）可能造成外包终止的情形；

（2）外包终止的业务影响分析；

（3）终止交接安排。

4. 明确要求银行保险机构建立重要外包的风控措施

相较于《监管指引》，《办法》明确要求银行保险机构针对可能给业务连续性管理造成重大影响的重要外包服务，事先建立风险控制、缓释或转移措施，包括但不限于：

（1）事先制定退出策略和供应链安全保障方案，并在外包服务实施过程中持续收集服务提供商相关信息，尽早发现可能导致服务中断或服务质量下降的情况；

（2）明确措施和方法，在服务提供商服务质量不能满足合同要求的情况下，保障获取其外包服务资源的优先权；
（3）要求服务提供商提供必要的应急和灾备资源保障，制定应急处理预案并在预案中明确为银行保险机构提供应急响应和恢复的优先级，原则上应为最高级；

（4）组织服务提供商参与应急计划编制和应急演练，至少每年在综合性演练或专项演练中纳入一个或多个服务提供商开展一次相关演练；

（5）考虑预先在银行保险机构内部配置相应的人力资源，掌握必要的技能，以在外包服务中断期间自行维持最低限度的服务能力。

5. 强化对重要外包的监管措施

相较于《监管指引》，《办法》将监管措施与重要外包进行挂钩，强化对重要外包的事前和事中的监管报告措施。

根据《办法》，银行保险机构在开展符合重要外包条件的非驻场外包、关联外包和跨境外包时，应当在外包合同签订前二十个工作日向银保监会或其派出机构的信息科技监管部门报告；银行保险机构开展的重要外包服务非正常中断、终止或其服务提供商非正常退出的，应当作为重大风险事件，按照相关突发事件监管报告要求，向银保监会或其派出机构报告。

点击可查看大图

与《监管指引》相比，《办法》明确要求，银行保险机构对于关联外包和同业外包不得降低对服务提供商的要求，严格防范利益冲突和利益输送。将同业外包及关联外包与其他外包置于同样严苛的监管环境进行规制。

点击可查看大图

1. 将信息科技外包工作纳入监管综合评价体系

根据《办法》规定，银保监会及其派出机构对银行保险机构信息科技外包风险进行独立评估，对银行保险机构信息科技外包工作进行监督和检查，并纳入监管综合评价体系。对于检查发现涉嫌违法事项的有关单位和个人，依照相关法律规定实施延伸检查。

2. 对风险较高的信息科技外包服务采取特别监管措施

根据《办法》规定，对于经监管评估、监督检查或现场核查风险较高的信息科技外包服务，银保监会及其派出机构可以对银行保险机构采取风险提示、约见谈话、监管质询、要求暂缓和停止相关外包活动等措施。对具有重大违法违规情形的服务提供商，银保监会可通报行业，必要时将有关情况移交司法机关。

3. 问责和处罚机制

根据《办法》规定，银行保险机构违反《办法》要求的，银保监会及其派出机构依法予以纠正，并视情况予以问责或处罚。