金融监管总局发文加强金融机构外包网络和数据安全管理，要求全面展开自查

界面新闻记者 | 安震

近日，界面新闻记者从业内获悉，金融监督管理总局向各银保监局、银行、金融资产管理公司、保险公司、理财公司、养老金管理公司等金融机构下发通《关于加强第三方合作中网络和数据安全管理的通知》（以下简称《通知》）。

《通知》称，部分金融机构发生安全风险事件，对金融机构的网络和数据安全，业务连续性造成一定影响，暴露出银行保险机构在外包服务管理上存在突出⻛险问题。并要求金融机构制定⻛险整改方案和计划，并按照监管隶属关系向总局或派出机构报告，各级派出机构要加强评估，严格督促，确保落实，不留问题死⻆。

《通知》披露，某微信代理商为多家银行提供企业微信相关服务，将银行客户经理和客户的聊天会话存档在该服务商租用的公有云服务器上，会话存档数据包含部分客户姓名、身份证号等敏感个人信息。未经银行同意，该服务商私自使用数家银行600余万条会话存档数据用于该公司模型训练，并提供给关联公司。

《通知》指出，此类事件暴露了一定的风险。一是银行保险机构对数字生态场景合作情况底数不清，缺乏统筹管理。开展数字生态合作时，缺乏数据安全风险评估、监控管理等机制，存在突出风险隐患。

二是银行保险机构对合作中数据安全风险和责任识别划分不清，对业务、技术、数据等方面的风险识别不清晰，责任划分不明确，存在数据收集使用不合规、安全责任交叉、数据保护存在盲区等问题。

对此，监管提出三方面要求，一是银行保险机构要全面开展一次自查，摸清数字生态场景合作中的网络和数据安全风险底数，开展排查整改。在合同协议中强化数据安全要求，对于存在违规行为或违反合同约定的，要追究有关外包合作单位的责任，在问题整改完成前，不能扩大合作范围内容。

二是加强科技风险统筹管理。要将数字生态合作纳入到银行保险机构的外包风险管理范围，加强统筹管理。

三是加强非驻场外包风险监测和监管报告，对于集中处理重要数据和客户个人敏感信息的非驻场外包，银行保险机构应重点关注，加强风险监测，并按规定向国家金融监督管理总局或其派出机构报告。

在科技外包风险方面，《通知》披露，少数金融机构在服务商的网银系统因存在越权访问漏洞，存在客户信息和账户信息泄露风险。另外，某互联网域名代理商因私自变更失误，导致某银行互联网域名解析失败，在业务高峰期影响金融交易达68分钟。

《通知》认为，这类风险事件说明，一是银行保险机构在供应链安全管理上履职不到位，银行保险机构对外包服务商的准入控制不严，未充分识别外包合作存在的风险隐患，未按规定报告监管部门。

二是银行保险机构对外包服务的应急管理机制不健全。银行保险机构未建立外包安全事件应急处置、客户投诉处理制度，相关事件处置不及时、措施不力。

三是外包服务商的安全管理和技术防护能力严重不足。外包服务商普遍存在“重交付、轻安全”的问题，开发运维的网络和数据安全能力薄弱。

对此问题，监管部门要求，一是切实履行网络和数据安全保护义务。银行保险机构应加强风险评估和尽职调查，加大监控力度和违规问责。

二是采取针对性安全保护措施。银行保险机构对外提供数据应按“业务必需、最小权限”原则进行，建立与外包服务商的隔离防火墙。

三是建立健全应急处置机制，银行保险机构应将外包合作场景的事件应急处置纳入应急预案管理，要求外包服务商第一时间报告自身的安全生产惠件和投诉举报，报告其产品或服务发现的安全缺陷和漏洞，银行保险机构应将相关事件及时报告监管部门，并及时调查处置相关问题。