最近,国家金融监督管理总局向各地方银保监局、银行、保险、理财公司等机构下发了《关于加强第三方合作中网络和数据安全管理的通知》(以下简称“通知”)。通知旨在规范金融机构与其他企业或个人在第三方合作中涉及的网络和数据安全问题,确保金融信息安全。以下内容提示银行保险机构及相关服务企业注意:
一、通知发布的背景
起因:部分银行的外包服务商的安全风险事件——数据存储不当、系统访问漏洞、安全措施漏洞、前端显示漏洞等引发的风险事件
受影响的具体场景:银行的网络和数据安全、业务连续性
重点关注环节:外包服务管理
参考《银行业金融机构外包风险管理指引》,外包是指银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。服务提供商包括独立第三方,银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。因此,外包服务管理相对于银行内控管理,且涉及的主体、业务的范围较广。由于通知主要关注数据安全、网络安全领域,因此信息科技外包服务商可能会是接下来银行重点排查的对象,信息科技外包服务商也需同时重视自查。
二、主要风险和要求
通知根据近期发生的安全风险事件,分析说明银行保险机构及外包服务商存在的问题并对银行保险机构提出整改要求。图解如下:
三、风险提示与总结
通知的要求事实上重申了《中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法的通知》(银保监办发〔2021〕141号)中有关外包活动及相关服务提供商进行分级管理,外包监控与评价、外包风险全方位识别和管理、风险控制应急措施等内容,与金融业主管部门一直以来强调的银行应当优化自身科技水平、掌握核心环节的原则性要求内核相通。
基于通知的整改要求,银行保险机构应按照监管隶属关系,于7月10日前,将⻛险自查和整改情况、上述平台合作情况表向国家金融监督管理总局或银保监局报告。银保监局汇总后,于7月20日前报送国家金融监督管理总局。
因此,接下来,银行将对外包服务商开展包括合同、系统与网络安全、数据安全、应急处置与反馈等方面进行排查,并按照通知的要求开展后续的合作。相关主体应当重视有关风险,提示如下:
针对银行保险机构:
1、首要的是先清晰了解外包合作场景,尤其是在信息合作、数据交互场景的合作中,关注外包服务商提供的服务模式,包括所使用的底层技术来源,以及不同环节下可能涉及的数据种类,并以“数据”为核心从接触、使用、销毁的全流程进行完整了解,对数据传输过程中所需要的加密技术、系统安全等级等严格要求服务商按照约定履行。
参考《GB-T35273-2020信息安全技术个人信息安全规范》对敏感信息的认定及《中华人民共和国个人信息保护法》等法规对保护敏感信息的要求,结合《个人金融信息保护技术规范》内提到的C2类可识别金融信息主体的信息和金融状况的信息、C3类用户鉴别信息等数据在收集、使用、传输等环节的特别要求,监督外包服务商的有关行为。
2、对外包服务商的评估和尽职调查需要逐步精细化,尤其对外包服务商的内部管理制度及落实情况有所了解,并且在具体的采用外包服务商所提供的技术服务、信息服务环节,了解外包服务商所使用的第三方产品情况。
3、根据排查摸清的结果,对合同和协议中涉数据安全的条款进行必要的细化和完善。针对法律明文要求采取安全保障措施的环节,明确约定外包服务商应当履行的义务。重视以合同形式来明确责任划分,清晰约定数据安全风险事件发生后的双方义务,以及银行尽职调查和风险评估后出现风险时的责任认定。最后约定违约责任并在出现违规违约情况时积极主张。
4、加强内部管理,尤其是内部技术人员和信息保护专岗人员的管理,以及风险应急流程和制度的落实。内部人员应与外包服务商协同对系统漏洞进行排查,了解可能的安全隐患,定期进行网络安全漏洞扫描和风险评估,及时修复已知漏洞。
针对外包服务商:
1、密切关注网络和系统安全,尤其关注需要依托第三方提供底层技术搭建的过程中,对第三方产品的安全性、技术标准等进行评估,及时将第三方提供技术服务的详细情况反馈给银行。从正规渠道购买第三方服务,在选定第三方合作之前详细了解使用和购买协议,先行评估可能的风险。
2、严格关注数据安全,对数据的存储、传输、使用分析等环节密切关注。外包技术商需要了解金融行业的数据划分及不同数据敏感程度,并对所有包含个人信息的载体(包括图片、文本、聊天记录等)以及载体最终存储的位置有清晰的了解。数据传输过程中,使用符合国家标准的加密方式。在使用第三方服务之前,从第三方披露的隐私政策等信息收集依据中先行评估有关的数据泄露风险和责任划分情况。
3、加强内部制度管理和人员安全意识管理。在涉及数据的前端、中台、后台等岗位,严格落实访问权限管理,做好操作日志的记录和保存,针对发生的诸如前端管理页面暴露密码的重大安全隐患及私自使用国外邮件代理工具被黑客盗取工作邮箱密码等事件,对员工进行及时的安全培训。
4、相关服务内容和所采取的保障措施、应急措施尽可能详细的反馈银行,协助银行完成排查和后续的监督,避免在出现安全风险事件时造成不可挽回的损失并承担责任。
从公开报道中可以了解到,此次安全风险事件的起因与数据存储、代理商合作管理问题、擅自使用国外邮件代理工具等细节相关,也能看出网络与数据安全问题中的各个细节都不容小觑。监管部门对银行在监督外包服务商的履职方面也提出了更加严格和精细化的要求。外包服务商同样也需要进一步提升服务保障,并结合自身业务特点制定相应的网络安全策略。建议银行、技术服务商,积极落实通知的要求,在日常业务中的具体问题可以咨询专业律师以获取更详细的法律建议。
通知内容及风险安全事件参考链接:http://news.sohu.com/a/692164709_121743816
“金融监管总局近日通知”中的数据安全问题提示
作者:程念来源:浙江垦丁律师事务所律师

最近,国家金融监督管理总局向各地方银保监局、银行、保险、理财公司等机构下发了《关于加强第三方合作中网络和数据安全管理的通知》(以下简称“通知”)。