作者:
何植松张静赵楠陈伟
⼀.
出台背景
近⽇,中国银⾏保险监督管理委员会(以下简称“ 银保监会”)印发了《银⾏保险机构信息科技外包风险监管办法》(银保监办发〔2021〕141号)(以下简称“ 《办法》”),于公布之⽇起实施。
《银⾏业⾦融机构信息科技外包风险监管指引》(银监发〔2013〕5号,以下简称“ 《监管指引》”)、《中国银监会办公厅关于加强银⾏业⾦融机构信息科技⾮驻场集中式外包风险管理的通知》(银监办发〔2014〕187号)、《中国银监会办公厅关于开展银⾏业⾦融机构信息科技⾮驻场集中式外包监管评估⼯作的通知》(银监办发〔2014〕272号)于《办法》实施之⽇同时废⽌。
《办法》的出台,将对银⾏保险机构及银保监会及其派出机构监管的其他⾦融机构的信息科技外包活动产⽣重⼤影响。本⽂旨在对《办法》的重点修订内容以新旧法规对⽐的⽅式进⾏解读,以飨读者。
⼆.
《办法》的主要修订内容及解读
(⼀)扩⼤适⽤范围
相较于《监管指引》,《办法》第⼆条明确将保险集团(控股)公司、保险公司、保险资产管理公司、⾦融资产管理公司纳⼊适⽤范围,并要求银保监会及其派出机构监管的其他⾦融机构参照《办法》执⾏。
点击可查看⼤图
(⼆)强化银⾏保险机构的主体责任,明确不得外包的范围
与《监管指引》相⽐,《办法》未明确列举可以进⾏信息科技外包的业务类型,⽽是采⽤负⾯清单的形式明确不得进⾏信息科技外包的范围:《办法》明确要求银⾏保险机构在进⾏信息科技外包时应将“不得将信息科技管理责任、⽹络安全主体责任进⾏外包”作为原则之⼀;信息科技外包治理⽅⾯,《办法》明确规定银⾏保险机构应当明确不能外包的信息科技职能。涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核⼼竞争⼒的职能不得外包。强化了银⾏保险机构在信息科技安全⽅⾯的主体责任。
点击可查看⼤图
(三)强调个⼈信息保护和⽹络安全
鉴于《中华⼈民共和国数据安全法》和《中华⼈民共和国个⼈信息保护法》于2021年先后出台,与《中华⼈民共和国⽹络安全法》形成了国内数据安全⽴法的“三驾马车”,《办法》以“三驾马车”为上位法,在此基础上提出⽹络安全、数据安全、跨包的信息跨境处理等要求。
《办法》对于个⼈信息保护和⽹络安全的强调主要体现在以下⽅⾯:
1. 除信息科技外包(银⾏保险机构将原本由⾃⾝负责处理的信息科技活动委托给服务提供商进⾏处理的⾏为)外,相较于《监管指引》,《办法》明确要求银⾏保险机构与其他第三⽅合作当中涉及银⾏保险机构重要数据和客户个⼈信息处理的信息科技活动,亦应按照《办法》相关要求进⾏管理,法律法规另有要求的除外。
2. 强调银⾏保险机构实施信息科技外包时,应将 “保障⽹络和信息安全,加强重要数据和个⼈信息保护”作为原则之⼀。
3.《办法》明确要求银⾏保险机构应当制定和落实⽹络和信息安全管理措施,包括但不限于:
(1)对服务提供商和外包⼈员进⾏⽹络和信息安全教育或培训,增强⽹络和信息安全意识,服务提供商应与银⾏保险机构签订安全保密协议,外包⼈员应签署安全保密承诺书;
(2)明确外包活动需要访问或使⽤的信息资产,按“必需知道”和“最⼩授权”原则进⾏访问授权,严格管控远程维护⾏为;
(3)对信息系统开发交付物(含拥有知识产权的源代码)进⾏安全扫描和检查;
(4)对客户信息、源代码和⽂档等敏感信息采取严格管控措施,对敏感信息泄露风险进⾏持续监测;
(5)对服务提供商所提供的模型、算法及相关信息系统加强管理,确保模型和算法遵循可解释、可验证、透明、公平的原则;
(6)定期对外包活动进⾏⽹络和信息安全评估。
4.《办法》附则对重要数据、客户个⼈信息和敏感信息注明参考国家法律法规和国家标准相关定义,此前多项法律法规、监管规定、国家和⾏业标准已对个⼈信息或⾦融数据委托处理的⾏为作出规范要求,《办法》与之有效联动。(四)明确界定重要外包的范围,将信息科技外包进⾏分类管理
根据《办法》,银⾏保险机构应对信息科技外包活动及相关服务提供商进⾏分级管理,对重要外包和
⼀般外包采取差异化管控措施。与《监管指引》相⽐,《办法》明确界定了重要外包的范围,以便构建对重要外包进⾏重点监管的监管体系。根据《办法》第⼗三条,下列信息科技外包活动原则上属于重要外包:
(1)信息科技⼯作整体外包,仅保留必要的管理团队和核⼼职能;
(2)数据中⼼(机房)整体外包;
(3)涉及基础设施和信息系统整体架构发⽣重⼤变化的信息科技外包;
(4)核⼼业务系统开发测试和运⾏维护的整体外包;
(5)信息科技战略规划(含中长期规划)咨询外包;
(6)安全运营的整体外包;
(7)涉及集中存储或处理银⾏保险机构重要数据和客户个⼈敏感信息的外包;
(8)直接影响实时服务、影响账务准确性的重要信息系统外包;
(9)其它对机构业务运营具有重要影响的外包。
(五)构建重要外包的监管体系
1. 提⾼重要外包的内部审批层级
相较于《监管指引》,《办法》明确规定重要外包银⾏保险机构应⾄少向⾼管层报告并经过审批,提⾼了重要外包的内部审批层级。
点击可查看⼤图
2. 扩⼤对重要外包的备选服务提供商的准⼊尽职调查范围,并明确⾮驻场重要外包的重点调查内容
与《监管指引》相⽐,《办法》对重要外包的备选服务商的尽职调查要求涵盖的范围更为⼴泛。根据《办法》,银⾏保险机构应在签订合同前,对重要外包的备选服务提供商深⼊开展尽职调查,必要时可聘请第三⽅机构协助调查。
点击可查看⼤图
此外,在上述尽职调查范围的基础上,《办法》进⼀步明确规定对于符合重要外包条件的⾮驻场外包,应当进⼀步重点调查如下内容:
(1)服务提供商对银⾏保险机构与其他机构的设施、系统和数据是否有明确、清晰的边界;
(2)服务提供商是否有管理制度和技术措施保障银⾏保险机构数据的完整性和保密性;
(3)服务提供商对涉及银⾏保险机构的服务器、存储、⽹络设备、操作系统、数据库、中间件等软硬件基础设施是否具有最⾼访问权限;
(4)服务提供商是否拥有或可能拥有业务系统的最⾼管理权限或访问权限,是否能够浏览、获取重要数据或客户个⼈敏感信息;
赵楠个人资料(5)服务提供商是否有完善的灾难恢复设施和应急管理体系,是否有业务连续性安排;
(6)服务提供商是否存在不正当竞争或规避监管的情形。
3. 明确要求制定重要外包的退出策略
相较于《监管指引》,《办法》明确要求银⾏保险机构考虑重要外包终⽌的可能性,并制定重要外包的退出策略。退出策略⾄少明确以下内容:
(1)可能造成外包终⽌的情形;
(2)外包终⽌的业务影响分析;
(3)终⽌交接安排。
4. 明确要求银⾏保险机构建⽴重要外包的风控措施
相较于《监管指引》,《办法》明确要求银⾏保险机构针对可能给业务连续性管理造成重⼤影响的重要外包服务,事先建⽴风险控制、缓释或转移措施,包括但不限于:
(1)事先制定退出策略和供应链安全保障⽅案,并在外包服务实施过程中持续收集服务提供商相关信息,尽早发现可能导致服务中断或服务质量下降的情况;
(2)明确措施和⽅法,在服务提供商服务质量不能满⾜合同要求的情况下,保障获取其外包服务资源的优先权;
(3)要求服务提供商提供必要的应急和灾备资源保障,制定应急处理预案并在预案中明确为银⾏保险机构提供应急响应和恢复的优先级,原则上应为最⾼级;
(4)组织服务提供商参与应急计划编制和应急演练,⾄少每年在综合性演练或专项演练中纳⼊⼀个或多个服务提供商开展⼀次相关演练;
(5)考虑预先在银⾏保险机构内部配置相应的⼈⼒资源,掌握必要的技能,以在外包服务中断期间⾃⾏维持最低限度的服务能⼒。
5. 强化对重要外包的监管措施
相较于《监管指引》,《办法》将监管措施与重要外包进⾏挂钩,强化对重要外包的事前和事中的监管报告措施。
根据《办法》,银⾏保险机构在开展符合重要外包条件的⾮驻场外包、关联外包和跨包时,应当在外包合同签订前⼆⼗个⼯作⽇向银保监会或其派出机构的信息科技监管部门报告;银⾏保险机构开展的重要外包服务⾮正常中断、终⽌或其服务提供商⾮正常退出的,应当作为重⼤风险事件,按照相关突发事件监管报告要求,向银保监会或其派出机构报告。
点击可查看⼤图
(六)加强对同业外包的监管
与《监管指引》相⽐,《办法》明确要求,银⾏保险机构对于关联外包和同业外包不得降低对服务提供商的要求,严格防范利益冲突和利益输送。将同业外包及关联外包与其他外包置于同样严苛的监管环境进⾏规制。
点击可查看⼤图
(七)加强监管⼒度
1.将信息科技外包⼯作纳⼊监管综合评价体系
根据《办法》规定,银保监会及其派出机构对银⾏保险机构信息科技外包风险进⾏独⽴评估,对银⾏保险机构信息科技外包⼯作进⾏监督和检查,并纳⼊监管综合评价体系。对于检查发现涉嫌违法事项的有关单位和个⼈,依照相关法律规定实施延伸检查。
2. 对风险较⾼的信息科技外包服务采取特别监管措施
根据《办法》规定,对于经监管评估、监督检查或现场核查风险较⾼的信息科技外包服务,银保监会及其派出机构可以对银⾏保险机构采取风险提⽰、约见谈话、监管质询、要求暂缓和停⽌相关外包活动等措施。对具有重⼤违法违规情形的服务提供商,银保监会可通报⾏业,必要时将有关情况移交司法机关。
3. 问责和处罚机制
根据《办法》规定,银⾏保险机构违反《办法》要求的,银保监会及其派出机构依法予以纠正,并视情况予以问责或处罚。
★结语★
综上,《办法》在适⽤范围、主体责任、对信息科技外包特别是重要外包的监管要求以及监管措施等⽅⾯进⾏了修改和补充,并在原相关规定基础上进⼀步加强监管⼒度,使得银⾏保险机构的合规压⼒显著提升。建议银⾏保险机构根据《办法》的要求梳理完善相关协议及制度⽂件,逐⼀落实《办法》的相关要求,以便在合法合规的前提下实施信息科技外包业务。
点击阅读
Know Your Customer:简析《⾦融机构客户尽职调查和客户⾝份资料及交易记录保存管理办法》
The End
作者简介
何植松律师
上海办公室合伙⼈
业务领域:投资并购和公司治理, ⾦融产品和信托, 中国内地资本市场
特⾊⾏业类别:⾦融⾏业
张静律师
上海办公室合伙⼈
业务领域:私募股权和投资基⾦, 融资业务, 中国内地资本市场
特⾊⾏业类别:能源与⾃然资源, ⾦融⾏业
赵楠律师
上海办公室公司业务部
陈伟
上海办公室私募基⾦与资管部
作者往期⽂章推荐
《 Know Your Customer:简析》
《解读对理财公司的业务影响》(下)
《⾦融控股公司步⼊规范监管时代 ——浅析核⼼要点》(上)
《的重要变化及影响》
《热评:五⼤AIC获批在沪开展⾮债转股股权投资业务》
《修订解读——消费⾦融公司篇》
《⾦融控股公司如何应对即将到来的监管风暴?》
《进⼀步扩⼤⾦融业对外开放监管及实务系列 ——外资银⾏核⼼监管新规重点解读》
特别声明:
以上所刊登的⽂章仅代表作者本⼈观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。如需转载或引⽤该等⽂章的任何内容,请私信沟通授权事宜,并于转载时在⽂章开头处注明来源于“中伦视界”及
发布评论