摘 要：有關(guān)監(jiān)管《通知》稱，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)強(qiáng)化“服務(wù)外包、責(zé)任不外包”的主體意識(shí)，統(tǒng)籌管理科技風(fēng)險(xiǎn)，壓實(shí)外包服務(wù)商安全責(zé)任

文｜陳洪杰

【資料圖】

編輯｜袁滿

“企業(yè)微信服務(wù)商私自使用數(shù)家銀行600余萬(wàn)條會(huì)話存檔數(shù)據(jù)，省聯(lián)社大量客戶信息和賬戶信息被竊取，因代理商失誤，銀行的金融交易受影響達(dá)68分鐘......”

針對(duì)近期部分銀行保險(xiǎn)機(jī)構(gòu)的外包服務(wù)商發(fā)生安全風(fēng)險(xiǎn)事件，2023年6月金融監(jiān)管部門下發(fā)的《關(guān)于加強(qiáng)第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》（下稱《通知》）稱，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)強(qiáng)化“服務(wù)外包、責(zé)任不外包”的主體意識(shí)，統(tǒng)籌管理科技風(fēng)險(xiǎn)，壓實(shí)外包服務(wù)商安全責(zé)任。

具體來(lái)看，在企業(yè)微信服務(wù)風(fēng)險(xiǎn)情況通報(bào)中，監(jiān)管部門稱，某微信代理商為多家銀行提供企業(yè)微信相關(guān)服務(wù)，將銀行客戶經(jīng)理和客戶的聊天會(huì)話存檔在該服務(wù)商租用的公有云服務(wù)器上，會(huì)話存檔數(shù)據(jù)包含部分客戶姓名、身份證號(hào)、手機(jī)號(hào)、銀行賬號(hào)等敏感個(gè)人信息。未經(jīng)銀行同意，該服務(wù)商私自使用數(shù)家銀行600余萬(wàn)條會(huì)話存檔數(shù)據(jù)用于該公司模型訓(xùn)練，并提供給關(guān)聯(lián)公司。銀行因未盡到對(duì)客戶敏感數(shù)據(jù)保護(hù)責(zé)任，引發(fā)消費(fèi)者維權(quán)投訴。

“該事件的主要風(fēng)險(xiǎn)和問(wèn)題：一是銀行保險(xiǎn)機(jī)構(gòu)對(duì)數(shù)字生態(tài)場(chǎng)景合作情況底數(shù)不清，缺乏統(tǒng)籌管理。開(kāi)展數(shù)字生態(tài)合作時(shí)，銀行保險(xiǎn)機(jī)構(gòu)外包風(fēng)險(xiǎn)主管部門、科技和數(shù)據(jù)管理部門未參與，缺乏數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、監(jiān)控管理等機(jī)制，存在突出風(fēng)險(xiǎn)隱患。二是銀行保險(xiǎn)機(jī)構(gòu)對(duì)合作中數(shù)據(jù)安全風(fēng)險(xiǎn)和責(zé)任識(shí)別劃分不清，存在數(shù)據(jù)收集使用不合規(guī)、安全責(zé)任交叉、數(shù)據(jù)保護(hù)存在盲區(qū)等問(wèn)題?！鄙鲜觥锻ㄖ贩Q。

在科技外包風(fēng)險(xiǎn)方面，監(jiān)管部門通報(bào)了5個(gè)事件，其中包括：2022年8月，4家省聯(lián)社托管在某服務(wù)商的網(wǎng)銀系統(tǒng)因存在越權(quán)訪問(wèn)漏洞，被不法分子攻破，大量客戶信息和賬戶信息被竊?。荒耻浖_(kāi)發(fā)公司負(fù)責(zé)程序投產(chǎn)包發(fā)布的員工，因私自使用國(guó)外郵件代理工具而被黑客盜取工作郵箱密碼。2023年2月，某互聯(lián)網(wǎng)域名代理商因私自變更失誤，導(dǎo)致某銀行互聯(lián)網(wǎng)域名解析失敗，在業(yè)務(wù)高峰期影響金融交易達(dá)68分鐘等。

“對(duì)于該業(yè)務(wù)，監(jiān)管一直都很嚴(yán)格，核心是要求銀行加強(qiáng)對(duì)金融數(shù)據(jù)的加密、存儲(chǔ)、傳輸、使用等全流程全生命周期管理。”某股份制銀行總行人士表示。

一位華東地區(qū)農(nóng)商行行長(zhǎng)表示，當(dāng)?shù)厥÷?lián)社的科技能力較強(qiáng)，該省轄區(qū)內(nèi)的銀行一般不太與第三方合作。但上述《通知》對(duì)科技能力較弱的省聯(lián)社以及不少城商行的外包服務(wù)有較大的影響。

這次排查和之前相比力度更大，也更有針對(duì)性。“本次更側(cè)重業(yè)務(wù)合作中涉及內(nèi)部重要數(shù)據(jù)和個(gè)人客戶敏感信息留存于第三方的場(chǎng)景。監(jiān)管擔(dān)心銀行在這類業(yè)務(wù)層面的合作可能沒(méi)有從信息科技外包風(fēng)險(xiǎn)的角度管控到位，數(shù)據(jù)安全隱患識(shí)別不全面?！蹦吵巧绦腥耸糠Q。

監(jiān)管部門進(jìn)一步提出了以下要求：一是切實(shí)履行網(wǎng)絡(luò)和數(shù)據(jù)安全保護(hù)義務(wù)。銀行保險(xiǎn)機(jī)構(gòu)應(yīng)加強(qiáng)風(fēng)險(xiǎn)評(píng)估和盡職調(diào)查，加大監(jiān)控力度和違規(guī)問(wèn)責(zé)，加強(qiáng)對(duì)外包服務(wù)商的監(jiān)督管理和實(shí)地檢查，合作結(jié)束后必須下線相關(guān)系統(tǒng)并刪除數(shù)據(jù)；強(qiáng)化合同的網(wǎng)絡(luò)和數(shù)據(jù)安全要求條款，驗(yàn)收時(shí)嚴(yán)格執(zhí)行安全風(fēng)險(xiǎn)檢查，對(duì)發(fā)生安全生產(chǎn)事件的要按合同約定進(jìn)行處罰。

二是采取針對(duì)性安全保護(hù)措施。銀行保險(xiǎn)機(jī)構(gòu)對(duì)外提供數(shù)據(jù)應(yīng)按“業(yè)務(wù)必需、最小權(quán)限”原則進(jìn)行，系統(tǒng)和數(shù)據(jù)應(yīng)優(yōu)先在銀行保險(xiǎn)機(jī)構(gòu)本地化部署。加強(qiáng)邊界防護(hù)和傳輸保護(hù)，建立與外包服務(wù)商的隔離防火墻，不通過(guò)即時(shí)通訊、網(wǎng)盤、互聯(lián)網(wǎng)郵箱等不安全渠道傳輸數(shù)據(jù)。梳理外包服務(wù)商獲取、留存的銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)，排查個(gè)人信息和程序源代碼、系統(tǒng)文檔等內(nèi)部技術(shù)資料，排查缺省賬戶密碼、弱口令、未定期更新口令、明文存儲(chǔ)口令等問(wèn)題，排查系統(tǒng)和外部產(chǎn)品的漏洞，整改問(wèn)題隱患。

三是建立健全應(yīng)急處置機(jī)制。銀行保險(xiǎn)機(jī)構(gòu)應(yīng)將外包合作場(chǎng)景的事件應(yīng)急處置納入應(yīng)急預(yù)案管理，將涉及外包服務(wù)商的投訴納入投訴管理辦法，要求外包服務(wù)商第一時(shí)間報(bào)告自身的安全生產(chǎn)事件和投訴舉報(bào)，報(bào)告其產(chǎn)品或服務(wù)發(fā)現(xiàn)的安全缺陷和漏洞等。

“各銀行保險(xiǎn)機(jī)構(gòu)應(yīng)對(duì)照上述問(wèn)題，深入排查供應(yīng)鏈風(fēng)險(xiǎn)隱患，切實(shí)加強(qiáng)整改。各級(jí)派出機(jī)構(gòu)要督促轄內(nèi)銀行保險(xiǎn)機(jī)構(gòu)嚴(yán)格落實(shí)上述工作要求，嚴(yán)肅處置因管理不當(dāng)引發(fā)的重大風(fēng)險(xiǎn)事件。涉及安全事件的機(jī)構(gòu)，要制定風(fēng)險(xiǎn)整改方案和計(jì)劃，各級(jí)派出機(jī)構(gòu)要加強(qiáng)評(píng)估，嚴(yán)格督促，確保落實(shí)，不留問(wèn)題死角。對(duì)整改不力的機(jī)構(gòu)，要及時(shí)采取監(jiān)管措施?！薄锻ㄖ愤€稱。

(作者為《財(cái)經(jīng)》記者)

關(guān)鍵詞：