近日,银保监会正式发布《银行保险机构信息科技外包风险监管办法》(以下简称《办法》)。这是在历时一年多的征求意见后,正式吹响了对金融领域信息科技外包市场进行全面监管的号角。
近年来,随着科技发展与应用,银行保险机构纷纷开展数字化转型。为了使数字金融更好服务金融消费者需求,意味着一些金融机构必须提供更多数字信息服务。这一方面有赖于自身加大科技创新力度,另一方面使得信息科技外包服务不断增多。在这个过程中,与金融服务发展伴生的新问题、新现象,值得格外关注。
伴随着创新应用背后也滋生了一些风险。特别是部分银行保险机构对信息科技外包风险管控不力,导致隐患渐增。《办法》中就明确列举了信息科技外包带来的六类风险,如依赖外包导致科技能力丧失,又如因服务供应商的不当行为而导致数据泄露、丢失和篡改,再如因外包服务质量问题而带来的金融服务水平下降,等等。也正是因为已经存在或潜在的种种风险,才更加凸显加强安全监管的必要性与重要性,其目的是为了确保技术可靠、信息安全、服务提升、质量高效,归根到底是更好服务消费者。
应该看到,此次出台的《办法》是将信息科技外包风险纳入到全面风险管理体系,既具有全面性,又具有指导性、针对性。根据《办法》的7章46条内容,针对信息科技外包治理、准入、监控评价、风险管理等方面,都对银行保险机构的信息科技外包提出了新要求。这意味着,以前依赖信息技术外包的时代结束了;也意味着,确保信息安全、加大信息技术创新与支持的时代正在到来。
无论是从规避风险、排查风险还是处置风险的角度看,凡属信息科技管理责任与网络安全主体责任的事,都不能再外包;凡属关键技术与涉及核心能力建设的内容,都要强化;凡属关乎个人信息保护的范畴,都应该进一步加强。只有在真正规范信息科技外包风险管理的基础上,持续改进外包策略和风险管理措施,才能更好做到防患于未然,充分保护金融消费者权益。这既是此次《办法》释放的鲜明信号,也是未来强化安全监管的必然趋势。
强化安全监管的重点,其实是呼唤强化能力建设。正如《办法》明确的,信息科技外包,是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。这说明,原本自身负责的内容,不仅应切实由相关单位保障起来,而且要基于安全与风险的考量、成本与效率的评估,真正做到有能力保障、有实力服务,而不是委托他者。这背后的深层要求是,相关银行保险机构理应建立起自身的安全管理体系、增强安全服务能力。相关金融机构自身,只有担得起为客户提供数字服务和信息服务的责任,才能确保合法合规、安全高效。
有人说,出台《办法》是“监管为金融IT外包立规矩”。的确,关乎信息安全、用户权益,规矩多一些、严一些,能更有利于行业规范、健康发展。下一步,还要加强风险监测和政策落实,推动建立有效的信息科技外包风险管理体系,让良性制度真正落地实施。
|