来源 | 中国证券报、澎湃新闻等

据悉，国家金融监督管理总局近日向银行、保险、理财公司等机构下发《关于加强第三方合作中网络和数据安全管理的通知》(以下简称《通知》)。

《通知》指出，近期，部分银行保险机构的外包服务商发生多起安全风险事件，对银行保险机构的网络和数据安全、业务连续性造成一定影响，暴露出银行保险机构在外包服务管理上存在突出风险问题。

《通知》要求，银行保险机构应强化“服务外包、责任不外包”的主体意识。银行保险机构应加强风险评估和尽职调查，加大监控力度和违规问责，加强对外包服务商的监督管理和实地检查，合作结束后必须下线相关系统并删除数据。

要求报告企业微信合作情况

《通知》列举了企业微信服务风险情况相关事件。

《通知》披露，某微信代理商为多家银行提供企业微信相关服务，将银行客户经理和客户的聊天会话存档在该服务商租用的公有云服务器上，会话存档数据包含部分客户姓名、身份证号等敏感个人信息。未经银行同意，该服务商私自使用数家银行600余万条会话存档数据用于该公司模型训练，并提供给关联公司。银行因未尽到对客户敏感数据保护责任，引发消费者维权投诉。

《通知》表示，银行保险机构对数字生态场景合作情况底数不清，缺乏统筹管理。银行保险机构对合作中数据安全风险和责任识别划分不清。要求银行保险机构应按照监管隶属关系，将风险自查和整改情况、企业微信合作情况进行报告。

外包合作结束后必须删除数据

《通知》还介绍了银保机构科技外包风险情况，并列举相关事件。

如，2022年8月，4家省联社托管在某服务商的网银系统因存在越权访问漏洞，被不法分子攻破，大量客户信息和账户信息被窃取。2023年2月，某互联网域名代理商因私自变更失误导致某银行互联网域名解析失败，在业务高峰期影响金融交易达68分钟。

《通知》指出，银行保险机构对外包服务商的准入控制不严，尽职调查和风险评估不深入，未充分识别外包合作存在的风险隐患，未按规定报告监管部门；监督检查不够，对系统运行和网络数据安全风险不掌握；合作结束后未及时清理删除数据；部分重要业务依赖单一外包服务商，缺乏冗余措施。

《通知》要求，银行保险机构应强化“服务外包、责任不外包”的主体意识，切实承担数据安全主体责任，统筹管理科技风险，压实外包服务商安全责任，提升整体防控水平。

通报的5个事件

在科技外包风险方面，《通知》主要通报了5个事件，具体包括：

一、2022年8月，4家省联社托管在某服务商的网银系统因存在越权访问漏洞，被不法分子攻破，大量客户信息和账户信息被窃取。

二、某软件开发公司负责程序投产包发布的员工，因私自使用国外邮件代理工具而被黑客盗取工作邮箱密码。2022年5月，黑客登录邮箱并下载了部分邮件内容，在向公司勒索未果后，7月将数据在海外网站售卖，涉及34家银行业金融机构2个信息系统的部分程序源代码、设计文档和数据库配置文件等技术敏感信息。

三、某数据中心托管服务商的客户服务系统存在 SQL注入和文件上传漏洞。2021年9月黑客入侵该系统并窃取数据库中信息，2023年1月在海外网站售卖，其中包括70余家银行保险机构的数百条员工个人信息。

四、某寿险公司采购部署的第三方软件产品“保融第三方签约平台”，在网络攻防演习时被发现其前端管理页面的JS文件中明文写有管理员账号及密码，攻击者可利用该账号绕过前端验证直接登录系统，并查询包含个人敏感信息在内的所有数据，存在敏感数据泄露风险。

五、2023年2月，某互联网域名代理商因私自变更失误，导致某银行互联网域名解析失败，在业务高峰期影响金融交易达68分钟。

《通知》指出，上述事件主要存在的风险和问题包括：一是银行保险机构在供应链安全管理上履职不到位；二是银行保险机构对外包服务的应急管理机制不健全；三是外包服务商的安全管理和技术防护能力严重不足。

《通知》强调，涉及本通知通报安全事件的有关银行保险机构，要制定风险整改方案和计划，并按照监管隶属关系向总局或派出机构报告，各级派出机构要加强评估，严格督促，确保落实，不留问题死角。对整改不力的机构，要及时采取监管措施。

要建立与外包服务商的隔离防火墙

《通知》还提到，银行保险机构对外提供数据应按“业务必需、最小权限”原则进行，系统和数据应优先在银行保险机构本地化部署。加强边界防护和传输保护，建立与外包服务商的隔离防火墙，不通过即时通讯、网盘、互联网邮箱等不安全渠道传输数据。

值得关注的是，2021年12月30日，原银保监会印发的《银行保险机构信息科技外包风险监管办法》明确了信息科技外包风险管理的总体要求，即银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险。

金融监管总局要求，一是要开展风险自查，二是加强科技风险统筹管理，三是加强非驻场外包风险监测和监管报告。

“针对上述问题，银行保险机构要开展一次自查，摸清数字生态场景合作中的网络和数据安全风险底数，开展摸排整改。在合同协议中强化数据安全要求，对于存在违规行为或违反合同约定的，要追究有关外包合作单位的责任，在问题整改完成前，不能扩大合作范围内容。”

根据《通知》，银行保险机构应按照监管隶属关系，于7月10日前，将风险自查和整改情况、企业微信合作情况表向国家金融监督管理总局或银保监局（分局）报告。银保监局汇总后，于7月20日前报送国家金融监管总局。