整改！監管點名銀行保險機構科技外包風險 全球百事通

科技外包為保險等金融機構提升服務能力的同時，其所帶來的運用風險也不容小覷。

(資料圖)

6月28日，北京商報記者從業內獲悉，國家金融監督管理總局近日發布《關于加強第三方合作中網絡和數據安全管理的通知》（以下簡稱《通知》），其中，保險機構對數字生態場景合作情況底數不清、對外包服務商的準入控制不嚴、對外包服務的應急管理機制不健全等問題被擺上臺面。

在業內人士看來，保險機構需要根據《通知》指出的問題進行一次全面排查和整改，舉一反三。從行業角度出發，在提升數字化水平的同時，還需要圍繞產業發展共性需求，加強數據安全服務供給。

繼2022年初原銀保監會強化保險信息科技外包風險整頓規范后，又一針對科技外包風險的利劍“高懸”。

整體來看，《通知》從企業微信服務風險情況、科技外包風險情況兩方面指出了保險機構當前面臨的主要風險和問題。

從企業微信服務風險情況來看，《通知》指出的主要風險和問題為，一是保險機構對數字生態場景合作情況底數不清，缺乏統籌管理，二是保險機構對合作中數據安全風險和責任識別劃分不清。

從科技外包的主要風險和問題來看，《通知》指出，一是保險機構在供應鏈安全管理上履職不到位，二是保險機構對外包服務的應急管理機制不健全，三是外包服務商的安全管理和技術防護能力嚴重不足。

在《通知》中，監管部門也列舉了保險公司科技外包風險的相關事件。“某壽險公司采購部署的第三方軟件產品‘保融第三方簽約平臺’，在網絡攻防演習時被發現其前端管理頁面的JS文件中明文寫有管理員賬號及密碼，攻擊者可利用該賬號繞過前端驗證直接登錄系統，并查詢包含個人敏感信息在內的所有數據，存在敏感數據泄露風險。”

從企業微信服務風險層面，監管要求開展風險自査，并且還為整改排查設置了時間期限，根據《通知》，保險機構應按照監管隸屬關系，于7月10日前，將風險自查和整改情況、企業微信合作情況表向國家金融監督管理總局或銀保監局（分局）報告。從科技外包層面，監管要求保險機構應強化“服務外包、責任不外包”的主體意識，切實承擔數據安全主體責任，統籌管理科技風險，壓實外包服務商安全責任，提升整體防控水平等。

厚雪研究首席研究員于百程表示，此次，國家金融監督管理總局以案例風險預警的方式，對金融機構提出監管要求，更具有直觀性和可操作性，一些問題漏洞可能在許多保險金融機構業務中都存在，比如業務如何分類上云，如何保障敏感的信息安全、賬戶密碼的存放管理等。

保險業已走進數字化時代，智能化應用遍地開花，為客戶帶來了更為優質的服務體驗，但同時也需要關注到，目前也有一些科技并未完全成熟。與此同時，近年來保險業務與科技高度融合，保險機構與第三方的合作逐漸增多，科技業務外包并不鮮見。

“保險公司在產品設計、展業、風險管理中存在數據缺乏嚴重、流量入口窄等問題，難免需要與第三方合作?！睂τ诋斍巴獍萍计髽I與險企合作的主要業務和形式，對外經濟貿易大學保險學院院長謝遠濤表示，產品設計、定價、評估，乃至獲客、展業、風險管理中都可能合作，廣泛運用于保險業務的產品、營銷、承保、理賠、運營等環節。

樂橙云服市場總監侯珺峰對此也表示，主要業務涉及保險銷售系統、獲客系統、團隊管理系統、CRM系統，主要形式為企業定制開發或模塊化使用。

而在科技外包的過程中，風險也隨之而來?？v觀行業，保險機構通過科技外包，使得業務效率不斷提升的同時，網絡和數據安全風險不可避免，甚至成為了保險機構面臨的主要經營風險。

“網絡和數據安全問題的發生，有一些來自保險機構自身，有一些來自技術合作方。技術合作方如果能力、意識和機制不夠，加上金融機構風險管理不夠或不當，就更有可能出現不可控的網絡和數據安全風險?！庇诎俪谭治霰硎?。

在謝遠濤看來，特別是科技企業，在數據流交互過程中可能出現信息泄露風險。

“風險主要體現在數據獲取、數據流轉、數據驗證、數據外泄等問題，其中每個環節的加密，流通接口處理都應符合網絡安全合規的要求?！焙瞵B峰也表示，互聯網保險迅速發展，但某些場景下的保險獲客存在消費者信息泄露的風險。

近年來，《網絡安全法》《數據安全法》等法律法規的相繼出臺，對做好金融業數據安全工作提出了新的要求。原銀保監會在《銀行業保險業數字化轉型的指導意見》《銀行保險機構信息科技外包風險監管辦法的通知》中，均將網絡和信息安全風險作為重要內容作出要求，比如不得將信息科技管理責任、網絡安全主體責任外包等。

那么，基于此次發布的《通知》，保險機構如何加強在網絡和數據安全方面的風險防范工作？

在業內人士看來，對于數據安全治理要以數據安全管控制度為核心，構筑形成組織、管理、技術、運營多位一體的數據安全治理體系框架。于百程表示，在此次《通知》中，監管方提出了一些具體要求，保險機構可對照進行一次全面排查和整改，舉一反三，在網絡和數據安全風險管理制度，機構和合作方風險責任劃分，合作方準入管理，關鍵問題排查和日常風險監測，以及應急處置機制等方向，不斷夯實、形成切實可行的長效風險管理機制。

此外，從保險機構筑牢科技基本功層面，還需要進一步探索，并在不斷地探索中實現智能化的穩步提升。侯珺峰表示，一是，系統自身安全等級要高，后臺不可輕易被訪問甚至篡改；二是，系統核心代碼數據及消費者數據的加密處理要更嚴格；三是，提升數字化水平，所有數據流通通過數據接口加密完成。

不過，由于科技投入大、重視不足等問題，保險機構自身科技能力的強化并非朝夕就能解決的易事。在滿足監管整改要求的過程中，還需解決多個難題，侯珺峰表示，其中包括保險核心系統研發成本高，早期企業數字化水平不夠且資金不足；保險機構對數據安全不重視，沒有建立具體的企業數據安全管理辦法；獲客場景的合規管理還需進一步明確細節等。

下一步，為應對潛在的數據安全風險，還有待監管、險企在內的各方齊發力。比如如果要應對國內外數據合規方面的雙重要求，謝遠濤認為，企業需要在前期梳理解讀各國法律法規、中期采取適配措施滿足需求以及后期適配后的評估認證等方面進行較多的投入。同時，需要積極培育全球合作生態，夯實數據標準互認基礎；圍繞產業發展共性需求，加強數據安全服務供給。

謝遠濤認為，數據監管方式還應創新。數據安全只有做好事前、事中、事后的全流程、全方位風險評估部署，才能系統性地進行風險防范與應對?，F階段最重要的工作是建立數據的事后監管制度，減少不必要的事前審批。目前數據監管容易出現“監管擁堵”問題，建議強化以事中、事后為主的監管能力建設，在監管中要更多地采用先進技術，減少傳統意義上的人海戰術。

關鍵詞：

責任編輯：Rex_29