文|《財經》記者 陳洪傑

編輯|袁滿

“企業微信服務商私自使用數家銀行600餘萬條會話存檔數據，省聯社大量客戶信息和賬戶信息被竊取，因代理商失誤，銀行的金融交易受影響達68分鐘．．．．．．”

針對近期部分銀行保險機構的外包服務商發生安全風險事件，2023年6月金融監管部門下發的《關於加強第三方合作中網絡和數據安全管理的通知》（下稱《通知》）稱，銀行保險機構應強化“服務外包、責任不外包”的主體意識，統籌管理科技風險，壓實外包服務商安全責任。

具體來看，在企業微信服務風險情況通報中，監管部門稱，某微信代理商爲多家銀行提供企業微信相關服務，將銀行客戶經理和客戶的聊天會話存檔在該服務商租用的公有云服務器上，會話存檔數據包含部分客戶姓名、身份證號、手機號、銀行賬號等敏感個人信息。未經銀行同意，該服務商私自使用數家銀行600餘萬條會話存檔數據用於該公司模型訓練，並提供給關聯公司。銀行因未盡到對客戶敏感數據保護責任，引發消費者維權投訴。

“該事件的主要風險和問題：一是銀行保險機構對數字生態場景合作情況底數不清，缺乏統籌管理。開展數字生態合作時，銀行保險機構外包風險主管部門、科技和數據管理部門未參與，缺乏數據安全風險評估、監控管理等機制，存在突出風險隱患。二是銀行保險機構對合作中數據安全風險和責任識別劃分不清，存在數據收集使用不合規、安全責任交叉、數據保護存在盲區等問題。”上述《通知》稱。

在科技外包風險方面，監管部門通報了5個事件，其中包括：2022年8月，4家省聯社託管在某服務商的網銀系統因存在越權訪問漏洞，被不法分子攻破，大量客戶信息和賬戶信息被竊取；某軟件開發公司負責程序投產包發佈的員工，因私自使用國外郵件代理工具而被黑客盜取工作郵箱密碼。2023年2月，某互聯網域名代理商因私自變更失誤，導致某銀行互聯網域名解析失敗，在業務高峯期影響金融交易達68分鐘等。

“對於該業務，監管一直都很嚴格，核心是要求銀行加強對金融數據的加密、存儲、傳輸、使用等全流程全生命週期管理。”某股份制銀行總行人士表示。

一位華東地區農商行行長表示，當地省聯社的科技能力較強，該省轄區內的銀行一般不太與第三方合作。但上述《通知》對科技能力較弱的省聯社以及不少城商行的外包服務有較大的影響。

這次排查和之前相比力度更大，也更有針對性。“本次更側重業務合作中涉及內部重要數據和個人客戶敏感信息留存於第三方的場景。監管擔心銀行在這類業務層面的合作可能沒有從信息科技外包風險的角度管控到位，數據安全隱患識別不全面。”某城商行人士稱。

監管部門進一步提出了以下要求：一是切實履行網絡和數據安全保護義務。銀行保險機構應加強風險評估和盡職調查，加大監控力度和違規問責，加強對外包服務商的監督管理和實地檢查，合作結束後必須下線相關係統並刪除數據；強化合同的網絡和數據安全要求條款，驗收時嚴格執行安全風險檢查，對發生安全生產事件的要按合同約定進行處罰。

二是採取針對性安全保護措施。銀行保險機構對外提供數據應按“業務必需、最小權限”原則進行，系統和數據應優先在銀行保險機構本地化部署。加強邊界防護和傳輸保護，建立與外包服務商的隔離防火牆，不通過即時通訊、網盤、互聯網郵箱等不安全渠道傳輸數據。梳理外包服務商獲取、留存的銀行保險機構數據，排查個人信息和程序源代碼、系統文檔等內部技術資料，排查缺省賬戶密碼、弱口令、未定期更新口令、明文存儲口令等問題，排查系統和外部產品的漏洞，整改問題隱患。

三是建立健全應急處置機制。銀行保險機構應將外包合作場景的事件應急處置納入應急預案管理，將涉及外包服務商的投訴納入投訴管理辦法，要求外包服務商第一時間報告自身的安全生產事件和投訴舉報，報告其產品或服務發現的安全缺陷和漏洞等。

“各銀行保險機構應對照上述問題，深入排查供應鏈風險隱患，切實加強整改。各級派出機構要督促轄內銀行保險機構嚴格落實上述工作要求，嚴肅處置因管理不當引發的重大風險事件。涉及安全事件的機構，要制定風險整改方案和計劃，各級派出機構要加強評估，嚴格督促，確保落實，不留問題死角。對整改不力的機構，要及時採取監管措施。”《通知》還稱。