日前，国家金监总局向各地方银保监局、银行等机构下发了《强第三方合作中网络和数据安全管理的通知》（下称《通知》），要求严查银行合作的外包服务商，保障数据安全。再次将外包数据公司存在的问题拉到讨论中心。

(资料图)

监管对数据服务商进一步提出更高要求，未来银行业务外包的门槛和服务风险将会增大。

600万条银行客户数据泄露

根据此前国家金监总局公布的信息，近几个月以来，部分机构的外包服务商发生多起安全风险事件，给银行的网络和数据安全、业务连续性造成了一定影响。

在企业微信服务风险情况方面，通知通报了一案例：

一位替金融机构做微信托管运营的代理商，为多家银行提供企业微信相关服务，将银行客户经理和客户的聊天会话存档在该服务商租用的公有云服务器上，会话存档数据包含部分客户姓名、身份证号、手机号、银行账号等敏感个人信息。未经银行同意，该服务商私自使用数家银行600余万条会话存档数据用于该公司模型训练，并提供给关联公司。银行因未尽到对客户敏感数据保护责任，引发消费者维权投诉。

在科技外包风险方面，通知主要通报了五个事件：

一、2022年8月，4家省联社托管在某服务商的网银系统因存在越权访问漏洞，被不法分子攻破，大量客户信息和账户信息被窃取。

二、某软件开发公司负责程序投产包发布的员工，因私自使用国外邮件代理工具而被黑客盗取工作邮箱密码。2022年5月，黑客登录邮箱并下载了部分邮件内容，在向公司勒索未果后，7月将数据在海外网站售卖，涉及34家银行业金融机构2个信息系统的部分程序源代码、设计文档和数据库配置文件等技术敏感信息。

三、某数据中心托管服务商的客户服务系统存在SQL注入和文件上传漏洞。2021年9月黑客入侵该系统并窃取数据库中信息，2023年1月在海外网站售卖，其中包括70余家银行保险机构的数百条员工个人信息。

四、某寿险公司采购部署的第三方软件产品“保融第三方签约平台”，在网络攻防演习时被发现其前端管理页面的JS文件中明文写有管理员账号及密码，攻击者可利用该账号绕过前端验证直接登录系统，并查询包含个人敏感信息在内的所有数据，存在敏感数据泄露风险。

五、2023年2月，某互联网域名代理商因私自变更失误，导致某银行互联网域名解析失败，在业务高峰期影响金融交易达68分钟。

银行需开展风险自查和整改

值得一提的是，今年1月，工业和信息化部、国家互联网信息办公室等十六部门就曾在《进数据安全产业发展的指导意见》提到要提高各行各业的数据安全防护能力。

而更早之前的《个人信息保护法》、《强网络信息安全与客户信息保护有关事项的通知》、《银行业金融机构数据治理指引》等多部文件更是指明了银行等机构在用户数据的收集和使用上需要更加审慎。

银行作为数据最大、量最集中、涉及核心隐私信息最多的机构之一，在信息安全的处理上应该更加克制。但从目前看来，一些银行因为对外数据包服务商的引入和审查过程中，管理不当，导致风险事件频发。

因此，国家金融监管总局在通知中提出三点管理要求，一是要开展风险自查，二是加强科技风险统筹管理，三是加强非驻场外包风险监测和监管报告。

自查方面，国家金融监管总局要求银行要摸清数字生态场景合作中的网络和数据安全风险底数，并开展整改。在7月10日前，将风险自查和整改情况、企业微信合作情况表向国家金融监督管理总局或银保监局（分局）报告。银保监局汇总后，于7月20日前报送国家金监总局。

在科技外包风险方面，银行保险机构应强化“服务外包、责任不外包”的主体意识，一方面切实履行网络和数据安全保护义务，一方面采取针对性安全保护措施，另一方面则是建立健全应急处置机制。

通知特别要求，在此次安全事件的有关银行机构，制定风险整改方案和计划，按照监管隶属关系向国家金监总局或派出机构报告，对整改不力的机构，还要及时采取监管措施。

外包服务商问题由来已久

数据服务商兴起于在现金贷市场野蛮扩张时期，放贷机构为了规模增长四处寻找数据和流量，数据服务商刚好有相应的技术满足这一需求。

也是在这个时期，同盾科技、新颜科技、魔蝎科技等几家大数据服务商迅速崛起。

这些服务商通过自身技术攫取用户信息提供给银行、消费金融公司、催收公司等，几年内赚取了大量利润，不过过度窃取和售卖用户个人信息数据也引起了警方的注意。

2019年是这些外包服务商的分水岭之年，几乎头部几家机构都遭到了监管的打击。

时任新颜科技CEO黄向前与时任魔蝎科技CEO周江翔先后被警方带走调查，随后同盾科技爬虫类产品“数据魔盒”负责人徐斐、童保华也被警方带走。

有资深银行人士表示：像同盾这样的大数据风控公司的模型属于“黑箱”，若不审核模型，银行是不知道这类公司采用的是什么数据，无法确保数据来源的合规性。

由于这些外包服务商使用技术手段已经涉嫌严重违法，央行对银行及征信机构下发紧急通知，要求银行排查是否与第三方数据公司开展合作，排查的合作内容涉及数据采集、信用欺诈、信用评分、风控建模等方面。

同时银行需要上报第三方公司的名字、股东背景、是否涉及爬虫，确认没有合作的，也需要按照要求进行报送。同时，对于商业银行和数据公司合作在总行，执行在分支行的，也属于此次排查范围。

数据外包面临更高考验

随着大数据技术广泛引用，银行数字化转型也在进入深水期，相较于完全自研的漫长时间成本以及高额的资本投入成本，城商行特别是一些中小城商行会通过业务外包或者是技术外包给金融科技公司，以达到提质增效的目的。

资料显示，目前，银行的外包提供商种类主要包括头部互联网平台提供服务、专业外包厂商输送人力、银行自建金融子公司并提供服务以及外资大型软件企业提供服务等几种，合作对象较为丰富，也基本满足了目前银行的外包需求。

不过因为信息技术较为敏感，一些银行在采购服务时，也存在流程不清、约束较小、过于依赖外包等多种情况，极易出现监管的真空地带。

此外，随着信息系统的深入，外包机构几乎可以接触到从技术架构到业务流程等各方面的银行内部信息，若针对外包服务过程的保密措施不到位，则极易发生风险。

特别是一些中小银行，由于业务比较薄弱，能够提供的外包预算也有限，因此要么在银行基于人力、精力投入成本考虑，做起甩手掌柜，要么购买的外包服务质量不高，也极易加重信息泄露的风险。

再来说回提供外包服务的机构，目前市场上相关主体质量也是参差不齐。

根据类型不同，银行外包服务商也不一样，银行核心业务有恒生电子、新致软件等服务商，数据或风控有同盾科技、宇信科技、摩羯科技、萨摩耶、邦盛科技等服务商。

有些服务商因为与银行立场不同，对外包服务商的相关作业人员监管不到位等原因，会出现外包人员会因为私欲窃取出现隐私信息售卖的情况。

建行就曾多次陷入“泄露门”丑闻。在裁判文书网一起判例中，崔某利用在建行永州市分行担任外包人员的职务之便，通过盗用管理人员陈某操作码，查询外地个人信用报告3678笔。

崔某后以10元／份的价格通过吕某芳卖给广东一名经营小额贷款公司的男子，非法获利36780元。

可以肯定的是，随着金融业迈入数字化时代，数据安全、数据管理成为监管重点，监管对于金融数据的安全排查也会呈现出力度越来越大、针对性越来越强的特点。

未来，银行必须在更好的技术服务、更低的服务价格和更严、更繁复的保密措施等方面做出平衡，若不能及时完善信息外包管理流程，大概率会成为罚单上的常客了。

而银行为避免违规的情况出现，在挑选合作机构时，要求也会更高，这也会直接导致一些在数据技术上落后的机构被淘汰。

关键词：