数据安全存风险 金融监管总局为科技外包划红线

科技外包为保险等金融机构提升服务能力的同时，其所带来的运用风险也不容小觑。6月28日，北京商报记者从业内获悉，国家金融监督管理总局近日发布《关于加强第三方合作中网络和数据安全管理的通知》（以下简称《通知》），其中，保险机构对数字生态场景合作情况底数不清、对外包服务商的准入控制不严、对外包服务的应急管理机制不健全等问题被摆上台面。

在业内人士看来，保险机构需要根据《通知》指出的问题进行一次全面排查和整改，举一反三。从行业角度出发，在提升数字化水平的同时，还需要围绕产业发展共性需求，加强数据安全服务供给。

多重风险遭点名

继2022年初原银保监会强化保险信息科技外包风险整顿规范后，又一针对科技外包风险的利剑“高悬”。

整体来看，《通知》从企业微信服务风险情况、科技外包风险情况两方面指出了保险机构当前面临的主要风险和问题。

从企业微信服务风险情况来看，《通知》指出的主要风险和问题为，一是保险机构对数字生态场景合作情况底数不清，缺乏统筹管理，二是保险机构对合作中数据安全风险和责任识别划分不清。

从科技外包的主要风险和问题来看，《通知》指出，一是保险机构在供应链安全管理上履职不到位，二是保险机构对外包服务的应急管理机制不健全，三是外包服务商的安全管理和技术防护能力严重不足。

在《通知》中，监管部门也列举了保险公司科技外包风险的相关事件。“某寿险公司采购部署的第三方软件产品‘保融第三方签约平台’，在网络攻防演习时被发现其前端管理页面的JS文件中明文写有管理员账号及密码，攻击者可利用该账号绕过前端验证直接登录系统，并查询包含个人敏感信息在内的所有数据，存在敏感数据泄露风险。”

从企业微信服务风险层面，监管要求开展风险自査，并且还为整改排查设置了时间期限，根据《通知》，保险机构应按照监管隶属关系，于7月10日前，将风险自查和整改情况、企业微信合作情况表向国家金融监督管理总局或银保监局（分局）报告。从科技外包层面，监管要求保险机构应强化“服务外包、责任不外包”的主体意识，切实承担数据安全主体责任，统筹管理科技风险，压实外包服务商安全责任，提升整体防控水平等。

厚雪研究首席研究员于百程表示，此次，国家金融监督管理总局以案例风险预警的方式，对金融机构提出监管要求，更具有直观性和可操作性，一些问题漏洞可能在许多保险金融机构业务中都存在，比如业务如何分类上云，如何保障敏感的信息安全、账户密码的存放管理等。

科技外包成双刃剑

保险业已走进数字化时代，智能化应用遍地开花，为客户带来了更为优质的服务体验，但同时也需要关注到，目前也有一些科技并未完全成熟。与此同时，近年来保险业务与科技高度融合，保险机构与第三方的合作逐渐增多，科技业务外包并不鲜见。

“保险公司在产品设计、展业、风险管理中存在数据缺乏严重、流量入口窄等问题，难免需要与第三方合作。”对于当前外包科技企业与险企合作的主要业务和形式，对外经济贸易大学保险学院院长谢远涛表示，产品设计、定价、评估，乃至获客、展业、风险管理中都可能合作，广泛运用于保险业务的产品、营销、承保、理赔、运营等环节。

乐橙云服市场总监侯珺峰对此也表示，主要业务涉及保险销售系统、获客系统、团队管理系统、CRM系统，主要形式为企业定制开发或模块化使用。

而在科技外包的过程中，风险也随之而来。纵观行业，保险机构通过科技外包，使得业务效率不断提升的同时，网络和数据安全风险不可避免，甚至成为了保险机构面临的主要经营风险。

“网络和数据安全问题的发生，有一些来自保险机构自身，有一些来自技术合作方。技术合作方如果能力、意识和机制不够，加上金融机构风险管理不够或不当，就更有可能出现不可控的网络和数据安全风险。”于百程分析表示。

在谢远涛看来，特别是科技企业，在数据流交互过程中可能出现信息泄露风险。

“风险主要体现在数据获取、数据流转、数据验证、数据外泄等问题，其中每个环节的加密，流通接口处理都应符合网络安全合规的要求。”侯珺峰也表示，互联网保险迅速发展，但某些场景下的保险获客存在消费者信息泄露的风险。

化解风险仍需合力

近年来，《网络安全法》《数据安全法》等法律法规的相继出台，对做好金融业数据安全工作提出了新的要求。原银保监会在《银行业保险业数字化转型的指导意见》《银行保险机构信息科技外包风险监管办法的通知》中，均将网络和信息安全风险作为重要内容作出要求，比如不得将信息科技管理责任、网络安全主体责任外包等。

那么，基于此次发布的《通知》，保险机构如何加强在网络和数据安全方面的风险防范工作？

在业内人士看来，对于数据安全治理要以数据安全管控制度为核心，构筑形成组织、管理、技术、运营多位一体的数据安全治理体系框架。于百程表示，在此次《通知》中，监管方提出了一些具体要求，保险机构可对照进行一次全面排查和整改，举一反三，在网络和数据安全风险管理制度、机构和合作方风险责任划分、合作方准入管理、关键问题排查和日常风险监测，以及应急处置机制等方向，不断夯实，形成切实可行的长效风险管理机制。

此外，从保险机构筑牢科技基本功层面还需要进一步探索，并在不断地探索中实现智能化的稳步提升。侯珺峰表示，一是系统自身安全等级要高，后台不可轻易被访问甚至篡改；二是系统核心代码数据及消费者数据的加密处理要更严格；三是提升数字化水平，所有数据流通通过数据接口加密完成。

不过，由于科技投入大、重视不足等问题，保险机构自身科技能力的强化并非朝夕就能解决的易事。在满足监管整改要求的过程中，还需解决多个难题，侯珺峰表示，其中包括保险核心系统研发成本高，早期企业数字化水平不够且资金不足；保险机构对数据安全不重视，没有建立具体的企业数据安全管理办法；获客场景的合规管理还需进一步明确细节等。

下一步，为应对潜在的数据安全风险，还有待监管、险企在内的各方齐发力。比如如果要应对国内外数据合规方面的双重要求，谢远涛认为，企业需要在前期梳理解读各国法律法规、中期采取适配措施满足需求以及后期适配后的评估认证等方面进行较多的投入。同时，需要积极培育全球合作生态，夯实数据标准互认基础；围绕产业发展共性需求，加强数据安全服务供给。

谢远涛认为，数据监管方式还应创新。数据安全只有做好事前、事中、事后的全流程、全方位风险评估部署，才能系统性地进行风险防范与应对。

北京商报记者 孟凡霞 胡永新