安贞近日，本网编辑了解到，金融监管总局向银行业保监局、银行、金融资产管理公司、保险公司、理财公司、养老金管理公司等金融机构下发了《关于加强第三方合作中网络和数据安全管理的通知》(以下简称《通知》)。通知称，部分金融机构发生安全风险事件，对金融机构网络和数据安全、业务连续性造成一定影响，暴露出银行保险机构在外包服务管理方面的突出风险。并要求金融机构制定风险整改的计划和方案，按监管隶属关系上报总局或派出机构。各级机关要加强评估，严格监督，确保落实，不留死角。通知称，某微信代理为多家银行提供企业微信相关服务，将银行客户经理与客户的聊天会话存档在服务提供商租用的公有云服务器上。会话的存档数据包含一些敏感的个人信息，如客户姓名和ID号。该服务商未经银行同意，私自将多家银行的600多万份会话档案数据用于公司模型训练，并提供给关联公司。通知指出，此类事件暴露出一定风险。一是银行保险机构对数字生态场景的合作不清晰，缺乏统筹管理。在开展数字生态合作时，缺乏数据安全风险评估、监控和管理等机制，存在突出风险。二是银行和保险机构在合作中对数据安全风险和责任的识别不清，对业务、技术和数据的风险识别不清，责任划分不清。存在数据采集和使用不合规、安全责任交叉、数据保护存在盲区等问题。对此，监管提出三点要求。一是银行保险机构要全面自查，摸清数字生态场景合作中的网络和数据安全风险底数，进行排查整改。加强合同协议中的数据安全要求。如有违反或违约行为，应追究外包合作单位的责任，在问题整改前不得扩大合作范围。二是加强科技风险的统筹管理。将数字生态合作纳入银行、保险机构外包风险管理范围，加强统筹管理。三是加强非现场外包的风险监测和监管报告。对于集中处理重要数据和客户个人敏感信息的非现场外包，银行保险机构应当重点关注，加强风险监控，并按要求向国家金融监督管理局或其派出机构报告。在技术外包风险方面，《通知》披露，少数金融机构因服务商网银系统存在未授权访问漏洞，存在泄露客户信息和账户信息的风险。此外，一名互联网域名代理人因私自更改错误，未能解析某银行的互联网域名，在业务高峰期影响金融交易68分钟。《通知》称，该类风险事件表明，一是银行保险机构在供应链安全管理中未履行职责，银行保险机构未严格控制外包服务商准入，未充分识别外包合作潜在风险，未按规定向监管部门报告。二是银行保险机构外包服务应急管理机制不健全。银行保险机构未建立外包安全事件应急处理和客户投诉处理制度，相关事件处理不及时，措施不力。三是外包服务商的安全管理和技术防护能力严重不足。外包服务商普遍存在“重交付轻安全”的问题，开发运营的网络和数据安全能力较弱。对此，监管部门要求:一是切实履行网络和数据安全保护义务。银行保险机构应加强风险评估和尽职调查，加强对违规行为的监控和问责。二是采取有针对性的安全防护措施。银行保险机构提供的数据应本着“业务必需、权限最小”的原则，与外包服务商建立隔离防火墙。三是建立健全应急机制。银行保险机构应将外包合作场景的应急响应纳入应急预案管理，要求外包服务商尽快报告自身安全生产效益和投诉情况，报告其产品或服务中发现的安全缺陷和漏洞。银行保险机构应及时向监管部门报告相关事件，并及时调查处理相关问题。某银行数据部人士对本网表示，总行已根据监管要求下发相关文件，要求对用户数据保护、敏感数据传输、内网IP地址使用等进行自查，并要求限期汇总上报。根据金融监管总局的文件，银行、保险机构应于7月10日前将风险自查整改情况及上述平台的合作情况报国家金融监督管理总局或银保监局。银行保监局汇总后，于7月20日前报送国家金融监督管理总局。前述《通知》要求，各银行业保险机构要针对上述问题，深入开展供应链风险排查，切实加强整改。各级机构要督促辖内银行保险机构严格落实上述工作要求，严肃处理因管理不当引发的重大风险事件。本通知所通报的安全事件涉及的相关银行业和保险机构应制定风险整改计划和方案，并按照监管隶属关系上报总局或派出机构。各级派出机构要加强考核，严格督促，确保落实，不留问题死角。对于整改不到位的机构，要及时采取监管措施。
"