Question

金融科技时代，随着新技术的发展和新业务、新产品的涌现，信息科技的治理架构、技术架构和运维模式不断演化，金融企业与外包商的合作模式和合作关系也发生了变化，有新的机遇，也意味着新的风险。

除了上述传统外包安全管理手段外，还需要结合新时代的特点，做好外包商合作关系管理和风险管理。

1.金融科技合作的几种外包模式

在人工智能、区块链、云计算、大数据、物联网等新技术大量运用的当今时代，涌现了大量的金融科技公司，他们的服务范围已经不再局限于提供规划咨询、应用研发、系统运维、安全服务等传统的、纯科技的外包服务，而是寻求与金融企业的深度合作，将业务合作、消费场景、科技能力等向金融企业输出，嵌入到双方合作内容中。

金融企业与金融科技公司的合作，主要有三种外包模式：

第一种是与“互联网系”的金融科技公司合作，进入互联网企业生态圈。在互联网公司的平台和科技能力输出的基础上，开展双方系统平台的技术对接，利用互联网企业的大量用户、流量、消费场景等优势，在技术和业务方面同步开展合作。

第二种是与“金融系”的金融科技公司合作，建设银行、兴业银行、招商银行、民生银行、南京银行等大中型银行机构纷纷成立了金融科技公司或者提供开放的金融平台，为其他中小金融企业提供服务。

第三种是与中小型金融科技企业合作，充分利用金融科技企业的技术，整合双方资源，将金融科技企业融入银行自身的生态圈中。

不管是哪种合作模式，在信息科技外包风险管控方面都有共同的特点，金融企业对于外包业务环节中的金融风险仍须承担风险管控的主体责任，需要分析这一类新的外包模式带来的新风险和可能产生的影响，适时采取必要的应对措施。

2.金融科技合作中外包模式的风险分析

金融企业与金融科技公司的合作，通常会包含数据共享、业务流程整合等方面的合作内容，而且金融科技相关应用中的分布式账户、大数据、云计算、客户身份认证等技术应用，经常采用外包模式实现，因此存在一些新的风险。

首先是个人信息保护方面。金融科技的广泛应用带来了关于客户信息保护的新挑战，需要特别关注数据的保密性、完整性和可用性问题：一是由于业务合作可能涉及金融企业的客户信息的共享，或者金融企业需要通过金融科技公司的平台和场景作为引流方式，难以确保客户信息的绝对安全。二是客户信息有没有经过信息主体的授权，有没有泄露隐私，哪些信息可以获取哪些不可以，目前在法律法规和监管要求层面都缺乏可落地的细则，客户信息的来源和使用的合法合规性没有统一标准。三是客户信息的采集、处理、存储、传输、销毁等全生命周期的管理环节中存在各种不可预知的风险，需要避免数据丢失、损坏、被篡改，以及确保不可用的数据正常销毁。

其次是业务连续性方面。由于对社会公众服务的实时性要求极高，金融企业的业务连续性要求通常非常高。与金融科技公司开展业务合作，业务连续性将部分依赖于金融科技公司管理有效性、基础设施和软硬件系统建设水平、团队责任心等，对金融科技的服务能力提出了巨大的挑战。当发生系统故障时，如何快速应急处置，保证数据和业务的快速恢复，是对金融科技公司的巨大考验。

再次是信息安全方面。由于用户、信息资源的高度集中，获利性提高，金融科技平台遭受黑客攻击的可能性也在上升，DDOS 攻击、数据库拖库等攻击而导致的服务不可用或者敏感信息泄露的可能性增加，其破坏后果和严重程度会明显超过传统的单家金融企业遭受攻击。

3.金融科技合作中外包模式的管理要求

选择金融科技合作模式，必须要接受其固有风险。同时，也需要做好以下风险控制措施，尽可能将剩余风险降低到可以接受的程度：

·金融科技规划必须同步考虑风险防控规划，将包含外包风险的风险防控的管理和技术手段，与金融科技的应用同步规划、同步设计、同步实施，方能保障新技术上线的同时，新的安全防控措施也实施到位。风险防范规划同样需要从用户体验出发，围绕客户资产和信息安全开展风险分析和防控。

·金融企业必须承担外包风险管理的主体责任。一方面，传统的外包安全管理要求同样适用于金融科技公司；另一方面，须严格要求金融科技公司遵守金融行业监管要求。例如，账户实名制、客户身份验证、产品宣传销售、投资者适当性管理等方面的技术要求，保护金融客户的合法权益。

·在合作协议上必须明确规定客户信息保护、业务连续性管理、信息安全管理方面的要求，监控指标和对应的违约责任，约束金融科技公司的行为。

·要求金融科技公司也制定详细的运行维护和信息安全管理制度和流程，以确保数据备份的有效性，加强数据访问的授权控制，杜绝数据被恶意篡改，确保退役数据的妥善保管或销毁等。

·通过技术手段防范风险。一方面，做好与金融科技公司之间数据传输过程中的加密、防篡改和完整性校验、不同企业间数据安全隔离等；另一方面，要求金融科技公司做好安全防控，包括网络安全区域划分和网络隔离，防攻击、防病毒、防篡改的安全措施，安全技术防控工具部署，安全审计系统部署，应用安全漏洞防范等，确保能提供与金融行业同样高安全等级的服务。

信息科技外包风险管理将是商业银行面临的一项重要的长期任务，特别是新时代的新型外包管理模式，更是有着不同于传统管理模式的特点，需要一边思考研究，一边实践应用，方可形成一套适合金融企业的外包管理体系。