金融机构业务的迅速发展和市场竞争的日益激烈,大大提高了对科技支持能力的要求。金融机构特别是中小型机构普遍存在信息科技人力资源匮乏、技术能力欠缺等问题,人员数量和质量均不能满足业务发展对科技的要求。因此,大部分金融机构大量采用信息科技外包的方式,作为自身科技力量的补充。但凡事均有两面性,信息科技外包是一把“双刃剑”,在给金融机构带来专业化能力、推动科技创新、提高科技效率、实现科技对业务支持的同时,也会引发一系列的外包风险。
外包风险管理的必要性
在金融机构所有的外包活动中,信息科技外包所占比重最大。金融机构信息科技外包的目的主要有两方面:一是弥补自身人力资源的不足,将自身有限的资源投入至最重要的业务系统和最核心的技术上,其余资源通过外包方式补充;二是充分利用外包公司在规模经济、专业化以及前沿创新技术方面的优势,实现对市场变化和业务需求的快速响应。对于外包,金融机构不能“一包了之”“包治百病”,而应该承担起外包风险管理的责任,必须认识到外包的风险,并对外包风险进行分析评估,加强外包安全管理,采取风险缓释、转移、规避等措施,将外包风险控制到合理、可接受的程度,避免信息技术及服务受制于人。可以说,做不好外包安全管理,就做不好信息系统管理,进而无法实现对金融机构系统和业务的保驾护航。
金融科技合作的外包模式
第一种是与“互联网系”的金融科技公司合作,进入互联网企业“生态圈”。在互联网公司的平台和科技能力输出的基础上,开展双方系统平台的技术对接,利用互联网企业的大量用户、流量、消费场景等优势,在技术和业务方面同步开展合作。
第二种是与“金融系”的金融科技公司合作,建设银行、兴业银行、招商银行、民生银行、南京银行等大中型银行机构纷纷成立了金融科技公司或者提供开放的金融平台,为其他中小金融机构提供服务。
第三种是与中小型金融科技企业合作,充分利用金融科技企业的技术,整合双方资源,将金融科技企业融入银行自身的生态圈中。
金融科技合作中外包模式的风险分析
1.个人信息保护方面
金融科技的广泛应用带来了客户信息保护的新挑战,需要特别关注数据的保密性、完整性和可用性。一是由于业务合作可能涉及金融机构客户信息的共享,或者金融机构需要通过金融科技公司的平台和场景作为引流方式,难以确保客户信息的绝对安全。二是客户信息是否经过信息主体的授权,是否泄露隐私,哪些信息可以获取,哪些不可以等问题,目前在法律法规和监管要求层面都缺乏可落地的细则,客户信息的来源和使用的合法合规性没有统一标准。三是在客户信息的采集、处理、存储、传输、销毁等全生命周期的管理环节中存在各种不可预知的风险,需要避免数据丢失、损坏、被篡改,以及确保不可用的数据被正常销毁。
2.业务连续性方面
由于社会公众服务对实时性要求极高,金融机构的业务连续性要求通常也非常高。与金融科技公司开展业务合作,业务连续性将部分依赖于金融科技公司的管理有效性、基础设施和软硬件系统建设水平、团队责任心等,这对金融科技公司的服务能力提出了巨大的挑战。当发生系统故障时,如何快速应急处置,保证数据和业务的快速恢复,是对金融科技公司的巨大考验。
3.信息安全方面
由于用户信息资源的高度集中,其获利性大幅提高,金融科技平台遭受黑客攻击的可能性上升。DDoS攻击、数据库拖库等攻击而导致的服务不可用或者敏感信息泄露的可能性上升,其所导致的后果会明显超过传统的单家金融机构遭受攻击。
金融科技合作中外包模式的风险管理要求选择
一是金融科技规划必须同步考虑风险防控规划,将包含外包风险在内的风险防控的管理和技术手段,与金融科技的应用同步规划、同步设计、同步实施,方能保障在新技术上线的同时,新的安全防控措施也实施到位。风险防范规划同样需要从用户体验的角度出发,围绕客户资产和信息安全开展风险分析和防控。
二是金融机构必须承担外包风险管理的主体责任。一方面,传统的外包安全管理要求同样适用于金融科技公司;另一方面,须严格要求金融科技公司遵守金融行业监管要求,如遵守账户实名制、客户身份验证、产品宣传销售、投资者适当性管理等方面的技术要求,以保护金融客户的合法权益。
三是在合作协议上必须明确规定客户信息保护、业务连续性管理、信息安全管理方面的要求、监控指标和对应的违约责任,约束金融科技公司的行为。
四是要求金融科技公司制定详细的运行维护和信息安全管理制度和流程,以确保数据备份的有效性、加强数据访问的授权控制、杜绝数据被恶意篡改、确保退役数据的妥善保管或销毁等。