作者:石钛戈
《银行保险机构信息科技外包风险监管办法》(以下简称“《外包监管办法》”)由银保监会办公厅于2021年12月30日颁布并开始实施,至今已有三个月。作为银行业和保险业信息科技外包工作监管和风险控制的纲领性文件,该办法已经在银行保险机构的信息科技外包业务活动中得以全面的贯彻和执行。虽然《外包监管办法》的直接约束对象是受银保监会监管的银行和保险机构,但因该办法对银行保险机构采购和使用信息科技外包服务规定了全方位的准入要求和风险控制措施,实际上也对服务提供商获取银行保险机构的信息科技外包业务和服务的合规性提出了更严格的要求。本文拟梳理总结该办法实施以来的实务经验,就服务提供商如何响应《外包监管办法》的要求履行自身的合规义务提出建议。
《外包监管办法》中与服务提供商有关的监管要求集中在第三章“信息科技外包准入”和第五章“信息科技外包风险管理”中。其中,从外包准入角度看,主要涉及银行保险机构对服务提供商的尽职调查和外包服务合同必备条款两个方面;从外包风险管理角度看,则主要涉及业务连续性保障措施和对服务提供商的检查和审计两个方面。本文将围绕服务提供商如何响应这四个方面的要求而展开。
- 配合接受银行保险机构的尽职调查
- (1)需开展尽职调查的外包活动
《外包监管办法》第十七条要求银行保险机构在签订合同前,对重要外包的备选服务提供商开展尽职调查。其中,“重要外包”的范围需根据第十三条的内容[1]来确定。在实践中,除了明确属于第十三条所规定的九类外包活动外,每个银行保险机构也可能根据自己需求,所拟采购的外包服务的具体内容,服务内容与该机构的核心业务的关联度,对于服务稳定性和可用性的要求,将这九类以外的活动纳入需要实施尽职调查的范畴。例如,某股份制银行对于数据治理的咨询服务的采购,虽然该服务主要涉及治理架构设计、制度建设、流程规范等角度的咨询服务,并不直接处理该银行的业务数据和客户的个人信息,但因涉及到银行数据化战略的实施以及数据安全体系的构建,该行仍然要求对拟选定的服务提供商实施尽职调查。实践中,某项外包服务业务是否需要开展尽职调查需以银行保险机构正式发布的招标文件或采购需求文件为准。
- (2)尽职调查的程序性事务
尽职调查通常在已经对备选服务提供商已经进行过初步的筛查之后进行,限于尽职调查的时间和成本考虑,银行保险机构通常会在已选定一到两家备选服务提供商的基础上再有针对性地开展尽职调查,并将尽职调查结果作为最终签订外包服务合同的前提条件。
虽然《外包监管办法》规定银行保险机构可聘请第三方机构协助调查,在实际操作中,有比较成熟的信息技术管理机构和采购体系的银行保险机构仍然倾向于使用内设部门完成尽职调查,一方面是有控制预算方面的考虑,另一方面,内部机构更熟悉银保监会的监管口径以及本机构的业务需求,能够更有针对性地开展工作。当然,涉及某些重大复杂的项目,银行保险机构也可能会聘请专业领域的咨询机构、评测机构来协助开展工作,但调查本身仍以银行保险机构内设部门作为主导。
此外,因为尽职调查系在外包服务合同签订前完成,开展尽职调查的成本(包括聘请第三方机构协助的费用)原则上应当由拟采购外包服务的银行保险机构自行承担。从服务提供商角度,为了接受和配合尽职调查也会发生相应的时间和人力成本,因此服务提供商需要在竞标外包项目和进行报价时应将配合尽职调查的内容纳入考虑范围。
- (3)尽职调查的范围以及服务供应商的配合
《外包监管办法》第十七条中规定了尽职调查必须涵盖的七个方面[2]的内容,第十八条则针对构成重要外包的非驻场外包额外规定了六方面的尽调内容。值得指出的是,在网络与数据安全、个人信息保护立法和监管全面强化的背景下,《外包监管办法》在沿袭原银监会“5号文”[3]第二十九至第三十一条、“187号文”[4]第二条所规定的尽调内容的基础上,特别增加了服务提供商的网络和信息安全保障能力的尽调内容。在实践中,我们注意到,银行保险机构通常会根据其外包服务的具体需求,结合适用的法律法规以及涉及网络和数据安全的金融行业标准,对服务提供商在网络和数据安全方面的合规制度、技术和组织保障机制、安全事件应对机制和落实情况进行比较全面的核查。
此外,服务提供商及其母公司/实际控制人对于银保监会的规范要求的过往遵从情况和服务提供商过往对银行保险机构审计、检查及监管检查的配合情况,也是尽职调查重点考察的内容。特别是,对于法律法规的遵从情况的尽调范围,还扩展到服务提供商母公司和实际控制人的层面。对此,我们建议长期服务于银行保险业的信息技术服务提供商,应当提前就本公司及母公司/实际控制人过往遵从银行保险业监管要求的情况进行核查梳理,并准备好相应的支持性文件资料,以备接受调查。
另一个需要特别注意的尽调内容是《外包监管办法》第十九条针对跨境外包[5]的特别调查要求:充分评估服务提供商所在国家或地区的政治、经济、社会、法律、文化等经营环境;并规定涉及信息跨境存储、处理和分析的,应遵守中国的适用法律法规的规定。在实践中,虽然服务提供商本身可能是一家在中国境内设立的公司,但其某些服务内容可能有赖于在中国境外的国家地区的第三方(可能系该服务提供商的关联机构或分包商)提供的远程支持,这种情况下服务提供商在尽调中需要向银行保险机构如实披露,以便银行保险机构充分考虑由此可能带来的风险。特别的,如果这种跨境远程支持还涉及到对银行保险机构相关信息和数据的访问,则会涉及更复杂的议题,包括《网络安全法》、《数据安全法》和《个人信息保护法》下的数据出境问题,也可能触发网络安全审查、数据出境安全评估等特别的程序,需要更加审慎的对待和处理。
在实践中,银行保险机构的尽职调查工作一般通过发放书面尽职调查问卷、讨论反馈、资料收集与审核、现场走访与查勘等多种方式组合进行。服务提供商在尽职调查过程中除了应在合理范围内积极响应与配合之外,我们建议应重点采取如下的方法和措施来保障自身的权益,并且提高整个尽调工作的效率:
a. 在接受尽职调查之前,与银行保险机构以及其聘请的第三方机构签订保密协议。在接受尽职调查时,外包服务合同尚未签订,而尽职调查内容涉及到服务提供商及其关联方的大量商业秘密、技术秘密和安全信息,均具有高度的机密性,因此必须要在有约束力的保密协议前提下方能向银行保险机构及第三方机构提供和披露。保密协议中除了常规的保密协议中的必备内容外,需要针对尽职调查完成后银行保险机构最终决定不采购本公司的外包服务情况下的保密信息返还/销毁进行特别安排。
- b. 充分利用已有的报告和资料协助尽职调查。对于尽职调查中的一些关注要点,服务提供商可以充分利用自己已有的认证文件、报告和材料来证明自己的合规情况,既可能减轻银行保险机构在尽调过程中的工作量,也能够增强自身资质和能力的可信度。例如,就服务提供商的网络和信息安全保障能力,服务提供商已经取得的信息系统安全等级保护备案证明、相应的网络安全等级保护评测报告、行业普遍认可的安全认证和第三方审计结果(例如ISO/IEC 27001认证、服务性机构控制体系鉴证(SOC)报告等)均可以用作支持性文件。
- c. 将现场查勘控制在最小必要范围内。对于某些类型的外包服务,银行保险机构或其聘请的第三方机构将要求对服务提供商的服务设施和办公场所进行现场查勘。同样的,因为尚在尽职调查阶段,银行保险机构并不能直接行使《外包监管办法》所赋予的直接现场检查的权利,服务提供商需要根据拟提供的外包业务的内容和特性,充分考虑自己所适用的网络和信息安全的法律法规和标准的要求,合理限制对方现场查勘的范围。例如,对于一家同时服务于多家客户的服务提供商而言,出于安全考虑,在尽职调查阶段就不应允许银行保险机构进入其承载业务系统的数据中心(机房)现场,而可以通过提供与之有关的审计结论或评估报告来协助银行保险机构进行核实。
- (4) 尽职调查结果能否共享仍有待监管明确
在已经被废止的“187号文”中,为了减轻银行业机构和服务提供商的负担,曾规定了对提供非驻场集中式外包[6]的服务商尽职调查结果的共享机制,即允许银行业机构可以“采信其他银行业金融机构对同一外包服务商6个月内的尽职调查结果”。在实践中,这样的共享机制对于采购同类外包服务的中小型银行机构和提供非驻场集中式外包服务的提供商都带来了较大的便利,既节约了成本,又有利于统一尽调标准。
目前生效实施的《外包监管办法》中并没有类似的表述,仅在第三十三条规定,对具有行业集中度性质的服务提供商,可采取联合检查、委托检查等形式,减少重复性工作;但该等联合检查的机制针对的是已经成为外包服务提供者的服务提供商而言,而并未涵盖到尽职调查阶段。在新的《外包监管办法》项下,针对具有行业集中度的外包服务提供商,对于同一类型的外包服务,是否可以允许采信其他银行保险机构在一定期限内的尽职调查结果,仍然有待银保监会的进一步明确。
- 2. 外包合同必备条款的注意事项
《外包监管办法》第二十一条规定了在外包服务合同中必须包括的十项内容,这一系列必备条款的要求基本沿袭了“5号文”第三十五条的规定,但对某些条款的表述进行了调整和改进,并且额外增加了资源保障条款的要求。此外,该办法第二十二条还要求外包服务合同应就禁止转包和限制分包进行约定。在外包服务合同的拟订过程中,双方通常会就如何在合同中如何体现这些必备条款开展比较深入的磋商。从服务提供商角度,一方面需要积极配合银行保险机构的合规要求,将必备条款的内容纳入合同中;另一方面,也需要审慎地基于自身的业务实际,在《外包监管办法》和其他适用法律法规允许的范围内清晰界定自己的责任,平衡风险,避免不加鉴别地全盘接受银行保险机构所提出的条款要求。根据在相关外包服务合同谈判中的经验,我们建议服务提供商在就必备条款进行谈判时应当注意如下几个方面的问题:
- (1) 避免接受一刀切模式的协议模板
《外包监管办法》附件2将外包服务大致划分为咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类五种基本类型。在每一种业务类型中,又有更细致和深入的业务种类划分,随着技术和商业的创新,还可能会有更多新型的信息科技外包业务类型。我们注意到,在实践中有一些银行保险机构出于自身风险控制和采购管理便利的考虑,制订了统一的协议模板以将《外包监管办法》第二十一条所要求的必备条款一揽子包含其中,并要求所有的外包服务提供商接受该模板。这种操作模式忽略了外包服务类型的多样性,以及由此产生的不同类别的外包服务可能带来的风险差异性和服务提供商应承担责任范围的不同。例如,一个对银行保险机构自有的数据中心及服务器等设施提供托管服务的服务提供商,与一个基于服务提供商的数据中心资源而提供的辅助性软件即服务(SaaS)的服务提供商所应当遵从的安全标准和规范要求不会完全一样;一家仅提供软件开发的服务提供商和一家受委托从事客户个人信息分析和处理的服务提供商,在数据访问权限控制、网络安全措施所面临的要求和责任也是有明显差异。
当服务提供商被要求接受这类协议模板时,需要仔细鉴别,基于自身的外包服务类型、服务的提供方式、与银行保险机构业务的支持关系、对银行保险机构不同的业务系统及数据的接触和访问权限等要素,审慎分析相关条款要求的适用性。对于其中不适用自身服务的条款内容,应当向银行保险机构充分的解释和说明,并提出具有适用性和可操作性的替代条款,这样既是对自身责任和风险的合理控制,也能保障银行保险机构的合规义务能够真正落到实处,而非仅以整齐划一的模板来体现。
- (2) 合理承诺对银行保险机构内部管理制度的遵从
《外包监管办法》第二十一条第(二)项要求外包服务合同中需要包括服务提供商对银行保险机构内部管理制度的遵守要求,以及监管政策的通报贯彻机制。在实践中,服务提供商需要避免将这种遵守要求机械地理解为对银行保险机构的内部管理制度的全盘接受。无论是银行业与保险行业的法律法规,还是银行保险机构的内部管理制度都有鲜明的行业特点,作为服务于特定行业领域的服务提供商,当然需要在其外包服务适用或相关的范围内遵守这些要求;但另一方面,外包服务提供商不等同于银行保险机构本身,也并非其分支机构,不可能照搬银行保险机构的所有内部管理制度,因此仍需要鉴别这些管理制度的适用性和关联性。
在合同条款的表述上,我们建议服务提供商对于这一遵从要求加上合理的适用范围的限制。在合同拟订阶段,则由双方负责合规和安全事务的部门一起对于银行保险机构内部管理制度与合同所涉及的外包服务的关联度和适用性进行梳理和判断,将双方达成一致的内部管理制度及其文本作为合同附件,以明确服务提供商的遵从义务的范围。此外,考虑监管要求的变化,服务提供商应当与银行保险机构在外包服务合同中建议一套监管政策和内部制度的定期更新机制,规定银行保险机构的通知义务;同时,服务提供商需要在内部建立定期评估机制,以确认自己是否能够满足不断变化和更新的监管政策或客户内部制度的要求,如果存在较大的偏离,可能需要考虑利用合同变更或终止机制来有效控制和减轻自己因为未能满足遵从要求而导致的违约风险。
- (3) 不同条款之间的衔接与统一
《外包监管办法》第二十一条中分别规定的必备条款之间存在着一定的关联性,在外包服务合同拟订过程中,应关注有关联性的条款之间的衔接与统一。一个比较典型的关联场景是第(三)项下服务持续性要求与第(五)项下合同变更和终止时的过渡安排要求。服务供应商的服务持续性承诺所支撑的是银行保险机构本身的业务连续性要求,其中很重要的组成部分是外包服务合同期限届满或提前终止后的业务衔接和数据及资源迁移、过渡期间支持服务的机制。这一安排不仅需要在服务持续性条款中进行详细约定,也应当在合同终止后的处理条款中予以援引或约定,防止出现不同条款中对同一场景下的处理机制存在不一致的情形。
又如,第(六)项中对于允许服务提供商使用的银行保险机构内容及范围的约定,与第(八)项下涉及服务提供商对银行保险机构的信息和数据的保密义务也有密切的关联,均涉及对银行保险机构信息和数据的访问和使用,在外包服务合同中可以考虑纳入同一个条款进行全面的约定,既保证逻辑的关联性,又从不同维度清晰界定服务提供商的权限和义务。
- (4) 尽量采用服务提供商自有的合同文档
一些长期服务于特定银行业、保险业的外包服务商,基于自己成熟的行业经验和合规能力,制订了针对行业客户特点和监管要求的合同文本或专用附件,这些文档通常会包含服务提供商在网络和数据安全、个人信息保护、客户数据保护、服务连续性、配合审计和检查方面的承诺。如果服务提供商制订了这样的合同文档,并且有相应的机制确保其实施和执行,则可以在外包合同拟订过程中向客户提议使用这些成熟的合同文档来涵盖《外包监管办法》第二十一条中的大部分内容,减少双方另行起草和谈判的时间。
又如,对于《外包监管办法》第二十一条第(七)项所要求的资源保障条款,如果所涉及的外包服务是标准化的服务,而服务提供商已经就该标准化服务准备了统一的SLA(服务水平协议)的,其在SLA中对于服务可用性所作出的承诺与救济措施约定就可以被视为是资源保障的一个重要组成部分,在外包服务合同中可通过对既有SLA的援引而满足资源保障条款的要求。
即便服务提供商目前没有现成的文本,但当其所提供的外包服务是标准化的具有一定集中度的服务,我们也建议服务提供商在自己的服务合同标准文本中结合《外包监管办法》的要求,加入反映监管要求的条款,以便在与银行保险机构的合同拟订和谈判中争取主动性。
- 3. 对业务连续性的保障
由于银行保险机构一旦发生业务中断可能产生连带的系统性金融风险,因而对于其业务连续性要求一直是金融监管机构的关注重点,这一保障要求也会转递给服务提供商。《外包监管办法》第三十一条要求银行保险机构针对可能给业务连续性管理造成重大影响的重要外包服务事先建立风险控制、缓释或转移措施。
在实践中,银行保险机构在尽职调查阶段就会审核服务提供商的业务连续性计划(BCP)以及灾备计划(DR),并比对自身的业务连续性计划和灾备计划以确定是否满足。在合同条款层面,银行保险机构除了要求服务提供商自身需要维持其服务持续性的计划外,通常会明确规定两个场景下服务提供商必须提供服务连续的承诺,包括(i)当银行保险机构本身因为监管要求或经营状况而受到不利影响(例如被接管、宣告破产)时;(ii)外包服务合同期限届满或提前终止时。特别是在第(i)种场景下,银行保险机构会要求直接转让外包服务合同的权利,要求服务提供商承诺继续向银行保险机构的继受者、管理人等提供外包服务合同项下的服务,并且约定详细的持续服务方案和过渡机制。
除了约定上述保障机制之外,服务提供商还会被银行保险机构要求参与其组织的应急计划编制和应急演练。在实践中,如果银行保险机构明确提出这种要求,服务提供商需要结合自身的应急计划内容,与银行保险机构探讨其参与编制和演练的范围,清晰界定己方的义务,同时可能需要在服务报价和收费中考虑为此而付出额外成本。
- 4. 对审计与检查的配合
《外包监管办法》项下服务供应商对于审计和检查的配合义务包括两个维度:一是服务提供商配合与接受银行保险机构就其审计权、监督检查权的直接行使;另一个是服务提供商接受银保监会及其派出机构作为监管机构的检查。我们建议服务提供商在外包服务合同拟订时以及提供外包服务过程中,考虑如下的举措来响应和配合上述审计和监督检查权的实现:
- (1) 提供标准化的工具协助银行保险机构行使权利
对于一些标准化的外包服务而言,服务提供商可以考虑通过自动化的技术工具协助银行保险机构来行使监督检查权。例如可允许具有银行保险机构具有管理权限的账号定期查看和调取其所使用外包服务的用量、记录、日志等信息,并可在合同中约定银行保险机构可以将此等管理权限开放给依法对其享有管辖权的监管机关,以更高效地协助它们实现对于外包服务的实时监控与管理,在提高反馈效率的同时,减少因人工响应类似需求而产生的成本。
- (2) 不应影响服务提供商自身需遵循的安全义务
虽然对于银行保险机构客户及其监管机关的配合构成服务提供商在《外包监管办法》项下的法定义务,但服务提供商应当同时坚守自身在适用的法律法规、国家及行业标准和其他合同项下所承担的安全义务。为此目的,建议服务提供商在与银行保险机构的外包合同相应配合条款中加入合理的条件,例如:(i)服务提供商在配合审计和检查时所提交的信息和资料应当受到双方保密义务的约束,除明确约定及法律强制要求披露的场景下,不得随意对外披露;(ii)对于现场检查权的行使不应影响服务提供商的正常业务活动,除非适用法律禁止,应当履行提前通知等程序;(iii)审计活动和现场检查应遵守适用法律和法规所规定的安全要求,例如对数据中心机房的现场检查应当遵守适用的网络安全规程;(iv)除非适用法律明确要求或者取得特别的授权,银行保险机构的审计和检查不得接触或访问服务提供商的其他客户的数据或资;(v)严格限制和管理对生产环境的渗透测试等可能影响服务安全的审计/检查措施。
- (3) 尽可能利用既有资源响应需求
对于一个成熟的外包服务商而言,通常已经建立起一套比较完善的合规体系,并且投入了相应的资源来确保与其业务活动所匹配的合规机制的执行与实施。例如服务提供商自身会定期聘请第三方的独立评估和审计机构对自己的信息系统、网络资源和业务履行情况进行审计和评估,并形成相应的评估和审计报告。在面对银行保险机构客户乃至监管机关的审计、检查要求时,服务提供商也可以充分利用这些资源来支持客户和监管机关的需求。虽然这些既有资源不能完全代替银行保险机构客户和监管机构的审计与检查,但能够在一定程度上提高整个流程的效率,减少重复活动。
- (4) 事先约定成本承担机制
无论是接受审计还是现场检查,都意味着服务提供商额外的人力、技术和其他资源的投入,我们建议服务提供商在竞标、报价时提前核算并充分考虑这些成本,在外包服务合同拟订时事先和银行保险机构客户就涉及审计、现场检查的成本承担进行明确的约定。在实践中,如果配合银行保险机构客户对外包服务的专项审计需要服务提供商比较大的投入时,服务提供商可以事先与客户协商一定的补偿标准(例如按照支持审计的服务商工作人员人天的标准计费);而涉及配合监管机关的监督检查,通常的做法则是服务提供商和银行保险机构客户各自承担因此而发生的费用。
[1]《外包监管办法》第十三条规定了九类原则上构成重要外包的活动:(一)信息科技工作整体外包,仅保留必要的管理团队和核心职能;(二)数据中心(机房)整体外包;(三)涉及基础设施和信息系统整体架构发生重大变化的信息科技外包;(四)核心业务系统开发测试和运行维护的整体外包;(五)信息科技战略规划(含中长期规划)咨询外包;(六)安全运营的整体外包;(七)涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包;(八)直接影响实时服务、影响账务准确性的重要信息系统外包;(九)其它对机构业务运营具有重要影响的外包。
[2] 包括(一)服务提供商的技术和行业经验,人员及能力;(二)服务提供商的内部控制和管理能力;(三)服务提供商的网络和信息安全保障能力;(四)服务提供商的持续经营状况;(五)服务提供商及其母公司或实际控制人遵守国家和银保监会相关法律法规要求的情况;(六)服务提供商过往配合银行保险机构审计、评估、检查及监管机构监督检查情况;(七)服务提供商与银行保险机构的关联性。
[3] 即原银监会于2013年发布实施的《银行业金融机构信息科技外包风险监管指引》(“银监发[2013]5号”),该指引已经随着《外包监管办法》的颁布实施而被废止。
[4] 即原银监会办公厅于2014年发布实施的《关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》(“银监办发[2014]197号”),也已随着《外包监管办法》的颁布实施而被废止。
[5] 《外包监管办法》第四十四条界定的“跨境外包”是指服务提供商在境外其他国家或地区实施信息科技外包服务的行为。
[6] 该文件中定义的“非驻场集中式外包”是指外包服务商不在银行业金融机构提供现场服务,或外包的关键基础设施和信息系统不在银行业金融机构产权场所,由银行业金融机构以租用设施或购买服务资源的方式获得,主要由外包服务商运维,并且外包服务商同时为3家(含)以上银行业金融机构或其他机构提供服务的外包方式。
石钛戈律师现为竞天公诚律师事务所合伙人(shi.taige@jingtian.com)
石律师毕业于北京师范大学、对外经济贸易大学、美国威斯康星大学-麦迪逊分校法学院,获得中美两地法学硕士学位。加入 竞天公诚之前,石律师在国内知名的律师事务所执业。石律师具有中国大陆地区以及美国纽约州律师执业资格,可以熟练使用英文作为工作语言。
石律师在网络、数据安全及合规方面拥有丰富的经验:他处理了大量涉及网络安全和隐私保护的法律难题,例如跨法域的数据保 护的协调,金融机构IT外包和云计算应用,医疗科技产品的数据安全与合规等。他带领团队在充分熟悉和了解相关产品的特性、 服务提供方式、所涉及的数据收集、传输、流动模式的基础上,围绕相关产品的法律合规性、网络安全和数据保护的充分性、相 关责任主体等议题为客户提供详细的分析和建议。石律师还为不同行业的企业就数据安全、个人信息保护、数据传输安全评估、 网络安全审查、网络等级保护评测合规、关键信息基础设施保护等合规业务提供法律支持,涉及行业包括云计算、电子商务、超 级计算、人工智能医疗应用、药物研发、互联网视听传播、互联网广告、互联网出版、游戏电竞等。
石律师在2020年被知名法律评级机构LEGALBAND评为网络安全与数据保护领域的中国律师15强,在2021年被列为 “LEGALBAND 中国顶级律师排行榜” “网络安全与数据保护领域的获推荐律师”。在刚发布的2021 ACE LEGALTECH AWARDS 中被评为Top 15 Data Privacy Lawyers 2021。