银保监会：保险机构不得将信息科技管理责任、网络安全主体责任外包

近日，银保监会发布《银行保险机构信息科技外包风险监管办法》（以下简称《办法》）称，银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险。

《办法》明确，银行保险机构在实施信息科技外包时应坚持六大原则：不得将信息科技管理责任、网络安全主体责任外包；以不妨碍核心能力建设、积极掌握关键技术为导向；保持外包风险、成本和效益的平衡；保障网络和信息安全，加强重要数据和个人信息保护；强调事前控制和事中监督；持续改进外包策略和风险管理措施。

同时，《办法》要求，银行保险机构在信息科技外包合同或协议中应当明确，服务提供商禁止在合同允许范围外使用或者披露银行保险机构的信息，不得将银行保险机构数据以任何形式转移、挪用或谋取外包合同约定以外的利益。

此外，《办法》还指出，银保监会及其派出机构对银行保险机构信息科技外包风险进行独立评估，对银行保险机构信息科技外包工作进行监督和检查，并纳入监管综合评价体系。对于检查发现涉嫌违法事项的有关单位和个人，依照相关法律规定实施延伸检查。

对于经监管评估、监督检查或现场核查风险较高的信息科技外包服务，银保监会及其派出机构可以对银行保险机构采取风险提示、约见谈话、监管质询、要求暂缓和停止相关外包活动等措施。对具有重大违法违规情形的服务提供商，银保监会可通报行业，必要时将有关情况移交司法机关。

（吴静草 ）