金融机构信息技术外包的法律问题.PDF

金融机构信息技术外包的法律问题 作者：李锦南* 蒋华良** 中国法律期刊 2010 年8月 近年来，随着服务外包产业的发展，越来越多的金融机构，包括银行、证券、保险、 基金公司等，选择金融服务外包作为降低成本、提高核心竞争力及实现战略目标的重要手 段。作为金融服务外包的一个重要领域，信息技术外包在为金融机构带来诸多好处的同时， 也对金融机构的风险管理提出更高的要求。在本文中，我们结合为金融机构信息技术外包 提供法律服务的相关经验，以风险管理为着眼点，以银行业金融机构（“银行”）为例， 对信息技术外包合同的签订和内容涉及的有关法律问题进行介绍和分析。 一、 外包范围及管理要求 1、 外包范围 哪些业务可以外包，哪些业务不宜外包，是银行在开展外包之前需要考虑的首要问题。 目前，中国银行业监督管理委员会（“银监会”）对银行信息技术外包的范围并没有作出 特别限制，只要求银行不得将其信息科技管理责任外包。不过，对于银行实施的重要外包 （详见下文），银监会规定，银行须向银监会或其派出机构进行报告。因此，监管机构有 可能不同意银行将某些敏感或核心的信息系统外包。 2、 跨境外包 近年来，由于印度、中国等国在人才和成本方面具有的优势，越来越多的金融机构选 择以这些国家的企业作为外包服务提供商。当大量外包业务均由一个国家提供时，国别风 险将会愈加突出。一旦离岸外包国出现不可控制的风险时，众多金融机构会遭受重创。因 此，各国的监管机构对银行开展跨境外包活动，均采取了比较慎重的监管态度。银监会发 1要求银行在开展跨境外包活动时，应当审慎评 布的《银行业金融机构外包风险管理指引》 估法律和管制风险，确保客户信息安全，选择境外服务提供商时，应当明确其所在国家或 地区监管当局已与我国银行业监督管理机构签订谅解备忘录或双方认可的其他约定；此 2 外，银监会在其发布的 《商业银行信息科技风险管理指引》（银监发[2009]19 号） （“《科 技管理指引》”）中，要求银行董事会确保本法人机构涉及客户信息、账户信息以及产品 信息等的核心系统在中国境内独立运行。3 金杜律师事务所 1 3、 向监管机构报告或告知客户 根据《科技管理指引》的规定，银行实施重要外包业务（如数据中心和信息科技基础 设施等）应格外谨慎，在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。 除前述数据中心和信息科技基础设施外包外，该指引还要求银行将涉及本银行客户资料的 4 外包工作视为重要外包业务。 对于何为重要外包业务，现行法规的表述其实不够明确，因 此，在无法确定某项即将进行的外包业务是否为重要外包业务时，建议银行向其所在地监 管机构咨询。 5 值得注意的是，《电子银行业务管理办法》 （银监会令2006 年第 5 号）对与电子银 行业务相关的外包提出特别的报告要求。该办法规定，银行对电子银行业务处理系统、授 权管理系统、数据备份系统的总体设计开发，以及其他涉及机密数据管理与传递环节的系 统进行外包时，应在业务外包实施前向银监会报告。6 此外，银监会 2010 年最新颁布的《银行业金融机构外包风险管理指引》还要求银行 7该规定在实践中如何 定期向所在地银行业监督管理机构递交本机构外包活动的评估报告。 具体操作，还有待监管机构进一步明确。 除向监管机构报告的义务外，在某些情形下，银行还需将外包安排告知相关客户，例 如，《科技管理指引》就要求银行将涉及客户资料的外包告知客户。8 4、 内部审批 根据有关监管法规的规定，银行所有信息科技外包合同应由其信息科技风险管理部 9 门、法律部门和信息科技管理委员会审核通过 ；对于某些外包合同，可能还需要董事会批 准10 。 5、 境外监管机构的监管要求 对于中国境内的外资商