一

《办法》背景以及与旧监管要求的主要变化

扩大适用机构：

机构范围由原来主要针对各类银行、农信社以及参照执行的其他金融机构，增加了各类保险机构，包括保险集团（控股）公司、保险公司、保险资产管理公司等；

整合监管规制：

以原银监会出台的3个指引和通知为基础，形成相对统一的信息科技外包管理监管规制。对3个指引和通知中的跨境外包、非驻场外包、非驻场集中式外包、重点外包机构等内容进行整合，明确管理要求；

重视信息安全：

随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的出台，《办法》根据这些法律法规新增了网络安全、数据安全、跨境外包的信息跨境处理等要求。《办法》也正式将银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动纳入管理适用范围。

强化主体责任：

《办法》继续强调了金融机构的主体责任，在实施原则中明确不得将信息科技管理责任、网络安全主体责任外包，强调事前控制和事中监督，持续改进外包策略和风险管理措施。《办法》要求针对可能给业务连续性管理造成重大影响的重要外包服务，银行保险机构应当事先建立风险控制、缓释或转移措施；要求银行保险机构应承担内部审计职能和责任，定期开展信息科技外包及其风险管理的审计工作，内部审计项目可委托母公司或同一集团下属子公司实施，或聘请独立第三方实施。

二

《办法》总体框架

三

《办法》部分关注重点分析

1

《办法》所适用的信息科技外包，不仅包含银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动，按照《办法》相关要求进行管理，法律法规另有要求的除外。

《办法》同时强调，银行保险机构在实施信息科技外包时应当坚持以下原则：不得将信息科技管理责任、网络安全主体责任外包；以不妨碍核心能力建设、积极掌握关键技术为导向；保持外包风险、成本和效益的平衡；保障网络和信息安全，加强重要数据和个人信息保护；强调事前控制和事中监督；持续改进外包策略和风险管理措施。

2

3

基于银行业保险业业务与科技高度融合及数字化转型不断深化的现实条件，银保监会着力加强银行业保险业信息科技风险监管，促进银行业保险业信息科技监管规制融合、工具统一、力度加大。

近几年监管实践发现，信息科技外包是当前银行保险机构的风险多发领域，主要表现在银行保险机构信息科技外包范围不断扩大、银行保险机构信息科技外包形式趋于多样、银行保险机构信息科技外包活动风险频发等方面。基于这样的背景，《办法》将保险机构纳入适用范围的同时，形成银行保险业融合统一的信息科技外包监管规制，并基于原来基础进一步加强监管约束，加大监管力度。

本文通过《办法》与信息科技外包管理3个原指引与通知的对比，总结新旧监管要求的重要变化，探讨重点关注内容。我们将持续关注监管的最新动态，以向相关适用金融机构提供及时的专业观察及建议。我们欢迎各类相关金融机构及人士垂询，并很高兴为您提供政策解读及实务指导方面的相关建议。

联系我们

张楚东

金融业主管合伙人

毕马威中国

tony.cheung@kpmg.com

郑昊

信息科技咨询主管合伙人

毕马威中国

james.zheng@kpmg.com

董常凌

金融业信息科技咨询合伙人

毕马威中国

jason.dong@kpmg.com

宣杰

金融业信息科技咨询合伙人

毕马威中国

eric.xuan@kpmg.com

斯小霆

金融业信息科技咨询总监

毕马威中国

jason.si@kpmg.com

张立弘

金融业信息科技咨询总监

毕马威中国

diamond.l.zhang@kpmg.com