2023年6月金融监管部门下发的《关于加强第三方合作中网络和数据安全管理的通知》(下称《通知》)称,银行保险机构应强化“服务外包、责任不外包”的主体意识,统筹管理科技风险,压实外包服务商安全责任。
在通报中,监管部门称,某微信代理商为多家银行提供企业微信相关服务,将银行客户经理和客户的聊天会话存档在该服务商租用的公有云服务器上,会话存档数据包含部分客户姓名、身份证号、手机号、银行账号等敏感个人信息。未经银行同意,该服务商私自使用数家银行 600 余万条会话存档数据用于该公司模型训练,并提供给关联公司。银行因未尽到对客户敏感数据保护责任,引发消费者维权投诉。
“该事件的主要风险和问题:一是银行保险机构对数字生态场景合作情况底数不清,缺乏统筹管理。开展数字生态合作时,银行保险机构外包风险主管部门、科技和数据管理部门未参与,缺乏数据安全风险评估、监控管理等机制,存在突出风险隐患。二是银行保险机构对合作中数据安全风险和责任识别划分不清,存在数据收集使用不合规、安全责任交叉、数据保护存在盲区等问题。”上述《通知》称。
