8.4第三方機構管理

金融業機構應對參與本機構數據全生命周期過程中的第三方機構進行管理，確保不因與第三方機構合作或第三方應用接入而危害數據安全。第三方機構安全管理具體要求如下：

a)建立第三方機構管理制度，包括但不限于：

1)應建立第三方機構審查與評估機制，評估其數據安全保護能力是否達到國家、行業主管部門與金融業機構的要求。

2)通過合同協議等方式，對第三方機構的數據使用行為進行約束，包括：

–不留存3級及以上數據，若因清分清算、差錯處理等業務需要，確需留存3級及以上數據，金融業機構應明確其保密義務與保密責任，并應根據安全要求落實安全控制措施，并將有關資料留檔備查；

–未經金融業機構書面授權，第三方機構不應對金融業機構委托其加工處理的數據進行存儲、使用和共享等行為。

3)對可能訪問金融業機構數據的第三方機構及人員，金融業機構應要求第三方機構向有關人員傳達金融業機構數據安全要求，與其簽署保密協議，并對協議履行情況進行監督。

4)不應將存儲3級及以上數據的數據庫交由外部合作機構運維。

5)應定期對第三方機構的數據安全保護措施落實情況進行確認，確認的方式包括但不限于外部信息安全評估、現場檢查等。

6)應對第三方機構進行監督，包括但不限于通過合同等方式規定受委托者的責任和義務，定期對受委托者進行安全檢查和評估等。

7)第三方機構在處理數據過程中發生數據安全事件如數據泄露、被未經授權的訪問或變更、損毀等，應及時依據雙方約定的方式向金融業機構反饋。

8)國家及行業主管部門另有規定的，應按照相關要求執行。

b)當金融業機構在其產品或服務中接入具備數據處理功能的第三方產品或服務時，應對接入和涉及的第三方產品和服務進行專門的數據安全管理，確保不因第三方的應用接入而危害機構數據安全，具體要求如下：

1)應明確第三方產品或服務接入的基本條件，要求第三方對接入的產品和服務的數據安全管理滿足本框架的要求。

2)應對第三方產品或服務的接入進行安全評估，根據評估的結果確定是否接入該產品或服務，對于確定接入的產品或服務，應根據風險評估的結果實施適當的控制措施。

3)應與第三方產品或服務提供方簽訂合同協議，明確雙方在數據安全方面的責任及義務，并明確數據接收方應具備的數據安全保護能力要求。

4)應對第三方嵌入或接入的自動化工具如代碼、腳本、接口、算法模型、軟件開發工具包、小程序等的功能和安全性進行驗證確認，如果第三方產品和服務發生變更，應重新進行驗證確認。

5)應對第三方接入產品和服務的數據處理活動進行必要的監視，并保留記錄，確保其滿足合同協議要求，發現第三方產品或服務沒有落實安全管理要求和責任的，及時督促其整改，必要時停止接入。

6)金融業機構發現第三方接入產品和服務在數據處理過程中，對金融業機構個人金融信息的處理超出約定行為，或存在其他違規行為時，應及時切斷其接入，并將該行為視為安全事件，執行事件處置程序，向監管部門上報。

7)向用戶直接提供服務的第三方產品或服務接入后應在用戶界面清晰標識產品或服務的提供方。

8)與第三方機構解除合作關系時，應要求第三方機構不再以任何方式保存從金融業機構獲取的數據及相關衍生數據，國家及行業主管部門另有規定的除外；若涉及向用戶直接提供服務的第三方產品或服務，應在與第三方機構解除合作關系時，明確告知用戶金融業機構已解除與第三方機構合作關系。