专题 | 欧盟金融业供应链安全立法对我国的启示

文/北京理工大学法学院教授   洪延青

深圳市腾讯计算机系统有限公司知识产权部标准事务中心总监   代威

在全球范围内，信息技术的使用已成为提供金融服务的核心。数字化转型同时也导致金融实体越来越依赖第三方信息技术（ICT）服务来支持其关键或重要职能。因此，第三方风险管理（TPRM）正在成为公司治理的一个关键要素。然而，第三方信息技术服务的提供往往依赖于复杂的供应链（亦即分包链），这种现实情况造成了金融实体对信息技术分包服务商的依赖。

欧盟针对金融行业的供应链要求主要见于，2025年1月17日起适用的《数字运营韧性法》（DORA）。DORA的性质是一项欧盟法规（第2022/2554号法规），旨在直接适用于全欧盟范围，并要求欧盟受监管的金融实体实现高水平的共同数字运营韧性，使其能够抵御和应对网络威胁和信息通信技术方面的安全事件。本文将在梳理欧盟对金融行业供应链安全方面主要规定的基础上，进一步提出对我国开展相关工作的启示。

DORA的适用范围

DORA适用于几乎所有类型的欧盟受监管的金融实体，具体包括：一是银行业中的信贷机构、支付机构、账户信息服务提供商、电子货币机构等。二是基金与投资机构，包括投资公司、根据《加密资产市场条例》授权的加密资产服务提供商和资产参考代币发行商、另类投资基金的经理机构、欧盟可转让证券集合投资管理机构等。三是保险和再保险行业，包括保险企业和再保险企业；保险中介机构、再保险中介机构和辅助保险中介机构；提供职业退休保障的机构（但不包括运营养老金计划且成员总数不超过15人的职业退休准备金机构）。四是金融基础设施和其他服务，包括中央证券保管机构、中央对手方、交易场所、交易报告库、数据报告服务提供商、信用评级机构、关键基准的管理者、众筹服务提供商、证券化存储库等。

金融实体维护运营韧性的主要义务

在DORA的框架下，金融实体承担以下数字运营韧性义务。具体来说，一是第三方ICT服务（亦即ICT供应链）的管理义务。在DORA法案中，ICT服务被定义为“通过ICT系统向一个或多个内部或外部用户持续提供的数字和数据服务，包括硬件即服务和硬件服务，其中包括硬件提供商通过软件或固件更新提供的技术支持，但不包括传统的模拟电话服务”（此部分详见下节论述）。

二是ICT风险管理框架。DORA要求金融实体建立ICT风险管理框架，使其能够快速、高效、全面地应对ICT风险，并确保高水平的数字业务韧性。该框架必须有据可查，除此之外，还包括保护信息和ICT资产的政策、程序、ICT协议和工具。

三是与ICT有关的事件报告。DORA要求金融实体对与ICT有关的事件进行分类，并根据某些标准确定其影响，如与受影响的客户和金融同行的相关性。之所以要进行分类，是为了使金融实体能够确定哪些是“重大ICT相关事件”，以便符合强制性报告给国家主管机构的义务。

四是数字运行韧性测试。DORA要求金融实体（微型企业除外）必须建立健全和全面的数字运行韧性测试计划（Digital operational Resilience Testing Programme，DRTP）。DRTP应规定基本要求的测试（如漏洞评估、开放源代码分析、网络安全评估、物理安全审查、端到端测试和渗透测试）。对许多金融实体而言，其DRTP还应规定“通过威胁引导渗透测试”（Threat Led Penetration Testing，TLPT）进行更高级的测试。

五是信息共享。DORA规定金融实体应相互共享网络威胁信息和情报。这样做的目的是通过提高对网络威胁的认识来增强金融实体的数字业务韧性，从而限制网络威胁的传播。DORA设想这种信息和情报共享将在受信任的金融实体的社群内进行，并实施信息共享安排，以保护所共享信息的潜在敏感性。金融实体还必须向主管当局通报其参与此类信息共享安排的情况。

管理ICT第三方风险的主要内容

1. 一般性合同要求

针对合同，DORA要求所有使用ICT服务的合同都必须满足某些最低要求。

（1）明确完整地说明ICT第三方服务供应商将提供的所有功能和ICT服务，说明是否允许将支持关键或重要功能的ICT服务或其重要部分分包出去，如果允许，说明适用于这种分包的条件。

（2）提供外包或分包职能和信息与通信技术服务的地点，以及处理数据的地点，包括存储地点，即地区或国家，以及信息与通信技术第三方服务提供商如打算改变这些地点，必须事先通知金融实体的要求。

（3）与保护数据（包括个人数据）有关的可用性、真实性、完整性和保密性规定。

（4）关于确保在ICT第三方服务提供商破产、解散或停止业务活动时，或在合同安排终止时，以易于查阅的格式查阅、恢复和归还金融实体处理的个人和非个人数据的规定。

（5）服务级别说明，包括其更新和修订。

（6）当发生与向金融实体提供的ICT服务有关的ICT事件时，ICT第三方服务提供商有义务免费或以事先确定的费用向金融实体提供援助。

（7）ICT第三方服务提供商有义务与主管当局和金融实体的解决当局，包括其任命的人员充分合作。

（8）根据主管当局和解决当局的期望，确定合同安排的终止权和相关的最短通知期。

（9）ICT第三方服务供应商参与金融实体ICT安全意识计划和数字业务韧性培训的条件。

2. 关键或重要功能外包的特别合同要求

如果ICT服务支持金融实体的关键或重要功能，合同中还需包含其他要素。

（1）完整的服务水平说明，包括其更新和修订，以及商定服务水平范围内的精确定量和定性绩效目标，以便财务实体对ICT服务进行有效监测，并在未达到商定服务水平时能够采取适当的纠正行动，而不会无故拖延。

（2）ICT第三方服务提供商对金融实体的通知期和报告义务，包括通知任何可能对ICT第三方服务提供商，按照商定的服务水平有效提供支持关键或重要职能的ICT服务的能力产生重大影响的事态发展。

（3）要求ICT第三方服务提供商实施和测试业务应急计划，并制定ICT安全措施、工具和政策，为金融实体根据其监管框架提供服务提供适当程度的安全保障。

（4）ICT第三方服务提供商有义务参与金融实体开展的基于威胁引导渗透测试（TLPT），并给予充分合作。

（5）金融实体有权对信息和传播技术第三方服务供应商的表现进行持续监督，这包括以下方面：财务实体或指定的第三方，以及主管当局，可以不受限制地查阅、检查和审计的权利，以及现场复制相关文件的权利，如果这些文件对ICT第三方服务提供商的业务至关重要，而且这些权利的有效行使不受其他合同安排或实施政策的阻碍或限制；如果其他客户的权利受到影响，有权商定其他保证水平；ICT第三方服务提供商有义务在主管当局、首席监督员、金融实体或指定的第三方进行现场检查和审计时给予充分合作；以及有义务详细说明此类检查和审计的范围、应遵循的程序和频率。

（6）退出战略，特别是建立一个强制性的适当过渡期。在此期间，ICT第三方服务提供商将继续提供相应的功能或ICT服务，以减少金融实体中断的风险或确保其有效解决和重组；允许金融实体根据所提供服务的复杂程度，迁移到另一个ICT第三方服务提供商或改用内部解决方案。

3. 合同前尽职调查

在签订使用ICT服务的合同安排之前，金融实体必须进行各种尽职调查类型的评估，包括以下几方面：评估合同安排是否涵盖支持关键或重要职能的ICT服务的使用；评估是否满足签订合同的监督条件；确定并评估与合同安排有关的所有相关风险，包括这种合同安排可能助长ICT集中风险的可能性；对潜在的ICT第三方服务供应商进行所有尽职调查，并在整个选择和评估过程中确保ICT第三方服务供应商是合适的；确定和评估合同安排可能造成的利益冲突。

4. 信息登记义务

作为前述ICT风险管理框架的一部分，金融实体必须维护和更新关于使用ICT第三方服务提供商提供的ICT服务的所有合同安排的信息登记册。在2024年1月，欧洲监管机构（ESA）发布了一份关于信息登记册监管技术标准（RTS）的最终报告，其中列出了在单个、合并和子合并层面维护信息登记册的各种模板。欧盟委员会在2024年7月通过信息登记册的最终RTS。该RTS将帮助金融实体遵守信息登记要求，并促进与相关监管机构共享信息。

DORA要求金融实体应至少每年向主管当局报告关于使用ICT服务的新安排的数量、ICT第三方服务提供商的类别、合同安排的类型以及正在提供的ICT服务和功能。金融实体应根据主管当局的要求，向其提供完整的信息登记册，或根据要求提供其中的特定部分，以及任何被认为对金融实体进行有效监督所必需的信息。此外，金融实体应及时向主管当局通报关于使用支持关键或重要功能的ICT服务的任何计划合同安排，以及某项功能已成为关键或重要功能时的情况。

5. 建立ICT第三方风险战略义务

在对ICT第三方服务合同进行完整登记的基础上，DORA要求金融实体建立ICT第三方风险战略，其中应包括一项关于使用支持关键或重要功能的信息和ICT服务的政策。具体来说，包含以下几方面。

首先，就使用ICT服务经营其业务作出合同安排的金融实体，在任何时候都应完全负责遵守和履行本条例和适用的金融服务法律规定的所有义务。

其次，金融实体对ICT第三方风险的管理应根据相称性原则实施，同时考虑到：一是与ICT相关的依赖关系的性质、规模、复杂性和重要性；二是与ICT第三方服务供应商签订的关于使用ICT服务的合同安排所产生的风险，同时考虑到相关服务、流程或功能的关键性、重要性，以及对个人、集团层面财务服务和活动的连续性、可用性的潜在影响。

最后，金融实体应采取并定期审查ICT第三方风险战略，同时酌情考虑到DORA规定的多供应商战略，即在集团或实体一级制定整体ICT多供应商战略，识别对ICT第三方服务供应商的主要依赖，并解释ICT第三方服务供应商采购组合的理由。

进一步，DORA要求，金融实体还应考虑与支持关键或重要功能的ICT服务有关的合同安排的预期缔结是否会导致：一是与不易替代的ICT第三方服务提供商签订合同；二是在提供支持关键或重要职能的ICT服务方面，与同一ICT第三方服务供应商或与密切相关的ICT第三方服务供应商有多个合同安排。

金融实体应权衡替代解决方案（如使用不同的ICT第三方服务提供商）的效益和成本，同时考虑所设想的解决方案是否以及如何与其数字复原力战略中规定的业务需求和目标相匹配，如下。

（1）如果关于使用支持关键或重要职能的ICT服务的合同安排包括ICT第三方服务提供者进一步将支持关键或重要职能的ICT服务分包给其他ICT第三方服务提供者的可能性，金融实体应权衡这种分包可能带来的利益和风险，特别是在ICT分包商设在第三国的情况下。

（2）如果合同安排涉及支持关键或重要职能的ICT服务，金融实体应适当考虑在ICT第三方服务提供商破产时适用的破产法规定，以及在紧急恢复金融实体数据方面可能出现的任何限制。

（3）如果与在第三国设立的ICT第三方服务提供商签订了关于使用支持关键或重要功能的ICT服务的合同安排，金融实体除考虑第二分段所述因素外，还应考虑该第三国遵守欧盟数据保护规则和有效执法的情况。

（4）如果使用支持关键或重要职能的ICT服务的合同安排规定了分包，金融实体应评估潜在的长期或复杂的分包链是否以及如何影响其全面监督承包职能的能力和主管当局在这方面有效监督金融实体的能力。

6. 对“关键”的ICT第三方服务提供商的直接监管

除了通过对金融实体提出第三方ICT管理要求之外，非常重要的是，DORA将对那些被欧洲监管机构（European Supervisory Authorities）指定为“关键”的ICT第三方服务提供商产生更重大的影响，即他们将受到欧洲监管机构的直接监督。

首先，根据DORA第31（6）条，欧盟委员会有权通过一项授权法案，进一步明确指定ICT第三方服务提供商为“关键”的标准。2024年5月30日，“关于进一步明确指定ICT第三方服务提供商为‘关键’的标准的欧盟委员会第2024/1502号委托条例”在欧盟《官方公报》上公布，明确了以下标准：一旦发生大规模的业务故障，对金融服务的稳定性、连续性或质量可能造成的系统性影响；依赖相关ICT第三方服务提供商的金融实体的系统性或重要性；金融实体就关键或重要功能方面，对最终涉及同一ICT第三方服务提供商所提供服务的依赖；ICT第三方服务提供商的可替代程度。

其次，在识别“关键”的ICT第三方服务提供商之后，DORA建立的直接监督框架将适用，无论其总部设在欧盟成员国还是国外（但不适用于集团内部服务提供商）。具体来说，欧洲监管机构将为每个“关键”ICT第三方服务提供商任命一名“首席监督员”。首席监督员将监督指定的关键ICT第三方服务提供商，并评估每个关键ICT第三方服务提供商是否有全面、健全和有效的规则、程序、机制和安排来管理ICT风险。欧洲监管机构将能够要求被指定的关键ICT第三方服务提供商提供所有相关信息和文件，进行一般性调查以及非现场和现场检查，提出建议和要求，并在某些情况下处以罚款。

除了上述关键的ICT第三方服务提供商之外，其他ICT第三方服务提供商由于向DORA覆盖范围内的金融实体提供ICT服务，因此将间接受DORA管辖。

欧盟金融业供应链安全立法对我国的启示

近年来，随着数字化转型的深入推进，中国金融行业对第三方信息通信技术（ICT）服务的依赖程度日益增加。这一趋势带来了效率和创新的优势，但也引发了供应链安全和运营韧性方面的挑战。欧盟在这方面积累了丰富的经验，为保障金融行业的供应链安全和韧性提供了有力的法律框架。借鉴欧盟的实践，对中国金融行业有以下几方面的启示。

一是可考虑建立统一的网络安全认证体系，提升供应链整体安全水平。当前，国内的网络安全认证存在标准不一、互不兼容的情况，不利于供应链的安全管理。为建立全国统一的网络安全认证框架，首先，可以考虑统一标准，提高可信度。制定统一的网络安全标准，避免各自为政，增强认证的公信力。其次，促进互认，降低成本。在全国范围内实现认证结果的互认，减少重复认证的成本和时间。再次，提升供应链安全。通过严格的认证，确保进入金融行业供应链的ICT产品和服务达到必要的安全水平。

二是加强第三方风险管理是保障供应链安全的关键。欧盟的DORA法规强调，金融实体在与ICT第三方服务提供商合作时，必须进行全面的尽职调查和风险评估。在合同签订前，金融机构需要深入了解供应商的技术能力、财务稳定性、合规状况以及安全管理水平。这种严谨的前期评估有助于降低潜在风险，确保供应商具备履行安全义务的能力。此外，在合同中明确服务水平协议（SLA）、数据保护措施和事件响应机制等关键条款，可以为后续合作奠定坚实基础。中国金融行业可以借鉴这一做法，完善第三方风险管理流程，建立持续的监控和审计机制，确保供应商在整个合作过程中始终符合安全和合规要求。

三是建立统一的供应链安全监管框架，有助于提高行业整体的安全水平。欧盟通过DORA，为金融行业设立了统一的供应链安全标准，对关键ICT第三方服务提供商实施直接监管。这种做法避免了监管碎片化的问题，确保了各成员国在供应链安全上的一致性。对于中国而言，当前的网络安全和金融监管法规可以进一步细化，针对金融行业供应链安全制定专门的法规或指导意见。统一的监管标准和认证体系，不仅可以提高监管效率，还能为金融机构提供明确的合规指引。在此基础上，对关键供应商进行重点监管，确保他们具备足够的安全和韧性能力，对于维护整个金融系统的稳定至关重要。

四是提升数字运营韧性是应对网络安全挑战的必要举措。DORA要求金融实体建立全面的数字运营韧性框架，包括风险管理、事件报告和韧性测试等方面。这一经验对于中国金融行业具有重要的参考价值。通过构建覆盖风险识别、预防、检测、响应和恢复全流程的韧性管理体系，金融机构可以提高应对网络安全事件的能力。定期开展漏洞评估、渗透测试等韧性测试，有助于及时发现系统和流程中的薄弱环节，防患于未然。同时，完善事件报告和沟通机制，确保在发生重大安全事件时能够迅速协调各方资源，降低事件影响。

五是促进行业协同与信息共享，构建集体防御体系，是提升供应链安全和韧性的有效途径。DORA强调金融实体之间的合作和信息共享，以共同提升行业的安全水平。中国金融行业可以在监管机构的指导下，建立行业级的网络安全信息共享平台，及时分享威胁情报和最佳实践。加强金融机构之间，以及与ICT服务提供商之间的合作，有助于共同制定安全标准和应对策略。此外，提升全行业的安全意识和专业培训水平，培养更多的网络安全人才，也是增强整体防御能力的重要方面。

综合来看，欧盟的经验表明，面对数字化转型带来的供应链安全挑战，金融行业需要从战略层面进行系统性的规划和部署。中国金融行业应高度重视供应链安全和运营韧性建设，从加强第三方风险管理、完善监管框架、提升数字运营韧性，以及促进行业协同等方面入手。只有这样，才能构建一个安全、可靠、可持续的金融服务生态系统，为数字经济的发展提供坚实的支撑。

数字化时代的到来，使得金融行业的运营模式发生了深刻变革。供应链安全和运营韧性已经不仅仅是技术问题，更是关系到金融系统稳定和国家经济安全的重要议题。通过借鉴欧盟的立法经验和实践做法，中国金融行业可以在供应链安全和韧性工作上取得更大的进展。

（此文刊发于《金融电子化》2025年1月下半月刊）