试论国际金融服务离岸外包的法律规制——以美国与印度模式为视角

试论国际金融服务离岸外包的法律规制——以美国与印度模式为视角 试论国际金融服务离岸外包的法律规制——以美国与 印度模式为视角 指导小组成员名单 陈治东 教授 孙南申 教授 何力 教授 目 录 中文摘要??.. 认?.??. 引言.... 第一章 国际金融服务离岸外包的法律问题概述?.. 第一节金融服务离岸外包的特点..?.................. 一、金融服务离岸外包的基本概念? ‘、金融服务离岸外包的风险??. 第二节金融服务离岸外包的国际监管........?......... 一、 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 金融服务离岸外包的国际性文件二、:金融服务外包》文件的非强 制性??.. 三、金融服务发包国与承接国的立法重点??..、?.. 第二章金融服务发包国的监管制度分析一以美国为例.... 第一节美国金融监管机关简介....................?. 第二节对金融机构的监管............................ 一、金融机构外包风险的整体控制?.??. 二、金融机构对客户数据信息的使用 三、监管实例.. 第三节对服务商的监管........?........?.?.... 一、对服务商进行监管的法律依据.. 二、对服务商的监管内容. 三、对外国第三方服务商的监管?. 四、监管实例??.?. 第三章金融服务承接国的法律环境分析一以印度为例.... 第一节承接金融服务离岸外包涉及的法律问题...........第二节 印度知识产权保护制度.?............. 一、印度已加入的国际公约及其国内立法?.. 二、印度知识产权法的执行问题?. 第三节 印度数据隐私保护制度..?............ 一、印度《信息技术法》的修订?. 二、信息技术行业自律行动??.. 第四章构建中国发展金融服务离岸外包业务的法律 第一节中国的立法现状...................?. 一、与承接外包业务有关的立法??..:?. 二、与金融监管有关的立法??.. 三、立法缺陷.. 第二节对中国改善离岸外包法律环境的建议.:.... 一、学习和借鉴发达国家金融监管制度??. 二、加强知识产权法律保护??.. 三、改善个人数据隐私法律保护?. 结论.............................?....... 参考文献..................?................. 后记.........................?...........中文摘要 本文主要研究国际金融服务离岸外包的法律规制问题。在众多发展离岸外包 业务的国家之中,美国是最早开始就金融服务外包制定规则的国家,其监管的法 律规范最为完善,而印度是全球最大的离岸外包承接地,其近年来在完善知识产 权及数据隐私保护法方面取得了长足的进步。因此,本文选取这两个最有典型意 义的国家作为研究对象,旨在通过对其金融服务外包业务的法律规制体系的系统 研究,为构建我国金融服务外包的法律制度提供参考,并促使我国完善相关法制 环境,发展为全球另一个重要的离岸外包中心。 本文共分引言、正文和结论三个部分,其中正文由四章组成。 第一章从金融服务离岸外包的概念入手,作者分析了外包的基本特点,包括 外包过程中可能面临的风险,并详细介绍了规范外包的国际性文件??《金融服 务外包》的主要内容。 第二章以美国为例,作者主要研究金融服务离岸外包关系中发包国的法律制 度。作者对美国主要的金融监管机关进行了简要介绍,包括美国联邦金融机构检 查委员会、美国货币监理署和美国联邦存款保险公司。然后分别探讨了美国金融 监管机关对金融机构和外包服务商的监管措施。 第三章以印度为例,作者主要研究了金融服务离岸外包关系中承接国的法律 制度。作者分析了承接金融服务离岸外包涉及的主要法律问题,并讨论了印度的 知识产权保护制度和数据隐私保护制度,包括《信息技术法》的历次修订和印度 全国软件与服务公司协会在其中所作的贡献。 第四章围绕如何构建中国发展金融服务离岸外包业务的法律制度展开了研 究。作者分析了中国的立法现状,提出虽然有政府的大力支持,但中国在离岸外 包法律制度方面仍然存在立法空白,同时欧美国家也对中国提出了一些期望。最 后作者对中国改善离岸外包法律环境提出了相应的建议。 作者试图通过对金融服务离岸外包的发包国和承接国的双向研究,对美国和 印度的相关法律制度进行深入的剖析。从监管机构到监管规范,从规范的制 定到 执行、适用机制都进行了论述,从而系统地梳理了其分散的法律体系。这一 研究 旨在为相关制度提供实证依据,试图为构建我国相关法律制度提供建议打下 坚实 的理论基础。 关键词:离岸外包 金融服务 外包风险知识产权保护 数据隐私保护 中图分类号:. , ., ‘” , . . , ’ ‘’,. , ,.. ,. . , , . ,. , , .伍 , ., , . . , . ’ ..’’ ’ . ,, . 砀 . . , ,,. :, , , :. 引 言 随着经济全球化的加深和国际产业结构的调整,世界服务贸易的发展已经取 得了很大进步。而现代通讯和信息处理技术的迅猛发展,又使服务贸易领域 的传 统商业结构发生了改变。近年来,服务业的离岸外包正逐渐成为服务贸易的 重要 形式。世界发达国家和地区是主要服务外包输出地,在全球外包支出中,美国 占 了约/,欧盟和日本占近/;发展中国家是主要的服务外包业务承接地,其中 亚洲是承接外包业务最多的地区,约占全球外包业务的%。在蓬勃发展的外 包市场中,金融业的离岸外包正处于方兴未艾的时期,其作为金融机构提升核心 竞争力的有效手段,已在全球范围引起广泛关注,而在发达国家更是出现了新一 轮的金融服务外包浪潮,范围覆盖了银行、保险、证券、投资等各类金融机构。 很多大型银行将中后台业务派送到海外进行离岸外包,利用海外劳动力来降低成 本,同时也能提高服务的质量和效率。 作为全球最大的发展中国家,中国正力图把承接包括金融服务外包在内的服 务外包项目作为下一步经济发展新的增长点。商务部已于年启动了支持服 务外包发展的“干百十”工程,目标是每年投入不少于亿元资金,在至 年内培养家大型承接服务外包的企业,推动家跨国公司将其外包业务 转移到中国,建设个承接服务外包的基地城市。上海更是将服务外包的重 点定在了金融业务流程外包上。然而,中国的金融服务离岸外包市场毕竟处于萌 芽阶段,对外包的监管并未引起足够的重视,所以许多外包项目的操作都略欠规 范。此外,金融外包所可能带来的风险也是不容忽视的,如战略风险、声誉风 险、 法律风险、操作风险、国家风险、履约风险等。所以,对中国而言,借鉴国际先 进的监管措施并完善本国的相关法律环境无疑是“重中之重’’。 在众多进行离岸外包业务的国家之中,美国是最早开始就金融服务外包制定 规则的国家,其监管的水平最高,监管的法律规范也最为完善;而印度作为全球 最大的离岸外包承接地,一方面其法制环境尤其是知识产权法以及数据隐私保护 法方面的相对落后给其外包业务带来了负面影响,另一方面近年来其在完善相关 法律制度方面也取得了长足的进步。因此,本文将选取这两个最有典型意义的国 家作为研究对象,旨在通过对其金融服务离岸外包业务的法律规制体系的系统研 究,了解金融服务外包业务的监管措施及其完善的途径,从而为构建我国金融服 务外包的法律制度提供依据,并促使我国完善相关法制环境,发展为全球另一个 重要的离岸外包中心。 第一章国际金融服务离岸外包的法律问题概述 第一节金融服务离岸外包的特点 一、金融服务离岸外包的基本概念 .外包的定义及优势 “外包,对于其正式定义,国际社会至今没有统一的说法。 根据国际清算银行所属的巴塞尔银行监管委员会与国际证券 委员会组织、国际保险业监管协会组成的联合论坛于年 发布的《金融服务外包》文件,外包是指“受监管实体持续地利用外包服务 商 为集团内的附属实体或集团以外的实体来完成以前由自身承担的业务活动。 “外包可以是将某项业务或业务的一部分从受监管实体转交给服务商操作, 或由服务商进一步转移给另一服务商有时被称为“转包”。”“按此定义,外包 不包括购买合同。此处‘购买’被定义为:从供应商取得服务、货物或设备, 但 买方不转移与客户有关的财产权信息或与其商业活动相关的未公开信息。 可见,外包一般是指一个公司将其业务流程或相关职能的责任有时也包括 资产或资源转移给第三方的一种业务安排,它主要包括信息技术外包 ,以下简称“’’和业务流程外包,以下简称“两个范畴,本文所讨论的金 融服务外包就是的一种。 根据外包对象的性质,可将外包分为制造外包 和服务外包 。根据外包目的地是否在国内,外包又可分为 在岸外包 和离岸外包 。离岸服 务外包的内容主要包括:影视和文化服务、商务服务、计算机及相关服务、高等 教育和培训服务、金融服务、医疗服务、互联网相关服务及其他各类专业服务等 。本文所讨论的金融服务离岸外包就是上述分类中内容相互交叉的体现。 企业选择离岸服务外包,一般是出于以下两方面的考虑。首先,离岸外包可 以降低成本、提高企业竞争力。许多发达国家的企业将其业务外包的动因就是节 省成本,因为发达国家技术工人的工资与发展中国家技术工人的工资相差巨大, 所以当前离岸服务外包的趋势实际上是劳动力市场的正常转移。此外,将非核心 业务环节外包出去,能使企业保持较“小”的规模和较高的灵活性,集中精力走 专业化的道路,赢得长期竞争优势。其次,服务外包对自然资源损耗低。在货物 贸易传统的资本与人力分工模式下,许多国家为了发挥自身的人力资源优势和增 加就业,往往在吸引外资的过程中付出了牺牲环境的代价。离岸服务外包作为一 种现代服务贸易形式,并不需要生产方消耗自然资源,对生态环境几乎不会造成 任何影响。 .金融服务外包的兴起 在年月于我国河南省郑州市召开的第二届全球外包大会上,亚太总 裁协会和国际外包中心联合发布了全球服务外包发展报告》, 该报告总结了近年来规模不断扩大的服务外包呈现出的新特点,其中,信息技术 外包和金融服务外包成为当今外包业务的主导正是这些新特点之一。由于信息技 术外包向来是外包业务的传统项目,所以人们已把目光越来越多地聚焦于不断壮 大的金融服务外包业。 报告指出,由于金融业日趋复杂的内部整合与外部衔接,以及专业化分工和 规模经济的影响,金融业的许多部门都在进行国际外包,银行数据中心、保险核 保理赔、股票交易和金融分析等业务都可以在一些具备相应条件的低成本中心进 行,在外包服务市场中金融业是最大的服务对象之一。数据显示,在年 至年间,来自美国金融业的业务占印度前三大企业全部收入的比重从 , %上升到了%。 实践中,金融服务外包一般包含以下主要业务见“表格”: 表格 分类 具体业务 卡业务外包 业务咨询、电话营销、客户归并管理 金融软件开发、应用系统组建、基础环境的日常维护、 应用系统运维 应用系统及基础环境操作指导、异常和运行故障处理、 金 运行操作策略制定、运行监控 融 贷款业务、金融分析、结算环节、境内外汇款、数据录 服 操作流程环节 入、后台处理、账款业务、票据审核、内容管理、数据 务 分析、客户电话分流、客户关怀 外 在线实时单证处理、非实时单证处理、单证处理数据及 包 单据处理外包 统计分析 提供机房环境、金融专用服务器托管、稳定性和安全性 基础设施托管 维护 资料来源:外包网 近年来,在上述金融服务外包业务中,银行业的外包迅速发展。随着国际银 行业竞争的加剧,单靠自身扩大规模是不够的,任何一家银行都不可能在每 一个 业务领域都保持领先地位。因此,为了突出核心竞争力,许多银行在不放弃原有 优势的前提下,将目光转向了业务外包。无论是外包银行内部与信息技术有关的 业务,还是非信息技术业务,都能使银行通过业务流程的优化重整,在更大范围 内获得利润。例如,总部设在美国俄亥俄州的美国第一银行 ,, 试图通过外包其核心的信息处理功能来集中资源于其银行核心战略的设计 和执行。在这个总金额高达.亿美元的外包 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 中,美国第一银行让美国电 话电报公司的 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 解决部和国际商业机器公司的全球服务部 来处理其网络和日常的通讯和数据处理功能,并把他们整合起来置于银行的整个 管理计划之下。这项外包计划将使银行在未来六年中节省支出超过亿美元。 又如,早在多年以前,摩根大通和摩根斯坦利就在印度孟买雇用了大量的初级分 析师。德意志银行也对从事软件开发、销售及业务的拥有名员工的环 球技术与应用部门进行整合,尽可能将某些领域移交给其他服务商或向低薪国家 如印度转移。而花旗集团和汇丰控股也已将呼叫中心等支持型业务外包给了印 度。 金融服务离岸外包的风险 尽管金融服务离岸外包有着如此巨大的优势和广阔的发展前景,但同时也意 味着它将为金融机构自身带来更大的风险,尤其是当承接外包的服务商在另一个 国家境内时,就更难对其行为加以有效的控制。同时,金融机构开展业务必将涉 及众多客户的非公开信息,如何保护这些信息的安全性也是外包过程中十分重要 的环节。在金融服务离岸外包的过程中,各方可能遇到的主要风险如下: .政治与文化风险 政治与文化风险主要是因服务跨越国境而引起的。 政治风险的范围较广,它包括影响外包活动的所有环境的变化,严格地说, 它是各种政治力量使一个国家的商业环境发生剧烈变化,并影响到金融机构外包 目标实现的可能性。政治、社会和法律环境可能产生额外风险,破坏外包业务的 连续性。战争、革命、政变、示威、暗杀或暴动将打断一国的对外交往,必将影 响外包目标的实现。一国的法制水平、社会腐败状况、官僚机构的办事效率等也 间接地影响着外包合同的执行效率。政治风险的后果包括:国有化没收、行 业管制、税收控制、价格管制、政治制裁等,其中没收是最严重的政治风险。旧 文化风险从宏观上来看,是由于不同国家之间不同的文化价值取向所导致 的。例如,使用不用语言的合作双方可能对同一项目的标准产生理解上的欠 缺,从而造成最终服务质量的偏差,而即使使用同种语言,如美国和印度的企业 都使用英语交流,两国在文化传统上的差异也可能对服务效果产生影响。从微观 上来看,不同企业之间的企业文化差异也可能造成服务未达到理想效果的风险。 .商业与战略风险 当外包服务商根据自身的利益,采取与金融机构的整体战略目标不一致的做 法,而金融机构未能对外包服务商实施适当的监督时,这种对金融机构战略的偏 离可能导致严重的后果。在外包实施过程中,对外包服务项目、外包业务范围或 离岸地理位置的选择,都是关键的战略决策,它决定将出现何种类型和规模的风 险,因此也就决定着哪些风险需要管理。”每一项战略性外包都是一个复杂而 长期的过程,金融机构和服务商之间建立的是一种长期的商业伙伴关系,双方既 有合作的愿望又有从中获取更多利益的想法,要想保证双方良好的信任和合 作, 就必须考虑到服务商是否能满足金融机构的战略目标并找到相应的平衡办法。 此外,当服务商的服务差强人意,服务商与客户的互动不符合金融机构的整 体标准,或者服务商的活动不符合金融机构在道德或其它方面的规定时,金融机 构就可能面临自身商誉受损的风险。 .合规与数据风险 在开发较大的核心项目的过程中,信息技术的服务商往往比金融机构更具有 知识产权意识,他们很可能会将共同开发的项目抢先占为己有,从而发生知识产 权的纠纷问题。.而一些服务商更可能在未经授权的情况下,擅自使用金融机 构的知识产权为自身谋取利益,从而造成对金融机构知识产权的侵权。因此,许 多发达国家的大型金融机构在选择外包目的国的时候,目的国对知识产权保护的 力度无疑是金融机构首要考虑的因素之一。 此外,在外包过程中,金融机构将自己的部分或全部信息提供给外包服务商 开发、运行和管理,期间外包服务商及其员工就有了获得金融机构非公开信息的 机会,于是金融机构的商业秘密及其相关信息就很有可能被泄漏给竞争对手,从 而使金融机构面临着秘密数据外泄的风险。同时,金融机构也有义务保护其客户 的私人信息不受到侵犯或者滥用,然而,当外包服务商在另一个国家境内时,这 种跨国的保护便成了摆在众多金融机构面前的一道难题。 正是由于上述风险的存在,金融机构在发包时才更应谨慎尽职,对外包目的 地的选择、服务商的选择以及客户数据的保密都应严格按照有关规定进行;而各 国政府为了更有效地对外包关系进行监管,防范随时可能发生的风险,也应完善 一 相关的法律制度,为金融服务离岸外包的发展提供相应的保障。 第二节金融服务离岸外包的国际监管 离岸外包是将服务从一个国家出口到另一个国家,在此过程中会涉及到一系 列国际性的法律问题。各国政府一方面希望离岸外包业务能够迈向更加多元化和 自由化的方向,另一方面又深知大力发展离岸外包可能伴随的风险。由于主权的 地域性,各国只能在本国的主权范围之内监管金融服务外包。实际上,各国都希 望在国际范围内更大程度地规范其他国家境内的外包行为,以使整个外包关系无 论某个环节发生在哪个国家都处于一个较为相似的监管环境之下,于是这就需要 制定一项较为统一的国际外包规范文件。 一、规范金融服务离岸外包的国际性文件 年月,由本文文首提及的巴塞尔银行监管委员会、国际证券委员会 组织和国际保险业监管协会组成的联合论坛发布了一份名为《金融服务外包》的 文件。该文件为外包制订了九大基本原则,并对与外包有关的主要问题及风险做 了详细 说明 关于失联党员情况说明岗位说明总经理岗位说明书会计岗位说明书行政主管岗位说明书 和举例。这些原则适用于银行、保险及证券业,而这些行业的国际委 员会也可根据这些原则制定更为详细和有针对性的规定。 由于上述三大国际委员会是由具有金融实力的发达国家所组成的,在金融 全球化的趋势下,这些国家几乎主导着整个国际金融监管的合作和立法理念以及 监管实践的走向,因此,该文件无疑会对各国金融服务外包监管的立法与实践产 生较大的影响。加 根据《金融服务外包》的指引,以下九大原则是金融机构在实施金融服务离 岸外包时所应当遵循的原则: 第一,制定外包政策。金融机构应制定全面的政策来决定能否进行外包,以 及如何进行外包。金融机构的董事会或相关部门对外包政策及有关活动要全 面负 责。如果希望将某一业务外包,那么管理层应事先全面了解该业务的成本及收益 状况,这就要求管理层对本机构的核心能力、管理能力、弱点及未来目标等进行 全面评估。同时,如果将某项业务外包会妨碍监管机关评价或监管金融机构的业 务,那么该业务就不能外包。 第二,建立外包风险管理机制。金融机构应建立全面的外包风险管理程序来 指导外包业务的进行,同时管理其与服务商的关系。一般来说,评估金融机构的 外包风险取决于如下因素:外包业务的范围及重要性、金融机构的管理水平、外 包风险的监控包括对操作风险的一般管理、服务商对潜在操作风险的管理与 控制。其中,最后一点尤为重要,因为数据的安全和保护及其它风险可能因服务 商所在地理位置而受到不利影响。为此,在评估及管理发生在本国境外的外包活 动时,必须有专门的风险管理能力来评估涉及政治及法制环境等方面的国家风 险。 第三,确保金融监管机关的监管效能。金融机构应确保外包行为既不能影响 其对客户及监管当局的责任,也不能损害监管机关的监管效能。具体来说,外包 行为不能妨碍客户在金融服务中应当享有的权利比如客户根据有关法律获得适 当赔偿的权利等,也不应损害监管机关对金融机构进行合理监管的能力。 第四,尽职选择外包服务商。在选择服务商之前,金融机构应制定专门的标 准来评估服务商是否具有有效、可靠及高标准履约的能力,同时也应评价与特定 服务商相关的潜在风险因素。具体而言,这些职责包括:选择合格且具有充 分能力履行外包业务的服务商;确保服务商能理解及满足金融机构在特定活 动中的要求;确认服务商具有履行职能所需的稳健的财务状况。在未完成以 上准备工作之前,金融机构不应将有关业务外包。 第五,谨慎签订外包书面合同。一般来说,一份全面的外包合同应当包括下 列关键条款:双方明确界定需要外包的业务,包括适当的服务及执行水平;金融 机构必须确保能够从服务商处获得有关外包业务的账簿、 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 及信息;规定金融 机构要能对服务商进行持续的监控,以便及时采取整改措施;在必要情况下,合 同应包括终止条款及执行终止规定的最短期限;服务商将全部或部分外包业务进 行转包的前提条件;若外包属于离岸外包,合同还应包括法律适用条款和争 议解 决条款。 第六,建立应急计划,包括灾害恢复计划及备份设施的定期测试计划。如果 金融机构和服务商缺乏应急意识,而且外包业务反复出现问题,则可能导致意外 的信用暴露、财务损失、错失商机及出现信誉与法律问题等。所以,金融机构应 确保服务商具有一定的信息技术安全保护及灾害恢复能力。 第七,确保客户数据隐私得到保护。金融机构应采取恰当措施要求外包服务 商严守金融机构及其客户的保密信息。此类措施应包括:在与服务商的合同中禁 止服务商或其代理人使用或披露金融机构或其客户的专有信息除非是约定服务 且满足监管及法律所要求的条件;根据监管及法律规定,考虑是否有必要通知 客户其资料可能被转移给了服务商。 第八,监管机关应把外包业务作为对金融机构评估的组成部分。为此,监管 机关应能及时获得有关外包业务的账簿与记录及其它资料,包括要求账簿及记录 必须保存在监管机关所在的国家;或者服务商承诺将账簿与记录的原件或复印件 交至监管机关。这些最好能在外包合同中明确约定。 第九,防范集中风险的产生。集中风险主要出现在下列两种方式中一是当 多个金融机构将业务外包给同一家服务商时,一旦该服务商出现任何状况,这些 金融机构都将被殃及;二是多家服务商依赖于同一个公共应急平台时,一旦突发 状况,应急资源可能不够应付所有的状况。为此,金融机构可以采取一些措施来 缓解集中风险比如加强应急计划的制定如第六条原则所述,实施实时监控、 流程识别等。 从以上这些原则可以看出,文件分别对金融机构和金融监管机关这两大主体 提出了相应的要求。金融机构作为一个外包关系的发起者承担着非常多的责任, 而监管机关的任务就是要在金融机构未遵守相关义务时采取措施,确保金融机构 . 落实这些责任,使外包关系中可能出现的风险降至最低。 文件列举了德国、美国和澳大利亚等国在监管外包关系中产生的实例,从而 也暗示着文件提出的原则和要求其实是在借鉴了世界各国监管外包关系的实践 和经验后总结和提炼出来的基本原则,反映了各国在规范外包关系和降低外包风 险方面的普遍期望。 二、金融服务外包》文件的非强制性 虽然《金融服务外包》对各国的外包监管提出了详细的原则,但是毕竟发布 该文件的组织并不具备任何凌驾于国家主权之上的强制监管权,该文件也不具备 任何法律效力。因此,它只是通过制定这些原则和标准,提倡最佳的监管方式, 期望各国采取措施,根据本国的情况通过具体的立法或其它安排予以实施。该文 件鼓励采用共同的方法和共同的标准,但并不强求各国在监管技术上的一致。 所以,对于金融服务的离岸外包,目前在国际范围内并不存在一项如世界贸 易组织以下简称“”的文件那样可由其争端解决机制保障实施的法律。 金融服务外包具体到发包方和承接方的关系上,归根结底还是受制于每个国家制 定的符合本国国情的国内外包立法。于是,《金融服务外包》的制定就相当于一 份各国制定本国外包立法的示范文件。 三、金融服务发包国与承接国的立法重点 诚然,从外包的业务内容来看,每个国家都有可能同时成为发包企业的母国 和承接企业的母国,但是在整个全球服务外包的历史发展过程中,不同国家已经逐渐积累起了属于本国的独特优势。 根据全球服务外包发展报告》,从服务外包市场分布来看,世 国家和地区是主要服务外包输出地,在全球外包支出中,美国占了约/ 和日本占近/,其他国家所占比例较小。全球服务外包的承接国可以分三个层 次:优先承接国为加拿大、印度、爱尔兰、俄罗斯、菲律宾;第二承接国为澳大 利亚、新西兰、中国、马兰西亚、墨西哥、西班牙;第三承接国为中东欧、印度 尼西亚、以色列、泰国、巴西、埃及、巴基斯坦、南非。由此可见,全球主 要的外包业务以成熟的美国市场为主,而印度作为发展中国家是外包的首选目的 地之一。 市场侧重点的不同将导致立法导向的不同。一般来说,美国等金融服务发包 国更注重对金融机构的监管,确保金融机构在实施外包时已采取了足够的措施来 防范风险,这些国家也正是推动制定《金融服务外包》这类国际性文件的最初力 量。相对而言,印度等金融服务承接国则更注重提高服务商的履约效果和服务质 量。金融服务外包的特点就在于接受外包的服务商本身并不是金融机构,而是一 些提供软件、咨询等服务的公司,所以他们的行为并不直接受到本国金融监管机 关的监管。不过,对金融机构选择服务商提出要求其实也在间接对服务商提 高服 务质量提出要求,毕竟每个服务商都希望自己在承接业务的竞争中脱颖而出。 鉴于此,本文将分别对金融服务发包国和承接国的相关立法进行研究和分 析,试图总结出全面规范国际金融服务离岸外包关系的合理途径。 第二章金融服务发包国的监管制度分析?一以美国为 美国是最早开始就金融服务外包制定规则的国家。早在年,纽 储备银行就发表了有关防范金融服务外包风险的报告。但是美国至今 统一制定一部比较全面的外包立法,而是在关于金融服务的联邦法律中规 关外包的若干要求,此外还有各金融监管机关各自制定的相应规范,包括一些政 策指引。 第一节美国金融监管机关简介 美国的金融监管体系最大的特点就是“双重多头。双重是指联邦和各州均 有金融监管的权力;多头是指有多个部门负有监管职责,包括美国联邦金融机构 检查委员会以下简称“”、美国货币监理署以下简称“和美 国联邦存款保险公司以下简称“”等。 成立于年,它是由联邦储备委员会、货币监理署、联邦存款保 险公司、国家信用社管理局和储贷监理署五家联邦级监管机构共同组成的,它的 成立旨在联邦级监管机构之间建立统一的监管原则、标准和报表格式,协调、 统 一各监管机构的监管政策和监督检查活动。近几年,关于金融服务外 包发布了一系列相关的指引,其中包括《技术服务商的监管规范》、《技术服务 外包的检查手册》和《技术服务外包的风险管理》等文件。 成立于年,它的总部设在华盛顿,是美国成立最早的联邦政府金 融监管机构,隶属于美国财政部。主要负责联邦注册的全国性银行以及联 邦注册的外资银行分支机构的监管。巧近年来,关于金融服务外包发布了 《第三方关系:风险管理原则》和《银行对外国第三方服务商的选用:风险管理 指引》等公告。 成立于年,它是美国政府在大危机之后为恢复存款人对银行系统 的信心而设立的。目前,的存款保险基金高达亿美元,被保险的存款 总额超过万亿美元,几乎覆盖了美国所有银行的存款。拍为规范金融服 务外包而制定了《选择服务商的有效方法》、《对技术提供者履约风险的管理方法: 约定服务水平条款》、《对多方服务商的管理技巧》和《金融机构选择外国第三方 服务商的指引》等指引。 上述监管机关在各自的职责范围内都制定了与金融服务外包有关的文件,将 这些文件综合起来,就形成了一套较为全面的金融服务外包指引,其中不仅包括 对金融机构的监管,还包括对服务商的监管。 第二节对金融机构的监管 美国金融监管机关对金融机构的监管主要体现在监管机关要求金融机构加 强风险控制的能力,同时严格遵守客户数据信息使用的规定。 一金融机构外包风险的整体控制 于年月发布的《技术服务外包的风险管理》旨在为金融机 构实施技术服务外包提供风险防范方面的指引。尽管该文件是为技术服务的外包 提供指引,但由于目前金融服务外包中很大一部分业务仍然是基于计算机网络和 软件的技术服务,如金融软件开发、应用系统及基础环境操作指导、运行监控等, 该文件对金融机构还是具有一定指导意义的。 文件最主要的关注点在于金融机构实施风险监控措施的四大要素:第一,加 强风险评估;第二,对服务商做尽职调查;第三,谨慎签订外包合同;及第四, 对服务商进行监督。下文将围绕这四点并结合其他相关规定做进一步的分析。 .风险评估及董事高管的责任问题 由于金融服务外包是金融机构利用第三方服务商来完成本应由金融机构自 身提供的服务,所以,如何有效地控制第三方关系并降低可能发生的风险,就成 了每一家实施外包的金融机构不得不重视的问题。 根据在年月发布的第号公告《第三方关系:风险管 理原则》第三方关系可以分为三个类型:一是以银行的名义为客户服务,二 是提供银行本身并不提供的产品或服务,三是取得银行特许权。其中,第一种类 型就是本文所研究的外包业务。公告认为,如今银行的外包业务正逐步由传统的 信息技术外包向涉及银行实质性业务如贷款、评估、内部审计等的外包过渡, 因此银行更需要加强其风险管理能力。 在评估每一项外包的风险时,金融机构的董事会和管理层都有义务审慎而全 面地考虑与外包有关的一些因素,从而做出相应的决策。这些因素包括:金融机 构的战略目标、被外包的服务对金融机构的重要性、对外包活动的具体要求、必 要的控制和报告手续、服务商的合同义务、应急计划、按照金融机构的自身战略 目标对外包服务进行持续评估以及监管机关的相关要求等。 , 在美国公司法中,董事高管的此类义务被称为“注意义务 即董事或高管在管理公司各项事务时,应当出于善意,尽到普通谨慎人在类似地 位及相似环境下应有的注意,并以一种合理相信其行为符合公司最佳利益的方式 履行其义务。尽管董事或高管可用“商业判断规则’’ 来为自己的决策进行辩解,但前提是他必须能够证明自己在决策时充分了解了 有关情况,而且这项决策中没有自利行为。如果他疏于对公司业务的管理和监督, 那么他将为此向公司承担责任。此外,公司业务的性质往往决定了所要求的注意 程度,在美国判例法上,历来要求金融机构的董事或高管履行更高标准的注意义 . 务。 不仅如此,对于一项外包业务的决策,金融机构的董事或高管应当尽到更广 泛的注意义务,了解与该项业务有关的一切重要信息,包括第三方服务商的行为。 虽然服务被外包给了第三方去完成,但是银行的董事或高管仍然要确保第三方的 服务是安全及合法的,并不能因为银行利用了第三方的服务就免除了管理层的这 些义务,因为即使是银行自己处理这些业务,也会面临着同样的风险管理、安全 和隐私保护、客户保护等问题,而当业务被交予更难控制的第三方时,管理层的 责任就更大了。正如上述第号公告所强调的, 向鼓励和支持 银行利用第三方的优势将有关业务外包出去,但银行应当有效地预防那些可能发 生的风险才能最大化地利用好这层关系,因为银行利用外包能获得多大利益将直 接取决于银行战略管理的质量、尽职调查的效果和持续监管措施的适用,还取决 于服务商对于客户服务要求的理解和接受能力。 .对服务商的尽职调查问题 合适服务商的选择方法 外包成功的关键很大程度上决定于外包服务商的服务质量。对于如何选择合 适的服务商,在其于年月发布的《选择服务商的有效方法》中给 出了十分详细的建议,但这份文件并不是的官方指引或监管程序,而只是 一份引导性的建议。 选择服务商的目标就是要选出最合适的服务商并与之协商出一份能满足银 行要求的合同。银行可以使用一些辅助的方式来帮助挑选服务商,例如向潜在的 服务商发送《计划书邀请函》 ,邀请对某项外包感兴趣的 服务商撰写一份计划书,由银行来评价该计划书的内容是否符合银行的预期。然 后,银行根据一定的评价标准来挑选最合适的服务商,并谨慎地与其协商外包合 同的各项条款。 在选择的过程中,银行应当遵循三大基本原则,即选择应尽量节约成本、高 效,并且适合银行将要外包的业务性质。最后一点尤为重要,如果将服务外包给 第三方服务商并不能使银行降低运营成本,反而降低了整体效率,那么这样的选 择就是失败的。 对外国第三方服务商的选择 上述选择过程只是针对所有服务商的一般选择方法,而当服务商位于国外 时,情况就更为复杂了。根据于年月发布的《关于技术服务外包 的玎检查手册》之附件三的规定,金融机构不仅应满足风险监管措施的四大 要素,还应特别关注对外国第三方服务商的控制,也就是离岸外包的监管问题。 尽管离岸外包可以节约成本,但由此也可能带来额外的风险,如政治风险、 合规风险、合同风险、商誉风险、战略风险等等。对于这些风险的监管,金融机 构的董事会和管理层应当审慎地进行风险评估并仔细审阅外包合同。 为了防范政治风险,金融机构应当全面收集和分析与该外国的政治、社会、 经济环境有关的信息,并在风险管理措施中加入应急机制以应对国外服务的突然 ‘ 中断。 为了防范合规风险,金融机构应当确保其将要使用某个外国第三方服务商的 过程不会违反美国有关法律,如客户隐私保护法、信息安全法,以及银行保密法 关于及时报告和将金融交易归档的要求。同时,金融机构也应考虑外国数据隐私 法律的有关规定和可能带来的影响。此外,金融机构还要时刻关注美国财政部海 外资产控制办公室发布的制裁令或禁运令,这些命令随时可能规定禁 止出口某项与加密有关的技术。由于美国的出口控制法律对美国出口应用于软 件、硬件或网络的加密技术实施了一定限制,实施外包的金融机构必须确保其外 包行为不违反其中的规定。 .谨慎签订外包合同的问题 在合同审阅方面,一个全面的外包合同一般包含以下条款:服务范围、履约 标准、安全和保密、控制、审计、报告、中断或恢复服务计划、分包和多包关系、 成本、所有权和证照、服务期限、争端解决、豁免、责任限制、合同终止、转让, 等等。 其中,最为关键的问题就是履约标准条款的拟定,这类条款一般也称为“服 务水平条款”。服务水平条款 ,亦简称“是银行 和服务商之间约定服务标准和质量的条款,它的主要目的是明确服务的期望值, 同时也能相应落实责任归属。 于年月制定了《对技术提供者履约风险的管理方法:约定服务 水平条款》它是一份建议,旨在为银行与服务商约定全面的服务水平条款提 供相应建议。 根据这份建议,成功起草服务水平条款主要包括四个步骤:决定目标,明确 要求,设定衡量标准,以及约定责任归属。文件还提供了一份标准的服务水平条 款的模板,内容主要包括:目的、服务范围、服务类别、服务质量的可接受范围、 记时内容和方法、不能履约的后果、买方的责任、卖方的责任、退出方式以及协 商。当然,文件还建议银行和服务商随时根据服务的进展情况相应更新条款的内 容,以进一步降低风险。 此外,外包合同的法律选择问题也十分重要。合同中的法律选择条款将决定 由哪个国家的法律来判断合同关系的存续与否。如果争议在其他国家起诉,当地 法院会根据该国的法律来解释合同,而合同中的法律选择条款很有可能被法院认 为不能适用,而由此适用与美国保护银行客户的相关法律大相迳庭的当地法 律。 所以,在选择外国服务商时,金融机构还应考虑请法律顾问对外包合同的各 项条款是否能在该国得到全面执行提出相关的意见。 .对服务商的监督问题 在监督服务商方面,金融机构应当监控服务商的财务和运营状况,评估服务 的质量,判断合同履行情况并适时修改有关内容以及维持服务应急计划。 具体的监督内容将在后文第三节“对服务商的监管中进行讨论。 二、金融机构对客户数据信息的使用 在通常的金融服务过程中,金融机构有义务遵守各项与客户数据信息有关的 保密规定,不得擅自泄露或为了服务之外的目的而使用客户数据信息。那么, 在 一项外包关系中,如果金融机构向无关联的第三方服务商提供了客户的数据 信 息,是否将被视为违反保密规定呢 ‘ .关于客户数据离岸传输的基本规定 美国于年制定的《金融服务现代化法》又称《格雷姆?里奇?比利雷 法》,即.,以下简称“””对涉及离岸传输客户数 据的业务进行了规定。 该法第五百零一条要求金融机构: 制定,适用并维持有效的安全措施来保护客户的个人财务数据; 对客户充分公开金融机构的隐私政策并允许客户享有对传输某些数 ;但是,如果金融机构与离岸第 据信息的“拒绝权” 三方服务商之间的数据传输是为了第五百零二条所规定的目的, 如:按客户要求提供金融产品或服务,或对客户的账户提供维护或其 他服务,那么这种离岸数据传输就不受前述“拒绝权”的限制; 如果数据转移到任何国内或国外的第三方处,应监督该第三方 动. 根据上述条款,当金融机构在实施离岸外包的过程中,将客户的数据信 输给第三方服务商,如果其目的就是为了完成这项被外包的金融服务时,那 种数据的传输就是合法的,客户也不得行使“拒绝权。 尽管如此,还是为离岸外包的数据传输提供了有力的保护,它明 定了金融机构具有尊重客户隐私及保护客户个人信息安全的义务。为此,联 行管理机构 针对的规定又进步发布了一系 列新指引,强调金融机构有义务监控服务商的行为,从而降低服务商对客户 数据 合法取得却非法公开的风险。 .关于客户数据离岸传输的具体措施 为了具体实施的上述数据隐私保护条款,于年月发布了 其第.号公告《客户金融信息的隐私保护》。 根据该公告,与联邦储备委员会、联邦存款保险公司和储贷监理署联 合发布了一项新的规定,即《客户金融信息的隐私保护》,以此来限制金融机 构向非关联第三方转移客户的非公开个人信息的权利,同时还要求金融机构及时 通知客户关于隐私方面的讯息。 该规定第四十十节是对向非关联第三方提供客户非公开个人信息的限制。 其中,项规定了只有满足以下条件银行才可以向非关联第三方公开客户的个 人信息,即:银行事先向客户发出过通知;银行已告知客户有“拒绝权; 银行已给客户合理的机会来拒绝个人信息的使用;客户没有拒绝。 但是该规定第四十十三节又对这种“拒绝权”的告知义务设置了例外, 即银行可以不征求客户同意,就将客户的个人信息提供给以银行的名义对外提供 服务的非关联第三方,但必须满足以下条件: 银行已事先向客户发出拟转移个人信息的通知; 银行已与第三方签订协议,约定该第三方不得为协议项下业务之外的 目的披露或使用这些个人信息. 可见,对于离岸金融外包业务,该规定强调的是,银行在与第三方服务商签 订外包合同时,应当利用合同条款明确约定第三方服务商的保密义务。 这项规定较之上述的规定又严格了许多,尤其对于客户“拒绝权 的告知义务,特别规定了对于外包关系中的第三方,如果银行已履行通知义务, 并与第三方签订了保密协议,那么银行就能合法地向其传输相关客户信息而不必 征求客户的同意。当然,如果银行除了履行通知义务外,并未与第三方签订保密 协 包 权 虑 而 择 是 以 都是一个服务的整体,银行对客户数据的保密义务并未因数据的传输而被豁免。 由于客户与服务商之间并无直接合同关系,因此一旦发生纠纷,客户还是会以银 行为追究对象,但银行却没有任何依据去向服务商追偿,所以为了避免诸如此类 的额外损失,签订一份内容清晰而明确的保密协议是十分必要的。 三、监管实例 年,对一家加利福尼亚银行及其服务商采取了强制措施。该服务 商为该银行在个州及哥伦比亚特区的部分贷款提供发放及回收等服务。该服 务商的问题是未能保全客户的贷款资料??其工作人员于年将这些贷款资 料丢弃。认为此举触犯了美国法律及监管规定。这则实例表明当全国性银 行将业务转交给服务商但又不能实施有效监管时,其自身就面临着风险。 认为该银行未能安全及稳妥地处理与服务商之间的关系,违反了《公平信贷 机会 法》、《真实贷款法》、《安全及稳健标准》以及《金融服务现代化法》。 针对该银行触犯法律及进行的违规操作,命令该银行支付民事罚款及 终止与其服务商之间的关系。服务商也被勒令缴纳罚款,并且在未经同意 的情况下,不得为全国性银行或其分支机构提供服务。为保护客户隐私权, 还要求该银行将丢弃贷款资料之事通知有关客户,并在通知中建议客户采取 哪些 措施来处理可能发生的身份资料失窃问题。 第三节对服务商的监管 一、对服务商进行监管的法律依据 在外包的实施过程中,监管机关不仅能监管金融机构,同时还能对服务商的 行为进行检查。被收入《美国法典》 第十二篇第十八章的 《银行服务公司法》 虽然不是专门针对金融服务 外包制定的法律,但其中特别规定了对接受银行服务外包的第三方服务商的 监管 和检查。该法第七节是关于对银行服务公司的监管条款,其中,款对通过 合同为银行提供服务进行了如下规定: “无论某项服务是由受联邦银行管理部门直接监管的存款机构或受该管理 部门监管的存款机构子公司或附属机构自己直接提供还是通过合同关系由 他人 提供,无论服务是否在该存款机构自己的场所实施: 银行管理部门应当以该存款机构在自己的场所实施该服务的标准来监管 外包商的行为; 存款机构应当就该外包服务关系,自签订外包合同或实际履行外包服务 的较前发生之日起天内通知银行管理部门. 可见,根据《银行服务公司法》的规定,监管机关不仅要对银行本身的服务 行为进行监管,同时还要以监管银行的标准来监管外包服务商的行为。尽管银行 自身可能有一套相应的监控系统,但这不能排除有的银行为了节约成本而选择价 格低廉但服务质量较差的服务商,管理层对此也可能未尽到审慎负责的义务。这 就需要监管机关加强对服务商的检查,及时对银行的外包行为进行规范。 为此,于年月特地发布了《致金融机构的函》拍,要求所有在 投保的银行都必须按照《银行服务公司法》的上述条文履行通知义务,以 降低可能发生的风险。通知义务是监管机关实施检查的前提,只有监管机关充分 掌握了辖区内外包业务和外包服务商的确切信息,才能实施有效的监管。 二、对服务商的监管内容 关于监管机关在对服务商进行检查时将注重哪些方面,在其年 月发布的《关于监管技术服务商的检查手册》中提到了监管机关对于外包 关系风险防范的监管手段、监管程序以及技术服务商的评级标准。 文件指出,许多金融机构都会将自己的信息技术相关业务外包给技术服务 商,这种外包过程尤其要求金融机构的董事会和管理层确保技术服提供者的各项 行为都在安全、合理、合法的范围内实施。金融机构应当建立起一套综合性的外 包风险管理机制来管理服务商,其内容包括风险评估、服务商的选择、合同审阅 和对服务商的监控等。这其实与上文提到的风险监控的四大要素是相互呼应的。 文件认为,联邦金融监管机关有权对金融机构实施的所有行为进行监控,无论这些行为是由金融机构自己完成的还是通过外包给第三方来完成,这与《银行 服务公司法》的规定是相符的。因此,文件重点关注的是监管机关如何对这些外 部服务商进行风险监管。一般来说,对技术服务商的风险监管主要包括以下内容: 对与技术服务商有关的可能对金融机构产生不利影响的现有或潜在的 风险进行识别; 评估技术服务商风险管理系统的完备性和有效性; 判断服务的提供是否遵守了相关的法律法规; 就服务的任何发现或建议,及时、清晰地与技术服务商的管理层进行沟 通,必要时也可通知金融机构及其监管机关; 要求技术服务商对纠正服务的重大缺陷进行承诺,并对纠正的效果进行 验证; 监管技术服务商在产品、服务或风险管理方面的任何可能对金融机构产 生不利影响的重大变化。 对外国第三方服务商的监管 当金融机构选择的第三方服务商处于另一个国家境内时,监管就变得愈加困 难起来。监管机关不能直接对他国境内的服务商进行监管,那么就必须通过金融 机构来保持监管机关和服务商之间的信息沟通。 .监管机关对外国第三方服务商信息的掌握 根据《银行服务公司法》,金融机构在外包关系确立的天内有义务将该外 包关系通知监管机关,但是,这只是一次性的告知义务。随着外包进程的推进, 风险也会时刻伴随。尤其在离岸外包关系中,由于地域的限制,监管机关只能间 接了解到外国服务商的有关情况。在无法直接对外国服务商进行检查的情况下, 监管机关将主要依靠金融机构提供的资料和信息来判断这项外包的风险。如果没 有后续的反馈,在监管上就会出现漏洞。因此,如何加强对金融服务离岸外包的 持续性监管是发包国应当逐渐重视的问题。 根据发布于年月的第.号公告《银行对外国第三方服务 商的选用:风险管理指引》银行在考虑选用外国第三方服务商,且服务的关