近年来，越来越多的银行将业务外包给服务商，这给金融风险监管带来了新问题。鉴于此，许多国家以及国际组织积极颁布规则对外包中的各种问题进行规制。

　　美国是银行业务外包立法最为完善的国家，迄今为止，美国银行监管机构出台了一系列的指引和公告，旨在阐明银行以及金融监管部门在管理外包风险方面的职责。其主要文件包括OCC于2001年11月发布的《服务商关系：风险管理原则》，FFIEC于2000年11月发布的外包技术服务的风险管理指引，以及FDIC发布的《挑选服务商的有效方法》、《管理技术提供商执行风险管理的方法：服务水平协议》、《管理多个服务商的技术手段》三份技术指引。此外，美国还专门就跨境银行业务外包进行了规定，如FDIC发布的《有关银行利用境外第三方服务商指引》，OCC于2002年发布《银行利用境外第三方服务商》以及FDIC于2004年发布的《被保险机构数据服务跨境外包以及相关客户隐私风险》等。不仅如此，2004年6月，FFIEC公布了《IT外包技术服务检查手册》（以下简称《检查手册》）终稿，规定了外包中的各种问题。

　　欧洲各国在银行业务外包方面的立法要晚于美国，但银行监管者已经采取行动处理银行业务外包问题。此外，自2002年起，欧洲银行监管委员会（以下简称CEBS）开始着手制定调整外包关系的高级原则。经过两年的时间，CEBS于2004年4月发布了名为《外包高级原则》的建议稿，供相关的金融以及专业机构评析。与此同时，欧共体2004/39号指令MiFID在2004年4月27日被通过，其第13条第5款指出，提供投资服务或者承担投资活动的银行和投资机构应当采取适当的措施避免因实质外包安排而导致的不适当的额外的操作风险。随后，CEBS在原建议稿的基础上，考虑到相关机构的反馈意见、MiFID的规定以及2005年2月联合论坛发布的《金融服务外包》指导性文件，在2006年4月又发布了《外包标准》（建议稿）。

　　国际上，由巴塞尔委员会、国际证券管理委员会、国际保险业监管协会组成的联合论坛于2005年2月发布了《金融服务外包》指导性文件，规定了9条高级原则，为银行、证券、保险机构的外包活动规定指引。

　　各国以及国际组织，基于自身的实际情况，在具体的银行业务外包监管规则上各有特色，但也有一些基本的经验可供借鉴。

　　（一）将银行业务外包作为独立的问题进行立法并形成银行业务外包监管法律体系

　　迄今为止，银行业务外包已有多年历史。但外包的快速发展是与IT技术在金融领域的适用分不开的，外包与银行业务电子化关系密切。因此，早期外包的规定主要零散见于电子银行立法中。但时至今日，各国以及国际组织更多的是将银行业务外包作为独立的问题进行立法，并形成银行业务外包监管法律体系。这种趋势与实践中银行业务外包迅速发展的态势及其复杂化紧密相关。

　　（二）明确监管的指导思想为适度监管

　　各监管规则在指导思想上是适度监管，即既对银行外包进行监管，又不阻碍银行业务外包这种金融创新形式的发展。因此，在法律形式上，多数国家对银行业务外包的监管不是采取硬性的规定，而是采取指引、原则等较为弹性的指导性规则。CEBS在2006年明确将其制定的文件称为“标准”，而根据其宪章第4．3条，称之为“标准”的文件对各国没有约束力。联合论坛发布的文件是指导性的，对各国并没有强制执行力。美国颁布的文件更多的也是指导性的。在具体的监管内容上，国际社会也非常重视“适度”二字。CEBS在2006年颁布的文件对其前一稿进行了修改，撤销了金融监管部门直接解除外包合同的权力，其主要是基于前一稿的规定对外包有过分监管之嫌。美国的监管文件中也多次表达了这种理念。联合论坛在其“综述”的最后也指出，该文件制定的规则是在不影响效率与效能的前提下，解决金融外包风险监管问题。

　　（三）监管的过程中始终贯彻保护客户隐私的理念

　　银行将业务外包时，可能涉及客户数据转让问题。一旦这些数据管理不当，就会造成客户隐私泄漏，损害客户利益。因此，几乎所有的外包监管规则都贯穿着保护客户隐私的理念。《金融服务外包》指引原则的第7项规定：受监管实体应采取适当措施，要求外包服务商严守受监管实体及其客户的机密信息，不得故意或无意对未授权人士透露。CEBS发布的第2份建议稿在第1稿的基础上，在第8项标准中明确外包合同应当包含保密条款，而且在注释中强调合同中规定的外包服务商的保密义务必须和金融机构的保密义务具有同一水平。美国的监管规则中更是处处体现着对客户隐私的保护，其监管规则中经常提及的就是信息安全以及客户隐私的法律保护问题。在2004年发布的《检查手册》中更是强调：在选择服务商时，应当适当谨慎，确保银行以及客户信息得到保护。在签订合同之前，以及外包关系的整个过程中，银行应当确保服务商的数据安全标准适合或超过其所要求的标准。银行应当采取充分的保护措施确保服务商仅仅可以得到他们履行义务所必需的信息。应当限制服务商进入金融机构的体系，在服务商和金融机构之间就信息进人采取路径控制和监管。各监管文件重视客户隐私的保护不仅仅是出于合规性的考虑，也与世界保护消费者的理念相一致。

　　（四）明确监管主体为银行和金融监管部门

　　各监管文件都明确银行业务外包的监管主体包括银行以及银行监管部门，且银行自身承担主要的监管责任。外包是银行直接同外包商进行的活动，因此，银行应该承担主要的监管责任。各主要银行业务外包监管文件中的大部分内容是针对银行自身的。联合论坛发布的《金融服务外包》规定的9项高级原则中，有7项规定金融机构在外包中的义务。CEBS的《外包标准》（建议稿）中的12项标准，除了第1项是对主要的概念进行界定外，规定金融机构义务的有9项。美国FFIEC于2004年6月公布的《检查手册》终稿中也主要涉及银行机构在外包中应当注意的事项。而且，这些文件还强调银行机构对外包的监管责任主要由其高级管理人员负责。联合论坛发布的《金融服务外包》第1项高级原则就强调金融机构的董事会或相关机构要对外包全面负责。《外包标准》（建议稿）第2项标准也规定外包风险管理最终由金融机构的高级管理人员负责。而美国2004年《检查手册》中的第2个问题就指出金融机构的董事会和高级管理人员应当建立和支持以风险为基础的政策管理外包程序。另一方面，各监管文件也指出银行监管机构必须对外包风险进行监管，确保自己有权查看外包中的数据以及一定情况下，对服务商的检查权。而外包中的集中风险，即多个银行机构将业务外包给同一个服务商可能导致的风险，因单个银行机构可能无法监管，这就更需要银行监管部门采取监管措施。

　　（五）根据实际情况，确定一定的监管标准

　　一方面，各国以及国际组织的监管规则对外包的监管均以“风险”为基础；另一方面，各规则也注意根据实际情况规定程度不等的监管标准。CEBS的建议稿主要根据外包业务的不同规定不同程度的监管。其第2份建议稿规定，高级管理人员的责任不能外包；实质性业务只能外包给其他金融机构（国内法有其他规定的按照国内法），且必须符合一定的条件；非实质性业务的外包没有限制。此外，该建议稿在注释中也提请银行注意外包商所处地理位置、是否属于集团内部外包对风险可能造成的影响。美国也在其文件中提到外包政策的制定要与金融机构的规模以及复杂性相一致，且应考虑外包商所处地理位置以及不同程度的外包业务可能对风险造成的影响。联合论坛的文件也明确将该文件适用于外包时，应当考虑外包业务重要性以及外包商的不同。

　　（六）注重全程监管

　　对外包的监管应当是“点到点”（end-to-end）的，即要求对银行业务外包的整个流程都进行充分的考虑。外包前，必须评估外包可能带来的风险，决定可以外包的业务；决定外包后要谨慎挑选外包商；与外包商订立书面的、对双方权利义务进行明确规定的外包合同；同时必须对外包商、外包业务进行持续监管，以便发生紧急情况时，采取补救措施。各主要监管文件对外包的监管基本都涉及外包的整个流程，如前述美国2004年《检查手册》的“风险管理”部分包括的4大议题就是：外包前银行对风险的评估、外包商的选择、外包合同的签订、合同签订后对外包商的持续监管。这4大议题就是按照银行外包的顺序依次规定监管规则，从而保证了对银行业务外包前、中、后的全程监管。联合论坛对金融机构在外包中的义务也是按照外包的流程来规定的，第1、2、3项原则涉及的是金融机构在外包前应当采取的政策，第4项原则涉及外包商的选择，第5项原则规定了外包合同，第6项原则则涉及对外包过程中紧急情况的处理。CEBS的文件也对外包的整个流程进行了考虑。

　　（七）对跨境银行业务外包进行特殊规定

　　跨境化是银行业务外包的发展趋势之一，越来越多的银行将业务外包给有着丰富、优质、廉价人力资源的国家，相对于境内外包，跨境外包有明显的优势。但是，跨境外包有其特有的风险，一些风险相对于国内外包更为突出。因此，多数外包监管规则对跨境外包进行了特殊规定：指出银行在进行跨境外包时，应当对外包商所在国的经济、社会、政治状况进行考察，以减少或避免国家风险的产生；跨境外包合同中应当包含法律适用以及管辖权条款，明确争议发生时，由哪个地方的法院或仲裁机构适用何种法律规则解决。