作者 | 源媒匯 童畫 

爲了加快數字化轉型，做好金融“五篇大文章”，金融機構開始加大信息科技（IT）服務項目的對外採購力度。

天眼查信息顯示，3月6日，貴州銀行發佈“應用軟件開發服務採購項目（標籤管理系統）招標採購公告”，投標文件遞交的截止時間是2025年3月27日。

截圖來源於天眼查

然而，信息科技服務項目的大量外包也埋下了隱患。2025年1月，貴州銀行曾以“系統缺陷導致商業承兌匯票風險事件”爲由，將上海睿民互聯網科技有限公司（下稱“上海睿民”）告上仲裁庭，索賠金額高達5365.86萬元。

這場糾紛也拋給業內一個難題：誰應該對金融機構的信息科技項目風險負責？

針對與上海睿民的糾紛一事，3月10日，貴州銀行在回覆源媒匯詢問時表示，“該案件尚在審理過程中，根據相關要求，我司不能透露相關信息。”

 超5000萬元糾紛原委

貴州銀行與上海睿民的超5000萬元糾紛起源，還需追溯到“新一代票據業務系統”的出現。

2021年5月，上海票據交易所發佈了《新一代票據業務系統業務方案>和<新一代票據業務系統直連接口規範V1.0>》通知，擬對電子商業匯票系統和中國票據交易系統進行全面優化升級，建設承載票據全生命週期業務功能的“新一代票據業務系統”。

在此背景下，包括貴州銀行在內的諸多金融機構，開始公開徵集IT技術供應商，來完成“新一代票據業務系統”的建設。

2022年4月7日，貴州銀行對外發布了“新一代票據業務系統項目供應商徵集公告”，要求供應商“根據業務發展需要，在新票據系統改造完成後實現線上承兌、線上秒貼等產品的迭代升級”。

截圖來源於天眼查

源媒匯注意到，貴州銀行彼時的公告中，對於“潛在供應商資格要求”，包括“具有票交所新一代系統建設經驗，參與過票交所新一代系統建設，目前已簽約正在實施的首批和第一批新一代系統建設案例不少於5家”等條件。

彼時，上海睿民至少已經簽下了蘇州農商銀行、廣州銀行、河北銀行、鄭州銀行、南方電網數字電網研究院等多家機構。

五個多月後，即2022年9月29日，上海睿民與貴州銀行簽署《貴州銀行IT技術開發服務採購合同（新一代票據業務系統項目）》，合同金額270萬元。2023年4月8日，經過貴州銀行雙重測試驗收，新一代票據業務系統項目完成投產。

誰曾想，在安全運行18個月之後，即2024年10月17日，貴州銀行發生了一起商業承兌匯票風險事件。貴州銀行認爲，是上海睿民開發的產品存在缺陷，導致其蒙受損失，應當承擔賠償責任，賠償金額約爲5365.86萬元。

 系統缺陷還是票據詐騙？

網上流傳的一份上海睿民出具的《貴州銀行票據系統商票追索清償申請漏洞情況說明》顯示，貴州銀行的票據簽約客戶——貴州睿勝勞務有限公司（下稱“貴州睿勝”），在2024年10月17日開立商業承兌匯票後，收款人當日即發起非拒付追索。系統在未扣劃出票人賬戶資金的情況下，向票交所轉發同意清償報文，資金最終被清算到持票人在不同銀行的客戶賬戶，導致貴州銀行出現備付金的資金損失。

這次糾紛的焦點在於：誰應該爲這起商業承兌匯票風險事件負責？

2022年4月7日，貴州銀行曾對“新一代票據業務系統項目”的功能要求提出了9點要求，包括“統一提示付款流程；新系統上線需實現線上承兌、秒貼產品等功能”等。如果這些功能都達標，理論上是不會出現上述票據風險事件的。

因此，貴州銀行認爲，系統存在設計缺陷，未實現資金扣劃與清算的嚴格同步，應歸咎於上海睿民。但後者反駁稱，系統已穩定運行18個月，且被30餘家金融機構採用，此前從未發生類似問題，並強調項目經過貴州銀行雙重測試驗收。

在中標成爲貴州銀行新一代票據業務系統項目供應商前後，上海睿民確實還分別中標，成爲鄭州銀行、廣州銀行、山西銀行、江陰農商銀行、國投財務有限公司等金融機構的新一代票據業務系統項目供應商，且至今未爆出風險。

爭議焦點還指向貴州睿勝。這家成立於2024年9月的企業，實繳資本爲0元，且經營狀態爲“歇業”。異常的交易時點（出票當日追索）與企業背景，令人懷疑是否存在票據詐騙。

 信息科技外包問題凸顯

此次糾紛折射出金融機構IT外包的共性難題。

事實上，貴州銀行近年來信息科技外包規模顯著擴大，2022年以來，百萬級項目頻現，如1217萬元的“企業級業務架構建設”、787萬元的“服務器採購”等。

貴州銀行2025年以來披露的招標信息有19條，其中涉及信息科技外包的有9條，例如“計算機設備和軟件租賃服務採購項目（資金業務管理系統及接口維護服務採購項目）”、“數據處理服務項目（2025年-2027年個人稅務數據接入及運維）招標採購”、“應用軟件開發服務採購項目（標籤管理系統）招標採購”等。

其中“百萬元級”外部採購的信息科技項目，包括210萬元的“應用軟件開發服務採購項目”、286萬元的“數據處理服務項目”。

然而，外包項目激增與監管能力不匹配的問題逐漸凸顯。

根據原銀保監會（現國家金融監管總局）2021年發佈的《信息科技外包風險監管辦法》，金融機構不得外包管理責任與網絡安全主體責任，且需加強事前控制與事中監督。但前述貴州銀行案例中，系統驗收後仍出現重大漏洞，暴露出測試環節的不足。此外，合同金額與潛在風險不匹配（270萬元項目引發超5000萬元索賠），也凸顯權責界定模糊的弊端。

此次糾紛的特殊性在於，系統缺陷與異常交易行爲交織，責任界定複雜。若歸責於開發商，可能打擊金融機構外包積極性；若歸咎於銀行內控，則需重新審視信息科技外包項目的全週期管理。

有了前車之鑑，對於2025年“百萬元級”外部採購的信息科技項目，貴州銀行又該如何加強管控呢？如何在創新與安全間找到平衡，將是貴州銀行的必修課。