银保监会官网近日发布的“银保监罚决字〔2021〕1号”处罚信息表显示,中国农业银行被罚款420万元,处罚事由涉及数据安全管理较粗放、互联网门户网站泄露敏感信息等6项问题。
记者注意到,2020年10月中国农业银行江北支行也曾因侵害消费者个人信息依法得到保护的权利,违反反洗钱管理规定、泄露客户信息等,被人民银行吉林市中心支行警告,并处罚款1223万元。
同在2020年10月,《个人信息保护法(草案)》发布并面向社会征求意见,近期提交全国人大常委会初审。该法案对机构的网络及数据安全保护义务设定了处罚条款,并空前加大了处罚力度。例如,对直接责任人员的个人罚款金额最高达100万元,是《数据安全法(草案)》处罚上限的10倍。
行业认为,相比信贷业务,涉及数据安全管理的银行罚单相对少见,而随着我国个人信息司法保护进程的推进,相关处罚或将会成为监管常态,处罚金额也随之水涨船高,极具威慑力。在此背景下,掌握大量数据资产的金融机构应尽快升级完善相关数据治理规章制度。
今年首张会级罚单剑指数据安全问题
随着1月29日“银保监罚决字〔2021〕1号”处罚信息表的发布,近日国家市场监管总局、银保监会、证监会等部门2021年首张行政处罚决定书均出炉。
银保监会开出2021年第一张罚单指向中国农业银行,具体涉及的违法违规行为包括:(一)发生重要信息系统突发事件未报告;(二)制卡数据违规明文留存;(三)生产网络、分行无线互联网络保护不当;(四)数据安全管理较粗放,存在数据泄露风险;(五)网络信息系统存在较多漏洞;(六)互联网门户网站泄露敏感信息。处罚金额为420万元。
记者注意到,过去一年中国农业银行就因频收罚单受到行业关注。第三方统计数据显示,2020年全年,银保监系统对银行主体共发出2816张行政处罚决定书,罚款金额共计13.47亿元。6家国有大行因体量大,罚单数量也占了大头。2020年全年,国有六大行总共收到罚单652张,罚单金额总计4.43亿元。其中,中国农业银行罚单数量多达到194张,远超工商银行(148张)排在第一位;处罚金额总计9634.96亿元,较第二名的工商银行(8933万元)高出700多万元。
相比信贷业务违规,处罚案由涉及数据管理问题的罚单相对少见。据梳理,2020年5月9日,因监管标准化数据(EAST)系统的数据质量及数据报送存在违法违规行为,中国农业银行曾被银保监会罚款230万元。具体违规包括资金交易信息漏报严重;信贷资产转让业务漏报;贸易融资业务漏报;分户账明细记录应报未报;分户账账户数据应报未报;关键且应报字段漏报或填报错误等。
据悉,这是银保监会推行监管标准化数据(EAST)系统以来,首次对银行数据报送问题开出罚单。当时一同被罚的还有另5家国有大行和2家股份行。
此外,2020年10月21日,中国农业银行吉林市江北支行还曾因数据泄露问题收到过千万元级别的罚单。中国人民银行吉林市中心支行公布的罚单显示,中国农业银行江北支行存在侵害消费者个人信息依法得到保护的权利;违反反洗钱管理规定,泄露客户信息的违法行为,被给予警告,并处罚款1223万元。该支行行长及一名营业室员工作为相关责任人分别被罚1.75万元、3万元。
相关监管处罚信息虽然不多,但对于此类银行客户信息泄露事件、金融机构客户数据信息被售卖传闻等信息,舆论和银行用户的关注度十分高涨。“这说明数据蕴含的巨大商业价值得到各方共识,用户对于个人数据是个人重要资产的意识也逐渐强化。”行业人士表示。近年来,大数据、人工智能、云计算等新技术不断涌现,银行在不同业务领域积累了大量的客户数据、交易数据、外部数据等,具备数据资产积累的基础优势。同时对银行严格数据安全管理,坚守风险防范底线,完善客户个人隐私保护机制,强化数据合规提出了高要求。
随着银行数字化转型的推进,各银行均加速向科技兴行迈进,中国农业银行作为一家国有大行这方面自然也走在行业前列。
记者从中国农业银行上海总行科技部门的一位人士处了解到,农行总行的科技部门架构是“一局两中心”,即科技与产品管理局、数据中心、软件研发中心。罚单中“制卡数据违规明文留存”这一违规可能涉及的是产品研发中心那边的业务;而“数据安全管理较粗放,存在数据泄露风险”等违规涉及的可能是科技部门这边的业务。“我们主要就是负责客户的数据安全问题,但最近没有听到部门提及收到罚单的消息。”
谈及农业银行的金融科技应用情况,该人士向记者表示,目前该部门技术应用上主要还是借鉴互联网中比较稳定的一些技术。“虽然技术层面会有一些落后,但毕竟还是要考虑金融系统的稳定性。”
处罚加码,数据泄漏可追究刑责
记者了解到,近年来,银保监会、人民银行等监管部门高度重视个人信息保护工作,开展许多工作。例如,制度建设方面,近年监管部门相继印发了《关于加强网络信息安全与客户信息保护有关事项的通知》(银监办发〔2017〕2号)、《银行业金融机构数据治理指引》(银保监发〔2018〕22号)等监管政策文件,要求银行保险机构加强客户隐私保护,严格落实客户信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁制度。
在加强监督检查方面,人民银行自2013年起每年对机构开展以个人金融信息保护为主要内容的监督检查工作,查处相关违法违规行为。2020年6月,银保监会印发《关于开展银行业保险业市场乱象整治“回头看”工作的通知》,将金融机构未采取有效措施保护客户信息安全,违规泄露、滥用客户信息等列为整治重点工作。
上述中国农业银行总行相关人士也向记者表示,该行对于信息安全问题高度重视,“我行设有专门的信息安全部门负责防止信息泄露工作,比如黑客攻击等。信息监管这一块也很严格,所有笔记本办公设备都不允许接外网。”据其透露,本周银保监会相关部门将前来检查。
那么为何银行客户信息泄露事件时常出现,有关机构违规屡查屡犯?对此,一位行业分析人士向记者表示,“法律无牙是当下数据保护力度弱的主要困境。”
可以看到,上述相关监管文件均为“指引”、“通知”。去年《数据安全法(草案)》和《个人信息保护法(草案)》发布并征求意见,我国网络安全与数据合规领域的立法才进入了快车道。据法律界人士介绍,上述两个草案已经过了一审,2021年有可能经过二审和三审并得以颁布。全国人大常委会法工委发言人去年底也在记者会上介绍,《数据安全法》和《个人信息保护法》等法案2021年安排常委会会议继续审议,争取早日出台。
其中,《数据安全法(草案)》明确了开展数据活动的组织与个人有数据安全保护的义务和责任。第四十二条规定指出,开展数据活动的组织、个人不履行数据安全保护义务或者未采取必要的安全措施的,由有关主管部门责令改正,给予警告,可以并处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处十万元以上一百万元以下罚款。
另对于违反《草案》规定,给他人造成损害的,依法承担民事责任;构成违反治安管理处罚的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
《个人信息保护法(草案)》针对的处罚事项,即包括了“违法处理个人信息”,也包括了“处理个人信息未按照规定采取必要的安全保护措施”,且处罚力度更大。例如,企业违反网络安全保护义务,“情节严重的,将被处以五千万以下或者上一年度营业额百分之五以下的罚款,对直接负责的主管人员和其他直接责任人员处十万以上一百万以下罚款”。
相比之下,《个人信息保护法(草案)》对直接责任人员的个人罚款金额是《数据安全法(草案)》处罚上限的10倍。处罚金额之高,极具威慑力。
业内律师表示,我国目前法律法规中,仅刑法对买卖、交易个人信息出台了相关法规,涉及数据泄露问题的法规仍存在空白。上述法案发布后,将对这一领域的完善是一大进步。
此次农业银行罚单所涉数据安全问题整改情况如何?相关风险隐患是否已消除?为防止类似风险再次发生将做哪些工作?2月1日,记者就银保监会处罚文件联系农业银行方面,截至发稿前,暂未取得回复。 |
