记者何实习记者冯报道
根据中国保监会官网近日发布的“银保监检字[2021]1号”处罚信息表,中国农业银行被罚款420万元,处罚原因涉及数据安全管理粗放、门户网站敏感信息泄露等6个问题。
记者注意到,2020年10月,中国农业银行江北支行因侵犯消费者依法保护个人信息的权利,违反反洗钱规定,泄露客户信息,被中国人民银行吉林中心支行警告,罚款1223万元。
2020年10月,《个人信息保护法(草案)》发布并征求社会意见,近期提请人大常委会初审。该法案规定了对组织的网络和数据安全保护义务的处罚,并前所未有地加大了处罚力度。比如对直接责任人的个人罚款最高为100万元,是《数据安全法(草案)》罚款上限的10倍。
业内人士表示,与信贷业务相比,与数据安全管理相关的银行罚款相对较少。随着我国个人信息司法保护的推进,相关处罚将成为监管的常态,处罚金额也将上升,极具威慑力。在这种背景下,拥有大量数据资产的金融机构应该尽快升级和完善相关的数据治理规章制度。
今年的第一把会议级别的票剑涉及数据安全问题
随着1月29日“银保监发字[2021]1号”处罚信息表的发布,国家市场监管总局、银行业监督管理委员会、中国证监会等部门2021年第一批行政处罚决定近日发布。
银监会开出了2021年第一张指向中国农业银行的票。具体涉及的违规行为包括:(1)重大信息系统突发事件未报告;(2)违反规定将制卡数据以明文形式保存的;(3)分支机构生产网络和无线互联网保护不当;(4)数据安全管理粗放,存在数据泄露风险;(5)网络信息系统存在诸多漏洞;(六)在互联网门户网站上披露敏感信息。违约金金额420万元。
记者注意到,在过去的一年里,中国农业银行因频繁收取罚款而受到业界的关注。据第三方统计,2020年,银行保险监管系统向银行主体发出2816项行政处罚决定,罚款总额达人民币亿元。因为规模大,六大国有银行也占了大量罚款。2020年,六大国有银行共收到门票652张,总金额4.43亿元。其中,中国农业银行发行的票据数量达到194张,远远超过中国工商银行(148张);罚款总额为亿元,比排名第二的中国工商银行(8933万)高出700多万元。
相对于违规征信业务,涉及数据管理的罚款单相对较少。据梳理,2020年5月9日,中国农业银行因EAST系统数据质量和数据报送违规被银监会罚款230万元。具体违规行为包括严重漏报资本交易信息;未报告信贷资产转移业务;贸易融资业务漏报;子账户明细记录应报但不报;子账户数据应报告但未报告;关键和可报告字段被省略或被错误填充,等等。
据悉,这是银保监自实施监管标准化数据(EAST)系统以来,首次对银行数据报送进行罚款。当时另外五家国有银行和两家股份制银行也一起受到处罚。
此外,2020年10月21日,中国农业银行吉林市江北支行也因数据泄露收到1000万元罚款。中国人民银行吉林中心支行开具的罚单显示,中国农业银行江北支行有权提出抗议
虽然有关监管处罚的信息不多,但舆论和银行用户对银行客户信息披露事件、金融机构客户数据信息被出售的传闻等信息非常关注。“这说明数据所蕴含的巨大商业价值已经得到各方认同,用户对个人数据是个人重要资产的认识也逐渐加强。”业内人士称。近年来,出现了大数据、人工智能、云计算等新技术。银行在不同的业务领域积累了大量的客户数据、交易数据和外部数据,具有数据资产积累的基本优势。同时,要求银行严格管理数据安全,坚持风险防范底线,完善客户个人隐私保护机制,加强数据合规。
随着银行数字化转型的推进,各银行都在加快科技发展。中国农业银行作为国有银行,自然走在行业前列。
记者从农行上海总行科技部一位人士处了解到,农行总行科技部的架构是“一局两中心”,即科技与产品管理、数据中心、软件研发中心。在票证中,违反“制卡数据违规和明文留存”可能涉及产品研发中心的业务;但“数据安全管理粗放、数据泄露风险大”等违规行为可能涉及科技部门的业务。“我们主要负责客户的数据安全,但是最近没有听到部门提到收票的消息。”
谈到农行的金融技术应用,此人告诉记者,目前该部门的技术应用主要借鉴互联网中一些相对稳定的技术。“虽然技术层面会有些落后,但毕竟要考虑金融体系的稳定。”
处罚过重,数据泄露可追究刑事责任
记者了解到,近年来,银监会、中国人民银行等监管部门高度重视个人信息保护工作,开展了大量工作。例如,在制度建设方面,近年来,监管部门先后出台了《关于加强网络信息安全与客户信息保护有关事项的通知》(银监办发〔2017〕2号)、《银行业金融机构数据治理指引》(银豹办发〔2018〕22号)等监管政策文件,要求银行保险机构加强客户隐私保护。严格执行采集、处理、存储、传输、分发、备份、恢复和
毁制度。在加强监督检查方面,人民银行自2013年起每年对机构开展以个人金融信息保护为主要内容的监督检查工作,查处相关违法违规行为。2020年6月,银保监会印发《关于开展银行业保险业市场乱象整治“回头看”工作的通知》,将金融机构未采取有效措施保护客户信息安全,违规泄露、滥用客户信息等列为整治重点工作。
上述中国农业银行总行相关人士也向记者表示,该行对于信息安全问题高度重视,“我行设有专门的信息安全部门负责防止信息泄露工作,比如黑客攻击等。信息监管这一块也很严格,所有笔记本办公设备都不允许接外网。”据其透露,本周银保监会相关部门将前来检查。
那么为何银行客户信息泄露事件时常出现,有关机构违规屡查屡犯?对此,一位行业分析人士向记者表示,“法律无牙是当下数据保护力度弱的主要困境。”
可以看到,上述相关监管文件均为“指引”、“通知”。去年《数据安全法(草案)》和《个人信息保护法(草案)》发布并征求意见,我国网络安全与数据合规领域的立法才进入了快车道。据法律界人士介绍,上述两个草案已经过了一审,2021年有可能经过二审和三审并得以颁布。全国人大常委会法工委发言人去年底也在记者会上介绍,《数据安全法》和《个人信息保护法》等法案2021年安排常委会会议继续审议,争取早日出台。
其中,《数据安全法(草案)》明确了开展数据活动的组织与个人有数据安全保护的义务和责任。第四十二条规定指出,开展数据活动的组织、个人不履行数据安全保护义务或者未采取必要的安全措施的,由有关主管部门责令改正,给予警告,可以并处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处十万元以上一百万元以下罚款。
另对于违反《草案》规定,给他人造成损害的,依法承担民事责任;构成违反治安管理处罚的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
《个人信息保护法(草案)》针对的处罚事项,即包括了“违法处理个人信息”,也包括了“处理个人信息未按照规定采取必要的安全保护措施”,且处罚力度更大。例如,企业违反网络安全保护义务,“情节严重的,将被处以五千万以下或者上一年度营业额百分之五以下的罚款,对直接负责的主管人员和其他直接责任人员处十万以上一百万以下罚款”。
相比之下,《个人信息保护法(草案)》对直接责任人员的个人罚款金额是《数据安全法(草案)》处罚上限的10倍。处罚金额之高,极具威慑力。
业内律师表示,我国目前法律法规中,仅刑法对买卖、交易个人信息出台了相关法规,涉及数据泄露问题的法规仍存在空白。上述法案发布后,将对这一领域的完善是一大进步。
此次农业银行罚单所涉数据安全问题整改情况如何?相关风险隐患是否已消除?为防止类似风险再次发生将做哪些工作?2月1日,记者就银保监会处罚文件联系农业银行方面,截至发稿前,暂未取得回复。
相关阅读
版权声明:内容来源于互联网和用户投稿 如有侵权请联系删除
标签: #农行最新动态啊