記者注意到，2020年10月中國農業銀行江北支行也曾因侵害消費者個人信息依法得到保護的權利，違反反洗錢管理規定、泄露客戶信息等，被人民銀行吉林市中心支行警告，并處罰款1223萬元。 

 

同在2020年10月，《個人信息保護法（草案）》發布并面向社會征求意見，近期提交全國人大常委會初審。該法案對機構的網絡及數據安全保護義務設定了處罰條款，并空前加大了處罰力度。例如，對直接責任人員的個人罰款金額最高達100萬元，是《數據安全法（草案）》處罰上限的10倍。 

 

行業認為，相比信貸業務，涉及數據安全管理的銀行罰單相對少見，而隨著我國個人信息司法保護進程的推進，相關處罰或將會成為監管常態，處罰金額也隨之水漲船高，極具威懾力。在此背景下，掌握大量數據資產的金融機構應盡快升級完善相關數據治理規章制度。 

 

今年首張會級罰單劍指數據安全問題

 

隨著1月29日“銀保監罰決字〔2021〕1號”處罰信息表的發布，近日國家市場監管總局、銀保監會、證監會等部門2021年首張行政處罰決定書均出爐。 

 

銀保監會開出2021年第一張罰單指向中國農業銀行，具體涉及的違法違規行為包括：（一）發生重要信息系統突發事件未報告；（二）制卡數據違規明文留存；（三）生產網絡、分行無線互聯網絡保護不當；（四）數據安全管理較粗放，存在數據泄露風險；（五）網絡信息系統存在較多漏洞；（六）互聯網門戶網站泄露敏感信息。處罰金額為420萬元。 

 

記者注意到，過去一年中國農業銀行就因頻收罰單受到行業關注。第三方統計數據顯示，2020年全年，銀保監系統對銀行主體共發出2816張行政處罰決定書，罰款金額共計13.47億元。6家國有大行因體量大，罰單數量也占了大頭。2020年全年，國有六大行總共收到罰單652張，罰單金額總計4.43億元。其中，中國農業銀行罰單數量多達到194張，遠超工商銀行（148張）排在第一位；處罰金額總計9634.96億元，較第二名的工商銀行（8933萬元）高出700多萬元。

 

相比信貸業務違規，處罰案由涉及數據管理問題的罰單相對少見。據梳理，2020年5月9日，因監管標準化數據（EAST）系統的數據質量及數據報送存在違法違規行為，中國農業銀行曾被銀保監會罰款230萬元。具體違規包括資金交易信息漏報嚴重；信貸資產轉讓業務漏報；貿易融資業務漏報；分戶賬明細記錄應報未報；分戶賬賬戶數據應報未報；關鍵且應報字段漏報或填報錯誤等。 

 

據悉，這是銀保監會推行監管標準化數據（EAST）系統以來，首次對銀行數據報送問題開出罰單。當時一同被罰的還有另5家國有大行和2家股份行。 

 

此外，2020年10月21日，中國農業銀行吉林市江北支行還曾因數據泄露問題收到過千萬元級別的罰單。中國人民銀行吉林市中心支行公布的罰單顯示，中國農業銀行江北支行存在侵害消費者個人信息依法得到保護的權利；違反反洗錢管理規定，泄露客戶信息的違法行為，被給予警告，并處罰款1223萬元。該支行行長及一名營業室員工作為相關責任人分別被罰1.75萬元、3萬元。

 

相關監管處罰信息雖然不多，但對于此類銀行客戶信息泄露事件、金融機構客戶數據信息被售賣傳聞等信息，輿論和銀行用戶的關注度十分高漲。“這說明數據蘊含的巨大商業價值得到各方共識，用戶對于個人數據是個人重要資產的意識也逐漸強化。”行業人士表示。近年來，大數據、人工智能、云計算等新技術不斷涌現，銀行在不同業務領域積累了大量的客戶數據、交易數據、外部數據等，具備數據資產積累的基礎優勢。同時對銀行嚴格數據安全管理，堅守風險防范底線，完善客戶個人隱私保護機制，強化數據合規提出了高要求。 

 

隨著銀行數字化轉型的推進，各銀行均加速向科技興行邁進，中國農業銀行作為一家國有大行這方面自然也走在行業前列。 

 

記者從中國農業銀行上海總行科技部門的一位人士處了解到，農行總行的科技部門架構是“一局兩中心”，即科技與產品管理局、數據中心、軟件研發中心。罰單中“制卡數據違規明文留存”這一違規可能涉及的是產品研發中心那邊的業務；而“數據安全管理較粗放，存在數據泄露風險”等違規涉及的可能是科技部門這邊的業務。“我們主要就是負責客戶的數據安全問題，但最近沒有聽到部門提及收到罰單的消息。”

 

談及農業銀行的金融科技應用情況，該人士向記者表示，目前該部門技術應用上主要還是借鑒互聯網中比較穩定的一些技術。“雖然技術層面會有一些落后，但畢竟還是要考慮金融系統的穩定性。” 

 

處罰加碼，數據泄漏可追究刑責 

 

記者了解到，近年來，銀保監會、人民銀行等監管部門高度重視個人信息保護工作，開展許多工作。例如，制度建設方面，近年監管部門相繼印發了《關于加強網絡信息安全與客戶信息保護有關事項的通知》（銀監辦發〔2017〕2號）、《銀行業金融機構數據治理指引》（銀保監發〔2018〕22號）等監管政策文件，要求銀行保險機構加強客戶隱私保護，嚴格落實客戶信息的采集、處理、存儲、傳輸、分發、備份、恢復、清理和銷毀制度。 

 

在加強監督檢查方面，人民銀行自2013年起每年對機構開展以個人金融信息保護為主要內容的監督檢查工作，查處相關違法違規行為。2020年6月，銀保監會印發《關于開展銀行業保險業市場亂象整治“回頭看”工作的通知》，將金融機構未采取有效措施保護客戶信息安全，違規泄露、濫用客戶信息等列為整治重點工作。

 

上述中國農業銀行總行相關人士也向記者表示，該行對于信息安全問題高度重視，“我行設有專門的信息安全部門負責防止信息泄露工作，比如黑客攻擊等。信息監管這一塊也很嚴格，所有筆記本辦公設備都不允許接外網。”據其透露，本周銀保監會相關部門將前來檢查。 

 

那么為何銀行客戶信息泄露事件時常出現，有關機構違規屢查屢犯？對此，一位行業分析人士向記者表示，“法律無牙是當下數據保護力度弱的主要困境。” 

 

可以看到，上述相關監管文件均為“指引”、“通知”。去年《數據安全法（草案）》和《個人信息保護法（草案）》發布并征求意見，我國網絡安全與數據合規領域的立法才進入了快車道。據法律界人士介紹，上述兩個草案已經過了一審，2021年有可能經過二審和三審并得以頒布。全國人大常委會法工委發言人去年底也在記者會上介紹，《數據安全法》和《個人信息保護法》等法案2021年安排常委會會議繼續審議，爭取早日出臺。 

 

其中，《數據安全法（草案）》明確了開展數據活動的組織與個人有數據安全保護的義務和責任。第四十二條規定指出，開展數據活動的組織、個人不履行數據安全保護義務或者未采取必要的安全措施的，由有關主管部門責令改正，給予警告，可以并處一萬元以上十萬元以下罰款；拒不改正或者造成大量數據泄漏等嚴重后果的，處十萬元以上一百萬元以下罰款。

 

另對于違反《草案》規定，給他人造成損害的，依法承擔民事責任；構成違反治安管理處罰的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。

 

《個人信息保護法（草案）》針對的處罰事項，即包括了“違法處理個人信息”，也包括了“處理個人信息未按照規定采取必要的安全保護措施”，且處罰力度更大。例如，企業違反網絡安全保護義務，“情節嚴重的，將被處以五千萬以下或者上一年度營業額百分之五以下的罰款，對直接負責的主管人員和其他直接責任人員處十萬以上一百萬以下罰款”。

 

相比之下，《個人信息保護法（草案）》對直接責任人員的個人罰款金額是《數據安全法（草案）》處罰上限的10倍。處罰金額之高，極具威懾力。 

 

業內律師表示，我國目前法律法規中，僅刑法對買賣、交易個人信息出臺了相關法規，涉及數據泄露問題的法規仍存在空白。上述法案發布后，將對這一領域的完善是一大進步。 

 

此次農業銀行罰單所涉數據安全問題整改情況如何？相關風險隱患是否已消除？為防止類似風險再次發生將做哪些工作？2月1日，記者就銀保監會處罰文件聯系農業銀行方面，截至發稿前，暫未取得回復。