近日,上海银保监局披露的两张罚单广受关注:招商银行和交通银行信用卡中心分别被罚100万元,两家银行被罚事由均包括“对某客户个人信息未尽安全保护义务”。
据《财经》E法统计,以罚单公布时间计算,截至8月14日,今年银保监会和银保监局共开出1468张罚单。其中,银行业由于体系最为庞大,相应的罚单数量也最多。在银行业的罚单中,信息泄露问题、数据治理问题与网络安全方面的问题近年来有所增加,也受到公众的广泛关注。
在很多人的印象中,银行是安全的象征,但银行泄露个人信息的情况为何仍时有发生?
上海交通大学数据法律研究中心执行主任何渊对《财经》E法表示,金融业跟其他行业相比,个人信息保护做的较好,出现问题的原因一是加强了监管,提高了合规的层次,由此出现了合规的差距;二是传统银行尤其是中小行没有充分认识到个人信息保护重要性,因为这不在传统的金融合规要求内。
何渊进一步表示,在数字化转型过程中,数据将会成为银行未来盈利的一个主要方式,数据治理也因此变成金融机构监管的核心要点,这不仅仅关系个人信息保护,更会关乎金融业安全乃至国家安全,监管级别会更高。
招联金融首席研究员董希淼也对《财经》E法指出,加强信息保护和数据治理工作将会成为金融监管的新趋势。
客户信息被泄露并非个案
8月5日,上海银保监局对交通银行和招商银行信用卡中心分别开出100万元的罚单,案由涉及客户个人信息保护、催收、资信调查等。
罚单显示,2019年6月,交通银行信用卡中心对某客户个人信息未尽安全保护义务;2019年5月、7月,该中心对部分信用卡催收外包管理严重不审慎;招商银行信用卡中心在2019年7月对某客户个人信息未尽安全保护义务。
国浩律师(北京)事务所合伙人律师刘鹏对《财经》E法分析,信用卡的个人信息泄露问题之前就有,一般是由于银行发卡量很大、坏账比较多、涉及金额又不大,组织内部人员或者找大型律师事务所催收的成本较高,所以通常会采取集中委托对外催收的方式,难免会出现信用卡中心向被委托方提供的持卡人信息时,有一些信息没脱敏。
刘鹏认为,银行在个人信息管理上是非常严格的,但不排除有新业务或者有催收需求的时候,对于监管的界限判定不明,以为是挨着红线,实际已经踩线了。
银行因个人信息问题受到处罚也并非个例。
4月23日,银保监会浙江舟山监管分局对浙江岱山农商银行违规泄露客户信息罚款30万元。该银行员工对泄露客户信息负有主要责任,被禁止从事银行业工作3年,实行机构和人员双罚制。
此外,今年央行对多家银行开出的罚单中也不乏一些涉嫌损害客户信息的案例,包括未经授权查询个人或者企业的信贷信息、未按照与个人信息主体约定的用途使用个人信息、超范围查询个人信用报告、越权查询个人信用数据库等。
银行业已开始对个人信息保护加以重视。4月22日,银保监会副主席黄洪公开表示,高度重视银行保险机构网络安全工作,尤其把客户信息保护作为重中之重,始终对侵害金融消费者权益、损害客户信息安全的行为坚持零容忍的态度,一经发现,将严肃依法查处,严厉打击。
数据治理违法违规较普遍
在银行业的罚单中,被罚事由除了个人信息泄露问题,数据治理问题也较为常见。
何渊认为,数据治理包括数据安全、网络安全,以及内部的合规体系建设、数据质量等等,所以会有非常系统的监管手段,行政处罚是其中一种方式。
1月9日,安徽银保监局披露,对安徽凤阳农商行开出25万元罚单,指其未能根据要求有效开展数据治理工作,数据治理存在严重缺陷,严重违反审慎经营规则。
5月9日,银保监会对六大国有银行工商银行、中国银行、交通银行、建设银行、农业银行、邮储银行和两家股份制银行光大银行、中信银行合计罚款1770万元,案由都是EAST系统数据质量及数据报送存在违法违规行为。
EAST系统(Examination & Analysis System Technology)是由当时的银监会在2008年开发的监管标准化数据系统。该系统包含银行标准化数据提取、现场检查项目管理、数据模型生成工具、数据模型发布与管理等功能模块。按照《银行业金融机构监管数据标准化规范》的要求,应进一步深入推进EAST应用,增强系统性、区域性风险识别监测能力,并督促银行业金融机构加强数据治理,运用数据持续提升风险防控能力和公司治理水平。
刘鹏指出,银保监会对EAST系统寄予厚望,相关规范要求更加严厉和细致的监管,这个过程中肯定会有金融机构没有按要求的情况,通过处罚督促大银行整改的话,其他金融机构也会跟进。
从具体处罚的违规事由来看,前述8家银行均存在分户账明细记录应报未报、关键且应报字段漏报或填报错误的问题;除光大银行,另7家银行存在分户账账户数据应报未报的问题;6家银行存在资金交易信息漏报严重的问题;还有部分银行存在错报总账会计数据、存在贸易融资业务漏报、理财产品数量漏报和信贷资产转让业务漏报的问题;邮储银行、工商银行还存在贷款核销业务漏报或错报问题。
值得一提的是,6月19日,江苏银保监局对江南农商行网络安全工作存在严重不足罚款30万元,成为了银行业首份网络安全行政罚单。
北京交通大学信息安全系主任王伟向《财经》E法表示,因为网络银行的业务需要,银行信息系统需与外网相连,所以存在安全风险。个人网上银行一旦被攻击,具体表现轻则是用户信息被泄露,重则个人的银行财产受到损失。
在王伟看来,江南农商行虽然只是个案,但银行网络安全问题具有一定普遍性,银行系统需要严格落实相关的网络安全法规和操作办法,加强相应的网络安全评估和安全风险管理。
银行的安全风险主要来自系统自身、系统内部和外部。王伟分析,系统自身的风险通常是没有遵守最新技术标准,例如新建的银行IC卡系统或新发的银行IC卡芯片不符合国家密码管理的要求,容易被破解等;系统内部风险通常是管理不到位,银行内部员工存在滥用权限等问题;系统外部风险主要来自黑客的攻击,主要包括银行登录口令破解、钓鱼诈骗、SQL注入、木马、拒绝服务攻击等传统方式,也包括APT(可持续威胁)和社会工程学攻击等较为“高级”的方式。
如何更好监管金融数据?
“个人金融信息保护现有的规章级别较低,《数据安全法》和《个人信息保护法》出台后,央行和银保监会还会有更多的规章出现,金融数据越来越会成为不可回避的问题,处罚也会更多。”何渊如此预计。
近年来,相关部门越来越重视个人金融信息保护。2019年10月,央行向部分银行发出《个人金融信息(数据)保护试行办法》初稿,明确和细化个人金融信息采集、使用、保护等要求,但目前还未正式实施。
2020年2月13日,央行发布了一个新的金融行业标准:《个人金融信息保护技术规范》,细致规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,而且将个人金融信息由高到低分级。
董希淼认为,保护个人金融信息的同时,还要处理好信息保护与信息获取的关系,现在更多强调信息保护,其实还要鼓励金融机构依法合规共享数据、使用数据。“数字金融的基础是大数据,如果数据难以依法合规共享使用,金融数字化转型就无从谈起。”
何渊认为,在互联网公司的冲击下,大量银行在进行数字化转型,对数据越来越依赖,监管方为了控制金融风险,不仅会要求银行自身没有问题,还有要求银行的合作伙伴,以至整个金融生态链也要不出事,因此,数据治理变成了监管的核心要点。同时,监管部门会转变思路,强监管的同时,也要求银行通过规范和标准建立好内部合规体系,实现合作治理。
另外,银行作为现代金融业的主体、国民经济运转的枢纽,银行业网络和重要信息系统是国家关键信息基础设施,银行网络安全对国家安全可谓至关重要。
“处罚不仅仅是对消费者的权益保护,数据治理更要从国家安全以及金融业安全的角度理解。” 何渊表示。
