數(shù)據(jù)要素是金融機構(gòu)的核心資產(chǎn)，隨著金融業(yè)邁入數(shù)字化時代，數(shù)據(jù)安全、數(shù)據(jù)管理也成為包括銀行在內(nèi)的各金融機構(gòu)的重要議題。

7月24日，為落實《中華人民共和國數(shù)據(jù)安全法》（下稱《數(shù)據(jù)安全法》）有關(guān)要求，加強中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理，中國人民銀行起草了《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）》（下稱《辦法》），并面向社會公開征求意見。

其中，《辦法》明確，對于非法獲取數(shù)據(jù)行為的處理，中國人民銀行及其分支機構(gòu)執(zhí)法檢查發(fā)現(xiàn)數(shù)據(jù)處理者存在竊取或者以其他非法方式獲取數(shù)據(jù)的行為時，將相關(guān)案件信息移送同級公安機關(guān)、國家安全機關(guān)，并配合其依法依規(guī)予以處理。

01

今年以來多家銀行

因涉“個人金融信息”事件被罰

眾所周知，金融是產(chǎn)生和積累數(shù)據(jù)量最大、數(shù)據(jù)類型最豐富的領(lǐng)域之一，而隨著數(shù)據(jù)的作用不斷凸顯，數(shù)據(jù)安全與個人信息保護在新時代也面臨新的風(fēng)險與挑戰(zhàn)。

根據(jù)《中國銀行保險報》與亞信網(wǎng)絡(luò)安全產(chǎn)業(yè)技術(shù)研究院發(fā)布的《金融行業(yè)網(wǎng)絡(luò)安全白皮書（2020）》顯示，金融隱私泄露事件大約以每年35％的數(shù)據(jù)在增長。

柒財經(jīng)梳理發(fā)現(xiàn)，僅今年以來，就發(fā)生多起涉及銀行等金融機構(gòu)的個人金融信息保護事件。

7月18日，國家金融監(jiān)管總局浙江監(jiān)管局發(fā)布的一則行政處罰信息公開表顯示，中國銀行嘉興市分行因存在多項違法違規(guī)事實，被罰210萬元，其中就有違規(guī)泄露客戶信息一項。

同樣是中國銀行，6月，該行福建分行因存在“違反個人金融信息保護規(guī)定”等違法行為，被警告，并被罰款179萬元。

4月14日，中國人民銀行重慶營業(yè)管理部公布的罰單顯示，重慶富民銀行因“違反消費者金融信息保護管理規(guī)定”等違法行為，被警告并罰款1萬元。

2月，中國人民銀行福州中心支行公示的處罰信息顯示，廈門銀行存在23項違法行為，其中就包括“違反個人金融信息保護規(guī)定”。廈門銀行被警告，并被沒收違法所得767.17元、罰款764.6萬元。

1月4日，中國人民銀行威海市中心支行公開的處罰信息顯示，藍海銀行因“未按規(guī)定履行消費者金融信息保護義務(wù)”“未按規(guī)定保存客戶身份資料和交易記錄”等4項違法行為，被警告，并被罰款76.66萬元。

今年以來，原銀保監(jiān)會開出的多張罰單也指向客戶信息合規(guī)問題，涉及國有銀行、股份制銀行、城商銀行等。

如原銀保監(jiān)會4月3日公布的處罰信息顯示，中國工商銀行上海市楊浦支行存在“信息安全和員工行為管理不到位”等主要違法違規(guī)事實，被責(zé)令改正并被罰款50萬元。

1月20日，民生銀行寧波分行由于“案防管理不到位、客戶信息安全管理不到位”被原銀保監(jiān)會處罰，合計罰款190萬元。

3月10日，金華銀行因“客戶信息保護不審慎”被原銀保監(jiān)會罰款30萬元。

值得注意的是，2022年1月10日，根據(jù)中國人民銀行上海總部公布的信息，東亞銀行（中國）有限公司因違反信用信息采集、提供、查詢及相關(guān)管理規(guī)定，被處以1674萬元罰款，責(zé)令限期改正。在此之前，單個機構(gòu)因信息管理方面的原因被處以千萬以上罰單極為少見。

此外，金融監(jiān)管總局前不久向銀行業(yè)保險業(yè)下發(fā)《關(guān)于加強第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》�！锻ㄖ�》中披露了近兩年在金融機構(gòu)外包服務(wù)商身上出現(xiàn)的數(shù)據(jù)泄露事件，也值得行業(yè)警惕。

02

個人信息泄露

成不少助貸機構(gòu)痼疾

不光是銀行，柒財經(jīng)發(fā)現(xiàn)，個人信息泄露問題已然成為不少助貸機構(gòu)、消金公司和互聯(lián)網(wǎng)平臺的痼疾，引發(fā)用戶投訴不斷。

在黑貓投訴上，搜索“貸款+信息泄露”兩個關(guān)鍵詞，彈出來近5500條相關(guān)信息。

一消費者稱，其使用小米貸款產(chǎn)品天星金融旗下隨星借，因經(jīng)濟原因資金周轉(zhuǎn)困難導(dǎo)致逾期，天星金融不斷暴力催收，并委托第三方催收，并且泄漏其家人電話給第三方，對其家人發(fā)信息騷擾，恐嚇上門等。

另一名消費者稱，捷信催收人員暴力催收，“開始是一直騷擾我母親，我母親因為這些騷擾都被折騰住院了。今天還來了一個自稱是捷信公司委托的昊順公司對我進行騷擾，而且不知道通過什么手段騷擾我們村的人。這種手段已經(jīng)對我甚至其他人都造成了很嚴重的影響”。

一名投訴普惠快信的用戶表示，其從未在該平臺貸款，但卻收到該平臺發(fā)送的惡意不實短信，還牽連到其現(xiàn)任職單位，嚴重侵犯和泄露個人隱私信息。

不少借貸類平臺還曾因APP違法違規(guī)收集個人信息被通報。2021年5月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布通告稱，包括360借條、平安好貸以及招聯(lián)好期貸在內(nèi)的84款A(yù)PP違法違規(guī)收集使用個人信息，要求15個工作日內(nèi)完成整改。

值得一提的是，7月7日，人民銀行公布銀罰決字〔2023〕34-38號罰單，騰訊旗下財付通支付科技有限公司因違反消費者金融信息保護管理規(guī)定等11項規(guī)定被罰沒29.93億元，4名責(zé)任人合計被罰242.10萬元。

此前柒財經(jīng)關(guān)注的哈啰APP上的助貸服務(wù)平臺“臻有錢”，也因存在“一鍵授權(quán)”行為，被指屬于個人信息過度收集。柒財經(jīng)發(fā)現(xiàn)，點擊“臻有錢”的“領(lǐng)取額度”時，將一鍵同意《臻有錢服務(wù)協(xié)議》《臻有錢個人信息保護及隱私政策》《個人信息共享說明》《個人征信信息查詢及使用授權(quán)書》。根據(jù)《個人信息共享說明》，用戶的姓名、身份證相關(guān)信息、手機號碼等多項的個人隱私信息，也將共享給前述數(shù)十家小貸和助貸公司。（查看原文：低調(diào)的哈啰助貸：合作機構(gòu)數(shù)十家 被疑過度收集個人信息）

根據(jù)《個人信息保護法》第六條的規(guī)定：“處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。”

而法律人士認為，“臻有錢”這種一鍵授權(quán)多家機構(gòu)的做法，屬于個人信息過度收集。根據(jù)《個人信息保護法》第二十條規(guī)定，有多個主體作為個人信息處理者收集、處理個人信息，應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)。

今年4月，企業(yè)安全服務(wù)商威脅獵人發(fā)布的《2023年Q1數(shù)據(jù)資產(chǎn)泄露分析報告》顯示，2023年Q1，借貸行業(yè)的數(shù)據(jù)泄露事件數(shù)占據(jù)金融行業(yè)總數(shù)據(jù)泄露事件數(shù)的51%。而去年同期這一數(shù)據(jù)僅為38%。

此外，威脅獵人情報平臺共監(jiān)測到相關(guān)事件91起，遠多于其他金融細分行業(yè)。

03

《辦法》明確壓實數(shù)據(jù)處理活動

全流程安全合規(guī)底線

在數(shù)據(jù)泄漏事件頻發(fā)的當(dāng)下，如何建立健全完備的數(shù)據(jù)安全防護體系，防范和化解敏感數(shù)據(jù)信息泄密風(fēng)險是當(dāng)前金融行業(yè)信息安全關(guān)注的重點和難點。

此次中國人民銀行推出《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）》，可謂既是落實《數(shù)據(jù)安全法》有關(guān)要求，也是對《數(shù)據(jù)安全法》在金融業(yè)務(wù)領(lǐng)域的直接踐行。

《辦法》明確，數(shù)據(jù)安全工作遵循“誰管業(yè)務(wù)，誰管業(yè)務(wù)數(shù)據(jù)，誰管數(shù)據(jù)安全”基本原則。

《辦法》提出了規(guī)范數(shù)據(jù)分類分級要求。數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)分類分級制度規(guī)程，梳理數(shù)據(jù)資源目錄標(biāo)識分類信息，在國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)下，根據(jù)中國人民銀行制定的重要數(shù)據(jù)識別標(biāo)準(zhǔn)，統(tǒng)一對數(shù)據(jù)實施分級，嚴格落實網(wǎng)絡(luò)安全等級保護和風(fēng)險評估等義務(wù)，并在此基礎(chǔ)上推動各數(shù)據(jù)處理者進一步做好數(shù)據(jù)敏感性、可用性層級劃分，以便在全流程數(shù)據(jù)安全管理中更好采取精細化、差異化的安全保護管理和技術(shù)措施。

《辦法》提出了數(shù)據(jù)安全保護總體要求。強調(diào)數(shù)據(jù)處理者應(yīng)當(dāng)壓實數(shù)據(jù)安全責(zé)任，建立數(shù)據(jù)安全問責(zé)處罰制度和數(shù)據(jù)處理活動全流程安全管理制度，制定數(shù)據(jù)安全培訓(xùn)計劃。

《辦法》明確了壓實數(shù)據(jù)處理活動全流程安全合規(guī)底線。針對收集、存儲、使用、加工、傳輸、提供、公開和刪除各環(huán)節(jié)，向數(shù)據(jù)處理者明確采取哪些安全保護管理和技術(shù)措施后，可視為總體滿足盡職盡責(zé)的合規(guī)底線要求。

《辦法》還細化了風(fēng)險監(jiān)測、評估審計、事件處置等合規(guī)要求。強調(diào)數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)處理活動安全風(fēng)險監(jiān)測和告警機制，加強數(shù)據(jù)安全風(fēng)險情報監(jiān)測、核查、處置與行業(yè)共享，制定數(shù)據(jù)安全事件定級判定標(biāo)準(zhǔn)和應(yīng)急預(yù)案，規(guī)范應(yīng)急演練、事件處置、風(fēng)險評估和審計等工作。

此外，在違規(guī)處罰上，《辦法》明確了中國人民銀行及其分支機構(gòu)可對數(shù)據(jù)處理者數(shù)據(jù)安全保護義務(wù)落實情況開展執(zhí)法檢查，以及數(shù)據(jù)處理者違反規(guī)定時對應(yīng)的法律責(zé)任。其中提到，中國人民銀行及其分支機構(gòu)執(zhí)法檢查發(fā)現(xiàn)數(shù)據(jù)處理者存在竊取或者以其他非法方式獲取數(shù)據(jù)的行為時，將相關(guān)案件信息移送同級公安機關(guān)、國家安全機關(guān)，并配合其依法依規(guī)予以處理。

據(jù)了解，此前，針對數(shù)據(jù)安全，互聯(lián)網(wǎng)、金融業(yè)的相關(guān)監(jiān)管部門已出臺了大量的政策和標(biāo)準(zhǔn)規(guī)范，包括《個人信息保護法》《網(wǎng)絡(luò)安全法》《個人金融信息保護技術(shù)規(guī)范》《金融消費者權(quán)益保護實施辦法》《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》《商業(yè)銀行互聯(lián)網(wǎng)貸款管理暫行辦法》《征信業(yè)務(wù)管理辦法》等。

       原文標(biāo)題 : 央行出手！侵犯個人信息迎重拳 多家銀行曾被罰