国家金融监督管理总局网站于7月14日发布一则行政处罚信息,显示浙江农村商业联合银行股份有限公司(简称:浙江农商联合银行)因数据安全管理缺失等11项主要违法违规事实,依据《中华人民共和国银行业监督管理法》第四十六条第一项、第三项、第五项;《中华人民共和国商业银行法》第七十五条第二项,于7月6日被中国银保监会浙江监管局罚款380万元。
(来源:国家金融监督管理总局网站)
2020年4月9日,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》(下称《意见》),数据首次正式被纳入生产要素范围,与土地、劳动力、资本、技术等传统生产要素并列,《意见》要求推进政府数据开放共享,提升社会数据资源价值,同时也要加强数据资源整合和安全保护,探索建立统一规范的数据管理制度。为此我国先后制定了相关法律法规,如《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》明确要求要合规、合法、有效地做好数据安全的保护。
2020年9月,中国人民银行发布《金融数据安全数据安全分级指南》(JR/T 0197—2020),随后在2021年4月8日发布《金融数据安全数据生命周期安全规范》(JR/T 0223—2021)。旨在为金融机构数据安全管理、开展数据安全分级工作提供指导,为金融业数据安全保护工作奠定基础。
此次浙江农商联合银行被处罚,原因之一就是金融数据安全问题。中国银保监会浙江管理局将“数据安全管理缺失”明确列为主要违法违规行为。这一处罚事件对于金融机构有着怎样的预警?笔者将从以下几个角度进行分析与解读:
一、什么叫做数据安全?
近年来,数据技术迅猛发展,数据产业也迸发出勃勃生机,数据本身能够带来的巨大的经济利益已经成为一个共识。正因为数据本身能够带来的利益是巨大的,因此获取数据就成为技术掌控者必然的觊觎,甚至出现了数据的黑色产业链,不法分子通过攻击网站、系统,利用程序漏洞和病毒编码攻击并获取私密数据出售获利、通过AI假扮朋友、同学进行网络诈骗,甚至有国家政府因为政治因素通过黑客技术获取保密情报信息。互联网的世界依然充斥着犯罪和威胁。因此而孪生的现象就是数据的保护之声渐起,尤其是重要数据、敏感数据的保护,我国近年数据保护呈力度逐渐加大之态势。数据安全的概念应运而生。
根据ISO/IEC 27002:2005(E)的相关标准,“数据安全”通常指“保护数据免受广泛威胁,以确保业务的连贯性,最大限度地降低业务风险并提高投资回报率与就业机会”。在《信息安全技术数据安全能力成熟度模型》(GB/T37988-2019)中,数据安全是指以数据为中心的安全,保护数据的可用性、完整性和机密性。而我国《中华人民共和国数据安全法》第三条对数据安全进行了定义,数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
数据安全一般可以分为固态安全和动态安全两个维度,即数据基础设施安全和数据全生命周期安全。数据基础设施安全是指围绕数据为中心,深度整合计算、存储、网络和软件资源,以充分挖掘数据价值为目标所设计建设的数据中心IT基础设施的安全,简言之其为数据各类处理行为的载体安全。数据全生命周期安全,包括数据采集、数据存储、数据处理、数据传输、数据交换、数据销毁这六个阶段,例如数据收集是数据安全的第一道屏障,收集者需对数据进行筛选的预处理,收集完后到了数据存储阶段,也需对其安全性进行防范,防止窃取、黑客入侵等,保证其安全状态,实现数据的有效价值。
数据的固态安全仅仅局限于相关数据基础设施,缺少安全可靠的基础设施作为支撑,数据安全保护就难以有效发挥,数据价值和数据产业也难以健康发展。而数据的动态安全则是通过规范数据处理活动,合理控制风险,维护数据安全。我国《中华人民共和国数据安全法》所维护的数据安全也并不仅是静态的安全,也包括动态的数据全生命周期的安全。因此在进行数据安全管理工作时,数据固态安全与动态安全均需加以关注,二者不可或缺。
由于数据包括一般数据、重要数据和敏感数据,因此数据安全可以被划分为特别数据安全和一般数据安全,其中对特别数据安全的保护主要包括重要数据保护与敏感数据保护两个方面,重要数据是指与国家安全、经济发展和社会公共利益密切相关的数据,如国家矿产资源、地理位置信息与未公开政府资料等相关的数据,重要数据如未经授权披露、丢失、篡改或销毁,会导致危害国家安全、破坏经济金融秩序等严重后果,银行的数据便属于重要数据。从数据安全主体的角度来讲,数据安全可以分为政府数据安全、企业数据安全和个人数据安全三类,其中企业数据是企业在生产经营活动中收集、存储和处理的数据,其安全要重点关注企业的商业秘密和用户的个人数据信息保护等。
浙江农商联合银行属于金融机构,其掌握的数据属于重要数据或个人敏感信息,浙江农商联合银行为了保护重要数据和用户个人敏感信息的安全,稳定社会金融秩序,维护国家安全,应该严格遵守合法的数据合规管理体系和机制,应在数据收集、数据存储和数据处理等阶段内如实收集并存储好业务中的流水信息、账单信息等数据。
二、银行被罚之原因分析
从国家金融监督管理总局网站发布的行政处罚信息可知,本次处罚事件依据的是《中华人民共和国银行业监督管理法》第四十六条第一、三、五项和《中华人民共和国商业银行法》第七十五条第二项,与数据安全管理缺失有关的处罚依据应该是:《中华人民共和国银行业监督管理法》第四十六条第五项,其内容是严重违反审慎经营规则的由国务院银行业监督管理机构责令改正,并处二十万元以上五十万元以下罚款;情节特别严重或者逾期不改正的,可以责令停业整顿或者吊销其经营许可证;构成犯罪的,依法追究刑事责任。
其实,关于金融机构的数据安全管理职责的规定还有:
《中华人民共和国数据安全法》
第二十七条规定:
开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第二十九条规定:
开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
第三十条规定:
重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
由于金融机构处理的数据包括个人信息,所以金融机构在数据安全领域还必须注意遵守《中华人民共和国个人信息保护法》第五章关于个人信息处理者的义务,包括:
《中华人民共和国个人信息保护法》
第五十一条规定:
个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
第五十二条规定:
处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
第五十四条规定:
个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
第五十五条规定:
有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
第五十六条规定:
个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
第五十七条规定:
发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;
(三)个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
第五十八条规定:
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
第五十九条规定:
接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。
由于金融机构还可能被认定为关键信息基础设施的运营者,因此金融机构在数据安全的工作中还应该遵循《关键信息基础设施条例》的有关规定,包括:
《关键信息基础设施条例》
第十二条规定:
安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
第十三条规定:
运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。
第十四条规定:
运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。
第十五条规定:
专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:
(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;
(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;
(三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;
(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;
(五)组织网络安全教育、培训;
(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;
(八)按照规定报告网络安全事件和重要事项。
第十六条规定:
运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。
第十七条规定:
运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。
第十八条规定:
关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。
发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。
第十九条规定:
运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
第二十条规定:
运营者采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。
第二十一条规定:
运营者发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全。
综上所述,金融机构须要有严密的数据安全管理方法体系,并且正常地进行运转,这不仅关系到公民个人信息数据安全,还影响着国家金融秩序的稳定和社会的安定,同时为了使自身能够适应社会发展变化,得到合规、可持续的发展,所以数据安全管理便显得尤为重要,而浙江农商联合银行恰恰忽视其重要性,因此便受到了相应的行政处罚。
三、金融机构体系化合规建议
(一)设置专门安全管理机构
设置专门安全管理机构,保障人力、财力、物力投入。开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与,对专门安全管理机构负责人和关键岗位人员进行安全背景审查,审查时,可以要求公安机关、国家安全机关予以协助。
树立主要负责人对关键信息基础设施安全保护负总责的意识,由主要负责人领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。
处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
(二)建立健全全流程数据安全管理体系。
制定数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划。在遵守网络安全等级保护制度的基础上,按照《金融数据安全数据安全分级指南》的标准对数据进行分级分类。
按照国家规定建立健全个人信息保护合规制度体系,履行个人信息和数据安全保护责任,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
1、制定内部管理制度和操作规程;
2、对个人信息实行分类管理;
3、采取相应的加密、去标识化等安全技术措施;
4、合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
5、制定并组织实施个人信息安全事件应急预案;
6、法律、行政法规规定的其他措施。
(三)定期开展数据安全风险评估与审计
按照规定对其数据处理活动每年至少开展一次网络安全检测和风险评估,对发现的安全问题及时整改,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。事前进行个人信息保护影响评估,并对处理情况进行记录,个人信息保护影响评估应当包括下列内容:
1、个人信息的处理目的、处理方式等是否合法、正当、必要;
2、对个人权益的影响及安全风险;
3、所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次和风险评估,定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
(四)确定供应链数据安全
接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。
安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。
(五)制定应急处理措施
制定本单位应急预案,定期开展应急演练,处置网络安全事件。
开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
1、发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
2、个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;
3、个人信息处理者的联系方式。
发生重大网络安全事件或者发现重大网络安全威胁时,应当按照有关规定向保护工作部门、公安机关报告。发生整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。
发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全。
(六)对内培训对外报告
周期性开展宣传活动,为银行管理层和各部门员工组织数据合规管理培训,突出重点,明确最新数据法规、国家标准、角色职责及其相应的法律后果,培养意识,最后形成自身的文化优势机制。
定期发布个人信息保护社会责任报告,接受社会监督,按照规定报告网络安全事件和重要事项。
四、小结
促进数据有效流通和使用是当今社会数字经济发展的大势所趋,也是企业实现可持续发展的安全保障。浙江农商联合银行仅仅开业一年多,便在数据安全管理方面受到了国家严厉的处罚。由此可见,金融机构必须重视自身的数据安全管理状况,时刻密切关注相应的动态数据法律规定,打造自身的数据合规管理体系,做到合法、合规,从而降低数据风险,实现自身的可持续发展。
规范数据安全管理——银行行政处罚案警示分析及合规建议
作者:余斐蓉 林鹏来源:凌科安时法律评论

国家金融监督管理总局网站于7月14日发布一则行政处罚信息,显示浙江农村商业联合银行股份有限公司(简称:浙江农商联合银行)因数据安全管理缺失等11项主要违法违规事实,依据《中华人民共和国银行业监督管理法