银保监会近日公布了2021年第1号罚单。因6项违法违规行为,农业银行被银保监会处以420万元罚款。
据“银保监罚决字〔2021〕1号”处罚公开表显示,农业银行主要违法违规事实分别为:发生重要信息系统突发事件未报告;制卡数据违规明文留存;生产网络、分行无线互联网络保护不当;数据安全管理较粗放,存在数据泄露风险,网络信息系统存在较多漏洞;互联网门户网站泄露敏感信息等。
银保监会依据《中华人民共和国银行业监督管理法》第二十一条、第四十六条第五项和相关审慎经营规则,对农业银行作出罚款420万元的行政处罚决定。
从处罚事由不难看出,农行“六宗罪”主要涉及信息系统安全隐患、数据泄漏风险问题。对此,金融监管研究院相关人士指出,随着金融科技的发展,大量银行业务由线下转为线上,交易链条不断延伸,金融机构生产交易系统之间、以及与外部合作机构系统之间的信息交互明显增多。但是,由于部分机构安全风险防范意识不足,内控管理不到位,技术措施和管理手段缺失,生产交易系统安全风险增大。因此,监管部门近年来屡屡发文提示此类风险,并加大了排查和处罚力度,以此督促相关机构完善公司治理、补齐内控短板、填补合规漏洞。
第一财经记者注意到,在农行之前,华夏银行也曾因内控管理不到位、违反审慎经营规则收到银保监会开出的百万级别罚单。
据银保监会2020年9月4日公布的行政处罚信息显示,华夏银行因内控制度执行不到位、生产系统存在重大风险隐患、长期未发现异常挂账情况、长期未处置风险监控预警信息,严重违反审慎经营规则被罚款110万元。此外,银保监会还对1名责任人员(已被判处刑罚)给予终身禁业的行政处罚,对6名责任人员给予警告直至警告并处罚款10万元的行政处罚。
处罚信息公开当日,华夏银行针对银保监会处罚一事回应称,该行开展了全面排查,举一反三进行整改,消除风险隐患。下一步将坚持审慎经营,强化内控制度执行,不断完善系统建设,加强从业人员行为管理,持续提高合规经营水平,防止类似风险再次发生。
截至发稿前,记者就银保监会处罚事项联系农行,暂未取得回复。前述分析人士表示,对于银行而言,不仅要吸取现有案例的经验教训,还应当以此为鉴认真开展自查。如重点排查各类生产交易系统在异常交易场景下业务流程的完备性和安全性,确保交易环节中重要业务数据的完整性校验、加密等措施能够有效防范数据篡改、泄露和重放攻击等风险。
除了强化信息系统安全控制,数据治理与隐私保护也是银行内控管理合规的重点。麻袋研究院高级研究员苏筱芮表示,金融业作为数据密集型行业,更需要加强对数据、对信息的防护。随着监管部门加大对金融机构信息安全工作的监督管理,关于信息保护的罚单或更加频繁,金融机构应当严格对照监管要求强化内控管理,明晰人员分工,保护客户权益,从源头上杜绝可能存在的风险。
第一财经记者注意到,2020年10月曾有用户在某互联网平台发帖称“农行手机银行存在漏洞”。该用户称其从未在农行办过卡,但当其通过输入身份证号、手机号、人脸识别等程序成功注册并登录进入农行手机银行后,却发现自己身份证对应另一陌生人的名字及账户,且有具体存款金额及账户详细信息。该用户称其已将问题反馈给农行,希望农行及时找到问题,切实维护客户信息和资金安全。
事实上,近年来,信息安全与数据保护已成为金融业的重要议题。央行有关人士多次发声强调,银行业金融机构要做好数据治理和隐私保护,健全数据治理体系,按照数据安全的有关法律法规标准规范,建立数据安全保护机制,做好精细化管理,防止数据泄露、篡改和滥用。
2020年10月,央行更是首次对银行侵犯金融消费者金融信息安全行为进行点名通报,且对国有大行开出百万、千万级大额罚单,其中就包括农行。
农业银行吉林市江北支行因侵害消费者个人信息依法得到保护的权利;违反反洗钱管理规定,泄露客户信息;被央行吉林市中心支行被处以警告,并罚没1223万元。时任农行吉林市江北支行行长、副行长、营业室业务主管等相关责任人一并被罚,合计遭罚8.25万元,作出行政处罚决定的日期为2020年10月20日。
除了农业银行吉林市江北支行,一同被罚的还有中国银行石嘴山市分行、建设银行德阳分行、建设银行娄底分行、建设银行东营分行与建设银行建德支行,6家机构共计被罚款4087万元。值得注意的是,这几张罚单是2020年央行首次针对金融机构因侵害消费者个人信息依法得到保护的权利而开出的罚单。
央行有关部门负责人在答记者问中强调,“央行一直高度重视消费者金融信息保护工作,坚持对侵害消费者金融信息安全行为零容忍,对侵犯金融消费者合法权益的违法违规行为坚决依法严厉打击。”
据悉,2020年,《个人金融信息(数据)保护试行办法》《中国人民银行金融消费者权益保护实施办法》已列入央行规章制定工作计划。其中《中国人民银行金融消费者权益保护实施办法》于2020年9月18日发布,自11月1日起施行。
业内普遍认为,监管部门多措并举加强个人金融信息保护,对金融机构提出了更高的合规要求。加强数据治理、强化金融消费者的隐私保护是现阶段金融机构面临的迫切而又现实的问题。