点击注册
点击注册
.
.

多重角色下银行网络安全和数据合规要点分析

发布日期:2022-08-12 12:08    点击次数:79

作者:吴丹君律师 张振君律师助理

2020年5月9日,六大国有银行——工商银行、中国银行、交通银行、农业银行、建设银行、邮储银行及两家股份制银行——光大银行、中信银行均因监管标准化数据(EAST)及数据报送存在违法违规行为,被中国银行保险监督管理委员会(以下简称“银保监会”)处以罚款。[1]

2020年4月,中国裁判文书网公布了两份关于银行员工侵犯公民个人信息的刑事判决书,银行临时工和支行行长利用职务之便非法对外提供客户个人信息,法院以侵犯公民个人信息罪判处被告人有期徒刑并处罚金。[2]

银行数据质量欠缺、信息安全保障不足、内部管理制度存在漏洞等种种问题不断暴露在公众视野之中,银行所承担的“金融机构”“网络运营者”“关键信息基础设施运营者”及“个人信息控制者”等多重角色进一步增加了银行落实网络安全和数据合规相关制度的难度。下文将从分析近年相关行政处罚案例入手,分析银行在扮演不同角色时所应关注的网络安全和数据合规要点。

一、监管机关行政处罚特点分析

本团队整理了2017年至2020年中国银保监会[3]和中国人民银行[4]于其官网上公布的行政处罚信息,在网络安全和数据合规方面,数据质量及数据报送存在问题,违反反洗钱规定和个人金融信息保护规定是各银行被处罚的主要原因。值得注意的是,在个人金融信息保护和反洗钱信息收集方面,监管机关往往采取“双罚制”,即除对负有网络安全和数据合规责任的银行进行处罚外,还对主要及直接负责人予以相应处罚。

二、作为“金融机构”的网络安全和数据合规要点

作为“金融机构”的银行要落实网络安全和数据合规,首先需基于其内外资性质、经营范围及网络运营业务获取相应的许可证或进行备案。

银行若从事增值电信业务,需获得相应的增值电信经营许可证。银行从事互联网金融业务的,除应按规定履行相关金融监管程序外,还应依法向电信主管部门履行网站备案手续。

三、作为“网络运营者”和“关键信息基础设施运营者”的网络安全和数据合规要点

《网络安全法》第三十一条规定,国家对金融等重要行业和领域,在网络安全等级保护制度的基础上,实行重点保护。根据《关键信息基础设施确定指南(试行)》,银行运营为金融行业中的关键业务。因此,银行一般应被认定为关键信息基础设施运营者,在履行网络运营者的一般安全保护义务的基础上,还需履行关键信息基础设施运营者的特殊义务。银行在建设和部署基础设施、设备和信息系统的基础上,需构建与不断完善网络安全保护制度和数据合规制度,从制度上填补安全漏洞。

1.保障银行基础设施、设备与信息系统安全

建设和部署安全稳定的基础设施、设备与信息系统是银行落实网络安全和数据合规的客观前提。不仅要考虑作为关键信息基础设施的合规要求,还需考虑银行运营特点,对重要网络设备和各类信息系统的安全性进行审查。

2.构建网络安全保护制度

银行应从内部治理和外部控制两个角度落实网络安全和数据合规。银行的内部治理需构建风险管理和控制制度、银行部门架构、员工管理制度。内部人员管理制度还需区分普通员工、能够接触到个人金融信息等客户信息的员工以及网络安全负责人等不同岗位的员工。此外,还需制定一系列网络安全保障制度,主要包括网络安全等级保护制度、网络安全应急处置制度和网络产品和服务安全审查几个部分。

《网络安全法》第二十一条要求网络运营者按照网络安全等级保护制度的要求履行安全保护义务,作为网络运营者的银行自不例外。

作为关键信息基础设施运营者的银行在制定网络安全事件应急预案的基础上还需定期进行演练,对重要系统和数据库进行容灾备份。银行还应自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

而外部控制制度则主要针对银行存在业务外包等第三方合作的情形,若银行通过外包开展业务,应充分审查、评估外包服务供应商保护银行数据的能力,并在服务协议中明确外包服务提供商的数据保护和保密义务。在外包业务终止后,银行需确保外包服务提供商已及时彻底删除相应数据,以降低数据泄露的风险。

3.构建数据管理制度

银行应从数据收集和使用、数据存储及数据治理等角度,遵循全覆盖原则、匹配性原则、持续性原则、有效性原则,根据《银行业金融机构数据治理指引》制定全面科学有效的数据管理制度,包括但不限于组织管理、部门职责、协调机制、安全管控、系统保障、监督检查和数据质量控制等各项具体制度,并根据管理要求和实际需要进行持续评价更新。银行应建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全。

外商投资银行具有特殊的安全管理义务,“数据本地化”是其保存和处理个人信息和重要数据的重要原则。外商投资银行在中国境内运营中收集和产生的个人信息和重要数据应在境内存储。确需向境外提供的,则需按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

四、作为“个人信息控制者”的网络安全和数据合规要点

银行因其自身经营属性,掌握着大量个人信息,其中不乏与个人人身和财产安全密切相关的个人敏感信息。近年来,《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》《中国人民银行金融消费者权益保护实施办法》《个人金融信息保护技术规范》(JR/T 0171-2020)相继出台,个人信息保护在银行网络安全和数据合规中的地位不断凸显。

分析第一节的行政处罚信息可发现,“未按规定保存客户身份资料和交易记录”是处罚的重要理由。2020年3月,中信银行在未经客户本人授权的情况下,向第三方提供个人银行账户交易明细,违背为存款人保密的原则,涉嫌违反《中华人民共和国商业银行法》和银保监会关于个人信息保护的监管规定,严重侵害消费者信息安全权,损害了消费者合法权益。中国银保监会消费者权益保护局于5月9日通报该情况并决定按照相应法律法规启动立案调查程序。银保监会对此事的快速响应也折射出监管机关对个人信息保护日益重视的态度。

除满足一般个人信息控制者需承担的个人信息保护责任外,银行还需注意法律对个人金融信息的特殊保护要求。以个人信用信息为例,根据《征信业管理条例》第四十条,银行不得未经同意查询个人信息,否则监管机关可对单位处5万元以上50万元以下的罚款,对直接负责的主管人员或其他直接责任人处以1万元以上10万元以下罚款,构成犯罪的,依法追究刑事责任等处罚。

五、结语

银行在经济生活中承担着“金融机构”“网络运营者”“关键信息基础设施运营者”“个人信息控制者”等多重角色,随着科技的不断发展和业务的深入,银行的身份将会更加多元与复杂,比如发布APP的银行将成为移动应用运营者。然而,万变不离其宗,无论银行在具体法律关系中扮演着怎样的角色,安全保障责任承担和个人信息保护都始终贯穿银行的日常运营。同时,银行还需注意其与一般网络运营者或个人信息控制者之间的差异,针对其自身经营特点制定更新和落实适当的管理制度防范合规风险。

【参考资料】

[1]蓝鲸财经.8家银行因EAST系统数据质量及报送违规“吃”罚单,中国银行被罚270万.(2020-05-09)[2020-05-21].https://app.lanjinger.com/d/136309.

[2]券商中国.国有大行支行行长竟私拿客户信息,帮别人招揽业务!这家银行临时工也成“内鬼”.(2020-04-27)[2020-05-21].https://mp.weixin.qq.com/s/lB30xNIBcCkOp7RnFhW0mg.

[3]中国银行保险监督管理委员会.行政处罚.[2020-05-21].http://www.cbirc.gov.cn/cn/view/pages/ItemList.html?itemPId=923&itemId=931&itemUrl=zhengwuxinxi/xingzhengchufa.html&itemName=行政处罚.

[4]中国人民银行.行政处罚公示.[2020-05-21].http://www.pbc.gov.cn/zhengwugongkai/127924/128041/2161421/index.html.

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

网上博彩新闻

澳门网上赌场资讯

Powered by 澳门葡京赌场 @2013-2022 RSS地图 HTML地图

网站统计——

  • 谷歌搜索留痕推广
  • 谷歌搜索留痕排名技术
  • 谷歌快速排名
  • 留痕方法
  • 谷歌搜索快速方法
  • google搜索留痕程序
  • 谷歌快速排名
  • 澳门太阳城
  • 最大博彩公司
  • 谷歌搜索关键词排名
  • 搜索留痕程序
  • 谷歌排名出售
  • 谷歌蜘蛛池排名
  • 搜索留痕软件
  • 缅甸果敢赌场
  • 电子游艺规则
  • 谷歌留痕推广
  • google引流程序
  • 谷歌快速排名
  • google引流程序
  • 留痕推广
  • 大西洋城赌场
  • 买球地址
  • 搜索留痕
  • 搜索留痕程序出售
  • 谷歌蜘蛛池排名技术
  • 留痕程序
  • 如何提高google搜索排名
  • 数字币博彩
  • 洗钱方法
  • Google留痕收录
  • 最新谷歌搜索留痕排名
  • 搜索留痕
  • Google留痕收录
  • google搜索留痕
  • 数字币博彩网站
  • 足球投注平台
  • 博彩推广话术
  • 推广引流方法
  • 引流方法
  • 博彩推广话术
  • 网上博彩推广引流
  • 数字币赌场
  • 皇冠现金网
  • 蜘蛛池排名
  • 谷歌蜘蛛池
  • 留痕程序出售
  • google搜索留痕程序
  • 比特币网上赌场
  • 洗钱平台
  • 搜索留痕
  • 博彩推广方式
  • 网上博彩推广
  • 快速排名
  • 搜索留痕程序
  • bbin平台大全
  • 体育博彩公司排名
  • 留痕排名技术
  • 最新谷歌关键词排名
  • 推广渠道
  • 谷歌快速排名
  • 博彩推广
  • 世界杯赌球地址
  • 皇冠博彩公司
  • 谷歌排名出售
  • 博彩引流渠道
  • 搜索留痕程序
  • google搜索留痕
  • 引流渠道
  • 果敢网上赌场
  • 世界杯赌球
  • 搜索留痕方法
  • 博彩搜索留痕
  • 博彩引流
  • 博彩引流
  • 搜索留痕
  • 缅甸网上赌场
  • 欧洲杯赌球
  • 谷歌搜索排名
  • 留痕程序
  • 网上博彩推广引流
  • 留痕技术
  • 搜索留痕技术出售
  • 澳门威尼斯人网上赌场
  • 外围博彩
  • 博彩网站推广
  • 推广引流
  • 留痕程序出售
  • 谷歌推广引流技术
  • 推广引流方法
  • 美国在线赌场
  • 沙巴体育投注平台
  • 最新谷歌搜索留痕
  • 谷歌蜘蛛池排名技术
  • 网站推广方法
  • 留痕程序出售
  • 博彩推广方法
  • 菠菜论坛
  • 买球平台
  • 谷歌搜索留痕
  • 蜘蛛池排名
  • 博彩公司推广渠道
  • 谷歌搜索留痕
  • 博彩公司推广渠道
  • 真钱游戏
  • 网上赌球地址
  • 赌球平台推荐
  • 赌球网址
  • 博彩包网
  • 买球app
  • 澳门博彩公司
  • 威尼斯人赌场
  • 博彩平台推荐
  • 美国博彩网站
  • 缅甸实体赌场
  • 柬埔寨网上赌场
  • 柬埔寨在线赌场
  • 韩国博彩
  • 支持人民币的博彩公司
  • 世界五大比特币交易所
  • 欧易是哪个国家的
  • 中币跑路
  • 亚洲博彩公司
  • 合法网上赌场
  • 马尼拉赌场
  • 支持人民币的博彩公司
  • 大陆博彩平台
  • 澳门新葡京娱乐城
  • 老挝赌场
  • 世界赌场排名
  • 网上博彩公司排行
  • 菠菜论坛
  • 东南亚赌博网站
  • 虚拟币博彩
  • 澳门百家乐网址
  • 网上博彩导航
  • 区块链百家乐游戏
  • 马来西亚博彩公司
  • 越南赌场
  • 区块链百家乐
  • 香港娱乐场
  • 澳大利亚赌博网站
  • 足球赔率
  • 菲律宾网上赌场
  • 数字币博彩网站
  • 足球投注网站
  • 百家乐论坛
  • 皇冠体育博彩公司
  • 网上赌博网站
  • 网上博彩推广话术
  • 谷歌搜索快速方法
  • 网上博彩推广话术
  • 数字币赌场
  • 皇冠博彩公司
  • 世界杯博彩公司
  • 英国博彩公司
  • 网上博彩合法化
  • 新加坡赌场
  • 比特币网上赌场
  • 怎么洗钱
  • 加密货币博彩平台
  • 世界杯赌球网址
  • 网上赌球地址
  • 博彩推广方式
  • 印度尼西亚博彩公司
  • 国际包网
  • bbin平台直营
  • 亚洲体育博彩平台
  • 越南博彩公司
  • 百家乐路单
  • 澳门博彩官网
  • 博彩网推荐
  • 澳门太阳城网址
  • 百家乐网址
  • 世界杯赌球网址
  • 皇冠博彩网址
  • 洗钱方法
  • 买球网站
  • 欧洲杯赌球平台
  • 皇冠现金网
  • 外围赌球平台
  • 果敢赌场
  • 买球技巧
  • 全球最大博彩公司
  • 电子游艺
  • 真人电子游戏
  • 骰宝游戏规则
  • 亚洲体育博彩平台
  • 澳门在线赌场
  • 缅甸赌场地址
  • 赌球平台
  • 赌场如何赢钱
  • 世界杯买球网站
  • 真人牌九游戏
  • 世界杯买球官网
  • 时时彩平台
  • 六合彩预测
  • 威尼斯人网上赌场
  • 外围赌球网站
  • 赌博网址
  • 彩票群
  • 微信赌博群
  • 韩国首尔赌场
  • 赌钱游戏
  • 美国网上赌场
  • bbin官网
  • 沙巴体育官网
  • 博彩平台推荐
  • 数字币博彩网站
  • 比特币网上赌场
  • 世界赌场名单
  • 美国赌场攻略
  • 菠菜论坛排名
  • 菠菜论坛排名
  • 缅甸网上赌场
  • 支持人民币的博彩公司