多重角色下银行网络安全和数据合规要点分析
作者:吴丹君律师 张振君律师助理
2020年5月9日,六大国有银行——工商银行、中国银行、交通银行、农业银行、建设银行、邮储银行及两家股份制银行——光大银行、中信银行均因监管标准化数据(EAST)及数据报送存在违法违规行为,被中国银行保险监督管理委员会(以下简称“银保监会”)处以罚款。[1]
2020年4月,中国裁判文书网公布了两份关于银行员工侵犯公民个人信息的刑事判决书,银行临时工和支行行长利用职务之便非法对外提供客户个人信息,法院以侵犯公民个人信息罪判处被告人有期徒刑并处罚金。[2]
银行数据质量欠缺、信息安全保障不足、内部管理制度存在漏洞等种种问题不断暴露在公众视野之中,银行所承担的“金融机构”“网络运营者”“关键信息基础设施运营者”及“个人信息控制者”等多重角色进一步增加了银行落实网络安全和数据合规相关制度的难度。下文将从分析近年相关行政处罚案例入手,分析银行在扮演不同角色时所应关注的网络安全和数据合规要点。
一、监管机关行政处罚特点分析
本团队整理了2017年至2020年中国银保监会[3]和中国人民银行[4]于其官网上公布的行政处罚信息,在网络安全和数据合规方面,数据质量及数据报送存在问题,违反反洗钱规定和个人金融信息保护规定是各银行被处罚的主要原因。值得注意的是,在个人金融信息保护和反洗钱信息收集方面,监管机关往往采取“双罚制”,即除对负有网络安全和数据合规责任的银行进行处罚外,还对主要及直接负责人予以相应处罚。
二、作为“金融机构”的网络安全和数据合规要点
作为“金融机构”的银行要落实网络安全和数据合规,首先需基于其内外资性质、经营范围及网络运营业务获取相应的许可证或进行备案。
银行若从事增值电信业务,需获得相应的增值电信经营许可证。银行从事互联网金融业务的,除应按规定履行相关金融监管程序外,还应依法向电信主管部门履行网站备案手续。
三、作为“网络运营者”和“关键信息基础设施运营者”的网络安全和数据合规要点
《网络安全法》第三十一条规定,国家对金融等重要行业和领域,在网络安全等级保护制度的基础上,实行重点保护。根据《关键信息基础设施确定指南(试行)》,银行运营为金融行业中的关键业务。因此,银行一般应被认定为关键信息基础设施运营者,在履行网络运营者的一般安全保护义务的基础上,还需履行关键信息基础设施运营者的特殊义务。银行在建设和部署基础设施、设备和信息系统的基础上,需构建与不断完善网络安全保护制度和数据合规制度,从制度上填补安全漏洞。
1.保障银行基础设施、设备与信息系统安全
建设和部署安全稳定的基础设施、设备与信息系统是银行落实网络安全和数据合规的客观前提。不仅要考虑作为关键信息基础设施的合规要求,还需考虑银行运营特点,对重要网络设备和各类信息系统的安全性进行审查。
2.构建网络安全保护制度
银行应从内部治理和外部控制两个角度落实网络安全和数据合规。银行的内部治理需构建风险管理和控制制度、银行部门架构、员工管理制度。内部人员管理制度还需区分普通员工、能够接触到个人金融信息等客户信息的员工以及网络安全负责人等不同岗位的员工。此外,还需制定一系列网络安全保障制度,主要包括网络安全等级保护制度、网络安全应急处置制度和网络产品和服务安全审查几个部分。
《网络安全法》第二十一条要求网络运营者按照网络安全等级保护制度的要求履行安全保护义务,作为网络运营者的银行自不例外。
作为关键信息基础设施运营者的银行在制定网络安全事件应急预案的基础上还需定期进行演练,对重要系统和数据库进行容灾备份。银行还应自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
而外部控制制度则主要针对银行存在业务外包等第三方合作的情形,若银行通过外包开展业务,应充分审查、评估外包服务供应商保护银行数据的能力,并在服务协议中明确外包服务提供商的数据保护和保密义务。在外包业务终止后,银行需确保外包服务提供商已及时彻底删除相应数据,以降低数据泄露的风险。
3.构建数据管理制度
银行应从数据收集和使用、数据存储及数据治理等角度,遵循全覆盖原则、匹配性原则、持续性原则、有效性原则,根据《银行业金融机构数据治理指引》制定全面科学有效的数据管理制度,包括但不限于组织管理、部门职责、协调机制、安全管控、系统保障、监督检查和数据质量控制等各项具体制度,并根据管理要求和实际需要进行持续评价更新。银行应建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全。
外商投资银行具有特殊的安全管理义务,“数据本地化”是其保存和处理个人信息和重要数据的重要原则。外商投资银行在中国境内运营中收集和产生的个人信息和重要数据应在境内存储。确需向境外提供的,则需按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
四、作为“个人信息控制者”的网络安全和数据合规要点
银行因其自身经营属性,掌握着大量个人信息,其中不乏与个人人身和财产安全密切相关的个人敏感信息。近年来,《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》《中国人民银行金融消费者权益保护实施办法》《个人金融信息保护技术规范》(JR/T 0171-2020)相继出台,个人信息保护在银行网络安全和数据合规中的地位不断凸显。
分析第一节的行政处罚信息可发现,“未按规定保存客户身份资料和交易记录”是处罚的重要理由。2020年3月,中信银行在未经客户本人授权的情况下,向第三方提供个人银行账户交易明细,违背为存款人保密的原则,涉嫌违反《中华人民共和国商业银行法》和银保监会关于个人信息保护的监管规定,严重侵害消费者信息安全权,损害了消费者合法权益。中国银保监会消费者权益保护局于5月9日通报该情况并决定按照相应法律法规启动立案调查程序。银保监会对此事的快速响应也折射出监管机关对个人信息保护日益重视的态度。
除满足一般个人信息控制者需承担的个人信息保护责任外,银行还需注意法律对个人金融信息的特殊保护要求。以个人信用信息为例,根据《征信业管理条例》第四十条,银行不得未经同意查询个人信息,否则监管机关可对单位处5万元以上50万元以下的罚款,对直接负责的主管人员或其他直接责任人处以1万元以上10万元以下罚款,构成犯罪的,依法追究刑事责任等处罚。
五、结语
银行在经济生活中承担着“金融机构”“网络运营者”“关键信息基础设施运营者”“个人信息控制者”等多重角色,随着科技的不断发展和业务的深入,银行的身份将会更加多元与复杂,比如发布APP的银行将成为移动应用运营者。然而,万变不离其宗,无论银行在具体法律关系中扮演着怎样的角色,安全保障责任承担和个人信息保护都始终贯穿银行的日常运营。同时,银行还需注意其与一般网络运营者或个人信息控制者之间的差异,针对其自身经营特点制定更新和落实适当的管理制度防范合规风险。
【参考资料】
[1]蓝鲸财经.8家银行因EAST系统数据质量及报送违规“吃”罚单,中国银行被罚270万.(2020-05-09)[2020-05-21].https://app.lanjinger.com/d/136309.
[2]券商中国.国有大行支行行长竟私拿客户信息,帮别人招揽业务!这家银行临时工也成“内鬼”.(2020-04-27)[2020-05-21].https://mp.weixin.qq.com/s/lB30xNIBcCkOp7RnFhW0mg.
[3]中国银行保险监督管理委员会.行政处罚.[2020-05-21].http://www.cbirc.gov.cn/cn/view/pages/ItemList.html?itemPId=923&itemId=931&itemUrl=zhengwuxinxi/xingzhengchufa.html&itemName=行政处罚.
[4]中国人民银行.行政处罚公示.[2020-05-21].http://www.pbc.gov.cn/zhengwugongkai/127924/128041/2161421/index.html.
本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。