在數(shù)字化變革時代���,擁有龐雜��、高價值數(shù)據(jù)資源的金融機構�����,面臨數(shù)據(jù)安全挑戰(zhàn)。
券商中國記者粗略統(tǒng)計�,一年半以來,已有數(shù)十家銀行收到有關數(shù)據(jù)安全管理不規(guī)范��、侵犯客戶個人隱私方面的通報和罰單�,且多以區(qū)域銀行為主。
明顯的趨勢是�,監(jiān)管“指揮棒”在逐年加力。近兩年��,從大眾最為關注的銀行APP過度搜集個人隱私信息�����,到銀行數(shù)據(jù)運營管理不規(guī)范��,銀行在前述方面領罰單的數(shù)量逐漸增多���,呈現(xiàn)嚴監(jiān)管趨勢����。此外�,有關數(shù)據(jù)安全的法律法規(guī),以及監(jiān)管規(guī)范文件逐步出臺���,形成了對金融機構數(shù)據(jù)安全規(guī)范管理的層層“緊箍咒”。
一方面�����,金融機構加強數(shù)據(jù)安全管理體系建設,適應被動合規(guī)�����;另一方面���,隨著,AI大模型在金融領域的應用���,數(shù)據(jù)規(guī)模和使用場景的增多����,數(shù)據(jù)安全保障體系更需進一步升級�。
法律法規(guī)持續(xù)健全
近期��,央行發(fā)布了《中國人民銀行業(yè)務領域數(shù)據(jù)安全管理辦法》(以下簡稱《辦法》)�,自2025年6月30日起施行。
此次《辦法》全面銜接了《中華人民共和國數(shù)據(jù)安全法》《網(wǎng)絡數(shù)據(jù)安全管理條例》等����,細化明確了中國人民銀行業(yè)務領域數(shù)據(jù)安全合規(guī)底線要求,督促指導金融機構等合規(guī)開展數(shù)據(jù)處理活動���、履行數(shù)據(jù)安全保護義務��,保障個人、組織合法權益��。
可以觀察到���,近兩三年�����,數(shù)據(jù)安全領域法律法規(guī)在持續(xù)健全。就在上述《辦法》發(fā)布前幾個月���,國家金融監(jiān)督管理總局于2024年12月27日發(fā)布了《銀行保險機構數(shù)據(jù)安全管理辦法》(以下簡稱《數(shù)據(jù)安全管理辦法》),從數(shù)據(jù)安全治理����、數(shù)據(jù)分類分級、數(shù)據(jù)安全管理�����、數(shù)據(jù)安全技術保護�、個人信息保護、數(shù)據(jù)安全風險監(jiān)測與處置等方面提出了多項要求���。
《數(shù)據(jù)安全管理辦法》明確數(shù)據(jù)安全歸口管理部門,將數(shù)據(jù)安全風險納入全面風險管理體系����,要求銀行保險機構開展相關數(shù)據(jù)處理活動時,應事先開展安全評估�,建立數(shù)據(jù)安全保護基線等。
拉長時間線��,2021年以來《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律法規(guī)陸續(xù)發(fā)布�。此外���,2020年以來��,央行也陸續(xù)發(fā)布了《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》等監(jiān)管規(guī)范文件,要求各機構做好數(shù)據(jù)安全分類分級和安全防護工作�����。
在此背景下,金杜律師事務所合規(guī)業(yè)務部管理合伙人寧宣鳳等撰文認為���,落入國家金融監(jiān)督管理總局監(jiān)管范疇的相關主體(如商業(yè)銀行等),涉及開展銀行間市場業(yè)務��、金融業(yè)綜合統(tǒng)計業(yè)務�����、支付清算業(yè)務���、征信業(yè)務、反洗錢業(yè)務等中國人民銀行業(yè)務領域業(yè)務并開展數(shù)據(jù)處理活動的�,或?qū)⒚媾R交叉監(jiān)管態(tài)勢。
一系列有關數(shù)據(jù)安全法律法規(guī)的發(fā)布�,緣于銀行等金融機構的數(shù)據(jù)安全管理面臨新形勢挑戰(zhàn)。畢馬威發(fā)布的《2025年中國銀行業(yè)展望報告》提到�,金融機構面臨日益嚴重的網(wǎng)絡威脅���,如勒索軟件���、網(wǎng)絡釣魚攻擊、數(shù)據(jù)泄露等�,金融數(shù)據(jù)安全成為國家安全的新戰(zhàn)場�����,金融機構需體系化����、綜合化強化自身的網(wǎng)絡安全與數(shù)據(jù)安全。
銀行APP頻因隱私違規(guī)被點名
個人信息保護是銀行數(shù)據(jù)安全領域重要的一部分��。前述《數(shù)據(jù)安全管理辦法》單獨設置了“個人信息保護”章節(jié)����,以進一步落實《數(shù)據(jù)安全法》《個人信息保護法》等上位法要求����,體現(xiàn)保護消費者信息和權益的政策導向。
而過度收集個人信息����,一直以來都是銀行APP被通報最多的違規(guī)情況。
今年4月中旬���,國家網(wǎng)絡與信息安全信息通報中心通報�,經(jīng)檢測����,有67款移動應用存在違法違規(guī)收集使用個人信息情況��,其中就包括了《蘭州銀行企業(yè)版》《甘肅銀行》《張家口銀行》�����,以及《武清村鎮(zhèn)銀行》《村鎮(zhèn)銀行(福建農(nóng)商)》《陽光村鎮(zhèn)銀行》《云端金融》等銀行APP��。此外����,上述通報中還有捷信消費金融有限公司旗下的APP《捷信金融》��,山西證券旗下的APP《匯通啟富》等其他金融消費類和證券類金融APP�����。
另外,國家計算機病毒應急處理中心還在2025年1月�����、2月份的通報中,提及了天水秦州村鎮(zhèn)銀行APP�����、樂山商業(yè)銀行APP存在隱私不合規(guī)行為等�����。
實際上�����,2024年已有至少30家銀行的APP被通報或因違反信用信息采集等問題被監(jiān)管部門罰款���。
一部分是江蘇、河北�����、內(nèi)蒙古、湖北����、廣東等地區(qū)的通信管理局對區(qū)域內(nèi)的銀行APP進行通報�,涉及銀行包括江陰銀行、昆山農(nóng)商行���、蘇農(nóng)商行�、長江商業(yè)銀行�、無錫銀行�、唐山銀行、湖北銀行����、湖北省農(nóng)村信用社聯(lián)合社�、東莞農(nóng)商行以及喀喇沁玉龍村鎮(zhèn)銀行等。
另外��,去年國家計算機病毒應急處理中心通報了《甘肅農(nóng)信》《中德銀行》《天津農(nóng)商銀行》等銀行APP�����。
除此之外,四川地區(qū)的自貢農(nóng)商行�、達州銀行����、成都雙流誠民村鎮(zhèn)銀行����、隆昌農(nóng)商行,以及吉林省的農(nóng)安農(nóng)商行��、北銀村鎮(zhèn)銀行等銀行��,因違反信用信息采集等相關管理規(guī)定而被央行罰款�。
總結而言�,上述銀行APP隱私侵權常見于存在超范圍或違規(guī)收集個人信息的情況��,以及強制�����、頻繁、過度索取權限等問題���。如上述通報中常見的描述:“APP在未經(jīng)用戶同意且無合理使用場景下,存在頻繁自啟動或關聯(lián)啟動的行為����。”
個人信息在金融機構數(shù)據(jù)中屬于敏感信息�,針對個人信息保護,《數(shù)據(jù)安全管理辦法》規(guī)定銀行保險機構處理個人信息應按照“明確告知�、授權同意”的原則實施��,并限于實現(xiàn)金融業(yè)務處理目的的最小范圍��,不得過度收集個人信息��。處理�、共享和對外提供個人信息時��,應當履行必要的告知義務�,并取得必要同意。委托第三方處理個人信息時���,應明確受托人對個人信息保護義務�����、保護措施和期限等�����。
監(jiān)管“指揮棒”加力
根據(jù)央行行政處罰信息�����,券商中國記者粗略梳理,2025年以來��,已有湖南平江農(nóng)商行�、國泰世華銀行(中國)�����、高平市太行村鎮(zhèn)銀行�、大方富民村鎮(zhèn)銀行�����、乾縣中銀富登村鎮(zhèn)銀行、中信銀行日照分行以及江蘇漣水農(nóng)商行等銀行��,因數(shù)據(jù)安全管控不足等多項違法行為而“吃罰單”��。
上述銀行涉及數(shù)據(jù)安全的違法行為包括:敏感數(shù)據(jù)安全管理不到位�����、數(shù)據(jù)處理活動風險監(jiān)測不到位���、數(shù)據(jù)安全保障措施不到位,或是未及時處置數(shù)據(jù)安全漏洞風險��、未制定網(wǎng)絡安全事件應急預案����,或是存在網(wǎng)絡安全技術措施不到位����,未采取必要的防計算機病毒技術措施等。
如央行畢節(jié)市分行于3月中旬發(fā)布的行政處罰信息顯示�,大方富民村鎮(zhèn)銀行因“向金融信用信息基礎數(shù)據(jù)庫提供個人不良信息�,未事先告知信息主體本人��;未制定內(nèi)部安全操作規(guī)程����;未采取有效措施防范計算機病毒��、網(wǎng)絡攻擊和網(wǎng)絡侵入�����;未明確數(shù)據(jù)安全負責人和管理機構�,未落實數(shù)據(jù)安全保護責任����;未及時處置數(shù)據(jù)安全漏洞風險���;未向有關主管部門報送風險評估報告且數(shù)據(jù)安全管理風險評估報告要素不全”等多項違法行為�����,被警告并被罰款近60萬元���。
與全國性銀行相比,以區(qū)域銀行為代表的中小銀行仍在數(shù)據(jù)安全體系建設�����、管理運營和人才儲備方面存在較大的差距�����。進而�����,在組織架構和戰(zhàn)略意識方面落后于大中型銀行��,比如數(shù)據(jù)治理和數(shù)據(jù)安全工作的牽頭部門并未明確�����,或級別較低�����。
“眾多小規(guī)模的商業(yè)銀行數(shù)據(jù)安全管理仍停留在原有信息安全的管理思路上��,數(shù)據(jù)安全職責分工不清晰�����,被動按照監(jiān)管要求����,硬性制定數(shù)據(jù)分級標準��,但缺乏落地性�����,基于生命周期的數(shù)據(jù)安全管控嚴重落地不充分����?�!碑咇R威發(fā)布的《2025年中國銀行業(yè)展望報告》顯示�����。
與此相比����,上述報告顯示���,大型國有商業(yè)銀行大多目前已經(jīng)具備較為體系化的數(shù)據(jù)安全管理模式���,行內(nèi)相關部門各司其職,在原有較好的數(shù)據(jù)治理以及風險管理的基礎上��,形成了業(yè)務參與���,三道防線各司其職的管理模式。部分城商行已經(jīng)著手從數(shù)據(jù)安全的體系化建設的角度開展數(shù)據(jù)安全工作�����。
券商中國記者注意到���,不少的銀行在調(diào)整組織架構,適應新的數(shù)據(jù)安全管理規(guī)范�。如浦發(fā)銀行于2024年調(diào)整公司組織架構,在總行設立一級部門數(shù)據(jù)管理部,牽頭企業(yè)級數(shù)據(jù)管理����,統(tǒng)籌數(shù)據(jù)安全,并將信息科技部改為科技發(fā)展部����。
此外,已有中小銀行開始采取行動����,提高相關戰(zhàn)略地位,并成立專屬部門����。如蘭州銀行于2024年11月中旬���,其董事會審議通過了《關于設立金融科技和數(shù)字化管理委員會的議案》�。2024年年報顯示����,蘭州銀行完善了組織架構����,成立了網(wǎng)絡和數(shù)據(jù)安全領導小組。
責編:楊喻程
排版:劉珺宇?????????
校對:姚遠???
聲明:證券時報力求信息真實����、準確,文章提及內(nèi)容僅供參考��,不構成實質(zhì)性投資建議�����,據(jù)此操作風險自擔
下載“證券時報”官方APP�,或關注官方微信公眾號����,即可隨時了解股市動態(tài),洞察政策信息���,把握財富機會���。
