數據要素是金融機構的核心資產，隨着金融業邁入數字化時代，數據安全、數據管理也成爲包括銀行在內的各金融機構的重要議題。

7月24日，爲落實《中華人民共和國數據安全法》（下稱《數據安全法》）有關要求，加強中國人民銀行業務領域數據安全管理，中國人民銀行起草了《中國人民銀行業務領域數據安全管理辦法（徵求意見稿）》（下稱《辦法》），並面向社會公开徵求意見。

其中，《辦法》明確，對於非法獲取數據行爲的處理，中國人民銀行及其分支機構執法檢查發現數據處理者存在竊取或者以其他非法方式獲取數據的行爲時，將相關案件信息移送同級公安機關、國家安全機關，並配合其依法依規予以處理。

01

今年以來多家銀行

因涉“個人金融信息”事件被罰

衆所周知，金融是產生和積累數據量最大、數據類型最豐富的領域之一，而隨着數據的作用不斷凸顯，數據安全與個人信息保護在新時代也面臨新的風險與挑战。

根據《中國銀行保險報》與亞信網絡安全產業技術研究院發布的《金融行業網絡安全白皮書（2020）》顯示，金融隱私泄露事件大約以每年35％的數據在增長。

柒財經梳理發現，僅今年以來，就發生多起涉及銀行等金融機構的個人金融信息保護事件。

7月18日，國家金融監管總局浙江監管局發布的一則行政處罰信息公开表顯示，中國銀行嘉興市分行因存在多項違法違規事實，被罰210萬元，其中就有違規泄露客戶信息一項。

同樣是中國銀行，6月，該行福建分行因存在“違反個人金融信息保護規定”等違法行爲，被警告，並被罰款179萬元。

4月14日，中國人民銀行重慶營業管理部公布的罰單顯示，重慶富民銀行因“違反消費者金融信息保護管理規定”等違法行爲，被警告並罰款1萬元。

2月，中國人民銀行福州中心支行公示的處罰信息顯示，廈門銀行存在23項違法行爲，其中就包括“違反個人金融信息保護規定”。廈門銀行被警告，並被沒收違法所得767.17元、罰款764.6萬元。

1月4日，中國人民銀行威海市中心支行公开的處罰信息顯示，藍海銀行因“未按規定履行消費者金融信息保護義務”“未按規定保存客戶身份資料和交易記錄”等4項違法行爲，被警告，並被罰款76.66萬元。

今年以來，原銀保監會开出的多張罰單也指向客戶信息合規問題，涉及國有銀行、股份制銀行、城商銀行等。

如原銀保監會4月3日公布的處罰信息顯示，中國工商銀行上海市楊浦支行存在“信息安全和員工行爲管理不到位”等主要違法違規事實，被責令改正並被罰款50萬元。

1月20日，民生銀行寧波分行由於“案防管理不到位、客戶信息安全管理不到位”被原銀保監會處罰，合計罰款190萬元。

3月10日，金華銀行因“客戶信息保護不審慎”被原銀保監會罰款30萬元。

值得注意的是，2022年1月10日，根據中國人民銀行上海總部公布的信息，東亞銀行（中國）有限公司因違反信用信息採集、提供、查詢及相關管理規定，被處以1674萬元罰款，責令限期改正。在此之前，單個機構因信息管理方面的原因被處以千萬以上罰單極爲少見。

此外，金融監管總局前不久向銀行業保險業下發《關於加強第三方合作中網絡和數據安全管理的通知》。《通知》中披露了近兩年在金融機構外包服務商身上出現的數據泄露事件，也值得行業警惕。

02

個人信息泄露

成不少助貸機構痼疾

不光是銀行，柒財經發現，個人信息泄露問題已然成爲不少助貸機構、消金公司和互聯網平台的痼疾，引發用戶投訴不斷。

在黑貓投訴上，搜索“貸款+信息泄露”兩個關鍵詞，彈出來近5500條相關信息。

一消費者稱，其使用小米貸款產品天星金融旗下隨星借，因經濟原因資金周轉困難導致逾期，天星金融不斷暴力催收，並委托第三方催收，並且泄漏其家人電話給第三方，對其家人發信息騷擾，恐嚇上門等。

另一名消費者稱，捷信催收人員暴力催收，“开始是一直騷擾我母親，我母親因爲這些騷擾都被折騰住院了。今天還來了一個自稱是捷信公司委托的昊順公司對我進行騷擾，而且不知道通過什么手段騷擾我們村的人。這種手段已經對我甚至其他人都造成了很嚴重的影響”。

一名投訴普惠快信的用戶表示，其從未在該平台貸款，但卻收到該平台發送的惡意不實短信，還牽連到其現任職單位，嚴重侵犯和泄露個人隱私信息。

不少借貸類平台還曾因APP違法違規收集個人信息被通報。2021年5月，國家互聯網信息辦公室發布通告稱，包括360借條、平安好貸以及招聯好期貸在內的84款APP違法違規收集使用個人信息，要求15個工作日內完成整改。

值得一提的是，7月7日，人民銀行公布銀罰決字〔2023〕34-38號罰單，騰訊旗下財付通支付科技有限公司因違反消費者金融信息保護管理規定等11項規定被罰沒29.93億元，4名責任人合計被罰242.10萬元。

此前柒財經關注的哈囉APP上的助貸服務平台“臻有錢”，也因存在“一鍵授權”行爲，被指屬於個人信息過度收集。柒財經發現，點擊“臻有錢”的“領取額度”時，將一鍵同意《臻有錢服務協議》《臻有錢個人信息保護及隱私政策》《個人信息共享說明》《個人徵信信息查詢及使用授權書》。根據《個人信息共享說明》，用戶的姓名、身份證相關信息、手機號碼等多項的個人隱私信息，也將共享給前述數十家小貸和助貸公司。（查看原文：低調的哈囉助貸：合作機構數十家 被疑過度收集個人信息）

根據《個人信息保護法》第六條的規定：“處理個人信息應當具有明確、合理的目的，並應當與處理目的直接相關，採取對個人權益影響最小的方式。收集個人信息，應當限於實現處理目的的最小範圍，不得過度收集個人信息。”

而法律人士認爲，“臻有錢”這種一鍵授權多家機構的做法，屬於個人信息過度收集。根據《個人信息保護法》第二十條規定，有多個主體作爲個人信息處理者收集、處理個人信息，應當約定各自的權利和義務。

今年4月，企業安全服務商威脅獵人發布的《2023年Q1數據資產泄露分析報告》顯示，2023年Q1，借貸行業的數據泄露事件數佔據金融行業總數據泄露事件數的51%。而去年同期這一數據僅爲38%。

此外，威脅獵人情報平台共監測到相關事件91起，遠多於其他金融細分行業。

03

《辦法》明確壓實數據處理活動

全流程安全合規底线

在數據泄漏事件頻發的當下，如何建立健全完備的數據安全防護體系，防範和化解敏感數據信息泄密風險是當前金融行業信息安全關注的重點和難點。

此次中國人民銀行推出《中國人民銀行業務領域數據安全管理辦法（徵求意見稿）》，可謂既是落實《數據安全法》有關要求，也是對《數據安全法》在金融業務領域的直接踐行。

《辦法》明確，數據安全工作遵循“誰管業務，誰管業務數據，誰管數據安全”基本原則。

《辦法》提出了規範數據分類分級要求。數據處理者應當建立數據分類分級制度規程，梳理數據資源目錄標識分類信息，在國家數據安全工作協調機制統籌協調下，根據中國人民銀行制定的重要數據識別標准，統一對數據實施分級，嚴格落實網絡安全等級保護和風險評估等義務，並在此基礎上推動各數據處理者進一步做好數據敏感性、可用性層級劃分，以便在全流程數據安全管理中更好採取精細化、差異化的安全保護管理和技術措施。

《辦法》提出了數據安全保護總體要求。強調數據處理者應當壓實數據安全責任，建立數據安全問責處罰制度和數據處理活動全流程安全管理制度，制定數據安全培訓計劃。

《辦法》明確了壓實數據處理活動全流程安全合規底线。針對收集、存儲、使用、加工、傳輸、提供、公开和刪除各環節，向數據處理者明確採取哪些安全保護管理和技術措施後，可視爲總體滿足盡職盡責的合規底线要求。

《辦法》還細化了風險監測、評估審計、事件處置等合規要求。強調數據處理者應當建立數據處理活動安全風險監測和告警機制，加強數據安全風險情報監測、核查、處置與行業共享，制定數據安全事件定級判定標准和應急預案，規範應急演練、事件處置、風險評估和審計等工作。

此外，在違規處罰上，《辦法》明確了中國人民銀行及其分支機構可對數據處理者數據安全保護義務落實情況开展執法檢查，以及數據處理者違反規定時對應的法律責任。其中提到，中國人民銀行及其分支機構執法檢查發現數據處理者存在竊取或者以其他非法方式獲取數據的行爲時，將相關案件信息移送同級公安機關、國家安全機關，並配合其依法依規予以處理。

據了解，此前，針對數據安全，互聯網、金融業的相關監管部門已出台了大量的政策和標准規範，包括《個人信息保護法》《網絡安全法》《個人金融信息保護技術規範》《金融消費者權益保護實施辦法》《銀行業金融機構數據治理指引》《金融數據安全數據安全分級指南》《商業銀行互聯網貸款管理暫行辦法》《徵信業務管理辦法》等。

       原文標題 : 央行出手！侵犯個人信息迎重拳 多家銀行曾被罰

---

標題：央行出手！侵犯個人信息迎重拳 多家銀行曾被罰

地址：https://www.utechfun.com/post/242482.html