未尽个人信息保护义务,招行、交行两家信用卡中心被罚百万!
8月5日,银保监会官网信息显示,招商银行信用卡中心、交通银行太平洋信用卡中心各被罚100万元,被罚原因均涉及客户个人信息未尽安全保护义务。
招商银行信用卡中心罚单信息显示,2019年7月,该中心对某客户个人信息未尽安全保护义务;2014年12月至2019年5月,该中心对某信用卡申请人资信水平调查严重不审慎,被责令改正,并处罚款100万元。
交通银行太平洋信用卡中心罚单信息显示,2019年6月,该中心对某客户个人信息未尽安全保护义务;2019年5月、7月,该中心对部分信用卡催收外包管理严重不审慎,被责令改正,罚款100万元。
银行相关问题处罚并不少
在这两家银行之前。7月8日,河北银保监局发布对于沧州银行的行政处罚信息,该行因“信息科技风险管理不到位,严重违反审慎经营规则”的违法违规事实,河北银保监局依据《中华人民共和国银行业监督管理法》第四十六条,责令改正,并对其罚款20万元。
6月19日,江苏银保监局公布了对于江苏江南农村商业银行股份有限公司的行政处罚。处罚信息显示,江苏江南农商行因网络安全工作严重不足,江苏银保监局根据《中华人民共和国银行业监督管理法》第四十六条第(五)项,罚款人民币30万元。
四张罚单虽然在主要违法违规事实(案由)一栏并不相同,但是基本都指向了个人信息保护与网络安全,处罚依据也都是“《中华人民共和国银行业监督管理法》第四十六条第(五)项”。
除了银行本身之外,今年还有银行从业者因为侵犯公民个人信息罪被判处有期徒刑。
今年3月,建设银行余姚城建支行行长沈某某因犯侵犯公民个人信息罪,被判处有期徒刑3年,缓刑3年,并处罚金人民币6000元。
4月,北京银行上海分行张江支行临时工利用银行系统,违规查询公民个人征信信息,判决处有期徒刑1年2个月,缓刑1年2个月,并处罚金人民币4000元。
个人信息保护的严监管时代
据不完全统计,在2020年上半年,金融领域陆陆续续有13项政策、规范、通知面世,而且多多少少都与金融数据保护相关,或者说与个人金融信息保护相关。
让我们把目光延伸。
去年1月,中央网信办、工信部等四部门联合开展了App违法违规收集使用个人信息专项治理行动,着重打击App违法违规使用隐私权限、采集用户数据等情况。
12月份,国家网信办、工信部、公安部、国家市场监管总局联合发布《App违法违规收集使用个人信息行为认定方法》,明确了6个问题,31种违法违规行为。
今年5月,全国人大常委会法工委在新闻发布会上表示,《个人信息保护法》草案稿已经成型,进入全国人大常委会初次审议名单。
5月28日,《中华人民共和国民法典》在第十三届全国人民代表大会第三次会议上正式通过,明年1月1日起施行,其中专门有隐私权和个人信息保护相关章节。
7月,《中华人民共和国数据安全法(草案)》经第十三届全国人大常委会第二十次会议审议后在中国人大网向公众公开征求意见。
7月22日,最高人民法院联合国家发展和改革委员会,共同发布《关于为新时代加快完善社会主义市场经济体制提供司法服务和保障的意见》,要求加强金融消费者权益、数据权力与个人信息保护。
近日,工信部召开会议,部署开展纵深推进App侵害用户权益专项整治行动。要求各企业不得存有侥幸心理和“过关”思维,切勿试探监管底线、触碰监管红线、低估监管意志。
这一系列事件都在说明,我国个人信息保护进入了严监管时代。而银行作为主要金融机构,在个人信息保护问题上必然是最严的。
在数字经济时代当下,信息安全风险事件往往和资金安全风险事件、金融安全风险事件直接挂钩,比如银行卡盗刷、电信网络欺诈等案件与个人信息保护存在问题直接相关。
因此,对个人信息保护实行严监管,或将从根源上减少相关案件。
信息保护与网络安全:银行数字化转型之难
去年,是银行业数字化运营的兴起之年。不论是国有大行还是股份制、城商行,都在从各个方面探索数字化转型的方向和路线。
加强在金融科技、信息技术、互联网技术上的投入是所有银行共同的做法。近两年,银行业务的线上化、数字化步伐在不断加快,基本形成了包括网上银行、手机银行、直销银行、微信银行以及小程序等在内的线上全渠道服务能力。
这样的好处显而易见,增加了客户接触渠道,加快了业务效率,减少了线下成本,可以更好的推广业务等等。但是相应的网络安全风险也增加了,个人信息泄漏的可能性也增加了。
当前,银行已成为国内外敌对势力、黑客组织、不法分子实施网络攻击、电信诈骗和渗透窃密的重点目标,除了传统的SQL注入、DDOS攻击、病毒木马等常见攻击外,针对银行的APT攻击、精准式网络攻击等攻击手段也愈演愈烈。
而银行业务在转为线上时,系统可能未经过充分的安全评估和测试便“带病”上线,难免在上线后出现各类安全漏洞,严重影响信息系统稳定运行。
这些问题无一不成为了银行的信息保护与网络安全带来了转型上的痛点。在个人信息保护的严监管时代,银行在抓住金融科技助力银行科技转型升级的同时,如何寻求其在银行网络安全风险管控、个人信息保护方面的有效着陆点,成为了当务之急。
在金融信息保护监管体系逐渐完善的趋势下,各金融机构首先应该转变心态,去顺应时代的变化,主动拥抱监管,尽快完成检测、认证、备案等工作,如果现在不主动,未来形势可能会更被动。
其次是转变思维,不能以完成检测、认证、备案为目标,这些只是信息保护工作的开始。加强内控合规管理,健全客户个人信息管理制度,严格约束员工行为,加强银行的内部权限管理、学习、教育工作非常重要。
罚单是最好的老师,这次真的不是开玩笑的。