1月29日，银保监会开出2021年第一张罚单，中国农业银行因涉及发生重要信息系统突发事件未报告、农行因发生重要信息系统突发事件未报告、数据安全管理粗放存在数据泄露风险、互联网门户网站泄露敏感信息等六项问题，被罚420万人民币。

具体来看，农业银行涉及的违法违规行为包括：

（一）发生重要信息系统突发事件未报告；

（二）制卡数据违规明文留存；

（三）生产网络、分行无线互联网络保护不当；

（四）数据安全管理较粗放，存在数据泄露风险；

（五）网络信息系统存在较多漏洞；

（六）互联网门户网站泄露敏感信息。

可以看出，农行“六宗罪”主要涉及到两个问题：数据安全与网络安全。

《网络安全法》第三十一条规定，国家对金融等重要行业和领域，在网络安全等级保护制度的基础上，实行重点保护。根据《关键信息基础设施确定指南（试行）》要求，银行运营为金融行业中的关键业务。

因此，银行一般应被认定为关键信息基础设施运营者，在履行网络运营者的一般安全保护义务的基础上，还需履行关键信息基础设施运营者的特殊义务。

从这个角度出发，银行需承担网络安全义务非常重，而相关的规范规定更是数不胜数，在今年就发布有《个人金融信息保护技术规范》、《网上银行系统信息安全通用规范》、《商业银行应用程序接口安全管理规范》等等多个规范。

除了网络安全，数据安全是银行安全合规的另一个重点，特别是个人金融信息保护。对于金融行业来说，数据对业务的开展情况影响深远，优质的数据内容将极大的提升金融机构的服务能力。数据保护对金融行业来说也具有较强的特殊性，一方面，金融机构基于业务需求，需要收集、利用客户的个人金融信息；另一方面，从金融创新发展的大局出发，金融机构需要把数据作为核心资产管好、用好，促进数据资产的流动和增值。

此外，在数字化转型形势下，当前中国经济发展呈现全要素数字化特征，新经济催生数字化融资模式，新需求驱动多元化金融服务，新技术促进智能化金融创新，这都需要数据的支撑。

据《中国个人金融信息保护执法白皮书（2020）》不完全统计，截至2020年10月25日，中国人民银行总行及各地分支行开出的行政处罚罚单里，涉及“个人金融信息”的共181张。

这181张罚单罚款金额合计超过人民币1.8亿元（以下涉及的罚款金额均为人民币）；处罚对象包括银行（含农信社，下同）、证券公司、支付机构、消费金融公司等，以及对相关违规行为负有责任的具体人员；处罚的违法行为类型包括未经审批查询个人金融信息、未按规定保存客户身份资料和交易记录、侵害消费者个人信息依法得到保护的权利等。

其中针对企业的罚款为18331.7394万元，针对个人的罚款为427.375万元。从罚款金额来看，企业占比98%，个人占比2%，受到处罚的行政相对人以企业为主。

在2020年6月19日，江苏银保监局公布了对于江苏江南农村商业银行股份有限公司（以下简称“江苏江南农商行”）的行政处罚。

处罚信息显示，江苏江南农商行因网络安全工作严重不足，江苏银保监局根据《中华人民共和国银行业监督管理法》第四十六条第（五）项，罚款人民币30万元。

这张罚单也是银行业第一张网络安全罚单。