21世紀經濟報道記者李覽青 上海報道 2022年的第一個月,監管對金融機構的資料合規問題“重拳出擊”。
在東亞銀行因違反信用資訊採集、提供、查詢及相關管理規定被罰1674萬元後,1月20日,中國農業銀行崇左分行再因“千餘名學生莫名被開戶”事件被罰1142.5萬元。
中國人民銀行崇左市中心支行開出的罰單顯示,農業銀行崇左分行涉及的違法行為型別包括:未落實個人銀行賬戶實名制管理規定;違規使用個人金融資訊;未嚴格落實銀行賬戶風險監測要求;未按規定完整儲存客戶身份資料。
隨著《網路安全法》、《資料安全法》、《個人資訊保護法》的相繼落地實施,我國網路安全與資料保護領域基本法律框架形成,2022年1月1日起,《徵信業務管理辦法》正式實施,金融機構的資料合規問題也成為銀行等金融機構接下來的治理重點。
金融資料合規監管趨嚴,去年行業資訊違規被罰4654萬元
近年來,有關部門對金融機構在個人資訊保護與網路資訊保安違規行為的監管處罰趨嚴。
21世紀經濟報道記者結合企業預警通資料不完全統計,2021年全年,在央行、銀保監會、外管局釋出的行政處罰名單中,涉及資訊處理等違規問題的罰單共計119張,罰款金額合計約4654萬元。
具體來說,在上述罰單中,金融機構發生的違規行為集中於個人資訊保護與資訊網路安全兩大類,主要涉及“未按規定收集使用個人資訊”、“未經同意查詢個人資訊或企業信貸資訊”、“提供部分個人不良資訊時未事先告知資訊主體”、“洩露客戶資訊”、“網路授權訪問控制不到位,存在資訊科技風險隱患”、“發生重要資訊系統突發事件未向監管報告”等。
在金融資訊合規領域,去年華夏銀行因違反信用資訊採集、提供、查詢及相關管理規定被罰486萬元,收到該領域最大一筆罰單。
此外,中信銀行因洩露脫口秀池子個人資訊事件被罰450萬元,銀保監會消保局指出,中信銀行存在以下四大問題:
一、客戶資訊保護體制機制不健全;櫃面非密查詢客戶賬戶明細缺乏規範、統一的業務操作流程與必要的內部控制措施,亂象整治自查不力
二、客戶資訊收集環節管理不規範;客戶資料訪問控制管理不符合業務“必須知道”和“最小授權”原則;查詢客戶賬戶明細事由不真實;未經客戶本人授權查詢並向第三方提供其個人銀行賬戶交易資訊
三、對客戶敏感資訊管理不善,致其流出至網際網路;違規儲存客戶敏感資訊
四、系統許可權管理存在漏洞,重要崗位及外包機構管理存在缺陷
而在2022年的第一個月,僅東亞銀行、農業銀行兩家銀行就已被罰2816.5萬元,佔去年全年罰單總額的60%。
個人資訊過度收整合違規重災區,需警惕外包服務資料風險
記者多方瞭解到,目前金融行業最普遍的資料違規現象,在於個人資訊的過度採集與使用不當。
上海現代服務業聯合會大資料中心副主任徐雲程告訴記者,不僅是金融行業,在過去的5-6年內,所有資料高度集中的行業都普遍存在個人資訊過度收集的問題。而金融行業的風控系統是其最核心的業務系統,對資料量和資料處理能力要求更高,因此對個人資訊過度收集的問題更加突出。但在近年來資料強監管下,金融機構已經從早期過度採集的“野蠻生長”階段走向合規的調整期和適應期。
基於《個人資訊保護法》相關要求,2022年1月1日,《徵信業務管理辦法》正式實施,對信用資訊採集、整理、儲存、加工、提供和使用等徵信業務的各個環節進行了明確規定。《辦法》要求,採集個人信用資訊,應當採取合法、正當的方式,遵循最小、必要的原則,不得過度採集。
“金融機構往往透過採集的個人資訊進行個性化金融產品推送,從而引發過度營銷,這也構成了個人資訊的不當使用問題。”一位不願具名的法律從業人士向記者表示。
金融機構對資訊的過度採集不僅在於個人資訊,同時還高度依賴外部第三方採購資料。這在一定程度上造成資料治理難度加大,引發各機構資料產品質量參差,更重要的是存在資料洩露的合規安全隱患。
“此前金融機構對資料採用重積累模式,不管是否需要,都儘量收集更多的資料。”上海大學法學院大資料與人工智慧法治研究中心執行主任陳吉棟在調研中發現,很多金融機構在收集個人資訊之外,還透過第三方從外部採購各類資料報告、資料服務等產品,也包括部分原始資料。但這些外部收集的資料產品質量參差不齊,存在瑕疵的原始資料會導致後續系統架構出現漏洞。
2022年1月21日,銀保監會發布《銀行保險機構資訊科技外包風險監管辦法》,要求銀行保險機構將資訊科技外包風險納入全面風險管理體系,有效控制由於外包而引發的風險。其中提到,銀行保險機構與其他第三方合作中涉及集中儲存或處理銀行保險機構重要資料和客戶個人敏感資訊的外包納入監管物件。
銀保監會有關部門負責人在答記者問時指出,部分銀行保險機構對資訊科技外包風險管控不力,因而導致的業務中斷、敏感資訊洩露等事件時有發生。此外,部分領域外包服務提供商高度集中,形成了行業集中度風險。
北京師範大學網際網路發展研究院院長助理、中國網際網路協會研究中心副主任吳沈括向記者表示:“IT外包服務中的資料洩露等安全隱患,在很大程度上是源自不夠充分的資料治理水平,在這個過程中需要確保資料來源的質量、資料處理的流程以及建立資料流轉利用的生態規則,特別是要注意資料來源的真實與可信。”
據《銀行保險機構資訊科技外包風險監管辦法》,銀保監會作為監管機構,將實施外包監督管理,包括事前報告要求、重大事件報告、監管評估和監督檢查、風險監測、監管幹預、實地核查、監管問責等內容。
數字化人才成資料治理“最後一公里”
面對種種資料合規問題,多位行業專家、從業人士向記者表示,資料治理人才緊缺在金融行業,乃至於所有行業都是最大的問題。
“由於資料治理和資料合規相關的人才短缺,金融機構有效資料生態、機制落實上面臨著較大挑戰。”吳沈括表示。
陳吉棟告訴記者,目前機構缺乏支撐資料流通利用的人才機制,這是最核心的、影響資料治理落地效果的問題:“資料合規方面的人才不僅需要懂法律,還需要懂技術能實施,但這個人如果只是放在合規部門,很難資料系統的建設,如果只是放在IT部門,又無法影響數字化轉型的頂層設計落地實施,就現在來看,很多金融機構並沒有為資料人才設定相應崗位。”
在參與各類企業調研時,徐雲程總結出企業數字化人才的缺位的三點原因:首先是網際網路行業以高薪吸收了大量數字化人才,導致其他行業的數字化人才引入成本較高;其次,部分機構數字化意識浮於表面,並沒有真實地給予人才和團隊授權和成長空間;最後,企業需要為培養數字化人才提供空間和契機,如果沒有好的土壤,優秀的人才也會“退化”。
徐雲程表示,“從野蠻生長到規範發展的轉型階段,誰能夠第一個找到數字化落地的實踐,與一些生態合作伙伴形成正向鏈條,誰就可以在更高維度上佔據新的數字化產業賽道,突出重圍。”
更多內容請下載21財經APP
