在數(shù)字化變革時(shí)代,擁有龐雜�、高價(jià)值數(shù)據(jù)資源的金融機(jī)構(gòu),面臨數(shù)據(jù)安全挑戰(zhàn)�����。
券商中國(guó)記者粗略統(tǒng)計(jì)�,一年半以來(lái),已有數(shù)十家銀行收到有關(guān)數(shù)據(jù)安全管理不規(guī)范、侵犯客戶(hù)個(gè)人隱私方面的通報(bào)和罰單�,且多以區(qū)域銀行為主。
明顯的趨勢(shì)是���,監(jiān)管“指揮棒”在逐年加力��。近兩年�����,從大眾最為關(guān)注的銀行APP過(guò)度搜集個(gè)人隱私信息��,到銀行數(shù)據(jù)運(yùn)營(yíng)管理不規(guī)范����,銀行在前述方面領(lǐng)罰單的數(shù)量逐漸增多����,呈現(xiàn)嚴(yán)監(jiān)管趨勢(shì)。此外�����,有關(guān)數(shù)據(jù)安全的法律法規(guī)���,以及監(jiān)管規(guī)范文件逐步出臺(tái)��,形成了對(duì)金融機(jī)構(gòu)數(shù)據(jù)安全規(guī)范管理的層層“緊箍咒”�����。
一方面�����,金融機(jī)構(gòu)加強(qiáng)數(shù)據(jù)安全管理體系建設(shè)���,適應(yīng)被動(dòng)合規(guī);另一方面�,隨著,AI大模型在金融領(lǐng)域的應(yīng)用�����,數(shù)據(jù)規(guī)模和使用場(chǎng)景的增多���,數(shù)據(jù)安全保障體系更需進(jìn)一步升級(jí)��。
法律法規(guī)持續(xù)健全
近期����,央行發(fā)布了《中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法》(以下簡(jiǎn)稱(chēng)《辦法》),自2025年6月30日起施行�����。
此次《辦法》全面銜接了《中華人民共和國(guó)數(shù)據(jù)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等���,細(xì)化明確了中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全合規(guī)底線要求���,督促指導(dǎo)金融機(jī)構(gòu)等合規(guī)開(kāi)展數(shù)據(jù)處理活動(dòng)、履行數(shù)據(jù)安全保護(hù)義務(wù)�,保障個(gè)人、組織合法權(quán)益����。
可以觀察到,近兩三年���,數(shù)據(jù)安全領(lǐng)域法律法規(guī)在持續(xù)健全�����。就在上述《辦法》發(fā)布前幾個(gè)月�,國(guó)家金融監(jiān)督管理總局于2024年12月27日發(fā)布了《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》(以下簡(jiǎn)稱(chēng)《數(shù)據(jù)安全管理辦法》),從數(shù)據(jù)安全治理��、數(shù)據(jù)分類(lèi)分級(jí)�、數(shù)據(jù)安全管理�����、數(shù)據(jù)安全技術(shù)保護(hù)���、個(gè)人信息保護(hù)�����、數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)與處置等方面提出了多項(xiàng)要求����。
《數(shù)據(jù)安全管理辦法》明確數(shù)據(jù)安全歸口管理部門(mén)�,將數(shù)據(jù)安全風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理體系,要求銀行保險(xiǎn)機(jī)構(gòu)開(kāi)展相關(guān)數(shù)據(jù)處理活動(dòng)時(shí)�����,應(yīng)事先開(kāi)展安全評(píng)估��,建立數(shù)據(jù)安全保護(hù)基線等。
拉長(zhǎng)時(shí)間線��,2021年以來(lái)《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī)陸續(xù)發(fā)布�。此外,2020年以來(lái)�,央行也陸續(xù)發(fā)布了《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》等監(jiān)管規(guī)范文件,要求各機(jī)構(gòu)做好數(shù)據(jù)安全分類(lèi)分級(jí)和安全防護(hù)工作��。
在此背景下�����,金杜律師事務(wù)所合規(guī)業(yè)務(wù)部管理合伙人寧宣鳳等撰文認(rèn)為�,落入國(guó)家金融監(jiān)督管理總局監(jiān)管范疇的相關(guān)主體(如商業(yè)銀行等),涉及開(kāi)展銀行間市場(chǎng)業(yè)務(wù)���、金融業(yè)綜合統(tǒng)計(jì)業(yè)務(wù)��、支付清算業(yè)務(wù)�����、征信業(yè)務(wù)����、反洗錢(qián)業(yè)務(wù)等中國(guó)人民銀行業(yè)務(wù)領(lǐng)域業(yè)務(wù)并開(kāi)展數(shù)據(jù)處理活動(dòng)的,或?qū)⒚媾R交叉監(jiān)管態(tài)勢(shì)�����。
一系列有關(guān)數(shù)據(jù)安全法律法規(guī)的發(fā)布���,緣于銀行等金融機(jī)構(gòu)的數(shù)據(jù)安全管理面臨新形勢(shì)挑戰(zhàn)。畢馬威發(fā)布的《2025年中國(guó)銀行業(yè)展望報(bào)告》提到��,金融機(jī)構(gòu)面臨日益嚴(yán)重的網(wǎng)絡(luò)威脅�����,如勒索軟件�����、網(wǎng)絡(luò)釣魚(yú)攻擊���、數(shù)據(jù)泄露等�����,金融數(shù)據(jù)安全成為國(guó)家安全的新戰(zhàn)場(chǎng)��,金融機(jī)構(gòu)需體系化��、綜合化強(qiáng)化自身的網(wǎng)絡(luò)安全與數(shù)據(jù)安全�����。
銀行APP頻因隱私違規(guī)被點(diǎn)名
個(gè)人信息保護(hù)是銀行數(shù)據(jù)安全領(lǐng)域重要的一部分��。前述《數(shù)據(jù)安全管理辦法》單獨(dú)設(shè)置了“個(gè)人信息保護(hù)”章節(jié)���,以進(jìn)一步落實(shí)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等上位法要求����,體現(xiàn)保護(hù)消費(fèi)者信息和權(quán)益的政策導(dǎo)向���。
而過(guò)度收集個(gè)人信息�,一直以來(lái)都是銀行APP被通報(bào)最多的違規(guī)情況��。
今年4月中旬��,國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心通報(bào)�,經(jīng)檢測(cè),有67款移動(dòng)應(yīng)用存在違法違規(guī)收集使用個(gè)人信息情況,其中就包括了《蘭州銀行企業(yè)版》《甘肅銀行》《張家口銀行》���,以及《武清村鎮(zhèn)銀行》《村鎮(zhèn)銀行(福建農(nóng)商)》《陽(yáng)光村鎮(zhèn)銀行》《云端金融》等銀行APP���。此外,上述通報(bào)中還有捷信消費(fèi)金融有限公司旗下的APP《捷信金融》��,山西證券旗下的APP《匯通啟富》等其他金融消費(fèi)類(lèi)和證券類(lèi)金融APP�。
另外,國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心還在2025年1月�、2月份的通報(bào)中,提及了天水秦州村鎮(zhèn)銀行APP����、樂(lè)山商業(yè)銀行APP存在隱私不合規(guī)行為等�。
實(shí)際上,2024年已有至少30家銀行的APP被通報(bào)或因違反信用信息采集等問(wèn)題被監(jiān)管部門(mén)罰款���。
一部分是江蘇�、河北�����、內(nèi)蒙古、湖北�����、廣東等地區(qū)的通信管理局對(duì)區(qū)域內(nèi)的銀行APP進(jìn)行通報(bào)��,涉及銀行包括江陰銀行����、昆山農(nóng)商行、蘇農(nóng)商行�����、長(zhǎng)江商業(yè)銀行����、無(wú)錫銀行�����、唐山銀行��、湖北銀行��、湖北省農(nóng)村信用社聯(lián)合社、東莞農(nóng)商行以及喀喇沁玉龍村鎮(zhèn)銀行等���。
另外�����,去年國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通報(bào)了《甘肅農(nóng)信》《中德銀行》《天津農(nóng)商銀行》等銀行APP����。
除此之外��,四川地區(qū)的自貢農(nóng)商行����、達(dá)州銀行、成都雙流誠(chéng)民村鎮(zhèn)銀行��、隆昌農(nóng)商行��,以及吉林省的農(nóng)安農(nóng)商行���、北銀村鎮(zhèn)銀行等銀行,因違反信用信息采集等相關(guān)管理規(guī)定而被央行罰款�。
總結(jié)而言,上述銀行APP隱私侵權(quán)常見(jiàn)于存在超范圍或違規(guī)收集個(gè)人信息的情況,以及強(qiáng)制����、頻繁、過(guò)度索取權(quán)限等問(wèn)題����。如上述通報(bào)中常見(jiàn)的描述:“APP在未經(jīng)用戶(hù)同意且無(wú)合理使用場(chǎng)景下,存在頻繁自啟動(dòng)或關(guān)聯(lián)啟動(dòng)的行為���?��!?/p>
個(gè)人信息在金融機(jī)構(gòu)數(shù)據(jù)中屬于敏感信息,針對(duì)個(gè)人信息保護(hù)�,《數(shù)據(jù)安全管理辦法》規(guī)定銀行保險(xiǎn)機(jī)構(gòu)處理個(gè)人信息應(yīng)按照“明確告知、授權(quán)同意”的原則實(shí)施�,并限于實(shí)現(xiàn)金融業(yè)務(wù)處理目的的最小范圍,不得過(guò)度收集個(gè)人信息���。處理��、共享和對(duì)外提供個(gè)人信息時(shí)�����,應(yīng)當(dāng)履行必要的告知義務(wù)����,并取得必要同意。委托第三方處理個(gè)人信息時(shí)���,應(yīng)明確受托人對(duì)個(gè)人信息保護(hù)義務(wù)��、保護(hù)措施和期限等��。
監(jiān)管“指揮棒”加力
根據(jù)央行行政處罰信息����,券商中國(guó)記者粗略梳理�����,2025年以來(lái)�����,已有湖南平江農(nóng)商行����、國(guó)泰世華銀行(中國(guó))、高平市太行村鎮(zhèn)銀行�����、大方富民村鎮(zhèn)銀行��、乾縣中銀富登村鎮(zhèn)銀行����、中信銀行日照分行以及江蘇漣水農(nóng)商行等銀行,因數(shù)據(jù)安全管控不足等多項(xiàng)違法行為而“吃罰單”�。
上述銀行涉及數(shù)據(jù)安全的違法行為包括:敏感數(shù)據(jù)安全管理不到位、數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)監(jiān)測(cè)不到位�����、數(shù)據(jù)安全保障措施不到位���,或是未及時(shí)處置數(shù)據(jù)安全漏洞風(fēng)險(xiǎn)�����、未制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案��,或是存在網(wǎng)絡(luò)安全技術(shù)措施不到位����,未采取必要的防計(jì)算機(jī)病毒技術(shù)措施等。
如央行畢節(jié)市分行于3月中旬發(fā)布的行政處罰信息顯示����,大方富民村鎮(zhèn)銀行因“向金融信用信息基礎(chǔ)數(shù)據(jù)庫(kù)提供個(gè)人不良信息,未事先告知信息主體本人�;未制定內(nèi)部安全操作規(guī)程;未采取有效措施防范計(jì)算機(jī)病毒�����、網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)侵入���;未明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)���,未落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任;未及時(shí)處置數(shù)據(jù)安全漏洞風(fēng)險(xiǎn)����;未向有關(guān)主管部門(mén)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告且數(shù)據(jù)安全管理風(fēng)險(xiǎn)評(píng)估報(bào)告要素不全”等多項(xiàng)違法行為,被警告并被罰款近60萬(wàn)元���。
與全國(guó)性銀行相比�����,以區(qū)域銀行為代表的中小銀行仍在數(shù)據(jù)安全體系建設(shè)�����、管理運(yùn)營(yíng)和人才儲(chǔ)備方面存在較大的差距��。進(jìn)而��,在組織架構(gòu)和戰(zhàn)略意識(shí)方面落后于大中型銀行���,比如數(shù)據(jù)治理和數(shù)據(jù)安全工作的牽頭部門(mén)并未明確,或級(jí)別較低��。
“眾多小規(guī)模的商業(yè)銀行數(shù)據(jù)安全管理仍停留在原有信息安全的管理思路上����,數(shù)據(jù)安全職責(zé)分工不清晰,被動(dòng)按照監(jiān)管要求���,硬性制定數(shù)據(jù)分級(jí)標(biāo)準(zhǔn)�,但缺乏落地性����,基于生命周期的數(shù)據(jù)安全管控嚴(yán)重落地不充分���。”畢馬威發(fā)布的《2025年中國(guó)銀行業(yè)展望報(bào)告》顯示���。
與此相比�����,上述報(bào)告顯示�,大型國(guó)有商業(yè)銀行大多目前已經(jīng)具備較為體系化的數(shù)據(jù)安全管理模式����,行內(nèi)相關(guān)部門(mén)各司其職,在原有較好的數(shù)據(jù)治理以及風(fēng)險(xiǎn)管理的基礎(chǔ)上����,形成了業(yè)務(wù)參與,三道防線各司其職的管理模式���。部分城商行已經(jīng)著手從數(shù)據(jù)安全的體系化建設(shè)的角度開(kāi)展數(shù)據(jù)安全工作�����。
券商中國(guó)記者注意到�,不少的銀行在調(diào)整組織架構(gòu),適應(yīng)新的數(shù)據(jù)安全管理規(guī)范�����。如浦發(fā)銀行于2024年調(diào)整公司組織架構(gòu)�,在總行設(shè)立一級(jí)部門(mén)數(shù)據(jù)管理部��,牽頭企業(yè)級(jí)數(shù)據(jù)管理�,統(tǒng)籌數(shù)據(jù)安全,并將信息科技部改為科技發(fā)展部�。
此外,已有中小銀行開(kāi)始采取行動(dòng)��,提高相關(guān)戰(zhàn)略地位���,并成立專(zhuān)屬部門(mén)���。如蘭州銀行于2024年11月中旬,其董事會(huì)審議通過(guò)了《關(guān)于設(shè)立金融科技和數(shù)字化管理委員會(huì)的議案》��。2024年年報(bào)顯示,蘭州銀行完善了組織架構(gòu)�,成立了網(wǎng)絡(luò)和數(shù)據(jù)安全領(lǐng)導(dǎo)小組。
責(zé)編:楊喻程
排版:劉珺宇?????????
校對(duì):姚遠(yuǎn)???
聲明:證券時(shí)報(bào)力求信息真實(shí)�、準(zhǔn)確,文章提及內(nèi)容僅供參考��,不構(gòu)成實(shí)質(zhì)性投資建議����,據(jù)此操作風(fēng)險(xiǎn)自擔(dān)
下載“證券時(shí)報(bào)”官方APP,或關(guān)注官方微信公眾號(hào)�����,即可隨時(shí)了解股市動(dòng)態(tài)����,洞察政策信息,把握財(cái)富機(jī)會(huì)�����。
