央行出手!侵犯个人信息迎重拳 多家银行曾被罚

柒财经


    数据要素是金融机构的核心资产,随着金融业迈入数字化时代,数据安全、数据管理也成为包括银行在内的各金融机构的重要议题。
    7月24日,为落实《中华人民共和国数据安全法》(下称《数据安全法》)有关要求,加强中国人民银行业务领域数据安全管理,中国人民银行起草了《中国人民银行业务领域数据安全管理办法(征求意见稿)》(下称《办法》),并面向社会公开征求意见。
    
    其中,《办法》明确,对于非法获取数据行为的处理,中国人民银行及其分支机构执法检查发现数据处理者存在窃取或者以其他非法方式获取数据的行为时,将相关案件信息移送同级公安机关、国家安全机关,并配合其依法依规予以处理。
    01
    今年以来多家银行
    因涉“个人金融信息”事件被罚
    众所周知,金融是产生和积累数据量最大、数据类型最丰富的领域之一,而随着数据的作用不断凸显,数据安全与个人信息保护在新时代也面临新的风险与挑战。
    根据《中国银行保险报》与亚信网络安全产业技术研究院发布的《金融行业网络安全白皮书(2020)》显示,金融隐私泄露事件大约以每年35%的数据在增长。
    柒财经梳理发现,仅今年以来,就发生多起涉及银行等金融机构的个人金融信息保护事件。
    7月18日,国家金融监管总局浙江监管局发布的一则行政处罚信息公开表显示,中国银行嘉兴市分行因存在多项违法违规事实,被罚210万元,其中就有违规泄露客户信息一项。
    同样是中国银行,6月,该行福建分行因存在“违反个人金融信息保护规定”等违法行为,被警告,并被罚款179万元。
    4月14日,中国人民银行重庆营业管理部公布的罚单显示,重庆富民银行因“违反消费者金融信息保护管理规定”等违法行为,被警告并罚款1万元。
    2月,中国人民银行福州中心支行公示的处罚信息显示,厦门银行存在23项违法行为,其中就包括“违反个人金融信息保护规定”。厦门银行被警告,并被没收违法所得767.17元、罚款764.6万元。
    1月4日,中国人民银行威海市中心支行公开的处罚信息显示,蓝海银行因“未按规定履行消费者金融信息保护义务”“未按规定保存客户身份资料和交易记录”等4项违法行为,被警告,并被罚款76.66万元。
    今年以来,原银保监会开出的多张罚单也指向客户信息合规问题,涉及国有银行、股份制银行、城商银行等。
    如原银保监会4月3日公布的处罚信息显示,中国工商银行上海市杨浦支行存在“信息安全和员工行为管理不到位”等主要违法违规事实,被责令改正并被罚款50万元。
    1月20日,民生银行宁波分行由于“案防管理不到位、客户信息安全管理不到位”被原银保监会处罚,合计罚款190万元。
    3月10日,金华银行因“客户信息保护不审慎”被原银保监会罚款30万元。
    值得注意的是,2022年1月10日,根据中国人民银行上海总部公布的信息,东亚银行(中国)有限公司因违反信用信息采集、提供、查询及相关管理规定,被处以1674万元罚款,责令限期改正。在此之前,单个机构因信息管理方面的原因被处以千万以上罚单极为少见。
    此外,金融监管总局前不久向银行业保险业下发《关于加强第三方合作中网络和数据安全管理的通知》。《通知》中披露了近两年在金融机构外包服务商身上出现的数据泄露事件,也值得行业警惕。
    02
    个人信息泄露
    成不少助贷机构痼疾
    不光是银行,柒财经发现,个人信息泄露问题已然成为不少助贷机构、消金公司和互联网平台的痼疾,引发用户投诉不断。
    在黑猫投诉上,搜索“贷款+信息泄露”两个关键词,弹出来近5500条相关信息。
    一消费者称,其使用小米贷款产品天星金融旗下随星借,因经济原因资金周转困难导致逾期,天星金融不断暴力催收,并委托第三方催收,并且泄漏其家人电话给第三方,对其家人发信息骚扰,恐吓上门等。
    另一名消费者称,捷信催收人员暴力催收,“开始是一直骚扰我母亲,我母亲因为这些骚扰都被折腾住院了。今天还来了一个自称是捷信公司委托的昊顺公司对我进行骚扰,而且不知道通过什么手段骚扰我们村的人。这种手段已经对我甚至其他人都造成了很严重的影响”。
    一名投诉普惠快信的用户表示,其从未在该平台贷款,但却收到该平台发送的恶意不实短信,还牵连到其现任职单位,严重侵犯和泄露个人隐私信息。
    不少借贷类平台还曾因APP违法违规收集个人信息被通报。2021年5月,国家互联网信息办公室发布通告称,包括360借条、平安好贷以及招联好期贷在内的84款APP违法违规收集使用个人信息,要求15个工作日内完成整改。
    值得一提的是,7月7日,人民银行公布银罚决字〔2023〕34-38号罚单,腾讯旗下财付通支付科技有限公司因违反消费者金融信息保护管理规定等11项规定被罚没29.93亿元,4名责任人合计被罚242.10万元。
    此前柒财经关注的哈啰APP上的助贷服务平台“臻有钱”,也因存在“一键授权”行为,被指属于个人信息过度收集。柒财经发现,点击“臻有钱”的“领取额度”时,将一键同意《臻有钱服务协议》《臻有钱个人信息保护及隐私政策》《个人信息共享说明》《个人征信信息查询及使用授权书》。根据《个人信息共享说明》,用户的姓名、身份证相关信息、手机号码等多项的个人隐私信息,也将共享给前述数十家小贷和助贷公司。(查看原文:低调的哈啰助贷:合作机构数十家 被疑过度收集个人信息)
    根据《个人信息保护法》第六条的规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”
    而法律人士认为,“臻有钱”这种一键授权多家机构的做法,属于个人信息过度收集。根据《个人信息保护法》第二十条规定,有多个主体作为个人信息处理者收集、处理个人信息,应当约定各自的权利和义务。
    今年4月,企业安全服务商威胁猎人发布的《2023年Q1数据资产泄露分析报告》显示,2023年Q1,借贷行业的数据泄露事件数占据金融行业总数据泄露事件数的51%。而去年同期这一数据仅为38%。
    此外,威胁猎人情报平台共监测到相关事件91起,远多于其他金融细分行业。
    03
    《办法》明确压实数据处理活动
    全流程安全合规底线
    在数据泄漏事件频发的当下,如何建立健全完备的数据安全防护体系,防范和化解敏感数据信息泄密风险是当前金融行业信息安全关注的重点和难点。
    此次中国人民银行推出《中国人民银行业务领域数据安全管理办法(征求意见稿)》,可谓既是落实《数据安全法》有关要求,也是对《数据安全法》在金融业务领域的直接践行。
    《办法》明确,数据安全工作遵循“谁管业务,谁管业务数据,谁管数据安全”基本原则。
    《办法》提出了规范数据分类分级要求。数据处理者应当建立数据分类分级制度规程,梳理数据资源目录标识分类信息,在国家数据安全工作协调机制统筹协调下,根据中国人民银行制定的重要数据识别标准,统一对数据实施分级,严格落实网络安全等级保护和风险评估等义务,并在此基础上推动各数据处理者进一步做好数据敏感性、可用性层级划分,以便在全流程数据安全管理中更好采取精细化、差异化的安全保护管理和技术措施。
    《办法》提出了数据安全保护总体要求。强调数据处理者应当压实数据安全责任,建立数据安全问责处罚制度和数据处理活动全流程安全管理制度,制定数据安全培训计划。
    《办法》明确了压实数据处理活动全流程安全合规底线。针对收集、存储、使用、加工、传输、提供、公开和删除各环节,向数据处理者明确采取哪些安全保护管理和技术措施后,可视为总体满足尽职尽责的合规底线要求。
    《办法》还细化了风险监测、评估审计、事件处置等合规要求。强调数据处理者应当建立数据处理活动安全风险监测和告警机制,加强数据安全风险情报监测、核查、处置与行业共享,制定数据安全事件定级判定标准和应急预案,规范应急演练、事件处置、风险评估和审计等工作。
    此外,在违规处罚上,《办法》明确了中国人民银行及其分支机构可对数据处理者数据安全保护义务落实情况开展执法检查,以及数据处理者违反规定时对应的法律责任。其中提到,中国人民银行及其分支机构执法检查发现数据处理者存在窃取或者以其他非法方式获取数据的行为时,将相关案件信息移送同级公安机关、国家安全机关,并配合其依法依规予以处理。
    据了解,此前,针对数据安全,互联网、金融业的相关监管部门已出台了大量的政策和标准规范,包括《个人信息保护法》《网络安全法》《个人金融信息保护技术规范》《金融消费者权益保护实施办法》《银行业金融机构数据治理指引》《金融数据安全数据安全分级指南》《商业银行互联网贷款管理暂行办法》《征信业务管理办法》等。