21世纪经济报道记者李览青 上海报道2022年的第一个月,监管对金融机构的数据合规问题“重拳出击”。
在东亚银行因违反信用信息采集、提供、查询及相关管理规定被罚1674万元后,1月20日,中国农业银行崇左分行再因“千余名学生莫名被开户”事件被罚1142.5万元。
中国人民银行崇左市中心支行开出的罚单显示,农业银行崇左分行涉及的违法行为类型包括:未落实个人银行账户实名制管理规定;违规使用个人金融信息;未严格落实银行账户风险监测要求;未按规定完整保存客户身份资料。
随着《网络安全法》、《数据安全法》、《个人信息保护法》的相继落地实施,我国网络安全与数据保护领域基本法律框架形成,2022年1月1日起,《征信业务管理办法》正式实施,金融机构的数据合规问题也成为银行等金融机构接下来的治理重点。
金融数据合规监管趋严,去年行业信息违规被罚4654万元
近年来,有关部门对金融机构在个人信息保护与网络信息安全违规行为的监管处罚趋严。
21世纪经济报道记者结合企业预警通数据不完全统计,2021年全年,在央行、银保监会、外管局发布的行政处罚名单中,涉及信息处理等违规问题的罚单共计119张,罚款金额合计约4654万元。
具 体来说,在上述罚单中,金融机构发生的违规行为集中于个人信息保护与信息网络安全两大类,主要涉及“未按规定收集使用个人信息”、“未经同意查询个人信息 或企业信贷信息”、“提供部分个人不良信息时未事先告知信息主体”、“泄露客户信息”、“网络授权访问控制不到位,存在信息科技风险隐患”、“发生重要信 息系统突发事件未向监管报告”等。
在金融信息合规领域,去年华夏银行因违反信用信息采集、提供、查询及相关管理规定被罚486万元,收到该领域最大一笔罚单。
此外,中信银行因泄露脱口秀池子个人信息事件被罚450万元,银保监会消保局指出,中信银行存在以下四大问题:
一、客户信息保护体制机制不健全;柜面非密查询客户账户明细缺乏规范、统一的业务操作流程与必要的内部控制措施,乱象整治自查不力
二、客户信息收集环节管理不规范;客户数据访问控制管理不符合业务“必须知道”和“最小授权”原则;查询客户账户明细事由不真实;未经客户本人授权查询并向第三方提供其个人银行账户交易信息
三、对客户敏感信息管理不善,致其流出至互联网;违规存储客户敏感信息
四、系统权限管理存在漏洞,重要岗位及外包机构管理存在缺陷
而在2022年的第一个月,仅东亚银行、农业银行两家银行就已被罚2816.5万元,占去年全年罚单总额的60%。
个人信息过度收集成违规重灾区,需警惕外包服务数据风险
记者多方了解到,目前金融行业最普遍的数据违规现象,在于个人信息的过度采集与使用不当。
上 海现代服务业联合会大数据中心副主任徐云程告诉记者,不仅是金融行业,在过去的5-6年内,所有数据高度集中的行业都普遍存在个人信息过度收集的问题。而 金融行业的风控系统是其最核心的业务系统,对数据量和数据处理能力要求更高,因此对个人信息过度收集的问题更加突出。但在近年来数据强监管下,金融机构已 经从早期过度采集的“野蛮生长”阶段走向合规的调整期和适应期。
基于《个人信息保护法》相关要求,2022年1月1日,《征信业务管理办法》正式实施,对信用信息采集、整理、保存、加工、提供和使用等征信业务的各个环节进行了明确规定。《办法》要求,采集个人信用信息,应当采取合法、正当的方式,遵循最小、必要的原则,不得过度采集。
“金融机构往往通过采集的个人信息进行个性化金融产品推送,从而引发过度营销,这也构成了个人信息的不当使用问题。”一位不愿具名的法律从业人士向记者表示。
金融机构对信息的过度采集不仅在于个人信息,同时还高度依赖外部第三方采购数据。这在一定程度上造成数据治理难度加大,引发各机构数据产品质量参差,更重要的是存在数据泄露的合规安全隐患。
“此 前金融机构对数据采用重积累模式,不管是否需要,都尽量收集更多的数据。”上海大学法学院大数据与人工智能法治研究中心执行主任陈吉栋在调研中发现,很多 金融机构在收集个人信息之外,还通过第三方从外部采购各类数据报告、数据服务等产品,也包括部分原始数据。但这些外部收集的数据产品质量参差不齐,存在瑕 疵的原始数据会导致后续系统架构出现漏洞。
2022年1月21日,银保监会发布《银行保险机构信息科技外包风险监管办法》,要求银行保险机 构将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。其中提到,银行保险机构与其他第三方合作中涉及集中存储或处理银行保险机构重 要数据和客户个人敏感信息的外包纳入监管对象。
银保监会有关部门负责人在答记者问时指出,部分银行保险机构对信息科技外包风险管控不力,因而导致的业务中断、敏感信息泄露等事件时有发生。此外,部分领域外包服务提供商高度集中,形成了行业集中度风险。
北 京师范大学互联网发展研究院院长助理、中国互联网协会研究中心副主任吴沈括向记者表示:“IT外包服务中的数据泄露等安全隐患,在很大程度上是源自不够充 分的数据治理水平,在这个过程中需要确保数据来源的质量、数据处理的流程以及建立数据流转利用的生态规则,特别是要注意数据来源的真实与可信。”
据《银行保险机构信息科技外包风险监管办法》,银保监会作为监管机构,将实施外包监督管理,包括事前报告要求、重大事件报告、监管评估和监督检查、风险监测、监管干预、实地核查、监管问责等内容。
数字化人才成数据治理“最后一公里”
面对种种数据合规问题,多位行业专家、从业人士向记者表示,数据治理人才紧缺在金融行业,乃至于所有行业都是最大的问题。
“由于数据治理和数据合规相关的人才短缺,金融机构有效数据生态、机制落实上面临着较大挑战。”吴沈括表示。
陈 吉栋告诉记者,目前机构缺乏支撑数据流通利用的人才机制,这是最核心的、影响数据治理落地效果的问题:“数据合规方面的人才不仅需要懂法律,还需要懂技术 能实施,但这个人如果只是放在合规部门,很难数据系统的建设,如果只是放在IT部门,又无法影响数字化转型的顶层设计落地实施,就现在来看,很多金融机构 并没有为数据人才设置相应岗位。”
在参与各类企业调研时,徐云程总结出企业数字化人才的缺位的三点原因:首先是互联网行业以高薪吸收了大量 数字化人才,导致其他行业的数字化人才引入成本较高;其次,部分机构数字化意识浮于表面,并没有真实地给予人才和团队授权和成长空间;最后,企业需要为培 养数字化人才提供空间和契机,如果没有好的土壤,优秀的人才也会“退化”。
徐云程表示,“从野蛮生长到规范发展的转型阶段,谁能够第一个找到数字化落地的实践,与一些生态合作伙伴形成正向链条,谁就可以在更高维度上占据新的数字化产业赛道,突出重围。”