Add your content here

金融机构的数据合规在新的一年迎来了强有力的监管数据治理。

2022年第一个月,监管对金融机构数据合规进行了“重拳出击”。

在东亚银行因违反信用信息采集、提供、查询及相关管理规定被罚款1674万元后,1月20日,中国农业银行崇左分行因“一千多名学生莫名其妙被开户”被罚款1142.5万元。

中国人民银行崇左中心支行出具的罚单显示,中国农业银行崇左支行涉及的违法行为类型包括:未执行个人银行账户实名制管理规定;侵犯个人财务信息;未严格执行银行账户风险监控要求;客户身份信息未按要求完全保存。

随着《网络安全法》、《数据安全法》和《个人信息保护法》的相继实施,我国网络安全和数据保护领域的基本法律框架已经形成。自2022年1月1日起,《信用信息服务管理办法》正式实施,金融机构数据合规成为银行等金融机构下一步治理重点。

金融数据合规监管力度加大。去年,行业信息违规被罚款4654万元。

近年来,金融机构对违反个人信息保护和网络信息安全行为的监管和处罚日趋严格。

据企业预警数据不完全统计,2021年全年,在央行、中国银行业监督管理委员会、国家外汇局发布的行政处罚清单中,涉及信息处理等违法行为的罚款119起,罚款总额约4654万元。

具体而言,在上述罚单中,金融机构的违法行为集中在个人信息保护和信息网络安全两大类,主要涉及“未按规定收集使用个人信息”、“未经许可查询个人信息或企业信用信息”、“提供部分不良个人信息时未提前告知信息主体”、“泄露客户信息”、“网络授权访问控制不到位,存在信息技术隐患”和“重要信息系统突发事件”

在金融信息合规领域,华夏银行去年因违反信用信息采集、提供、查询及相关管理规定被罚486万元,是该领域收到的最大一笔罚款。

此外,中信银行因泄露脱口秀池个人信息被罚款450万元。中国银行业监督管理委员会消费者权益保护局指出,中信银行存在以下四大问题:

1.客户信息保护的制度和机制不健全;客户账户明细反保密查询缺乏规范统一的业务操作流程和必要的内控措施,自查乱象整改不力。

二是客户信息采集管理不规范;客户访问控制管理不符合业务“必须知道”和“最低授权”原则;查询客户账户明细的原因不真实;查询客户个人银行账户的交易信息,擅自提供给第三方。

3.客户敏感信息管理不善导致其流出互联网;违规存储客户敏感信息。

四.系统权限管理存在漏洞,重要岗位和外包机构管理存在缺陷。

2022年第一个月,仅东亚银行和中国农业银行被罚2816.5万元,占去年全年罚款总额的60%。

违反规定将个人信息过度收集到受灾最严重的地区,需要警惕外包服务的数据风险。

不少记者了解到,目前金融行业最常见的数据违规现象在于过度收集和不当使用个人信息。

上海市现代服务业协会大数据中心副主任徐运成告诉记者,不仅是金融行业,过去5-6年所有数据集中度较高的行业普遍存在个人信息过度收集的问题。金融行业的风险控制系统是其核心业务系统,对数据量和数据处理能力要求较高,因此个人信息过度采集的问题更加突出。但在近年来强有力的数据监管下,金融机构已经从早期过度采集的“野蛮生长”阶段,走向合规的调整期和适应期。

基于《个人信息保护法》的相关要求,2022年1月1日,《信用信息服务管理办法》正式实施,明确规定了信用信息采集、整理、保存、处理、提供和使用的各个环节。《办法》要求,个人信用信息应当按照合法、适当的方式收集,遵循最小化、必要性原则,不得过度收集。

“金融机构经常通过收集的个人信息推送个性化金融产品,导致过度营销,也构成了个人信息使用不当。”一位不愿透露姓名的法律从业者告诉记者。

金融机构过度收集的信息不仅仅是个人信息,还高度依赖外部第三方采购数据。这在一定程度上增加了数据管理的难度,导致各机构数据产品质量参差不齐。更重要的是,存在数据泄露的合规性和安全性隐患。

“以前,金融机构对数据采取再积累模式,无论需要不需要,都试图收集更多的数据。”上海大学法学院大数据与人工智能法治研究中心执行主任陈继东在调研中发现,不少金融机构不仅收集个人信息,还通过第三方从外部购买各种数据报表、数据服务等产品,其中不乏一些原始数据。但是这些外部采集的数据产品质量参差不齐,有缺陷的原始数据会导致后续系统架构出现漏洞。

2022年1月21日,中国银行业监督管理委员会发布《银行保险机构IT外包风险监管办法》,要求银行保险机构将IT外包风险纳入全面风险管理体系,有效控制外包带来的风险。其中提到,涉及银行保险机构与其他第三方合作集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包被纳入监管对象。

在回答记者提问时,中国银保监会相关部门负责人指出,部分银行保险机构未能控制信息技术外包风险,导致业务中断、敏感信息泄露等事件时有发生。此外,部分地区外包服务商高度集中,导致行业集中的风险。

北京师范大学互联网发展研究院院长助理、中国研究中心互联网学会副主任吴申国告诉记者:“IT外包服务中数据泄露等潜在的安全风险,很大程度上是因为数据治理水平不足。在这个过程中,要保证数据源的质量,数据处理的过程,建立数据流通和利用的生态规则,特别要注意数据源的真实性和可信度。”

根据《银行保险机构IT外包风险监管办法》,中国银保监会作为监管机构,将实施外包监督管理,包括事前报告要求、重大事件报告、监管评估和监督检查、风险监测、监管干预、现场核查、监管问责等。

数字化人才成为数据治理的“最后一公里”

面对各种数据合规问题,不少行业专家和从业者告诉记者,数据治理人才短缺是金融行业乃至所有行业最大的问题。

“由于数据治理和数据合规相关人才短缺,金融机构在有效的数据生态和机制实施方面面临巨大挑战。”吴申阔说。

陈继东告诉记者,目前机构缺乏支撑数据流通和利用的人才机制,这是影响数据治理落地效果的核心问题:“数据合规人才不仅需要懂法律,还需要懂实施IT的技术。但是,如果这个人只被放在合规部门,将很难建立数据系统。如果只放在it部门,不会影响数字化转型顶层设计的实施。目前很多金融机构还没有为数据人才设置相应的岗位。”

徐运成在参与各企业调研时,总结了企业数字人才缺失的三个原因:一是互联网行业大量高薪吸纳数字人才,导致其他行业数字人才引进成本较高;其次,一些组织的数字化意识比较肤浅,没有真正给予人才和团队授权和成长空间;最后,企业需要为培养数字化人才提供空间和机会。没有好的土壤,优秀的人才就会“退化”。

徐运成表示,“在从野蛮生长到规范发展的过渡阶段,谁能率先找到数字化落地的实践,与一些生态伙伴形成正链,谁就能在更高维度上占领新的数字产业赛道,突出重围。”

(来源:21世纪经济报道)