近日中国银保监会下发第5号罚单,某大型商业银行被处罚单450万元。罚单显示,违法违规案由包括:
一是客户信息保护体制机制不健全;柜面非密查询客户账户明细缺乏规范、统一的业务操作流程与必要的内部控制措施,乱象整治自查不力。
二是客户信息收集环节管理不规范;客户数据访问控制管理不符合业务“必须知道”和“最小授权”原则;查询客户账户明细事由不真实;未经客户本人授权查询并向第三方提供其个人银行账户交易信息。
三是对客户敏感信息管理不善,致其流出至互联网;违规存储客户敏感信息。
四是系统权限管理存在漏洞,重要岗位及外包机构管理存在缺陷。
2020年5月6日,知名脱口秀演员王越池(艺名“池子”)发长文斥笑果文化违约拖欠报酬,原本是公司和雇员之间的劳务纠纷,某大型商业银行却被推到舆论风口:原来在笑果文化寄给池子的案件材料中,池子竟发现了自己在该银行的交易明细账单(银行流水)。
池子发微博称,某大型商业银行未获其本人授权,将其个人账户流水提供给上海笑果文化传媒有限公司,属于侵犯公民个人信息的违法行为,并通过律师发函要求某大型商业银行、笑果文化赔偿损失,并公开道歉。相关话题迅速占领微博热搜,阅读量达到6亿。
5月7日凌晨,某大型商业银行发表致歉信称,经核实,近期上海笑果文化传媒有限公司联系开户支行,要求查询其为员工王越池支付劳务工资记录时,该行员工未严格按规定,提供了王越池的收款记录。为此向王越池郑重道歉,并称已按制度规定对相关员工予以处分,并对支行行长予以撤职。
5月9日,银保监会就此事件对某大型商业银行启动立案调查。
“池子事件”让社会大众对银行管控内部信息安全的能力产生了质疑。近年来,随着互联网的高速发展,与金融相关的业务也越来越加丰富,专门针对金融机构的犯罪活动日益增多,更有黑灰色产业人员参与其中,甚至直接引诱金融机构内部人员提供各种信息。
关于银行客户信息保密义务,相关法律法规、监管规定不断完善,内控监管要求不断加码——
1.
《商业银行法》
第29条规定,商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。
2.
《刑法》
第253条规定,金融单位的工作人员违反国家规定,将本单位在提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
3.
《网络安全法》
第42条规定:网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
4.2020年2月20日中国银保监会发布了
《中国银保监会办公厅关于预防银行业保险业从业人员金融违法犯罪的指导意见》
(银保监办发[2020]18号),对内控安全体系的建设提出了明确要求:
第九条提出“防范从业人员与外部机构或个人勾结进行信用卡大额套现、伪造信用卡、非法买卖信用卡客户信息资料等行为。”
第十五条提出“严防信息科技领域违法犯罪行为。加强数据安全管理,严格控制数据授权范围,实现数据分类、重要数据备份和加密。加强对客户信息收集、维护、使用人员的培训管理。严防从业人员利用职权和管理漏洞,篡改后台数据,盗取资金,以及非法复制数据、贩卖客户信息等行为。”
随着与金融机构相关的客户信息泄露事件
、
商业银行机密信息泄露事件
越来越频繁,如何迎接新的信息安全挑战,如何满足监管要求,如何打消大众疑虑,如何及时识别内控漏洞并作出相应处置成为银行业亟须解决的关键问题,这既需要管理制度层面的不断优化,也需要科技手段的助力。
在采用科技化智能化手段提升银行内部风险防控能力方面,国舜股份拥有成熟的系统和丰富的专家经验予以支持。国舜股份内控系统已经在多家股份制银行和城商银行投产使用,助力银行在规范内部人员行为,解决系统内部操作风险等方面起到关键作用。
国舜股份“基于UEBA的内控安全风险管理体系”可以大幅提升银行的内控水平及智能化应用水准,满足监管要求,减少员工的道德风险,全面提升银行的信息安全保障能力,提升银行发现内部风险的效率及处置内部风险的能力,大幅降低银行安全事件发生,更好地保护银行的客户信息资产还有客户资金,以及银行的重要敏感信息资产安全。通过加强全行员工的授权管理监控与预警,监控异常的操作行为,做到风险早发现、早提醒、早处置,从而提升银行内部风险控制水平,增加防范银行员工泄露客户信息的措施,减少违规操作可能给银行带来的资金损失和声誉损失。
国舜股份的安全技术和解决方案已经在上百家银行成功应用落地并多次荣获行业大奖,赢得客户们的广泛认可和好评。
“基于UEBA的内控安全风险管理体系”将对接行内各种应用系统,整合外部情报数据、业务操作数据、人力资源数据,利用UEBA(用户实体行为分析)技术,基于用户行为数据,对用户操作行为进行分析,建立内部人员/设备/应用安全行为基线,防范内部人员参与黑灰色产业、内部信息流出、商业机密泄露、异常操作风险、违规操作、内部设备安全风险等问题。
