安全資訊

風(fēng)險引入：監管趨嚴 時(shí)刻考驗銀行網(wǎng)絡(luò )安全合規建設

近年來(lái)，銀行數據質(zhì)量欠缺、信息安全保障不足、內部管理制度存在漏洞等種種問(wèn)題不斷暴露在公眾視野之中，銀行所承擔的“金融機構”“網(wǎng)絡(luò )運營(yíng)者”“關(guān)鍵信息基礎設施運營(yíng)者”及“個(gè)人信息控制者”等多重角色進(jìn)一步增加了銀行落實(shí)網(wǎng)絡(luò )安全和數據合規相關(guān)制度的難度。2020年以來(lái)，《商業(yè)銀行互聯(lián)網(wǎng)貸款管理暫行辦法》等一系列監管政策文件下發(fā)，要求銀行等金融機構認真貫徹落實(shí)個(gè)人信息保護方面的法律法規，加強客戶(hù)隱私保護，對客戶(hù)信息嚴格實(shí)行從采集到存儲、銷(xiāo)毀等全流程的制度化管理?？梢?jiàn)當前銀行業(yè)網(wǎng)絡(luò )安全監管力度不斷升級，未來(lái)監管水平還將不斷提升。對此，本文將從分析2020年以來(lái)相關(guān)處罰案例入手，分析銀行在扮演不同角色時(shí)所應關(guān)注的網(wǎng)絡(luò )安全和數據合規要點(diǎn)，并為未來(lái)銀行網(wǎng)絡(luò )安全合規建設提供相應參考及指引。

風(fēng)險梳理：銀行網(wǎng)絡(luò )安全處罰特點(diǎn)分析

2020年4月，中國裁判文書(shū)網(wǎng)公布了兩份關(guān)于銀行員工侵犯公民個(gè)人信息的刑事判決書(shū)，銀行臨時(shí)工和支行行長(cháng)利用職務(wù)之便非法對外提供客戶(hù)個(gè)人信息，法院以侵犯公民個(gè)人信息罪判處被告人有期徒刑并處罰金；2020年5月9日，六大國有銀行——工商銀行、中國銀行、交通銀行、農業(yè)銀行、建設銀行、郵儲銀行及兩家股份制銀行——光大銀行、中信銀行均因監管標準化數據（EAST）及數據報送存在違法違規行為，被中國銀行保險監督管理委員會(huì )（以下簡(jiǎn)稱(chēng)“銀保監會(huì )”）處以罰款；2020年6月22日，江蘇江南農村商業(yè)銀行股份有限公司因存在網(wǎng)絡(luò )安全工作嚴重不足的違法行為，被中國銀行保險監督管理委員會(huì )江蘇監管局依據《中華人民共和國銀行業(yè)監督管理法》第四十六條第（五）項規定，處以人民幣30萬(wàn)元罰款。

由此結合2020年以來(lái)的行政處罰信息來(lái)看，在網(wǎng)絡(luò )安全和數據合規方面，數據質(zhì)量及數據報送，個(gè)人金融信息保護成為銀行被處罰的主要原因，當前值得銀行特別關(guān)注。

合規解讀：銀行網(wǎng)絡(luò )安全合規要點(diǎn)解析

目前銀行在經(jīng)濟生活中承擔著(zhù)“金融機構”“網(wǎng)絡(luò )運營(yíng)者”“關(guān)鍵信息基礎設施運營(yíng)者”“個(gè)人信息控制者”等多重角色，對此本文結合銀行不同角色，對政策文件要求進(jìn)行梳理，總結相關(guān)網(wǎng)絡(luò )安全和數據安全合規要點(diǎn)，為銀行合規開(kāi)展業(yè)務(wù)提供必要參考。

1、銀行作為“金融機構”的網(wǎng)絡(luò )安全和數據合規要點(diǎn)

作為“金融機構”的銀行要落實(shí)網(wǎng)絡(luò )安全和數據合規，首先需基于其內外資性質(zhì)、經(jīng)營(yíng)范圍及網(wǎng)絡(luò )運營(yíng)業(yè)務(wù)獲取相應的許可證或進(jìn)行備案。就網(wǎng)絡(luò )運營(yíng)業(yè)務(wù)來(lái)看，銀行若從事增值電信業(yè)務(wù)，需獲得相應的增值電信經(jīng)營(yíng)許可證。銀行從事互聯(lián)網(wǎng)金融業(yè)務(wù)的，除應按規定履行相關(guān)金融監管程序外，還應依法向電信主管部門(mén)履行網(wǎng)站備案手續。

2、作為“網(wǎng)絡(luò )運營(yíng)者”和“關(guān)鍵信息基礎設施運營(yíng)者”的網(wǎng)絡(luò )安全和數據合規要點(diǎn)

《網(wǎng)絡(luò )安全法》第三十一條規定，國家對金融等重要行業(yè)和領(lǐng)域，在網(wǎng)絡(luò )安全等級保護制度的基礎上，實(shí)行重點(diǎn)保護。根據《關(guān)鍵信息基礎設施確定指南（試行）》，銀行運營(yíng)為金融行業(yè)中的關(guān)鍵業(yè)務(wù)。因此，銀行一般應被認定為關(guān)鍵信息基礎設施運營(yíng)者，在履行網(wǎng)絡(luò )運營(yíng)者的一般安全保護義務(wù)的基礎上，還需履行關(guān)鍵信息基礎設施運營(yíng)者的特殊義務(wù)。銀行在建設和部署基礎設施、設備和信息系統的基礎上，需構建與不斷完善網(wǎng)絡(luò )安全保護制度和數據合規制度，從制度上填補安全漏洞。

1）保障銀行基礎設施、設備與信息系統安全

建設和部署安全穩定的基礎設施、設備與信息系統是銀行落實(shí)網(wǎng)絡(luò )安全和數據合規的客觀(guān)前提。不僅要考慮作為關(guān)鍵信息基礎設施的合規要求，還需考慮銀行運營(yíng)特點(diǎn)，對重要網(wǎng)絡(luò )設備和各類(lèi)信息系統的安全性進(jìn)行審查。

2）構建網(wǎng)絡(luò )安全保護制度

銀行應從內部治理和外部控制兩個(gè)角度落實(shí)網(wǎng)絡(luò )安全和數據合規。銀行的內部治理需構建風(fēng)險管理和控制制度、銀行部門(mén)架構、員工管理制度。內部人員管理制度還需區分普通員工、能夠接觸到個(gè)人金融信息等客戶(hù)信息的員工以及網(wǎng)絡(luò )安全負責人等不同崗位的員工。此外，還需制定一系列網(wǎng)絡(luò )安全保障制度，主要包括網(wǎng)絡(luò )安全等級保護制度、網(wǎng)絡(luò )安全應急處置制度和網(wǎng)絡(luò )產(chǎn)品和服務(wù)安全審查幾個(gè)部分。

《網(wǎng)絡(luò )安全法》第二十一條要求網(wǎng)絡(luò )運營(yíng)者按照網(wǎng)絡(luò )安全等級保護制度的要求履行安全保護義務(wù)，作為網(wǎng)絡(luò )運營(yíng)者的銀行自不例外。

作為關(guān)鍵信息基礎設施運營(yíng)者的銀行在制定網(wǎng)絡(luò )安全事件應急預案的基礎上還需定期進(jìn)行演練，對重要系統和數據庫進(jìn)行容災備份。銀行還應自行或者委托網(wǎng)絡(luò )安全服務(wù)機構對其網(wǎng)絡(luò )的安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估，并將檢測評估情況和改進(jìn)措施報送相關(guān)負責關(guān)鍵信息基礎設施安全保護工作的部門(mén)。

而外部控制制度則主要針對銀行存在業(yè)務(wù)外包等第三方合作的情形，若銀行通過(guò)外包開(kāi)展業(yè)務(wù)，應充分審查、評估外包服務(wù)供應商保護銀行數據的能力，并在服務(wù)協(xié)議中明確外包服務(wù)提供商的數據保護和保密義務(wù)。在外包業(yè)務(wù)終止后，銀行需確保外包服務(wù)提供商已及時(shí)徹底刪除相應數據，以降低數據泄露的風(fēng)險。

3）構建數據管理制度

銀行應從數據收集和使用、數據存儲及數據治理等角度，遵循全覆蓋原則、匹配性原則、持續性原則、有效性原則，根據《銀行業(yè)金融機構數據治理指引》制定全面科學(xué)有效的數據管理制度，包括但不限于組織管理、部門(mén)職責、協(xié)調機制、安全管控、系統保障、監督檢查和數據質(zhì)量控制等各項具體制度，并根據管理要求和實(shí)際需要進(jìn)行持續評價(jià)更新。銀行應建立數據安全策略與標準，依法合規采集、應用數據，依法保護客戶(hù)隱私，劃分數據安全等級，明確訪(fǎng)問(wèn)和拷貝等權限，監控訪(fǎng)問(wèn)和拷貝等行為，完善數據安全技術(shù)，定期審計數據安全。

外商投資銀行具有特殊的安全管理義務(wù)，“數據本地化”是其保存和處理個(gè)人信息和重要數據的重要原則。外商投資銀行在中國境內運營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數據應在境內存儲。確需向境外提供的，則需按照國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評估。

3、銀行作為“個(gè)人信息控制者”的網(wǎng)絡(luò )安全和數據合規要點(diǎn)

銀行因其自身經(jīng)營(yíng)屬性，掌握著(zhù)大量個(gè)人信息，其中不乏與個(gè)人人身和財產(chǎn)安全密切相關(guān)的個(gè)人敏感信息。近年來(lái)，《中國人民銀行關(guān)于銀行業(yè)金融機構做好個(gè)人金融信息保護工作的通知》《中國人民銀行關(guān)于金融機構進(jìn)一步做好客戶(hù)個(gè)人金融信息保護工作的通知》《中國人民銀行金融消費者權益保護實(shí)施辦法》《個(gè)人金融信息保護技術(shù)規范》（JR/T 0171-2020）相繼出臺，個(gè)人信息保護在銀行網(wǎng)絡(luò )安全和數據合規中的地位不斷凸顯。

2020年來(lái)銀行處罰信息可發(fā)現，“未按規定保存客戶(hù)身份資料和交易記錄”是處罰的重要理由。2020年3月，中信銀行在未經(jīng)客戶(hù)本人授權的情況下，向第三方提供個(gè)人銀行賬戶(hù)交易明細，違背為存款人保密的原則，涉嫌違反《中華人民共和國商業(yè)銀行法》和銀保監會(huì )關(guān)于個(gè)人信息保護的監管規定，嚴重侵害消費者信息安全權，損害了消費者合法權益。中國銀保監會(huì )消費者權益保護局于5月9日通報該情況并決定按照相應法律法規啟動(dòng)立案調查程序。銀保監會(huì )對此事的快速響應也折射出監管機關(guān)對個(gè)人信息保護日益重視的態(tài)度。

除滿(mǎn)足一般個(gè)人信息控制者需承擔的個(gè)人信息保護責任外，銀行還需注意法律對個(gè)人金融信息的特殊保護要求。以個(gè)人信用信息為例，根據《征信業(yè)管理條例》第四十條，銀行不得未經(jīng)同意查詢(xún)個(gè)人信息，否則監管機關(guān)可對單位處5萬(wàn)元以上50萬(wàn)元以下的罰款，對直接負責的主管人員或其他直接責任人處以1萬(wàn)元以上10萬(wàn)元以下罰款，構成犯罪的，依法追究刑事責任等處罰。

業(yè)務(wù)建議：銀行應在八個(gè)方面不斷提高網(wǎng)絡(luò )安全建設

盡管明確上述網(wǎng)絡(luò )安全合規要點(diǎn)能為銀行開(kāi)展網(wǎng)絡(luò )安全建設帶來(lái)較大的政策依據，但在合規建設的同時(shí)，商業(yè)銀行網(wǎng)絡(luò )安全這根弦須臾不可放松。為此，建議銀行未來(lái)還應持續在八個(gè)方面不斷加大工作力度，保證銀行網(wǎng)絡(luò )安全合規能力不斷提升。

一是切實(shí)增強總體網(wǎng)絡(luò )安全觀(guān)，嚴格落實(shí)網(wǎng)絡(luò )安全工作責任制。金融系統要加強信息基礎設施網(wǎng)絡(luò )安全防護，要站在講政治、講大局、講責任的高度，站在金融為民的政治高度，為維護一方金融安全、經(jīng)濟安全作出貢獻。

二是加強金融核心基礎設施建設，支撐轉型發(fā)展。要充分利用大數據、云計算、移動(dòng)互聯(lián)網(wǎng)、區塊鏈、人工智能等技術(shù)來(lái)改變銀行原有的技術(shù)架構，打造分布式的云架構，進(jìn)一步提升核心業(yè)務(wù)系統、管理信息系統、數據存儲系統、分析系統等的智能性、便捷性和安全性，為業(yè)務(wù)發(fā)展與管理創(chuàng )新提供技術(shù)支撐平臺。

三是提升應急綜合處置及容災能力。定期實(shí)施基礎設施、網(wǎng)絡(luò )及系統各科目的應急演練，分別組織系統級、應用級、業(yè)務(wù)級運營(yíng)中斷事件恢復演練，持續提高風(fēng)險防控的實(shí)踐能力，增強業(yè)務(wù)連續性能力。進(jìn)一步加快災備體系建設，防范系統級和數據中心級災難風(fēng)險。

四是增強網(wǎng)絡(luò )安全主動(dòng)防御能力。要不斷健全和完善已有的安全保障體系，建立用戶(hù)態(tài)勢感知、行為分析以及操作審計平臺，逐步實(shí)現對攻擊模型和路徑進(jìn)行分析、對未知安全威脅進(jìn)行判斷預警、對多維度實(shí)時(shí)流量進(jìn)行監控，以技術(shù)支撐實(shí)現全方位的態(tài)勢感知。

五是明晰風(fēng)險，提升金融風(fēng)險甄別、防范與化解能力。正確處理好安全與發(fā)展的關(guān)系，將網(wǎng)絡(luò )安全風(fēng)險納入各金融機構風(fēng)險管理體系。注重利用好等級保護測評、風(fēng)險評估和內部審計等手段，強化對自身信息系統風(fēng)險的梳理，做到信息系統風(fēng)險心中有數，實(shí)現風(fēng)險識別和預防關(guān)口前移。

六是構建網(wǎng)絡(luò )安全標準化統籌協(xié)調工作機制。從全局的角度思考網(wǎng)絡(luò )安全標準化工作的實(shí)施路徑，將標準化建設納入本行網(wǎng)絡(luò )安全發(fā)展戰略體系，積極協(xié)調各專(zhuān)業(yè)、各層級廣泛參與，整體構建起統一完善的標準化工作機制。

七是做好信息科技外包風(fēng)險管理。信息系統的開(kāi)發(fā)、維護可以外包，但風(fēng)險防控不能外包。應嚴格要求外包公司遵守業(yè)務(wù)連續性管理、信息安全管理方面的要求，在業(yè)務(wù)流程、運維監控和人員教育等方面強化管理，確保風(fēng)險管理的全面性、有效性。

八是突出重點(diǎn)領(lǐng)域人才培養。加強信息安全人才培養力度，特別是應加強注冊信息安全人員專(zhuān)業(yè)培訓，使其能夠具有為信息系統安全提供技術(shù)保障所應具備的專(zhuān)業(yè)資質(zhì)和能力。加強地方法人金融機構高層管理人才在金融科技和網(wǎng)絡(luò )安全領(lǐng)域的視野和領(lǐng)導才能，樹(shù)立科技在業(yè)務(wù)發(fā)展中的引領(lǐng)作用。