風險引入：監(jiān)管趨嚴 時刻考驗銀行網絡安全合規(guī)建設

近年來，銀行數(shù)據(jù)質量欠缺、信息安全保障不足、內部管理制度存在漏洞等種種問題不斷暴露在公眾視野之中，銀行所承擔的“金融機構”“網絡運營者”“關鍵信息基礎設施運營者”及“個人信息控制者”等多重角色進一步增加了銀行落實網絡安全和數(shù)據(jù)合規(guī)相關制度的難度。2020年以來，《商業(yè)銀行互聯(lián)網貸款管理暫行辦法》等一系列監(jiān)管政策文件下發(fā)，要求銀行等金融機構認真貫徹落實個人信息保護方面的法律法規(guī)，加強客戶隱私保護，對客戶信息嚴格實行從采集到存儲、銷毀等全流程的制度化管理?？梢姰斍般y行業(yè)網絡安全監(jiān)管力度不斷升級，未來監(jiān)管水平還將不斷提升。對此，本文將從分析2020年以來相關處罰案例入手，分析銀行在扮演不同角色時所應關注的網絡安全和數(shù)據(jù)合規(guī)要點，并為未來銀行網絡安全合規(guī)建設提供相應參考及指引。

風險梳理：銀行網絡安全處罰特點分析

2020年4月，中國裁判文書網公布了兩份關于銀行員工侵犯公民個人信息的刑事判決書，銀行臨時工和支行行長利用職務之便非法對外提供客戶個人信息，法院以侵犯公民個人信息罪判處被告人有期徒刑并處罰金；2020年5月9日，六大國有銀行——工商銀行、中國銀行、交通銀行、農業(yè)銀行、建設銀行、郵儲銀行及兩家股份制銀行——光大銀行、中信銀行均因監(jiān)管標準化數(shù)據(jù)（EAST）及數(shù)據(jù)報送存在違法違規(guī)行為，被中國銀行保險監(jiān)督管理委員會（以下簡稱“銀保監(jiān)會”）處以罰款；2020年6月22日，江蘇江南農村商業(yè)銀行股份有限公司因存在網絡安全工作嚴重不足的違法行為，被中國銀行保險監(jiān)督管理委員會江蘇監(jiān)管局依據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》第四十六條第（五）項規(guī)定，處以人民幣30萬元罰款。

由此結合2020年以來的行政處罰信息來看，在網絡安全和數(shù)據(jù)合規(guī)方面，數(shù)據(jù)質量及數(shù)據(jù)報送，個人金融信息保護成為銀行被處罰的主要原因，當前值得銀行特別關注。

合規(guī)解讀：銀行網絡安全合規(guī)要點解析

目前銀行在經濟生活中承擔著“金融機構”“網絡運營者”“關鍵信息基礎設施運營者”“個人信息控制者”等多重角色，對此本文結合銀行不同角色，對政策文件要求進行梳理，總結相關網絡安全和數(shù)據(jù)安全合規(guī)要點，為銀行合規(guī)開展業(yè)務提供必要參考。

1、銀行作為“金融機構”的網絡安全和數(shù)據(jù)合規(guī)要點

作為“金融機構”的銀行要落實網絡安全和數(shù)據(jù)合規(guī)，首先需基于其內外資性質、經營范圍及網絡運營業(yè)務獲取相應的許可證或進行備案。就網絡運營業(yè)務來看，銀行若從事增值電信業(yè)務，需獲得相應的增值電信經營許可證。銀行從事互聯(lián)網金融業(yè)務的，除應按規(guī)定履行相關金融監(jiān)管程序外，還應依法向電信主管部門履行網站備案手續(xù)。

2、作為“網絡運營者”和“關鍵信息基礎設施運營者”的網絡安全和數(shù)據(jù)合規(guī)要點

《網絡安全法》第三十一條規(guī)定，國家對金融等重要行業(yè)和領域，在網絡安全等級保護制度的基礎上，實行重點保護。根據(jù)《關鍵信息基礎設施確定指南（試行）》，銀行運營為金融行業(yè)中的關鍵業(yè)務。因此，銀行一般應被認定為關鍵信息基礎設施運營者，在履行網絡運營者的一般安全保護義務的基礎上，還需履行關鍵信息基礎設施運營者的特殊義務。銀行在建設和部署基礎設施、設備和信息系統(tǒng)的基礎上，需構建與不斷完善網絡安全保護制度和數(shù)據(jù)合規(guī)制度，從制度上填補安全漏洞。

1）保障銀行基礎設施、設備與信息系統(tǒng)安全

建設和部署安全穩(wěn)定的基礎設施、設備與信息系統(tǒng)是銀行落實網絡安全和數(shù)據(jù)合規(guī)的客觀前提。不僅要考慮作為關鍵信息基礎設施的合規(guī)要求，還需考慮銀行運營特點，對重要網絡設備和各類信息系統(tǒng)的安全性進行審查。

2）構建網絡安全保護制度

銀行應從內部治理和外部控制兩個角度落實網絡安全和數(shù)據(jù)合規(guī)。銀行的內部治理需構建風險管理和控制制度、銀行部門架構、員工管理制度。內部人員管理制度還需區(qū)分普通員工、能夠接觸到個人金融信息等客戶信息的員工以及網絡安全負責人等不同崗位的員工。此外，還需制定一系列網絡安全保障制度，主要包括網絡安全等級保護制度、網絡安全應急處置制度和網絡產品和服務安全審查幾個部分。

《網絡安全法》第二十一條要求網絡運營者按照網絡安全等級保護制度的要求履行安全保護義務，作為網絡運營者的銀行自不例外。

作為關鍵信息基礎設施運營者的銀行在制定網絡安全事件應急預案的基礎上還需定期進行演練，對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份。銀行還應自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

而外部控制制度則主要針對銀行存在業(yè)務外包等第三方合作的情形，若銀行通過外包開展業(yè)務，應充分審查、評估外包服務供應商保護銀行數(shù)據(jù)的能力，并在服務協(xié)議中明確外包服務提供商的數(shù)據(jù)保護和保密義務。在外包業(yè)務終止后，銀行需確保外包服務提供商已及時徹底刪除相應數(shù)據(jù)，以降低數(shù)據(jù)泄露的風險。

3）構建數(shù)據(jù)管理制度

銀行應從數(shù)據(jù)收集和使用、數(shù)據(jù)存儲及數(shù)據(jù)治理等角度，遵循全覆蓋原則、匹配性原則、持續(xù)性原則、有效性原則，根據(jù)《銀行業(yè)金融機構數(shù)據(jù)治理指引》制定全面科學有效的數(shù)據(jù)管理制度，包括但不限于組織管理、部門職責、協(xié)調機制、安全管控、系統(tǒng)保障、監(jiān)督檢查和數(shù)據(jù)質量控制等各項具體制度，并根據(jù)管理要求和實際需要進行持續(xù)評價更新。銀行應建立數(shù)據(jù)安全策略與標準，依法合規(guī)采集、應用數(shù)據(jù)，依法保護客戶隱私，劃分數(shù)據(jù)安全等級，明確訪問和拷貝等權限，監(jiān)控訪問和拷貝等行為，完善數(shù)據(jù)安全技術，定期審計數(shù)據(jù)安全。

外商投資銀行具有特殊的安全管理義務，“數(shù)據(jù)本地化”是其保存和處理個人信息和重要數(shù)據(jù)的重要原則。外商投資銀行在中國境內運營中收集和產生的個人信息和重要數(shù)據(jù)應在境內存儲。確需向境外提供的，則需按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。

3、銀行作為“個人信息控制者”的網絡安全和數(shù)據(jù)合規(guī)要點

銀行因其自身經營屬性，掌握著大量個人信息，其中不乏與個人人身和財產安全密切相關的個人敏感信息。近年來，《中國人民銀行關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》《中國人民銀行關于金融機構進一步做好客戶個人金融信息保護工作的通知》《中國人民銀行金融消費者權益保護實施辦法》《個人金融信息保護技術規(guī)范》（JR/T 0171-2020）相繼出臺，個人信息保護在銀行網絡安全和數(shù)據(jù)合規(guī)中的地位不斷凸顯。

2020年來銀行處罰信息可發(fā)現(xiàn)，“未按規(guī)定保存客戶身份資料和交易記錄”是處罰的重要理由。2020年3月，中信銀行在未經客戶本人授權的情況下，向第三方提供個人銀行賬戶交易明細，違背為存款人保密的原則，涉嫌違反《中華人民共和國商業(yè)銀行法》和銀保監(jiān)會關于個人信息保護的監(jiān)管規(guī)定，嚴重侵害消費者信息安全權，損害了消費者合法權益。中國銀保監(jiān)會消費者權益保護局于5月9日通報該情況并決定按照相應法律法規(guī)啟動立案調查程序。銀保監(jiān)會對此事的快速響應也折射出監(jiān)管機關對個人信息保護日益重視的態(tài)度。

除滿足一般個人信息控制者需承擔的個人信息保護責任外，銀行還需注意法律對個人金融信息的特殊保護要求。以個人信用信息為例，根據(jù)《征信業(yè)管理條例》第四十條，銀行不得未經同意查詢個人信息，否則監(jiān)管機關可對單位處5萬元以上50萬元以下的罰款，對直接負責的主管人員或其他直接責任人處以1萬元以上10萬元以下罰款，構成犯罪的，依法追究刑事責任等處罰。

業(yè)務建議：銀行應在八個方面不斷提高網絡安全建設

盡管明確上述網絡安全合規(guī)要點能為銀行開展網絡安全建設帶來較大的政策依據(jù)，但在合規(guī)建設的同時，商業(yè)銀行網絡安全這根弦須臾不可放松。為此，建議銀行未來還應持續(xù)在八個方面不斷加大工作力度，保證銀行網絡安全合規(guī)能力不斷提升。

一是切實增強總體網絡安全觀，嚴格落實網絡安全工作責任制。金融系統(tǒng)要加強信息基礎設施網絡安全防護，要站在講政治、講大局、講責任的高度，站在金融為民的政治高度，為維護一方金融安全、經濟安全作出貢獻。

二是加強金融核心基礎設施建設，支撐轉型發(fā)展。要充分利用大數(shù)據(jù)、云計算、移動互聯(lián)網、區(qū)塊鏈、人工智能等技術來改變銀行原有的技術架構，打造分布式的云架構，進一步提升核心業(yè)務系統(tǒng)、管理信息系統(tǒng)、數(shù)據(jù)存儲系統(tǒng)、分析系統(tǒng)等的智能性、便捷性和安全性，為業(yè)務發(fā)展與管理創(chuàng)新提供技術支撐平臺。

三是提升應急綜合處置及容災能力。定期實施基礎設施、網絡及系統(tǒng)各科目的應急演練，分別組織系統(tǒng)級、應用級、業(yè)務級運營中斷事件恢復演練，持續(xù)提高風險防控的實踐能力，增強業(yè)務連續(xù)性能力。進一步加快災備體系建設，防范系統(tǒng)級和數(shù)據(jù)中心級災難風險。

四是增強網絡安全主動防御能力。要不斷健全和完善已有的安全保障體系，建立用戶態(tài)勢感知、行為分析以及操作審計平臺，逐步實現(xiàn)對攻擊模型和路徑進行分析、對未知安全威脅進行判斷預警、對多維度實時流量進行監(jiān)控，以技術支撐實現(xiàn)全方位的態(tài)勢感知。

五是明晰風險，提升金融風險甄別、防范與化解能力。正確處理好安全與發(fā)展的關系，將網絡安全風險納入各金融機構風險管理體系。注重利用好等級保護測評、風險評估和內部審計等手段，強化對自身信息系統(tǒng)風險的梳理，做到信息系統(tǒng)風險心中有數(shù)，實現(xiàn)風險識別和預防關口前移。

六是構建網絡安全標準化統(tǒng)籌協(xié)調工作機制。從全局的角度思考網絡安全標準化工作的實施路徑，將標準化建設納入本行網絡安全發(fā)展戰(zhàn)略體系，積極協(xié)調各專業(yè)、各層級廣泛參與，整體構建起統(tǒng)一完善的標準化工作機制。

七是做好信息科技外包風險管理。信息系統(tǒng)的開發(fā)、維護可以外包，但風險防控不能外包。應嚴格要求外包公司遵守業(yè)務連續(xù)性管理、信息安全管理方面的要求，在業(yè)務流程、運維監(jiān)控和人員教育等方面強化管理，確保風險管理的全面性、有效性。

八是突出重點領域人才培養(yǎng)。加強信息安全人才培養(yǎng)力度，特別是應加強注冊信息安全人員專業(yè)培訓，使其能夠具有為信息系統(tǒng)安全提供技術保障所應具備的專業(yè)資質和能力。加強地方法人金融機構高層管理人才在金融科技和網絡安全領域的視野和領導才能，樹立科技在業(yè)務發(fā)展中的引領作用。