三家银行“数据不合规”被罚715万！银行业数据合规建设最先告急

作者丨律新社研究员Loong

出品丨律新社研究中心

数据治理已成为监管部门关注的焦点，作为数据量最大、数据信息最敏感的行业之一，银行业数据治理问题屡屡受到关注。

6月21日，国家金融监督管理总局公布的行政处罚信息公开表显示，交通银行股份有限公司因在多个管理领域存在不足和漏洞，被处以罚款160万元，违法违规事实包括安全测试存在薄弱环节、数据安全管理不足。

6月14日，国家金融监督管理总局网站公布，浦发银行宁波分行、农业银行宁波分行、徽商银行宁波分行三家银行的罚单都涉及“数据治理存在缺陷”，合计被罚715万元。

2024年4月到6月，律新社在推进《精品法律服务品牌指南（2024）：数据合规领域》调研中发现，近年企业因数据治理问题被罚的新闻屡见不鲜，且罚款金额越来越高。如何应对数字化时代新挑战，是金融机构近年以及今后很长时间内的重要课题，商业银行合规建设势在必行。

与数据相关的法律体系正迅速迭代，金融机构面临诸多挑战，比如合规制度不完善、合规要求更新不及时、合规措施落实困难等。

细数近年来相关法律法规，可以发现，针对金融机构数据合规的政策更新速度之快，和我国数字化发展速度是一致的。提升数据能力将成为金融数字化转型的重要驱动力。

2011年颁布的《银行监管统计数据质量管理良好标准（试行）》及2018年发布的《银行业金融机构数据治理指引》，对于银行的数据监管政策，逐渐从数据质量考核结果导向的监管演变为对管理层面上的数据治理全方位要求。

在此阶段，银行业逐渐将数据治理纳入对相关业务及机构的评估之中，诸多商业银行开启深化数据治理和数字化转型发展的脚步。

此后，数字化上升为国家战略，仅满足于金融监管的数据治理已不符合金融数字化的趋势。

2022年1月，国务院印发《“十四五”数字经济发展规划》，指出“鼓励银行业金融机构创新产品和服务，加大对数字经济核心产业的支持力度”。同月，央行发布《金融科技发展规划（2022—2025年）》、银保监会发布《关于银行业保险业数字化转型的指导意见》。

2022年第2期《求是》杂志刊发重要文章《不断做强做优做大我国数字经济》，文中提出“要充分发挥海量数据和丰富应用场景优势，促进数字技术和实体经济深度融合”。至此，银行数据治理被赋予了更高的历史使命，是银行数字化转型、银行服务经济数字化转型的重要切入点，也是推动银行业由高速增长向高质量发展转变的主要抓手。

数据治理是构建完善、共享、统一管理数据环境的基本保障和重要组成部分，是把数据作为资产来管理的有效手段，更是数字化转型发展的前提与数据释放出价值的关键。

据新浪财经报道，2023年，42家A股上市银行与数据治理相关的罚金约2.54亿元，占银行数据治理相关处罚总额的54%，金额同比增长约72%。据零壹智库数据，六大国有银行与数据治理相关的罚金约1.37亿元，同比增长300%以上，在银行数据治理相关处罚总额中占到39%。

2024年1—5月，上市银行EAST相关罚单约11笔，罚金约7699万元。其中，平安银行、中国银行和北京银行罚金最高，因信息披露不合规、统计数据不合规、EAST数据漏报、错报等事由被罚。

资料来源：企业预警通，零壹智库

高昂的合规成本为商业银行带来经济压力。因未能遵守严格监管要求而产生的成本迅速增加，包括罚款、外部诉讼与和解费用等法律成本，除此之外，银行的声誉和业务被牵连的损失难以估计。

就全球范围内而言，根据IBM Security发布的《2022年数据泄露成本报告》，基于对2022年全球550家组织数据泄露事件的分析，数据泄露的全球平均成本达到了435万美元的历史最高水平，自2020年以来增长了12.7%。同时，网络攻击的持续性也揭示了数据泄露对企业造成的巨大影响。该报告发现，83%的被研究组织经历过不止一次的数据泄露，同时，这些影响在违规发生后会持续很长时间，因为将近50%的违规成本是在违规发生一年多之后才产生的。

许凌艳

复旦大学法学院教授、博士生导师，中国金融法治研究院副秘书长

复旦大学法学院教授、博士生导师，中国金融法治研究院副秘书长许凌艳在接受律新社调研时表示，当前之所以长期存在数据治理问题，是因为全行数据散落在各个业务系统中，没有进行有效整合，多为信息孤岛，且整体架构缺少一个稳定的、抗源变化的数据层，难以支撑未来的数据应用需求。同时，当前也没有统一的基础数据标准和应用分析标准，针对数据质量问题没有归纳总结，缺少反馈机制。

首先，金融服务模式日益开放，金融服务融于各类生活场景，人们随时、随地都可以获得银行服务，这给银行数据管理能力提出了更高要求。同时，外部数据服务也成为其中的脆弱环节，蕴含了因银行采购管理、行业监管政策、企业自身经营、信息系统技术等因素导致的极大的业务中断风险。

其次，数据流通更加频繁，此过程中存在诸多风险隐患。比如，与第三方机构合作共享数据时，数据因明文流通或者复制滥用而导致大量隐私泄露；数据跨境过程中，因涉及重要数据或者一定规模的敏感个人信息外传，直接危及国家安全、企业合规与个人信息安全等。

企业进行数据治理需要两大驱动力：一是通过提高数据质量实现更多的业务价值；二是将实现业务目标作为数据管理和服务的核心驱动力，优化数据架构，提升数据仓库和信息化系统建设，支持管理能力的提高，以及决策的科学性。

许凌艳认为，商业银行合规建设势在必行，目前可采取的措施包括：

一是搭建适宜的数据合规管理体系和组织体系。

目前，多数商业银行将数据合规管理纳入数据安全管理范畴。其实，数据安全管理和数据合规管理既有交叉，又有不同。数据合规是指对数据的收集、存储、使用、加工、传输、提供、公开等全生命周期活动；数据安全是通过采取必要措施，确保数据被有效保护、被合法利用，具备保障持续安全状态的能力。因此，数据合规是建立在数据安全基础之上的强制性要求。唯有搭建适宜的数据合规管理体系，才能保障各项工作机制有效运转，保障数据的获取和使用全周期合规。

同时，设立部门分别用以规划数据安全、数据合规工作。

二是吸纳懂数据、精法律、通业务的复合型专家。商业银行的业务链条多数很长，数据是流动的，且伴随业务的变动会即刻流转，任何一个环节出现数据合规问题，都会对金融数据资产合规造成严重威胁，数据合规管理相较于传统的企业合规管理来说，对于人才素质有更高的要求。

金融机构还需要在适应国内外法律法规方面持续发力，全方位细化监管政策体系，加强监测预警，规避和降低合规经营风险。

律新社在调研中发现，数据合规覆盖范围之广，包括数据的收集、使用、传输、存储等多个方面，可谓“数据全生命周期”。

数据收集合规方面，根据《个人信息保护法》《个人金融信息技术保护规范》《网上银行系统信息安全通用规范》等法律法规，信息收集者应制定并公开收集规则，保证个人信息主体的知情权，对特殊信息的收集采取特殊收集方式、遵守特殊规定。

特别值得注意的是，一是要在规则中明确收集目的、方式及范围，收集需合理且限于实现目的的最小范围。一般来说，最小范围指“直接关联、最低频率和最小数量”。二是在获得信息主体同意时，应以信息主体能理解的语言告知其收集者的身份、联系方式、收集目的、收集方式等内容。对于个人敏感信息，除上述告知内容外，还应当向个人告知收集敏感信息的必要性，并获得个人的单独同意。对于不满14周岁的自然人信息，除应取得其监护人同意，还应制定专门的个人信息处理规则。三是在收集方式方面，一般原则是收集个人信息应采用对个人权益影响最小的方式，并保证收集个人信息过程的安全性。特殊信息的收集则应遵守特别规定。

数据使用合规方面，根据《个人金融信息技术保护规范》，数据使用是指对个人金融信息进行展示、共享和转让、公开披露、委托处理、加工处理等操作的过程。我国法律法规要求，使用数据前要对数据进行甄别，征得个人信息主体同意，对数据进行脱敏处理，以共享形式使用数据的数据控制者还应建立相应安全制度体系。

数据传输合规方面，根据《个人信息保护法》《个人金融信息技术保护规范》《信息安全技术数据安全能力成熟度模型》等要求，对于境内数据传输，金融机构使用公共网络传输C2、C3类信息时应使用加密通道或数据加密的方式进行传输，作为网络运营者的金融机构应对网络进行可用性管理，保证网络稳定运行。向境外传输数据则需要满足更高的合规要求。

数据存储合规方面，根据《个人信息保护法》《网络安全法》《信息安全技术个人信息安全规范》等法律法规，数据储存首先应保证数据安全，满足所储存数据的“保密性、完整性、可用性”。此外，个人金融信息存储还应满足“本地化”存储要求、数据分类分级存储要求、存储期限最小化要求和去标识化后存储要求。

金融行业作为天然依赖数据的行业，数据已经逐步成为金融机构数字化经营的核心资产。2022年12月，中共中央国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》（简称“数据二十条”），从数据产权、流通交易、收益分配、安全治理等方面构建数据基础制度，提出二十条政策举措。

许凌艳认为，在数据产权方面，数据二十条提出的数据产权结构性分置制度对于金融机构的数据管理具有重大意义，包括合法保障多方权益、释放推动数据要素流通的积极信号，打破数据资源的单一垄断，奠定数据收益分配的基础。在流通交易方面，对于金融机构而言，数据二十条的发布将大幅提升数据交易市场的活跃度，金融机构在数据的交易与流通中不再仅限于传统的“数据需求方”角色，而是在此基础上进一步衍生出“数据供给方”及“数据生态服务方”的职能，以三方角色融入数据交易生态圈，深度参与数据要素市场建设；在收益分配方面，数据二十条明确了“谁投入、谁贡献、谁受益”原则，金融机构需要以差异化的视角思考各参与主体间的收益分配关系；在安全治理方面，数据二十条明确守住数据安全是数据要素流通交易的红线和底线，只有建立健全数据要素安全体系，才能保障数据能够更加有效地运转和流通，金融机构应加强数据安全治理中的责任落实，建立完备的数据安全治理体系，共同维护以安全合规为基础的数据要素市场环境，积极推动数据的有效流通，充分发挥金融机构数据的责任和义务。

中伦律师事务所发布的《2023年度金融领域数据合规回顾与前瞻》一文指出，2023年内，行业主管部门在执法监管方面对金融网络与数据安全的关注仍在加强。据统计，金融行业主管部门对所辖机构存在的数据合规、消费者个人信息保护、信息系统安全等问题共开出515张单位罚单，同时有近400位相关责任人涉及承担警告、罚款甚至限期禁业在内的法律责任。

消费者个人信息保护仍然是金融领域数据合规工作的监管重心。2023年内有近20家机构因涉及个人信息保护违规而收到百万级罚单。人民银行、金管局在2023年7月对于两家头部互联网金融平台及其关联企业开出的罚没合计约70亿元罚单中，侵害消费者个人信息权益等合法权益事由亦赫然在目。

上海市锦天城律师事务所高级合伙人吴卫明在《律师观点：金融数据的特殊合规要求》一文中表示，金融业机构外包服务中，金融数据的委托处理值得注意。越来越多的金融业机构将包括金融数据的处理工作委托给该等服务提供商，以降低自身运营管理成本、分散金融风险，聚焦优势力量发展金融主业。

在目前的法律法规框架下，针对金融业机构委托外包服务供应商处理金融数据的合规要求主要体现在处理个人信息方面。《个人信息保护法》专门规定了个人信息处理者委托处理个人信息的一般规则，金融业机构作为委托方，应当与受托方约定处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托方的个人信息处理活动进行监督。

金融业主管部门出台的法律文件专门规定了委托处理个人金融数据的特殊合规要求。需要注意的是，金融业机构委托外包服务供应商处理个人金融信息同时还涉及对外提供个人信息行为，根据《民法典》《网络安全法》《个人信息保护法》等关于对外提供个人信息的规定，对外提供个人信息应经过个人同意，其中，如对外提供经过处理无法识别特定个人且不能复原的除外。金融业机构通过网络向外包服务供应商传输客户的个人信息，应优先考虑获取个人信息主体授权同意的原则，面向个人信息主体的用户协议、隐私政策等协议文件设置客户授权同意条款，并要求外包服务供应商处理分析个人信息时，不得超出已征得客户授权同意的范围。比如，经公开检索，各个银行公布的信用卡领用协议就个人信息处理外包事宜设置的授权条款类似表述为“领用人（个人信息主体）同意银行向外包作业机构等合作机构提供相关信息”。

结语

随着我国信息数据法律体系的构建和完善，金融机构应追踪关注规则动态，尽早做好相关的合规筹划和合规安排，结合自身业务特点，尤其针对核心数据产品、数据算法、新型技术的开发应用等，提前部署数据获取、数据开发和数据利用的策略，评估现有技术应用的合规风险，以确保获取数据的合法合规及正当性。