农行、建行、中行被重罚4000多万！央行：对侵害消费者金融信息安全行为“零容忍”

邢莉

10月21日，多家国有大行因“侵害消费者金融信息安全”吃罚单。央行同日公布的罚单显示，农行、中行、建行3家银行共6家分支行被罚超4000万。

就在多家银行被罚的同一天，《个人信息保护法（草案）》征求意见稿公布。

2020金融街论坛年会举行金融科技与创新暨第二届成方金融科技论坛，人民银行副行长范一飞在论坛中表示，数据安全保护刻不容缓，金融业作为数据密集型行业，要积极落实党中央、国务院决策部署，深刻认识数据重要意义、深化研究数据管理机制、深度挖掘数据内在价值、深入做好数据安全保护，为金融装上数据引擎，实现多向赋能。

一时间，数据安全、信息保护迅速成为金融领域的热门话题，监管信号突出、市场机构关注……

3家国有大行共6家分支行被罚

央行公布的罚单显示，3家国有大行共6家分支行被罚金额共计4087万元。

具体来看，10月21日，中国人民银行吉林市中心支行公布罚单显示，中国农业银行江北支行存在的违法行为类型有以下两方面，一是侵害消费者个人信息依法得到保护的权利；二是违反反洗钱管理规定，泄露客户信息。人民银行吉林市中心支行对其给予警告处罚，并处罚款1223万元。

中国农业银行江北支行相关负责人也收到处罚。农业银行江北支行行长葛某东，对违反反洗钱管理规定、泄露客户信息违法违规行为负有责任，被罚1.75万元。江北支行营业室员工丁某洋，对违反反洗钱管理规定、泄露客户信息违法违规行为负有直接责任，被罚3万元。

建设银行三个分行，也因侵害消费者个人信息依法得到保护的权利的违法行为，被被合计处以2453万元罚款。

根据处罚信息，中国建设银行德阳分行、东营分行和娄底市分行都存在侵害消费者个人信息依法得到保护的权利的违法行为，人民银行德阳中心支行、东营中心支行和长沙中心支行分别对其处罚款1406万元、514万元和533万元。

此外，人民银行银川中心支行公布的行政处罚信息公示表显示，中国银行石嘴山市分行因侵害消费者个人信息依法得到保护的权利，被处以罚款411万元。

10月21日，人民银行在官网就相关处罚发布通报。

通报称，近日，人民银行相关分支机构依法对部分金融机构侵害消费者金融信息安全行为立案调查，并依据《中华人民共和国消费者权益保护法》《中华人民共和国反洗钱法》有关规定，分别对农业银行吉林市江北支行、中国银行石嘴山市分行、建设银行德阳分行、建设银行娄底分行、建设银行东營分行、建设银行建德支行及相关责任人予以警告并处以罚款。人民银行在依法作出行政处罚的同时，约谈相关金融机构，责令其立即整改。

央行：对侵害消费者金融信息安全行为“零容忍”

同日，中国人民银行有关部门负责人就部分金融机构侵害消费者金融信息安全权案件相关情况答记者问中称，人民银行一直高度重视消费者金融信息保护工作，坚持对侵害消费者金融信息安全行为“零容忍”，对侵犯金融消费者合法权益的违法违规行为坚决依法严厉打击。

针对上述金融机构，人民银行在依法作出行政处罚的同时，责令涉案金融机构以此为戒，全面排查消费者金融信息保护安全隐患，及时进行整改。截至目前，各涉案机构均已进行整改和问责，进一步健全消费者金融信息保护内部控制机制，完善信息安全技术防范措施，强化从业人员消费者金融信息安全意识。

人民银行负责人同时强调，保障消费者金融信息安全是金融机构的法定职责，金融机构要切实履行主体责任：

一要强化全流程管控，将法律法规和监管要求逐项分解落实到业务运行的各个环节，细化到业务岗位职责中。

二要加强员工教育，强化对中高级管理人员和基层业务人员的消费者金融信息安全教育，培养消费者金融信息安全红线“不能碰、不想碰”的底线思维。三要规范员工行为，合理设置分级授权，完善授权审批流程，避免消费者金融信息使用环节“一手清”。

四要加强技防手段，及早发现风险隐患。

五要平衡发展与安全的关系，不能以牺牲消费者金融信息安全为代价换取业务发展。

六要发挥投诉预警纠偏作用，主动查找漏洞或薄弱环节，及时研究问题，填补管理漏洞，消除风险隐患。

七要强化责任追究，对有关责任人员要予以严肃处理，强化震慑。

我国个人信息保护顶层建设正在提速

麻袋研究院高级研究员苏筱芮告诉数金观察，“今年以来，数据安全与信息保护问题受到监管空前重视，除了App专项治理工作小组持续开展整治外，工信部前后通报了上百家侵犯用户权益的APP名单。”

央行负责人在上述答记者问中同时提及，为进一步加强消费者金融信息保护力度，提升消费者金融信息保护法律法规层级，《个人金融信息（数据）保护试行办法》《中国人民银行金融消费者权益保护实施办法》已列入人民银行规章制定工作计划。其中《中国人民银行金融消费者权益保护实施办法》已于9月18日发布，自11月1日起施行。

“央行发布的《金融消费者权益保护实施办法》中亦提出消费者金融信息保护，从消费者金融信息安全权角度进一步强化了信息知情权和信息自主选择权，央行近期罚单事由频繁涉及信息安全，体现出监管对数据安全乱象坚决打击的信心与决心。”苏筱芮称。

10月21日，中国人大网公开《中华人民共和国个人信息保护法（草案）》（下称“草案”）并面向社会征求意见，截止时间为11月19日。草案共八章七十条内容，包括“个人信息处理一般规定”、“敏感个人信息的处理规则”、“个人信息跨境提供的规则”等专门章节。

《草案》确立了以“告知—同意”为核心的个人信息处理系列规则，要求处理个人信息应当在事先充分告知的前提下取得个人同意。《草案》还对违反规定行为的处罚及侵害个人信息权益的民事赔偿等作出规定。违反本法规定处理个人信息，或者处理个人信息未按照规定采取必要的安全保护措施的，由履行个人信息保护职责的部门责令改正，没收违法所得，给予警告。

“《个人信息保护法（草案）》进入征求意见稿阶段，意味着我国个人信息保护的顶层建设工作正在提速”，在苏筱芮看来，“数据规范、信息安全治理已成为金融业监管的重点工作，种种监管信号表明，《个人信息保护法（草案）》的出台仅仅是治理乱象的一个开端，预计伴随着顶层制度的不断完善，金融业的数据治理工作将迈入常态化阶段。”