近期,银保监会以“监管标准化数据”存在数据质量违法违规行为为理由,对21家银行进行了大规模处罚。
其中,在2021年8月份为数据资产估值提供了权威计算公式的光大银行,和民生银行一起,以490万元的高额罚款在商业银行中并列第一。
戏剧性的变故,在让光大银行的信息数据风险把控能力遭到质疑之外,也让此前提供计算公式的可信度大幅下降。再加上本次处罚所波及的银行规模,则更是足以引发各界对整个行业的担忧。
银行的数据安全,真的已经糟糕到这种地步了吗?
一、“内鬼”和“潜规则”泛滥,银行数据安全有待肃清
本次银保监会的处罚名单,几乎是将知名度最高的一批银行,都给“一网打尽”了。
以银行类别进行简单归纳,罚款金额和处罚理由大概如下:
国家开发、进出口、农业发展三大政策性银行累计被罚1340万元。其中除了国家开发银行的违规行为涉及理财产品外,其余二者主要受罚原因,都集中于账目和数据上的“漏报”、“错报”。
工商、农业、中国、建设、交通、邮储六大国有银行累计被罚2580万元。尽管各个银行的违规行为各不相同,但在处罚原因中,都有着“2018年行政处罚问题依然存在”的描述。
光大、民生、平安、广发等等12家股份制商业银行累计被罚4840万元。相比于前两类银行,这12家银行的违规行为要更为相似,具体描述上更是以“漏报”、“未报送”、“偏差”等词语为主。
当然了,这些处罚决定都是银保监会经过长时间的调查取证后,才以集中通告的方式进行公布。至于为什么会出现如此大规模违法违规行为,可能主要基于这两方面的原因:
有“内鬼”。
关于“内鬼”的说法,并非来源于什么小道消息和“知情人士”透露,而是有着官方媒体的认定。
在3月29日,人民网发布了一篇财经评论。文中援引了前段时间裁判文书网披露的一则,关于本溪银行员工出售征信报告非法获利超23万元的判决文书,并将类似的犯罪人员称作银行“内鬼”,同时点明了要保持“零容忍”的严肃态度。
尽管并没有直接证据表明,本次被银保监会处罚的银行中存在“内鬼”作祟的行为,但是前后相隔时间如此接近,大概率不会只是一次巧合。
个别银行默许“潜规则”。
对大部分行业而言,难免会有一些仅存于灰色地带的“潜规则”。而对于这些有利于开展业务的灰色规则,有时候也会获得个别银行的默许。
就比如2021年的1月份和3月份,银保监会曾先后点名通报过华夏银行和中信银行。前者未经客户授权违规查询个人账户存款交易信息,并违规在公开网络环境中传输隐私信息,于8月被央行罚款486万元;而后者同样在未经客户授权的情况下,向第三方提供交易明细,最终被处于450万元的高额罚款。
不仅如此,根据移动支付网整理的数据显示,2021年下半年,央行总行还以“违反信用信息采集、提供、查询及相关规定”的理由,对交通、兴业、浙商三家银行分别做出62万元、5万元、65万元的处罚。在今年1月份,央行上海分行也以类似的原因,处罚了北京银行上海支行、东亚、渣打三家银行。
甚至就在3月的月初,星展银行也因为同类型违法行为,遭到了央行上海分行的警告和203.6万元的罚款。
无论如何,罚款和警告都不是目的,银保监会和央行对数据信息安全层面的“零容忍”,终究是为了整个行业风气的肃清。毕竟在局势环境进一步恶化之前,以强硬手段扼制住一切,或许也能避免再出现类似于光大银行的“乌龙”事件。
二、光大银行自摆乌龙,设立“数据银行”势在必行
2021年8月8日,光大银行联合新华社瞭望智库发布了《商业银行数据资产估值白皮书》。
时值国内数据市场仍处于早期探索阶段,各行各业中,对于如何定义、确权、估值、交易数据资产,始终都没有一套行之有效的权威模板。光大银行以自身的经营为案例,展示了商业银行要如何构建和优化数据资产估值方法,一时间可谓是风头无二。
通过天眼查就能发现,在白皮书发布之前,光大银行就注册了相关的专利。
然而等到今年被通告处罚信息后,以光大银行所涉及的“漏报”、“偏差”等违规行为,昔日充当案例的数据评估,可能已经丧失了足够的说服力。
且不提自摆乌龙的光大银行现在是否会觉得尴尬,略显讽刺的突发事件背后,进一步表明了银行在信息数据安全层面有所缺失的严峻性。如此一来,更是让以下两种呼声更具现实意义——
尽快设立国家“数据银行”。
其实在今年3月初的全国两会上,就有许多人大代表呼吁加快数据立法,并设立“数据银行”来保障全社会数据资产的安全。
在互联网大数据时代,用户的个人信息已经从单纯的隐私信息价值,上升到互联网企业的重要生产要素,以及关乎国家安全的战略性资源。无论是构建更具智能化的金融服务,还是用于更精细化的行业扩展,都需要有一个更具效力的监管体系,以及安全系数更高的保护机制。
或许,从源头上对所有的个人隐私信息进行统一管理,也能有效避免部分银行和各类金融机构,或滥用权限、或“内鬼”作祟,进而导致的侵权行为。
引入更多的第三方数据安全机构,加入监管和保护体系。
我们必须清楚地认识到,在全世界范围内,数据安全都是一个全新的挑战。尤其是近些年来,因为数据安全问题受到处罚的企业和机构,几乎可以用“数不胜数”来形容。
前不久,Facebook的母公司Meta因为未能在多次大规模个人信息泄露中,采用足够手段来保证数据安全,受到欧盟1700万欧元,折合人民币约1.18亿元的罚款。2021年7月,国际电商巨头亚马逊更是由于违反数据保护条例,被欧盟处于7.46亿欧元,折合人民币约57.29亿元的史上最高罚款。
根据欧盟执法跟踪网站的数据显示,从2018年至2021年,欧盟成员国共开出853张违反数据安全的罚单。而根据RBS统计的数据泄漏报告,仅是2021年全球范围内披露的数据泄露事件就高达4145起。
数据信息的合规需求,也催生出庞大的市场需求和应用前景。根据知名统计机构Gartner的预测,至2024年,全球范围内以数据隐私驱动的合规投入,将会突破150亿美元的规模。
而在国内市场,阿里巴巴旗下蚂蚁集团已经推出了可信密态计算技术、360集团也开发出了大数据安全能力框架、腾讯入选国家绿色数据中心名单等等,多个涉足隐私信息数据安全防护的企业,都有着较为突出的表现。
考虑到银行职能的限制,至少在“数据银行”还没能实现的阶段,通过第三方数据安全机构提供监管和保护服务,或许能够有效缓解数据安全问题引发的质疑和担忧。
无论如何,商业银行或许都已经到了必须做出改变的时候了。
参考资料:
《“无一幸免”!因监管标准化数据质量问题,21家银行被罚8760万元,光大银行、民生银行罚金最高》——凤凰网
《人民财评:银行要对贩卖客户信息的“内鬼”“零容忍”》——人民网
《构筑数据安全体系,充分发挥数据价值——“数据银行”来了》——和讯网
《Meta因数据泄漏被罚1700万欧元数据安全合规将催生百亿美元市场》——中国网
(来源:资鲸网 摩根频道)