家金融监督管理总局7月18日发布的行政处罚信息显示,中行嘉兴分行存在6项主要违法违规行为,其中包括“违规泄露客户信息”等,依据《中华人民共和国银行业监督管理法》第四十六条第五项、第四十八条第二项,《中华人民共和国商业银行法》第七十三条第三项,被原银保监会嘉兴监管分局处以罚款210万元。
《银行科技研究社》了解,此前已有多个银行罚单或相关判决书指向信息泄露、侵犯个人信息问题。
比如2022年1月,裁判文书网披露的一则刑事判决书显示,被告人李志远(本溪银行职工)于2019年9月19日至2020年12月,通过网络认识“妮子”,通过由“妮子”提供人员的身份信息,由李志远在位于本溪市平山区东明的本溪银行普惠金融部,利用其职务便利,伪造袁某、林某等人员在本溪银行办理业务的事实,查询公民个人征信报告,并将查询后的征信报告以每份300元至350元不等的价格出售给“妮子”,并计出售个人征信报告915份,非法获利人民币232250元。
最终,法院判决:李志远犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑三年,并处罚金10万元。在案扣押的违法所得232250元,由扣押机关予以没收,上缴国库;在案扣押的作案工具手机一部,由扣押机关予以没收。
2022年11月14日,中国人民银行行政处罚信息显示,本溪银行因过失泄露信息,被罚40万元。时任该行普惠金融部直营中心代理经理郭佩强,对此负有直接责任,被罚7.1万元。
2023年6月30日,国家金融监督管理总局信息显示,本溪银行原副行长李志刚在该行工作期间,对敏感数据信息存在泄露风险、瞒报信息系统突发事件、监管要求落实严重不到位等违法违规事实负有责任。根据《中华人民共和国银行业监督管理法》第四十八条规定,本溪银保监分局拟对其作出行政处罚。
值得注意的是,国有银行也有多个罚单涉及信息泄露。
比如2021年12月2日,原银保监会行政处罚信息显示,工行台州分行因“违规操作并泄露个人存款账户交易信息”被罚款27万元。
2020年11月,中国人民银行吉林市中心支行发布的罚单显示,农行吉林市江北支行因“侵害消费者个人信息依法得到保护的权利”“违反反洗钱管理规定,泄露客户信息”被警告,并被罚款1223万元。
2021年1月29日,原银保监会行政处罚信息显示,农行因“互联网门户网站泄露敏感信息”“数据安全管理较粗放,存在数据泄露风险”“制卡数据违规明文留存”等6项违法违规行为,被罚款420万元。
关于银行泄露信息,池子事件关注度较高。
2020年5月,脱口秀演员池子发文,称中信银行上海虹口支行在未经其本人授权的情况下,将其个人账户明细提供给“上海笑果文化传媒有限公司”。
2021年3月,原银保监会消保局发布的罚单显示,中信银行因“客户信息保护体制机制不健全;客户信息收集环节管理不规范;未经客户本人授权查询并向第三方提供其个人银行账户交易信息;对客户敏感信息管理不善,致其流出至互联网;违规存储客户敏感信息;系统权限管理存在漏洞,重要岗位及外包机构管理存在缺陷”等被罚450万元。
无论如何,银行对信息泄露问题必须予以更大的重视。
当然这种因企业内部管理和系统权限管理漏洞引发的数据安全问题,我们再之前也提到过。
因此,企业进行数据管理,应首先考虑信息安全的核心三要素,即保密性( Confidentiality )、完整性( Integrity )和可用性( Availability )。
2. 完整性:保证信息从真实的发信者传送到真实的收信者手中,传送过程中没有被非法用户添加、删除、替换等。
3. 可用性:保证授权用户能对数据进行及时可靠的访问。
而无论是数据的保密性、完整性还是可用性,都离不开「访问控制」问题,也就是说,企业的数据安全保障与权限管理密切相关,数据权限管理是企业数据安全的重要保障内容。
从企业合规思维出发,内部数据权限管理可从以下两个方面展开。
数据权限管理的基础是明确企业内不同角色的权限范围。
为此,企业首先需要有准确、合理的分权维度,根据业务或产品的实际情况明确是依据区域、城市还是由部门、岗位,亦或是依据业务线、产品线来划分。
该问题与企业数据的分级分类有关,只有先完成产品或业务数据的梳理,做好分级分类工作并明确每项数据对应的安全等级,才能准确为数据设置不同权限。
最后需注意,企业内部权限管理涉及的「权限」中一般分为两类:操作权限与数据权限:
例如:在都有订单记录修改接口权限的情况下,「普通用户」只能修改自己角色下所属的订单记录,管理员则通常可修改所有的订单记录。
若我们把操作权限比作公寓钥匙,那数据权限则解决的是拥有钥匙后可以进入哪些房间/可以接触哪些公寓物品的问题。
企业在权限管理时不仅需解决操作权限问题,还需明确相应的数据权限。
在明确权限范围的基础上,企业内部应建立数据合规档案对权限进行管理,档案内容应包括数据清单( DI,Data Inventory )、权限清单和数据流向图。
此外,档案内容应保持动态更新,对离职、调岗员工权限及时进行修正或清除。
最后,企业可在合规档案基础上建立权限管理系统,可通过系统设置限制不同角色身份的操作权限与数据权限,对不同角色权限操作记录自动留档,并设计安全框架进行身份验证,避免非账号本人登陆的情况发生。
企业应建立数据合规探针机制,即对企业内数据运转情况进行监测,对权限异常状况进行风险预警,风险监测应包括以下几方面内容:
① 异常行为监测:对系统内相关操作权限行为设置识别程序,实时监测异常行为,如荒废账号突然启用,多次异常登陆,角色账号数据权限下的异常大批量数据处理行为等。
② 权限数量排查:定期对权限数量进行排查,如大批量开通新权限数量,可能涉及管理账号违规开设等情形。
③ 权限匹配监测:对角色权限与原设定职位、部门或是其他分权维度的匹配度进行监测,判断是否有“多余”或不匹配的权限。
④ 信息传输监测:对内部数据传输行为进行监测,如工作电脑的外部储存设施接入情况排查、企业邮箱监测等。
⑤ 定期确认最新权限:建议企业每半年梳理查询一次系统权限,确认在职员工权限范围以及离职员工权限清理情况。
在数据权限管理方面,企业除了可以在宏观层面落实权限管理方案外,微观层面的制度设计与员工意识培训也是需考虑的内容。 1. 管理制度设计 企业应明确制定与权限管理系统匹配的权限管理制度。 首先,应对不同角色员工的操作全权限、数据权限进行明文规定;其次,应就权限申请方式、审批流程进行细致规定,并明确规范的数据处理操作;最后,需设立标准明确的惩处机制,对越权操作、恶意操作、账号租借等行为进行严格处罚。 2. 员工意识培训 在制度规定之外,企业还应展开员工培训,一方面应确保员工了解自身权限范围及对权限范围内数据的正确处理方式,另一方面还应通过更宏观的培训内容提升其数据安全意识,可通过介绍一些实践场景中的反例让员工了解企业数据泄漏可能导致的违法后果,切忌空泛、走过场的形式培训。
数据安全问题是企业开展数据合规的主要目标之一,而权限管理则是其中不可或缺的内容。一方面,企业应制作并严格贯彻数据权限管理方案,另一方面则应着眼于相关员工制度设计与意识培训,两者相辅相成,更能筑牢企业内部的数据安全保护防线。
经营性网站备案信息
可信网站信用评价
网络警察提醒您
诚信网站
中国互联网举报中心
网络举报APP下载
