金融数据监管全景分析 | 2022年以来,一行两会都在罚什么?
欢迎点击上方 TMT法律论坛 关注我们
导读
Law
★
NEWS
★
近日,中国人民银行杭州中心支行公示的一行政处罚信息显示:因存在未按规定履行客户身份识别义务、未按规定保存客户身份资料和交易记录、未按规定履行大额和可疑交易报告义务、与身份不明的客户进行交易四项违规行为,绍兴银行被处罚款550万元;同时,时任绍兴银行各相关部门负责人的7名人员分别因对前述各项违规行为负有责任,被处罚款1-7万元不等。
同日,中国人民银行杭州中心支行公示的另一行政处罚信息显示:因违反支付清算管理相关规定、未按照规定履行客户身份识别义务、未按照规定保存客户身份资料和交易记录、未按照规定报送可疑交易报告、与身份不明的客户进行交易,快捷通支付服务有限公司被没收违法所得43.25万元,并处罚款808万元。
上述行政处罚并非个例。随着我国数据合规治理体系的不断完善,作为数据密集型领域,金融领域数据合规也愈发受到监管部门关注。本文收录整理了2022年1月至2022年5月中国人民银行、中国银保监会、中国证监会及其各自分支机构(以下统称“一行两会”)所公布的涉及数据监管相关行政处罚数据325条[注1],并从处罚对象、处罚事由、处罚措施等多维度对上述数据进行分析,同时结合一行两会2022年以来发布的重要立法、通报等文件,通过图文结合的方式,帮助企业了解金融数据监管侧重点,有效预防、提前预警。
*全文图片均可点击放大查看。
全景分析
Overview
2022年1月-5月金融数据监管全景分析
一
行政处罚相对人
数据显示,今年以来,银行一直是监管关注的重点对象。325条数据中,行政处罚相对人为企业的有173条数据,其中超67%以银行为处罚对象。除银行外,保险机构与农村信用合作联社也是受监管关注的重点类型。
在173条以企业为行政处罚相对人的数据中,73条同时涉及对自然人进行处罚。可见,在对企业进行处罚的案例中,约有42.2%涉及对企业与相关负责人实施“双罚”。
二
行政处罚事由
归纳325条数据所涉违法违规事由关键词,可总结为数据质量、数据处理合规、数据安全管理、个人信息主体权利保护四大方面。同时,存在5条仅宽泛提及事由涉及“消费者金融信息保护”,而未详细说明具体违法违规行为的行政处罚数据。
数据质量
数据质量是一行两会监管的重中之重。数据真实性是数据质量的重要组成部分。《银行业监督管理办法》第四十六条及《保险法》第一百七十条均明确编制或者提供虚假的或者隐瞒重要事实的报告、报表、文件、资料为违法事由。数据报送合规是数据质量的另一大要点。今年4月,银保监会下发《关于银行保险机构股权和关联交易监管信息系统数据质量突出问题的通报》,指出部分银行保险机构存在数据报送不及时、数据填报不准确、数据穿透不到位等问题,并对45家机构进行了通报。
在业务涉及的各类数据中,金融领域企业,特别是银行机构需着重关注监管数据质量合规。根据《中国银保监会监管数据安全管理办法(试行)》,监管数据是指银保监会在履行监管职责过程中,依法定期采集,经监管信息系统记录、生成和存储的,或经银保监会各业务部门认定的数字、指标、报表、文字等各类信息。该定义较为宽泛,据此认定的监管数据可能同时兼具重要数据、商业秘密等属性。
2020年5月,因监管标准化数据(EAST)数据质量不合规,8家银行机构收到银保监会开出的总计1770万元的罚单。同年7月,银保监会向各银保监局、会管金融机构下发《关于监管数据质量专项治理自查自评事项的通知》,要求各银行保险机构对本机构监管数据质量状况和治理工作情况进行全面自评估。今年3月,银保监会再次对EAST数据质量进行监管,开出总计罚款金额达8760万元的21张罚单。5月,银保监会发布《银行保险监管统计管理办法(征求意见稿)》,进一步细化强调监管统计资料质量。整体上看,银保监会对监管数据质量的整治力度呈现强化趋势,可以预见,监管数据质量未来仍将是金融数据合规的主要领域。
数据处理合规
数据处理合规包括数据全生命周期处理合规,也包括对数据处理应具有合法性基础、个人信息处理规则告知义务等的强调。
在金融数据领域,监管机关着重关注,同时亦是企业较易触发的违法违规事由主要涉及客户身份资料\身份识别工作记录和交易记录保存、金融消费者信息处理及信用信息处理。
客户身份资料\身份识别工作记录和交易记录保存是企业履行《反洗钱法》《反恐怖主义法》《金融机构反洗钱规定》等规定的反洗钱、反恐怖主义等义务的基础。今年1月,中国人民银行、银保监会、证监会联合发布《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》,对此项义务进行了更为具体的规定。
就金融消费者信息处理而言,中国人民银行发布的《中国人民银行金融消费者权益保护实施办法》与今年5月银保监会发布的《银行保险机构消费者权益保护管理办法(征求意见稿)》共同构成了当前金融领域消费者信息保护的基石。根据前述办法,企业应当充分建立消费者金融信息保护制度,确保具备消费者金融信息处理的合法性基础,充分履行消费者金融信息处理规则告知义务,规范消费者金融信息使用,依法开展营销活动,加强合作方管理,强化消费者金融信息安全事件应对能力等。除行政处罚外,监管机构也在其他执法活动中强调了金融消费者信息处理合规。如今年2月,银保监会点名通报某车企有关消费者信息授权使用的格式条款未遵循合法、正当、必要的原则。
在信用信息处理方面,今年1月起,《征信业务管理办法》正式施行。作为《征信业管理条例》的配套制度,该办法规范了信用信息处理全生命流程,强调信用信息安全保障以及相应的监督和法律责任承担,如明确信用信息采集应遵循“最小、必要”原则等。可以预见,随着《征信业务管理办法》的生效,相关处罚将有所增加。信用信息处理不合规不仅是高频行政处罚事由,同时也较易触发高额罚单,如今年1月,仅因违反信用信息采集、提供、查询及相关管理规定一项事由,东亚银行(中国)有限公司被中国人民银行上海分行处以1674万元罚款。
数据安全管理
数据安全管理相关行政处罚事由主要集中于信息系统安全性存在缺陷与信息安全管理制度缺失两大方面。《中国银保监会监管数据安全管理办法(试行)》等文件对这两方面均提出了更为细致的要求。
除行政处罚外,一行两会也在其他执法活动中强调数据安全管理的重要性。
今年5月,证监会机构部下发《机构监管情况通报》,重点通报了近期发生的多起信息系统安全事件案例。根据证监会机构部的分析,频发的信息安全事件反映出企业的如下五方面问题:
一是个别公司合规内控管理不到位,系统升级改造过程中存在薄弱环节。
二是主体责任意识不强、履行不力,未清晰、准确、完整掌握外部供应商提供软件的系统架构。
三是运维人员操作规范性不足,未能建立有效的权限管理及复核机制。
四是移动APP开发管理存在短板,已成为信息系统安全事件易发领域。
五是安全管理存在漏洞,应对外部网络攻击或爬虫程序访问等网络防护能力仍需提升。
证监会提出,企业可从五方面加强应对前述问题:
一是高度重视、加强管理,切实提升系统运维保障能力。包括应当健全信息技术管理体系和处罚问责机制;完善公司内部安全运营的制度措施及健全安全复核校验机制;结合当前疫情防控形势,加大信息技术投入,提升技术人员业务能力,保持核心技术人员稳定,做好应急值守安排等。
二是强化内部控制和合规管理,稳妥推进系统升级改造。包括明确内部责任分工;制定专项实施方案,审慎开展涉及交易等核心业务环节的重要信息系统升级工作;完善系统测试工作等。
三是定期开展系统健壮性评估,及时消除风险隐患。包括全面、准确识别数字化转型过程中的各类技术风险,确保合规与风险管理覆盖信息技术运用的各个环节;建立健全信息系统安全监测机制,设定监测指标并持续监测重要信息系统的运行状况;定期开展信息技术管理工作专项审计,深入排查信息系统架构问题及技术风险隐患,并根据审计排查情况及时整改。
四是严格落实客户信息保护要求,切实维护投资者合法权益。包括完善技术安全保障措施;加强信息系统管理、操作和访问权限管理,确保用户权限与工作职责相匹配;落实相关法律法规要求,加强移动APP管理,完善发布前的审核检测机制,持续监督信息技术服务机构等外部机构保密协议履行情况,避免因合作机构管理不当导致投资者信息外泄。
五是加强容量管理与灾备能力建设,提升应急处突能力。包括落实系统容量管理及备份能力建设要求,结合公司发展战略、业务规模等因素定期对重要信息系统开展压力测试,确保其容量满足业务开展需要;制定并持续完善应急预案;丰富应急处置场景,健全应急处置机制。
根据《机构监管情况通报》,下一阶段,证监会机构部还将会同各证监局按照“穿透式监管、全链条问责”的原则,持续加大对证券基金经营机构合规内控与信息技术管理的监督检查力度,对存在问题的机构和负有责任的人员实施“双罚”,并在分类评价中从严处理。
此外,数据治理有效性也是监管关注点之一。[注2]根据银保监会于2018年发布的《银行业金融机构数据治理指引》第五条规定,银行业金融机构数据治理应当遵循全覆盖、匹配性、持续性及有效性原则。数据治理有效性即数据治理应当推动数据真实准确客观反映银行业金融机构实际情况,并有效应用于经营管理。
个人信息主体权利保护
个人信息主体权利保护主要聚焦个人信用信息相关权利。根据前述信用信息相关立法文件规定,金融机构具有如实记录、准确反映、及时更新用户信用记录的义务,对于不当的信用评价,个人有权提出异议,请求采取更正或删除等措施。
三
行政处罚种类
证监会较少采取罚款措施,一般责令企业改正违法违规事项,对企业负责人等自然人则多采取监管谈话或出具警示函措施。
与证监会不同,警告与罚款是中国人民银行与银保监会最常采用的处罚措施。
在中国人民银行开出的163张行政处罚单中,所有罚单均包括罚款措施,同时有85张罚单涉及警告措施。
银保监会较中国人民银行,更偏向于对个人采取警告措施,对企业则更倾向于开具罚款。
余论
comment
2022年虽尚未过半,但近5个月内主要金融数据监管机关的执法活动,已从一定程度上反映了金融领域数据治理的重点。
综合前述分析,我们建议金融领域企业重点确保履行监管数据质量控制与报送义务、客户身份资料\身份识别工作记录和交易记录合规义务、金融消费者信息及信用信息保护义务,同时着重加强金融数据相关信息系统建设与APP治理。
注
[注1] 本文统计数据源于中国人民银行、银保监会、证监会等官方网站公开发布的处罚信息,数据统计时间截至本文发布之日。
本文的分析仅基于前述数据作出,所得出的分析结论仅供参考。
[注2] 需要说明的是,虽有29条行政处罚数据涉及数据治理有效性不足,但这29条数据实际为针对同一事件涉及的29个不同主体基于同一事由开出的罚单。
附录
2022年至今中国人民银行开具的十大高额行政罚单
1. 以企业为行政处罚相对人
2. 以自然人为行政处罚相对人
2022年至今银保监会开具的十大高额行政罚单
1. 以企业为行政处罚相对人
2. 以自然人为行政处罚相对人
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 林婉琪