湖北银行被罚290万元，涉数据安全管理不到位

2024年4月12日，国家金融监督管理总局湖北监管局发布的鄂金监罚决字〔2024〕6号行政处罚信息公开表显示：湖北银行股份有限公司因“流动资金贷款用途监控不审慎；贷后管理不尽职导致个人贷款资金被挪用；项目贷款管理不尽职，资本金未及时到位；贷款管理不审慎，风险暴露不及时；委托债权投资业务不审慎，形成不良；同业投资业务管理不审慎，形成不良；数据安全管理不到位，存在风险隐患；运维管理不到位，存在风险隐患”，依据《中华人民共和国银行业监督管理法》第二十一条、第四十六条及相关审慎经营规则，被处以罚款290万元。


此次处罚违法违规事实中，涉及“数据安全管理不到位，存在风险隐患；运维管理不到位，存在风险隐患”，再次说明网络和数据安全在金融领域工作开展的重要性以及合规要求的严谨性。

网络和数据安全合规是金融机构安全的一个重要子集，国家在大的制度体系之下，形成了等级保护、数据安全保护、关键信息基础设施保护为顶层架构的安全保护机制，在落实金融机构整体安全的过程中，开展扎实稳健的合规工作，是降低被处罚的有效措施和抓手。

台州银行被罚385万元，涉客户敏感信息保护不到位等

2024年3月27日，国家金融监督管理总局发布的台州监管分局行政处罚信息公开表（台金罚决字〔2024〕8号），国家金融监督管理总局台州监管分局发布的行政处罚信息显示，台州银行存在9项主要违法违规事实，被罚款385万元。其中涉及“客户敏感信息保护不到位”。

中国银行被罚430万，涉迟报重要信息系统重大突发事件等

2023年12月28日国家金融监督管理总局行政处罚信息公开表金罚决字〔2023〕68号显示，中国银行因9项违法违规事实，依据《中华人民共和国银行业监督管理法》第二十一条、第四十六条和相关审慎经营规则被罚款430万元。

中国银行的主要违法违规事实包括：

一、部分重要信息系统识别不全面，灾备建设和灾难恢复能力不符合监管要求；
二、重要信息系统投产及变更未向监管部门报告，且投产及变更长期不规范引发重要信息系统较大及以上突发事件；
三、信息系统运行风险识别不到位、处置不及时，引发重要信息系统重大突发事件；
四、监管意见整改落实不到位，引发重要信息系统重大突发事件；
五、信息科技外包管理不审慎；
六、网络安全域未开展安全评估，网络架构重大变更未开展风险评估且未向监管部门报告；
七、信息系统突发事件定级不准确，导致未按监管要求上报；
八、迟报重要信息系统重大突发事件；
九、错报漏报监管标准化（EAST）数据。


从以上多个处罚案例中，我们看到金融监管将网络安全和数据安全风险隐患都归《中华人民共和国银行业监督管理法》的“审慎经营”规则，而且该条处罚金额额度，远远高于《网络安全法》的最高金额，所以金融类企业在落实网络安全工作中，往往比较靠前而且严谨，在如此高规格的防护下，仍然存在各项于网络和数据安全相关的不合规风险，那些防护不到位，安全意识薄弱的单位，其网络安全防护能力和水平亟待提升。