福建省屏南县农村信用合作联社及相关责任人日前因多项违法事实被监管部门处罚。

　　据5月21日国家金融监督管理总局信息显示，该社及相关责任人因“数据安全管理不到位；案件风险防控不到位”被宁德金融监管分局合计处以65万元罚款，对周贵标给予警告，对陈志伟给予警告，对郑小隆禁止从事银行业工作三年。

　　据金融监管业内人士介绍，这两问题是近年金融监管处罚和专项整治中的高频事由——尤其随着《数据安全法》《个人信息保护法》以及金融监管总局《银行保险机构数据安全管理办法（征求意见稿）》的落地，"数据安全管理不到位"与"案件风险防控不到位"正成为重点查处对象。

1.数据安全管理不到位

　　此处主要指银行未按《商业银行内部控制指引》《个人金融信息保护技术规范》（JR/T 0171—2020）及《银行保险机构数据安全管理办法》相关要求，建立并落实客户信息、业务数据全生命周期安全管控措施。典型表现：

（一）客户个人信息采集与存储违规；

• 超范围采集客户个人信息（如过度收集人脸、住址、亲属信息），未明示获取目的与范围；

• 客户敏感信息（身份证号、卡号、密码、征信报告、交易明细）明文存储在业务系统或线下纸质档案中，未加密或权限控制；

- 将含大量客户信息的Excel、报表通过微信、外网邮箱、私人U盘传输、存储。

（二）访问权限与账号管理混乱

• 员工账号权限过大（如普通柜员可查询全行客户信息），未遵循"最小授权"原则；

• 离岗、离职员工系统账号未及时停用或改密；

• 存在公用账号、混用账号，操作无法追溯到具体人员。

（三） 日志与审计缺失

• 未对敏感数据查询、导出、修改、批量打印等操作留痕或日志保存期不足；

• 未对异常批量下载客户数据、非工作时间高频查询等行为设置告警和核查机制。

（四）外包与第三方管理失控

• 将涉及客户数据的系统开发、运维外包给第三方公司，但未签保密协议、未约束数据使用范围、未监督销毁测试数据；

• 允许外包人员在无银行人员陪同下接触生产环境或真实客户数据。

（五）终端与网络防护不足

• 营业网点终端未锁屏、未禁用USB接口，任由连接私人设备；

• 内网与外网边界不清，未部署防泄密（DLP）系统，被植入木马或拖库风险高。

2.案件风险防控不到位

　　"案件风险防控不到位"通常指银行未按《银行业金融机构案件风险防控指导意见》（银监发〔2017〕19号）建立有效的案件（含业内案件——员工因作案被刑侦立案）预防、排查、处置机制。典型表现：

（一）未建立常态化案件风险排查机制

• 未定期开展重要岗位、关键环节（柜面、信贷、冲账、抹账、尾箱、重要空白凭证）的风险排查；

• 对已发现的异常交易（频繁抹账、尾箱长短款反复出现、异常大额现金支取）未深入核查。

（二）关键岗位制约与轮岗制度未落实

• 基层负责人、信贷主管、会计主管长期不轮岗、不强制休假；

• 记账与复核、业务受理与审批相容岗位未分离，出现"一手清"（如一人既办业务又授权）。

（三）对已知隐患未及时整改

• 内审、合规检查已指出某网点或部门存在凭证管理混乱、授权流于形式等问题，但长时间未督促整改、未问责；

• 历史上曾发生员工异常行为（参与担保、借贷纠纷）仍安排其在关键岗位继续任职。

（四）案件（或重大违规）迟报、瞒报

• 发生资金缺口、客户资金被挪用等疑似案件后，拖延向监管部门报送案件信息，甚至内部"消化"、私了。

（五）安防与操作风控措施虚设

• 重要空白凭证、业务印章、印鉴卡保管使用无登记或双人复核；

•  ATM加钞、金库出入未严格执行双人双锁和视频监控全覆盖。

3.为什么会这样？

　　监管专家指出，造成这些问题的原因，可能有以下这些：

• 合规与成本博弈：部分中小银行更重视业务拓展系统建设，对数据安全、内控系统投入不足，认为"出不了大事"或"概率低"。

•  组织架构缺陷：案件防控职能分散在合规、风控、审计多个部门，职责边界不清，基层网点"重业绩、轻内控"，上级条线监督鞭长莫及。

• 人员素质与意识薄弱：一线员工对个人信息保护、数据泄露法律后果认识不足；管理层对案件风险信号（员工经商、涉诉、嗜赌）敏感性差。

• 外包依赖与监管滞后感：大量科技外包使数据接触面扩大，但银行对外包商准入、过程监管、退出销毁环节控制不到位。

• 考核导向偏差：关键岗位绩效绑定拉存款、放贷款指标，轮岗、强制休假被视为影响"关系客户维护"而被人为规避。

4.可能造成的社会危害

　　专家指出，这些问题若不能得到彻底解决，可能导致一下危害：

• 公民个人信息大规模泄露：银行掌握最完整的金融画像，数据管控缺位易被内部人员倒卖或遭黑客窃取，催生精准电信诈骗、洗钱、身份冒用贷款等次生犯罪。

• 诱发银行从业人员犯罪案件：案件防控薄弱直接导致挪用资金、职务侵占、违法发放贷款、伪造金融票证等案件高发，造成银行巨额资金损失，严重时冲击区域金融稳定。

• 损害金融消费者合法权益：信息泄露+内控失效叠加，可能出现"内鬼"冒用客户身份开户、转账、申请网贷，受害人维权取证极为困难。

• 削弱公众对金融机构信任：大型数据泄露事件或窝案曝光后，会降低社会公众对整个银行体系信息安全与诚信度的信心。

5.咱普通人该怎样防范？

　　专家指出，作为普通储户，应该警惕以下事项：

• 保护自身敏感信息不随意提供  

　　除法定开户/授信必须外，警惕银行工作人员（或自称银行合作方）以"升级""送礼""办卡"为由额外索要短信验证码、银行卡密码、U盾、人脸识别动态码。

　　正规银行绝不会索要您的密码和验证码。

• 关注账户异动，定期自查征信  

　　开通账户变动短信/微信提醒；每年至少查一次个人信用报告（人民银行征信中心官网或银行网点），看是否有未知贷款、信用卡开户记录。

• 谨慎对待"熟人经理"特殊关照  

　　如果某位银行员工让您把资金转入个人账号、承诺"保本高息"、要求签署空白合同或不在监控区办手续，高度警惕可能是飞单或挪用资金前兆。

• 理性看待银行数据存储局限  

　　即便银行有义务保护您的信息，仍建议对身份证复印件标注"仅供××银行××业务使用，再复印无效"，减少被滥用风险。

• 遇信息泄露嫌疑及时维权  

　　发现非本人操作交易或接到冒充银行诈骗电话（能说出您部分信息），立即冻结账户并向银行投诉；如怀疑信息源自银行泄露，可向金融监管总局或者当地监管分局、网信部门举报，必要时起诉索赔。

来源：国家金融监督管理总局

原文链接：点击跳转

如有澄清，请来电来信联系

投诉举报：点击跳转

法律咨询：点击跳转

举报•投诉邮箱：536754475@qq.com

监督电话：13041130188