3月19日，中国银保监会下发第5号罚单，中信银行被处罚单450万元。罚单显示，中信银行的违法违规案由包括：

一、客户信息保护体制机制不健全；柜面非密查询客户账户明细缺乏规范、统一的业务操作流程与必要的内部控制措施，乱象整治自查不力。

二、客户信息收集环节管理不规范；客户数据访问控制管理不符合业务“必须知道”和“最小授权”原则；查询客户账户明细事由不真实；未经客户本人授权查询并向第三方提供其个人银行账户交易信息。

三、对客户敏感信息管理不善，致其流出至互联网；违规存储客户敏感信息。

四、系统权限管理存在漏洞，重要岗位及外包机构管理存在缺陷。

中信的客户信息泄漏案

2020年5月6日，知名脱口秀演员池子（本名王越池）在个人微博账号上发长文怒斥中信银行侵犯个人隐私，将他的个人流水信息违法违规提供给第三方。池子表示，他已经向公安局报警完成了笔录。

5月7日凌晨，中信银行在其官方微博发布致歉信称，关于王越池先生（艺名“池子”）通过微博反映其个人账户交易信息被调取一事，经该行核实，近期上海笑果文化传媒有限公司联系开户支行，要求查询其为员工王越池先生支付劳务工资记录时，该行员工未严格按规定办理，提供了王越池先生的收款记录。对此，中信银行向王越池先生郑重道歉。

中信银行称，该行已按制度规定对相关员工予以处分，并对支行行长予以撤职。

5月9日，中国银保监会消费者权益保护局发布通告表示，2020年3月，中信银行在未经客户本人授权的情况下，向第三方提供个人银行账户交易明细，违背为存款人保密的原则，涉嫌违反《中华人民共和国商业银行法》和银保监会关于个人信息保护的监管规定，严重侵害消费者信息安全权，损害了消费者合法权益。

我局将按照相关法律法规，启动立案调查程序，严格依法依规进行查处。

人民银行：“零容忍”坚决依法严厉打击

1月29日，银保监会开出2021年第一张罚单，中国农业银行因涉及发生重要信息系统突发事件未报告、农行因发生重要信息系统突发事件未报告、数据安全管理粗放存在数据泄露风险、互联网门户网站泄露敏感信息等六项问题，被罚420万人民币。

农行吃到了银保监会2021年对银行的第一张罚单，中信银行吃到了第二张，两张罚单的案由是一致的：个人金融信息保护。

中国人民银行副行长范一飞曾表示，目前部分消费者和金融机构数据保护意识相对不足，对数据泄露环节和危害认识不到位，而不法分子窃取数据的手段却不断翻新，从面对面诱骗到远程网络攻击，从木马病毒到短信嗅探，个人隐私泄露等安全事件频频发生，甚至危及人民群众生命财产安全，数据安全保护刻不容缓。

在银行数据化转型具体的落地过程中，数据是基础，当然，银行最不缺的就是数据。波士顿咨询公司曾指出，银行业每创收100万美元，会平均产生820GB的数据，数据强度高踞各行业之首。

从数据涵盖范围来看，数据类型包括以工资、公积金、消费贷款等为代表的结构化数据和以文档、图片、音像和地理位置信息等种类繁多的非结构化和半结构化数据，类型丰富而全面。

因此，在一段时间里，银行数字化转型的首要问题是：“如何高效的挖掘数据，发挥数据的最大价值？”而现在，在这个课题中，“高效”和“最大价值”已经不是首要关键词，“安全”才是首位。

人民银行对此表示，近年来，金融机构消费者金融信息保护意识不断增强，管理水平不断提升。但也有部分金融机构工作人员无视法律和规定，严重侵害了消费者金融信息安全权，甚至泄露履行反洗钱职责获得的相关信息，反映出部分金融机构的金融消费权益保护意识不足，内部控制仍需持续强化。人民银行高度重视消费者金融信息保护和反洗钱信息保密工作，坚持对侵害消费者金融信息安全行为“零容忍”，对侵犯金融消费者合法权益的违法违规行为坚决依法严厉打击。

自2013年以来每年均开展以消费者金融信息保护为主要内容的监督检查工作，严肃查处相关机构在消费者金融信息保护方面的违法违规行为。此外，还不断提高非现场监管水平，通过金融消费权益保护评估等方式，对金融机构进行持续、动态监测。对金融机构超范围收集、非法存储、超范围使用或者泄露消费者金融信息等违反消费者金融信息保护规定的行为依法进行严肃查处，强化对信息违法违规行为的震慑力。

下一步，人民银行将进一步强化消费者金融信息安全监管和反洗钱信息保密工作，督促金融机构履行主体责任，持续完善有利于保护消费者金融信息安全和落实《反洗钱法》信息保密要求在内的各项金融消费者权益机制，切实保护金融消费者长远和根本利益。

据《中国个人金融信息保护执法白皮书（2020）》不完全统计，截至2020年10月25日，中国人民银行总行及各地分支行开出的行政处罚罚单里，涉及“个人金融信息”的共181张。

这181张罚单罚款金额合计超过人民币1.8亿元（以下涉及的罚款金额均为人民币）；处罚对象包括银行（含农信社，下同）、证券公司、支付机构、消费金融公司等，以及对相关违规行为负有责任的具体人员；处罚的违法行为类型包括未经审批查询个人金融信息、未按规定保存客户身份资料和交易记录、侵害消费者个人信息依法得到保护的权利等。

其中针对企业的罚款为18331.7394万元，针对个人的罚款为427.375万元。从罚款金额来看，企业占比98%，个人占比2%，受到处罚的行政相对人以企业为主。

点击下载：《中国个人金融信息保护执法白皮书（2020）》