7月11日，中国人民银行酒泉市分行发布的行政处罚信息显示，酒泉农商银行因“未按规定确定网络安全负责人、采取防范计算机病毒的技术措施、健全全流程数据安全管理制度、明确数据安全负责人或管理机构、向行业主管部门定期报送风险评估报告；未按规定履行个人信用信息基础数据库安全管理规定；未按规定履行客户身份识别义务”等多项违法行为，被警告，并被罚款23.95万元。

同时，行内2人被罚。时任该行党委委员、副行长蔡某某，时任该行合规运营部经理肖某某均对“未按规定履行客户身份识别义务”负有责任，各被罚款1.15万元。

上述罚单中，主要涉及网络安全、数据安全、隐私保护、反洗钱等问题。不过，仅针对反洗钱违法行为进行了“双罚”。

而网络安全、数据安全方面，“未按规定确定网络安全负责人、采取防范计算机病毒的技术措施、健全全流程数据安全管理制度、明确数据安全负责人或管理机构、向行业主管部门定期报送风险评估报告”，实际上包含多项更具体的行为。

据《银行科技研究社》了解，2025年已有多家银行收到网络安全、数据安全相关罚单，但“未按规定确定网络安全负责人、明确数据安全负责人或管理机构”在罚单中比较少见。

事实上，法律法规对此提出了要求。

《网络安全法》第二十一条规定，网络运营者应当制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任。

第三十四条规定，关键信息基础设施的运营者还应当设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查。

《数据安全法》第二十七条规定，重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

另外，金融监管机构发布的文件中也有相关要求：

《银行保险机构数据安全管理办法》第十条规定，银行保险机构应当建立数据安全责任制，党委（党组）、董（理）事会对本单位数据安全工作负主体责任。银行保险机构主要负责人为数据安全第一责任人，分管数据安全的高级管理人员为直接责任人，明确各层级负责人的责任，明确违规情形和责任追究事项，落实问责处置机制。

第十一条规定，银行保险机构应当指定数据安全归口管理部门，作为本机构负责数据安全工作的主责部门。

第十四条规定，银行保险机构信息科技部门是数据安全的技术保护主责部门。