行政处罚|某农商未明确数据安全负责人或管理机构

前言

点击下方 "深圳市网络与信息安全行业协会"公众号关注, 设为星标。

近日，中国人民银行酒泉市分行发布一则行政处罚决定信息，涉及数据安全问题。

酒泉农村商业银行股份有限公司因数据安全问题被处罚

▽

酒泉农村商业银行股份有限公司存在三项违规行为：

1.未按规定确定网络安全负责人、采取防范计算机病毒的技术措施、健全全流程数据安全管理制度、明确数据安全负责人或管理机构、向行业主管部门定期报送风险评估报告。
2.未按规定履行个人信用信息基础数据库安全管理规定。
3.未按规定履行客户身份识别义务。

被中国人民银行酒泉市分行处以警告，罚款23.95万元。

此外，时任酒泉农村商业银行股份有限公司党委委员、副行长因对酒泉农村商业银行股份有限公司“未按规定履行客户身份识别义务”违法行为负有责任，被处罚款1.15万元；时任酒泉农村商业银行股份有限公司合规运营部经理肖某某因对酒泉农村商业银行股份有限公司“未按规定履行客户身份识别义务”违法行为负有责任，被处罚款1.15万元。

法条链接：

《中国人民银行业务领域数据安全管理办法》

第十一条 数据处理者应当切实履行业务数据安全保护责任，明确业务数据安全保护相关内设部门职责，配备与业务范围和服务规模相适应的数据安全专业人员，细化业务数据安全保护奖惩规程。

第十二条 数据处理者应当建立健全全流程业务数据安全管理制度，结合业务数据分类分级明确差异化的安全保护措施，制定业务数据处理活动操作规程和业务数据安全相关内部审批授权规程，明确操作实施和审批授权记录的留存要求。

第四十二条 重要数据的处理者应当自行或者委托第三方评估机构，每年对业务数据开展一次风险评估，并于每年1月15日前向中国人民银行或者住所地中国人民银行省级分支机构报送上一年度风险评估报告。除法律、行政法规已明确应当评估的内容外，风险评估报告还应当包含与存储重要数据信息系统相关的人员培训与日常管理情况，与业务数据相关的岗位职责落实情况、网络安全等级保护测评和整改情况、保护措施执行情况、本年度风险监测和事件处置情况，以及中国人民银行要求的其他评估内容。

第四十九条 数据处理者未履行本办法规定的数据安全保护义务，有下列情形之一的，中国人民银行及其分支机构依照《中华人民共和国数据安全法》第四十五条予以处罚：

（一）未依照法律、行政法规对应规定，建立健全全流程业务数据安全管理制度的。

（二）未依照法律、行政法规对应规定，组织开展业务数据安全教育培训的。

（三）未依照法律、行政法规对应规定，采取相应的技术措施和其他必要措施，保障业务数据安全的。

（四）重要数据的处理者未明确业务数据安全负责人和管理机构的。

（五）未有效监测业务数据安全风险的。

（六）发现业务数据安全风险未立即采取补救措施的。

（七）发生业务数据安全事件未立即采取处置措施，未及时告知用户，或者未按照要求报告事件情况的。

（八）重要数据的处理者未每年对业务数据开展一次风险评估，或者未按照要求报送风险评估报告的。

《中华人民共和国数据安全法》

第四十五条　开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

NIS研究院整理编辑

文章来源：合规社

·END·

深圳网信安协会

NIS研究院

更多信息请关注协会公众号

深圳市网络与信息安全行业协会