开业10个月，山西农商联合银行收首张罚单，涉数据安全、网络安全问题

摘要：近日，开业国家金融监督管理总局山西监管局对山西农商联合银行处以60万元罚款。个月根据披露，山西收首数据该行数据安全管理较粗放，农商存在数据泄露风险；对网上银行外包管理不到位导致发生二级网络安全事件。联合

华夏时报（www.chinatimes.net.cn）记者 李明会 北京报道

正式挂牌开业仅10个月，个月山西农商联合银行就收到来自监管部门的山西收首数据罚单。

近日，农商国家金融监督管理总局山西监管局对山西农商联合银行处以60万元罚款。联合根据披露，该行数据安全管理较粗放，存在数据泄露风险；对网上银行外包管理不到位导致发生二级网络安全事件。

记者注意到，随着数据要素的价值和影响力与日俱增，监管对数据安全的管理也在加码。近年来，银行因数据安全管理不到位“吃”罚单的情况多有发生，主要集中在中小银行。

对此，中国企业资本联盟副理事长柏文喜在接受《华夏时报》记者采访时表示，中小银行在数据安全管理方面存在一些挑战和不足，银行应加强领导层对数据安全的重视，确保全行层面的数据安全策略得到有效执行。

开业仅10个月收罚单

值得一提的是，这是山西农商联合银行自去年11月开业以来收到的首张罚单。记者就该行整改及数据安全管理建设情况致函山西农商联合银行披露邮箱，截至发稿前记者未收到回复。

作为山西省最新挂牌开业的省属金融机构，2023年11月17日，山西农商联合银行在山西省原农村信用社联合社基础上组建成立，成为全国首批采取“上参下”模式改制的农商联合银行。

今年7月，该行召开2024年中工作会议。记者注意到，会议上，山西农商联合银行对2024年下半年的工作方向做出明确部署，将科技建设作为下半年要重点抓好的七项工作之一，明确科技建设要提速升级，全力保障新核心系统稳健运行，启动全省集中互联网中台建设，加强科技队伍建设，做实科技风险排查。同时，将未来两到三年作为该行战略转型期，强调通过强化科技赋能、线上线下联动、建强客户经理队伍，把在农村金融领域的先发优势转化为战略转型的领先优势。

今年8月27日，山西农商联合银行交出了自其挂牌成立以来的首份半年报。数据显示，今年上半年，该行实现营收3.99亿元，利润总额2.17亿元，净利润1.63亿元。

记者注意到，该行今年上半年实际的营业支出为1.79亿元，占年度预算支出的比例不足五分之一。山西农商联合银行表示，该行引导全系统进一步树牢“习惯过紧日子”的思想，大力倡导“绿色办公”“低碳办公”，对集中采购、耗材领用、水电节约等方面实施精细化管理，严控成本、杜绝浪费。

数据安全管理加码

记者注意到，当前数据价值凸显，金融机构的数据安全问题越来越受到监管关注。近年来，已有多家银行因数据安全管理不到位“吃”罚单。

今年4月19日，国家金融监督管理总局湖北监管局披露的信息显示，湖北银行存在8项主要违法违规事实，被罚款290万元。其中2项违法违规事实为数据安全管理不到位，存在风险隐患；运维管理不到位，存在风险隐患。

2023年11月13日，国家金融监督管理总局上海监管局发布的行政处罚信息显示，华美银行（中国）因“生产数据安全管控不足、生产环境安全管控不足”2项违法违规行为，被责令整改，并被罚款60万元。同时，时任华美中国信息科技部主管仲蔚对此负直接管理责任，被警告。

2023年7月14日，原银保监会浙江监管局发布的行政处罚信息显示，浙江农商联合银行因存在“数据安全管理缺失”等11项主要违法违规行为，被罚款380万元。

对此，新智派新质生产力会客厅创始发起人袁帅在接受《华夏时报》记者采访时指出，中小银行应充分认识到数据安全的重要性，将数据安全纳入银行整体战略和风险管理框架中。

柏文喜建议，银行可以参考包括Gartner的DSG架构等在内的科学方法论进行数据安全治理，建立完善的数据安全治理体系，以重点数据为突破口，逐步完善数据安全防护。同时，也可以借助外部专业资源，引入第三方检测、评估等服务机构，提高数据安全管理的专业性。

值得一提的是，2024年3月22日，国家金融监督管理总局发布《银行保险机构数据安全管理办法（征求意见稿）》（下称《办法》），旨在规范银行业保险业数据处理活动。这也是国家金融监督管理总局挂牌成立后发布的第一部有关数据安全的规定。

《办法》要求银行保险机构建立数据安全责任制，指定归口管理部门负责本机构的数据安全工作，明确各业务领域的数据安全管理职责。

其中，党委（党组）、董（理）事会对本单位数据安全工作负主体责任。银行保险机构主要负责人为数据安全第一责任人，分管数据安全的领导为直接责任人。数据安全归口管理部门，作为本机构负责数据安全工作的主责部门，负责制定数据安全管理制度和标准、组织开展数据安全评估和审查、向党委（党组）、董（理）事会、高管层报告等需要统筹管理的数据安全工作。业务部门按照“谁管业务、谁管业务数据、谁管数据安全”的原则，承担数据安全管理责任，落实数据安全保护管理要求。风险合规与审计部门负责将数据安全纳入评价体系，定期开展监督评价。信息科技部门作为数据安全的技术保护主责部门，负责建立数据安全技术保护体系、组织开展信息系统的生命周期安全管理等工作。

不过，对于数据安全归口管理部门是否必须是独立的内设部门，目前尚无定论。有业内人士表示，若必须新设部门，对中小机构而言成本较高。

责任编辑：孟俊莲 主编：张志伟