1月29日，银保监会开出2021年第一张罚单，中国农业银行因涉及发生重要信息系统突发事件未报告、数据安全管理粗放存在数据泄露风险、互联网门户网站泄露敏感信息等六项问题，被罚420万人民币。

具体来看，农业银行涉及的违法违规行为包括：

（一）发生重要信息系统突发事件未报告；

（二）制卡数据违规明文留存；

（三）生产网络、分行无线互联网络保护不当；

（四）数据安全管理较粗放，存在数据泄露风险；

（五）网络信息系统存在较多漏洞；

（六）互联网门户网站泄露敏感信息。

可以看出，农行“六宗罪”主要涉及到两个问题：网络安全与数据安全。

随着金融科技的发展，大量银行业务由线下转为线上，交易链条不断延伸，金融机构生产交易系统之间、以及与外部合作机构系统之间的信息交互明显增多。但是，由于部分机构安全风险防范意识不足，内控管理不到位，技术措施和管理手段缺失，生产交易系统安全风险增大。因此，银保监会近年来也是屡屡发文提示此类风险，并加强了相关风险的检查。

据《中国个人金融信息保护执法白皮书（2020）》不完全统计，截至2020年10月25日，中国人民银行总行及各地分支行开出的行政处罚罚单里，涉及“个人金融信息”的共181张。

这181张罚单罚款金额合计超过1.8亿元人民币；处罚对象包括银行（含农信社，下同）、证券公司、支付机构、消费金融公司等，以及对相关违规行为负有责任的具体人员；处罚的违法行为类型包括未经审批查询个人金融信息、未按规定保存客户身份资料和交易记录、侵害消费者个人信息依法得到保护的权利等。

其中针对企业的罚款为18331.7394万元人民币，针对个人的罚款为427.375万元人民币。从罚款金额来看，企业占比98%，个人占比2%，受到处罚的行政相对企业为主。

普法教育

《网络安全法》第三十一条规定，国家对金融等重要行业和领域，在网络安全等级保护制度的基础上，实行重点保护。根据《关键信息基础设施确定指南（试行）》要求，银行运营为金融行业中的关键业务。

因此，银行一般应被认定为关键信息基础设施运营者，在履行网络运营者的一般安全保护义务的基础上，还需履行关键信息基础设施运营者的特殊义务。而相关的规范规定更是数不胜数，在今年就发布有《个人金融信息保护技术规范》、《网上银行系统信息安全通用规范》、《商业银行应用程序接口安全管理规范》等等多个规范。