3月25日晚间，银保监会以“监管标准化数据”存在数据质量违法违规行为为理由，对21家银行进行了大规模处罚。

其中，在2021年8月份为数据资产估值提供了权威计算公式的光大银行，和民生银行一起，以490万元的高额罚款在商业银行中并列第一。

戏剧性的变故，在让光大银行的信息数据风险把控能力遭到质疑之外，也让此前提供计算公式的可信度大幅下降。再加上本次处罚所波及的银行规模，则更是足以引发各界对整个行业的担忧。

银行的数据安全，真的已经糟糕到这种地步了吗？

一、“内鬼”和“潜规则”泛滥，银行数据安全有待肃清

本次银保监会的处罚名单，几乎是将知名度最高的一批银行，都给“一网打尽”了。

以银行类别进行简单归纳，罚款金额和处罚理由大概如下：

国家开发、进出口、农业发展三大政策性银行累计被罚1340万元。其中除了国家开发银行的违规行为涉及理财产品外，其余二者主要受罚原因，都集中于账目和数据上的“漏报”、“错报”。

工商、农业、中国、建设、交通、邮储六大国有银行累计被罚2580万元。尽管各个银行的违规行为各不相同，但在处罚原因中，都有着“2018年行政处罚问题依然存在”的描述。

光大、民生、平安、广发等等12家股份制商业银行累计被罚4840万元。相比于前两类银行，这12家银行的违规行为要更为相似，具体描述上更是以“漏报”、“未报送”、“偏差”等词语为主。

当然了，这些处罚决定都是银保监会经过长时间的调查取证后，才以集中通告的方式进行公布。至于为什么会出现如此大规模违法违规行为，可能主要基于这两方面的原因：

有“内鬼”。

关于“内鬼”的说法，并非来源于什么小道消息和“知情人士”透露，而是有着官方媒体的认定。

在3月29日，人民网发布了一篇财经评论。文中援引了前段时间裁判文书网披露的一则，关于本溪银行员工出售征信报告非法获利超23万元的判决文书，并将类似的犯罪人员称作银行“内鬼”，同时点明了要保持“零容忍”的严肃态度。

尽管并没有直接证据表明，本次被银保监会处罚的银行中存在“内鬼”作祟的行为，但是前后相隔时间如此接近，大概率不会只是一次巧合。

个别银行默许“潜规则”。

对大部分行业而言，难免会有一些仅存于灰色地带的“潜规则”。而对于这些有利于开展业务的灰色规则，有时候也会获得个别银行的默许。

就比如2021年的1月份和3月份，银保监会曾先后点名通报过华夏银行和中信银行。前者未经客户授权违规查询个人账户存款交易信息，并违规在公开网络环境中传输隐私信息，于8月被央行罚款486万元；而后者同样在未经客户授权的情况下，向第三方提供交易明细，最终被处于450万元的高额罚款。

不仅如此，根据移动支付网整理的数据显示，2021年下半年，央行总行还以“违反信用信息采集、提供、查询及相关规定”的理由，对交通、兴业、浙商三家银行分别做出62万元、5万元、65万元的处罚。在今年1月份，央行上海分行也以类似的原因，处罚了北京银行上海支行、东亚、渣打三家银行。

甚至就在3月的月初，星展银行也因为同类型违法行为，遭到了央行上海分行的警告和203．6万元的罚款。

无论如何，罚款和警告都不是目的，银保监会和央行对数据信息安全层面的“零容忍”，终究是为了整个行业风气的肃清。毕竟在局势环境进一步恶化之前，以强硬手段扼制住一切，或许也能避免再出现类似于光大银行的“乌龙”事件。

二、光大银行自摆乌龙，设立“数据银行”势在必行

2021年8月8日，光大银行联合新华社瞭望智库发布了《商业银行数据资产估值白皮书》。

时值国内数据市场仍处于早期探索阶段，各行各业中，对于如何定义、确权、估值、交易数据资产，始终都没有一套行之有效的权威模板。光大银行以自身的经营为案例，展示了商业银行要如何构建和优化数据资产估值方法，一时间可谓是风头无二。

通过天眼查就能发现，在白皮书发布之前，光大银行就注册了相关的专利。

然而等到今年被通告处罚信息后，以光大银行所涉及的“漏报”、“偏差”等违规行为，昔日充当案例的数据评估，可能已经丧失了足够的说服力。

且不提自摆乌龙的光大银行现在是否会觉得尴尬，略显讽刺的突发事件背后，进一步表明了银行在信息数据安全层面有所缺失的严峻性。如此一来，更是让以下两种呼声更具现实意义——

尽快设立国家“数据银行”。

其实在今年3月初的全国两会上，就有许多人大代表呼吁加快数据立法，并设立“数据银行”来保障全社会数据资产的安全。

在互联网大数据时代，用户的个人信息已经从单纯的隐私信息价值，上升到互联网企业的重要生产要素，以及关乎国家安全的战略性资源。无论是构建更具智能化的金融服务，还是用于更精细化的行业扩展，都需要有一个更具效力的监管体系，以及安全系数更高的保护机制。

或许，从源头上对所有的个人隐私信息进行统一管理，也能有效避免部分银行和各类金融机构，或滥用权限、或“内鬼”作祟，进而导致的侵权行为。

引入更多的第三方数据安全机构，加入监管和保护体系。

我们必须清楚地认识到，在全世界范围内，数据安全都是一个全新的挑战。尤其是近些年来，因为数据安全问题受到处罚的企业和机构，几乎可以用“数不胜数”来形容。

前不久，Facebook的母公司Meta因为未能在多次大规模个人信息泄露中，采用足够手段来保证数据安全，受到欧盟1700万欧元，折合人民币约1．18亿元的罚款。2021年7月，国际电商巨头亚马逊更是由于违反数据保护条例，被欧盟处于7．46亿欧元，折合人民币约57．29亿元的史上最高罚款。

根据欧盟执法跟踪网站的数据显示，从2018年至2021年，欧盟成员国共开出853张违反数据安全的罚单。而根据RBS统计的数据泄漏报告，仅是2021年全球范围内披露的数据泄露事件就高达4145起。

数据信息的合规需求，也催生出庞大的市场需求和应用前景。根据知名统计机构Gartner的预测，至2024年，全球范围内以数据隐私驱动的合规投入，将会突破150亿美元的规模。

而在国内市场，阿里巴巴旗下蚂蚁集团已经推出了可信密态计算技术、360集团也开发出了大数据安全能力框架、腾讯入选国家绿色数据中心名单等等，多个涉足隐私信息数据安全防护的企业，都有着较为突出的表现。

考虑到银行职能的限制，至少在“数据银行”还没能实现的阶段，通过第三方数据安全机构提供监管和保护服务，或许能够有效缓解数据安全问题引发的质疑和担忧。

无论如何，商业银行或许都已经到了必须做出改变的时候了。

参考资料：

《“无一幸免”！因监管标准化数据质量问题，21家银行被罚8760万元，光大银行、民生银行罚金最高》——凤凰网

《人民财评：银行要对贩卖客户信息的“内鬼”“零容忍”》——人民网

《构筑数据安全体系，充分发挥数据价值——“数据银行”来了》——和讯网

《Meta因数据泄漏被罚1700万欧元 数据安全合规将催生百亿美元市场》——中国网