¿Qué principios refleja CITIC Bank al castigar a sus empleados?

En primer lugar, a juzgar por la información revelada en la carta de decisión de sanción, los hechos ilegales del banco involucrados en la protección de la información personal incluyen: el sistema y el mecanismo de protección de la información del cliente no son perfectos; los detalles de la cuenta no están disponibles para consultas no confidenciales en el mostrador. Los procedimientos de operación comercial estandarizados y unificados y las medidas de control interno necesarias no cumplen con el "debe saber" del negocio; y principios de "autorización mínima"; mala gestión de la información confidencial del cliente, lo que resulta en salidas a Internet, etc. Hay que decir que los problemas revelados en la decisión de sanción son bastante graves. Se puede decir que debido a mecanismos de gestión internos imperfectos, incidentes como el del grupo ocurrirán tarde o temprano.

Desde otra perspectiva, las responsabilidades de protección de la información personal que los bancos y otras instituciones financieras deben cumplir por ley no son tan simples como "no se puede revelar la información del cliente a otros sin su permiso", como entiende el público. . De hecho, proteger la información personal requiere un estricto sistema de protección de la privacidad y la información personal, y este sistema debe integrarse en todos los procesos y enlaces de las operaciones comerciales diarias de la organización. Por ejemplo, al formular procesos comerciales bancarios, cuando se trata de consultas de información de clientes, no solo debe haber niveles de autorización y relaciones de autorización claros, sino también otros mecanismos de control interno si los servicios de procesamiento y almacenamiento de datos relevantes se subcontratan a un tercero; , se requiere una gestión estricta de requisitos y sistemas de seguimiento, etc. Estas medidas son el marco básico para que el sistema de protección de datos personales funcione eficazmente.

En este sentido, el proyecto de Ley de Protección de Información Personal también estipula claramente: Los procesadores de información personal deben establecer muchos sistemas de control interno e incluso asignar personas responsables dedicadas a implementar los requisitos legales para el cumplimiento de la protección de información personal. En este sentido, cualquier entidad del mercado debe darse cuenta de que el sistema de protección de información personal es un sistema institucional, y cualquier falla o falla en cualquier vínculo del mismo es ilegal y debe rendir cuentas. Éste es el primer significado importante que se refleja en este caso.