投資采購

　　一、違規向非自用不動產、非銀金融機構和企業投資

　　表現形式：違反國家規定從事信托投資和證券經營業務、向非自用不動產投資或者向非銀行金融機構和企業投資的。

　　法律風險：負責人可能被給予警告，并處五萬元以上五十萬元以下罰款;情節嚴重的，還將取消一定期限直至終身的任職資格，甚至被禁止一定期限直至終身從事銀行業工作。

　　免責保護：負責人一是在簽署相關審批文件及/或法律文件前，充分關注并確保相關經營行為不違反《商業銀行法》的規定以及相關監管政策關于商業銀行對外投資的限制性規定。二是對于股權投資類、特定資產投資類等金融創新項目，應安排由我行一致行動人以其名義進行投資，并確保投資風險能夠與我行資產風險進行有效隔離，避免被認定為向非自用不動產或非銀行金融機構和企業投資。

　　二、以明顯不公平條件采購商品、資產或服務

　　表現形式：負責人違背對我行的忠實義務，利用職務便利， 操縱我行以明顯不公平條件采購商品、資產或服務。

　　法律風險：致我行利益遭受重大損失的，負責人將被處以三年以下有期徒刑或者拘役，并處或者單處罰金;致我行利益遭受特別重大損失的，處三年以上七年以下有期徒刑，并處罰金。

　　免責保護：負責人需注意，一是在簽署相關審批文件及/或法律文件前，(1)關注是否存在明顯不合理、不公平的交易安排，采購價格是否嚴重偏離市場同類產品或服務的一般定價水平;(2)確認是否已適當履行了我行公司章程以及相關行內管理制度規定的審批及/或表決程序，避免被誤認定為管理人個人“利用職務便利操縱”我行交易的行為。二是不以明顯不公平條件采購商品、資產或服務。

　　三、違反法律規定不招標或規避招標

　　表現形式：違反《招標投標法》的規定，存在下列行為之一，

　　(1) 必須進行招標的項目而不招標;(2)將必須進行招標的 項目化整為零;(3)以其他任何方式規避招標的。

　　法律風險：負責人將被依法給予處分;構成犯罪的，將被依法追究刑事責任。

　　免責保護：負責人需注意，一是對各經營機構、相關部門及人員進行招投標法培訓，要求其充分了解按照法律規定必須進行招標的項目范圍及招標、開標、評標的法定程序，嚴格按照《招標投保法》等法律法規以及我行內部有關招投標的內部規章制度進行招標活動，不得采用任何方式規避招標。二是在簽署相關審批文件及/或法律文件前，充分關注是否已適當履行了法律法規及行內管理制度規定的招標程序。三是不違反法律規定不招標或規避招標。

　　信息科技

　　四、信息安全管理工作不到位或失職

　　表現形式：存在下列情形之一，(1)因信息安全管理工作不到位或失職，導致我行發生重大信息安全事件;(2)不遵守有關信息安全規章制度，不執行上級部門及監管部門的信息安全管理要求;(3)在個人信用信息基礎數據庫管理中，①未按規定建立個人信用信息數據庫管理制度及操作規程;②未準確、完整、及時報送個人信用信息;③向未經信貸征信主管部門批準建立或變相建立的個人信用數據庫提供個人信用信息;④違規越權查詢個人信用數據庫;⑥將查詢結果用于法律法規規定之外的其他目的;⑥違反異議處理規定;⑦違反安全管理要求。

　　法律風險：對于第(1)、(2)種情形，如造成嚴重不良后果的，負責人將被通報批評，情節特別嚴重、造成嚴重危害后果的，將被追究法律責任;對于第(3)種情形，負責人將被給予紀律處分，構成犯罪的，還將被依法追究刑事責任。

　　免責保護：一是了解并知悉信息系統安全工作問責機制。根據監管規定，我行法定代表人為我行信息系統安全保障的第一責任人，對我行信息安全管理負總責。其他人員按照“誰主管誰負責、誰運行誰負責”的原則，層層落實信息安全責任制。二是按照監管要求，簽署《信息系統安全保障承諾書》，落實承諾書要求的信息系統安全保障管理責任，包括：

　　(1)建立有效的信息安全治理框架，明確責任，制定信息安全政策和程序，制定信息安全策略，完善信息安全內部管理組織架構和工作機制;

　　(2)成立信息安全領導機構，由風險管理部門、信息科技部門、審計部門、合規部門及相關業務部門負責人共同組成，負責重大信息安全事項的決策和審批。明確各部門的信息安全管理職能分工，授權有關部門和人員組織開展信息安全工作;

　　(3)建立信息安全管理機構，建立信息安全管理體系， 制定信息安全管理策略和規章制度，組織實施信息安全管理措 施;各分支機構及部門設立信息安全管理崗位，負責各項信息安全制度和措施在本部門的落實。二是特別關注和加強個人信用信息基礎數據庫管理，嚴格按照《個人信用信息基礎數據庫管理暫行辦法》、《征信業管理條例》等相關規定，建立個人信息基礎數據管理制度及操作規程，著重防范員工篡改、毀損、泄露或非法使用個人信用信息，或與自然人、法人、其它組織惡意串通，提供虛假信用報告等道德風險事件的發生。

　　五、信息安全事件處理措施不當

　　表現形式：遲報、漏報、瞞報信息安全事件，或對信息安全事件處理措施不到位。

　　法律風險：造成嚴重不良后果的，負責人將被通報批評;情節特別嚴重、造成嚴重危害后果的，將被追究法律責任。

　　免責保護：一是了解并知悉信息系統安全工作問責機制。根據監管規定，我行法定代表人為我行信息系統安全保障的第一責任人，對我行信息安全管理負總責。其他人員按照“誰主管誰負責、誰運行誰負責”的原則，層層落實信息安全責任制。。二是按照監管要求，簽署《信息系統安全保障承諾書》，并按照《銀行業重要信息系統突發事件應急管理規范(試行)》的標準和要求，做好重要信息系統突發事件應急管理工作，包括：

　　(1)建立和完善我行信息系統安全應急管理組織架構，明確職責和工作流程;

　　(2)開展重要信息系統應急演練，對演練中發現的問題及時整改;

　　(3)嚴格執行信息系統重大突發事件的報告制度，及時、全面、客觀地向監管部門報告我行所發生的信息系統重大突發事件等。三是不遲報、漏報、瞞報信息安全事件。

　　六、電子銀行系統存在風險隱患及違規進行數據交換或轉移

　　表現形式：存在如下行為之一，(1)違反審慎經營規則，導致電子銀行系統存在較大安全隱患且逾期未改正或短期內難 以解決;(2)違規進行數據交換或轉移，①向無業務往來的非金融機構轉移電子銀行業務數據，出售電子銀行業務數據，損害客戶權益利用電子銀行業務數據謀取利益;②未經電子銀行業務數據轉出機構的允許，將有關電子銀行業務數據向第三方轉移。

　　法律風險：直接負責電子銀行管理部門的負責人可能被銀監會責令調整，并將被依法處罰。

　　免責保護：一是關注并確保電子銀行系統安全運行，嚴格貫徹落實《電子銀行業務管理辦法》規定的安全標準;二是由于外包、系統測試(調試)、數據恢復與救援等為維護電子銀行正常安全運營的需要，確需向非金融機構轉移部分電子銀行業務數據的，應事先簽訂保密協議，并指派專人負責監督使用、保管、傳遞和銷毀，一旦發現存在不當使用情形，應立即停止數據轉移并主張權利;三是要確保電子銀行業務數據安全并被恰當使用，嚴防出售業務數據等損害客戶合法權益等道德風險事件的發生。

來源：民生銀行i法律 2019-09-18公眾號，文章內容為作者觀點，僅供交流學習，無意于侵犯任何人權利，如有不妥，請及時與我們聯系我們將予以刪除。