投资采购

　　一、违规向非自用不动产、非银金融机构和企业投资

　　表现形式：违反国家规定从事信托投资和证券经营业务、向非自用不动产投资或者向非银行金融机构和企业投资的。

　　法律风险：负责人可能被给予警告，并处五万元以上五十万元以下罚款;情节严重的，还将取消一定期限直至终身的任职资格，甚至被禁止一定期限直至终身从事银行业工作。

　　免责保护：负责人一是在签署相关审批文件及/或法律文件前，充分关注并确保相关经营行为不违反《商业银行法》的规定以及相关监管政策关于商业银行对外投资的限制性规定。二是对于股权投资类、特定资产投资类等金融创新项目，应安排由我行一致行动人以其名义进行投资，并确保投资风险能够与我行资产风险进行有效隔离，避免被认定为向非自用不动产或非银行金融机构和企业投资。

　　二、以明显不公平条件采购商品、资产或服务

　　表现形式：负责人违背对我行的忠实义务，利用职务便利， 操纵我行以明显不公平条件采购商品、资产或服务。

　　法律风险：致我行利益遭受重大损失的，负责人将被处以三年以下有期徒刑或者拘役，并处或者单处罚金;致我行利益遭受特别重大损失的，处三年以上七年以下有期徒刑，并处罚金。

　　免责保护：负责人需注意，一是在签署相关审批文件及/或法律文件前，(1)关注是否存在明显不合理、不公平的交易安排，采购价格是否严重偏离市场同类产品或服务的一般定价水平;(2)确认是否已适当履行了我行公司章程以及相关行内管理制度规定的审批及/或表决程序，避免被误认定为管理人个人“利用职务便利操纵”我行交易的行为。二是不以明显不公平条件采购商品、资产或服务。

　　三、违反法律规定不招标或规避招标

　　表现形式：违反《招标投标法》的规定，存在下列行为之一，

　　(1) 必须进行招标的项目而不招标;(2)将必须进行招标的 项目化整为零;(3)以其他任何方式规避招标的。

　　法律风险：负责人将被依法给予处分;构成犯罪的，将被依法追究刑事责任。

　　免责保护：负责人需注意，一是对各经营机构、相关部门及人员进行招投标法培训，要求其充分了解按照法律规定必须进行招标的项目范围及招标、开标、评标的法定程序，严格按照《招标投保法》等法律法规以及我行内部有关招投标的内部规章制度进行招标活动，不得采用任何方式规避招标。二是在签署相关审批文件及/或法律文件前，充分关注是否已适当履行了法律法规及行内管理制度规定的招标程序。三是不违反法律规定不招标或规避招标。

　　信息科技

　　四、信息安全管理工作不到位或失职

　　表现形式：存在下列情形之一，(1)因信息安全管理工作不到位或失职，导致我行发生重大信息安全事件;(2)不遵守有关信息安全规章制度，不执行上级部门及监管部门的信息安全管理要求;(3)在个人信用信息基础数据库管理中，①未按规定建立个人信用信息数据库管理制度及操作规程;②未准确、完整、及时报送个人信用信息;③向未经信贷征信主管部门批准建立或变相建立的个人信用数据库提供个人信用信息;④违规越权查询个人信用数据库;⑥将查询结果用于法律法规规定之外的其他目的;⑥违反异议处理规定;⑦违反安全管理要求。

　　法律风险：对于第(1)、(2)种情形，如造成严重不良后果的，负责人将被通报批评，情节特别严重、造成严重危害后果的，将被追究法律责任;对于第(3)种情形，负责人将被给予纪律处分，构成犯罪的，还将被依法追究刑事责任。

　　免责保护：一是了解并知悉信息系统安全工作问责机制。根据监管规定，我行法定代表人为我行信息系统安全保障的第一责任人，对我行信息安全管理负总责。其他人员按照“谁主管谁负责、谁运行谁负责”的原则，层层落实信息安全责任制。二是按照监管要求，签署《信息系统安全保障承诺书》，落实承诺书要求的信息系统安全保障管理责任，包括：

　　(1)建立有效的信息安全治理框架，明确责任，制定信息安全政策和程序，制定信息安全策略，完善信息安全内部管理组织架构和工作机制;

　　(2)成立信息安全领导机构，由风险管理部门、信息科技部门、审计部门、合规部门及相关业务部门负责人共同组成，负责重大信息安全事项的决策和审批。明确各部门的信息安全管理职能分工，授权有关部门和人员组织开展信息安全工作;

　　(3)建立信息安全管理机构，建立信息安全管理体系， 制定信息安全管理策略和规章制度，组织实施信息安全管理措 施;各分支机构及部门设立信息安全管理岗位，负责各项信息安全制度和措施在本部门的落实。二是特别关注和加强个人信用信息基础数据库管理，严格按照《个人信用信息基础数据库管理暂行办法》、《征信业管理条例》等相关规定，建立个人信息基础数据管理制度及操作规程，着重防范员工篡改、毁损、泄露或非法使用个人信用信息，或与自然人、法人、其它组织恶意串通，提供虚假信用报告等道德风险事件的发生。

　　五、信息安全事件处理措施不当

　　表现形式：迟报、漏报、瞒报信息安全事件，或对信息安全事件处理措施不到位。

　　法律风险：造成严重不良后果的，负责人将被通报批评;情节特别严重、造成严重危害后果的，将被追究法律责任。

　　免责保护：一是了解并知悉信息系统安全工作问责机制。根据监管规定，我行法定代表人为我行信息系统安全保障的第一责任人，对我行信息安全管理负总责。其他人员按照“谁主管谁负责、谁运行谁负责”的原则，层层落实信息安全责任制。。二是按照监管要求，签署《信息系统安全保障承诺书》，并按照《银行业重要信息系统突发事件应急管理规范(试行)》的标准和要求，做好重要信息系统突发事件应急管理工作，包括：

　　(1)建立和完善我行信息系统安全应急管理组织架构，明确职责和工作流程;

　　(2)开展重要信息系统应急演练，对演练中发现的问题及时整改;

　　(3)严格执行信息系统重大突发事件的报告制度，及时、全面、客观地向监管部门报告我行所发生的信息系统重大突发事件等。三是不迟报、漏报、瞒报信息安全事件。

　　六、电子银行系统存在风险隐患及违规进行数据交换或转移

　　表现形式：存在如下行为之一，(1)违反审慎经营规则，导致电子银行系统存在较大安全隐患且逾期未改正或短期内难 以解决;(2)违规进行数据交换或转移，①向无业务往来的非金融机构转移电子银行业务数据，出售电子银行业务数据，损害客户权益利用电子银行业务数据谋取利益;②未经电子银行业务数据转出机构的允许，将有关电子银行业务数据向第三方转移。

　　法律风险：直接负责电子银行管理部门的负责人可能被银监会责令调整，并将被依法处罚。

　　免责保护：一是关注并确保电子银行系统安全运行，严格贯彻落实《电子银行业务管理办法》规定的安全标准;二是由于外包、系统测试(调试)、数据恢复与救援等为维护电子银行正常安全运营的需要，确需向非金融机构转移部分电子银行业务数据的，应事先签订保密协议，并指派专人负责监督使用、保管、传递和销毁，一旦发现存在不当使用情形，应立即停止数据转移并主张权利;三是要确保电子银行业务数据安全并被恰当使用，严防出售业务数据等损害客户合法权益等道德风险事件的发生。

来源：民生银行i法律 2019-09-18公众号，文章内容为作者观点，仅供交流学习，无意于侵犯任何人权利，如有不妥，请及时与我们联系我们将予以删除。