雖然個人信息在我國《民法典(草案)》中被放置于“人格權(quán)編”部分，通常會認(rèn)為個人信息是一類具有財產(chǎn)屬性的人格權(quán)，會體現(xiàn)一定的經(jīng)濟利益。而在各類個人信息中，個人金融信息無疑是最具財產(chǎn)屬性的個人信息之一。通常個人信息泄露，不一定能直接造成經(jīng)濟損失，但個人金融信息一旦泄露會直接給個人信息主體帶來巨大的經(jīng)濟傷害，具有更高的敏感性。

2020年2月13日，中國人民銀行發(fā)布《個人金融信息保護(hù)技術(shù)規(guī)范》(JR/T 0171-2020)，為個人金融信息保護(hù)打上補丁。雖然《個人金融信息保護(hù)技術(shù)規(guī)范》只是行業(yè)推薦性標(biāo)準(zhǔn)，但預(yù)期仍會在金融執(zhí)法、合規(guī)過程中起到關(guān)鍵作用。所有提供金融產(chǎn)品與金融服務(wù)的機構(gòu)，在“接觸”個人信息時，都需要以《個人金融信息保護(hù)技術(shù)規(guī)范》為“漫游指南”。

一、概念們

二、體系

仔細(xì)研讀《個人金融信息保護(hù)技術(shù)規(guī)范》的體例，可以歸納出個人金融信息合規(guī)的基本框架：

金融機構(gòu)開展個人信息保護(hù)，是一個體系，不止局限于《個人金融信息保護(hù)技術(shù)規(guī)范》。比如《網(wǎng)絡(luò)安全法》中的等級保護(hù)制度，就是金融機構(gòu)收集、處理個人信息網(wǎng)絡(luò)的基本要件?！吨袊嗣胥y行金融消費者權(quán)益保護(hù)實施辦法》也仍然有效，而且是部門規(guī)章，具備比行業(yè)標(biāo)準(zhǔn)更高的層級。要求金融機構(gòu)至少每半年排查一次個人金融信息安全隱患;并且明確金融機構(gòu)保護(hù)消費者個人金融信息安全的義務(wù)不因其與外包服務(wù)供應(yīng)商合作而轉(zhuǎn)移、減免。

在體系上，數(shù)據(jù)跨境也是一個敏感的問題。金融機構(gòu)一旦被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施，則需要在《網(wǎng)絡(luò)安全法》承擔(dān)數(shù)據(jù)本地化與跨境安全評估的義務(wù)，但這兩項制度至今仍處于迷霧之中……再加上《中國人民銀行金融消費者權(quán)益保護(hù)實施辦法》與《個人金融信息保護(hù)技術(shù)規(guī)范》，這迷霧更加濃厚：

除此以外，信息屏蔽是《個人金融信息保護(hù)規(guī)范》中的關(guān)鍵技術(shù)措施，以降低個人金融信息的法律風(fēng)險。雖然《個人金融信息保護(hù)規(guī)范》的附錄列舉了部分的信息屏蔽措施，但屏蔽措施的落實更需要參考《信息安全規(guī)范 個人信息去標(biāo)識化指南》(GB/T 37964-2019)，選取合適的技術(shù)與模型保護(hù)個人信息。

三、數(shù)據(jù)分類

《網(wǎng)絡(luò)安全法》要求網(wǎng)絡(luò)運營者采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。《個人金融信息保護(hù)技術(shù)規(guī)范》根據(jù)敏感程度從高到低分為C3、C2、C1三級。

不同等級下，也對應(yīng)著不同的法律義務(wù)：

四、關(guān)注

相對法律、行政法規(guī)、部門規(guī)章，《個人金融信息保護(hù)技術(shù)規(guī)范》是一份技術(shù)標(biāo)準(zhǔn)，需要金融行業(yè)的IT人員更加關(guān)注，對照自家金融機構(gòu)IT系統(tǒng)，能否實現(xiàn)《個人金融信息保護(hù)技術(shù)規(guī)范》中的各項要求。

對于合規(guī)人員，則更需要關(guān)注內(nèi)部管理制度的建設(shè)。技術(shù)與管理是《個人金融信息保護(hù)技術(shù)規(guī)范》中明顯的兩條線索。對于法律工作者，更需要對《個人金融信息保護(hù)技術(shù)規(guī)范》中涉及第三方管理的條款尤其注意，確保與第三方簽訂的協(xié)議內(nèi)容與IT系統(tǒng)的設(shè)置保持一致。

而在此之上，需要金融機構(gòu)高層牽頭，將個人金融信息保護(hù)落實到具體責(zé)任人，協(xié)調(diào)不同部門的資源開展貫標(biāo)工作。