個(gè)人信息保護(hù)的專門法律，與《民法典》、《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《電子商務(wù)法》、《消費(fèi)者權(quán)益保護(hù)法》等法律共同組成一張公民個(gè)人信息保護(hù)網(wǎng)。

《個(gè)人信息保護(hù)法》的正式施行，標(biāo)志著違規(guī)采集個(gè)人信息的行為將受到嚴(yán)格監(jiān)管，而金融行業(yè)更是監(jiān)管的重中之重。金融機(jī)構(gòu)在個(gè)人金融信息保護(hù)方面應(yīng)采取哪些措施?《個(gè)人信息保護(hù)法》規(guī)定的“告知-同意”對金融行業(yè)的影響又有哪些?金融機(jī)構(gòu)應(yīng)如何開展《個(gè)人信息保護(hù)法》實(shí)施后的合規(guī)審計(jì)工作?本文將從金融行業(yè)面臨的挑戰(zhàn)、《個(gè)人信息保護(hù)法》重點(diǎn)內(nèi)容和金融機(jī)構(gòu)應(yīng)對機(jī)制三個(gè)方面進(jìn)行解讀。

1、金融行業(yè)面臨的挑戰(zhàn)

《個(gè)人信息保護(hù)法》的施行，明確了金融數(shù)字化發(fā)展應(yīng)當(dāng)遵循的基本準(zhǔn)則和行為規(guī)范。個(gè)人金融信息是金融機(jī)構(gòu)日常業(yè)務(wù)工作中積累的一項(xiàng)重要基礎(chǔ)數(shù)據(jù)，也是金融機(jī)構(gòu)客戶個(gè)人隱私的重要內(nèi)容。個(gè)人金融信息在金融業(yè)務(wù)的收集、傳輸、存儲(chǔ)、使用、刪除和銷毀的數(shù)據(jù)生命周期過程中面臨著諸多挑戰(zhàn)，個(gè)人敏感數(shù)據(jù)泄露事件時(shí)有發(fā)生，保護(hù)個(gè)人敏感數(shù)據(jù)是《個(gè)人信息保護(hù)法》重點(diǎn)保護(hù)的領(lǐng)域之一。

《個(gè)人信息保護(hù)法》的貫徹落實(shí)在金融行業(yè)主要面臨以下挑戰(zhàn)：

（1）個(gè)人信息收集時(shí)明確同意要求

個(gè)人信息保護(hù)法中規(guī)定個(gè)人信息處理者在處理敏感個(gè)人信息等五種情形時(shí)，應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意?！皢为?dú)同意”并不是單純的同意，而是一種更高標(biāo)準(zhǔn)的“同意”，必須是個(gè)人在充分知情的情況下作出的行為，并且要賦予個(gè)人撤回同意的權(quán)利。單獨(dú)同意的標(biāo)準(zhǔn)目前還未明確規(guī)定，金融機(jī)構(gòu)應(yīng)該如何做才能滿足“單獨(dú)同意”的要求呢?在實(shí)踐中原有的通過隱私政策概括性地履行告知義務(wù)，并要求用戶點(diǎn)擊同意進(jìn)行一攬子授權(quán)，是無法保障用戶的知情權(quán)和決定權(quán)的，這點(diǎn)對于金融機(jī)構(gòu)而言無疑是一個(gè)新的挑戰(zhàn)。

（2）自動(dòng)化決策使用保障透明規(guī)則

利用大數(shù)據(jù)分析消費(fèi)者的個(gè)人特征用于商業(yè)營銷，選擇性提供產(chǎn)品或服務(wù)已成為當(dāng)前商業(yè)活動(dòng)的普遍現(xiàn)象，生活中自動(dòng)化決策的應(yīng)用范圍已非常廣泛，營銷平臺(tái)、各類APP等均使用自動(dòng)化決策引擎提供精準(zhǔn)推銷。但隨之出現(xiàn)的是“大數(shù)據(jù)殺熟”等事件，因此個(gè)人信息保護(hù)法中明確規(guī)定利用個(gè)人信息進(jìn)行自動(dòng)化決策引導(dǎo)要保證決策的透明度，不得“差別待遇”。那么如何制定出保證決策透明度的規(guī)則，以及如何能做到“說明清楚”，已成為金融機(jī)構(gòu)面臨的又一挑戰(zhàn)。

（3）個(gè)人金融信息管理規(guī)范性增強(qiáng)

伴隨著金融科技的應(yīng)用，數(shù)據(jù)已成為驅(qū)動(dòng)金融行業(yè)創(chuàng)新發(fā)展的重要生產(chǎn)元素。個(gè)人金融信息是個(gè)人信息在金融領(lǐng)域圍繞賬戶信息、金融交易信息等方面的擴(kuò)展與細(xì)化。2020年中國人民銀行發(fā)布的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》明確了個(gè)人金融信息在收集、傳輸、存儲(chǔ)、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全防護(hù)要求，我國的個(gè)人信息保護(hù)法在懲罰力度上比歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)更為嚴(yán)格。因此，金融行業(yè)需盡快梳理出各系統(tǒng)、各業(yè)務(wù)中對于個(gè)人金融信息是如何存儲(chǔ)和使用的。然而金融機(jī)構(gòu)多種的系統(tǒng)、紛雜的業(yè)務(wù)和不同人員權(quán)限的梳理工作對于任何一個(gè)金融機(jī)構(gòu)來說，都是一個(gè)巨大的挑戰(zhàn)。

2、《個(gè)人信息保護(hù)法》的重點(diǎn)要求

針對金融行業(yè)面臨的挑戰(zhàn)及關(guān)注點(diǎn)，以下分別從總體框架、適用范圍、個(gè)人信息保護(hù)法的核心要點(diǎn)、強(qiáng)化個(gè)人自主權(quán)的單獨(dú)同意等方面對個(gè)人信息保護(hù)法的重點(diǎn)內(nèi)容進(jìn)行分析與解讀。

（1）總體框架

主要內(nèi)容：

（2）適用范圍

從個(gè)人信息保護(hù)法的適用范圍來說，采用的是屬地原則為主，屬人原則為輔的方式，即明確了在中華人民共和國境內(nèi)處理自然人個(gè)人信息的活動(dòng)，適用個(gè)人信息保護(hù)法。同時(shí)規(guī)定，在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個(gè)人信息的活動(dòng)，如果符合以下三種情形之一的，也應(yīng)適用個(gè)人信息保護(hù)法：(1)以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的;(2)分析、評估境內(nèi)自然人的行為;(3)法律、行政法規(guī)規(guī)定的其他情形。

（3）個(gè)人信息保護(hù)法的核心要點(diǎn)

個(gè)人信息保護(hù)法在一般規(guī)定中明確了處理個(gè)人信息的基本條件。除部分規(guī)定情形外，個(gè)人信息保護(hù)法在第二章明確規(guī)定了 “取得個(gè)人同意”是個(gè)人信息處理者處理個(gè)人信息的基本條件。個(gè)人信息保護(hù)法充分參考和借鑒了有關(guān)國際組織、國家和地區(qū)的做法，確立了以“告知-同意”為核心的個(gè)人信息處理規(guī)則。相比于《網(wǎng)絡(luò)安全法》，個(gè)人信息保護(hù)法對于告知義務(wù)規(guī)定得更為詳細(xì)、明確。個(gè)人信息保護(hù)法中明確了六大場景下的個(gè)人信息處理規(guī)定，包括：共同處理、委托處理、轉(zhuǎn)移個(gè)人信息、共享個(gè)人信息、自動(dòng)化決策和公共場所采集。對于金融機(jī)構(gòu)來說，應(yīng)重點(diǎn)關(guān)注在不同場景下如何具體落實(shí)“告知-同意”的規(guī)則。

在告知原則方面，應(yīng)該做到顯著，便于發(fā)現(xiàn)和閱讀，告知用語應(yīng)通俗易懂、清晰準(zhǔn)確，還應(yīng)當(dāng)根據(jù)情景優(yōu)化告知的展現(xiàn)形式;當(dāng)處理個(gè)人信息的目的、處理方式和種類發(fā)生變化時(shí)需突出顯示并重新取得個(gè)人同意;而且針對特殊群體，還應(yīng)提供除文本外的圖片、語音或視頻等適合其理解的方式對告知內(nèi)容進(jìn)行闡述。

在同意原則方面，應(yīng)保證征得授權(quán)同意的授權(quán)范圍與所告知內(nèi)容一致，并且要做到區(qū)分產(chǎn)品及具體服務(wù)，采取對個(gè)人權(quán)益影響最小的方式;要做到主動(dòng)展示授權(quán)同意的選項(xiàng)，以促進(jìn)個(gè)人更好地理解并支持其做出選擇，并且在給出不同意時(shí)，僅影響當(dāng)前服務(wù)類型的正常使用。

（4）強(qiáng)化個(gè)人自主權(quán)的單獨(dú)同意

個(gè)人信息保護(hù)法除了明確個(gè)人信息處理的一般規(guī)定外，個(gè)人信息保護(hù)法的第二章和第三章中還對于敏感個(gè)人信息和一些特殊場景規(guī)定了“單獨(dú)同意”的保護(hù)規(guī)則。總結(jié)起來共涉及五種情形：

1. 向第三方提供個(gè)人信息。
2. 公開處理個(gè)人信息。
3. 在公共場所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，用于維護(hù)公共安全之外的其他目的。
4. 處理敏感個(gè)人信息。
5. 向境外提供個(gè)人信息。

“單獨(dú)同意”強(qiáng)化了個(gè)人的自主權(quán)，“單獨(dú)同意”要求個(gè)人信息處理者將需要“單獨(dú)同意”的場景與其他場景區(qū)分開來，做到“單獨(dú)場景-單獨(dú)告知-獲取同意”，避免一攬子授權(quán)的方式，以及過度索權(quán)、隨意收集等違法違規(guī)情形。還需通過增強(qiáng)告知或即時(shí)提示等方式，單獨(dú)向個(gè)人信息主體告知處理個(gè)人信息的目的、方式和范圍，以及存儲(chǔ)時(shí)間、安全措施等規(guī)則。

對于金融機(jī)構(gòu)來說，在辦理業(yè)務(wù)時(shí)應(yīng)注意在收集個(gè)人身份證號(hào)、手機(jī)號(hào)、人臉識(shí)別信息時(shí)設(shè)置單獨(dú)同意。個(gè)人信息保護(hù)法對收集敏感個(gè)人信息限定更嚴(yán)、告知事項(xiàng)更多。除一般規(guī)定外，還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性及對個(gè)人權(quán)益的影響。處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)取得未成年人的父母或其他監(jiān)護(hù)人的同意;應(yīng)當(dāng)制定專門的個(gè)人信息處理規(guī)則。作為金融機(jī)構(gòu)，應(yīng)進(jìn)一步完善業(yè)務(wù)場景的識(shí)別和隱私政策的修訂。

（5）自動(dòng)化決策的合法合規(guī)要求

個(gè)人信息保護(hù)法針對“大數(shù)據(jù)殺熟”進(jìn)行了嚴(yán)格的規(guī)范，個(gè)人信息保護(hù)法第二章中明確規(guī)定：個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明和結(jié)果公平、公正，不得對個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。“自動(dòng)化決策”方式已普遍應(yīng)用到金融機(jī)構(gòu)向客戶推送信息和開展?fàn)I銷等場景中，包括人們熟悉的 “人工智能”、“客戶畫像”等概念。但從個(gè)人信息保護(hù)法合規(guī)的角度分析，金融機(jī)構(gòu)應(yīng)在收集個(gè)人信息時(shí)，明確信息是用于大數(shù)據(jù)營銷和大數(shù)據(jù)畫像的用途，在得到“告知-同意”的前提下開展信息收集工作。

從合規(guī)角度分析，金融機(jī)構(gòu)還應(yīng)當(dāng)同時(shí)提供客戶拒絕的方式，讓用戶可關(guān)閉個(gè)性化推薦選項(xiàng)。同時(shí)使用技術(shù)手段避免信息被過度收集，防止用戶數(shù)據(jù)被泄露到其他平臺(tái)，避免超出約定范圍的使用。如建設(shè)統(tǒng)一客戶關(guān)系管理系統(tǒng)，統(tǒng)一管理用戶金融信息，將金融賬戶、手機(jī)號(hào)、身份證號(hào)等通過加密方式存儲(chǔ)和使用。下游系統(tǒng)通過對接客戶關(guān)系管理系統(tǒng)，識(shí)別用戶ID等字段后向客戶推送營銷信息，避免下游系統(tǒng)再次抓取和存儲(chǔ)用戶敏感信息，防止個(gè)人信息泄露。

除此之外，為保障自動(dòng)化決策的合規(guī)，還應(yīng)制定自動(dòng)化決策的規(guī)則，并定期進(jìn)行修訂，保證決策的透明度，對依據(jù)自動(dòng)化決策做出的差別待遇進(jìn)行合理化解釋并保存記錄，不得對交易價(jià)格等實(shí)行不合理的差別待遇，保證公平公正。

（6）開展合規(guī)審計(jì)和影響評估策略

個(gè)人信息保護(hù)法在第五章個(gè)人信息處理者的義務(wù)中，明確指出應(yīng)當(dāng)定期對其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)，以及需開展個(gè)人信息保護(hù)影響評估的具體情形和評估內(nèi)容。

結(jié)合行業(yè)特點(diǎn)，金融機(jī)構(gòu)實(shí)施個(gè)人信息保護(hù)審計(jì)可依據(jù)人民銀行《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》中有關(guān)個(gè)人金融信息在收集、傳輸、存儲(chǔ)、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全要求，從安全技術(shù)和安全管理兩個(gè)維度對個(gè)人金融信息保護(hù)實(shí)施審計(jì)。

金融機(jī)構(gòu)在開展個(gè)人信息影響評估時(shí)，應(yīng)先對待評估的業(yè)務(wù)、產(chǎn)品或某項(xiàng)具體合作等進(jìn)?調(diào)研，形成數(shù)據(jù)清單及數(shù)據(jù)映射圖表，并梳理出待評估的個(gè)?信息處理活動(dòng)。評估過程中，一方面，分析個(gè)人信息處理活動(dòng)對個(gè)?權(quán)益可能造成的影響及其程度;另一方面，分析現(xiàn)有的安全保護(hù)措施是否有效，以及可能會(huì)導(dǎo)致安全事件發(fā)?的可能性程度。綜合兩??結(jié)果，得出個(gè)?信息處理活動(dòng)的風(fēng)險(xiǎn)等級，并提出相應(yīng)的改進(jìn)建議，形成評估報(bào)告。

（7）法律責(zé)任

個(gè)人信息保護(hù)法對于個(gè)人信息處理者的法律責(zé)任總的來說可總結(jié)為“責(zé)任分類，從嚴(yán)處罰”。根據(jù)責(zé)任行為違反的法律性質(zhì)，分為行政責(zé)任、民事責(zé)任和刑事責(zé)任。

在行政處罰方面，加大了處罰力度，從嚴(yán)處罰。個(gè)人信息保護(hù)法規(guī)定，違法行為情節(jié)嚴(yán)重的，將面臨責(zé)令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額的百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可或者營業(yè)執(zhí)照。相比較歐盟的通用數(shù)據(jù)保護(hù)條例(GDPR)規(guī)定的營業(yè)額的百分之四更加嚴(yán)格。

在民事責(zé)任方面，個(gè)人信息保護(hù)法明確提出，個(gè)人信息處理者不能證明自己沒有過錯(cuò)的，其應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。說明個(gè)人信息保護(hù)法對于侵害個(gè)人信息權(quán)益的處理活動(dòng)，適用過錯(cuò)推定原則。建議金融企業(yè)在與第三方合作前，開展個(gè)人信息合規(guī)審查，并在合作中留存好相應(yīng)的處理記錄以備查。如合作協(xié)議、數(shù)據(jù)處理日志、用戶授權(quán)文件等。金融企業(yè)應(yīng)該建立個(gè)人信息收集清單、第三方信息共享清單的“雙清單”，實(shí)現(xiàn)服務(wù)能力的“四提升”。

在刑事責(zé)任方面，構(gòu)成違反治安管理行為的，依法給予治安管理處罰;構(gòu)成犯罪的，依法追究刑事責(zé)任。

3、金融行業(yè)的應(yīng)對建議與機(jī)制

金融行業(yè)在落實(shí)個(gè)人信息保護(hù)法時(shí)，應(yīng)結(jié)合金融行業(yè)特點(diǎn)和自身情況，采取有效的機(jī)制和措施落實(shí)相關(guān)要求，并建立持續(xù)的改進(jìn)機(jī)制。

（1）加強(qiáng)個(gè)人信息保護(hù)法和個(gè)人金融信息法規(guī)的學(xué)習(xí)，全面落實(shí)合規(guī)要求

應(yīng)加強(qiáng)對個(gè)人信息保護(hù)法和個(gè)人金融信息法規(guī)的學(xué)習(xí)，通過培訓(xùn)進(jìn)一步理解法律的基本原則和個(gè)人金融信息保護(hù)的要點(diǎn)，全面落實(shí)合規(guī)要求。同時(shí)，進(jìn)一步提升員工個(gè)人金融信息保護(hù)的安全意識(shí)，為個(gè)人金融信息保護(hù)打下堅(jiān)實(shí)基礎(chǔ)。

（2）制定個(gè)人金融信息保護(hù)組織架構(gòu)，落實(shí)個(gè)人金融信息保護(hù)職責(zé)

應(yīng)建立健全個(gè)人金融信息保護(hù)組織架構(gòu)，明確金融機(jī)構(gòu)各層級內(nèi)設(shè)部門與相關(guān)崗位個(gè)人金融信息保護(hù)職責(zé)與總體要求，明確主要負(fù)責(zé)人的領(lǐng)導(dǎo)責(zé)任，明確個(gè)人金融信息管理牽頭部門，并提供必要的資源，落實(shí)個(gè)人金融信息保護(hù)職責(zé)。

（3）健全個(gè)人金融信息保護(hù)管理制度，夯實(shí)個(gè)人金融信息保護(hù)基礎(chǔ)

應(yīng)根據(jù)個(gè)人信息保護(hù)法要求，結(jié)合金融機(jī)構(gòu)管控現(xiàn)狀，健全個(gè)人金融信息保護(hù)管理制度，夯實(shí)個(gè)人金融信息保護(hù)基礎(chǔ)。通過制定個(gè)人金融信息保護(hù)管理制度，明確個(gè)人金融信息保護(hù)的崗位設(shè)置與工作職責(zé)，制定專門的個(gè)人金融信息處理規(guī)則。形成“方針策略-辦法規(guī)定-規(guī)程細(xì)則”從上而下結(jié)構(gòu)化的個(gè)人金融信息制度體系管控模式，有效指導(dǎo)和全面落實(shí)個(gè)人金融信息保護(hù)的各項(xiàng)管控要求。

（4）實(shí)施個(gè)人金融信息數(shù)據(jù)分類分級，落實(shí)差異化安全保護(hù)機(jī)制

《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》中的個(gè)人金融信息主要包括：賬戶信息、鑒別信息、金融交易信息、個(gè)人身份信息、財(cái)產(chǎn)信息、借貸信息及其他反映特定個(gè)人某些情況的信息等七大類。

個(gè)人金融信息按敏感程度從高到低分為C3、C2、C1三個(gè)類別，其中C3信息一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更，會(huì)對個(gè)人金融信息主體的信息安全與財(cái)產(chǎn)安全造成嚴(yán)重危害;C2信息一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更,可能會(huì)對個(gè)人金融信息主體的信息安全與財(cái)產(chǎn)安全造成一定影響;C1信息一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更,可能會(huì)對個(gè)人金融信息主體的信息安全與財(cái)產(chǎn)安全造成一定影響，金融機(jī)構(gòu)在進(jìn)行個(gè)人金融信息分類分級時(shí)，可參考下列框架實(shí)施有效分類分級。

（5）個(gè)人金融信息全生命周期保護(hù)，筑起全方位安全保護(hù)屏障

金融機(jī)構(gòu)應(yīng)建立個(gè)人金融信息全生命周期保護(hù)機(jī)制，對信息的收集、傳輸、存儲(chǔ)、使用、刪除及銷毀等各環(huán)節(jié)實(shí)施全面保護(hù)。制定保護(hù)策略、訪問控制等管理措施，部署管理系統(tǒng)、信息加密等技術(shù)措施，結(jié)合管理和技術(shù)要求，筑起全方位的安全保護(hù)屏障。

（6）開展個(gè)人金融信息保護(hù)審計(jì)，持續(xù)完善個(gè)人金融信息保護(hù)體系

金融機(jī)構(gòu)應(yīng)在完善個(gè)人金融信息保護(hù)制度的基礎(chǔ)上，定期開展個(gè)人金融信息保護(hù)合規(guī)審計(jì)。審計(jì)內(nèi)容包括但不限于：個(gè)人金融信息的安全策略、訪問控制、安全監(jiān)測與風(fēng)險(xiǎn)評估、安全事件處置、安全管理要求、安全技術(shù)要求等方面，金融機(jī)構(gòu)可參照此審計(jì)框架實(shí)施合規(guī)審計(jì)。

4、總結(jié)與展望

在各行各業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵時(shí)期，我國《個(gè)人信息保護(hù)法》的出臺(tái)是大勢所趨，結(jié)合《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等相關(guān)法律的發(fā)展歷程，可以看出我國的法律建設(shè)逐步從宏觀布局向微觀實(shí)操邁進(jìn)，并且始終強(qiáng)調(diào) “以人為本”的理念，切實(shí)保障個(gè)人信息安全，維護(hù)公民的個(gè)人合法權(quán)益。而且對個(gè)人信息安全違法者的處罰力度也在不斷增強(qiáng)。因此，金融機(jī)構(gòu)在業(yè)務(wù)運(yùn)營和日常管理中要加強(qiáng)數(shù)據(jù)安全合規(guī)建設(shè)，注重個(gè)人金融信息收集和處理的記錄存儲(chǔ)，以滿足舉證責(zé)任的要求。由于金融機(jī)構(gòu)對個(gè)人金融信息的搜集、使用和處理是其開展業(yè)務(wù)的基礎(chǔ)，未來個(gè)人金融信息保護(hù)機(jī)制與信息系統(tǒng)全生命周期的全面融合將是金融機(jī)構(gòu)重點(diǎn)關(guān)注的方向，為此，金融機(jī)構(gòu)應(yīng)通過不斷提升個(gè)人金融信息的管理和技術(shù)管控能力，在為客戶提供“安全、高效、專業(yè)”金融業(yè)務(wù)服務(wù)的同時(shí)，更需要為客戶建立起一道個(gè)人金融信息保護(hù)的“堅(jiān)固城墻”。