□ 本报记者 何 玲

□ 实习记者 孟佳惠

伴随着金融科技的高速发展，个人金融信息保护问题愈发突出。日前正式实施的《中华人民共和国个人信息保护法》，对个人金融信息保护提出了更高要求，金融账户等个人信息更是被归入敏感个人信息当中。

目前，不少机构正围绕《个人信息保护法》《数据安全法》等进行研究，对现有的系统设置和业务模式进行调整，积极探索新型技术防护手段，保障数据全生命周期安全。

更细更严

分级管理或成趋势

个人金融信息是金融机构日常业务工作中积累的一项重要基础数据，也是金融机构客户个人隐私的重要内容。如何收集、使用、对外提供个人金融信息，既涉及银行业金融机构业务的正常开展，也涉及客户信息、个人隐私的保护。如果出现与个人金融信息有关的不当行为，不仅会直接侵害客户合法权益，也会增加银行业金融机构的诉讼风险，加大运营成本。

近年来，人工智能、大数据、云计算、分布式记账以及电子商务等技术广泛应用于金融领域，促使金融服务变得更普惠、便捷和高效。与此同时，个人信息保护问题也显得尤为重要。中国信息通信研究院互联网法律研究中心主任方禹表示，金融、医疗等对个人权益影响较大的行业，个人信息保护的紧迫性、严峻性比较突出。部分用户个人信息保护意识尚未建立形成，疏于维护自身合法权益，往往成为多元治理的个人信息保护架构中的薄弱环节。

近日，人民银行行长易纲在2021年香港金融科技周上发表视频演讲时表示，2005年以来人民银行在反洗钱、消费者权益保护和征信等领域陆续出台了个人信息保护相关制度。而从立法层面来看，今年6月和8月，我国分别出台了《数据安全法》和《个人信息保护法》，初步建立了个人信息保护的法律制度体系。

11月1日正式实施的《中华人民共和国个人信息保护法》，是我国第一部个人信息保护方面的专门法律。“虽然个人信息保护法并没有专门关注个人金融信息，但包括了对个人金融信息在内的各类个人信息的周密保护。”北京金融法院法官丁宇翔表示。他特别提及，《个人信息保护法》第二章第二节为“敏感个人信息的处理规则”，将生物识别信息归入敏感个人信息中，而金融账户以及金融服务线上场景中常用的指纹、面部识别特征等都属于敏感个人信息。

丁宇翔表示，金融机构需要探索更为精细或者说更为严格的个人金融信息的分级管理措施。《个人信息保护法》将个人信息分为敏感个人信息和非敏感个人信息，而金融行业实际上划分的更为精细。他提及，2020年，中国人民银行出台过一个行业标准，即个人金融信息保护技术规范，这个标准将个人金融信息按照敏感程度分为三个等级，针对每个等级，金融机构需要实施的保护举措是不一样的。

“分级管理是一个大的方向，我预期所有的金融机构会在个人金融信息分级管理措施上有更进一步的跟进举措。”丁宇翔说，下一步，金融机构也需要针对不同等级不同敏感程度的个人金融信息，遵循不同的处理规则。

在中国人民大学信息学院副教授黄科满看来，依据最近一段时间国家出台的一些相关规定，在未来在信息处理上，会对数据的归属进行明确，具体来说就是还数于民。黄科满表示，未来的信息分级管理可能会出现三种模式。一种是机构自有的数据，数据依赖于机构本身在生产经营活动中所积累的数据，比如销售上的数据；第二种就是个人本身所掌握的数据，包括个人的一些隐私信息；第三种是个人自己的数据没有能力去管理授权给国家的或者是第三方机构来维护的数据。

技术加持

常态化全周期防护

对个人信息数据进行分类、分级明确了数据保护和使用的责任主体，而技术则给个人信息隐私保护多增加了一层“保护外套”。据了解，《个人信息保护法》《数据安全法》给金融机构在信息获取和使用、数据处理等方面提出了更高要求，不少机构当前正在根据新规进行相应调整。

平安银行相关负责人表示，今年伊始，该行成立了平安银行个人信息保护委员会，委员会包含了风险、业务、科技、合规、消保、人力资源管理等各领域专家，统筹管理全行个人信息保护相关工作。同时，该行不断提升技术防护能力，保障数据全生命周期安全。技术防护能力逐步优化，强化物理安全、网络安全、系统安全、应用安全、数据安全技术防护措施的同时，也在积极探索新型技术防护手段，确保个人信息数据收集、传输、存储、使用、删除及销毁的全生命周期安全。

而就浦发银行而言，其根据《个人信息保护法》《数据安全法》等法律法规和监管要求，正持续提升数据安全防护能力，着力打造全覆盖体系化网络安全防护体系，持续强化数据安全和客户隐私保护力度，建立全周期多层次数据安全保障体系，从治理、管理、技术三个层面，实施数据采集、传输、存储、使用、删除销毁等全生命周期安全控制，防护数据安全。

“主要措施包括，一是构建综合安全治理框架，建立常态化安全内控规范机制；二是建立数据安全分类分级标准，采取分级保护；三是实施多层次的纵深防御策略，持续升级网络安全防护体系。”浦发银行的相关负责人表示。

值得注意的是，为了做到完全合规，金融机构也需在业务模式和系统上进行调整。

一家股份制银行信用卡中心相关负责人表示，银行信用卡部门因为客户量众多，为了提高合约签订的效率，银行和客户建立业务关系时使用的合同条款多是格式条款。但格式条款在新《个人信息保护法》实施后，则遭遇了很大挑战。“因为个人信息保护法要求敏感个人信息的对外提供和使用需要取得客户的单独授权和同意，不允许通过格式条款‘一揽子’提供。另外，个人信息保护法要求客户在同意提供个人信息之后，还享有撤回的权利。以上这些要求都需要我们对现有的系统设置和业务模式进行调整。”他说。

该负责人也提到，《个人信息保护法》所保护的客户享有的权利对应的则是银行应该承担的义务，这意味着银行不可避免要进行成本上的投入，这或对银行的利润等产生一定影响。

难题待破

制度将进一步完善

相关法律的出台，全面、系统地对个人信息保护工作做出了基础性制度安排。但是个人信息保护仍存在行业性、结构性的风险隐患。一些金融机构人士表示，在落实个人信息保护和数据安全治理的过程中，存在一些难点和挑战。

中国社会科学院法学研究所民法研究室主任谢鸿飞指出，相关法律法规的实施难点主要在于个人信息处理的事前同意规则，尤其是单独同意规则在具体操作过程中难以落实。以助贷业务为例，助贷机构在向金融机构推介客户时，通常需要分享客户的个人信息，而根据《个人信息保护法》规定，助贷机构需要告知客户接收方（金融机构）的名称、联系方式、处理目的、处理方式和所涉及的个人信息种类，在没有其他合法性基础的情形下，还需要取得客户的单独同意。

就金融机构来说，谢鸿飞表示，金融机构本身并不直接接触用户，金融机构通常将授权协议前置到助贷环节去勾选，那么在助贷环节取得用户单独授权后是否意味着金融机构就可以直接利用用户个人信息？对此监管方面目前还没有明确的态度。除此之外，在金融集团、母子公司之间的信息共享也将面临困难，金融集团内部的数据流通受阻。

业内人士预期，未来相关法律制度将进一步完善，以促进个人金融信息保护工作的更好开展。

易观高级分析师苏筱芮表示，伴随着顶层制度的不断完善，金融业的数据治理工作将迈入常态化阶段。《个人信息保护法》的出台，不仅能够为个人信息保护工作的顺利开展奠定优良根基，且作为信息保护领域的上位法，未来亦将助推其他个人金融信息保护领域相关的法规条例加速出台。

“未来，我们会进一步完善金融领域个人信息保护的法律制度，并加大对个人信息保护的监管力度。”易纲还表示，个人信息保护的最终目的是促进数据的合理使用。要在充分保护个人信息的前提下，探索实现更加精确的数据确权，更加便捷的数据交易，更合理的数据使用，激发市场主体活力和科技创新能力。