《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）于 2021年11月1日起施行。金融業作為數據密集型行業，如何保護好海量敏感個人信息，應當成為金融機構亟待解決的重要任務之一。

本文旨在通過對與個人信息保護的金融政策回顧梳理，厘清個人信息及敏感個人信息的內涵及外延，列舉金融機構若干應用場景，結合國家標準及行業特點，提出金融機構對個人信息保護的法律合規建議。

一、歷史沿革

金融監管機構對于信息保護的原則性規定可以追溯至2004年全國人大常委會頒布的《中華人民共和國商業銀行法（2003修正）》。2011年中國人民銀行發布《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》（銀發〔2011〕17號），對“金融消費者”進行界定。2020年中國人民銀行發布的《個人金融信息保護技術規范》，根據信息遭到未經授權的查看或未經授權的變更后所產生的影響和危害，將個人金融信息按敏感程度從高到低分為C3、C2、C1三個類別。同年頒布的《中國人民銀行金融消費者權益保護實施辦法》（以下簡稱《金融消費者權益保護實施辦法》）更是專章對于個人金融信息保護進行規范。

金融監管政策時間軸

目前，我國通過《中華人民共和國民法典》（以下簡稱《民法典》）、《中華人民共和國刑法》（以下簡稱《刑法》）、《個人信息保護法》《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《金融消費者權益保護實施辦法》《個人金融信息保護技術規范》等法律法規、行業規范性文件共同搭建起了關于個人金融信息保護的基本法律框架。

二、《個人信息保護法》中與金融機構相關的“個人信息”內涵及外延

《個人信息保護法》第四條第一款規定“個人信息”系“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”。該定義采納了《個人信息安全規范》個人信息定義的最寬入口模式。無論是從“從信息到個人”的識別法亦或“從個人到信息”的關聯法得到的信息均被認為是個人信息的范疇。該條款實質也與歐盟《一般數據保護條例》GDPR設計思路一致。

在屬于“個人信息”的范圍內，如符合《個人信息保護法》第二十八條列舉的包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡以及不滿十四周歲未成年人的個人信息等“一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息”均屬“敏感個人信息”。由此可知，《個人信息保護法》將“個人信息”二元劃分為“一般個人信息”與“敏感個人信息”。與“一般個人信息”相比，“敏感個人信息”被設置了更高級別的保護義務。

根據現行有效的《個人金融信息保護技術規范》第4.2條“個人金融信息類別”按照敏感程度從高到低將個人信息分為C3、C2、C1三類。其中， C2類別、C3類別均符合《個人信息保護法》“敏感個人信息”的定義。C1類別為“可能會對個人金融信息主體的信息安全與財產安全造成一定影響”的個人信息，與《個人信息保護法》“敏感個人信息”的定義存在交叉。因此，金融機構涉及到的絕大多數個人信息，都屬于《個人信息保護法》中的“敏感個人信息”，這對于金融機構的個人信息保護義務提出更高合規要求。

需要注意的是，金融機構基于海量個人信息加工形成的衍生數據，例如客戶的支付能力、交易習慣、消費偏好等具有商業價值的信息均屬于《個人信息保護法》定義下的個人信息，該等衍生數據由于“一旦泄露或者非法使用，容易導致自然人的財產安全受到危害的個人信息”，亦屬于“敏感個人信息”。因此，金融機構在使用相關衍生數據時，也要落實《個人信息保護法》相關合規要求。

此外，《個人信息保護法》第四條將匿名化處理后的數據排除在個人信息范圍外，即如果金融機構對個人信息進行脫敏，通過去標識化、匿名化，無法實現信息指向具體自然人，那么該等信息不屬于個人信息，而是屬于金融機構自有的商業秘密。

三、《個人信息保護法》下金融機構的若干應用場景

《個人信息保護法》的出臺，以保障個人信息安全、維護個人合法權益為主要立法目標，對“個人信息處理者”的信息收集、傳輸、存儲、使用、刪除、銷毀等全生命周期的個人信息處理活動進行規范。《個人信息保護法》對于共同處理、委托處理、個人信息轉移、對外提供、自動化決策、公共采集六大場景中個人信息處理的規定，蘊含著金融機構應當遵守的法律義務，對于金融機構的合規工作影響重大。對于金融機構而言，以下個人金融信息應用場景值得關注：

場景一：金融機構線上、線下收集客戶個人信息

《個人信息保護法》第二十三條、第二十六條、第二十九條分別要求個人信息處理者在處理敏感個人信息、向第三方提供個人信息、公開個人信息、公共場所圖像收集和身份識別、跨境提供個人信息的場景下取得個人的單獨同意。在此之前，單獨同意的類似概念曾作為《個人信息安全規范》要求個人信息控制者收集生物識別信息前獲取用戶同意的形式要件[注1]。“單獨同意”亦不同于《個人金融信息保護技術規范》規定的“個人金融信息主體主動作出聲明（電子或紙質形式）、主動勾選、主動點擊‘同意’、‘注冊’、‘發送、’‘撥打’、主動填寫或提供等”肯定性動作。《個人信息保護法》規定的“單獨同意”，須達到破除“一攬子授權”、“無感知授權”的效果。

因此，金融機構對于單獨同意的適用，應依照《個人信息保護法》的規定，賦予客戶便捷的行使撤回同意權，在高風險場景下加強告知義務，以明顯提示的方式，充分告知客戶個人信息的處理目的、范圍、方式及必要性。

場景二：集團性質的金融機構之間數據流轉共享

《個人信息保護法》第二十三條規定了個人信息處理者向其他個人信息處理者提供其處理的個人信息的合規要求，在對外提供個人信息時應當增強透明度，“向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意”以此增加金融機構的告知義務。接收方如變更原先的處理目的及處理方式，仍應重新取得個人同意。該要求對集團性質金融機構成員之間的信息轉移共享產生較大影響，數據流動效率大大降低。

因此，集團性金融機構之間提供其處理的個人信息，原則上仍應履行嚴格的告知同意義務，包括但不限于事先的充分告知和單獨同意，同時第三方處置權限受到嚴格的限制。

場景三：金融機構委托第三方供應商處理個人信息

《個人信息保護法》第二十一條規定了個人信息處理者委托處理個人信息的情形。金融機構委托第三方供應商提供數據技術支持的委托行為較為常見。在委托過程中，需要與受托方簽訂委托合同，明確“委托處理的目的、期限、處理方式、個人信息的種類、保護措施”等事項。

與《個人信息保護法》第二十三條不同，第二十一條對委托人是否需向個人披露受托方未做強制性要求。我們認為，第二十一條雖未對委托人披露義務作出規定，但因委托第三方處理個人信息，仍屬《個人信息保護法》第十七條規定的“處理個人信息”的情形，因此，金融機構仍應按照第十七條的規定，“以顯著方式、清晰易懂的語言真實、準確、完整地”向個人逐項告知委托處理具體場景等。

場景四：金融機構跨境提供客戶個人信息

《個人信息保護法》以第三章“個人信息跨境提供的規則”的形式，對于個人信息跨境提供規則進行單章規定。根據第三十八條規定，需進行跨境提供個人信息的，應滿足下列條件：應通過國家網信部門組織的安全評估；進行個人信息保護認證；按照國家網信部門制定的標準合同與境外接收方訂立合同等。同時，個人信息處理者應向個人告知，并取得個人的單獨同意。非經主管部門批準，不得向外國司法或執法機構提供。因此，金融機構如需進行境外投資等情形，需向境外提供個人信息的，應嚴格遵守相關規定，否則不得向境外提供。

跨境提供客戶數據基本流程，可以參考國家互聯網信息辦公室2021年10月29日發布的《數據出境安全評估辦法（征求意見稿）》，其中詳細規定了數據處理者向境外提供數據的審批路徑：（1）數據處理者開展數據出境風險自評估；（2）申報數據出境安全評估；（3）國家網信部門自收到申報材料之日起七個工作日內，確定是否受理評估并以書面通知形式反饋受理結果。

四、《個人信息保護法》對金融機構的合規要求

(一)《個人信息保護法》下金融機構的法律責任

《個人信息保護法》生效后，金融機構面臨前所未有的法律風險，主要包括行政處罰、民事訴訟、刑事訴訟等方面。

行政處罰方面，《個人信息保護法》借鑒歐盟GDPR的立法設計思路，將單位罰金提高至“五千萬元以下或者上一年度營業額百分之五以下”，同時可導致“暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照”的嚴厲處罰。直接負責的主管人員及其他直接責任人員罰金提高至“十萬元以上一百萬元以下”，新增相關人員在一定期限內不得擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人的處罰措施。

民事責任方面，根據《民法典》第一千一百八十二條、第一千一百八十三條的規定，金融機構泄露個人信息除了承擔賠償責任、賠償精神損害責任之外，當事人根據案件事實有權依據《民法典》第一百七十九條的規定，要求金融機構承擔賠禮道歉、恢復原狀等民事責任。

需要注意的是，《個人信息保護法》明確個人信息民事侵權賠償適用過錯推定原則。根據《民法典》第一千一百六十五條的規定，金融機構如不能證明自己沒有過錯的，應當承擔侵權責任。過錯推定原則的適用意味著金融機構需承擔較重的自證義務，在日常的處理活動中應做好相關的記錄和存證，嚴格遵守合規制度。

在刑事責任方面，《刑法》第二百五十三條之一規定了侵犯公民個人信息罪，即“違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。”對于金融機構而言，員工在工作過程中非法獲取、出售或者提供客戶征信信息的，亦構成侵犯公民個人信息罪。

(二)《個人信息保護法》對金融機構的合規要求

《個人信息保護法》的實施，對金融機構提出了新的合規要求，企業需要從數據收集、數據處理及內部管理三個層面做好法律合規應對準備。我們提供如下合規路徑，供金融機構參考。

首先，收集數據層面。第一，企業要恪守合法、正當、必要、合目的及最小必要原則，定期檢查個人信息收集規則和個人隱私協議的一致性，保證收集用戶數據的內容與維度合規;第二，企業還要盡快完善用戶協議，更加明顯地提示用戶授權等，而且在未來還要提供明顯的刪除個人數據的選項以及便捷的撤回選項；第三，定期對從業人員進行安全教育和培訓，經常性接觸個人信息的網點經營活動應減少紙質單據的產生和傳遞，降低外包營銷人員掌握客戶信息的可能性。第四，對個人生物特征的數據采集和識別要特別審慎，防止個人信息泄露。

其次，處理數據層面。數據處理包含數據存儲、數據使用、數據傳輸、數據刪除、數據追蹤等。例如，在加密數據傳輸及存儲環節，對數據進行精細分類分級管理，涉及個人敏感信息，采用加密存儲等方式，確保數據信息的安全；在數據使用環節，細化訪問控制顆粒度，合理確定個人信息處理操作權限，將數據去標識化、匿名化，通過替換或置換方式對數據進行脫敏，減少個人信息的暴露；在數據追蹤環節，確保數據使用的行為安全合法，做好記錄存證工作，有利于企業數據出現問題后進行事故的追責，為相關部門提供事實依據。

結語：《個人信息保護法》的頒布是對金融行業過去十余年個人信息安全工作的挑戰與檢驗，面對日趨嚴格的監管態勢，金融機構應當理性處理、積極應對。此外，數據的價值在于流動和使用，如何平衡個人信息保護與商業利益之間的關系，金融機構仍需進一步結合配套法規的合規性要求，不斷探索和實踐。

注釋及參考文獻:

[1]《<個人信息保護法>正式稿之重點條款導覽》，作者周楊、辛小天、史蕾。