汇业评论 | 我国个人金融信息保护的法律与标准体系概览

近年来，随着个人信息保护的媒体关注度进一步提高和金融科技发展速度进一步加快，个人金融信息保护也越来越成为立法和执法活动关注的重点领域。近段时间以来，大量立法/标准如雨后春笋，相关机构的执法热情也随之高涨。

但是，早些时候，我国金融业监管采取的银保证分业监管模式，且存在大量类金融业处于多头监管的无序状态。这体现在个人金融信息保护方面，相关立法比较分散零乱，法律概念和合规尺度差异较大。

为了帮助金融业机构更好的开展个人信息保护合规建设，汇业律师事务所黄春林律师团队梳理相关立法、标准体系如下：

1.     普遍适用的“顶层设计”

现行有效的规定中，适用于所有金融业机构的、相对全面规范个人金融信息保护的是《国务院办公厅关于加强金融消费者权益保护工作的指导意见》、《金融消费者权益保护实施办法》、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》、《关于金融机构进一步做好客户个人金融信息保护工作的通知》等文件。其中，《金融消费者权益保护实施办法》作为具体的落地文件，具体规定涵盖了个人金融信息的定义到全生命周期的合规、法律责任等，被称为金融领域的“工信24号令”。

此外，央行发布的《金融科技(FinTech)发展规划(2019-2021年)》和《关于发布金融行业标准 加强移动金融客户端应用软件安全管理的通知》、互联网金融协会发布的《关于增强个人信息保护意识依法开展业务的通知》等，也重点强调了金融业机构的个人金融信息全生命周期保护合规要求。

除此之外，作为上位法的《反洗钱法》、《反恐怖主义法》、《网络安全法》、《消费者权益保护法》、《商业银行法》、《金融企业业务档案管理规定》等法律法规中，亦有部分个人金融信息保护的零星规定，例如实名制、收集必要性、保存期限等专门要求。

2.     特殊行业的“分业合规”

关于个人金融信息保护，除上述普遍适用于金融机构的规定外，网络支付、网络借贷、保险、征信等行业还有各自适用的部分特殊要求，具体包括但不限于：

.

3.     行业标准的“最佳实践”

金融领域的国家标准和行业标准，是金融机构开展个人金融信息保护合规工作和主管部门监管执法活动的重要参考，具体包括但不限于：

4.     颗粒更细的“一般规定”

汇业黄春林律师团队介绍，个人金融信息属于个人信息的一种特殊类型，仍然应当遵从有关个人信息保护的一般规定。因此，金融业机构在开展个人信息保护合规建设时：

（1）     通过移动网/互联网开展业务的，还应重点遵从《App违法违规收集使用个人信息行为认定方法》、《App违法违规收集使用个人信息自评估指南》、《互联网个人信息安全保护指南》等文件的规定。并且，还应当遵从《网络安全法》及其配套文件，如《儿童个人信息网络保护规定》，并应当参照《信息安全技术 个人信息告知同意指南（征）》、《信息安全技术 移动互联网应用（App）收集个人信息基本规范（征）》、《个人信息出境安全评估办法（征）》等执行。近期App专项治理工作组违法通报及媒体发布的《2019移动金融类App隐私政策透明度测评》报告，也体现了这一逻辑。

（2）     金融业机构的收集、存储、处理个人金融信息的网络系统，还应当满足网络安全等级保护2.0、关键信息基础设施保护有关的合规控制要求。

（3）     金融业机构出海经营的，还应当根据业务具体情况，属地遵守GDPR、CCPA等规定。

5.     立法与标准的最新动态

为了适应日益变化的金融科技业态，强化金融消费者的信息知情权和信息自主控制权（包括删除、更正、信息携带权），2019年12月，央行发布修订后的《金融消费者权益保护实施办法》并正式征求意见。该征求意见稿进一步扩大了金融业机构适用范围，明确将商业银行理财子公司、金融资产管理公司、信托公司、汽车金融公司、消费金融公司以及征信机构、特许货币兑换经营机构等纳入监管范围。

此外，近期央行发布《个人金融信息（数据）保护试行办法》内部征求意见，全面规定了个人金融信息的收集、使用、存储及对外提供等的合规要求，同时还明确各主体的数据源审查要求和法律责任。这将是有关个人金融信息专门规定中效力最高的文件，是《网络安全法》在中国金融领域的重点配套文件。该办法明确了金融业机构业务合规红线，统一了监管机构执法尺度，对金融科技行业影响较大。

此外，自2019年下半年以来，人民银行、金标委还先后发布了一系列规定及标准征求意见，包括《基于大数据的支付风险智能防控技术规范（征）》、《金融信用信息基础数据库企业信用报告查询业务规程》、《金融数据安全 数据安全分级指南（征）》、《人脸识别线下支付安全应用技术规范（征）》等。