馬龍 周起文 歐歡峰 馬龍

未來，個人金融信息數(shù)據(jù)保護必將成為金融科技行穩(wěn)致遠的核心要素之一。隨著銀行數(shù)字化轉型的持續(xù)縱深推進，銀行在個人金融信息保護方面面臨的形勢將日趨嚴峻，挑戰(zhàn)將日益增大。銀行需要綜合運用多種手段，以更加切實有效的方式強化個人金融信息保護，破解數(shù)據(jù)要素運用中的業(yè)務痛點和技術難點。

數(shù)字化發(fā)展，既是構筑國家競爭新優(yōu)勢的戰(zhàn)略選擇，也是滿足人民日益增長美好生活需要的重要途徑。依托云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等技術的不斷迭代與演進，數(shù)字化發(fā)展又促成了金融和科技的完善結合，金融科技不僅改變了金融服務方式和效率，也改變了金融服務內(nèi)容和質量，甚至改變了金融服務的性質和本質。金融科技的本源是工具，但金融科技與人性結合，便有了善惡，所以，如何劃定金融科技的邊界，規(guī)范金融機構和科技公司的行為，讓金融科技增進而不是破壞人們的美好生活？在數(shù)字化發(fā)展中加強個人金融信息保護的問題，值得深入研究。

個人金融信息保護問題越來越得到重視

在個人信息保護方面，我國在逐步建立和完善相關法律法規(guī)，既有國家層面的統(tǒng)一推進，也有各主管部門的并行推進;監(jiān)管趨向嚴格，執(zhí)法懲處力度加大，對行業(yè)自律的要求逐步提高;個人用戶的信息保護意識越來越高;個人信息保護向數(shù)據(jù)治理轉變，涉及的領域愈加多元和深入。

個人金融信息的界定

根據(jù)中國人民銀行發(fā)布的《關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》，個人金融信息是指：“銀行業(yè)金融機構在開展業(yè)務時，或通過接入中國人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取、加工和保存的以下個人信息：個人身份信息，包括個人姓名、性別、國籍、民族、身份證件種類號碼及有效期限、職業(yè)、聯(lián)系方式、婚姻狀況、家庭狀況、住所或工作單位地址及照片等;個人財產(chǎn)信息，包括個人收入狀況、擁有的不動產(chǎn)狀況、擁有的車輛狀況、納稅額、公積金繳存金額等;個人賬戶信息，包括賬號、賬戶開立時間、開戶行、賬戶余額、賬戶交易情況等;個人信用信息，包括信用卡還款情況、貸款償還情況以及個人在經(jīng)濟活動中形成的，能夠反映其信用狀況的其他信息;個人金融交易信息，包括銀行業(yè)金融機構在支付結算、理財、保險箱等中間業(yè)務過程中獲取、保存、留存的個人信息和客戶在通過銀行業(yè)金融機構與保險公司、證券公司、基金公司、期貨公司等第三方機構發(fā)生業(yè)務關系時產(chǎn)生的個人信息等;衍生信息，包括個人消費習慣、投資意愿等對原始信息進行處理、分析所形成的反映特定個人某些情況的信息;在與個人建立業(yè)務關系過程中獲取、保存的其他個人信息?！?/p>

我國近年出臺了一系列法律法規(guī)和監(jiān)管要求

從2012年全國人大在法律層面明確個人信息定義，到2020年《個人信息保護法（草案）》（簡稱“個保法草案”）公開征求意見，我國個人信息保護立法經(jīng)歷了從無到有、從分散立法到統(tǒng)一立法的過程，大致可以分為立法起步、深化和統(tǒng)一三個階段。

立法起步階段（2012年至2017年）

此階段標志是2012年全國人大常委會通過《關于加強網(wǎng)絡信息保護的決定》，在法律層面首次確認了對個人信息進行保護的要求;2013年，工業(yè)和信息化部出臺《電信和互聯(lián)網(wǎng)用戶個人信息保護管理規(guī)定》。但此階段個人信息保護法律法規(guī)尚處于起步階段，不夠清晰，各類規(guī)定比較零散，有的還在說教層面，執(zhí)法威懾相對還不夠強。

此階段，個人金融信息保護以監(jiān)管部門通知為主。如，中國人民銀行《關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》（2011年）、《關于金融機構進一步做好客戶個人金融信息保護工作的通知》（2012年），以及《征信業(yè)管理條例》（2013年）和《中國人民銀行金融消費者權益保護實施辦法》（2016年）等規(guī)定中也涉及信息保護內(nèi)容。

立法深化階段（2017年至2020年）

此階段標志是2017年國家頒布《網(wǎng)絡安全法》和最高法出臺《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，對網(wǎng)絡信息管理全面規(guī)范，并且通過司法解釋明確了個人信息保護的刑法量刑標準。此外，國家的執(zhí)法力度越來越大。2019年針對爬蟲行為開展了集中整治，多家大數(shù)據(jù)公司因數(shù)據(jù)違規(guī)被查。但此階段國家尚未出臺個人信息保護專門法，法律法規(guī)相對分散，系統(tǒng)性不足。

此階段，個人金融信息保護納入數(shù)據(jù)管理框架，監(jiān)管部門也出臺了個人金融信息保護規(guī)范。如銀保監(jiān)會發(fā)布《銀行業(yè)金融機構數(shù)據(jù)治理指引》（2018年），將國家標準《信息安全技術 個人信息安全規(guī)范》納入銀行業(yè)金融機構的合規(guī)標準體系;中國人民銀行發(fā)布《個人金融信息保護技術規(guī)范》（2020年），明確了金融行業(yè)的信息保護技術標準。

統(tǒng)一立法階段（2020年起）

2020年10月，全國人大就個保法草案向社會公開征求意見，標志著我國個人信息保護進入了統(tǒng)一立法、專門立法階段。同期，新版國家標準《信息安全技術 個人信息安全規(guī)范》正式實施。同時，在2020年底，中央政治局會議著重強調(diào)了反壟斷的問題，金融監(jiān)管部門也提出要關注新的大而不能倒問題，還強調(diào)數(shù)據(jù)確權是數(shù)據(jù)市場化配置及報酬定價中的基礎性問題。

此階段，個人金融信息保護進展體現(xiàn)在監(jiān)管部門正在基于國家個人信息保護立法，制定相關的行業(yè)法規(guī)。如，2020年12月，中國人民銀行和銀保監(jiān)分別表示正在研究制定《個人金融信息保護暫行辦法》和《金融數(shù)據(jù)安全保護條例》。

在個人信息保護方面的監(jiān)管執(zhí)法懲處力度越來越大

2019年，我國針對爬蟲行為（網(wǎng)絡留痕信息自動采集技術）開展了集中整治。多家大數(shù)據(jù)公司因數(shù)據(jù)違規(guī)被查，部分中小銀行暫停第三方合作。而多家公司被查的重要原因是違規(guī)使用數(shù)據(jù)爬蟲，并服務于高利貸、暴力催收等行為。從執(zhí)法情況來看，這次查處已不限于與互聯(lián)網(wǎng)金融相關的數(shù)據(jù)風控公司，而是全面打擊數(shù)據(jù)產(chǎn)業(yè)鏈上下游的違法違規(guī)行為，督促業(yè)界進一步認識到合規(guī)的重要性。

2020年中央著重強調(diào)反壟斷的問題。金融監(jiān)管部門也提出要關注新的大而不能倒問題，還強調(diào)數(shù)據(jù)確權是數(shù)據(jù)市場化配置及報酬定價中的基礎性問題，大型科技公司實際上擁有數(shù)據(jù)的控制權，需要盡快明確各方數(shù)據(jù)權益，依法保護各交易主體利益?？傊@些動向反映出國家進一步加強個人信息數(shù)據(jù)保護力度，對與個人信息保護密切相關的大數(shù)據(jù)公司和平臺公司的監(jiān)管，不僅限于爬蟲問題、數(shù)據(jù)收集等方面，而是深入到金融業(yè)務場景，開始強調(diào)數(shù)據(jù)權益歸屬問題。

銀行一直注重個人金融信息保護

在數(shù)字化轉型發(fā)展中，銀行個人金融信息保護既屬于管理范疇，也屬于技術范疇，保護體系有三個共性特征：一是在組織機制上，強化全行統(tǒng)籌管控，建立了多位一體、職責明確的保護機制;二是在防護策略上，聚焦客戶隱私維護，堅持個人金融信息收集和使用的“合法、正當、透明、必要”原則;三是在金融科技上，注重技術防控，打造全領域、縱深化的防控體系，從網(wǎng)絡通信、系統(tǒng)應用、數(shù)據(jù)分析挖掘等各層面均有防控措施。

主要的管理舉措包括：一是協(xié)同的管控架構。銀行的保護組織架構由業(yè)務、科技、內(nèi)控和風險等部門組成，通過跨條線、跨部門協(xié)作，形成多位一體、職責明確的個人金融管理信息保護組織架構。二是完善的制度規(guī)范。全面遵循法律法規(guī)和監(jiān)管要求，頂層設計整體策略，細化個人金融信息分級分類標準，并從業(yè)務和科技層面出臺了具體的工作辦法，明確職責分工和管理要求，并在系統(tǒng)建設和業(yè)務運營過程中內(nèi)化固化各項保護各項要求。三是主動的發(fā)展模式。隨著新技術、新業(yè)務、新場景的不斷涌現(xiàn)，個人金融信息保護逐漸由“以系統(tǒng)為中心”向“以數(shù)據(jù)為中心”轉變，各大行積極應變，保護策略與時俱進，保護舉措主動調(diào)整。四是最小的使用范式。厘清業(yè)務發(fā)展與個人金融信息保護關系，建立清晰明確的調(diào)用系統(tǒng)權限對應關系，確保收集的個人信息和使用的系統(tǒng)權限最小必要。五是持續(xù)的員工教育。為確保人這一信息安全最關鍵因素，避免因員工的“不知”“無畏”引發(fā)泄露事件，通過手冊編制、案例教學、在線培員工訓等方式，持續(xù)組織開展安全意識培訓，并將安全教育納入強制學習計劃，強化合規(guī)意識。六是透明的告知體系。主動向客戶明示采集與使用個人數(shù)據(jù)的目的、方式、范圍和規(guī)則，同時全面細化隱私政策，確保無免除自身責任、加重客戶責任、排除客戶主要權利的條款，保障個人客戶知情權。設計靈活的授權及撤銷機制，確保不存在強制捆綁授權行為，保障客戶持續(xù)擁有自主選擇權。

具體的技術舉措包括：一是全生命周期縱深防護。建立覆蓋個人金融信息采集、加工、傳輸、存儲、使用、銷毀等全生命周期、動態(tài)靈活的安全技術保障體系，通過在網(wǎng)絡、系統(tǒng)、終端、應用等不同層面，分別部署異構網(wǎng)絡安全防御系統(tǒng)和工具，并集中納入統(tǒng)一管控，防止金融信息等核心數(shù)據(jù)資產(chǎn)被竊取，持續(xù)完善數(shù)據(jù)防泄露體系建設，實現(xiàn)了重要文檔加密、郵件過濾、終端防護等多層次、立體化的訪問控制和數(shù)據(jù)保護。二是便捷實際的可控運用。面向主要的使用主題和使用部門，依托桌面云、本地虛擬化等技術，為數(shù)據(jù)應用提供在線安全訪問、安全傳輸、訪問控制、數(shù)據(jù)防泄露、安全清理銷毀等“一站式”功能，構建安全、便捷和封閉的數(shù)據(jù)使用環(huán)境。三是外部數(shù)據(jù)的嚴密防護。在與政府機關、行政事業(yè)單位及各類商業(yè)機構合作中，依法合規(guī)獲取的個人金融信息，均按照集中管理、最小授權原則進行管控。數(shù)據(jù)通過企業(yè)級外部數(shù)據(jù)接入平臺一點接入，由統(tǒng)一的數(shù)據(jù)應用平臺進行集中加工、存儲、管理和復用，確保安全可控。四是常態(tài)監(jiān)控的預防防護。加強數(shù)據(jù)使用行為監(jiān)控審計，運用安全態(tài)勢感知、大數(shù)據(jù)分析技術，主動發(fā)現(xiàn)和追溯數(shù)據(jù)泄露，及時采取有效控制措施;運用技術、管理、教育綜合手段，防控內(nèi)部違規(guī)查詢、打印等使用個人金融信息的行為;持續(xù)開展數(shù)據(jù)安全評估，做好各項預防工作。五是與時俱進的創(chuàng)新防護。順應后疫情時代金融全面線上化趨勢，深入分析客戶行為和風險偏好，借助大數(shù)據(jù)、機器學習、生物識別、自然語言處理等新技術，對線上線下高風險交易進行實時監(jiān)控與處置，覆蓋交易事前、事中、事后全流程。

此外，銀行近年來一直持續(xù)在海外布局，因此高度注重全球個人金融信息數(shù)據(jù)保護。在全面梳理境外機構所在國家和地區(qū)的數(shù)據(jù)安全和個人信息保護監(jiān)管法規(guī)的基礎上，形成全球監(jiān)管合規(guī)庫，制定了適合各境外機構的數(shù)據(jù)安全和個人金融信息保護基線。同時，針對部分國家數(shù)據(jù)本地化、個人信息加密存儲等法律要求，因地制宜、因行施策，通過加密回傳加密集中處理或本地部署海外專用核心系統(tǒng)等多種方式，有效遵循了各國的監(jiān)管要求。

銀行個人金融信息數(shù)據(jù)保護面臨的挑戰(zhàn)

隨著數(shù)字化轉型步伐的持續(xù)加快，個人金融信息在不同系統(tǒng)、產(chǎn)品、業(yè)務環(huán)節(jié)中快速流轉，個人金融信息保護管理需要由靜態(tài)安全為主向數(shù)據(jù)全生命周期管控動態(tài)拓展。未來隨著銀行數(shù)字化轉型的持續(xù)縱深推進，數(shù)據(jù)要素的價值創(chuàng)造作用將更加凸顯，個人金融信息保護面臨的風險與挑戰(zhàn)也將史無前例。

金融加速線上化 帶來泄露新風險

隨著銀行業(yè)的全面數(shù)字化，特別是后疫情時代，“零接觸”的全面線上金融成為各大行標配，數(shù)據(jù)泄露的風險敞口也在激增。同時，相比傳統(tǒng)封閉式架構，基于移動互聯(lián)網(wǎng)的線上金融勢必采取開放式架構，而開放式架構的不足客觀存在，更易成為攻擊目標。技術促進業(yè)務創(chuàng)新的同時，也須直面新技術的兩面性，例如云平臺數(shù)據(jù)匯集使單體風險演化為系統(tǒng)風險，大數(shù)據(jù)時代的個人隱私數(shù)據(jù)易被濫用等需要重點關注。另外，銀行致力于發(fā)展場景金融，銀行場景與外部場景環(huán)環(huán)相扣，其中的個人金融信息數(shù)據(jù)保護成為發(fā)展的防線，也是底線。此外，近年來金融機構容易成為主要攻擊目標，攻擊者從炫耀技術到詐騙勒索目的不一，攻擊防范的復雜嚴峻可見一斑。

運營加速互聯(lián)網(wǎng)化 帶來集中新挑戰(zhàn)

進入數(shù)字化時代之后，銀行的競爭力在于能夠充分發(fā)揮數(shù)據(jù)要素的效用，依托人工智能等技術了解客戶、觸達客戶并獲客活客。依托數(shù)據(jù)要素經(jīng)營的未來銀行，必須合規(guī)合法整合多方、海量、高維、異構的數(shù)據(jù)，并采用數(shù)字化的運營模式，才能及時了解經(jīng)營管理狀態(tài)，降低經(jīng)濟環(huán)境不確定性帶來的風險，降低市場與周期波動帶來的風險，降低客戶需求變化帶來的風險。數(shù)字化運營的內(nèi)生需要必須加大數(shù)據(jù)的集中程度，同時也將帶來更大的泄露風險。當前很多銀行都在全力推進數(shù)據(jù)中臺、數(shù)據(jù)湖建設，但是傳統(tǒng)的授權模式、多頭的流出途徑、復雜的交換渠道也是需要配套做徹底的改變，需要技術、思維與管理齊頭并進，才能化解與之相伴相生的個人金融信息數(shù)據(jù)集中泄露風險。

監(jiān)管加速完善趨嚴 提出防護新要求。

從2018年歐盟《通用數(shù)據(jù)保護條款》（General Data Protection Regulation，簡稱GDPR），到我國已將《個人信息保護法》《數(shù)據(jù)安全法》等納入全國人大立法議程，同時《個人信息安全規(guī)范》國家標準和《個人金融信息保護技術規(guī)范》金融行業(yè)標準相繼出臺，全球個人金融信息安全保護司法與監(jiān)管持續(xù)完善，并不斷趨嚴。根據(jù)新的司法與監(jiān)管要求，數(shù)據(jù)權益代表了數(shù)據(jù)的權利和利益，貫穿在數(shù)據(jù)流轉的整個生命周期，同時數(shù)據(jù)生產(chǎn)者跟數(shù)據(jù)消費者之間的合作關系由過往很多時候默認的買賣關系轉變?yōu)樽赓U關系，這就意味著，即使數(shù)據(jù)被授權使用，數(shù)據(jù)所有者依然既是擁有者也是生產(chǎn)者，從來沒有放棄對自己數(shù)據(jù)的權利。在數(shù)據(jù)已成為銀行重要生產(chǎn)要素，并成為智能化發(fā)展基石的情況下，這些改變勢必對個人金融信息數(shù)據(jù)保護提出新的要求。

個人金融信息保護值得關注幾個問題

個人金融信息的數(shù)據(jù)權益歸屬問題

個人金融信息具有一定的特殊性。個人金融信息既是個人信息，又涉及公共利益。金融數(shù)據(jù)合規(guī)比一般的個人信息保護更為復雜。例如，《信息安全技術 個人信息安全規(guī)范》規(guī)定，個人信息控制者目的達成后，應及時根據(jù)約定刪除個人信息。但根據(jù)金融監(jiān)管法律要求，客戶身份資料在業(yè)務關系結束后、客戶交易信息在交易結束后，均要按要求保存一定期限。

從縱向的數(shù)據(jù)生成角度，個人金融信息的數(shù)據(jù)權益應歸屬涉及信息的個人還是采集信息的機構？個人與金融機構的數(shù)據(jù)權益是否需要劃分，如何劃分？個人在金融機構的數(shù)據(jù)可以分為兩部分：一部分是個人直接授權的數(shù)據(jù)，即個人在業(yè)務過程中直接授權并提供給金融機構的數(shù)據(jù)，另一部分是派生的數(shù)據(jù)，即在處理業(yè)務的過程中衍生出來的數(shù)據(jù)。對于直接授權的數(shù)據(jù)和派生的數(shù)據(jù)，是都歸屬于個人，還是僅有一部分歸屬于個人？如果僅有一部分歸屬于個人，如何劃定個人與金融機構的權益歸屬邊界？這些問題與數(shù)據(jù)處理的合規(guī)要求直接相關。

從橫向的參與主體角度，對于金融機構特別是銀行來說，需要關注各參與主體之間的數(shù)據(jù)權益歸屬關系。在實踐中，我國對這些主體之間數(shù)據(jù)權益歸屬的規(guī)范尚不夠清晰。一是銀行內(nèi)部各部門之間的關系。一個部門的數(shù)據(jù)，其他部門是否可以直接共享，如何共享？二是集團內(nèi)部不同法人主體之間的關系。例如，集團內(nèi)部的商業(yè)銀行、消費金融公司、保險公司等機構之間，如何合規(guī)共享數(shù)據(jù)，如何合規(guī)開展營銷引流、風險管理等業(yè)務合作？三是集團與外部合作機構的關系。銀行與互聯(lián)網(wǎng)公司等各類外部機構在合作中，有時會涉及相互進行營銷引流、風險管理等業(yè)務需要，此時會涉及個人信息的跨機構流轉。如何合規(guī)開展數(shù)據(jù)共享和流轉？四是銀行與政府部門及其辦事機構之間的關系。如國家部委、地方政府、政府部門下屬的事業(yè)單位等。銀行與這些機構之間如何合規(guī)地共享數(shù)據(jù)？當前我國的法律法規(guī)在這些領域還不夠細致和清晰。

采用第三方數(shù)據(jù)的安全性問題

金融機構的數(shù)據(jù)或直接收集或由第三方提供。因第三方數(shù)據(jù)接入的風險點更加復雜，所以，運用第三方接入數(shù)據(jù)存在幾個風險點。

未經(jīng)授權進行收集或爬取。通過公開網(wǎng)站收集的個人信息，若非個人信息主體自行向社會公眾公開或者公共機構主動明示公開，則仍須獲得個人信息主體的授權。非法收集個人信息，可能遭到被收集機構基于平臺安全的正當理由所阻止。同時，未經(jīng)第三方平臺授權，通過破解技術爬取用戶數(shù)據(jù)的活動，可能構成竊取或以其他非法方式獲取個人信息的違法行為。

不正當競爭及其他風險。未經(jīng)授權直接爬取第三方數(shù)據(jù)的行為，爬蟲可能構成妨礙、破壞正常運營等違法行為，屬于不正當競爭情形。此外，還可能構成“危害計算機信息系統(tǒng)安全的其他行為”，由此面臨行政監(jiān)管處罰。在較嚴重的情況下，可構成“非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪”或“破壞計算機信息系統(tǒng)罪”，帶來刑事風險。

模糊措辭，概括性授權。采集協(xié)議文本使用“等個人信息”表述違反了“透明度”的要求。實踐中，此類描述往往有超出使用目的范圍、開展過度收集活動的嫌疑，極有可能違反最小必要原則。

數(shù)據(jù)融合后超出范圍使用。數(shù)據(jù)融合處理和使用不是無限制的，應當遵循“合法性、正當性、必要性”原則，即要有合法性和正當性基礎（用戶授權同意等）。對自身爬取數(shù)據(jù)、從第三方獲得的爬取數(shù)據(jù)以及自身數(shù)據(jù)進行融合處理和使用時，也須采取個人信息安全保護措施，不得超出用戶授權范圍進行使用。

數(shù)據(jù)提供方將具有授權瑕疵的數(shù)據(jù)整合后提供給下游數(shù)據(jù)使用方。情節(jié)嚴重到一定程度，很可能構成侵犯公民個人信息罪。具有授權瑕疵的數(shù)據(jù)收集或爬取行為可能構成“竊取或者以其他方法非法獲取公民個人信息”。數(shù)據(jù)提供行為可能構成“向他人出售或者提供公民個人信息”。

下游數(shù)據(jù)使用方使用數(shù)據(jù)提供方非法收集或爬取的數(shù)據(jù)。若不對上游數(shù)據(jù)提供方的數(shù)據(jù)來源合法性、數(shù)據(jù)收集授權范圍進行審查和確認，在購買和使用其非法數(shù)據(jù)后，情節(jié)嚴重時很可能構成侵犯公民個人信息罪。

我國個保法草案的適用主體為境內(nèi)自然人。個保法草案雖然擴大了域外適用范圍，但對范圍的規(guī)定相對模糊和保守。個保法草案的保護主體側重于個人。我國已處在數(shù)字經(jīng)濟跨越式發(fā)展階段，對數(shù)據(jù)安全、個人信息安全問題更加重視。

我國個保法草案與歐盟GDPR的差異及其對銀行的影響

歐盟GDPR將全球個人數(shù)據(jù)信息的保護和監(jiān)管提升至更高層級。該條例不僅適用于設立于歐盟境內(nèi)的主體，在許多情況下還可適用于非設立于、運營于歐盟境內(nèi)的數(shù)據(jù)控制者和數(shù)據(jù)處理者。GDPR強調(diào)的監(jiān)管要求體現(xiàn)出個人信息保護和數(shù)據(jù)合規(guī)的趨勢。一是隱私治理。組織在特定情況下應設立數(shù)據(jù)保護官（Data Protection Officer，簡稱DPO）。組織需建立數(shù)據(jù)保護政策、隱私設計原則。二是數(shù)據(jù)保護。禁止數(shù)據(jù)跨境傳輸（除非采取適當措施）。對高風險的場景開展數(shù)據(jù)保護影響評估。三是告知同意。必須獲取數(shù)據(jù)主體的明確同意，且同意清晰可辨。組織須要保留數(shù)據(jù)處理記錄。四是客戶權利響應。組織應及時響應客戶的權利請求。數(shù)據(jù)主體擁有知情權、訪問權、更正權等多項權利。五是事件響應。必須在72小時內(nèi)匯報數(shù)據(jù)泄露事件。

我國個保法草案借鑒了歐盟GDPR等國際經(jīng)驗，同時也堅持從國情出發(fā)，在多方面與GDPR存在明顯差異，且對銀行可能會造成影響。

第一，合法性事由的部分條款規(guī)定范圍相對更窄，部分兜底性條款則偏寬泛。

對于合法性事由，個保法草案的部分規(guī)定范圍相對更窄。例如，歐盟GDPR的合法性事由中有以下情形：“對于保護數(shù)據(jù)主體或另一個自然人的核心利益所必要的”，“為了公共利益或基于官方權威而履行某項任務而進行的”。我國個保法草案則規(guī)定，“為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需”，“為公共利益實施新聞報道、輿論監(jiān)督等行為在合理的范圍內(nèi)處理個人信息”。

對于兜底性條款，個保法草案的規(guī)定則相對偏寬泛。例如，GDPR規(guī)定的情形為“處理對于控制者或第三方所追求的正當利益是必要的”，并有更細致的指導。個保法草案的兜底性條款為“法律、行政法規(guī)規(guī)定的其他情形”，并未明確指出其標準，規(guī)定偏寬泛，未明確體現(xiàn)正當利益事由。

第二，對罰款金額和執(zhí)行標準的規(guī)定不夠清晰。

歐盟GDPR規(guī)定的最高罰款為2000萬歐元或上一年全球營業(yè)額的4%，兩者取較高者，還規(guī)定了處罰的考量因素。歐盟也會通過指南文件等方式進行更細致的指導?！秱€人信息保護法（草案）》規(guī)定罰款為5000萬元以下或上一年度營業(yè)額5%以下，但未明確是否為全球營業(yè)額，也未詳細指導處罰中的具體考量因素。

第三，敏感個人信息處理的合規(guī)義務較重。

歐盟GDPR對特殊類型個人數(shù)據(jù)，實行原則性禁止加例外情形。對于同意的原則和方式，未進行特別規(guī)定。而我國個保法草案規(guī)定，個人信息處理者可處理敏感個人信息的情形為具有特定的目的和充分的必要性。同時，應取得個人單獨同意，還應告知必要性、告知對個人的影響。在需要取得個人單獨同意這一點上，個保法草案在合規(guī)方面對個人信息處理者的要求較高，企業(yè)的合規(guī)成本高。

第四，對成本承擔的規(guī)定不夠清晰。

歐盟GDPR規(guī)定，控制者應對個人數(shù)據(jù)提供副本，若任何數(shù)據(jù)主體要求提供額外副本，控制者可以收取合理費用。我國個保法草案未明確成本的承擔問題，僅規(guī)定“個人請求查閱、復制其個人信息的，個人信息處理者應當及時提供” 。

第五，在自動化決策方面的合規(guī)要求較高。

根據(jù)歐盟GDPR規(guī)定，個人有權拒絕自動化決策。但也提供了豁免情況，例如出于履行合同的必要、經(jīng)過數(shù)據(jù)主體的明示同意、法律已授權并且采取了適當?shù)拇胧?。GDPR對個人信息處理者在加強透明度方面的規(guī)定也更清晰。

我國個保法草案規(guī)定，個人若認為個人信息處理者的自動化決策對其權益造成重大影響，則有權要求予以說明，且個人有權拒絕僅通過自動化決策做出決定。個保法草案還規(guī)定，“通過自動化決策方式進行商業(yè)營銷、信息推送，應當同時提供不針對其個人特征的選項”。這些要求對個人信息處理者是比較高的，且容易與其他法律產(chǎn)生沖突。如，貸款自動審批類的自動化決策結論如為拒絕客戶申請，符合《商業(yè)銀行法》規(guī)定;但客戶如依據(jù)個保法草案主張拒絕銀行的審批結論，此種情況該如何處理，也需要加以考慮和明確。此外，個保法草案要求，在自動化決策中“應當保證決策的透明度和處理結果的公平合理”，但對透明度和公平合理的具體標準規(guī)定不夠細致，不便于個人信息處理者實際執(zhí)行。

關于數(shù)據(jù)跨境的合規(guī)要求可能會有較大影響

歐盟GDPR在數(shù)據(jù)跨境方面，規(guī)定了特別告知同意、數(shù)據(jù)保護標準條款、履行合同必要等多種方式。我國個保法草案則提出了數(shù)據(jù)跨境的前提條件是要告知個人且取得單獨同意。個保法草案還對本地化存儲的情形做出了規(guī)定。這些規(guī)定對跨境經(jīng)營者會有一定的影響。

總之，從我國個保法草案與GDPR的差異來看，一方面，有些規(guī)定對個人信息處理者的合規(guī)義務要求較高;另一方面，有些規(guī)定不夠清晰，執(zhí)行標準不明確。后續(xù)如果完全按此立法實施，可能對國內(nèi)市場主體履行個人信息處理者的權利義務有一定影響，對銀行做好個人信息保護與數(shù)字經(jīng)濟創(chuàng)新發(fā)展的平衡有一定影響。

進一步強化個人金融信息數(shù)據(jù)保護的建議

完善保護機制 強化合法合規(guī)

在數(shù)字化時代銀行要將數(shù)據(jù)安全保障特別是個人金融信息保護定位為一項長期性、系統(tǒng)性工程，需要持續(xù)完善信息保護機制，構建適應新金融、新技術、新業(yè)態(tài)的個人金融信息保護體系。同時平衡好創(chuàng)新與管控之間的關系，在平衡中進一步發(fā)揮好數(shù)據(jù)要素的價值創(chuàng)造作用。

銀行應積極參與數(shù)據(jù)保護立法，推動立法與務實相結合。銀行承擔支持實體經(jīng)濟重任，更需要主動與立法機構和監(jiān)管部門積極溝通，結合支持實體經(jīng)濟的具體數(shù)據(jù)應用場景，推動在法律文本、司法解釋、監(jiān)管法規(guī)制度等個人信息保護法律體系中，通過列舉式細化“哪些可行，哪些不行”，明確合理合法應用個人金融信息的方式和方法，以及對應的具體處罰標準，盡可能縮小法律中寬泛和模糊的中間地帶，減少因法律體系不夠明晰帶來的不必要的成本和損耗。需要重點關注的是：一是關注數(shù)據(jù)確權，平衡數(shù)據(jù)所有人的權利與數(shù)據(jù)支撐自身發(fā)展的作用，既要保護數(shù)據(jù)所有人對數(shù)據(jù)擁有的固有權利，確保自身合法、合規(guī)并合理處理與使用。二是關注數(shù)據(jù)估值，注重劃分數(shù)據(jù)資源固有的商業(yè)價值與數(shù)據(jù)挖掘應用產(chǎn)生的商業(yè)價值，形成合理的數(shù)據(jù)使用價格機制，充分公平地發(fā)揮數(shù)據(jù)價值。三是關注數(shù)據(jù)跨境，持續(xù)跟蹤并明確個人數(shù)據(jù)的歸屬權和司法管轄權，最大限度維護數(shù)據(jù)所有人的基本權益。四是關注社會公平。中小企業(yè)是創(chuàng)新的主力軍，在競爭中處于相對弱勢。在立法過程中應充分傾聽業(yè)界聲音，制造寬松適度的競爭環(huán)境，鼓勵中小企業(yè)依法依規(guī)參與個人金融數(shù)據(jù)相關行業(yè)。

銀行要密切關注數(shù)據(jù)保護執(zhí)法的效果。銀行深刻認知金融消費者并非“愿意用隱私交換便捷性”，客戶信息保護和權益保護也是競爭力。一是關注法律執(zhí)行，個人信息保護不應追求立法上的求新、求全，追求從重處罰，應更多考慮企業(yè)在執(zhí)行相關法律和法規(guī)的過程中的實際情況，讓違法的企業(yè)得到懲處的同時，也讓真正守法的企業(yè)看到收益。避免讓企業(yè)為了遵守繁瑣的法律法規(guī)撰寫冗長的授權協(xié)議，或者讓部分企業(yè)因為守法成本過高而放棄業(yè)務創(chuàng)新;二是關注事件處置，建立清晰的數(shù)據(jù)侵權事件處理流程和善后機制，若發(fā)生侵權事件，除了承擔起應當?shù)乃痉ㄘ熑?，也要有?nèi)部問責機制，舉一反三避免重犯。

提升保護意識 強化多元效用

數(shù)字化時代銀行要將個人金融信息保護定位為一項長期性、系統(tǒng)性工程，需要持續(xù)完善信息保護機制，構建適應新金融、新技術、新業(yè)態(tài)的個人金融信息保護體系。首先凸顯協(xié)同作用，銀行普遍采用傳統(tǒng)的科層制架構，而個人金融信息保護需要管理部門、業(yè)務部門、科技部門、總分行機構的高度協(xié)同，須采用柔性敏捷模式持續(xù)提升保護協(xié)同性;其次強調(diào)理性保護，數(shù)據(jù)要素是大數(shù)據(jù)時代銀行能夠為客戶提供更好服務與體驗的關鍵，要強化保護策略和舉措的合理性，避免過度保護，在大數(shù)據(jù)與個人隱私中間找到平衡點，這關乎銀行的數(shù)字化轉型發(fā)展，也關乎每個消費者的體驗;再次發(fā)揮文化力量，銀行內(nèi)部要建立全方位的數(shù)據(jù)安全保護文化，切實做到有效識別自身關鍵數(shù)字資產(chǎn)要素，制訂適當?shù)谋Ｗo策略和風險緩釋計劃，將數(shù)據(jù)保護納入每位員工的工作職責;最后做好消費者保護教育，承擔社會責任，配合政府和社會機構加大對個人金融信息數(shù)據(jù)安全的教育，推動社會公眾意識到個人金融信息保護是維護公民隱私、維護商業(yè)利益、維護國家安全的關鍵所在，每個公民都有義務從自身做起維護包括自身數(shù)據(jù)在內(nèi)的數(shù)據(jù)安全。

探索保護模式 強化技術管控

銀行要積極利用隱私數(shù)據(jù)識別、數(shù)據(jù)加密、安全存儲、區(qū)塊鏈等技術，構建自主可控、可支撐億量級客戶和高并發(fā)交易的數(shù)據(jù)保護能力，不斷提高金融科技服務的安全性，保障用戶隱私與資金安全，共同搭建健康安全的金融科技生態(tài)圈。

持續(xù)強化成形的保護方法。銀行要全方位落實央行三年金融科技規(guī)劃中對信息數(shù)據(jù)保護的技術要求，遵循合法、合理原則，選擇符合國家及金融行業(yè)標準的安全控件、終端設備、應用程序（App）等產(chǎn)品進行金融信息采集和處理，利用通道加密、雙向認證等技術保障金融信息傳輸?shù)陌踩?，運用加密存儲、信息摘要等手段保證重要金融信息機密性與完整性，通過身份認證、日志完整性保護等措施確保金融信息使用過程有授權、有記錄，防范金融信息集中泄露風險。

持續(xù)探索適應發(fā)展的保護模式。銀行要認識到未來的保護不是簡單的筑高墻式的封閉保護，而是在合法合規(guī)使用內(nèi)外部數(shù)據(jù)的基礎之上，進行的一種開放式的保護，因此要加大技術投入，積極研究運用新興隱私計算模式，基于多方安全計算、隱私保護、區(qū)塊鏈等技術，實現(xiàn)數(shù)據(jù)可用不可見，解決場景金融發(fā)展過程中內(nèi)外數(shù)據(jù)協(xié)同計算中的數(shù)據(jù)安全和隱私保護問題，助力安全高效地完成聯(lián)合風控、聯(lián)合營銷、聯(lián)合科研等跨機構數(shù)據(jù)合作任務，驅動業(yè)務價值增長;強化戰(zhàn)略科技力量，綜合利用現(xiàn)代新技術，構建自主可控、可支撐億量級客戶和高并發(fā)交易的數(shù)據(jù)保護能力，使自身為國家數(shù)據(jù)安全貢獻應有的力量。

規(guī)范對外合作 強化生態(tài)建設

數(shù)字化時代銀行需要多方面的信息來了解客戶。因此，銀行與金融科技公司存在廣泛的數(shù)據(jù)合作。需要對金融科技公司的行為進行有效的規(guī)范，在全社會營造個人金融信息保護的良好生態(tài)。一是商業(yè)銀行應堅持原則。商業(yè)銀行在和金融科技公司開展數(shù)據(jù)合作時，要堅持“辦理相關業(yè)務所必需”原則和“最小必要”原則，將個人金融信息的交換和范圍減至最小。二是金融科技公司應嚴守底線。金融科技公司主動規(guī)范自身行為，不違規(guī)使用數(shù)據(jù)爬蟲，不將個人金融信息服務于高利貸、暴力催收等行為。三是建議國家有關部門出臺相關實施細則。商業(yè)銀行難以辨別金融科技公司的數(shù)據(jù)來源。建議國家有關部門出臺相應具體的實施規(guī)范，明確金融科技公司在數(shù)據(jù)服務方面的合規(guī)資質，共同營造合法合規(guī)的金融信息保護的良好生態(tài)。

總之，未來，個人金融信息數(shù)據(jù)保護必將成為金融科技行穩(wěn)致遠的核心要素之一。銀行需要綜合運用多種等手段，以更加切實有效的方式強化保護，破解數(shù)據(jù)要素運用中的業(yè)務痛點和技術難點，然后更好地拓展場景生態(tài)、釋放數(shù)據(jù)生產(chǎn)力，讓金融科技更加有效地服務實體經(jīng)濟、服務人民的美好生活。

（汪小亞為清華大學國家金融研究院特邀研究員，馬龍供職于中國銀行總行信息科技部，歐歡峰供職于中國銀行消費金融部，周起文供職于中國銀行總行軟件中心。參與本文研究的還有中國銀行消費金融部的劉旭光、劉楊、林陽，在此致謝。本文觀點與作者所在單位無關。本文編輯/王曄君）