■ 唐娟娟

（中國人民銀行紹興市中心支行 浙江紹興 312000）

一、我國個人金融信息保護概述

（一）我國個人金融信息概念

我國個人金融信息概念最早出現(xiàn)于2011年《中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》，即銀行業(yè)金融機構(gòu)在開展業(yè)務時，或通過接入中國人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取、加工和保存的個人信息。此后隨著我國經(jīng)濟社會發(fā)展，我國個人金融信息的概念不斷拓展。2020年2月人民銀行發(fā)布的《個人金融信息保護技術(shù)規(guī)范》（JR/T 0171—2020）（以下簡稱技術(shù)規(guī)范）將個人金融信息定義為金融業(yè)機構(gòu)通過提供金融產(chǎn)品和服務或者其他渠道獲取、加工和保存的個人信息，包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息以及其他反映特定個人某些情況的信息。

我國學術(shù)界對個人金融信息從屬于個人信息并是其重要組成部分形成了較為一致的意見。2020年《民法典》第1034條規(guī)定個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息?！秱€人信息保護法》（草案）將個人信息定義為以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息。結(jié)合個人信息和個人金融信息的定義，從廣義來看，本文認為個人金融信息應為金融業(yè)機構(gòu)通過提供金融產(chǎn)品和服務或者其他渠道獲取、加工和保存的識別特定個人及個人金融活動情況的各種信息，其中金融活動應該涵蓋所有傳統(tǒng)和新興金融機構(gòu)和金融業(yè)態(tài)，而從事相關(guān)金融活動的機構(gòu)，包含持牌和非持牌金融業(yè)務關(guān)聯(lián)機構(gòu)均應納入金融業(yè)機構(gòu)范疇。

（二）我國個人金融信息特點

1.依賴于金融機構(gòu)這個核心概念。我國主要以金融機構(gòu)為主體判斷個人金融信息，并隨著科學技術(shù)和金融業(yè)迅猛發(fā)展，金融機構(gòu)范圍不斷拓展，由最初的銀行業(yè)金融機構(gòu)拓展為銀行業(yè)金融機構(gòu)和提供跨市場、跨行業(yè)交叉性金融產(chǎn)品和服務的其他金融機構(gòu)以及非銀行支付機構(gòu)，再拓展為更具廣泛性的金融業(yè)機構(gòu)。

2.覆蓋各類個人金融信息獲取渠道。隨著大數(shù)據(jù)技術(shù)在金融領(lǐng)域的應用，金融機構(gòu)獲取個人信息渠道呈現(xiàn)多樣化，主要來源有：一是客戶在辦理金融業(yè)務（存款、理財、房貸、車貸等）時主動流向金融機構(gòu)的信息；二是金融機構(gòu)為完成交易通過集團內(nèi)部、信息平臺等獲取的個人信息；三是金融機構(gòu)與第三方機構(gòu)（外包公司、數(shù)據(jù)公司等）合作，利用大數(shù)據(jù)技術(shù)獲取、加工、保存反映個人消費習慣、喜好、風險狀況等信息和相關(guān)衍生信息。我國個人金融信息概念也隨時代發(fā)展而變化，強調(diào)金融機構(gòu)無論通過提供金融產(chǎn)品和服務或者其他渠道獲取的均納入個人金融信息涵蓋范圍之內(nèi)。這與美國強調(diào)保護非公開渠道獲得的個人金融信息有較大的差異。

3.突出個人金融信息“關(guān)聯(lián)”性和“可識別性”?！吨袊嗣胥y行金融消費者權(quán)益保護實施辦法》首次在個人金融信息定義中提出了反映特定個人、消費者的概念。在此基礎(chǔ)上，《技術(shù)規(guī)范》在個人金融信息范圍中新增了個人識別信息（指紋、人臉、虹膜耳紋、掌紋、靜脈、聲紋等），這既是順應時代變化所需，也與個人信息可識別性特征相一致，突出了個人金融信息必須與特定個人、消費者相關(guān)聯(lián)，通過個人金融信息可識別到特定個人。

4.兼具人格性和財產(chǎn)性。個人金融信息有一般個人信息人格性特征，即侵犯個人信息就是侵犯個人尊嚴和自由，又與個人資產(chǎn)、財務、信用等高度關(guān)聯(lián)，具有較高經(jīng)濟價值，既有可能表現(xiàn)為人格利益，也有可能表現(xiàn)為財產(chǎn)利益，甚至同時兼具兩種利益。個人金融信息范圍不僅僅包含了一般個人信息也涵蓋財產(chǎn)、借貸、金融交易等財產(chǎn)性信息。

5.具有高度敏感性。個人金融信息一旦泄露不僅會對信息主體的財產(chǎn)安全造成巨大威脅，而且會增加金融機構(gòu)訴訟、聲譽風險，甚至引起系統(tǒng)性金融風險，進而影響國家經(jīng)濟安全和國家安全。因此，《技術(shù)規(guī)范》不僅新增了鑒別信息（密碼、口令及密碼提示問題答案等）、銀行卡磁道數(shù)據(jù)（或芯片等效信息）等信息，而且按敏感程度將個人金融信息從高到低分為C3（用戶鑒別信息）、C2（可識別信息主體身份與金融狀況的個人金融信息））、C1（機構(gòu)內(nèi)部信息資產(chǎn)）三個類別，并實施不同級別的保護。

二、我國個人金融信息保護立法現(xiàn)狀

我國尚無個人金融信息保護專門立法。本文著重就近年來個人信息和個人金融信息保護相關(guān)重要立法及《民典法》對個人金融信息保護的影響進行了梳理分析。

（一）相關(guān)重要立法綜述

2013年《征信業(yè)管理條例》規(guī)范了個人征信業(yè)務規(guī)則、明確了禁止和限制征信機構(gòu)采集個人信息事項、個人對本人信息享有查詢、異議和投訴等權(quán)利，嚴格了法律責任，是我國規(guī)范征信業(yè)發(fā)展的主體法。2014年《消費者權(quán)益保護法》規(guī)定金融機構(gòu)應當建立健全個人金融信息保護機制和金融消費者投訴受理、處理機制，明確了個人金融信息保護內(nèi)容，要求金融機構(gòu)定期排查個人金融信息安全隱患，對信息的收集、存儲、保管、調(diào)取、使用進行規(guī)定，保障金融消費者的異議和投訴權(quán)利。2016年《網(wǎng)絡(luò)安全法》對涉及網(wǎng)絡(luò)空間的個人信息保護做了較為全面的規(guī)定，明確了國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)環(huán)境下個人信息安全工作,其最早以法律形式確認了自然人對其個人信息的“刪除權(quán)” 與“更正權(quán)”。2017年新《刑法》將出售、非法提供公民個人信息罪和非法獲取公民個人信息罪整合為“侵犯公民個人信息罪”，并擴大了犯罪主體和侵犯個人信息行為的范圍。2020年2月，中國人民銀行頒布實施《個人金融信息保護技術(shù)規(guī)范》，從安全技術(shù)要求和安全管理兩個維度，對收集、傳輸、使用、存儲、共享、刪除、銷毀等個人金融信息全生命周期各環(huán)節(jié)中的保護工作提出規(guī)范性要求，是目前個人金融信息保護最為詳盡的規(guī)定。2020年5月，《民典法》從私權(quán)利保護角度在第四編“人格權(quán)編”對個人信息保護范圍、原則、條件、免責事由等進行規(guī)定。2020年7月《數(shù)據(jù)安全法》（草案）公開征求意見，將數(shù)據(jù)定義為任何以電子或者非電子形式對信息的記錄， 規(guī)定對數(shù)據(jù)實行分級分類保護。2020年10月，我國《個人信息保護法》（草案）公開征求意見，對個人信息處理、跨境提供、相關(guān)權(quán)利義務、履職部門、法律責任等進行了規(guī)定，這是我國首部個人信息保護的法律，出臺后將成為個人信息保護領(lǐng)域的“基本法”。2021年1月，人民銀行公布《征信業(yè)務管理辦法(征求意見稿)》（以下簡稱《辦法》），對信用信息范圍、采集、整理、保存、加工、提供、使用、安全、跨境流動和業(yè)務監(jiān)督管理進行了規(guī)定，清晰界定了信用信息，并強調(diào)要加強個人和企業(yè)信息主體權(quán)益保護。

（二）《民法典》對個人金融信息保護影響

2020年5月28日，十三屆全國人大三次會議表決通過《民典法》，成為新中國第一部以法典命名的法律?！睹竦浞ā纷鳛檎{(diào)整所有民事關(guān)系的基本法，其對個人信息保護的規(guī)定，對未來個人金融信息保護立法提供了法律依據(jù)和指引。

1.確定了個人信息保護權(quán)益層級和屬性?！睹穹ǖ洹凡⑽匆?guī)定個人信息權(quán)，而是將個人信息保護作為了一項民事權(quán)益，同時將個人信息保護納入人格權(quán)編，明確了個人信息權(quán)益在性質(zhì)上屬于人格權(quán)益，即信息主體對個人信息具有支配性，但由于僅是權(quán)益，而非權(quán)利，反映了個人信息權(quán)益的弱支配性，這也為大數(shù)據(jù)時代個人信息及個人金融信息的合理開發(fā)和利用打開了窗口。

2.明晰了隱私信息、個人信息保護的關(guān)系?！睹穹ǖ洹分?，法律實踐中往往將個人信息保護與隱私權(quán)相混淆，《民法典》第1034條規(guī)定：“個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護的規(guī)定?！泵鞔_了個人信息與隱私信息既區(qū)別又有交叉，同時在屬性上個人信息權(quán)具有人格權(quán)和財產(chǎn)權(quán)的雙重屬性，但個人隱私信息權(quán)益只有人格權(quán)屬性，為個人信息及個人金融信息保護法律適用指明了方向。

3.提供了個人信息及個人金融信息保護邊界指引?！睹穹ǖ洹返?034條明確了個人信息邊界范圍。根據(jù)隱私信息與個人信息，個人信息與個人金融信息之間的關(guān)系，本文認為，個人金融信息的邊界應在個人信息范圍之內(nèi)，并與隱私信息相重疊，如圖1所示。

圖1 隱私信息、個人信息、個人金融信息邊界關(guān)系圖

4.明確了個人信息處理原則和免責條款。《民法典》第1035條規(guī)定處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合相應的條件規(guī)定。同時，第1036條對處理個人信息進行了三類免責規(guī)定。通過明確個人信息處理的原則、條件和免責條款，既為個人信息處理劃定了紅線，也進一步為信息開發(fā)利用提供了法律依據(jù)，只要符合法定條件就可以對個人信息進行處理，并規(guī)定“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等”，涵蓋個人信息全生命周期。

5.平衡了信息保護、開發(fā)利用和社會管理的關(guān)系?！睹竦浞ā?037條賦予自然人個人信息查詢復制權(quán)、異議更正權(quán)、請求刪除權(quán)。同時，第1038條規(guī)定信息處理者不得泄露或者篡改其收集、存儲的個人信息、未經(jīng)同意，不得向他人非法提供其個人信息、應當采取技術(shù)措施和其他必要措施，確保其收集、存儲的個人信息安全、發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，應當及時采取補救措施，按照規(guī)定告知自然人并向有關(guān)主管部門報告。第1039條規(guī)定國家機關(guān)、承擔行政職能的法定機構(gòu)及其工作人員對于履行職責過程中知悉的自然人的隱私和個人信息，應當予以保密，不得泄露或者向他人非法提供。通過強調(diào)自然人個人信息權(quán)利，信息處理者和國家機關(guān)及工作人員義務的方式，進一步強化了對個人信息的保護，彌補了個人信息弱支配性和弱勢地位，實現(xiàn)了信息保護、開發(fā)利用和社會管理三方平衡。

三、我國個人金融信息保護立法存在的問題

（一）個人金融信息保護缺乏專項立法

目前，《個人信息保護法》（草案二次審議稿）已完成公開征求意見，《數(shù)據(jù)安全法》將于2021年9月1日起正式施行?！秱€人金融信息（數(shù)據(jù)）保護試行辦法》也納入人民銀行規(guī)章制定工作計劃，我國個人金融信息保護相關(guān)立法進程不斷加快，但從總體來看，我國個人金融信息保護法律規(guī)范較為分散，且多為原則性規(guī)定，可操作性不足，同時，法規(guī)之間缺乏有效銜接和統(tǒng)籌，缺乏專項個人金融信息保護立法和統(tǒng)一的法律框架。此外，我國針對個人金融信息明確定義范圍、信息主體權(quán)利、信息保護規(guī)定的規(guī)范多為部門規(guī)章和規(guī)范性文件，法律效力層級較低，在實際執(zhí)行中，相關(guān)規(guī)定和處罰得不到上位法支持，難以有效落實或起到約束作用，如《個人金融信息保護技術(shù)規(guī)范》僅為國家推薦標準，不具有強制性，雖然涵蓋的金融業(yè)機構(gòu)包括涉及個人金融信息處理的相關(guān)機構(gòu)，但根據(jù)《中華人民共和國立法法》規(guī)定，對于沒有明確上位法依據(jù)的，無法有效適用于相關(guān)機構(gòu)。

（二）個人金融信息概念有待完善

目前，我國個人金融信息局限于金融機構(gòu)，在實踐中存在三個問題：一是新興金融機構(gòu)不斷推陳出新，很難將其及時納入其中；二是對于金融機構(gòu)涵蓋范圍往往存在爭議，如：對于《技術(shù)規(guī)范》中的“金融業(yè)機構(gòu)—國家金融管理部門監(jiān)督管理的持牌金融機構(gòu)，以及涉及個人金融信息處理的相關(guān)機構(gòu)”，有的認為個人金融信息的認定需要結(jié)合業(yè)務場景才能確定，任何參與個人金融信息全生命周期全過程參與的機構(gòu)，都可能被認定為金融業(yè)機構(gòu)，有的認為不宜對金融業(yè)機構(gòu)作此類擴大解釋，但可通過監(jiān)管部門對持牌金融機構(gòu)或征信機構(gòu)等的監(jiān)管執(zhí)法，將合規(guī)壓力傳導至相關(guān)行業(yè)和機構(gòu)，進而對整個行業(yè)造成巨大影響；三是不同監(jiān)管部門出于不同監(jiān)管職責和需求，對金融機構(gòu)范圍進行了不同規(guī)定，盡管有些規(guī)定中金融機構(gòu)范圍涵蓋廣泛，但受制于監(jiān)管權(quán)限，對監(jiān)管權(quán)以外的機構(gòu)難以有效監(jiān)管和適用。

（三）個人金融信息保護監(jiān)管部門和職責不明確

近年來，監(jiān)管部門加大對征信亂象治理、金融科技應用風險專項摸排、征信信息安全風險檢查等工作，并密集出臺了新的規(guī)范制度及標準，保護個人金融信息?！秱€人信息保護法》（草案二次審議稿）明確國家網(wǎng)信部門負責個人信息保護工作統(tǒng)籌協(xié)調(diào)，并與國務院有關(guān)部門一同在職責范圍內(nèi)負責個人信息保護和監(jiān)督管理工作。目前個人金融信息保護尚未明確具體統(tǒng)籌協(xié)調(diào)部門及職責，各監(jiān)管部門立足監(jiān)管職責和領(lǐng)域開展工作，存在重復交叉、多頭監(jiān)管和監(jiān)管真空并存等問題，如出臺相關(guān)個人金融信息保護法規(guī)主要針對持牌金融機構(gòu)，對于在開展金融關(guān)聯(lián)業(yè)務時同樣收集了大量個人金融相關(guān)信息的非持牌機構(gòu)個人金融相關(guān)信息保護的規(guī)定較少，也缺乏有效約束力。個人金融信息保護需進一步明確統(tǒng)籌協(xié)調(diào)部門及職責，加強統(tǒng)籌協(xié)調(diào)、工作聯(lián)動及行業(yè)協(xié)會協(xié)調(diào)配合力度。

（四）個人金融信息侵權(quán)責任認定難，打擊力度不足

我國現(xiàn)行立法對個人金融信息保護多集中在規(guī)范相關(guān)機構(gòu)行為，對個人金融信息主體遭受侵害后相關(guān)機構(gòu)如何承擔責任規(guī)定較少。同時，隨著大量新科技手段應用到金融領(lǐng)域，個人金融信息侵權(quán)類型日益呈現(xiàn)隱蔽化、多樣化、復雜化特點，由于涉及環(huán)節(jié)多、主體多，發(fā)生個人金融信息侵權(quán)時，信息主體往往無法得知哪個環(huán)節(jié)泄露了信息，無法證明信息處理者主觀存在過錯，侵權(quán)責任歸責難，由此也導致因無法歸責而逃避法律制裁。此外，在我國個人金融信息保護相關(guān)法規(guī)罰則中，法定責任適用程序多為原則概括，侵權(quán)責任賠償缺乏科學標準，處罰金額較少，這在一定程度上也助長了侵權(quán)行為的發(fā)生。

（五）個人金融信息權(quán)責不明，保護救濟措施不健全

目前，我國金融消費者投訴維權(quán)只能適用于金融消費主體，對于超范圍投訴無法受理解決。同時，在法律層面，根據(jù)相關(guān)學者對“北大法寶”數(shù)據(jù)庫中2009年~2018年侵犯個人信息刑事、民事案件數(shù)據(jù)進行統(tǒng)計分析，我國目前對個人信息的司法保護主要還是刑事的保護，民事領(lǐng)域因維權(quán)成本高、因果關(guān)系證明困難、賠償數(shù)額低等原因?qū)е戮葷Ｗo較少，相關(guān)經(jīng)濟和精神賠償也往往得不到法律支持，但《刑法》也無法適用于一般性的個人金融信息侵犯行為。由于缺乏完善的救濟措施，一方面打擊了個人金融信息主體維權(quán)積極性，另一方面也影響了相關(guān)部門對個人金融信息的有力保護。

四、相關(guān)建議

（一）構(gòu)建個人金融信息保護綜合立法體系

國際上，美國建立了以聯(lián)邦及各州層面根據(jù)不同行業(yè)制定獨立法律保護個人金融信息的“分散立法模式”，歐盟建立了以《通用數(shù)據(jù)保護條例》（以下簡稱GDPR）為統(tǒng)領(lǐng)的“專項立法模式”，日本則建立了以《個人信息保護法》為綱領(lǐng)，對特定領(lǐng)域進行特別立法，同時注重行業(yè)自律的“綜合立法模式”。立足我國實際，在《民法典》等法律法規(guī)出臺背景下，應梳理整合相關(guān)法律法規(guī)，逐步構(gòu)建“法律一般性規(guī)定保護—個人信息專項立法保護—個人金融信息特別立法保護—各領(lǐng)域個人金融信息分散立法保護”的多層次個人金融信息保護綜合立法框架和體系，其中，在法律一般性規(guī)定保護層面，細化《民法典》等法律法規(guī)原則性條款司法解釋和法律適用，整合修訂《商業(yè)銀行法》《征信業(yè)管理條例》等已有法律制度，強化法律法規(guī)之間的制度銜接和協(xié)同。在個人信息專項立法層面，加快《個人信息保護法》立法進程。在個人金融信息特殊立法保護層面，《個人金融信息(數(shù)據(jù))保護試行辦法》正在制定當中，建議在梳理整合相關(guān)法律規(guī)范基礎(chǔ)上，逐步推動出臺個人金融信息保護特別立法，對個人金融信息概念、范圍、立法原則、信息主體權(quán)利、相關(guān)主體信息保護義務、監(jiān)管部門及職責、救濟措施與賠償?shù)雀鞣矫婕右匀嬉?guī)定。同時，強化部委規(guī)章、地方性法規(guī)和規(guī)章對個人金融信息的分散保護，逐步形成個人金融信息保護綜合立法體系。

（二）完善個人金融信息的概念和原則

個人金融信息的規(guī)定直接關(guān)系到金融消費者的權(quán)利能否得到保護以及如何主張。國外個人金融信息立法主要以金融活動來判定個人金融信息，如美國將個人金融信息定義為金融消費者非公開個人信息，并明確非公開個人信息是金融機構(gòu)收集的有關(guān)客戶的任何可識別到個人的金融信息，任何顯著從事金融活動的機構(gòu)均是金融機構(gòu)。我國則是以金融機構(gòu)為主體定義個人金融信息，建議在我國個人金融信息保護立法中進一步明確個人金融信息的概念，拓展個人金融信息內(nèi)涵和外延，同時，按照“相關(guān)性”“可識別性”特征，明確個人金融信息保護的范圍。此外，個人金融信息保護原則規(guī)定，與《民法典》《網(wǎng)絡(luò)安全法》等法律法規(guī)相呼應，在合法、正當、必要原則基礎(chǔ)上，進一步完善確立知情同意、明確用途、限制利用、完整安全、問責等原則。

（三）明確個人金融信息保護主體權(quán)利義務

歐盟將個人信息視為基本人權(quán)，美國提出了信息隱私權(quán)概念，而我國目前尚未提出個人信息權(quán)的概念，《民法典》和《個人信息保護法（草案）》均將個人信息保護視為權(quán)益而非權(quán)利，一定程度上弱化了信息主體對個人信息的支配，建議在相關(guān)立法中，增強信息主體權(quán)利，強化保護力度。同時，在信息主體權(quán)利分類上，美國賦予信息主體知情權(quán)、異議糾錯權(quán)、可選擇可撤銷權(quán)、損害賠償請求權(quán)等，歐盟GDPR除明確數(shù)據(jù)主體的知情權(quán)、訪問權(quán)、糾錯更正權(quán)、反對權(quán)、損害救濟權(quán)等一般權(quán)利外，創(chuàng)新引入被遺忘權(quán)、可攜帶權(quán)和隨時撤回同意權(quán)。我國《征信業(yè)管理條例》賦予信息主體同意權(quán)、知情權(quán)、異議權(quán)、司法救濟權(quán)等，《民法典》賦予自然人個人信息查詢復制權(quán)、異議更正權(quán)、請求刪除權(quán)，《個人信息保護法》（草案）賦予個人知情權(quán)、決定權(quán)、查閱復制權(quán)、更正補充權(quán)、請求刪除權(quán)、規(guī)則說明權(quán)等。建議借鑒歐美立法做法，增加遺忘權(quán)、可攜帶權(quán)等權(quán)利。對于個人金融信息處理機構(gòu)，應強化其合法處理、告知說明、數(shù)據(jù)安全、隱私保護、異議刪除等義務，同此，通過設(shè)立免責條款、制定規(guī)則等，加強個人金融信息合理開發(fā)利用和共享流動，達到信息保護與利用之間的平衡。

（四）建立個人金融信息保護協(xié)同監(jiān)管體系

一是明確個人金融信息保護協(xié)調(diào)管理機構(gòu)及職責。建議構(gòu)建以人民銀行為主導、銀保監(jiān)會、工信部和公安部等其他相關(guān)監(jiān)管部門共同參與的協(xié)同監(jiān)管體系，賦予人民銀行制定規(guī)范標準和統(tǒng)籌協(xié)調(diào)的職責，以單獨或聯(lián)合立法方式制定相關(guān)規(guī)范政策和監(jiān)管標準，完善各部門職責分工、信息共享、工作聯(lián)動等機制，實現(xiàn)個人金融信息全產(chǎn)業(yè)鏈監(jiān)管。二是加大對金融機構(gòu)通過采購、合作等方式從第三方機構(gòu)流入的個人金融信息和通過合同外包、信息共享等方式流出的個人金融信息監(jiān)管力度，借鑒參考《個人金融信息技術(shù)規(guī)范》等要求，細化和強化安全要求、懲處機制，加大個人金融信息違法違規(guī)行為監(jiān)管懲戒力度。三是探索人工智能、大數(shù)據(jù)、區(qū)塊鏈等技術(shù)在監(jiān)管領(lǐng)域的應用，持續(xù)深入開展個人金融信息保護監(jiān)管檢查、亂象治理等工作，不斷提高個人金融信息保護監(jiān)管效能。四是平衡我國參與雙邊或多邊國際協(xié)議發(fā)展數(shù)字市場和保護個人金融信息的關(guān)系。《個人信息保護法》（草案）對跨境個人信息提供制定了規(guī)則，建議在此基礎(chǔ)上，積極借鑒歐盟數(shù)據(jù)保護約束做法，在個人金融信息立法中，設(shè)計信息處境規(guī)則和權(quán)責義務，加強信息跨境流動管理。

（五）強化個人金融信息法律責任和救濟懲處力度

《個人信息保護法》（草案二次審議稿）將個人信息侵權(quán)的歸責原則確定為過錯推定責任，由個人信息處理者承擔舉證責任，建議個人金融信息侵權(quán)歸責參照建立舉證倒置制度。對于信息的二次使用等問題，建議明確多個信息處理者對外如何承擔責任。同時，在協(xié)同監(jiān)管體系下，建立健全協(xié)同聯(lián)動的金融消費者投訴處理機制，進一步完善相應的調(diào)解、仲裁、訴訟等民事救濟制度和相應的賠償機制，建立個人金融信息侵權(quán)救濟渠道，強化個人金融信息侵權(quán)救濟。此外，歐美國家都對個人信息侵權(quán)違規(guī)行為設(shè)定較重處罰，如歐盟GDPR規(guī)定，對于違法行為最高罰款上限是2000萬歐元或前一年全球營業(yè)收入的4%，兩值中取大者。我國《個人信息保護法》（草案二次審議稿）將違法行為處罰上限提至5000萬元或者上一年度營業(yè)額5%以下罰款，加大了違法行為處罰力度，建議在個人金融信息專項立法及相關(guān)規(guī)范制定中，參照國外做法加大違規(guī)行為懲處力度，提升違規(guī)成本。

（六）推進機構(gòu)自治和行業(yè)自律

進一步推進相關(guān)從業(yè)機構(gòu)健全制度、明確職責、強化內(nèi)控和責任追究機制，建立覆蓋個人金融信息處理生命周期各環(huán)節(jié)的個人金融信息保護框架。不斷完善從業(yè)機構(gòu)信息系統(tǒng)功能，加強移動端個人金融信息保護管理，探索應用數(shù)據(jù)脫敏、同態(tài)加密等技術(shù)，加大個人金融信息泄露安全防護。建立動態(tài)風險監(jiān)測和安全合規(guī)評估機制，加強員工培訓，不斷提高個人金融信息保護水平。同時，有效發(fā)揮銀行業(yè)同業(yè)協(xié)會、互聯(lián)網(wǎng)金融同業(yè)協(xié)會等組織行業(yè)自律作用，搭建同業(yè)機構(gòu)交流平臺，共同研究行業(yè)個人金融信息保護存在的問題，積極基于行業(yè)發(fā)展特點制定相關(guān)管理規(guī)定，規(guī)范個人金融信息的管理和使用等，如將個人金融信息保護納入行業(yè)機構(gòu)和從業(yè)人員基本行為準則和業(yè)務規(guī)范，并監(jiān)督會員遵守。對違規(guī)者，按情節(jié)輕重，對機構(gòu)會員和個人會員實行警告、通報批評和公開譴責等懲戒措施，有效約束行業(yè)會員的違規(guī)行為。