数字化时代个人金融信息保护的思考

其次，这是金融业落实国家网络和数据安全制度的迫切需要。随着网络强国和数字中

国战略的推进，我国网络普及率已提升至64.5%,网民规模超过9亿，网络和数据安全相

关法律制度加速出台。其中，《网络安全法》对网络运营者收集和使用个人信息的基本原

则、负面清单、管理要求等进行了明确规定。《医法典》对隐私和个人信息进行了基本界

定，并对隐私权和个人信息保护提出了原则性要求。此外，《数据安全法（草案）》已进

入征求社会公众意见环节，《个人信息保护法》已列入2020年全国人大常委会立法规划。

上述法律规范为加快建设个人金融信息保护体系提供了坚实的制度条件，也提出了更高要

求。

最后，这是金融业推进数字化转型与高质量发展的必然要求。当前，经济数字化转型

已是大势所趋。数据显示，2019年我国数字经济增加值规模达到35.8万亿元，占GDP

比重达36.2%。金融业正加速迈入一个与数字经济相对应的数字化新时代，日益呈现出"

无科技不金融、数据驱动金融”的特征。在依法合规并做好信息安全保护的前提下，充分

发挥个人金融信息类型多、应用领域广、集聚增值效应强等优势，将其分级分类运用于营

销获客、信用评估、风险管理等核心业务环节，有助于充分释放技术红利和数据红利，推

进金融业数字化转型和高质量发展。

我国个人金融信息保护现状与面临的挑战

近年来，随看数字技术与经济金融活动的加速融合，我国金融管理部门、行业协会以

及广大从业机构在个人金融信息保护的制度建设和业务实践方面做了大量工作，取得了阶

段性成效，总体呈现出以下几个方面的特点。

1.法律规范不断完善。目前，我国已初步形成涵盖法律、行政法规、部门规章、规范

性文件等在内的多层次和广覆盖的个人金融信息法律规范体系。《民法典》《网络安全法》

《消费者权益保护法》等法律明确了个人信息保护基本原则和相关权利义务。《商业银行

法》《证券法》《保险法》《反法》等金融法律确立了专门领域个人金融信息保护的

基本原则。《个人存款账户实名制规定》《储蓄管理条例》《征信业管理条例》等行政法

规对账户管理、征信服务等领域个人金融信息保护提出了规范性要求。《个人信用信息要

出数据库管理暂行办法》《中国人忌艮行金融消费者权益保护实施办法》等部门规章以及

《关于银行业金融机构做好个人金融信息保护工作的通知》等规范性文件，从个人金融信

息类别范围、工作原则、业务规则等方面，对从业机构开展个人金融信息保护工作提出了

细化具体的要求。此外,《个人金融信息（数据）彳呆护试行办法》作为专门针对个人金融

信息保护的部门规章,已列入人民银行2020年规章制定工作计划。

2.技术标准配套实施。2017年12月，国家标准化管理委员会发布国家标准《信息

安全技术个人信息安全规范》，规定了开展个人信息处理活动应遵循的原则和安全要求，

并将银行账户、财产信息、征信信息等个人金融信息列为个人敏感信息，提出了明示同意、

信息加密等要求。2020年2月，人民银行发布金融标准《个人金融信息保护技术规范》。

该标准从安全技术和安全管理的角度，规定了个人金融信息在生命周期各环节的安全防护

要求。此外，在近年来陆续发布的云计算技术金融应用、声纹识别安全应用、移动金融客

户端应用软件、网上银行系统信息安全、金融分布式账本技术、商业银行应用程序接口等

领域相关金融标准中均对个人金融信息保护和安全管理提出了明确要求。这些技术标准在

信息系统和技术安全层面有效促进了个人金融信息保护有关法律制度的落地实施。

3.行政监管持续发力。近年来，金融管理部门通过监督管理、投诉处理、风险排查、

专项治理、宣传教育等多种方式，不断加强个人金融信息保护工作力度，督促从业机构履

行客户个人金融信息保护义务，切实保障金融消费者信息安全权。比如，银保监会持续深

化银行业保险业市场乱象整治工作，对有关从业机构未采取有效措施保护客户信息安全、

违规泄露和滥用客户信息等行为予以严厉整治。2020年4月，人民银行启动针对移动金

融客户端应用软件、应用程序编程接口、信息系统等重要领域的金融科技应用风险专项摸

排工作，并将个人金融信息保护作为摸排重点之一。此外，金融管理部门在监管执法过程

中，注重综合运用约谈高管、限期整改、行业通报、监管评级挂钩、行政处罚等各类措施，

不断提升个人金融信息保护工作针对性和监管有效性。

4.行业实践扎实推进。从业机构在金融管理部门的指导和各金融行业协会的组织下，

认真贯彻落实有关法律规范、监管要求和标准规则，注重将个人金融信息保护纳入金融消

费者权益保护、数据治理、网络信息安全等工作规划，明确个人金融信息保护牵头部门和

管理机制，建立健全个人金融信息保护相关内控制度，开展个人金融信息保护员工教育培

训，加强金融消费者信息安全和金融知识普及教育，规范第三方合作机构和外包服务机构

管理，明确外包合作各方的个人金融信息保护职责和保密义务。

5.多重挑战仍待破解。尽管取得了一定进展，我们还应清醒地看到，数字化时代个人

金融信息保护在立法、监管、自律等方面依然有一些新老问题相互交织、亟待破解。一是

个人金融信息保护专门制度尚未出台，现有规定以原则性、框架性规定居多，且零散分布

在不同效力层级的法律规范中，制度衔接和统合存在不足。二是金融管理部门在个人金融

信息监管执

法方面的职责分工有待进一步明确，监管统筹、信息共享和工作联动机制需要加强，

与行业协会有机协调配合的治理机制尚未成熟。三是部分从业机构在个人金融信息保护方

面的主体责任意识有待加强，在内部控制、数据治理、消费者保护和教育等方面仍需进一

步补短板、强弱项、堵漏洞。四是一些金融消费者个人信息保护意识和风险识别能力依然

薄弱，在数字金融产品、信息安全防护、投诉维权等方面的知识和技能存在欠缺。

政策建议

数字化时代下建设个人金融信息保护体系是一项长期复杂的系统工程，需要包括政府、

市场、社会多方协同，科学施策，久久为功。具体来说，建议着力做好以下几个方面的基

础性工作。

一是强化法律规范。立足中国现实国情和经济金融数字化转型实际，科学借鉴欧盟、

美国、英国、日本等国家和地区立法经验，合理吸收目的限定、最小必要、隐私安全、权

益保护等国际共识原则，探索实现信息可携带权等具有数字化时代特征的新型权利形式的

可行路径，适时出台《个人信息保护法》《个人金融信息（数据）保护试行办法》及相关

配套标准规则，进一步健全符合中国国情、具有中国特、接轨国际规则的个人金融信息

法律规范体系，统筹实现信息安全与合理应用之间的更好平衡。

二是严格行政监管。进一步加强个人金融信息保护领域的统筹监管，持续完善各部门

职责分工、信息共享、工作联动等机制，以保护金融消费者合法权益和督促从业机构履行

主体责任为切入点，以个人金融信息采集和处理机构为主要对象，探索运用人工智能、大

数据、区块链等监管科技手段，持续深入开展个人金融信息保护有关监管执法和检查评估

工作，以“零容忍”态度依法加大对个人金融信息相关违法违规行为的惩处力度。

三是推进行业自律。发挥行业协会贴近市场和会员组织优势，深入研究行业在统筹个

人金融信息保护和合理应用方面所面临的共性问题,搭建从业机构信息共享和国际交流平

台，通过信息基础设施、统计监测、标准规则、教育培训等行业自律管理手段，督促和引

导从业机构落实个人金融信息保护有关法律规范和监管自律要求，完善个人金融信息保护

有关举报受理和线索移交机制，对行政监管形成有益补充和有力支撑。

四是加强机构自治。从业机构应牢固树立以客户为中心、负责任创新的正确理念,切

实落实个人金融信息收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护

要求，加强内控制度和数据治理体系建设，明确各部门、岗位和人员在个人金融信息保护

方面的责任权限，完善内部监督和责任追究机制。此外，从业机构还应在依法合规前提下

探索应用数据脱敏、多方安全计算、联邦学习、差分隐私、同态加密等隐私保护和数据融

合技术，加强个人金融信息保护技术支撑，促进信息合理开发利用。

五是加强公众参与。加强违法违规行为举报奖励、举报人保护等机制建设，充分调动

社会公众参与个人金融信息安全治理的积极性。通过司法解程等方式，明确网络环境下个

人金融信息侵权形式，丰富和畅通个人金融信息保护的救济渠道。广泛运用线上线下宣传

教育渠道，针对性开展个人金融信息保护教育，定期发布个人金融信息保护风险提示和典

型案例，提高公众对个人金融信息保护的意识和能力。

为者常成，行者常至。中国互联网金融协会作为国家金融行业自律组织，始终注重将

个人金融信息保护要求贯彻落实在互联网金融登记披露、统计监测、信息共享、移动金融

客户端应用软件备案、金融科技创新监管试点支撑等有关行业自律管理工作的各个环节。

下一步，协会愿继续与社会各方一道，在金融管理部门指导下，共同建设一个涵盖法律规

范、行政监管、行业自律、机构自治、公众参与且更加具有数字化时代适应性的多层次、

综合化个人金融信息保护体系。