2020年2月13日中国人民银行（以下简称“央行”）发布了《个人金融信息技术保护规范》（JR/T 0171—2020）（以下简称“《规范》”）。《规范》的出台，有利于加强个人金融信息安全管理，推动各相关机构按此规范处理个人金融信息，从而保障个人金融信息主体的合法权益，维护金融市场稳定发展。

      根据《中华人民共和国标准化法》（以下简称“《标准化法》”）第2条第2款规定，标准包括国家标准、行业标准、地方标准和团体标准、企业标准。国家标准分为强制性标准、推荐性标准，推荐性标准包括行业标准和地方标准。《规范》属于行业标准及推荐性标准，虽然从性质上来看没有强制执行力，但是不排除监管机构在实施监管行为时予以引用。

一、个人金融信息保护的必要性

      2019年中国消费者协会发布《100款APP个人信息收集与隐私政策测评报告》，其中金融理财类APP在10大分类中隐私保护情况最差、评分最低。2019年12月20日APP专项治理工作组在评估工作中发现有57款APP存在收集使用个人信息的问题，7月至10月APP专项治理工作组向134家存在问题的APP运营商发送整改通知，前述问题APP中涉及多家金融机构APP。也有多家金融类APP被消费者投诉没有按照隐私声明条款申请隐私权限，如会自动收集用户的敏感图片等。

      除了金融行业APP，金融行业以及其他为金融行业提供服务的行业还存在其他一些侵犯个人金融信息的现象。商业机构一般会从其中推测消费者的消费偏好及财产状况，从而优化其产品和服务。如果个人金融信息被金融机构或其他有关服务供应商随意提取、泄露或以其它方式加以违规利用，则有可能会使信息主体遭受极大的财产损失，也会影响金融业的稳定发展。因此，有必要统一标准来规范个人金融信息的收集、传输、存储、使用、删除及销毁等环节，从而保护个人金融信息主体的合法权益，维护金融市场的稳定。

二、我国对个人金融信息保护的法律规制

      我国目前已经有多部涉及个人金融信息保护的法律、法规、规章及规范性文件，具体如下：

      《中华人民共和国网络安全法》、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》、《关于银行业金融机构做好个人金融信息保护工作的通知》、《个人信息出境安全评估办法（征求意见稿）》等已经陆续确立了个人信息的定义、收集范围、利用方式及跨境传输限制等方面的内容。2019年12月颁布的《中国人民银行金融消费者权益保护实施办法（征求意见稿）》在2016年版的基础上整合了在各项法律法规中对消费者个人金融信息的保护条款，并新增了金融消费者权利，完善了个人金融信息保护制度。《规范》进一步规定了个人金融信息在收集、传输、存储、使用、删除及销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对个人金融信息保护提出了规范性要求，进一步完善了我国个人金融信息保护的体系。

二、《规范》解读

（一） 适用机构

      《规范》适用的主体包括由国家金融管理部门监督管理的持牌金融机构，以及涉及个人金融信息处理的相关机构。持牌金融机构包括商业银行、证券公司、保险公司、信托投资公司等；相关机构包括为前述持牌金融机构提供服务的机构等。

      《规范》没有对涉及个人金融信息处理的相关机构进行一一列举，但概括式定义的适用范围较大。因此任何商业机构在运营过程中如接触到个人金融信息均应注意遵守《规范》的规定，以避免在未来监管机构核查中被认定为不合规。

      《规范》对于适用主体的范围比既往央行和银保监会的监管范为更为广泛，后者一般只针对银行业金融机构及非银行支付机构。这在实践中更有利于保护个人金融信息主体的合法权益。虽然《规范》并不是国家强制性标准，但是建议适用主体都能够尽可能做到规范中的要求，防止监管机构将其作为后续中市场准入、现场及非现场监管，甚至行政处罚的标准之一。

（二）个人金融信息

      《规范》对个人金融信息的定义为金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息，包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。除了概括式定义外，《规范》还对每一种信息进行了列举，最后用“在提供金融产品与服务过程中获取、保存的其他个人信息”作为兜底，将个人金融信息的范围尽可能地扩大。

      此次《规范》中新增了鉴别信息，与账户信息、金融交易信息、个人身份信息等并列。鉴别信息指用于验证主体是否具有访问或使用权限的信息，包括但不限于银行卡密码、预付卡支付密码；个人金融信息主体登录密码、账户査询密码、交易密码；卡片验证码（CVN和CVN2）、动态口令、短信验证码及密码提示问题答案等。

      《规范》扩大了关于个人身份信息的概念，将个人生物识别信息也纳入其中。个人生物包括但不限于指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据、特征值与模板。科技进步使得这些信息也变得与金融消费者的生活息息相关，因此生物识别信息也被纳入个人金融信息保护范围。

      除了扩大个人金融信息的范围，《规范》首次对个人金融信息按敏感程度从低到高分为C1、C2、C3三个类别。C1类别信息主要为机构内部的信息资产，主要指供金融业机构内部使用的个人金融信息；C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息，以及用于金融产品与服务的关键信息；C3类别信息主要为用户鉴别信息。根据个人金融信息敏感程度的不同，机构在实践中的应对也有所不同。但是需要注意的是，三种类别的个人金融信息并不是永久不变的，同一信息在不同的服务场景中可能分属于不同的类别，两种或两种以上低敏感程度的信息经过组合、关联和分析后也有可能成为高敏感程度的信息。因此机构在运营过程中对待个人金融信息一定要进行充分的识别，采取正确的手段对待不同敏感程度的信息。

（三）委托第三方机构处理个人金融信息

      《规范》中明确要求C2以及C3类别信息中的用户鉴别辅助信息不应委托给第三方机构进行处理；对于可以委托第三方机构处理的信息，委托者应予以监督并应对个人金融信息生命周期全过程进行安全检査和评估。

      第三方机构应按金融业机构的要求处理个人金融信息；未经书面授权，不应将其处理的个人金融信息再次委托给其他机构进行处理；在委托关系解除时（或外包服务终止后），应按照金融业机构的要求销毁其处理的个人金融信息，并依据双方协商的期限承担后续的个人金融信息保密责任。

（四）个人金融信息的跨境传输

      2011年1月21日央行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》（以下简称“《2011通知》”）第6条规定，在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行，除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。

      2017年6月1日实施的《中华人民共和国网络安全法》（以下简称“《网安法》”）第37条规定，关键信息基础设施的运营者应当在中华人民共和国境内存储在运营中收集和产生的公民个人信息等重要数据；因业务需要，确需在境外存储或者向境外的组织或者个人提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

      2018年7月11日央行发布的《关于加强跨境金融网络与信息服务管理的通知》（以下简称“《2018通知》”）规定境内使用人拟使用境外提供人服务的，应当于事前以书面形式向境内使用人法人机构所在地中国人民银行省级分支机构履行报告手续；境外提供人在为境内使用人提供跨境金融网络与信息服务之时，应当在正式提供服务前30个工作日内，以书面形式（含电子文件）向中国人民银行履行报告手续。这是中国“长臂管辖”原则在金融监管领域的勇敢实践。

      2019年6月13日国家互联网信息办公室（以下简称“网信办”） 发布的《个人信息出境安全评估办法（征求意见稿）》（以下简称“《评估办法》”）规定个人信息出境前，网络运营者应当向所在地省级网信部门申报个人信息出境安全评估情况。

      2019年12月27日央行发布的《中国人民银行金融消费者权益保护实施办法（征求意见稿）》（以下简称“《2019央行实施办法》”）第34条规定在中国境内收集的消费者金融信息的存储、处理和分析应当在中国境内进行。因业务需要，确需向境外提供消费者金融信息的，应当同时符合以下条件：

（1）为处理跨境业务所必需；

（2）经金融消费者书面授权；

（3）信息接收方为完成该业务所必需的关联机构（含总公司、母公司或者分公司、子公司等）；

（4）通过签订协议、现场核查等有效措施，要求境外机构为所获得的消费者金融信息保密；

（5）符合法律法规和其他相关监管部门的规定。

      《规范》第7.1.3(d)中规定在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息，应在境内存储、处理和分析。因业务需要，确需向境外机构（含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构）提供个人金融信息的，应符合国家法律法规及行业主管部门有关规定等。

从上述内容可以看出，多个部门都对个人金融信息的跨境传输作出了规定。在实践中，当机构面临需要跨境传输个人金融信息时，具体应该依据哪个规定向哪个部门作出申请、甚至部门哪个具体机构会进行审批的问题仍然不够明确。

（五）个人金融信息保护与反洗钱义务的平衡

      《银行业金融机构反洗钱和反恐怖融资管理办法》（以下简称“《管理办法》”）规定银行业金融机构应当按照规定建立健全和执行客户身份识别制度，遵循“了解你的客户”的原则。反洗钱中的一个重要环节“了解你的客户”，金融机构在日常业务中会不可避免地收集很多客户的个人金融数据以便达到反洗钱的要求。这就造成反洗钱义务与个人金融信息保护义务在一定程度上的冲突。《规范》中第7.2.1(d)项中规定金融业机构应当建立信息系统分级授权管理机制。应在不影响履行反洗钱等法定义务的前提下，制定本机构人员个人金融信息调取权限与使用范围，并制定专门的授权审批流程。但是《规范》并未提供兼顾个人金融信息保护义务和反洗钱义务的具体操作方式。实践中，有的金融消费者以金融机构在履行反洗钱核查义务时侵犯其隐私为由而起诉该机构。

      此外，《管理办法》还规定银行业金融机构应当做好境外洗钱和恐怖融资风险管控和合规经营工作。境外分支机构和附属机构要加强与境外监管当局的沟通，严格遵守境外反洗钱和反恐怖融资法律法规及相关监管要求。银行业金融机构应当对跨境业务开展尽职调查和交易监测工作，做好跨境业务洗钱风险、制裁风险和恐怖融资风险防控，严格落实代理行尽职调查与风险分类评级义务。如上文所述，《规范》对个人金融信息的跨境传输做了规定，应在境内存储、处理和分析。若确需向境外机构（含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构）提供个人金融信息的，需要满足一系列的条件，其中并未为给需要满足反洗钱义务的有关机构设置例外情形。具体如何同时兼顾跨境业务中的境内外监管机构设置的反洗钱义务与个人金融信息保护义务，现有的法律法规等文件中并没有给出明确答复。在实践中，义务主体甚至不知该具体向哪一个监管部门汇报相关问题。

四、总结

      《规范》可以在一定程度上解决目前个人金融信息被滥用的乱象，但是其毕竟不是国家强制性标准，也没有配套的处罚措施，因此其对于目前乱象治理的作用还有待观察。此外，由于多个部门都曾对个人金融信息保护作出过规定，在实践中难以避免“九龙治水”现象的发生。