據報道，近期，《個人金融信息（數據）保護試行辦法（初稿）》（以下簡稱“辦法”）已出爐，央行已將辦法下發至各銀行機構征求意見。這意味著個人金融信息保護已正式成為金融監管機構的監管重點。

《網絡安全法》頒布后，央行等金融監管機構對個人信息的監管逐步細化，要求也越來越具體明確。

2019年4月，在《中國人民銀行2019年規章制定工作計劃》中，除了《個人金融信息（數據）保護試行辦法》外，還包括《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》的修訂計劃；2018年1月，銀監會印發了《關于進一步深化整治銀行業市場亂象的通知》，其中行業廉潔的風險管理方面,包含“違法違規查詢、獲取、使用、泄露、出售客戶信息或商業秘密”的風險管理。此外，《中國銀監會辦公廳關于加強網絡信息安全與客戶信息保護有關事項的通知》、《個人金融信息保護技術規范》等管理制度和規范，也都對個人信息保護作出了具體要求。

事實上，防范個人金融信息泄露、篡改和濫用已被央行反復提及。2019年9月25日，央行科技司司長李偉在“首都金融科技發展研討會”發言中強調，央行將多措并舉強化個人金融信息保護，嚴防個人金融信息的泄露、篡改和濫用，平衡好金融服務便捷和安全的關系。

針對金融行業個人信息保護監管要求日益加強，銀行等金融機構應重點做好以下三個方面工作：

1.健全個人信息保護的組織建設

針對個人信息保護的組織機構建設有別于網絡安全，個人信息保護更需要在金融機構整體組織范圍內的工作協調。以隱私政策為例，辦法第十八條規定：“金融機構不得以‘概括授權’的方式取得信息主體對收集、處理、使用和對外提供其個人金融信息的同意?！贝藯l在金融機構落地時，由哪個部門負責？如何保證業務系統與隱私政策內容的一致性？如何保證業務與隱私政策的同步變動，是金融機構當前亟須解決的難題。

2.依據現有規范標準開展自查自糾

金融機構關于個人信息保護的監管要求，在中國郵政儲蓄銀行和中國金融認證中心編寫的《個人信息保護——基于GB/T 35273的最佳實踐》一書中進行了詳細描述。各金融機構根據政策監管的規范性文件、相關國家/行業標準和隱私保護國際標準等開展自查自糾，能有效防止合規以及安全風險的發生。

3.建立個人信息安全防護體系

金融機構應梳理數據資產，按照數據分類分級與脫敏等技術標準要求，加強個人信息的監控、管理和運營，使個人信息保護的流程化、標準化、平臺化工作落地。結合自身安全情況，可進行數據安全能力成熟度評估或者差距分析，發現數據安全、個人信息保護及隱私安全方面的薄弱環節，有的放矢地建立個人信息安全防護體系，減少相關安全事件的發生。

針對金融機構數據安全/個人信息/隱私保護需求，CFCA與行業合作伙伴推出了相關數據安全服務，包括數據分類分級識別、敏感數據識別的現狀梳理；數據安全風險評估、數據安全能力成熟度評估、數據安全合規評估/咨詢；數據安全治理體系咨詢、數據安全/個人信息/隱私相關國內外認證等服務，并提供業務流向可視化梳理、數據流轉全息畫像解決方案。

個人信息安全事件很容易成為社會關注焦點，成為引爆輿論的風暴眼。某天氣軟件服務商在其IPO材料中因“發行人通過自主收集及第三方途徑獲取用戶數據及標簽，并利用數據進行商業化變現”被否，成為個人信息保護領域的典型事件。個人信息行業嚴監管時代已經來臨，各金融機構你們準備好了嗎？

責任編輯：韓希宇