今年以來，監管層對個人信息保護力度正在不斷加大。

在剛剛完成向社會征求意見的《中華人民共和國個人信息保護法（草案）》（以下簡稱《草案》）備受業界關注。如今，“大數據殺熟”、個人信息泄露問題一直是備受爭議和詬病的問題。在大數據潮流的沖擊下，金融機構對個人信息安全及用戶隱私保護等方面正面臨新的挑戰。保障個人信息安全已成為各金融機構安全保障義務的核心內容。

《草案》對于金融機構及金融業影響如何？金融機構在個人信息數據安全及事后審計問責方面面臨怎樣的嚴監管？對此《證券日報》記者專訪了中國銀行法學研究會理事肖颯。

《證券日報》：《草案》對金融機構在個人金融信息保護上提出了哪些新要求？

肖颯：《草案》對金融機構在個人金融信息保護上提出了更高的要求。其通過個人信息的處理原則、處理義務、敏感信息的處理規則和相關處罰標準等規定，為保護個人金融信息提供了法律保障。

具體來看：第一，規定了處理個人信息的七個基本原則，即合法性原則、目的明確原則、最小必要原則、公開透明原則、準確性原則、可問責性原則、數據安全原則；第二，明確了個人信息處理者的多項義務，具體包括6個方面；第三，對個人敏感信息的處理提出了更高要求。包括：（1）個人信息處理者只有在具有特定目的和充分必要的情形下才能處理敏感個人信息。（2）需向個人告知處理敏感個人信息的必要性以及對個人的影響，并取得個人的單獨同意或依法取得書面同意；第四，規定了對違法處理個人信息的相關處罰標準。

總體來看，對金融機構而言更加嚴苛，金融機構在個人信息保護方面正面臨嚴監管。

《證券日報》：能否展開談談《草案》對金融機構違法處理個人信息的相關處罰標準？

肖颯：此次對違法處理個人信息的法律責任做了全面規定，全方位規定了違法處理個人信息的處罰形式，具體的處罰形式包括：責令改正、沒收違法所得、給予警告、罰款、責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照、記入信用檔案等等。目前，對違法處理個人信息的有關問題，監管層一直處于嚴監管態勢。

《證券日報》：在個人信息數據安全及金融機構技術措施應用等方面是否也提出較為嚴格的要求？

肖颯：確實是的?！恫莅浮穼€人信息數據安全及金融機構技術措施應用和事后審計問責等提出了更為具體的要求。

一是制定內部管理制度和操作規程；

二是對個人信息實行分級分類管理；

三是采取相應的加密、去標識化等安全技術措施；

四是合理確定個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓；

五是制定并組織實施個人信息安全事件應急預案；

六是指定個人信息保護負責人；

七是對個人信息處理活動的合法性進行審計；

八是對個人信息處理活動在事前進行風險評估。

在事后審計問責方面也有了明確規定，其中違法處理個人信息，或者處理個人信息未按照規定采取必要的安全保護措施的，由履行個人信息保護職責的部門責令改正，沒收違法所得，給予警告；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。這些規定是給個人信息處理者履行義務施加了明確了規范，避免個人信息的保護責任落為空談。

《證券日報》：從行業角度看，目前金融業在個人信息安全保護情況如何？以您多年從業經驗，能否為金融機構在個人信息保護方面工作提些建設性的意見？

肖颯：《草案》的提出是我國法治的進步。從行業角度看，金融機構保護個人信息的力度還遠遠不夠，任重而道遠。金融業個人信息泄露事件頻發，側面反映了金融機構對保護用戶個人信息安全上確實存在不足。

未來，金融機構在個人信息保護工作上，首先，在取得個人信息的時候，應該明確告知并且取得權利人的同意；其次，金融機構處理個人信息的過程中應當采取必要措施確保個人信息處理活動符合法律、行政法規的規定，并防止未經授權的訪問以及個人信息泄露或者被竊取、篡改、刪除；最后，金融機構發現個人信息泄露的，應當立即采取補救措施。建議，各大金融機構應該建立事前審查機制、安全防護機制、事后補救機制等來保護用戶的個人信息安全。

責任編輯：Rachel