据悉,《个人金融信息保护技术规范》（JR/T0171-2020）（简称“《规范》”）今日正式下发各金融机构。该文件在个人金融信息范围、收集使用行为、安全技术标准、机构安全岗位设置等方面做出了细致的规定。此外，《规范》将个人金融信息按敏感程度、泄露后造成的危害程度，从高到低分为C3（鉴别信息，如银行账户、登录密码等）、C2（可识别特定主体的信息，如身份证号、用户名、交易流水等）、C1（机构的内部信息，如开户机构等）三个类别，对相关机构建立不同信息保护层级方面提出了更高的要求。

事实上，该份文件并非是我国金融监管部门首次提出个人金融信息保护的要求，早在2011年、2012年，央行便先后出台《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》、《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》，对金融机构在个人金融信息保护方面做出规定。随后相继出台相关法律法规，包括《银行业金融机构外包风险管理指引》、《中国人民银行金融消费者权益保护实施办法》、《银行业金融机构数据治理指引》等文件，对金融机构的个人金融信息保护工作提出全面深入的要求。

特别是近些年，一些金融机构、外包机构员工向不法分子出售客户个人金融信息，导致大量客户遭受损失等事件频发，我国监管部门不断加强网络安全、个人信息保护方面工作，并落到实处，尤其是针对违规采集使用个人信息的APP及其运营互联网企业开展的一系列大刀阔斧的整治活动，其中还包括部分金融机构因金融类APP在权限获取合规度、申请权限等问题也收到监管部门的整改要求。此次《规范》的出台，不仅扩大了金融信息安全责任方的范围，并且对相关机构在收集、使用个人金融信息的操作进行详细的规定，最大限度的防范违规违法行为的发生。

哪些机构受《规范》的约束？

《规范》：金融业机构，指由国家金融管理部门监督管理的持牌金融机构，以及涉及个人金融信息处理的相关机构。

由此可见，《规范》约束的主体包括两大类：金融机构和获取个人金融信息的非金融机构。具体而言包括：

【金融机构】：

1.商业银行、城市信用合作社、农村信用合作社、邮政储汇机构、政策性银行；

2.证券公司、期货经纪公司、基金管理公司；

3.保险公司、保险资产管理公司；

4.信托投资公司、金融资产管理公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司；

5.中国人民银行确定并公布的其他金融机构。

【非金融机构】：

第三方支付机构、提供代管资金、证券或其他资产，代管银行账户、证券账户等金融服务的机构，及其他外包服务机构。

金融业机构对外合作过程中，应当如何合规进行收集、传输、存储、使用、共享和转让个人金融信息？

《规范》：

1.收集：自行收集C3\C2类信息、确保信息可追溯、用户明示同意、安全防护机制等；

2.传输：身份认证在先、安全传输保障机制、接收方校验等；

3.存储：非个人授权，不得留存非本机构的C3类信息、及时清除支付敏感信息及生物识别信息、分类存储等；

4.使用：屏蔽处理、展示信息区别技术处理等；

5.共享和转让：安全评估、签署承诺、业务需要及最小权限、严格审核、技术防护、C3类别信息以及C2类别信息中的用户鉴别辅助信息不应共享和转让等。

之所以通过上述严格的流程规范机构间的合作，是因为在金融领域，尤其是互联网贷款、助贷业务等，金融机构把催收业务外包给第三方公司，还有一些未经授权便从非法渠道通过爬虫技术爬取个人金融信息的大数据公司，这些行为如果不加以限制，由于任何一方的安全机制的缺失引起的个人金融信息的泄露将会给个人的财产安全带来巨大风险。

因此，如果因金融产品或服务的需要，相关机构需要将收集的个人金融信息委托给第三方机构，应当按照《规范》规定，事先评估安全性及合作方的资质及技术实力，并且委托行为不应超出已征得个人金融信息主体授权同意的范围。

哪些收集使用个人金融信息的行为不需要经个人同意？

《规范》明确规定了相关机构的个人金融信息的收集行为需要做到两个“明确”：明确告知所需的金融信息类别及使用方式、明确获得个人的同意，那么哪些信息属于例外情况？

1.与履行国家规定的义务、国家安全、公共利益、刑事活动相关；

2.为维护个人重大合法权益却很难得到本人同意；

3.个人金融信息主体自行公开；

4.履行合同必需；

5.从合法公开渠道获得；

6.为维护金融产品或服务安全稳定所必需。

因此，相关机构需要视情况判断个人金融信息的获得及使用是否符合上述情况，确保收集、使用行为合规。

跨境提供个人金融信息要注意哪些事项？

《规范》首次明确了个人金融信息跨境流动的具体规范。最早在《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》中规定：“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。”

随后，在《银行业金融机构外包风险管理指引》、《中国人民银行金融消费者权益保护实施办法》等文件中规定了跨境流动的“原则性”要求，但是对于个人金融信息的跨境流动、中国公民的个人金融信息的安全保护等均不够明确。

《规范》要求，对于在中国境内产生的个人金融信息，应当在境内存储、处理和分析，因业务需要需向境外机构提供的，应当遵循下列条件：

1.符合我国法律法规及部门规章；

2.获得个人金融信息主体明示同意；

3.离境前开展个人金融信息出境评估；

4.与境外机构以签订协议、核查等方式确保境外机构履行个人金融信息防护职责。

因此，相关机构开展个人金融信息跨境流动业务要严格遵守我国监管部门的要求，取得个人的明示同意，并与境外机构在个人金融信息安全防护等方面达成一致。

除了上述内容外，《规范》对于如何开展个人金融信息评估、外部合作机构评估、机构内部管理、外部访问管理等方面进行明确规范。毫无疑问，随着我国金融监管部门的重拳整治行动不断全面深入，对于涉及个人金融信息的相关机构来说，尽早尽快的合规运营尤为重要。另外，尽管监管部门给企业上了“紧箍咒”以规制相关机构的行为，但是对于个人来说，应当谨慎识别来源不明的索取个人金融信息的行为，以及利用疫情防控名义实施诈骗的行为，提高自我保护意识。

（本文作者陈云峰律师系中伦文德律师事务所高级合伙人、上海大学兼职教授、国家技术转移东部中心区块链顾问专家。)