12月2日，中国银保监会台州监管分局的罚单显示，台州银行因“违规泄露客户信息”，被罚款20万元。

根据《个人信息保护法》，敏感个人信息一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

可以说，银行业务涉及的用户金融数据，大部分都属于敏感个人信息，银行需要遵循相关规定、要求，保护用户的个人信息。

事实上，随着银行数字化转型的推进，用户数据、个人信息也越来越多的用数字化的方式记录，如何保护用户的数字化信息引发了更多关注。

个人数字化信息保护获关注，违规惩治力度加大

《数据安全法》就强调，国家实施大数据战略，推进数据基础设施建设，鼓励和支持数据在各行业、各领域的创新应用。省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划，并根据需要制定数字经济发展规划。

同时，《数据安全法》介绍，开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

《个人信息保护法》则要求，“对违法处理个人信息的应用程序，责令暂停或者终止提供服务”、“个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇；通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式；通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”。

通俗地说，就是明确提出对数字化渠道（比如“应用程序”）下违规行为的惩罚措施，并禁止大数据杀熟。这些都是对数字化下个人信息保护的“特殊”要求。

《个人信息保护法》自今年11月1日起施行，其更加严格的惩治规范，或许为银行信息安全合规带来更大的压力。

《个人信息保护法》称，有相关违法行为，“拒不改正的，并处一百万元以下罚款”“情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。

可见，对于个人信息方面的违规行为，监管设立的罚款上限提高，若违规情节严重，罚款上限已经高至5000万或上年度营业额的5%。

规范文件更加细化，监管频开个人信息保护罚单

此外，近两年，监管部门发布了《个人金融信息保护技术规范》《金融行业网络安全等级保护测评指南》《金融数据安全数据安全分级指南》《金融行业网络安全等级保护实施指引》《信息安全技术网络安全等级保护大数据基本要求》《金融数据安全数据生命周期安全规范》等规范、文件，从不同的角度，对金融行业的信息安全、数据安全提出更加细化的要求。

与此同时，近几年监管部门频频对银行业机构开出信息安全相关罚单，也可见其对信息安全保护的态度。

2020年5月，脱口秀演员池子在社交媒体发文，称中信银行上海虹口支行在未经其本人授权的情况下，将其个人账户明细提供给“上海笑果文化传媒有限公司”。

这一事件引发广泛关注，2021年3月，银保监会消保局发布罚单，中信银行因“客户信息保护体制机制不健全；客户信息收集环节管理不规范；未经客户本人授权查询并向第三方提供其个人银行账户交易信息；对客户敏感信息管理不善，致其流出至互联网；违规存储客户敏感信息；系统权限管理存在漏洞，重要岗位及外包机构管理存在缺陷”等被罚450万元，此事尘埃落定。

随后，8月，交行、华夏银行、兴业银行因“违反信用信息采集、提供、查询及相关管理规定”，合计被央行罚款553万元。其中，交行被罚62万元，华夏银行被罚486万元，兴业银行被罚5万元。

由池子事件引发的广泛关注，可见公众对于这方面的关注也在加大，而自媒体时代放大了每个人的声音，银行的不当经营行为对其公信力的影响更大，这都对银行的个人信息保护提出了更高的要求。