当前，网络安全形势日益复杂，网络攻击事件频发，个人隐私泄露问题成为重灾区。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中明确提出：“加强涉及国家利益、商业秘密、个人隐私的数据保护，加快推进数据安全、个人信息保护等领域基础性立法，强化数据资源全生命周期安全保护”；《民法典》第1035条规定“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理”。随着《网络安全法》《数据安全法》《个人信息保护法》《个人金融信息保护技术规范》和《金融数据安全数据生命周期安全规范》等一系列数据安全法律法规和标准规范的发布，数据安全和隐私保护的顶层监管框架日趋完善，个人信息保护成为商业银行数字化转型中合规监管的重中之重。本文聚焦个人金融信息保护，探讨商业银行如何建立个人金融信息保护机制和治理体系，打牢数据安全合规管理的基本功，培育数字化时代的核心竞争力。

构建个人金融信息保护制度

《个人信息保护法》规定个人信息处理者应当遵循合法、正当、必要和诚信的四大项基本原则，不得以误导、欺诈、胁迫等方式处理个人信息，要具有明确性、合理性的目的，要对个人权益产生的影响最小，要遵循公开透明、完整性、准确性和安全保障等原则。这些原则是商业银行开展业务服务和产品创新时必须要严格遵照的红线标准，为此一方面商业银行应依据其经营活动涉及的个人金融信息数据属性，构建完善的信息安全和个人金融信息保护制度体系，有效的配套制度体系是商业银行各项经营工作有序高效开展的基础，也是做好个人金融信息安全的基本保障；另一方面则是针对数据处理环节的重点阶段和服务模式创新中的典型场景等开展深入排查，主动识别信息保护薄弱环节，确保遵循制度要求。

一是以网络安全及个人信息保护等法律为根，以监管部门对保护个人金融信息的相关规定为干，以国家标准为枝叶，围绕个人金融信息全生命周期建立系统的风险防范机制和内控合规制度。商业银行应建立至少涵盖个人金融信息保护基本制度、个人金融信息分级管理制度、个人金融信息授权管理制度、个人金融信息保护内控制度、个人金融信息保护监督管理办法、个人金融信息保护应急处置办法、个人金融信息保护工作考核评价等相关制度，并配套完善多维度内控合规监督机制和评价体系，以确保银行对个人金融信息保护有标准、有依据、有参考、有规范。

二是重点关注个人金融信息在商业银行内部流转和使用的合规性和安全性。个人金融信息在相关环节中被泄露、篡改、滥用的风险，以及因此给商业银行带来的合规风险也不容忽视。2020年10月1日实施的《个人金融信息保护技术规范》（JR/T 0171—2020）（以下简称“《技术规范》”），就个人金融信息全生命周期提出安全技术和安全管理方面的要求，《技术规范》围绕个人金融信息安全对金融业机构与第三方机构的合作方式划出了红线，特别是“不应委托或授权无金融业相关资质的机构收集C3、C2类别信息；”“C3类别信息以及C2类别信息中的用户鉴别辅助信息不应共享、转让；”“C3以及C2类别信息中的用户鉴别辅助信息，不应委托给第三方机构进行处理；”“外包服务机构与外部合作机构原则上不应留存C2、C3类别信息；不应将存储个人金融信息的数据库交由外部合作机构运维”，以上规范对商业银行在集团内部以及与第三方机构的合作中做好个人金融信息数据安全保护具有重要的指导意义。

三是强化创新型业务场景涉及个人信息的收集与使用的规范性。为治理APP违规收集、滥用个人信息的现象，APP收集使用个人信息进入了监管深水区，商业银行需要对其开发运营平台所收集使用的个人信息进行梳理，重视以App为代表的互联网应用产品的信息保护客户体验，严格落实用户的告知与同意义务，应依据《隐私政策》《个人信息保护法（草案）》等制度要求，结合APP等产品上线的流程，建立对相关产品信息收集、使用、存储、对外提供、删除等全周期的制度体系和监督检查机制，将监督检查植入到产品的立项评审、方案设计和测试环节。

形成个人金融信息保护组织架构

《个人信息保护法》既规定了个人信息处理者应该遵守的信息“处理”规则，还规定了信息“管理”义务，为确保其各部门正确履行相关的权利和义务，商业银行需要建立个人金融信息保护组织和岗位，推动对应管理制度的制定和落地，定期开展安全教育和培训，制定和实施相关应急预案，同时推动建立技术规范和相关技术平台，准确、专业、敏捷地识别和保护个人金融信息。

一是形成有力的管理架构。为了确保个人金融信息保护内控合规制度被贯彻实施，商业银行需要建立个人金融信息保护归口部门。《个人信息安全规范》（GB/T 35273-2020）（以下简称《安全规范》）第十一条对于个人信息控制者的责任部门与人员做出了具体要求：一是应明确领导责任，提高个人金融信息安全保护意识和力度；二是应根据实际情况设立个人信息保护专门部门或专职负责人，作为个人金融信息保护工作开展的归口，负责统筹实施、督促跟踪相关工作；第三，应为个人信息保护负责人和个人信息保护工作机构提供必要的资源，保障其独立履行职责。

二是加强对信息敏感程度的识别。由于信息敏感程度、流转周期、使用途径的多样性，信息保护具有复杂性、关联性、全局性的特点。《技术规范》中明确说明，一方面，个人金融信息主体因业务需要（如贷款）主动提供的有关家庭成员信息（如身份证号码、手机号码、财产信息等），应依据C3、C2、C1敏感程度类别进行分类，并实施针对性的保护措施;另一方面，两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度的信息，同一信息在不同的服务场景中可能处于不同的类别，应依据服务场景以及该信息在其中的作用对信息的类别进行识别;同时，在信息流转的不同周期，也会对应不同的规范标准。因此对信息敏感程度的识别，是个人金融信息保护体系架构中最为关键的一点，而信息敏感程度的判定不仅需要结合具体的业务场景，也需要对法律法规及技术措施甚至相关立法动态有准确的理解，因此，商业银行必要时应设立专人专岗负责具体业务领域的个人信息保护管理工作。

牢筑个人金融信息保护屏障

《网络安全法》明确要求企业采取一定的技术与管理措施，确保用户个人信息与隐私安全，商业银行应该严格按照《网络安全等级保护基本要求》《个人金融信息保护技术规范》《金融数据安全数据安全分级指南》《金融数据安全数据生命周期安全规范》等规范要求，加强网络安全、信息安全、隐私保护等技术建设，安全架构规划管理，切实维护客户信息安全，履行信息保护义务，并定期对个人金融信息保护的整体实施情况进行检查。

一是商业银行应通过技术手段加强数据生命周期管理，围绕业务服务主线，以数据分级分类为基础，通过统一的安全技术框架，实施全生命周期的一体化安全保护，应充分关注个人信息何时、以何种方式被收集、处理、使用、存储以及与第三方共享，满足客户隐私保护需要的同时深化数据治理，站在业务全局审视个人信息使用中的合规性，完善个人信息保护机制。

二是商业银行应加强安全技术架构管理，围绕自身金融服务与行业监管的特点，审慎地选择既符合国家及金融行业标准，满足个人金融信息保护过程中各环节所需，又相对稳定成熟、契合业务发展的安全技术和产品，并持续开展隐私计算、数据分级分类、匿名化等相关新技术的跟踪、研究和应用。

三是商业银行应该将个人信息保护技术规范融入项目研发的全生命周期，从立项、开发、测试、生产运营、数据管理等全流程加强保护，并定期进行全面的检查和评估，及时发现安全风险隐患，不断提升个人金融信息保护技术能力水平。

数字化时代，商业银行全面提高个人金融信息保护能力，不仅是在监管机构更有力的监管政策和更严格的规范要求下合规运营的必然要求，更是把握数字化战略新机遇、迎接数字信息安全新挑战的关键，商业银行应该积极筑牢自身信息安全保护机制，确保数字化金融转型行稳致远！

（本文作者单位为中国民生银行信息科技开发团队办公室）