4月28日，移动支付网成长营第五期线上活动召开，北京市京师（深圳）律师事务所联合创始人王岩飞分享了金融消费者个人信息立法、执法情况；侵犯个人金融信息类型；金融机构个人信息保护的合规工作开展等内容。

分享的第一部分，主要介绍了金融消费者个人信息保护的立法、执法概况。

在立法层面，2017年6月1施行的《网络安全法》、2021年9月1日施行的《数据安全法》、2021年11月1日施行的《个人信息保护法》以及2021年1月1日施行《民法典》共同构成了个人金融信息保护领域的顶层法律基础。除“三法一典”之外，《中国人民银行金融消费者权益保护实施办法》《个人金融信息保护技术规范》等众多部门法规、标准规范等文件也涉及大量个人金融信息保护的有关内容。

部分个人金融信息保护相关的法律法规

在执法层面，公安部门近年来持续开展打击侵犯公民个人信息刑事犯罪。其中，金融机构从业人员侵犯个人信息的案件有所增加，据王岩飞介绍，在这些案件中特点是金融机构从业者与外部人员勾结共同犯罪，比例高达70%。除了刑事案件执法，金融管理部门也明显加大了涉个人金融信息的行政处罚力度、个人信息领域公益诉讼开始成为检察机关重点工作。

分享的第二部分，主要介绍了金融机构处理个人信息4大类型及侵犯个人金融信息权益的五类行为。

金融机构处理个人信息的类型可分为4个大类。分别为员工相关个人信息（管理信息）；金融业务活动中涉及的自然人客户相关信息、涉及的机构客户相关自然人主体的个人信息（业务信息）；履行反洗钱反恐怖融资监管要求过程中收集到的个人信息（合规义务）；与第三方共享、转让获取的个人信息（共享数据）。

金融机构侵犯个人金融信息权益主要有5类行为。分别为违规收集；违规查询、存储、传输和使用；违法违规购买或出售；违规向第三方提供；违规进行“用户画像”等。

金融机构侵犯个人金融信息权益的5个类型

分享的第三部分，主要介绍了金融机构个人信息保护的合规工作开展，这也是本期成长营分享的重点部分。

王岩飞表示，根据经验，金融机构个人信息保护的合规工作开展主要有3个环节，首先是总体的内部制度建设，其次是操作层面的标准指引，第三是工作过程中穿插的配套附件要求。王岩飞总结了金融机构在个人金融信息保护的各项内控制度建设，共11条。

1、制定个人金融信息保护管理规定，提出本机构个人金融信息保护工作方针、目标和原则。

2、开展个人金融信息分类分级管理。

3、建立日常管理及操作流程，对个人金融信息的收集、传输、存储、使用、删除、销毁等环节提出具体保护要求。

4、建立信息系统分级授权管理机制。

5、建立个人金融信息脱敏管理规范和制度。

6、建立个人金融信息安全影响评估制度，定期开展个人金融信息安全影响评估。

7、建立外包服务机构与外部合作机构管理制度。

8、建立个人金融信息安全检查及监督机制。

9、应将个人金融信息泄露等相关事件处理纳入机构信息安全事件应急处置工作机制。

10、建立个人金融信息投诉与申诉处理程序。

11、明确个人金融信息共享、存储、使用和销毁的期限。

主题分享环节结束后，王岩飞回答了“做好内控制度基础上发生数据泄漏是否减轻处罚”“合作机构外包管理与保密协议”“婚姻字段收集”“手机运营商营销短信”“个保自评估框架建设”“处于反洗钱目的超范围收集和使用数据”等多个具体问题。更多具体内容，欢迎观看本期成长营视频回播。