金融监管对于信息保护的具体规范管理措施可以追溯至2009年中国银行业监督管理委员会发布的《商业银行信息科技风险管理指引》，2011年发布实施的《关于银行业金融机构做好个人金融信息保护工作的通知》在明确保护个人金融信息的同时对“金融消费者”进行了界定。去年实施的《中国人民银行金融消费者权益保护实施办法》更是专章对于个人金融信息保护进行规范。回顾过去，中国银行保险管理监督委员会（以下简称“银保监会”）、中国人民银行等监管机构相继颁布了系列行政法规，部门规章，旨在与时俱进，根据科学技术不断更新和持续完善个人金融信息的保护。

 图一：个人金融信息监管政策时间轴

作为我国第一部针对个人信息保护的专门立法，《个保法》明确了个人信息保护应遵循的原则和个人信息处理规则，健全了个人信息保护工作体制机制，其中，从个人金融信息保护的角度分析，《个保法》主要有以下几大亮点：

《个保法》将个人信息分为一般个人信息与敏感个人信息两大类别。根据法律规定，一般个人信息是指以电子或其他方式记录的与已识别或可识别的自然人相关的除匿名化信息之外的各种信息[1]，而敏感个人信息则是指包括金融账户、交易口令等一旦遭泄露或者非法使用，容易导致自然人的人身、财产安全受到危害的个人信息[2]。

对于敏感个人信息，法律规定仅在同时具备“特定目的性”、“充分必要性”以及“采取严格保护措施”的条件下，才能够进行处理。就处理规则而言，除对于所有个人信息所适用的一般告知事项外，尚需向个人告知处理的必要性及可能造成的不利影响，并获取个人单独同意。

由于个人金融信息几乎都属于对财产安全有影响的范畴，因此这意味着对于个人金融信息的处理，将需要按照敏感个人信息的标准来执行，而目前实践中常见的通过弹窗进行“一揽子”授权的方式需要相应调整。  

《个保法》专章规定了个人在信息处理活动中享有的权利，具体包括知情决定、查阅复制、更正补充、撤回同意、请求删除以及要求解释等权利，《个保法》同时要求个人信息处理者准确完整地向个人告知行使上述权利的方式和程序[3]，并且应建立便捷的个人行使权利的申请受理和处理机制[4]。

在法律赋予个人的众多权利中，值得关注的是《个保法》参考借鉴了GDPR中的个人信息转移权，即个人有权请求将个人信息转移至其指定的个人信息处理者，且该请求符合规定条件时，个人信息处理者应当提供转移的途径。[5]

《个保法》较之《规范》进一步完善了向境外提供个人信息的规则。《个保法》首先分两种情形讨论个人信息出境问题：一种是普通个人信息处理者因业务需要而向境外提供个人信息，该情形下满足《个保法》第三十八条规定的四个条件之一即可；另一种为银行等关键信息基础设施运营者（CIIO）和处理个人信息达到国家网信部门规定数量的个人信息处理者，如确需向境外提供个人信息的，应当通过国家网信部门组织的安全评估[6]。无论前述哪种情形，向境外提供个人信息，均应向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。[7]法律还规定了国家网信部门的“黑名单”制度。[8]

相比之下，《规范》对于跨境提供个人信息的规定则显得较为简单，仅规定了金融业机构向境外机构（含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构）提供个人金融信息时应当符合的四项条件。[9]

对于个人信息跨境要求的细化，在一定程度上回应了最近的热点话题，证明了立法的前瞻性。如将其置于国家加大对数据安全保护（特别是数据跨境安全）的大环境下，便不难理解其深意。

此次《个保法》立法还有诸多亮点，例如规定了数据处理者应履行的信息保护义务，明确多元化的个人信息保护履职体系，提高了处罚额度从而大幅增加个人信息处理者的违法成本等，限于篇幅，我们在此不一一展开，有兴趣的读者可以参阅袁立志律师和段宇律师的《个人信息保护法：逻辑、重点及建议》。

《个保法》对于个人信息处理规则的规定较金融行业前期颁布的规章制度有诸多变更之处，接下来我们将以《办法》《规范》为基础，讨论《个保法》带来的更新变革，并着重对三部法律规范从立法层级位阶与适用对象、个人信息分类规则、“告知-同意”规则、信息删除规则、个人信息跨境提供规则、处罚及举证责任分配规则这几个角度进行差异对比，希望能够抛砖引玉，为金融领域相关企业更好的应对变革与挑战建言献策。

《个保法》为全国人大常委会发布的法律。《办法》属于中国人民银行发布部门规章，《规范》同为中国人民银行发布，但属于金融行业推荐性规范，不具有强制力，但可作为规范指引和参考依据。

就适用对象而言，《个保法》适用于个人信息处理者，即在个人信息处理活动中自主决定处理目的、处理方式的组织、个人，[10]《办法》适用于银行业金融机构，[11]而《规范》则适用于提供金融产品和服务的金融业机构。[12]

就效力层级而言，法律、部门规章及行业规范的位阶不同，根据《立法法》确立的下位法不可违背上位法原则，如果各规范就同一问题的规定存在差异，应当以《个保法》为准。关于适用对象，《个保法》的适用对象无疑覆盖面最广泛，而《规范》中提及的“金融业机构”范围则大于《办法》中的“银行业金融机构”，《规范》的适用除了银行之类的金融机构还包括提供身份验证服务、信息技术支持、市场营销服务等的金融业机构。我们倾向认为，虽然《个保法》适用对象最广，但是对于个人金融信息的处理，在不存在冲突的情况下，目前仍有必要根据各自所属行业参照《办法》《规范》的规定执行。

《个保法》如前文所述采用了“一般个人信息”与“敏感个人信息”的两分法。《规范》则根据一旦泄露，将对个人金融信息主体的信息安全与财产安全“造成严重危害”、“造成一定危害”或“造成一定影响”将个人金融信息分为C3、C2、C1三类[13]，并针对C3、C2类的信息规定了诸如受托处理需具备金融业相关资质，加工处理时应采取更加严格的保护措施等特殊技术处理规则。

《个保法》中的两类个人信息在处理条件、告知-同意规则等有所不同，其强调的是企业合规层面；而《规范》则针对C3、C2、C1三类个人金融信息的处理则规定了不同的收集[14]、传输[15]、使用[16]、委托[17]、加工规则[18]、信息处理者的安全运行技术要求[19]、安全制度体系建立要求[20]等，强调的是技术处理层面。金融业机构在处理个人金融信息时，有必要同时考虑法律和技术两方面的要求。同时，遵循《规范》中对于个人金融信息进行C3、C2、C1三分类的方法也将对金融业机构做到符合《个保法》中个人信息处理者应“对个人信息实行分类管理”[21]的合规有重要意义。

《个保法》《办法》和《规范》中均有针对被搜集信息个人的告知、同意、再次征得同意以及同意的豁免规则，下文将比较在信息转让、信息汇聚融合、处理公开信息、发生个人信息安全事件等情形下各个规范中“告知-同意”规则的主要不同之处。

当个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息时，《个保法》规定应向个人告知接收方的名称、姓名和联系方式，[22]而《规范》对于该等情况并无明确具体的规定[23]。据此可以看出，《个保法》对于信息处理者在合并分立等情形下的告知义务做出了更加明确和具体的要求，某种程度上将增加企业在处理具体情形时的工作量，在涉及企业合并分立等情形时应予以特别关注和处理。 

同时值得注意的是，根据《规范》，共享、转让经去标识化处理（不应仅使用加密技术），且能够确保数据接收方无法重新识别个人金融信息主体的信息时，可以不向相关个人告知亦无需取得同意。[24]至于此处的情形是否等同于《个保法》中的“匿名化”，我们认为有待在相关实践过程中进一步明确。如果该情形确属于匿名化处理，则金融信息处理者可以取得该情形下共享、转让个人信息时的告知同意豁免。反之，则仍然需要按照《个保法》的要求获得单独同意。

对于数据汇聚融合，金融行业的常见场景之一在于集团内部不同关联公司之间所拥有的个人金融信息数据的融合使用。《规范》对个人信息的汇聚融合过程中所适用“告知-同意”的规则做出了具体规定，根据规范，汇聚融合的数据不应超出收集时所声明的使用范围。因业务需要确需超范围使用的，应再次征得个人金融信息主体明示同意。[25]

而《个保法》对于汇聚融合并没有特别的规定，换言之，在《个保法》项下，一旦涉及向其他个人信息处理者提供个人信息的情形，均需取得单独同意，接收方变更原先的处理目的、处理方式的，也应重新取得同意。由此可见，《个保法》生效后，金融机构可以在搜集个人信息时取得用户对于数据融合一揽子同意的规则将被更改，不排除金融机构未来在进行数据融合时，无论是与其子公司、关联公司或者其他个人信息处理者，均应当取得个人的单独同意，这无疑将对金融业机构未来处理个人金融信息带来不小的负担，我们期待相关的实施细则对此问题作出进一步的澄清。

对于个人自行公开或者其他已经合法公开的个人信息，《个保法》规定个人信息处理者可以在合理范围内进行处理，但是个人有拒绝的权利，并且当处理已公开的个人信息将对个人权益带来重大影响的，仍应当取得个人同意。[26]

相比之下，《规范》的规定较为宽松，无论是收集个人自行公开的信息，还是从合法公开披露的信息中收集个人金融信息（如通过合法的新闻报道、政府信息公开等渠道），均没有额外获得同意的要求。[27]因此，《个保法》生效后，对于已公开的个人信息的处理需要更为谨慎。在实际操作中，《个保法》所规定的个人“有权拒绝”如何实现；对“个人权益”有重大影响如何认定，这些问题仍有待有关部门的解释和澄清。

《办法》和《规范》均规定在发生个人信息安全事件时，应当及时告知受影响的个人金融信息主体。然而在《个保法》的规定中，在此情形下，若个人信息处理者采取措施能够有效避免造成危害的，可以不通知个人；但如果履行个人信息保护职责的部门认为可能造成危害的，其有权要求个人信息处理者通知个人。[28]

可见《个保法》实施后，当发生安全事件时，在特定情形下个人信息处理者可以不通知信息主体个人，但是，对何种情形构成“能够有效避免造成危害”，有待进一步明确。法律同时规定了例外，即当有关部门认为可能造成危害的，仍旧有权要求个人信息处理者通知个人，但是，如何认定“可能造成危害”，亦有待澄清。

虽然个人信息处理的基本原则是“告知-同意”，但《个保法》与《规范》均规定的相应例外，我们将豁免事项分别列举如下表所示：

表一：关于获得同意之豁免情形的比较

通过以上对比可知，《个保法》中对于同意豁免的情形规定较为有限。当出现《规范》所列举的用于维护所提供的金融产品或服务的安全稳定运行所必需的情形而需搜集或使用个人信息的情形时，根据《个保法》仍需征得个人信息主体的同意，金融业机构将无法再根据《规范》得到豁免。

《个保法》中列举了信息处理者应当主动删除个人信息的五种情形，法律同时赋予了个人主体信息删除请求权，即满足法律所述条件而个人信息处理者未删除个人信息的，个人有权主动要求删除。[31]对于删除时的技术要求，《个保法》规定当出现法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的情形时，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理措施。[32]而《规范》对于个人金融信息删除的要求较为简单，即应采取技术手段，在金融产品和服务所涉及的系统中去除个人金融信息，使其保持不可被检索和访问。[33]

通过对比不难发现，根据《个保法》，个人信息处理者应主动删除个人信息，仅在删除个人信息从技术上难以实现的，才能够采取停止“除存储和采取必要的安全保护措施”之外的方法进行处理。那么，究竟何为“从技术上难以实现”，是否除了物理毁损还包括其他手段？因《个保法》规定一旦不能满足删除“从技术上难以实现”这一要求，就应当对个人信息数据进行删除，所以后续对“从技术上难以实现”的界定值得特别重视，以便使企业在成本和效率之间获得良好平衡。   

《个保法》设专章规定了个人信息跨境提供的规则，涉及个人信息出境的条件、个人信息出境的告知同意规则，个人信息保护标准以及应当进行安全评估的要求等。

上文已经介绍了《个保法》与《规范》对此的主要差异，应当说《个保法》扩充和细化了《规范》中对于个人信息出境的要求，设置了更加严格的条件。而截至目前，《个人信息出境安全评估办法》仍未正式出台，安全评估的开展如何落地实施，对此我们拭目以待。

《个保法》及《办法》均规定了个人信息处理者违反规定处理个人信息时的处罚规则。就处罚力度而言，《办法》比照《消费者权益保护法》，处罚上限为人民币五十万元。[34]《个保法》则大幅度提高了处罚力度，对违法处理个人信息的处理者，情节严重的，处罚上限提高至人民币五千万元。[35]《个保法》同时开创性的规定了个人信息处理者的举证责任倒置制度，当处理个人信息侵害个人信息权益造成损害时，个人信息处理者若不能够证明自己没有过错，则应当承担损害赔偿等侵权责任。[36]

《个保法》对违法个人信息处理者的处罚力度大幅度增加，加之以举证责任倒置制度，无疑将极大增加个人信息处理者的违法成本。对此，金融业机构在日常工作中有必要加强合规建设，注重信息处理的留痕以满足举证责任。

由于金融行业对于信息，尤其是个人信息的搜集、使用和处理是其开展业务的基础逻辑和必要前提，因此，《个人信息保护法》的出台对金融业相关业务带来的影响不可小觑。法律对于个人信息的处理制定了一系列“高标准，严要求”的规则，这无疑将对金融业机构现有的经营理念、技术和模式带来变革。与此同时，《个人金融信息保护暂行办法》等银行金融领域相应的配套文件也在起草制定中。个人信息保护已成为时代潮流，是大势所趋，金融行业只有顺应时代，提升业务能力，持续做好业务合规工作，才能实现新发展，更好地迎接个人信息保护新时代的到来。