摘要：在眾多銀行保險機構數據中，自然人個人信息當屬最重要的一部分?！躲y行保險機構數據安全管理辦法（征求意見稿）》（以下簡稱《銀保數安辦法》）以專章共10條的篇幅對銀行保險機構個人信息的處理原則及相關要求作出了規定。本文將從《銀保數安辦法》出發，結合相關金融監管機構關于個人信息保護的監管歷程，探析該辦法所傳達的監管重點及相關機構的合規義務。

前言：在眾多銀行保險機構數據中，自然人個人信息當屬最重要的一部分，且根據公開數據顯示，2023年國內共發生涉金融機構的數據泄露事件8758起，占比44.91%，金融機構已成為個人信息泄露事件數量最多的行業，銀行等金融機構在近年來因個人金融信息安全被監管處罰的案例也在逐年遞增。因此，規范金融機構數據處理活動、加快個人信息保護與數據安全體系建設的監管需求迫在眉睫。在此背景下，2024年3月22日，國家金融監督管理總局（以下簡稱金管局）發布了《銀保數安辦法》，并向社會公開征求意見。結合2023年1月證監會發布的《證券期貨業網絡和信息安全管理辦法》以及2023年7月人民銀行發布的《中國人民銀行業務領域數據安全管理辦法（征求意見稿》（以下簡稱《人行數安辦法》），國內金融行業數據安全體系已基本構建完成。

《銀保數安辦法》亦以專章共10條的篇幅對銀行保險機構個人信息的處理原則及相關要求作出了規定。本文將從《銀保數安辦法》出發，結合相關金融監管機構關于個人信息保護的監管歷程，探析該辦法所傳達的監管重點及相關機構的合規義務。

   1     金融業機構個人信息保護制度的監管沿革

國內金融行業針對數據安全管理的相關規定最早可追溯到2010年，由彼時的保險監督管理委員會以金融行業推薦性標準的方式發布了《保險信息安全風險評估指標體系規范》（JR/T0058-2010），旨在通過設定具體的保險行業數據安全管理技術與指標，指導和幫助保險機構提升信息安全保護能力。但是與此后“一行三會”發布的相關規定類似，該規范僅在完善金融行業整體信息數據安全規范的框架下，對個人信息相關內容進行原則性規定，并未列出明確的合規指引或操作規范。

2020年2月，中國人民銀行針對金融行業個人信息保護問題發布了《個人金融信息保護技術規范》（JR/T 0171—2020），規定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環節的安全防護要求，從安全技術和安全管理兩個方面，對個人金融信息保護提出了規范性要求。該規定作為金融行業個人信息領域的針對性規范，其針對個人金融信息的范圍、分類分級的標準以及分級分類后的管理規范等要求正作為銀行保險業機構個人信息保護體系建設的重要依據。

2020年10月，全國信息安全標準化技術委員會在其發布的《信息安全技術 個人信息安全規范》（GB/T 35273-2020）中吸收了《個人金融信息保護技術規范》對個人金融信息的定義，在其附錄A《個人信息示例》中即將部分個人金融信息列入個人財產信息的范圍內，個人金融信息正式被納入《個人信息保護法》的調整范圍內。

2021年9月，人民銀行發布了《征信業務管理辦法》第10條中，亦針對機構端個人信息保護作出要求，明確征信機構與信息提供者在開辦業務及合作中應當遵守《中華人民共和國個人信息保護法》等法律法規，通過協議等形式明確信息采集的原則的規定，并在第34條中對處理100萬戶以上企業信用信息的企業征信機構作出需要設立個人信息保護制度的相關要求。

2022年12月，銀保監會（已撤銷）在發布的《銀行保險機構消費者權益保護管理辦法》中第6章亦以專章的形式明確了銀行保險機構在處理消費者個人信息過程中應當遵守的原則、個人信息收集及處理的原則、告知同意的方式、第三方委托處理及共享的程序以及禁止性要求等問題。該辦法首次以部門規章的方式對銀行保險機構個人信息保護的相關問題作出規定，條文設置與個人信息處理的流程相匹配，相關規定亦被后續出臺的《銀保數安辦法》進一步吸收。

   2     銀行保險領域個人信息保護執法情況

個人金融信息直接關系到個人的資金安全、信用評價以及重大經濟活動的順利進行，一旦泄露或被濫用，不僅可能造成經濟損失，還會影響個人信譽，甚至引發一系列連鎖反應。

根據第三方安全服務機構“威脅獵人”發布的《2023年數據泄露風險年度報告》顯示，2023年國內共發生涉金融機構的數據泄露事件8758起，占比44.91%，成為個人信息泄露事件數量最多的行業。從金融細分行業來看，數據泄露事件數量發生最多的是銀行業，全年共發生4293起，涉及銀行、保險、證券等行業高凈值人群信息。

為此，國家各級金融管理部門均已持續針對銀行保險領域個人信息保護情況進行監督及執法，金管局于2024年3月即下發了《關于銀行保險機構侵害個人信息權益亂象專項整治發現主要問題的通報》，針對銀行保險機構在業務開展過程中存在的個人信息收集、存儲和傳輸、信息查詢和使用、提供和刪除以及第三方合作等場景中存在的問題進行通報。在行政執法方面，根據2024年4月7日金管局發布的信息顯示，金管局臺州監管分局針對臺州銀行存在的客戶敏感信息保護不到位問題，對臺州銀行處以385萬元罰款，并對主要責任人予以警告。除此以外，各地銀行保險機構因個人信息保護不力被處罰的案例也屢見不鮮：

（一）2023年4月6日，重慶富民銀行因違反消費者金融信息保護管理規定，被人行重慶營管部處處罰1萬元并予以警告；

（二）2023年4月20日，蘭州銀行因APP、SDK違規收集個人信息、超范圍收集個人信息以及APP強制、頻繁、過度索取權限，被甘肅省通信管理局予以通報；

（三）2023年9月19日，浙江嘉善農商行因違反消費者金融信息保護管理規定，被人行嘉興市分行處罰121萬元；

（四）2023年10月23日，浙江寧銀消費金融股份有限公司因提供個人不良信息未實現告知信息主體本人，被人民銀行寧波市分行處罰20萬元；

（五）2023年10月25日，河南義馬農商行因未按約定用途使用個人信息等行為，被人行三門峽市分行處罰46.35萬元并予以警告；

（六）2023年12月25日，陜西秦農農商行因存在客戶信息保護管理薄弱等問題，被金管局陜西管理局處罰115萬元；

（七）2024年3月7日，昆侖保險經紀公司因未與保險人對投保信息保密及合理使用進行依法約定等問題，被金管局大慶分局罰款1萬元并予以警告；

（八）2024年3月22日，天津農商銀行因個人信息處理者處理不滿十四周歲未成年人個人信息的，未制定專門的個人信息處理規則涉嫌隱私不合規，被國家計算機病毒應急處理中心予以通報。

  3    《銀保數安辦法》的適用范圍及相關問題

（一）《銀保數安辦法》的適用范圍

《銀保數安辦法》第2條規定：“在中華人民共和國境內設立的開發性金融機構、政策性銀行、商業銀行、農村合作銀行、農村信用社，保險集團（控股）公司、保險公司、保險資產管理公司、金融資產管理公司、信托公司、財務公司、金融租賃公司、汽車金融公司、消費金融公司、貨幣經紀公司適用本辦法。”

根據上述規定，該辦法除適用于銀行業機構、保險業機構、金融控股公司等金管局的傳統監管目標以外，還包括信托公司、財務公司、金融租賃公司、汽車金融公司、消費金融公司以及理財公司等。對于該等非銀行及保險金融機構而言，因自身經營范圍及體量相對較小，數據安全及個人信息保護意識相對較弱，在該辦法正式定稿出臺后，應當提高對個人信息保護的重視及風險防范意識。

對于由地方金融監管部門承擔監管職責的融資租賃公司、小額貸款公司以及典當行等類金融機構，則暫時不適用上述規定。但需要注意的是：根據《個人金融信息保護技術規范》的規定，任何處理個人金融信息的機構均應承擔個人金融信息的保護義務。這將意味著：雖然融資租賃公司等類金融機構不適用《銀保數安辦法》，但該類機構以及涉及個人金融信息處理的金融服務機構、金融科技公司等新型金融業機構也應根據相關標準的規定做好個人金融信息的保護工作。

（二）金融個人信息的定義

《銀保數安辦法》雖在第3條對該辦法所調整的“數據”以及“個人信息”進行定義，但相關定義基本僅沿用《數據安全法》及《個人信息保護法》的規定，并未根據金融行業的特殊情況對數據及個人信息的范圍進行進一步明確或列舉。目前該等規定尚不利于銀行保險機構確定數據及個人信息保護的對象，期望相關部門未來進一步出臺文件對《銀保數安法》所調整的“數據“及”個人信息“進行進一步明確。

針對本文討論的銀行保險機構個人信息保護義務而言，《個人金融信息保護技術規范》中關于“個人金融信息”的定義可供參考，即：金融業機構通過提供金融產品和服務或者其他渠道獲取、加工和保存的個人信息，包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產信息、借貸信息及其他反映特定個人某些情況的信息。

（三）《銀保數安辦法》與《人行數安辦法》的區別

《銀保數安辦法》與《人行數安辦法》之間的區別主要體現在適用范圍：《銀保數安辦法》適用于金管局管轄的銀行與保險機構，屬于從主體層面進行的監管；《人行數安辦法》則是適用于中國人民銀行業務領域數據相關的處理活動，屬于從業務層面進行的監管，涉及貨幣政策業務、跨境人民幣業務、銀行間各類市場交易業務、金融業綜合統計業務、支付清算業務、貨幣管理和數字人民幣業務、經理國庫業務、征信業務、反洗錢業務等領域的數據處理活動。同時，由于《人行數安辦法》的監管對象主要為銀行間“對公”業務中涉及的數據業務，因此亦未對個人信息保護相關問題進行明確規定。

對于接受央行及金管局“雙線”監管的商業銀行而言，則其在開展個人信息處理活動中應同時遵守《銀保數安辦法》與《人行數安辦法》的規定。比如：針對個人信息分級分類問題，商業銀行應適用《人行數安辦法》第9條更為嚴格的規定，在數據分級的基礎上，根據個人信息遭到泄露或者被非法獲取、非法利用時可能對個人造成的危害程度，將個人信息類數據從低至高進一步分為一至五共五個層級，并進行分級分類管理。

   4     《銀保數安辦法》關于個人信息保護制度的規定與解讀

《銀保數安辦法》在第6章以專章共10條的篇幅對銀行保險機構個人信息的處理原則及相關要求作出了規定，各條文的重點及解讀如下：

（一）第54-55條：處理原則

第五十四條

銀行保險機構處理個人信息應當按照“明確告知、授權同意”的原則實施，法律、行政法規另有規定的除外，并在信息系統中實現相關功能控制。

第五十五條

銀行保險機構處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，收集個人信息應當限于實現金融業務處理目的的最小范圍，不得過度收集個人信息。不得利用所收集的個人信息從事違法違規活動。

《銀保數安辦法》在個人信息保護專章的前兩條重申了《個人信息保護法》中關于處理個人信息的“明確告知、授權同意”以及“最小、必要”原則，體現了法律法規之間的銜接。需要注意的是：第55條中提及銀行保險機構在收集個人信息過程中的“最小范圍”應僅限于實現金融業務處理目的本身，而在目前國家大力開展“反詐”業務的背景下，出于“反詐”目的收集自然人的基本開戶信息（如姓名、身份證號碼、住址及聯系電話）以外的個人信息（如向電信運營商查詢手機號使用狀態、通話頻率、在網時間、消費狀態等）亦是符合該條規定的情形，但應獲得用戶的單獨授權同意。

（二）第56-57條：告知義務

第五十六條

銀行保險機構處理個人信息前，應當真實、準確、完整地向個人告知其個人信息的處理目的、處理方式、處理的個人信息種類、保存期限，個人行使其信息權利的申請受理和處理程序，以及法律法規規定應當告知的其他事項。

銀行保險機構應當制定個人信息處理規則，個人信息處理規則應當公開展示、易于訪問、內容明確、清晰易懂。

第五十七條

銀行保險機構不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務，處理個人信息屬于提供產品或者服務所必需的除外。

第56-57條中規定告知及同意規則與《個人信息保護法》以及《信息安全技術 個人信息安全規范》的規定亦保持一致，但銀行保險機構在開展業務中應注意將相關《隱私政策》在用戶初次使用銀行服務時（如通過線上或線下方式開立賬戶）向用戶展示并獲取同意，而不應以APP中展示的方式予以代替。

（三）第58條：影響評估

第五十八條

銀行保險機構在開展涉及對個人權益有重大影響的個人信息處理活動時，應當進行個人信息保護影響評估，評估內容包括個人信息處理的合法性、必要性，對個人權益的影響及安全風險，所采取的保護措施合法性、有效性以及是否與風險程度相適應。個人信息保護影響評估報告和處理情況記錄應當至少保存三年。

銀行保險機構需開展個人信息保護影響評估（personal information security impact assessment，以下簡稱PIA）的制度依據為《個人信息保護法》第55條第5款的規定，且按照該條的規定，處理敏感個人信息、利用個人信息進行自動化決策、對外共享或提供個人信息以及利用個人信息進行自動化決策等4種情形下也同樣需要履行PIA程序。

根據《信息安全技術 個人信息安全影響評估指南》（GB/T39335—2020）的規定，除上述條款中列明的評估內容外，銀行保險機構還應對個人信息處理目的與合法性基礎、告知與同意的實施情況、數據全生命周期保護情況、個人權利響應以及安全保障措施是否合法有效等方面進行評估。

（四）第59-61條：共享和外部提供、跨境傳輸、委托處理

第五十九條

銀行保險機構與其母行、集團，或者其子行、子公司共享個人信息，及向外部提供個人信息，應當履行向個人告知及取得其同意等相關事項的義務。

第六十條

銀行保險機構向中華人民共和國境外提供個人信息的，除滿足第五十九條規定的要求外，還應當向個人告知其向境外接收方行使信息權利的方式和程序等事項，法律、行政法規另有規定的除外。

第六十一條

銀行保險機構委托第三方處理個人信息的，應當在合同或者協議條款內明確受托人對個人信息的保護義務、保護措施和期限等，并嚴格監督受托人以約定的處理目的、處理方式等處理個人信息，與第三方傳輸個人敏感數據必須確保安全，防范數據濫用和泄漏風險。未經銀行保險機構同意，受托人不得轉委托他人處理個人信息。

上述3條規定主要涉及銀行保險機構所掌握的個人信息對外提供等相關問題。

1. 向關聯主體或對外提供個人信息

針對59條后半段提及的個人信息對外提供時需要征得個人單獨同意的問題，該規定與《個人信息保護法》的規定一致，不再贅述。

需要引起關注的是：適用“單獨同意”規則的情形是“母子行/公司”類關聯主體之間的共享，而不適用于“總分行/公司”類主體之間的共享。換言之，雖然根據《最高人民法院關于適用<中華人民共和國民事訴訟法>的解釋》第52條的規定，銀行分行或保險分公司具有獨立法人資格，但相互主體之間的個人信息共享仍無需征得個人同意，符合各地的操作實踐；但承《商業銀行理財子公司管理辦法》關于銀行理財子公司與其主要股東及關聯主體之間應當建立風險隔離制度的要求，若銀行保險機構出于業務推廣的目的（如推銷理財產品等）需要向關聯主體共享個人信息，則應當嚴格履行“單獨同意”程序。

2. 向境外提供個人信息

對于外資銀行保險機構個人，向境外股東提供境內用戶個人信息亦是業務中常見的操作，銀行保險機構在向境外提供該等個人信息時，還應當向用戶告知境外接收方的相關信息。另根據2024年3月出臺的《促進和規范數據跨境流動規定》，銀行保險機構還應當采用數據出境安全評估、個人信息出境標準合同或個人信息保護認證等方式履行相關監管義務。

3. 委托第三方處理個人信息

根據金管局于2023年6月發布的《關于加強第三方合作中網絡和數據安全管理的通知》及相關監管精神，銀行保險機構一方面可通過將非核心業務進行外包的方式以降本增效，但另一方面應遵循“服務外包，責任不外包”，嚴格加強對第三方外包機構的管理，通過合同等方式明確雙方權利義務，并切實履行相關監督義務。

（五）第62條：自動化決策

第六十二條

銀行保險機構在算法設計、訓練數據選擇和模型生成時，應當采取有效措施，保障個人合法權益。利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正。

自動化決策，是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等，并進行決策的活動。

銀行保險機構在日常經營過程中自動化決策使用較多的領域分別為個性化推廣以及自動風控審核：

1.對于個性化推廣而言，銀行保險機構應保證，不得對用戶交易條件上實行不合理的差別待遇，不得進行價格歧視。

2.對于自動風控審核而言，由于風控審核的結果必然將對用戶的權利造成影響（如是否獲得貸款資格以及貸款對應的利率），屬于《個人信息保護法》第24條第3款規定的情形，用戶有權要求銀行保險機構對決策結果予以說明，且有權拒絕該等僅以自動化決策作出的決定（即要求人工審核或復核）。但在實踐中，出于算法黑箱及權限管控等原因，銀行保險機構一線從業人員往往無法掌握相關信息，無法做到向用戶明確解析相關決策所依據的因素與決策的流程，無法履行該條規定所確定的義務。

（六）第63條：個人信息風險報告

第六十三條

發生或者可能發生個人信息泄露、篡改、丟失的，銀行保險機構應當立即采取補救措施，同時通知個人并報送國家金融監督管理總局或者其派出機構。通知應當包括下列事項：

（一）發生或者可能發生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；

（二）銀行保險機構采取的補救措施和個人可以采取的減輕危害的措施。

銀行保險機構采取措施能夠有效避免信息泄露、篡改、丟失造成危害的，可以不通知個人；監管部門認為可能造成危害的，有權要求銀行保險機構通知個人。

數據安全事故報告制度的建立依據為《數據安全法》第29條關于“發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告”的規定。

針對涉數據及個人信息泄露突發事件的報告制度，同時亦可見于2019年6月發布的《銀行業保險業突發事件信息報告辦法》，在發生“銀行保險機構丟失或泄露大量重要資料、重要賬冊、重要空白憑證、重要數據或客戶信息等，已經或可能造成重大損失、嚴重影響”的重大事件時，應當按照該辦法第3章的規定，在規定的時限內向特定部門進行報告，否則將面臨考評和問責。

結  語

隨著數字時代的深入發展，銀行保險機構在個人信息保護制度上的演進與強化已成為不可逆轉的趨勢。從早期的推薦性標準到如今的《銀保數安辦法》公開征求意見，我國金融行業的個人信息保護體系不斷完善，監管力度顯著增強。這一系列規章制度的發布，不僅體現了國家對個人金融信息安全的高度重視，也反映了金融監管機構對市場變化的快速響應與前瞻性布局。

《銀保數安辦法》的出臺，不僅細化了銀行保險機構在處理個人信息時的具體原則與要求，還明確了合規義務，特別是強調了處理個人信息時的告知同意原則、最小必要原則，以及個人信息保護影響評估的重要性，這不僅符合國際個人信息保護的最佳實踐，也為銀行保險機構提供了清晰的操作指導。此外，對跨境傳輸、委托處理等特殊場景的嚴格規定，彰顯了監管層面對個人信息跨境流動風險的審慎態度，旨在構建一個既開放又安全的數據生態。

執法實踐中的案例通報更是對行業內的警示，提醒所有金融參與者必須嚴格遵守個人信息保護的法律法規，否則將面臨嚴厲的法律后果。這些措施的實施，有助于提升公眾對金融機構的信任，維護金融市場的穩定與健康發展。

未來，銀行保險機構還需持續關注監管動態，不斷提升數據安全管理水平，建立健全個人信息保護機制，特別是在數據共享、跨境傳輸等復雜場景下，要更加注重合規操作，強化對第三方合作的監督，確保個人信息處理活動既合法合規又透明可控。最終，形成以技術保障為基礎、管理制度為核心、文化自覺為支撐的全方位個人信息保護體系，共同守護每一位金融消費者的個人信息安全，推動金融行業在數字化轉型的浪潮中穩健前行。

（作者：黎莎莎  陳明杰）