虽然个人信息在我国的《民法典(草案)》中被置于“人格权”部分,但通常认为个人信息是一种具有财产属性的人格权,这会体现一定的经济利益。在各类个人信息中,个人财务信息无疑是最具财产属性的个人信息之一。一般情况下,个人信息泄露可能不会直接造成经济损失,但个人金融信息一旦泄露,将直接给个人信息主体带来巨大的经济损失,具有较高的敏感性。2020年2月13日,中国人民银行发布《个人金融信息保护技术规范》(JR/T0171-2020),修补个人金融信息保护。《个人金融信息保护技术规范》虽然只是行业推荐标准,但有望在金融执法合规中发挥关键作用。凡是提供金融产品和服务的机构,在“接触”个人信息时,都需要使用《个人金融信息保护技术规范》作为“漫游向导”。一、概念二、制度仔细研究完《个人金融信息保护技术规范》的风格,我们可以总结出个人金融信息合规的基本框架:金融机构的个人信息保护是一个制度,并不局限于《个人金融信息保护技术规范》。例如,《网络安全法》中的分级保护制度是金融机构收集和处理个人信息网络的基本要求。《中国人民银行金融消费者权益保护实施办法》也依然有效,是高于行业标准的部门规章。要求金融机构至少每六个月对个人金融信息安全隐患进行一次排查;明确金融机构保护消费者个人金融信息安全的义务不因与外包服务商合作而转移或减少。在系统方面,跨境数据也是一个敏感问题。金融机构一旦被认定为关键信息基础设施,就需要在《网络安全法》承担数据本地化和跨境安全评估义务,但这两个系统还处于迷雾之中……加上《中国人民银行金融消费者权益保护实施办法》和《个人金融信息保护技术规范》,迷雾更浓:此外,信息屏蔽是《个人金融信息保护规范》降低个人金融信息法律风险的一项关键技术措施。?的附件虽然列出了一些信息屏蔽措施,但屏蔽措施的实施需要参考《信息安全规范 个人信息去标识化指南》(GB/T37964-2019)选择合适的技术和模式来保护个人信息。3、数据分类《网络安全法》要求网络运营者采取数据分类、重要数据备份和加密等措施。《个人金融信息保护技术规范》按照敏感程度从高到低分为三个级别:C3、C2、C1。不同层次也对应不同的法律义务:4、关注相关法律、行政法规和部门规章。《个人金融信息保护技术规范》是一个技术标准,需要金融行业的IT人员多加注意。与自家金融机构的IT系统相比,能否达到《个人金融信息保护技术规范》的要求。对于合规人员,更应注重内部管理制度的建设。技术和管理是《个人金融信息保护技术规范》中两条明显的线索。对于法务工作者,需要特别注意《个人金融信息保护技术规范》中涉及第三方管理的条款,确保与第三方签订的协议内容与IT系统设置一致。在此基础上,需要上级金融机构牵头,将个人金融信息保护落实到具体责任人,协调各部门资源,开展规范实施工作。
