据报道，近期，《个人金融信息（数据）保护试行办法（初稿）》（以下简称“办法”）已出炉，央行已将办法下发至各银行机构征求意见。这意味着个人金融信息保护已正式成为金融监管机构的监管重点。

《网络安全法》颁布后，央行等金融监管机构对个人信息的监管逐步细化，要求也越来越具体明确。

2019年4月，在《中国人民银行2019年规章制定工作计划》中，除了《个人金融信息（数据）保护试行办法》外，还包括《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》的修订计划；2018年1月，银监会印发了《关于进一步深化整治银行业市场乱象的通知》，其中行业廉洁的风险管理方面,包含“违法违规查询、获取、使用、泄露、出售客户信息或商业秘密”的风险管理。此外，《中国银监会办公厅关于加强网络信息安全与客户信息保护有关事项的通知》、《个人金融信息保护技术规范》等管理制度和规范，也都对个人信息保护作出了具体要求。

事实上，防范个人金融信息泄露、篡改和滥用已被央行反复提及。2019年9月25日，央行科技司司长李伟在“首都金融科技发展研讨会”发言中强调，央行将多措并举强化个人金融信息保护，严防个人金融信息的泄露、篡改和滥用，平衡好金融服务便捷和安全的关系。

针对金融行业个人信息保护监管要求日益加强，银行等金融机构应重点做好以下三个方面工作：

1.健全个人信息保护的组织建设

针对个人信息保护的组织机构建设有别于网络安全，个人信息保护更需要在金融机构整体组织范围内的工作协调。以隐私政策为例，办法第十八条规定：“金融机构不得以‘概括授权’的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。”此条在金融机构落地时，由哪个部门负责？如何保证业务系统与隐私政策内容的一致性？如何保证业务与隐私政策的同步变动，是金融机构当前亟须解决的难题。

2.依据现有规范标准开展自查自纠

金融机构关于个人信息保护的监管要求，在中国邮政储蓄银行和中国金融认证中心编写的《个人信息保护——基于GB/T 35273的最佳实践》一书中进行了详细描述。各金融机构根据政策监管的规范性文件、相关国家/行业标准和隐私保护国际标准等开展自查自纠，能有效防止合规以及安全风险的发生。

3.建立个人信息安全防护体系

金融机构应梳理数据资产，按照数据分类分级与脱敏等技术标准要求，加强个人信息的监控、管理和运营，使个人信息保护的流程化、标准化、平台化工作落地。结合自身安全情况，可进行数据安全能力成熟度评估或者差距分析，发现数据安全、个人信息保护及隐私安全方面的薄弱环节，有的放矢地建立个人信息安全防护体系，减少相关安全事件的发生。

针对金融机构数据安全/个人信息/隐私保护需求，CFCA与行业合作伙伴推出了相关数据安全服务，包括数据分类分级识别、敏感数据识别的现状梳理；数据安全风险评估、数据安全能力成熟度评估、数据安全合规评估/咨询；数据安全治理体系咨询、数据安全/个人信息/隐私相关国内外认证等服务，并提供业务流向可视化梳理、数据流转全息画像解决方案。

个人信息安全事件很容易成为社会关注焦点，成为引爆舆论的风暴眼。某天气软件服务商在其IPO材料中因“发行人通过自主收集及第三方途径获取用户数据及标签，并利用数据进行商业化变现”被否，成为个人信息保护领域的典型事件。个人信息行业严监管时代已经来临，各金融机构你们准备好了吗？

责任编辑：韩希宇