一年来，随着有关部门对金融机构数据安全、个人信息保护、消费者权益保护的监管趋严，在合规前提下开展数据治理成为金融机构的必答题。

2022年11月1日，《中华人民共和国个人信息保护法》（以下简称“个保法”）正式实施一周年，金融行业客户个人信息权益保护进一步加强。

在金融领域，2022年1月1日起《征信业务管理办法》正式实施，今年8月银保监会下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》，对金融机构个人信息权益保护也提出新要求。

一年来，随着有关部门对金融机构数据安全、个人信息保护、消费者权益保护的监管趋严，在合规前提下开展数据治理成为金融机构的必答题。

据21世纪经济报道记者多方了解，以银行保险为主的金融机构正在完善数据治理机制、数据分类分级制度、信息科技外包风险管理、APP个人信息保护、金融消费者权益保护等一系列制度，并展开前沿金融科技应用，但金融行业数据合规落地工作依然道阻且长，行业呼吁个保法的金融业细则出台。

在金融信息合规逐步缓慢推进的当下，金融机构数据合规现状如何？以银行为代表的金融机构在近一年来如何应对个保法落地？金融科技手段为个人金融信息保护提供哪些新解法？

金融数据合规监管趋严

金融机构的个人信息合规治理并非一夕之功。在个保法正式落地前，央行就已对个人金融信息制定相关技术规范。

2020年2月，中国人民银行正式下发《个人金融信息保护技术规范》，对个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化。规定个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，以标准化文件规范个人金融信息安全管理，保障个人金融信息主体合法权益。

此后，监管层又相继出台《金融数据安全 数据安全分级指南》《金融科技创新安全通用规范》《人工智能算法金融应用评价规范》《金融数据安全 数据生命周期安全规范》，以及在近日出台《金融领域科技伦理指引》，一系列标准化文件都对金融机构数据安全保护与个人权益保护提出要求。

今年8月，银保监会印发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》，要求各银行保险机构全面摸排本机构自2021年以来与消费者个人信息处理活动相关的经营行为和管理情况，深入查找本机构个人信息保护方面存在的问题，列出问题清单，自查过程中要坚持立查立改。各银行保险机构应于9月20日前完成自查整改工作，并书面报告属地银保监局。

“从监管举措及机构实践来看，以商业银行为典型，个人金融信息保护和金融消费者保护工作很早就已开展，个保法存在大量合规要求，对从业机构的业务流程、内控治理、外部响应等多方面提出了多且严的要求。”金诚同达律师事务所高级合伙人彭凯律师告诉记者，金融业的数据安全与个人信息保护，以《数据安全法》《个人信息保护法》为分水岭，逐步从既往的“消保”“系统安全”等标签中分离，演化为“金融数据安全”和“个人金融信息保护”两大板块并自成体系。

在严监管下，今年1月伊始，东亚银行就因违反信用信息采集、提供、查询及相关管理规定被罚1674万元。

事实上，仅从今年上半年金融机构收到的罚单来看，与信息处理、个人信息保护相关的罚金总额就已超过2021年全年。

21世纪经济报道记者结合企业预警通数据不完全统计，2022年上半年，银行、保险、信托、汽车金融、第三方支付等机构收到相关罚单66张，处罚金额合计6409.34万元（相关统计表格见文末）。而记者年初统计的2021年全年相关罚单罚款金额合计约4654万元。

具体来说，在信息安全保护方面，金融机构出现的违规行为包括违反信用信息采集、提供、查询及相关管理规定，信息科技风险管理不到位；在个人信息权益保护方面，包括对提供个人不良信息未事先告知信息主体本人、未建立以分级授权为核心的消费者金融信息使用管理制度，未明示收集、使用消费者金融信息的目的、方式和范围。

数据合规难言“已有大成”，呼吁行业细则出台

“金融行业数据合规落地工作在缓慢而坚实地推进，目前来看难言‘已有大成’，但机构的合规投入与监管政策都在持续加码。”彭凯表示。