个人信息泄露离我们有多近
金融数据保护就有多重要

⊙记者 张艳芬 ○编辑 陈羽

一名脱口秀演员和原东家之间的合约纠纷，原本大家只是抱着看热闹的心态，可一条微博却几乎把每个人都拖入焦虑中。

王越池（艺名“池子”）在其微博爆料称，中信银行未经其本人授权，以“配合大客户要求”的理由，将其近两年的个人账户交易明细打印出来，并交给与其存在经济纠纷的上海笑果文化传媒公司。

在池子发布上述微博后的短短两个小时内，“中信银行”便登上了微博“热搜榜”，评论区一片沸腾；3个小时后，上海笑果文化传媒公司发布声明表示一些取证等行动“均是在法律及合同的框架之下进行”。5月7日凌晨，中信银行发布致歉信，承认“个别员工未严格按照制度操作”，并宣布撤职涉事支行行长。事件持续发酵，上海银保监局昨日正式介入调查。

诚然，传统金融机构在保护个人信息方面，已经处于严格的监管体系之下，并一贯具备严谨的操作流程。但池子个人银行账户流水泄露事件，似乎又揭开另一个现实：成熟“规矩”的背后，或许也规避不了人为操作的可能。

大数据时代，信息安全已成为金融机构安全保障义务的核心内容。而金融数据的传统保护理念是否还能顺应时代发展？保护客户隐私底线是否会轻易被现实利益所突破？这些，都让我们忧心忡忡。

“大数据时代，金融机构亟需完成从客户资料保密到个人信息保护的理念转变，但这个问题尚未引起足够关注。”协力律师事务所资深顾问、法学博士江翔宇认为，泄露客户信息的行为不但违反商业银行法，还违反了我国个人信息保护监管关于个人敏感信息保护的相关规定。

进入大数据时代以后，客户资料普遍实现了信息化和数字化，对客户资料的保密也必然延伸到对金融信息和数据的保护层面，这两者的角度和侧重是有一定维度差异的。只有落实个人金融信息的保护，才能进一步合规使用、共享数据，实现数据的生产要素作用。

监管的态度是明确的。2018年5月，银保监会正式发布《银行业金融机构数据治理指引》。特别要注意的是，此正式版本与之前征求意见稿相比，最明显的是增加了对于个人信息安全的保障要求：“银行业金融机构采集、应用数据涉及个人信息的，应遵循国家个人信息保护法律法规要求，符合与个人信息安全相关的国家标准。”

2020年也成为个人信息安全规范立法的重要时期。3月6日，国家市场监督管理总局国家标准化管理委员会正式发布 GB/T35273—2020《信息安全技术个人信息安全规范》，这是我国个人信息保护领域最详尽的一份标准文件。

今年2月份，人民银行发布《个人金融信息保护技术规范》，对金融机构的金融数据保护义务提出了全面系统的制度要求，具有标志性意义。而正在征求意见的《个人金融信息（数据）保护试行办法（初稿）》要求金融机构建立全生命周期的个人金融信息保护制度。此外，专门性立法《个人信息保护法》和《数据安全法》已被列入了十三届全国人大常委会立法规划。