第一章  金融机构法律风险


                   1. 个人信息保护的基本法律原则得以确立
                   2021 年 8 月 20 日，十三届全国人大常委会第三十次会议表决通过《中华人
               民共和国个人信息保护法》。自 2021 年 11 月 1 日起施行。在该法未制定之前，

               全国人大常委会于 2012 年就颁布了《关于加强网络信息保护的决定》，明确提
               出“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。并就保
               护措施做出了基本的原则要求：不得窃取或以其他非法方式获取、不得出售或者
               非法向他人提供个人电子信息；收集、使用公民个人电子信息，应当合法、正当、

               必要，明示收集、使用信息的目的、方式和范围，并经被收集者同意；对收集的
               公民个人电子信息必须严格保密，不得泄露、篡改、毁损，采取技术措施和其他
               必要措施，确保信息安全，防止收集的公民个人电子信息泄露、毁损、丢失。该
               等原则性要求与《消费者权益保护法》《网络安全法》等其他法律确立的个人信

               息保护规定基本一致，为其他法律法规在个人信息保护层面奠定了基调。
                   除前述个人信息保护的专门立法外，2017 年颁布的《民法总则》作为民法
               领域的基本法，开创性地将个人信息权确立为单独的民事权利并加以保护；2009
               年通过的《刑法修正案（七）》新增“出售、非法提供公民个人信息罪”“非法

               获取公民个人信息罪”，2015 年通过的《刑法修正案（九）》将其修正为“侵
               犯公民个人信息罪”，将侵犯个人信息确立为一项刑事犯罪，为保护个人信息提
               供了民事及刑事的重要保障。

                   2. 个人信息保护的行政规范得以健全
                   在《关于加强网络信息保护的决定》《网络安全法》指导下，多部委从不同
               角度确立对个人数据保护法规，建立起统一多层次的行政法规、部门规章的保护
               规则，且针对个人征信信息、电信信息、金融信息设置了特殊的保护规则，确立
               了分层分类的信息保护体系。

                   银行监管机构对于银行业个人信息的保护规则日益完善。银行属于受到特殊
               监管的商业机构，人民银行及银保监会关于个人信息的监管规则是银行业个人信
               息保护工作的重点。银行业对于个人信息的保护是从个人征信信息起步的，《征
               信业管理条例》从个人征信信息收集、使用需要明确授权、必须在授权范围内使

               用等角度，规范了包括银行在内的征信信息使用者对于信息的使用规则；人民银
               行、银保监会在《消费者权益保护法》的要求下，分别在《金融消费者权益保护
               实施办法》《银行业消费者权益保护工作指引》中，明确个人金融信息范围，确



                                                                                       15