2022年8月★★★，原银保监会发布了《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》，意在规范消费者个人信息的管理和使用，切实保护消费者信息安全权。2022年12月，原银保监会发布《银行保险机构消费者权益保护管理办法》，要求银行保险机构应当将消费者权益保护纳入公司治理★、企业文化建设和经营发展战略★★，建立健全消费者权益保护体制机制★。2024年3月★，国家金融监督管理总局向各监管局、多家银行及保险机构下发《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》，涉及个人信息处理活动各环节和个人信息第三方合作方面。

　　一是App隐私专项评估★★★。向上对标监管要求，对App隐私政策进行合规性评估的同时，结合技术工具动态监测App权限调用行为，并建立深度监测能力★，全面发现App合规风险、快速定位风险代码位置★★★，提升App隐私保护能力。与此同时★★★，通过专项评估发现的安全问题，进一步反馈给开发部门，借鉴个人信息安全工程（或隐私工程）思维★★，实现个人信息保护措施与信息系统的同步规划★、同步建设★★、同步使用。

　　总体保护原则：遵循“整体一致★★★、合法正当、目的明确★、告知同意★★、最小必要、公开透明★★、确保安全★★、主体参与★★★”的总体原则，设计并实施覆盖个人信息处理活动的安全保护策略。

　　二是客户信息收集环节管理不规范；客户数据访问控制管理不符合业务“必须知道★★★”和“最小授权”原则；查询客户账户明细事由不真实★★；未经客户本人授权查询并向第三方提供其个人银行账户交易信息。

　　从业务和风险视角出发，参考相关国家标准，以“明确红线零容忍★★★、安全发展统筹兼顾、分类分级差异化管控、务实求效形成常态”为原则，从合法合规基础、基础能力建设、进阶能力提升3个维度建立个人信息保护能力，保证对于各项业务活动中个人信息保护的全面性★★★、规范性和适宜性，如图1所示★。

　　基于以上建设维度★★★，金融机构可从如下个人信息保护建设三部曲进行先行落地执行★★★。

　　三是个人信息保护能力建设。结合评估结果及组织实际情况，在数据安全工作的基础上，整理个人信息保护能力合规基线，从组织建设★、制度流程★★★、技术工具、人员能力4个维度进行能力建设，通过辅助认证、社会责任试点等方式达到个人信息保护认证所需水准★★，比如：2021年，北京国家金融科技认证中心（CFCA）推出“个人金融信息保护能力”认证；2022年11月★★★，CCRC推出了个人信息保护认证★★。

　　综合能力体现可通过获得个人信息保护相关认证、参与社会责任试点等方式提升个人信息保护能力，如涉及个人信息保护认证跨境路径，可根据实际情况申请跨境个人信息保护认证方向。

　　二是个人信息保护评估，覆盖影响评估、合规审计两方面。影响评估从“常态化工作机制+工具”的视角出发，针对个人信息处理活动★★★，梳理数据映射情况★★★、分析权益影响及安全事件发生的可能性等内容，输出评估报告★★★，对存在的风险（合规风险及业务风险）提供点对点的控制建议。个人信息保护合规审计方面★，虽然国家互联网信息办公室发布了《个人信息保护合规审计管理办法（征求意见稿）》，初步细化了个人信息保护合规审计的触发情形、参考要点等事项★，但国家标准尚处在制定过程中，缺乏相关实践★★。因此★★，建议金融机构可结合实际情况开展个人信息保护合规审计工作，及时发现非法提供、使用个人信息等违法行为。

　　合规基本原则★：应当坚持合法★、正当、必要、诚信原则★★★，个人信息处理者不得从事与服务目的无关的个人信息处理活动★★★。

　　在“北宝”官网检索到的《个人信息保护法》的686篇行政处罚案例中（截止时间为2024年3月16日），因★★“不履行个人信息安全保护义务”被处罚的有445件；因“不履行个人信息保护义务”被处罚的有70件，这两种情形涉及信息主体拒不履行应有义务★★，占依据《个人信息保护法》作出的行政处罚的大多数。因★★★“处理个人信息未告知并征得个人同意”被处罚的有12件★；因★★“非法获取★★★、出售、向他人提供个人信息”被处罚的有9件；因★★“不履行网络信息安全管理义务★”被处罚的有1件。整体来看，绝大多数案例属于“处理个人信息未履行本法规定的个人信息保护义务★★★”的情形。

　　而在具体实践工作中，金融机构可优先针对个人信息保护影响评估和个人信息保护管理制度建设这两项工作进行落地开展。

　　某年，李某及其两位同事因某银行向李某原工作单位违规泄露个人信息★★，导致其收到原单位有关人员的恐吓电话。李某认为该银行违反了保护消费者信息安全的有关规定，要求涉事银行给予合理解释及赔礼道歉，并对涉事人员进行处理。

　　基础能力建设可在数据安全建设的基础上进行专项能力扩展★★，比如将个人信息分类分类分级融入数据分类分级整体框架下，JR/T 0171-2020《个人金融信息保护技术规范》中的C1、C2、C3分别对应JR/T 0197-2020《金融数据安全数据安全分级指南》中的2、3、4级。

　　合法合规基础主要从合法处理基础★★★、合规基本原则★★★、总体保护原则3个方面着手。

　　2024年3月★★★，国家金融监督管理总局发布了《银行保险机构数据安全管理办法（公开征求意见稿）》★，其中第六章以专章的形式提出了个人信息保护的相关要求，包括处理原则、告知义务、影响评估★★★、共享和外部提供等方面。虽然消费者权益保护和个人信息保护遵循的上位法不同，但所关注的问题点大同小异，都是聚集个人信息权益保护方面。因此，消费者权益保护和个人信息保护在具体工作开展过程中可进行合并能力建设。

　　合法处理基础：应当坚持个人信息处理的合法性基础★★，个人信息处理者不得超出处理个人信息的法定情形。

　　特别要求主要是针对大型互联网平台运营者涉及个人信息处理的来利国际旗舰厅★★★，建议成立主要由外部成员组成的个人信息保护监督机构，对本组织人信息保护合法合规情况、履行个人信息保护社会责任情况等进行独立监督。

　　近年来，国家先后出台了多个法律法规，使得网络安全★★★、数据安全和个人信息保护相关法律体系不断完善★★★，但个人信息保护仍存在未告知及征得个人同意★★、违规收集处理个人信息、不履行个人信息安全保护义务等问题。因此，文章通过收集个人信息保护相关行政执法典型案例，梳理在个人信息保护工作中适用法律的主要情况★★★、存在的问题，以此进一步对个人信息保护能力建设进行拆解并提出应对方法★★★，为企业履行个人信息保护义务提供一定的参考。

　　在金融行业★★★，个人信息保护合规要求则主要分为消费者权益保护和个人信息保护两条线★，具体如下。

　　基础能力建设主要包括管理机构、人员管理、制度体系及流程、个人信息分类分级、个人信息保护技术措施★、个人信息保护教育培训、个人信息保护影响评估、个人信息保护合规审计、个人信息安全事件处、个人信息主体权益保障等10个方面。

　　个人信息保护合规建设是一项非常复杂的系统工程，不仅个人需要尊法★★、学法★★★、守法★★★、用法，也需要金融机构结合数据安全等多个领域进行联合建设，建设个人信息保护管理制度和技术保障措施★★★，进一步加强个人信息保护力度，落实国家总体安全观，切实履行个人信息保护义务，维护国家安全和社会稳定★★★。

　　近年来★★★，原银保监会下发多个涉及个人信息保护不到位的罚单★★，主要问题体现如下。

　　《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）于2021年11月1日正式施行。该法第十六条提出★★★“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外”★★★；第五十一条规定★★“个人信息处理者应当根据个人信息的处理目的、处理方式★、个人信息的种类以及对个人权益的影响★、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定★★，并防止未经授权的访问以及个人信息泄露、篡改★、丢失：……”；第七章还规定了违反相关条款的法律责任★。《个人信息保护法》实施以来，各级市场监督管理局、网信部门、公安机关★★★、通信管理局等部门分别依法开展数据安全★★★、个人信息保护等领域执法。为了解个人信息保护行政执法案例所反映出来的个人信息保护存在的普遍性问题，本文通过案例讲解★、以案释法的方式，对行政执法重点领域进行梳理剖析，旨在进一步梳理个人信息保护合规义务，并提出个人信息保护能力建设框架，以此强化个人信息权益保护★★★。

　　一是客户信息保护体制机制不健全；柜面非密查询客户账户明细缺乏规范★★、统一的业务操作流程与必要的内部控制措施，乱象整治自查不力。

　　在本案例中★★★，涉事员工未经客户授权擅自将客户的个人账户交易信息透露给其原单位财务人员★★★，违反了《中华人民共和国消费者权益保护法》及人民银行的有关规定，侵害了李某等人的信息安全权。

　　业务管理提升主要以个人信息安全工程为主。开发具有处理个人信息功能的产品或服务时，需结合有关标准在需求、设计、开发、测试★、发布等系统工程阶段考虑个人信息保护要求，保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。并在产品或服务运行的全过程，通过个人信息处理全生命周期来进行个人信息的重点保护。