金融数据合规在这段时间深受金融行业和大数据行业关注，虽然央行下发的《个人金融信息(数据)保护试行办法》还未公布，但是在《办法》即将公开征求意见之际，我们还是可以从六个方面总结个人信息保护的重点普遍性问题。

　　金融数据合规需关注这些要点：

　　1.个人金融信息的范围。

　　个人金融信息的范围可以对标《信息安全技术个人信息安全规范(征求意见稿)》(2019年6月21日)(“《标准》”)中的个人财产信息，包括但不限于“银行账号、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息”。个人财产信息属于个人敏感信息，需要特殊保护。同时，个人金融信息不应仅限于财产信息，还应当包括可以识别个人身份特征的为使用金融业务所必须的个人信息，例如身份证信息等。建议密切关注《办法》对个人金融信息范围的界定。

　　2.收集个人金融信息需要征得个人明示同意。

　　《网络安全法》确立了收集个人信息应当经过被收集者同意的原则。国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》(“《数据办法》”)目前的版本中亦要求网络用户明确同意个人信息收集使用规则。《标准》规定收集一般个人信息需要征得个人授权同意(我们理解包括明示同意和默示同意两种情形)，对于金融信息中属于敏感信息的财产信息，应当征得明示同意。因此，建议关注《办法》是否会规定收集个人金融信息需要征得个人明示同意以及如何保障数据生命周期各个环节(收集、处理、共享、使用等)个人知情同意权。

　　3.金融数据的来源。

　　人工智能金融业+主要依靠大数据进行算法优化，数据是网络时代的新生产资料。保护个人金融信息安全的同时应促进行业发展。一方面需要规范从合法渠道收集数据并加以利用的行为，一方面需要防止使用采集源头被非法收集行为“污染”的数据。“毒树”之果不可食。

　　4.个人金融信息共享评估。

　　2018年6月发布的《信息安全技术个人信息安全影响评估指南(征求意见稿)》建立了个人信息安全评估框架。目前，仅在《儿童个人信息网络保护规定》有对外委托第三方处理儿童信息必须进行安全评估的规定。儿童信息和个人金融信息一样，属于敏感信息，大众期待更多保护。因此，需要关注《办法》是否会要求向第三方对外提供个人金融信息之前必须经过安全评估。借鉴《数据办法》的规定，还涉及到与上下游共享信息企业如何签署数据保护合同以及定期审查共享企业数据合规状况。

　　5.个人金融信息本地化存储。

　　《网络安全法》及一系列生效和未生效的配套规章、规范性文件和标准逐步明确重要数据跨境传输的评估制度和个人信息跨境传输的同意(有可能还需要申报)制度，除此之外，关键信息基础设施和第三级以上网络的运维数据也应当留存境内，不能境外远程维护。鉴于金融信息的敏感性和重要性，要求个人金融数据留存中国境内、经评估后才可以向境外传输无可厚非。对于跨境经营的金融机构，如果需要向境外的关联公司提供金融数据，最妥当的处理方式为取得个人的明示同意和进行风险评估。与欧盟GDPR不同，中国法律目前没有明确豁免或者宽限关联公司内的跨境传输，《信息安全技术数据出境安全评估指南(征求意见稿)》目前的版本仍然明确适用于“集团数据”。

　　6.委托分包商处理个人金融信息。

　　金融行业尤其是银行业非核心业务以项目外包或者人力服务方式委托分包商提供服务非常普遍，中国人民银行在这方面已有诸多规定。《数据办法》明确规定对接入平台的第三方应用，应明确数据安全要求和责任，督促监督第三方应用运营者加强数据安全管理。如果监督督促不当，在一定情形下需要承担责任。政府的监管思路和治理路径相互借鉴，应关注人民银行如何从个人金融信息保护角度，规定金融企业对分包商或者服务提供商的监督义务。

　　(上述并非法律意见)