雖然個人信息在我國《民法典(草案)》中被放置于“人格權編”部分，通常會認為個人信息是一類具有財產屬性的人格權，會體現一定的經濟利益。而在各類個人信息中，個人金融信息無疑是最具財產屬性的個人信息之一。通常個人信息泄露，不一定能直接造成經濟損失，但個人金融信息一旦泄露會直接給個人信息主體帶來巨大的經濟傷害，具有更高的敏感性。

2020年2月13日，中國人民銀行發布《個人金融信息保護技術規范》(JR/T 0171-2020)，為個人金融信息保護打上補丁。雖然《個人金融信息保護技術規范》只是行業推薦性標準，但預期仍會在金融執法、合規過程中起到關鍵作用。所有提供金融產品與金融服務的機構，在“接觸”個人信息時，都需要以《個人金融信息保護技術規范》為“漫游指南”。

一、概念們

二、體系

仔細研讀《個人金融信息保護技術規范》的體例，可以歸納出個人金融信息合規的基本框架：

金融機構開展個人信息保護，是一個體系，不止局限于《個人金融信息保護技術規范》。比如《網絡安全法》中的等級保護制度，就是金融機構收集、處理個人信息網絡的基本要件。《中國人民銀行金融消費者權益保護實施辦法》也仍然有效，而且是部門規章，具備比行業標準更高的層級。要求金融機構至少每半年排查一次個人金融信息安全隱患;并且明確金融機構保護消費者個人金融信息安全的義務不因其與外包服務供應商合作而轉移、減免。

在體系上，數據跨境也是一個敏感的問題。金融機構一旦被認定為關鍵信息基礎設施，則需要在《網絡安全法》承擔數據本地化與跨境安全評估的義務，但這兩項制度至今仍處于迷霧之中……再加上《中國人民銀行金融消費者權益保護實施辦法》與《個人金融信息保護技術規范》，這迷霧更加濃厚：

除此以外，信息屏蔽是《個人金融信息保護規范》中的關鍵技術措施，以降低個人金融信息的法律風險。雖然《個人金融信息保護規范》的附錄列舉了部分的信息屏蔽措施，但屏蔽措施的落實更需要參考《信息安全規范 個人信息去標識化指南》(GB/T 37964-2019)，選取合適的技術與模型保護個人信息。

三、數據分類

《網絡安全法》要求網絡運營者采取數據分類、重要數據備份和加密等措施。《個人金融信息保護技術規范》根據敏感程度從高到低分為C3、C2、C1三級。

不同等級下，也對應著不同的法律義務：

四、關注

相對法律、行政法規、部門規章，《個人金融信息保護技術規范》是一份技術標準，需要金融行業的IT人員更加關注，對照自家金融機構IT系統，能否實現《個人金融信息保護技術規范》中的各項要求。

對于合規人員，則更需要關注內部管理制度的建設。技術與管理是《個人金融信息保護技術規范》中明顯的兩條線索。對于法律工作者，更需要對《個人金融信息保護技術規范》中涉及第三方管理的條款尤其注意，確保與第三方簽訂的協議內容與IT系統的設置保持一致。

而在此之上，需要金融機構高層牽頭，將個人金融信息保護落實到具體責任人，協調不同部門的資源開展貫標工作。