《个人金融信息保护技术规范》（JR/T 0171—2020）（以下简称“《规范》”）已由全国金融标准化技术委员会正式公布。该《规范》于2020年2月13日正式实施。

      个人金融信息是个人信息的重要类别。鉴于其金融属性，个人金融信息所涉及的信息与个人的身份、财产状况及金融交易等具有密切联系，对个人人身安全及财产安全的影响较大，有必要采取更为完善的技术和管理措施进行保护。

    《规范》为金融业机构收集、使用个人金融信息提供了良好的操作指引。尤其是《规范》对个人金融信息进行了分类，并以分类为基础，对个人金融信息保护提出了规范性的要求。金融业机构可参考该《规范》的内容，进行差异分析，强化个人金融信息的合规。

一、分类是规范收集、使用的基础

          个人信息分类一直以来都是个人信息保护的重要原则和方法。个人信息分类有诸多标准，如可分为一般个人信息和敏感个人信息、可直接识别的个人信息和可间接识别的个人信息。信息分类的意义在于针对不同的信息采取不同的技术和管理措施进行保护，尤其是针对法律上已经进行特别立法的特殊信息，如儿童个人信息。

      《规范》的定义部分单独定义了“支付敏感信息”，即涉及支付主体隐私和身份识别的重要信息，其主要指的是用于支付鉴权的个人金融信息。支付敏感信息相对于其他一般个人金融信息而言，其重要性更高。

      此外，《规范》第4.2条将个人金融信息按照敏感程度从高到低分为C3、C2、C1三个类别。这是该《规范》极为重要的分类标准。该分类几乎贯穿整个《规范》，个人金融信息全生命周期范围内的处理活动都需以该分类为基础。《规范》所提出的具体要求针对该分类对C3、C2类别信息作出了特殊的要求。

二、信息分类需从整体可识别性及服务场景判定其等级

        个人信息的可识别性和敏感程度的判定本身并非绝对确定，同一信息在不同的组合下或在不同的服务场景中，其可识别度或敏感程度并不同。因此《规范》从两个角度对信息类别的判定作出了解释：

      第一，  两种或两种以上低敏感类型信息进行组合、关联和分析后其可能属于高敏感信息。主要原因在于，信息的组合、关联和分析可能会改变信息整体上对个人金融信息主体的可识别性。

      第二，  依据服务场景及该信息在其中的作用，同一信息可能会被归入不同类别。场景也可能影响识别程度，且不同场景中信息的作用也有所不同。

      因此，金融业机构对信息分类不可教条化。首先，分类上需将服务场景纳入考量，从场景分类着手，再进行信息分类；其次，还可从技术上寻求行之有效的判定标准，确保信息经组合、关联或分析后能及时重新分类并进行相应的保护。

《规范》确立的分类标准及举例

三、C3/C2类别信息的特殊要求

      《规范》对C3和C2类别信息提出了更高的技术和管理要求。

      技术要求是对硬软件或其他设施设备提出的操作规范，从法律上言，也是对合规提出的具体要求。尤其是对应用程序等开发，金融业机构可按照相关合规要求设计程序功能，确保相关程序能有效保护个人信息。

      管理要求则是对金融业机构的组织结构、管理流程、机制规则等提出要求。金融业机构可依据《规范》进行结构调整和人员设置。此外，管理要求还可能对商业交易的安排提出要求，尤其是在未来的交易协议中，应充分考虑个人金融信息的保护，确保个人信息保护权责明确。

      以下系笔者基于《规范》的要求，对C3/C2类别信息的特殊要求的简要归纳：

四、小结

          个人金融信息的保护对金融业机构运营颇为重要。在个人信息保护愈发被重视的数据时代，做好个人信息保护合规是法律的基本要求。同时，数据也是金融业机构的重要资产，建立完善的个人金融信息分类体系，完善个人金融信息合规制度，能有效发挥金融业机构的数据资产的价值，为金融业机构的发展助力。

责任编辑：郑通