个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化，是金融业机构在提供金融产品和服务的过程中积累的重要基础数据，也是个人隐私的重要内容。个人金融信息一旦泄露，不但会直接侵害个人金融信息主体的合法权益、影响金融业机构的正常运营，甚至可能会带来系统性金融风险。

为加强个人金融信息安全管理，指导各相关机构规范处理个人金融信息，**大程度保障个人金融信息主体合法权益，维护金融市场稳定，中国人民银行编制《个人金融信息保护技术规范》（JR/T0171-2020）标准，规定个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对个人金融信息保护提出规范性要求，适用于提供金融产品和服务的金融业机构，并为安全评估机构开展安全检查与评估工作提供参考。

为加快建立完善有利于保护金融消费者权益的机制，保护金融消费者长远和根本利益，中国人民银行深入贯彻以人民为中心的发展思想，落实**、国务院在《关于新时代加快完善社会主义市场经济体制的意见》中提出的“建立健全金融消费者保护基本制度”决策部署，制定并发布《中国人民银行金融消费者权益保护实施办法》（中国人民银行令〔2020〕第5号），自2020年11月1日起施行，第三章消费者金融信息保护，从消费者金融信息安全权角度，进一步强化信息知情权和信息自主选择权。下一步，人民银行将持续做好《办法》的落地实施工作，进一步规范银行、支付机构提供金融产品和服务的行为，切实保护金融消费者合法权益。银行、支付机构应当严格落实《办法》各项要求，切实承担起保护金融消费者合法权益的主体责任，确保经营行为依法合规。

为维护公平公正的金融市场环境，践行金融的政治性和人民性，切实保护银行业保险业消费者合法权益，促进行业高质量稳健发展，中国银保监会起草《银行保险机构消费者权益保护管理办法（征求意见稿）》，是银保监会落实**、国务院在《关于新时代加快完善社会主义市场经济体制的意见》中提出的“建立健全金融消费者保护基本制度”决策部署的重要举措，是银保监会在银行业保险业消费者权益保护领域制定的纲领性文件，统一银行保险机构消费者权益保护监管标准。《管理办法》的出台，将有利于进一步充实和完善银保监会审慎监管与行为监管并重的监管体系，推动落实银行保险机构消费者保护主体责任，切实维护银行业保险业消费者合法权益。第六章 保护消费者信息安全权，第四十一条至第四十七条，从收集、使用、传输消费者个人信息等方面作出规定，保护消费者信息安全权。

时间：1天

培训对象：金融业机构消费者权益保护条线，总、分、支行业务管理层，信用卡部、个人金融、互联网金融、公司金融、贸易、运营、信息科技等前、中、后台部门管理层。

金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构--《个人金融信息保护技术规范》（JR/T0171-2020）标准。

培训目的和收益

**培训和交流，培训对象收获：

理解金融业机构个人金融信息保护的监管要求，监管机构要求相关管理层承担的责任；

理解推动个人金融信息保护工作可以真正消除决策层（董事会和高级管理层）、消费者权益保护部门、业务部门、信息科技部门、风险管理部门和内部审计部门间沟通的障碍，真正找准各自的定位关系，促进个人金融信息保护和风险管理融合，支持银行业务创新；

理解个人金融信息定义、类别、生命周期和分级，管理要求和技术要求。

理解个人金融信息保护中“人力”防火墙的重要性和工作重点。

课程大纲

个人金融信息风险事件和监管要求

客户个人金融信息数据泄露风险形势

热点案例

监管罚单

客户个人金融信息数据泄露事件案例分析

监管要求

法律法规部门规章

刑法

民法典

消费者保护法

网络安全法

数据安全法

个人信息保护法

中国人民银行

《中国人民银行金融消费者权益保护实施办法》（中国人民银行令〔2020〕第5号）

《个人金融信息（数据）保护试行办法（初稿）》征求意见稿

《个人金融信息保护技术规范》（JR/T 0171-2020）（银发〔2020〕45号）

金融科技应用风险专项摸排

《金融数据安全数据安全分级指南》（JR/T 0197—2020）

银保监会

《银行业消费者权益保护工作指引》（银监发[2013]38号）

《银行业金融机构数据治理指引》（银保监发〔2018〕22号）

《中国银监会办公厅关于加强网络信息安全与客户信息保护有关事项的通知》（银监办发[2017]2号）

《北京银保监局关于规范银行与金融科技公司合作类业务及互联网保险业务的通知》（京银保监发〔2019〕310号）

中国银行业协会《银行业从业人员职业操守和行为准则》（银协发〔2020〕120号）

《银行保险机构消费者权益保护管理办法（征求意见稿）》

《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》（银保监办法〔2022〕80号）

个人金融信息保护范围

术语定义

个人金融信息

个人金融信息类别

C1

C2

C3

个人金融信息生命周期

《中国人民银行金融消费者权益保护实施办法》相关要求

安全基本原则

个人金融信息保护的安全管理要求

安全准则

收集

存储

使用

安全策略

安全制度体系建立与发布

组织架构岗位设置

人员管理

访问控制

安全监测与风险评估

监控与审计

安全检查和评估

安全事件处置

个人金融信息C3、C2特定类别的特殊管理要求总结

个人金融信息保护的安全技术要求

个人金融信息生命周期技术要求

收集

传输

存储

使用

删除

销毁

安全运行技术要求

网络安全要求

Web 应用安全要求

客户端应用软件安全要求

密码技术与密码产品要求

个人金融信息C3、C2特定类别的特殊技术要求总结

外包服务供应商监督管理

监管要求

中国人民银行

《个人金融信息保护技术规范》相关要求

银保监会

《银行业金融机构外包风险管理指引》相关要求

《银行业金融机构信息科技外包风险监管指引》相关要求

个人金融信息保护对外包服务供应商监督管理的影响

个人金融信息保护隐患排查

《个人金融信息保护技术规范》相关要求：安全检查与评估

《个人金融信息保护技术规范》相关要求：个人金融信息安全影响评估

国家标准《信息安全技术 个人信息安全影响评估指南（报批稿）》解读

金融科技应用风险专项摸排

个人金融信息分级授权管理

个人金融数据定级

金融标准《金融数据安全数据安全分级指南》（JR/T 0197—2020）解读

《个人金融信息保护技术规范》相关要求：访问控制

个人金融信息保护“人力”防火墙

《个人金融信息保护技术规范》相关要求：安全策略--人员管理

个人金融信息保护人员识别和管理要求

不越底线、不踩红线、不碰高压线

时间

各模块1-3小时，模块可组合为0.5天，1天，2天，3天课程，模块内容可以根据客户需求剪裁，详细讲，概述讲。

内训案例

股份：华夏银行

农信：北京农商行、河北晋州农商银行