法律品牌观察特进行如下整理，从不同的视角选取观点，一起帮助行业同仁对《个人金融信息技术保护规范》进行全方位解读。

2月13日央行发布了《个人金融信息保护技术规范》（以下简称“《规范》”）。《规范》主要从安全技术和安全管理两个维度，对收集、传输、使用、存储、共享、删除、销毁等各环节中的个人金融信息保护提出细致的要求，结合金融行业监管的特色，亦不乏对以《网络安全法》为基础的个人信息保护法律法规体系的创新和有益探索。

从效力上看，《规范》属于推荐性行业标准，本质上属于对本行业企业在个人金融信息保护方面的建议。但在实践中，我们不排除《规范》会成为监管机构在监督检查或开展执法活动时的重要参考依据，因此，《规范》对有关企业仍然具有比较强的指导意义。

《个人金融信息保护规范》是金融行业推荐性标准，系在《信息安全技术 个人信息安全规范》（GB/T 35273——2017）等国家标准基础上，就个人金融信息的保护作出的细化规定，就个人金融信息全生命周期提出安全技术和安全管理方面的要求。尽管该行业标准不具备强制执行效力，但仍值得金融业机构在实践中参照执行。

2020年2月20日，全国金融标准化技术委员会发布了《个人金融信息保护技术规范》（JR/T 0171-2020）（下称“规范”）。《规范》针对前期监管执法中发现的金融业个人信息违法违规情形，从安全技术要求和安全管理要求两个维度，详细规定了金融业机构在收集、使用、提供等全生命周期的个人金融信息合规要点，对金融业及金融科技行业数据合规影响较大。

《个人金融信息保护技术规范》为金融业机构收集、使用个人金融信息提供了良好的操作指引。尤其是《个人金融信息保护技术规范》对个人金融信息进行了分类，并以分类为基础，对个人金融信息保护提出了规范性的要求。金融业机构可参考该《个人金融信息保护技术规范》的内容，进行差异分析，强化个人金融信息的合规。

《个人金融信息保护技术规范》参考《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）的制度设计，从安全技术和安全管理两个维度出发，规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，对个人金融信息保护提出规范性要求，在个人金融信息保护和监管工作中具有重要的参考作用。其中，体现风险管理思想的“个人金融信息安全影响评估”的多次出现是《规范》的一大亮点。

反洗钱工作中"了解您的客户"（Know Your Custom，KYC）至关重要，因此金融机构会在日常工作中与大量的客户发生业务关系，并在业务关系中收集大量客户的个人数据进行KYC。但在“最严数据隐私条例”的欧盟《一般数据保护条例》（GDPR）出台之后，各国开始主动或是被动均开始加强对个人数据的保护。

《个人金融信息保护技术规范》于2020年2月13日开始正式实施。鉴于我国互联网金融在近年来的强劲增长趋势，对于金融机构所收集信息进行规制已势在必行。在适用性上，本次的《技术规范》与欧盟之规定也有很多相似之处。

《个人金融信息保护技术规范》在结构和内容上，大量借鉴了《中国人民银行金融消费者权益保护实施办法》、《信息安全技术 个人信息安全规范》（、《支付信息保护技术规范（送审稿）》（以下简称“《支付信息规范》”）等一系列部门规章、国家标准、行业标准等文件。一方面以数据流为思路，理顺了个人金融信息全生命周期的安全防护要求；另一方面，站在行业的视角，将个人金融信息由高到低分级，从安全技术和安全管理两个方面，提出了新的规范性要求。

通过梳理及比较《个人金融信息保护技术规范》和相关立法，我们认为，《个人金融信息保护技术规范》即是金融领域的《个人信息规范》。以下结合《金融信息规范》与相关规章、技术标准的相互关系，及其在个人金融信息保护规范体系中的地位做一简要分析。