2020年10月21日，中国人大网公布《个人信息保护法（草案）》(以下简称《草案》），向社会公开征求意见。

《草案》内容共八章七十条，主要内容包括规定该法的适用范围、健全个人信息处理规则、完善个人信息跨境提供规则、明确个人信息处理活动中个人的权利和处理者义务、明确履行个人信息保护职责的部门以及违反该法有关规定的法律责任。

随着互联的发展及金融服务的普及，个人信息暴露在日常生活的方方面面，对经济发展、社会治理、人民生活都产生了重大而深刻的影响。《草案》的颁布将有利于规范个人信息处理活动和促进个人信息保护，提高企业采集个人信息标准及要求。企业应该将法律规定的义务落到实处，避免企业因为刑事和行政风险陷入危机，甚至面临刑事处罚。

《草案》对直接面向个人用户的企业影响最大，例如大型互联网公司，金融、医疗、教育类企业。企业在收集个人敏感信息时将面临更严格的限制，需要考虑的合规因素也增多。金融机构一直是个人信息安全事故频发的重灾区，过度采集用户信息，滥用数据的情况频繁发生，仅10月21日晚间，央行就公布了对6张银行处罚决定。

《草案》的出台，对金融机构将带来什么影响呢？

首先，明确规范了信源采集行为，为金融机构合法合规采集个人信息提供依据。《草案》第十三条规定，机构符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意；（二）为订立或者履行个人作为一方当事人的合同所必需；（三）为履行法定职责或者法定义务所必需；（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产所必需；（五）为公共利益实施新闻报道、舆论监督等行为在合理范围内处理个人信息；（六）法律、行政法规规定的其他情形。

其次，对作为个人信息处理者的法定义务做出了明确的要求。《草案》使用专章对个人信息处理者的义务进行了规定，具体包括指定和公开个人信息保护负责人、制定内部管理制度和操作规程、对个人信息实行分级分类管理、采取相应的加密、去标识化等安全技术措施、合理确定个人信息处理的操作权限并定期对从业人员进行安全教育和培训、制定并组织实施个人信息安全事件应急预案、对特定个人信息处理活动进行风险评估和记录、发生个人信息泄露时采取补救措施并通知监管部门等。

这部分影响的不仅是金融机构，更影响到金融机构的外部合作方，对外部合作方的合规性也提出了更高的要求。
    
第三，明确了个人信息保护的监管主体。《草案》第六章规定，国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作，国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作，县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。前述部门统称为“履行个人信息保护职责的部门”。

众所周知，金融行业是强监管行业，开展业务受到诸多限制。在信息安全领域，除了《民法典》《刑法》《网络安全法》和《个人信息保护法（草案）》这类一般性法律规定外，金融机构还应该重点关注网信办、公安、工信部门以及所属行业主管部门的相关监管政策，并按照该等部门的监管要求采取相应的合规措施。

第四，明确了违反个人信息保护义务的法律责任。《草案》第七章对违反《草案》相关规定的行为制定了非常严苛的法律责任，将严重违反规定处理个人信息，或者处理个人信息未按照规定采取必要的安全保护措施的罚款金额规定为五千万元以下或者上一年度营业额百分之五，并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。此外，还明确了对直接负责对主管人员和其他直接负责人员的处罚，大大提高了个人信息处理者的违法成本。

《草案》还规定了因个人信息处理活动侵害个人信息权益时民事赔偿责任的确定标准，即按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任，均难以确定的，由人民法院根据实际情况确定。《草案》还规定，个人信息处理者违法处理个人信息，侵害众多个人的权益的，人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以就此提起公益诉讼。降低了受侵害人的维权成本。

《个人信息保护法（草案）》大大提高了企业的合规动力，同时也能阻止行业乱象，有的金融机构、金融机构的外部合作方从商业利益等出发，随意收集、违法获取、过度使用、非法买卖个人信息，利用个人信息，在侵犯个人利益的同时，也间接伤害在个人信息保护方面做的比较完善的企业。《草案》的颁布，将不合规获取个人信息的路堵死，在违规成本急剧飙升的时候，企业不得不在合规与快速发展之间做抉择。《草案》创造了相对公平的竞争环境，企业之间的竞争进入良币驱逐劣币的阶段。