那現在，在介紹我們的制度之前，先來看一看基本的一些理論。理論上，對于金融法的監管目標存在廣泛的討論。在國外，Tylor 提出了金融穩定和消費者保護的雙峰監管理念，也就是說，他認為有兩個重要目標如同兩座山峰，我們都必須兼顧：一個是金融穩定的大局，另一個是注重保護弱者，即消費者權利的保護。John Armour 等學者又提出了更為廣泛的六個監管目標，包括投資者保護、零售金融中的消費者保護、金融穩定、市場效率、促進競爭和防止金融犯罪。Arner 等人針對金融科技的監管，又認為應當平衡傳統的金融穩定、消費者權益保護以及創新和經濟發展三個目標。
在國內，邢會強教授提出了金融安全、金融效率和消費者保護的三足定理。他認為，這三個目標就像一個鼎的三個角，缺一個都不行，這樣才能夠穩定。而馮果教授批判繼承了三足定理，又進一步解釋為金融安全、金融效率和金融公平。
那么，我個人結合現在我們國家所提出來的金融行業的五篇大文章，認為我們現在金融監管的目標可以概括成為四個方面：第一是金融安全；第二是金融效率；第三是金融公平；第四是金融和諧。那為什么這么說呢？安全是底線，要牢牢守住不發生系統性風險、區域性風險的底線，所以金融安全毋庸置疑是我們追求的目標。我們來看看，五篇大文章當中的數字金融和科技金融，這是不是都強調效率，讓資源更有效地進行配置？那 5 篇大文章里邊的養老金融、普惠金融，是不是就是金融公平？你看，普惠金融讓窮人能夠以合適的利率獲得資金，養老金融讓老年人也同樣能夠獲得金融的支持。最后我們還提出了綠色金融，綠色金融就是強調了人與自然的和諧相處，我們要去多多支持低碳環保的產業，給那些企業來提供融資，這就是綠色金融，因此體現出一種金融和諧。因此，我認為我們現在國家的金融監管實際上可以概括為安全、效率、公平與和諧。
那么，雙峰監管模式是所有這些金融監管目標相關理論的鼻祖。雙峰模式認為，應當設立兩個監管機構：第一個是金融穩定委員會，第二個是消費者保護委員會。前者進行審慎監管，后者負責保護弱者。這兩個委員會各司其職。我們國家其實在某種意義上，也是繼承了這樣的一種理論學說來構建我們的監管體制。
我們可以看到，2017 年我國設置了國務院金融穩定發展委員會。但是，也許是因為金融風險沒有監管特別到位，我們看到了大量的 p2p 爆雷、理財產品爆雷，導致了金融秩序的混亂。所以，2023 年國務院金融穩定發展委員會的職責就劃入了中央金融委員會，這是黨的機構，黨的組織。現在都強調黨領導一切，黨建先行，所以現在把這個穩定職責提得更高了。2023 年，中國人民銀行有關金融消費者權益保護的職責，以及中國證監會對投資者保護的職責，也進行了劃轉，劃入了國家金融監督管理總局。大家都知道，國家金融監督管理總局是銀保監會的承接機構。現在由金融監管總局來主導消費者權益保護。
那么，我個人也服務了很多銀行，也深切體會到現在的銀行跟過去銀行的常法服務不一樣了。以前我們就是進行法審，也就是權利義務的梳理，去保護銀行的利益。但現在，我們發現除了進行法審以外，銀行還要求我們外聘律師進行消審，也就是消費者權益保護的審查。那么在一份合同當中，我們除了保護銀行利益以外，我們還要跳出這個圈子，去考慮有沒有保護對方客戶、消費者權益的利益，我們從兩個角度都得看，缺一不可。所以現在，銀行自身甚至還設置了相應的機構和組織來專門保護消費者的權益。
我們來梳理一下域外的制度。域外對于數據保護是怎樣一個脈絡呢？首先是安全港協議。2000 年 7 月，歐盟正式同意了美國商務部提出的國際安全港隱私權原則，簽訂了所謂的安全港協議。該協議旨在達到歐盟所規定的個人數據信息保護的適當性程度，使公司或組織在滿足適當保護標準時，可以暢通數據信息的傳輸。安全港協議折中處理了美國和歐盟之間的利益。美國公司只要加入了安全港協議，就可以不經個人的單獨授權來進行數據的轉移，美國這樣的一些公司在轉移數據的時候就方便了。
第二個階段是隱私盾協議。2015 年 10 月 6 號，歐盟法院認定，歐盟成員國都有權判定第三方國家數據保護的充分程度，并決定其公民用戶信息是否可向該國進行傳輸，從而架空了安全港協議。隨后，歐盟與美國在 2016 年公布新數據傳輸協議 —— 隱私盾協定。隱私盾協定要求美國要遵守更加嚴格的規定，這一變動使得美國企業在歐洲收集用戶數據的成本增加了。
第三個階段，是美國網絡信息安全共享法。2015 年 12 月，美國國會正式通過了網絡信息安全共享法。該法案要求企業在必要時能根據國土安全部的需要，迅速將用戶信息進行收集和共享。這樣一部法律，實際上方便了政府對于個人信息的控制。
第四是歐盟通用數據保護條例和非個人數據自由流動條例。通用數據保護條例非常有名，尤其是在前幾年，我們往往都會提到它，因為它加強了數據的保護。這部法律中規定，獲取、處理他人的個人信息的控制者，需要得到個人的明確同意。其實我們國家現在的個人信息保護法，也是基于這樣一種知情同意的原則。這種同意必須是自愿的，并且可以隨時進行撤回。為了平衡保護，2019 年非個人數據自由流動條例正式生效，明確了非個人的數據不需要那么嚴格，可以自由流動。所謂的非個人數據，是與已識別或可識別的人無關的任何數據，比如說匿名數據。你看，這樣的一種規則，待會在我們講的個人信息保護法里邊，其實也進行了借鑒。所以通用數據保護條例對于我們國家的個人信息保護法的立法，其實有非常重要的影響。
第五，是美國聯邦數據戰略和外國公司問責法。2019 年美國政府公布的聯邦數據戰略及推進這一戰略的 2020 年行動指南，規劃了美國政府未來 10 年的數據愿景。2020 年 12 月，美國國會通過了外國公司問責法，要求在美國上市的外國公司要做到更多的數據披露，包括審計底稿等。在美國上市的公司，很多都受到了這樣一個法規的影響，包括我國，比如說我國的百濟神州、百勝中國等等，一度股價都因此受到影響。這就是國外對于數據的保護情況，從國外數據的保護，我們也可以看出，它是一個逐漸加強，與此同時又進行利益平衡的過程。
下面，重點來梳理一下我國數據的立法脈絡。1982 年我們國家有了新憲法，1987 年我們制定了民法通則。但是在這樣一部根本法和非常重要的民法通則里邊，我們雖然強調了對于公民權利的保護，但是還沒有個人信息這樣一種權利。2009 年刑法修正案（七），經過 20 年的發展，出現了一系列侵犯個人信息和數據的事情，所以在這個修正案里邊，增加了兩個罪名：非法獲取公民信息罪和非法提供公民信息罪。2010 年侵權責任法，雖然明確了公民的財產權和人身權不受侵犯，但是也沒有明確個人信息這樣一種權利。在 2012 年 12 月 28 日，全國人大常委會《關于加強網絡信息保護的決定》里邊，我們第一次提到了個人信息保護的概念。2014 年 3 月的消費者權益保護法，在這部法律里邊，我們明確了很多權利，包括公平交易權、知情權、受教育權、受尊重權等等。2015 年 11 月的刑法修正案（九），這個修正案合并了過去的非法獲取公民個人信息罪和非法提供公民個人信息罪，把它合并成了一個罪名 —— 侵犯公民個人信息罪。2017 年兩高《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》里邊，明確了侵犯公民個人信息罪的量刑、定罪，明確了哪些屬于情節嚴重，哪些是情節特別嚴重。在同一天，我們也出臺了網絡安全法，網絡安全法的目的主要是保護我國的網絡空間主權，同時也明確了知情同意的原則。
就來到了 2018 年 5 月 21 日，《銀行業金融機構數據治理指引》，我們強調銀行業金融機構要加強數據的管理，提出了全面性、持續性、匹配性、有效性等原則。2019 年 1 月 1 日，電子商務法也是一個非常重要的法律，我們規定了什么是平臺經營者、什么是平臺內經營者、什么是自建網站經營者。這些經營者都需要去保護公民個人的信息，如果公民個人認為自己的信息有誤，是可以要求進行更正的，不更正要承擔相應的責任。2020 年 3 月 30 日，中共中央、國務院《關于構建更加完善的要素市場化配置體制機制的意見》，在這個意見里邊，我們都知道數據的地位提高了，它成為了一種生產要素。我們有五大生產要素，包括土地、勞動力、資本、技術，還有數據，數據的地位可見一斑。2020 年 9 月 23 日，《中國銀保監會監管數據安全管理辦法》，對于監管數據什么時候公布、什么時候不公布以及如何來保護，也做了相應的規定。2020 年 11 月 1 日，《中國人民銀行金融消費者權益保護實施辦法》，在這里邊，我們明確了金融消費者應當擁有的一系列權利，包括受教育權、受尊重權、知情權、公平交易權、財產安全權、依法求償權，還有個人信息權，這就提出來了我們擁有這樣的權利。2021 年 1 月 1 日，民法典有個人隱私的保護，也提出了個人信息的概念，加強了對于個人信息的保護。2021 年 2 月 9 日，《金融業數據能力建設指引》，強調要加強金融業的數據治理能力。2021 年 3 月 1 日，刑法修正案（十一）又規定了危險作業罪，包括一些機構不適當泄露個人信息可能導致的安全事故，可以入刑。2021 年 5 月 1 日，《常見類型移動互聯網應用程序必要個人信息范圍規定》出臺，這個規定非常重要，因為它明確了什么樣的 APP 哪些信息是必要的，哪些信息是不必要的。它告訴這些平臺，收集信息應當限于實現目的的最小化原則。比如說，它明確了一個打車軟件，可以收集用戶的位置信息、目的地信息，這是必須的。如果不告訴平臺經營者這兩個信息，平臺怎么為用戶提供服務？但是，作為一個打車軟件，去搜集別人的宗教信息、受教育程度的信息，這些就是不必要的了。這樣一個規定，區分了必要和不必要，帶來的益處就是對于不必要的信息，用戶就可以不提供給這些平臺，而平臺不能夠強制收集這些不必要的信息，不能以用戶拒絕提供不必要的信息為由，拒絕為用戶提供服務。
下面是 2021 年 9 月 1 日的數據安全法，強調數據保護，數據出境必須遵守規則。2021 年 10 月 1 日，個人信息保護法，這是我們待會要詳細給大家展示的重要法律，可以說這是我們今天講座里邊內容最重要的一個法律法規，后面的大量問題和業務，其實都可以在這部法律里邊找到答案。2021 年 12 月 29 日，《金融科技發展規劃（2022 - 2025）》，我們對于未來幾年金融科技的發展也做出了設想。2022 年 1 月 10 日，《中國銀保監會辦公廳關于銀行業保險業數字化轉型的指導意見》，所以現在越來越強調數字辦公。我所服務的銀行都可以看到這樣一個趨勢，基本上要無紙化了，很多審批流程都通過電子化的方式來進行。除了銀行以外，其實在我們的社會生活當中，大家可以看到很多行業都出現這樣一個趨勢，包括法院，審判都采取無紙化辦公了。這里還補充一個，2023 年 3 月 1 日實施的《銀行保險機構消費者權益保護管理辦法》，這也是進一步明確了消費者相應的權利。
所以，從我們國家的立法進程可以看到：第一，我們國家對于個人信息的保護是一個逐步探索的過程，是隨著社會經濟的發展逐漸完善的過程；第二，我們的立法脈絡其實也深受國外立法的影響，尤其是通用數據保護條例所確定的一些基本的原則。我們國家高度強調國際合作，強調對于個人信息、個人權益的保護。所以從這些立法脈絡，我們就可以看出來，尤其在金融領域，我們非常強調對于機構的監管，后面所產生的一系列民事、刑事和行政的責任，也是值得我們金融機構反思的。
好了，下面就給大家介紹個人信息保護法，這是我們最重要的一部法律，這對于大家從業，對于我們律師提供法律服務，都是非常重要的。這幅圖不是我的原創，我借助了北京大學的張平老師的創造來給大家講這個圖形化的思維導圖，這就是個人信息保護法的全部內容。我覺得這幅圖畫得非常好，個人信息保護被畫成了一座房子，而且這座房子又有兩個支柱，這兩個支柱中間又有相應的核心內容，最后這座房子的下面還有相應的地基，非常形象。你看，這個房子的左邊是一大支柱，那就是總則，包含基本的一些原則；另外一個支柱就是監管主體，任何一座房子都離不開監管主體的保護，這是履行個人信息保護職責部門對它的要求。我們房子的地基又包括了法律責任和基本的附則，因為沒有責任，沒有不利的后果，人們是很難遵守法律的，就像馬克思所說的，如果沒有懲罰，那么法律只是毫無意義的空氣震蕩而已。在這座房子的中間，就是我們核心的內容，包括個人信息處理的規則、個人信息跨境提供的規則，這個處理規則主要是講國內的，而后者是講跨境提供的。而在這個主體里邊，又有兩個支柱，一個是權利，一個是義務，也就是個人在個人信息處理活動中的權利，以及個人信息處理者應當履行的義務。
那我們來看一看總則部分。立法的目的：《個人信息保護法》的目的是什么？它是要保護公民的個人信息，規制個人信息處理者的處理活動，在此基礎上，再促進個人信息的有效使用。所以，保護是根基，使用是其次的。它的宗旨：公民的個人信息要受到法律保護，任何組織和個人都不能夠侵犯公民的個人信息。
在適用范圍上，《個人信息保護法》首先適用于國內。但是，有的時候也會適用于境外的主體。如果境外主體主要為境內的個人提供信息服務，或者主要是要分析境內個人的一些行為特征，以及法律法規規定的一些情形的話，那么也會跨境適用于境外的主體。
個人信息的定義：什么是個人信息？個人信息是以電子方式或者其他方式存在的，與已識別或可識別的個人相關的所有信息。但是，匿名化的信息就不算是個人信息。所以，匿名化的信息就是已經刪除個人的任何信息，看不出個人的名稱，無法與個人相對應的，這樣一些信息就不屬于個人信息了。
那么，處理個人信息，我們要遵循合法、正當、必要和誠實信用的原則，這是基本的原則。目的范圍：處理個人信息必須要限于最小目的。我們不能夠去濫用，不能夠沒有任何原則地廣泛收集，這是法律所不允許的。第七，公開透明原則：要去收集個人信息，必須要公開透明地告知大家收集的方式、目的、范圍。質量原則：收集個人信息、處理個人信息要強調質量，要準確、完整、及時。責任原則：如果處理個人信息不當，那么處理者是要承擔責任的。禁則：在有些情況下，是不能夠去從事相應行為的。第十一個，個人信息保護制度：我們要建立個人信息保護制度，讓企業、其他組織、個人、國家都參與到個人信息保護的活動中來。我們要進行國際合作，國際上有相應的會議和制度，我們國內要學習、參與，要與國際接軌。這就是我們總則部分的基本一些原則。
下面我們來看一看個人在個人信息處理活動當中的一些權利是什么。首先有知情權和決定權，也就是說，我們個人有權知道個人信息處理者要怎么來收集我們的信息，怎么來對待我們的信息。個人信息處理其實包括了收集、存儲、使用、加工、傳輸、提供、公開、刪除 8 項行為，都屬于個人信息的處理。個人有權知道處理者怎么對待、怎么處理，也有權決定提供什么和不提供什么，這都是個人的權利。
我們還有查閱、復制和轉移權，也就是說，可以去查閱機構存儲的個人信息，可以復制曾經提供的信息，還可以轉移。比如說，我不用移動了，我要用電信了，我就要求移動把我的數據刪除，將其整個轉移到電信去，這是數據可攜原則。
下面是更正和補充權，個人可以要求個人信息處理者來更正個人信息，若原來記錄的信息是錯誤的，要求更正；若原來記錄的信息是不完整的，要求補充。
被遺忘權，也就是在有些情況下，個人可以要求個人信息處理者刪除個人信息。什么情況呢？比如說，處理者的目的已經達到了，請刪除；還比如說，處理者自己都不運營了，關閉停業了，請刪除；再比如說，個人撤回同意，那么請刪除、請遺忘。
下面是解釋說明權，作為個人消費者，是弱者，不明白處理規則，有權要求進行必要的解釋和說明，這也是個人的權利。
還有逝者權益，假如親人去世了，但親人的信息留在平臺，那么同樣可以行使親人他生前可以行使的那些查閱、復制、轉移等權利。
便利行權原則，平臺經營者必須要便利消費者去行使自己的權利，包括查閱、復制、轉移等等，要提供相應的便利。這是我們個人的基本權利。
那么，與權利相對應的，就是個人信息處理者應當具有的義務，基本的義務。作為個人信息處理者，需要制定相應的規章制度，比如說，律師經常為別人審查的隱私政策、隱私保護規則等等，這就是其基本的制度。而且還必須要進行分類保護，也就是區分什么是個人信息，什么是敏感個人信息。這個知識點其實在上面提到過，這里給大家講一講個人信息和敏感個人信息的區別。個人信息剛才已經說了，它是以電子或者其他形式存在的，與已識別或可識別的個人相關的所有信息。那么，敏感個人信息是一旦這樣的信息遭到泄露，人格尊嚴就會受到損害，或者人身和財產權益就會受到危害，這樣的信息就是敏感個人信息。敏感個人信息就包括了生物識別信息，比如說人臉、聲音；宗教信息，如信仰什么宗教；特定身份，例如是否是軍人、是否是特定的特工等特殊身份信息；還有健康狀況，是否患什么特殊疾病；另外還有金融賬戶信息、行蹤軌跡信息，以及不滿 14 周歲未成年的信息。以上所說的所有信息，都是《個人信息保護法》所明確列舉的敏感個人信息。對于敏感個人信息，我們又有特殊的保護，那就是必須要單獨同意。對這些信息不能跟其他一些信息放在一起進行概括同意，要明確地告知信息主體，這些是敏感個人信息，也要收集，詢問其是否同意，這就是法律的要求。所以，在基本義務里邊，就要求個人信息處理者要進行分類管理，而且還要求完善內部的授權，明確哪一層級的人可以去查閱哪些信息，哪一層級的不能查閱，也得進行這樣一些制度構建。
下面還有就是要設負責人，特別是這些使用人數眾多、具有重大影響的平臺，必須要設置一個個人信息保護的合規官。設境內代表：如果境外的一個機構主要是分析、研究境內主體的行為，主要為中國境內的這些客戶提供服務的話，那么它必須要在境內設一個代表處，以方便我國進行監管。
下面還有合規審計，這些個人信息處理者每年要進行合規審計，這跟財務審計不一樣，它是合規審計。這就給我們律師、給我們法律工作者，也提供了工作的機會。
下面是影響評估，在一些特殊事項從事之前，要進行影響評估。比如說，要把個人信息傳輸到境外了，要進行敏感個人信息的處理，要進行個人信息自動化決策。自動化決策就是收集信息之后，自動根據個人特點來推送特定信息，進行自動化決策也要進行影響評估。這些評估的內容主要是收集處理信息的方式、目的是否正當、合法、必要。
泄露通知：個人信息處理者如果不小心把所收集到的個人信息給泄露了，必須立刻通知相應的監管者，采取相應的應急預案。
守門人義務：那些重大的、用戶較多的大型個人信息處理者，必須要制定更加完善的規章制度，而且還要建立主要由外部人組成的獨立的評估機構，來評估個人信息保護制度是否能夠有效保護個人信息。
還有受托人的義務，假如是受托去進行處理的機構，要協助個人信息處理者再進行處理。這就是《個人信息保護法》里面的一些核心內容，我挑了一些重要的內容給大家做了解讀。當然，下面還有法律責任，《個人信息保護法》非常重要的就是這樣一些條款，剛才也有所提及，它跟《數據安全法》《網絡安全法》其實是一脈相承的。比如說，《數據安全法》里面談到，任何組織、個人收集數據，應當采取合法、正當的形式，不得竊取或者以其他非法方式獲得數據。這些都強調了一種合法、正當的原則。在我們的《個人信息保護法》第 5 條，也再次強調了，目的必須是最小限度，程序必須公開透明，必須要保證信息的質量，必須要進行安全的保護。那么，知情同意怎樣才是知情，怎樣才是同意，我們第 13 條會給大家做一個系統的梳理。第 28 條、第 31 條，特殊信息的特別規則，就是敏感信息要單獨同意，未成年的信息要監護人特別同意。
下面我們來看第 13 條，這是一個非常重要的條款，對于大家從業，或者大家去判斷到底這樣一個機構處理個人信息是否恰當，以及對于我們律師提供法律服務，都非常重要。第 13 條說，符合下列情形之一的，個人信息處理者方可處理個人信息：第一，取得個人的同意，這是最基本的知情同意；第二，為了訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同，實施人力資源管理所必需。舉個例子吧，為履行個人作為一方當事人的合同所必需，比如說，我是一個送餐軟件，要能夠給用戶送餐，是不是必須要取得用戶的位置信息？這就是必需的，不需要經過用戶同意就可以去取得，因為用戶既然同意了該軟件提供送餐服務，又不讓軟件收集位置信息，軟件怎么送餐呢？這就是符合合同目的的一個原則。另外，有的勞動用人單位需要收集員工的學歷信息，這是通過合同已經明確了的，當然就可以去進行這樣的一種收集。第三，履行法定職責、法定義務所必需。有的時候，我們走在地鐵里邊，忽然有公安干警說，拿出身份證看一看，這是干警履行法定職責排查犯罪，我們也需要配合。第四，為了應對突發衛生安全事件，在緊急情況下，保護財產、健康安全所必需。我們都有感受，在疫情期間，國家機關可以去進行相關信息收集。第五，為了公共利益，實施新聞報道、輿論監督而披露個人信息，這我們也可以理解。比如說，正好站在一個重大事件的旁邊，記者拍下重大事件時把個人形象刊登在了報刊里，個人不能以這是個人信息為由阻止披露，因為記者是在報道新聞事件，這是一種合理合法的使用。第六，依照本法規定，在合理的范圍內，處理個人自行公開，或者其他已經合法公開的個人信息。舉個例子，自己把在馬爾代夫享受美麗沙灘的照片放在了網上，被別人拿出來作為一個小插圖描繪現在的旅游行業和旅游熱點地方，這是可以的，因為已經公開了。還比如說，裁判文書網上已經公示了某個人因妨害公務被判刑，能否把這樣的信息用在其他案件的法庭場合，或者講課中呢？也是可以的，因為這是已經合法公開的信息了。第七，法律、行政法規規定的其他情形。這就是什么叫同意，什么情況下可以不經同意去進行披露和使用。
《個人信息保護法》第 66 條明確了相應的責任。第一款是一般的責任，第二款是加重的責任。如果違反，那么機構將受到處罰，直接的負責人也將受到處罰。尤其嚴重的是，如果情節嚴重的，對于機構，可以沒收違法所得，并處 5000 萬元以下，或者上一年度營業額 5% 以下的罰款，并且甚至還可以停業，所以這樣的一種處罰就非常嚴重了。對于個人，也可以處 10 萬元以上、100 萬元以下的罰款，并且還可以限制其在一定期限內擔任董監高等關鍵職務，所以處罰是比較重的。