那现在，在介绍我们的制度之前，先来看一看基本的一些理论。理论上，对于金融法的监管目标存在广泛的讨论。在国外，Tylor 提出了金融稳定和消费者保护的双峰监管理念，也就是说，他认为有两个重要目标如同两座山峰，我们都必须兼顾：一个是金融稳定的大局，另一个是注重保护弱者，即消费者权利的保护。John Armour 等学者又提出了更为广泛的六个监管目标，包括投资者保护、零售金融中的消费者保护、金融稳定、市场效率、促进竞争和防止金融犯罪。Arner 等人针对金融科技的监管，又认为应当平衡传统的金融稳定、消费者权益保护以及创新和经济发展三个目标。
在国内，邢会强教授提出了金融安全、金融效率和消费者保护的三足定理。他认为，这三个目标就像一个鼎的三个角，缺一个都不行，这样才能够稳定。而冯果教授批判继承了三足定理，又进一步解释为金融安全、金融效率和金融公平。
那么，我个人结合现在我们国家所提出来的金融行业的五篇大文章，认为我们现在金融监管的目标可以概括成为四个方面：第一是金融安全；第二是金融效率；第三是金融公平；第四是金融和谐。那为什么这么说呢？安全是底线，要牢牢守住不发生系统性风险、区域性风险的底线，所以金融安全毋庸置疑是我们追求的目标。我们来看看，五篇大文章当中的数字金融和科技金融，这是不是都强调效率，让资源更有效地进行配置？那 5 篇大文章里边的养老金融、普惠金融，是不是就是金融公平？你看，普惠金融让穷人能够以合适的利率获得资金，养老金融让老年人也同样能够获得金融的支持。最后我们还提出了绿色金融，绿色金融就是强调了人与自然的和谐相处，我们要去多多支持低碳环保的产业，给那些企业来提供融资，这就是绿色金融，因此体现出一种金融和谐。因此，我认为我们现在国家的金融监管实际上可以概括为安全、效率、公平与和谐。
那么，双峰监管模式是所有这些金融监管目标相关理论的鼻祖。双峰模式认为，应当设立两个监管机构：第一个是金融稳定委员会，第二个是消费者保护委员会。前者进行审慎监管，后者负责保护弱者。这两个委员会各司其职。我们国家其实在某种意义上，也是继承了这样的一种理论学说来构建我们的监管体制。
我们可以看到，2017 年我国设置了国务院金融稳定发展委员会。但是，也许是因为金融风险没有监管特别到位，我们看到了大量的 p2p 爆雷、理财产品爆雷，导致了金融秩序的混乱。所以，2023 年国务院金融稳定发展委员会的职责就划入了中央金融委员会，这是党的机构，党的组织。现在都强调党领导一切，党建先行，所以现在把这个稳定职责提得更高了。2023 年，中国人民银行有关金融消费者权益保护的职责，以及中国证监会对投资者保护的职责，也进行了划转，划入了国家金融监督管理总局。大家都知道，国家金融监督管理总局是银保监会的承接机构。现在由金融监管总局来主导消费者权益保护。
那么，我个人也服务了很多银行，也深切体会到现在的银行跟过去银行的常法服务不一样了。以前我们就是进行法审，也就是权利义务的梳理，去保护银行的利益。但现在，我们发现除了进行法审以外，银行还要求我们外聘律师进行消审，也就是消费者权益保护的审查。那么在一份合同当中，我们除了保护银行利益以外，我们还要跳出这个圈子，去考虑有没有保护对方客户、消费者权益的利益，我们从两个角度都得看，缺一不可。所以现在，银行自身甚至还设置了相应的机构和组织来专门保护消费者的权益。
我们来梳理一下域外的制度。域外对于数据保护是怎样一个脉络呢？首先是安全港协议。2000 年 7 月，欧盟正式同意了美国商务部提出的国际安全港隐私权原则，签订了所谓的安全港协议。该协议旨在达到欧盟所规定的个人数据信息保护的适当性程度，使公司或组织在满足适当保护标准时，可以畅通数据信息的传输。安全港协议折中处理了美国和欧盟之间的利益。美国公司只要加入了安全港协议，就可以不经个人的单独授权来进行数据的转移，美国这样的一些公司在转移数据的时候就方便了。
第二个阶段是隐私盾协议。2015 年 10 月 6 号，欧盟法院认定，欧盟成员国都有权判定第三方国家数据保护的充分程度，并决定其公民用户信息是否可向该国进行传输，从而架空了安全港协议。随后，欧盟与美国在 2016 年公布新数据传输协议 —— 隐私盾协定。隐私盾协定要求美国要遵守更加严格的规定，这一变动使得美国企业在欧洲收集用户数据的成本增加了。
第三个阶段，是美国网络信息安全共享法。2015 年 12 月，美国国会正式通过了网络信息安全共享法。该法案要求企业在必要时能根据国土安全部的需要，迅速将用户信息进行收集和共享。这样一部法律，实际上方便了政府对于个人信息的控制。
第四是欧盟通用数据保护条例和非个人数据自由流动条例。通用数据保护条例非常有名，尤其是在前几年，我们往往都会提到它，因为它加强了数据的保护。这部法律中规定，获取、处理他人的个人信息的控制者，需要得到个人的明确同意。其实我们国家现在的个人信息保护法，也是基于这样一种知情同意的原则。这种同意必须是自愿的，并且可以随时进行撤回。为了平衡保护，2019 年非个人数据自由流动条例正式生效，明确了非个人的数据不需要那么严格，可以自由流动。所谓的非个人数据，是与已识别或可识别的人无关的任何数据，比如说匿名数据。你看，这样的一种规则，待会在我们讲的个人信息保护法里边，其实也进行了借鉴。所以通用数据保护条例对于我们国家的个人信息保护法的立法，其实有非常重要的影响。
第五，是美国联邦数据战略和外国公司问责法。2019 年美国政府公布的联邦数据战略及推进这一战略的 2020 年行动指南，规划了美国政府未来 10 年的数据愿景。2020 年 12 月，美国国会通过了外国公司问责法，要求在美国上市的外国公司要做到更多的数据披露，包括审计底稿等。在美国上市的公司，很多都受到了这样一个法规的影响，包括我国，比如说我国的百济神州、百胜中国等等，一度股价都因此受到影响。这就是国外对于数据的保护情况，从国外数据的保护，我们也可以看出，它是一个逐渐加强，与此同时又进行利益平衡的过程。
下面，重点来梳理一下我国数据的立法脉络。1982 年我们国家有了新宪法，1987 年我们制定了民法通则。但是在这样一部根本法和非常重要的民法通则里边，我们虽然强调了对于公民权利的保护，但是还没有个人信息这样一种权利。2009 年刑法修正案（七），经过 20 年的发展，出现了一系列侵犯个人信息和数据的事情，所以在这个修正案里边，增加了两个罪名：非法获取公民信息罪和非法提供公民信息罪。2010 年侵权责任法，虽然明确了公民的财产权和人身权不受侵犯，但是也没有明确个人信息这样一种权利。在 2012 年 12 月 28 日，全国人大常委会《关于加强网络信息保护的决定》里边，我们第一次提到了个人信息保护的概念。2014 年 3 月的消费者权益保护法，在这部法律里边，我们明确了很多权利，包括公平交易权、知情权、受教育权、受尊重权等等。2015 年 11 月的刑法修正案（九），这个修正案合并了过去的非法获取公民个人信息罪和非法提供公民个人信息罪，把它合并成了一个罪名 —— 侵犯公民个人信息罪。2017 年两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》里边，明确了侵犯公民个人信息罪的量刑、定罪，明确了哪些属于情节严重，哪些是情节特别严重。在同一天，我们也出台了网络安全法，网络安全法的目的主要是保护我国的网络空间主权，同时也明确了知情同意的原则。
就来到了 2018 年 5 月 21 日，《银行业金融机构数据治理指引》，我们强调银行业金融机构要加强数据的管理，提出了全面性、持续性、匹配性、有效性等原则。2019 年 1 月 1 日，电子商务法也是一个非常重要的法律，我们规定了什么是平台经营者、什么是平台内经营者、什么是自建网站经营者。这些经营者都需要去保护公民个人的信息，如果公民个人认为自己的信息有误，是可以要求进行更正的，不更正要承担相应的责任。2020 年 3 月 30 日，中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》，在这个意见里边，我们都知道数据的地位提高了，它成为了一种生产要素。我们有五大生产要素，包括土地、劳动力、资本、技术，还有数据，数据的地位可见一斑。2020 年 9 月 23 日，《中国银保监会监管数据安全管理办法》，对于监管数据什么时候公布、什么时候不公布以及如何来保护，也做了相应的规定。2020 年 11 月 1 日，《中国人民银行金融消费者权益保护实施办法》，在这里边，我们明确了金融消费者应当拥有的一系列权利，包括受教育权、受尊重权、知情权、公平交易权、财产安全权、依法求偿权，还有个人信息权，这就提出来了我们拥有这样的权利。2021 年 1 月 1 日，民法典有个人隐私的保护，也提出了个人信息的概念，加强了对于个人信息的保护。2021 年 2 月 9 日，《金融业数据能力建设指引》，强调要加强金融业的数据治理能力。2021 年 3 月 1 日，刑法修正案（十一）又规定了危险作业罪，包括一些机构不适当泄露个人信息可能导致的安全事故，可以入刑。2021 年 5 月 1 日，《常见类型移动互联网应用程序必要个人信息范围规定》出台，这个规定非常重要，因为它明确了什么样的 APP 哪些信息是必要的，哪些信息是不必要的。它告诉这些平台，收集信息应当限于实现目的的最小化原则。比如说，它明确了一个打车软件，可以收集用户的位置信息、目的地信息，这是必须的。如果不告诉平台经营者这两个信息，平台怎么为用户提供服务？但是，作为一个打车软件，去搜集别人的宗教信息、受教育程度的信息，这些就是不必要的了。这样一个规定，区分了必要和不必要，带来的益处就是对于不必要的信息，用户就可以不提供给这些平台，而平台不能够强制收集这些不必要的信息，不能以用户拒绝提供不必要的信息为由，拒绝为用户提供服务。
下面是 2021 年 9 月 1 日的数据安全法，强调数据保护，数据出境必须遵守规则。2021 年 10 月 1 日，个人信息保护法，这是我们待会要详细给大家展示的重要法律，可以说这是我们今天讲座里边内容最重要的一个法律法规，后面的大量问题和业务，其实都可以在这部法律里边找到答案。2021 年 12 月 29 日，《金融科技发展规划（2022 - 2025）》，我们对于未来几年金融科技的发展也做出了设想。2022 年 1 月 10 日，《中国银保监会办公厅关于银行业保险业数字化转型的指导意见》，所以现在越来越强调数字办公。我所服务的银行都可以看到这样一个趋势，基本上要无纸化了，很多审批流程都通过电子化的方式来进行。除了银行以外，其实在我们的社会生活当中，大家可以看到很多行业都出现这样一个趋势，包括法院，审判都采取无纸化办公了。这里还补充一个，2023 年 3 月 1 日实施的《银行保险机构消费者权益保护管理办法》，这也是进一步明确了消费者相应的权利。
所以，从我们国家的立法进程可以看到：第一，我们国家对于个人信息的保护是一个逐步探索的过程，是随着社会经济的发展逐渐完善的过程；第二，我们的立法脉络其实也深受国外立法的影响，尤其是通用数据保护条例所确定的一些基本的原则。我们国家高度强调国际合作，强调对于个人信息、个人权益的保护。所以从这些立法脉络，我们就可以看出来，尤其在金融领域，我们非常强调对于机构的监管，后面所产生的一系列民事、刑事和行政的责任，也是值得我们金融机构反思的。
好了，下面就给大家介绍个人信息保护法，这是我们最重要的一部法律，这对于大家从业，对于我们律师提供法律服务，都是非常重要的。这幅图不是我的原创，我借助了北京大学的张平老师的创造来给大家讲这个图形化的思维导图，这就是个人信息保护法的全部内容。我觉得这幅图画得非常好，个人信息保护被画成了一座房子，而且这座房子又有两个支柱，这两个支柱中间又有相应的核心内容，最后这座房子的下面还有相应的地基，非常形象。你看，这个房子的左边是一大支柱，那就是总则，包含基本的一些原则；另外一个支柱就是监管主体，任何一座房子都离不开监管主体的保护，这是履行个人信息保护职责部门对它的要求。我们房子的地基又包括了法律责任和基本的附则，因为没有责任，没有不利的后果，人们是很难遵守法律的，就像马克思所说的，如果没有惩罚，那么法律只是毫无意义的空气震荡而已。在这座房子的中间，就是我们核心的内容，包括个人信息处理的规则、个人信息跨境提供的规则，这个处理规则主要是讲国内的，而后者是讲跨境提供的。而在这个主体里边，又有两个支柱，一个是权利，一个是义务，也就是个人在个人信息处理活动中的权利，以及个人信息处理者应当履行的义务。
那我们来看一看总则部分。立法的目的：《个人信息保护法》的目的是什么？它是要保护公民的个人信息，规制个人信息处理者的处理活动，在此基础上，再促进个人信息的有效使用。所以，保护是根基，使用是其次的。它的宗旨：公民的个人信息要受到法律保护，任何组织和个人都不能够侵犯公民的个人信息。
在适用范围上，《个人信息保护法》首先适用于国内。但是，有的时候也会适用于境外的主体。如果境外主体主要为境内的个人提供信息服务，或者主要是要分析境内个人的一些行为特征，以及法律法规规定的一些情形的话，那么也会跨境适用于境外的主体。
个人信息的定义：什么是个人信息？个人信息是以电子方式或者其他方式存在的，与已识别或可识别的个人相关的所有信息。但是，匿名化的信息就不算是个人信息。所以，匿名化的信息就是已经删除个人的任何信息，看不出个人的名称，无法与个人相对应的，这样一些信息就不属于个人信息了。
那么，处理个人信息，我们要遵循合法、正当、必要和诚实信用的原则，这是基本的原则。目的范围：处理个人信息必须要限于最小目的。我们不能够去滥用，不能够没有任何原则地广泛收集，这是法律所不允许的。第七，公开透明原则：要去收集个人信息，必须要公开透明地告知大家收集的方式、目的、范围。质量原则：收集个人信息、处理个人信息要强调质量，要准确、完整、及时。责任原则：如果处理个人信息不当，那么处理者是要承担责任的。禁则：在有些情况下，是不能够去从事相应行为的。第十一个，个人信息保护制度：我们要建立个人信息保护制度，让企业、其他组织、个人、国家都参与到个人信息保护的活动中来。我们要进行国际合作，国际上有相应的会议和制度，我们国内要学习、参与，要与国际接轨。这就是我们总则部分的基本一些原则。
下面我们来看一看个人在个人信息处理活动当中的一些权利是什么。首先有知情权和决定权，也就是说，我们个人有权知道个人信息处理者要怎么来收集我们的信息，怎么来对待我们的信息。个人信息处理其实包括了收集、存储、使用、加工、传输、提供、公开、删除 8 项行为，都属于个人信息的处理。个人有权知道处理者怎么对待、怎么处理，也有权决定提供什么和不提供什么，这都是个人的权利。
我们还有查阅、复制和转移权，也就是说，可以去查阅机构存储的个人信息，可以复制曾经提供的信息，还可以转移。比如说，我不用移动了，我要用电信了，我就要求移动把我的数据删除，将其整个转移到电信去，这是数据可携原则。
下面是更正和补充权，个人可以要求个人信息处理者来更正个人信息，若原来记录的信息是错误的，要求更正；若原来记录的信息是不完整的，要求补充。
被遗忘权，也就是在有些情况下，个人可以要求个人信息处理者删除个人信息。什么情况呢？比如说，处理者的目的已经达到了，请删除；还比如说，处理者自己都不运营了，关闭停业了，请删除；再比如说，个人撤回同意，那么请删除、请遗忘。
下面是解释说明权，作为个人消费者，是弱者，不明白处理规则，有权要求进行必要的解释和说明，这也是个人的权利。
还有逝者权益，假如亲人去世了，但亲人的信息留在平台，那么同样可以行使亲人他生前可以行使的那些查阅、复制、转移等权利。
便利行权原则，平台经营者必须要便利消费者去行使自己的权利，包括查阅、复制、转移等等，要提供相应的便利。这是我们个人的基本权利。
那么，与权利相对应的，就是个人信息处理者应当具有的义务，基本的义务。作为个人信息处理者，需要制定相应的规章制度，比如说，律师经常为别人审查的隐私政策、隐私保护规则等等，这就是其基本的制度。而且还必须要进行分类保护，也就是区分什么是个人信息，什么是敏感个人信息。这个知识点其实在上面提到过，这里给大家讲一讲个人信息和敏感个人信息的区别。个人信息刚才已经说了，它是以电子或者其他形式存在的，与已识别或可识别的个人相关的所有信息。那么，敏感个人信息是一旦这样的信息遭到泄露，人格尊严就会受到损害，或者人身和财产权益就会受到危害，这样的信息就是敏感个人信息。敏感个人信息就包括了生物识别信息，比如说人脸、声音；宗教信息，如信仰什么宗教；特定身份，例如是否是军人、是否是特定的特工等特殊身份信息；还有健康状况，是否患什么特殊疾病；另外还有金融账户信息、行踪轨迹信息，以及不满 14 周岁未成年的信息。以上所说的所有信息，都是《个人信息保护法》所明确列举的敏感个人信息。对于敏感个人信息，我们又有特殊的保护，那就是必须要单独同意。对这些信息不能跟其他一些信息放在一起进行概括同意，要明确地告知信息主体，这些是敏感个人信息，也要收集，询问其是否同意，这就是法律的要求。所以，在基本义务里边，就要求个人信息处理者要进行分类管理，而且还要求完善内部的授权，明确哪一层级的人可以去查阅哪些信息，哪一层级的不能查阅，也得进行这样一些制度构建。
下面还有就是要设负责人，特别是这些使用人数众多、具有重大影响的平台，必须要设置一个个人信息保护的合规官。设境内代表：如果境外的一个机构主要是分析、研究境内主体的行为，主要为中国境内的这些客户提供服务的话，那么它必须要在境内设一个代表处，以方便我国进行监管。
下面还有合规审计，这些个人信息处理者每年要进行合规审计，这跟财务审计不一样，它是合规审计。这就给我们律师、给我们法律工作者，也提供了工作的机会。
下面是影响评估，在一些特殊事项从事之前，要进行影响评估。比如说，要把个人信息传输到境外了，要进行敏感个人信息的处理，要进行个人信息自动化决策。自动化决策就是收集信息之后，自动根据个人特点来推送特定信息，进行自动化决策也要进行影响评估。这些评估的内容主要是收集处理信息的方式、目的是否正当、合法、必要。
泄露通知：个人信息处理者如果不小心把所收集到的个人信息给泄露了，必须立刻通知相应的监管者，采取相应的应急预案。
守门人义务：那些重大的、用户较多的大型个人信息处理者，必须要制定更加完善的规章制度，而且还要建立主要由外部人组成的独立的评估机构，来评估个人信息保护制度是否能够有效保护个人信息。
还有受托人的义务，假如是受托去进行处理的机构，要协助个人信息处理者再进行处理。这就是《个人信息保护法》里面的一些核心内容，我挑了一些重要的内容给大家做了解读。当然，下面还有法律责任，《个人信息保护法》非常重要的就是这样一些条款，刚才也有所提及，它跟《数据安全法》《网络安全法》其实是一脉相承的。比如说，《数据安全法》里面谈到，任何组织、个人收集数据，应当采取合法、正当的形式，不得窃取或者以其他非法方式获得数据。这些都强调了一种合法、正当的原则。在我们的《个人信息保护法》第 5 条，也再次强调了，目的必须是最小限度，程序必须公开透明，必须要保证信息的质量，必须要进行安全的保护。那么，知情同意怎样才是知情，怎样才是同意，我们第 13 条会给大家做一个系统的梳理。第 28 条、第 31 条，特殊信息的特别规则，就是敏感信息要单独同意，未成年的信息要监护人特别同意。
下面我们来看第 13 条，这是一个非常重要的条款，对于大家从业，或者大家去判断到底这样一个机构处理个人信息是否恰当，以及对于我们律师提供法律服务，都非常重要。第 13 条说，符合下列情形之一的，个人信息处理者方可处理个人信息：第一，取得个人的同意，这是最基本的知情同意；第二，为了订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同，实施人力资源管理所必需。举个例子吧，为履行个人作为一方当事人的合同所必需，比如说，我是一个送餐软件，要能够给用户送餐，是不是必须要取得用户的位置信息？这就是必需的，不需要经过用户同意就可以去取得，因为用户既然同意了该软件提供送餐服务，又不让软件收集位置信息，软件怎么送餐呢？这就是符合合同目的的一个原则。另外，有的劳动用人单位需要收集员工的学历信息，这是通过合同已经明确了的，当然就可以去进行这样的一种收集。第三，履行法定职责、法定义务所必需。有的时候，我们走在地铁里边，忽然有公安干警说，拿出身份证看一看，这是干警履行法定职责排查犯罪，我们也需要配合。第四，为了应对突发卫生安全事件，在紧急情况下，保护财产、健康安全所必需。我们都有感受，在疫情期间，国家机关可以去进行相关信息收集。第五，为了公共利益，实施新闻报道、舆论监督而披露个人信息，这我们也可以理解。比如说，正好站在一个重大事件的旁边，记者拍下重大事件时把个人形象刊登在了报刊里，个人不能以这是个人信息为由阻止披露，因为记者是在报道新闻事件，这是一种合理合法的使用。第六，依照本法规定，在合理的范围内，处理个人自行公开，或者其他已经合法公开的个人信息。举个例子，自己把在马尔代夫享受美丽沙滩的照片放在了网上，被别人拿出来作为一个小插图描绘现在的旅游行业和旅游热点地方，这是可以的，因为已经公开了。还比如说，裁判文书网上已经公示了某个人因妨害公务被判刑，能否把这样的信息用在其他案件的法庭场合，或者讲课中呢？也是可以的，因为这是已经合法公开的信息了。第七，法律、行政法规规定的其他情形。这就是什么叫同意，什么情况下可以不经同意去进行披露和使用。
《个人信息保护法》第 66 条明确了相应的责任。第一款是一般的责任，第二款是加重的责任。如果违反，那么机构将受到处罚，直接的负责人也将受到处罚。尤其严重的是，如果情节严重的，对于机构，可以没收违法所得，并处 5000 万元以下，或者上一年度营业额 5% 以下的罚款，并且甚至还可以停业，所以这样的一种处罚就非常严重了。对于个人，也可以处 10 万元以上、100 万元以下的罚款，并且还可以限制其在一定期限内担任董监高等关键职务，所以处罚是比较重的。