经济观察报记者万敏报道，2022年1月21日下午，中国司法大数据研究院等机构联合发布《中国金融机构从业人员刑事问题研究白皮书（2021）》（以下简称《白皮书》）。统计数据显示，随着我国不断加强个人信息保护立法，金融机构从业人员侵犯公民个人信息的案件数量也在不断增加。

中国社科院法学研究所互联网和信息法律研究室副主任周晖在白皮书发布会上表示，《个人信息保护法》影响最大的是行政责任部分，比欧盟GDPR（通用数据保护条例）的责任条款更为严格。最高罚款5000万元；在营业额方面，可达上一年度营业额的5%。周晖认为，对于大型机构，特别是一些大型互联网平台公司、金融机构，可能在2022年就会见到这样的罚款。

2022年1月10日，中国人民银行上海总部公布了两则行政处罚信息，均与银行机构违法采集信息有关。其中，东亚银行（中国）有限公司因违反征信信息采集、提供、查询及相关管理规定，被罚款1674万元，并被责令限期改正。北京银行股份有限公司上海分行因违反征信信息采集、提供、查询及相关管理规定，被罚款255万元，并被责令限期改正。同时，时任北京银行张江支行行长的秦周波被罚款10万元。

此前，单一机构因信息管理问题被罚款数千万元的情况并不常见。

白皮书统计结果显示，2021年全国刑事判决中金融机构工作人员犯罪前八大类占比高达84.20%，前两类犯罪类型为非法吸收公众存款和诈骗。需要注意的是，这两类犯罪并非职务犯罪或营利犯罪。2021年全国法院审结的424起金融机构工作人员犯罪案件中，50%为银行类案件，其中以农村商业银行、农村信用社类案件居多（占比50.50%）；保险类案件占比15.66%，基金类案件占比14.90%。

与往年相比，白皮书注意到，金融机构从业人员裁判案件中共同犯罪占比较高，但除了传统的非法吸收公众存款、集资诈骗等犯罪外，还涉及其他犯罪。这其中，随着我国不断加强个人信息保护立法，金融机构从业人员侵犯公民个人信息的案件数量也在不断增加。司法大数据统计显示，在金融机构从业人员侵犯公民个人信息犯罪案件中，与外部人员共同犯罪的案件占比高达75.00%。由于金融机构从业人员接触到大量客户个人信息，其中不乏与外部人员相勾结牟利的工作人员。

2021年1月，民法典对隐私作出定义，明确了个人信息的定义，以及处理个人信息应当遵循的原则和条件。

2021年11月1日正式实施的《个人信息保护法》从法律层面再次为金融账户敏感性定下基调，要求金融机构在处理个人生物识别、医疗健康、金融账户、行踪等敏感个人信息时，应当取得个人的单独同意。

周晖认为，个人信息合规中最重要的一个环节就是“同意”。《个人信息保护法》对“同意”的定义非常严格，是个人在充分知情的前提下，自愿、明确作出的“同意”。而且，《个人信息保护法》的制度设计规定了“单独同意”，在敏感信息处理、信息出站处理等很多场景下，都需要用户单独给予同意。

“其实，当前合规实践中的难点在于如何理解‘单独同意’。”周晖称，其个人观点是，所谓单独同意，并不意味着用户每类信息都需要一个弹窗，而是在统一的弹窗下，对每类信息的处理都应该有单独勾选的可能性或空间。

周晖指出，金融机构需要关注涉及个人信息保护的公益诉讼案件风险。《个人信息保护法》增加了公益诉讼机制。“公益诉讼的主体有很多，一是人民检察院，人民检察院没有层级限制，也就是说全国几千个检察院都可以提起这样的公益诉讼。”周晖指出。二是省级以上的消费者组织，可以与《消费者权益保护法》对接。还有一个不确定因素，国家网信部门指定的组织也可能有提起公益诉讼的机制。

白皮书建议，科技这把“双刃剑”要用好。由于金融机构掌握着详尽的客户信息，在使用科技手段时要特别注意规范化，避免侵犯客户隐私、泄露个人信息。建议继续加强科技应用水平和金融风险防范力度，有助于阻断​​隐私侵犯和信息泄露的风险。此外，立法工作也应及时跟进，满足该领域的法制需求。2021年人民银行规章中收录的《个人金融信息（数据）保护试行办法》也应尽快出台，实现金融机构从业人员接触和使用金融数据的全面规范化。