2001年，国家成立国家信息化领导小组，下设国务院信息化工作办公室（下简称“国信办”），主要负责推动国家的信息化相关立法。此后个人信息保护法既经历过机构改革、立法资源制约的困顿，也曾因智能手机普及和“徐玉玉案”被加速推进，历经十数载，终于出台。个人信息保护进入新篇章。

过度收集个人信息、大数据杀熟以及非法买卖、泄露个人信息为重点规范方向，网络空间或将成信息保护“主战场”

个人信息保护法明确，处理个人信息应当遵循合法、正当、必要和诚信原则，收集个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息。明确通过自动化决策方式向个人进行信息推送、商业营销，应提供不针对其个人特征的选项或提供便捷的拒绝方式。处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息，应取得个人的单独同意。任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。对违法处理个人信息的应用程序，责令暂停或者终止提供服务。

随着大数据、人工智能等新技术发展以及网络对人们生活的深度渗透，以电子方式记录的个人信息无论从数量级还是面临侵害的风险程度来说，都无疑占据主要地位。因此，网络空间必将成为个人信息保护工作的“主战场”。

对金融机构及金融业务的影响

个人信息保护法对于违法处理个人信息的行为设立了行政处罚和民事赔偿制度，对于金融机构来说，对比《金融消保办法》，《个人信息保护法》中对于违法处理信息的惩戒力度大幅增加。金融机构和类金融机构展业过程中涉及收集、处理大量个人信息，若违反个人信息保护法的相关规定，将可能面临轻则由监管部门责令改正、重则吊销相关业务许可和牌照，同时面临对机构处以最高五千万元罚款、对直接责任人员处以最高一百万元罚款与限期从业禁止。可见，“个人信息保护”将成为金融机构新的合规重地。

个人信息保护法中对于敏感个人信息设立了更高级别的处理规则。结合个人信息保护法中对于敏感信息的界定与金融业目前有效的行业规范《金融信息保护规范》中对于个人金融信息的分类来看，金融领域涉及到的大部分信息，都属于《个人信息保护法》中的“敏感信息”，应当受到特别保护。

信息来源

《个人信息保护法来了！“专杀”大数据杀熟，不得过度收集、处理敏感个人信息需经本人同意》：

https://mp.weixin.qq.com/s/uXWEdnzvAF6hv5GRLO7fFA

《个人信息保护法出台记：历十八载，执法“九龙治水”争议多年》：

https://page.om.qq.com/page/OQSD5eHRGWhz_qFwRWkHLHtQ0?refer=cp_1021

《个人信息保护法下金融机构合规提示》

https://mp.weixin.qq.com/s/DxT_lZeb-KEglL03D7FcoA