金融监管总局出台了《银行保险机构数据安全管理办法》(金规〔2024〕24号),其中单独设置“个人信息保护”章节。主要规定包括:银行保险机构处理个人信息应按照“明确告知、授权同意”的原则实施,并限于实现金融业务处理目的的最小范围,不得过度收集个人信息。处理、共享和对外提供个人信息时,应当履行必要的告知义务,并取得必要同意。不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务,处理个人信息属于提供产品或者服务所必需的除外。在开展涉及对个人权益有重大影响的个人信息处理活动时,应当进行个人信息保护影响评估。委托第三方处理个人信息时,应明确受托人对个人信息的保护义务、保护措施和期限等。发生或者可能发生个人信息泄露、篡改、丢失的,银行保险机构应当立即采取补救措施,并向监管部门报告。
