建設銀行客戶經理因非法出售數萬條客戶信息被判刑，阿里云泄露用戶隱私得到浙江通信管理局證實……大數據時代，個人信息泄露事件頻發，個人信息保護也成為公民最關注的問題之一。8月20日，《個人信息保護法》經過三次審議后正式出臺，為個人信息保護提供了專門的法律保障。

河北大學法學院副教授王昆江表示，盡管此前已有《網絡安全法》、《數據安全法》、民法典相關條款等保護個人信息的法律法規，但這些法律缺乏針對個人信息保護的體系化、系統化的操作規則體系的構建，《個人信息保護法》的出臺彌補了這一不足。

值得一提的是，有公開數據統計，2016年至2020年，全國各級人民法院一審審結涉侵害個人信息犯罪且裁判文書已公開的案件中，從所涉個人信息數據來源行業來看，金融行業占比為39.10%，位列第一。

在新出臺的《個人信息保護法》中，金融賬戶被列為敏感個人信息。個人金融信息在法律層面有了更好的法律保障。王昆江說：“信任是交易的基礎，沒有信任，就沒有交易，金融交易更是如此。承諾為客戶保密是成交的心理基礎，是產生合理信賴的必要條件，是金融業古老的行業規則，是各國金融法公認的基本原則，將金融賬戶信息列為個人敏感信息是保護個人信息的題中之義。從規則層面講，《個人信息保護法》也是《中華人民共和國中國人民銀行法》、《中華人民共和國商業銀行法》等一系列法律、規章及規范性文件的延伸和繼續。”

王昆江指出，大型網絡平臺、金融機構等企業基于市場地位、控制能力、影響力，在個人信息保護方面負有更多責任。《個人信息保護法》在第五章專章對“個人信息處理者的義務”作了專門規定，例如，個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，采取下列措施確保個人信息處理活動符合法律、行政法規的規定，并防止未經授權的訪問以及個人信息泄露、篡改、丟失：(一)制定內部管理制度和操作規程;(二)對個人信息實行分類管理;(三)采取相應的加密、去標識化等安全技術措施;(四)合理確定個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓;(五)制定并組織實施個人信息安全事件應急預案等等。

另外，《個人信息保護法》要求，個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉移個人信息等環節應取得個人的單獨同意，明確個人信息處理者不得過度收集個人信息，不得以個人不同意為由拒絕提供產品或者服務，并賦予個人撤回同意的權利，在個人撤回同意后，個人信息處理者應當停止處理或及時刪除其個人信息。(見習記者 李雪瑩)