本次专题聚焦于商业银行的个人信息保护，分析了中国个人信息保护法的实施及其对金融机构的影响。内容涵盖了个人信息的定义、处理原则、信息来源、与第三方分享个人信息的法律要求，以及互联网领域的个人信息保护特别监管要求和实践。通过这五个方面的阐述，旨在为金融机构提供关于个人信息保护的全面指导和建议。

通过分析中国人民法院近期关于个人信息保护的典型案例，特别是渣打银行和东亚银行被处罚的案例，探讨了监管机构对商业银行在个人信用信息保护方面的关注重点。渣打银行因未经客户书面授权查询信用信息被罚款230万元人民币，而东亚银行由于更为严重的违规行为，涉及未获许可的信用信息采集、提供和查询，被处以高达1674万元的罚款。这两个案例突显了监管对个人信用信息合规管理的严格要求。

指出多个银行因侵害消费者个人信息保护权利而受到的处罚案例，包括中国建设银行四川省德阳分行被罚款1406万以及平安银行天津分行因违规收集与业务无关的第三方信息被罚款45万。分析指出，这些违规行为反映出商业银行在个人信息保护方面存在共性问题，强调了加强个人信息保护的重要性。

互联网银行和传统银行在个人信息保护方面均存在违规行为。以浙江网商银行和招商银行信用卡中心为例，两者分别因违反征信管理规定和未尽个人信息安全保护义务受到监管处罚，显示不论是互联网银行还是传统银行，在个人信息保护上都存在不足，需要在日常合规管理工作中加以完善。这些案例表明，任何类型的银行都不能忽视个人信息保护的重要性。

中国人民银行在对商业银行进行个人信息保护的监管时，主要关注四个方面的问题：一是征信信息相关授权缺失，即银行在未经客户书面授权的情况下查询客户信息；二是客户技能调查中获取的个人信息存在重大瑕疵，不符合法律要求，银行未能有效识别或纠正客户提供的不完整、不真实信息；三是滥用客户个人信息，未经同意向第三方泄露，如在贷款催收过程中未妥善保护客户信息，导致客户隐私泄露；四是收集个人信息的范围过宽，采集了大量与业务无关的个人信息，损害客户个人信息权利。这些是根据多个处罚案例总结出的商业银行个人信息保护违规的主要原因，接下来将深入探讨银行应如何在业务框架下加强个人信息保护，弥补这些方面的不足。

个人信息保护法对个人信息进行了明确的定义，涵盖了以电子或其他方式记录的与已识别或可识别的自然人相关的信息，但不包括匿名化处理的信息。个人信息包括电子和纸质形式，只要能追溯到特定个人即构成个人信息。已识别信息指直接指名道姓的信息，而可识别信息则可通过信息内容推断出个人身份，如手机号码等。匿名化处理的信息则不被视为个人信息，因为无法通过这些信息追踪到个人身份。商业银行应从这些方面着手，做好个人信息保护工作。

指出个人信息处理的定义及其包括的活动，如收集、存储、使用、加工、传输、提供、公开及删除等。进一步解释了个人信息中的敏感信息概念，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满14周岁未成年人的个人信息。还提到了金融机构在处理这类敏感信息时应采取更加严格保护措施的法律义务。

指出个人信息保护的起点，即从搜集个人信息开始，个人信息处理者负有保护义务。进一步解释了关键信息基础设施的定义，特别是在中国法律体系下的概念，包括商业银行的系统被定义为关键信息基础设施，以及运营这些系统的机构（如商业银行）被称为关键信息基础设施的运营者。