《中华人民共和国个人信息保护法》近日通过全国人大常委会审议并公布，2021年11月1日正式施行。

从反洗钱工作角度看，个人信息保护上升至法律层面，部分反洗钱从业者则担忧，是否会增加金融机构履行反洗钱法定义务过程中获取个人信息的难度，但仔细研究《个人信息保护法》会发现，两者完全没有冲突。

一、保护与保密

《个人信息保护法》使用保护一词，而未使用保密一词，是因为保密的范围较窄，保密仅能表示保护信息不被泄露。

《个人信息保护法》第一条规定：为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。

第二条规定：自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。

所以可以看出《个人信息保护法》不仅规定需要对个人信息进行保密，还应合法获取、规范处理、合理利用等，例如不能进行大数据杀熟等。

二、保护/保密范围

（一）《个人信息保护法》第四条规定：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

反洗钱从业者看到个人信息，第一直觉会是自然人客户身份基本信息，如自然人客户9要素信息。但《个人信息保护法》规定范围的则比自然人客户身份基本信息要广，从字面理解，《个人信息保护法》规定的个人信息是指与自然人有关的各种信息，凡是能够通过该信息识别与客户存在关联的，均属于保护范围，如生物识别信息、行踪轨迹等。

与自然人有关的各种信息放在反洗钱层面，除自然人客户基本信息外，还可以扩展至自然人账户交易信息、自然人客户风险等级信息等。虽然账户交易信息和风险等级信息可以理解为与自然人有关的信息，但具体保护与保密的管理措施上，会存在不同，如反洗钱涉及的自然人客户风险等级信息也需要对客户本人保密。

（二）反洗钱层面关于保密的规定较多，如《反洗钱法》第五条、第七条及第三十二条的处罚规定；2007年2号令第三条；2016年3号令二十二、二十三条；2013年2号文等等。保密范围包括客户身份信息及资料、账户交易流水、大额和可疑交易报告及工作记录、客户风险等级、可疑案例监测模型、黑名单信息、洗钱风险评估相关内容、反洗钱分类评级结果、反洗钱协查信息等等。反洗钱保密规定可谓是贯穿了客户业务关系建立、存续及结束的整个生命周期。

三、依法获取权

（一）《个人信息保护法》第十三条规定：个人信息处理者方可处理个人信息的情形包括为履行法定职责或者法定义务所必需，法律、行政法规规定的其他情形。

所以《个人信息保护法》明确规定了，履行法定义务所必需的信息是可以正常依法获取的，不因《个人信息保护法》的保护规定而不能获取或拒绝提供。