“以人为本”——聚焦央行消费者金融信息保护新规
近来,金融领域个人信息保护的立法、规范推进工作又有新的进展。继今年2月中国人民银行(“央行”)发布行业标准《个人金融信息保护技术规范》(JR/T 0171—2020)后,央行又于近日正式颁布了《中国人民银行金融消费者权益保护实施办法》(“《2020年实施办法》”)。《2020年实施办法》将于2020年11月1日生效,代替央行此前颁布的《中国人民银行金融消费权益保护工作管理办法(试行)》与《中国人民银行金融消费者权益保护实施办法》(“《2016年实施办法》”)。相较于此前两项规范性文件,《2020年实施办法》以中国人民银行令形式颁布,在《2016年实施办法》的基础上升格为部门规章,提升了保护金融消费者权益专门文件的法律效力位阶,有利于进一步规范银行、支付机构的经营行为。
从条款内容上看,《2020年实施办法》延续了《2016年实施办法》的基本体例,对金融机构在金融消费者权益保护层面的行为规范、消费者金融信息进行了专章规定。以下我们将重点考察《2020年实施办法》在金融消费者信息保护规则方面的新变化,探讨银行金融领域消费者个人信息保护的规范趋势。
1.《2020年实施办法》适用于哪些主体?
相对于《2016年实施办法》提到的银行业金融机构、非银行支付机构及“提供跨市场、跨行业交叉性金融产品和服务的其他金融机构”,《2020年实施办法》对其直接适用主体进行了限定,主要包含银行业金融机构以及非银行支付机构两类主体,并明确了银行业金融机构具体涉及的业务场景。[1]
参照适用主体上,《2020年实施办法》在《2016年实施办法》提到的征信机构基础上增加了商业银行理财子公司、金融资产管理公司、信托公司、汽车金融公司、消费金融公司、个人本外币兑换特许业务经营机构。这一规定打消了此前对于“跨市场、跨行业交叉性金融产品和服务的其他金融机构”如何理解,以及证券公司、保险公司等金融机构是否适用《2016年实施办法》的争议与顾虑,而对于汽车金融公司、信托公司等非银行金融机构,在参照适用《2020年实施办法》的规定上也有了更加明确的依据。
2. 如何理解“消费者金融信息”的概念?
在了解“消费者金融信息”之前,有必要对“金融消费者”的概念进行明确。《2020年实施办法》延续了《2016年实施办法》的定义,即“购买、使用银行、支付机构提供的金融产品或者服务的自然人”。而对于消费者金融信息,《2020年实施办法》第二十八条将其定义为“银行、支付机构通过开展业务或者其他合法渠道处理的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或者服务相关的信息。”结合“金融消费者”的概念,我们理解《2020年实施办法》所提到的“消费者金融信息”将更多指向直接购买、使用金融产品或服务的自然人消费者,这相比于《2016年实施办法》中“个人金融信息”的定义可能存在细微差异。
《2016年实施办法》将“个人金融信息”定义为“金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。”该定义一定程度上将非自然人消费者购买、使用金融产品或服务场景下的个人信息也囊括其中,例如企业/机构客户场景下收集的企业联系人信息、高管信息等。相比之下,《2020年实施办法》将所保护的信息与“消费者”相关联,这是否意味着《2020年实施办法》在消费者金融信息保护层面排除了机构客户场景下个人信息处理的适用,有待进一步明确。
3.《2020年实施办法》在消费者金融信息保护规则上有什么新变化?
总体上,《2020年实施办法》对于消费者金融信息保护的规则更为全面,一方面从立法技术上将消费者金融信息的收集、存储、使用、加工、传输、提供、公开合并为“消费者金融信息处理”,统一作为消费者金融信息保护规则的约束行为,另一方面结合一般消费领域的消费者权益保护机制和一般个人信息保护规则,对金融行业涉及的消费者信息及相关权益保护提出了要求,并对有关的罚则进行了明确。
消费者金融信息保护层面的“知情权”保障
《2020年实施办法》在一般性的合法、正当、必要的收集原则基础上,强调银行、支付机构应当征得金融消费者或其监护人明示同意,并列举了违反消费者明示同意原则的具体情形进行说明,例如变相强制收集消费者金融信息,不同意提供金融信息即拒绝提供金融产品等。相较于《网络安全法》体系下,收集个人信息一般要求征得个人信息主体同意,收集个人敏感信息要求征得个人信息主体明示同意的规则,《2020年实施办法》对征得金融消费者同意义务的设置更为严格,一定程度上反映金融领域个人信息的敏感性。同时,《2020年实施办法》也明确了“明示同意”的除外情况,即“法律、行政法规另有规定的除外”,以与其他个人信息及数据保护的既有规范进行有效衔接。
《2020年实施办法》也从保障金融消费者知情同意权利的角度,制定了银行、支付机构在金融消费者拒绝提供信息情形下的处理原则,即不得以消费者不同意为由拒绝提供金融产品或服务,但如存在金融消费者不能或拒绝提供必需信息,或者在致使银行、支付机构无法履行反洗钱义务的情况下,银行、支付机构可以适当考虑对消费者的金融活动采取限制性措施,或依法拒绝提供金融产品或服务。这一规定平衡了金融行业在保障金融交易安全和金融秩序层面的监管诉求,与银行、支付机构履行其法定反洗钱义务的要求进行了有效衔接。
此外,《2020年实施办法》延续了《网络安全法》、《消费者权益保护法》对于消费者/个人信息主体的知情权保障,要求银行、支付机构公开收集、使用消费者金融信息的规则,明示收集使用消费者信息的目的、方式和范围,并留存相关证明资料。同时,《2020年实施办法》延续并明确了使用格式条款明示金融消费者信息处理情况的可行性,也对格式条款的文本内容作出了明确要求。
营销活动的特别规范
《2020年实施办法》对于银行、支付机构使用消费者金融信息进行营销活动进行了专门的要求。具体而言,银行、支付机构收集消费者金融信息用于营销、用户体验改进或者市场调查的,应确保金融消费者自主选择是否同意的权利,且不得因金融消费者不同意而拒绝向其提供产品或服务。同时,银行、支付机构也应当设置明确的退出机制,向金融消费者提供拒绝继续接收金融营销信息的方式。这一规定作为《2020年实施办法》规范银行、支付机构的营销活动的重要规则内容,构成新规中金融消费者合法权益保障的重要方面。
保障消费者金融数据安全
《2020年实施办法》在原有规定的基础上,对银行、支付机构保障金融消费者信息安全层面进行了规则上的重申与发展。一方面,《2020年实施办法》强调了银行、支付机构及其工作人员对于消费者金融信息的保密义务,不得泄露或非法向他人提供,在发生信息安全事件时,《2020年实施办法》对银行、支付机构向金融消费者的告知义务、以及向央行等监管机关的报送义务进行了细化;另一方面,在消费者数据的使用、存储与保管上,要求银行、支付机构建立分级授权为核心的使用管理制度、采取技术措施和其他必要措施妥善保管消费者金融信息等。
金融消费者的投诉响应
《2020年实施办法》对银行、支付机构对金融消费者权益主张的响应机制进行了规定,这对于银行、支付机构在响应消费者行使其与消费者金融信息相关的权利层面同样提供了制度保障。相较于《网络安全法》体系下,数据控制者对个人信息主体权利主张的响应方式,《2020年实施办法》要求银行、支付机构对一般金融消费者权益主张的响应方式更为多样化:例如,银行、支付机构需要按年度发布金融消费者投诉数据和相关分析报告;需要建设金融消费者投诉处理信息系统,对投诉进行正确分类并按时报送相关信息;依法或依约定告知投诉人处理情况;同时,金融消费者对于银行、支付机构不受理投诉的情形,可以向监管机关(央行分支机构)投诉与转交,监管机关需要在收到投诉之日起7日内进行处理;此外,金融消费者还可以向调解组织申请调解、中立评估等等。我们理解,《2020年实施办法》对投诉方式的创新和管理,特别是要求监管机关(央行分支机构)在前期的积极参与,将为金融消费者实现主体权利降低成本,是对现有的个人信息保护体系的有力补充。
违反消费者金融信息保护规则的法律责任
《2020年实施办法》制定了单独的“法律责任”章节,明确了违反消费者金融信息保护义务的法律后果。虽然《2016年实施办法》第四十七条规定了监管机关规制侵犯金融消费者合法权益行为的措施,但是并非专门针对侵犯消费者金融信息的情形。具体而言,根据《2020年实施办法》第六十条,违反消费者金融信息保护义务可能导致的行政责任形式包括:警告、没收违法所得、罚款、停业整顿、吊销营业执照,记入信用档案并向社会公布等;同时,第六十三条还明确侵犯金融消费者权益的重大案件适用“双罚制”,除了追究银行、支付机构责任外,还将追究对侵害金融消费者权益重大案件负有直接责任的银行、支付机构高级管理人员和其他责任人员相应的行政责任。这一点与《网络安全法》第六十四条等对违反个人信息保护行为进行处罚的思路相类似。
期待信息跨境规则的进一步澄清
值得注意的是,相较于《2016年实施办法》,《2020年实施办法》并未对消费者金融信息本地化存储和跨境传输限制予以明确,这一变化对于银行、支付机构因业务需求而须跨境传输个人金融信息适用何种规则将产生一定影响。不过,在现行规范下,《个人金融信息保护技术规范》(JR/T 0171—2020)对个人金融信息的本地化存储要求及跨境规则也有明确,而《网络安全法》层面对关键信息基础设施运营者的个人信息和重要数据跨境的要求,对于银行、金融业可能被认定为关键信息基础设施运营者的主体而言,仍具有普遍适用的效力。因此,包括银行、支付机构在内的金融机构在日常业务中进行数据跨境操作的,仍需要依据该等现行要求来具体执行。
同时,考虑到金融行业在数据保护层面的严格监管要求以及金融领域在处理跨境业务等而产生的数据跨境业务需求,国内外对于金融数据的跨境往往会采取相对谨慎的态度。我们理解,《2020年实施办法》的这一调整可能预示着未来金融行业数据跨境在立法层面的进一步更新,除涉及消费者个人相关金融数据跨境需要从行业层面予以特别考虑外,《数据安全法》层面对于“重要数据”保护的制度走向,也同样会对金融行业数据保护及跨境规则产生体系化影响。
4. 结语
《2020年实施办法》从部门规章层面,基于消费者权益保护的上位法视角,在规则上体现为银行、支付机构业务过程中对消费者权益的各方面保护,消费者金融信息保护构成其中重要一环。从个人信息及数据保护的视角出发,银行、支付机构除遵循《2020年实施办法》的要求外,也同样需要关注整体金融行业以及个人信息保护领域的一般性规定。而对于银行、支付机构以外的其他金融机构而言,可以预见的是未来也可能受制于基于金融行业细分维度的专门的信息保护规定。
但对于金融行业的各类机构而言,无论从消费者权益保护角度,还是金融消费者信息保护方面,当前的立法和监管思路都体现了“以人为本”的思路,即重视个体权利,寻求金融行业发展与个人权益的平衡。因此我们建议金融领域的各家企业,破除行业的信息壁垒,不仅加强消费者权益保护工作,更要注重个体权利实现的路径和方式,让包括消费者信息保护在内的合规及权益保护机制透明、便捷和实用。
附:金融消费者信息保护重点条款对比
脚注:
[1] 根据《2020年实施办法》第二条,具体的业务场景包括:(一)与利率管理相关的;(二)与人民币管理相关的;(三)与外汇管理相关的;(四)与黄金市场管理相关的;(五)与国库管理相关的;(六)与支付、清算管理相关的;(七)与反洗钱管理相关的。(八)与征信管理相关的;(九)与上述第一项至第八项业务相关的金融营销宣传和消费者金融信息保护;(十)其他法律、行政法规规定的中国人民银行职责范围内的金融消费者权益保护工作。
作者介绍
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师协助客户制定修改隐私政策,制定跨境数据传输计划,制定数据商业化合规方案,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系,进行内部网络安全和数据合规培训等。吴律师擅长从中国数据合规的角度为跨国企业在中国的分支机构提供网络安全和数据合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国等跨司法辖区要求的网络安全与数据合规体系。项目覆盖金融、保险、数据风控、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
蒋科
合伙人
合规业务部
jiangke@cn.kwm.com
业务领域:科技和电信领域合规、网络安全和数据合规
蒋律师曾在金杜工作过十年,回归前,蒋律师曾作为内部法务为亚马逊云服务和宝马集团在中国市场的产品和运营合规,数字化和网络安全项目等提供法律支持。蒋科律师擅长为各类科技、汽车、云服务行业及互联网公司提供领域内的合规咨询意见,并能够将领先的企业监管与网络及信息技术紧密结合。蒋科律师在众多复杂的项目中为客户提供了创新的综合解决方案,并得到客户的广泛认可。
陈胜男
主办律师
合规业务部
颜婷婷
律师助理
合规业务部
网络安全、数据合规与治理团队专题
人工智能:
AI与大数据的“理想城”:智慧城市合规的基础要点 2020-02
2020年“AI”应有大爱 2020-01
人工智能系列之人脸识别信息的内涵与合规难题 2019-11
数据合规:
变化纵横出新意——民法典中个人信息的定位及影响 2020-06
问答精选-解读《个人金融信息技术保护规范》2020-02
解读《信息安全技术 个人信息告知同意指南(征求意见稿)》2020-02
疫情防控 | 数据资源流转与公开 2020-02
疫情防控|同舟共济——不同场景下健康医疗数据流转的合规路径 2020-02
宜未雨而绸缪——企业上市关注的重点数据合规问题 2020-01
“数”年快乐——万字长文说“数据融合” 2020-01
平安夜里说平安——“数据资产”的误区与合规条件 2019-12
按图索骥——图示移动APP个人信息保护的重点 2019-11
大一统而慎始也——新型信用监管机制问答 2019-10
竹杖芒鞋轻胜马:医疗大数据发展和合规管理并重 2019-09
星光奉献给长夜——儿童个人信息保护的亮点和启示 2019-08
投资出行领域,数据是金矿还是烫手山芋?2019-07
Development Of PrcRegulations On Cross Border Data Transfer 2019-06
数据监管新要求,电子商务法时代跨境电商将走向何方? 2018-11
你的“饼干”安全吗?——Cookie 与个人信息保护 2018-08
“明者因时而变,知者随事而制” ——《个人信息安全规范》实务探讨 2018-02
谨于言而慎于行:互联网信息内容服务管理新规出台 2017-08
No “Data”, No “Internet of Vehicles” 2017-07
布局“自动驾驶”:此时不为,更待何时?2017-07
Putting an “Invisibility Cloak” over Personal Information —— A discussion on “invisible waybills” introduced by express industry 2017-07
图解“车联网” 2017-06
无“数据”,怎“车联”?——“车联网”数据类核心业务法律监管刍议 2017-05
为个人信息披上一件“隐形衣”——从快递行业推行“隐形面单”说开去 2017-05
欲善其事,先利其器——解读《互联网信息内容管理行政执法程序规定》 2017-05
你的数据,能不能走出国门? 2017-04
中国推进个人信息保护 2017-04
2017年,大数据合规离我们有多远? 2017-01
隔耳有“墙”——从美国FCC新规则谈个人信息保护新趋势 2016-12
个人信息保护的百万罚单时代来了? 2016-11
网络安全:
Innovations & New Developments of Cybersecurity Review Measures
“柳暗花明又一村”——金融产业链的困局及破局思路 2020-03
“云深不知处”——企业远程办公的网络安全常见问题及建议 2020-02
“管中窥豹”——《生物安全法》前瞻及现行生物安全相关监管体系回顾 2020-02
博观而约取,厚积而薄发:《密码法》要点评析及企业合规路径 2019-11
亡羊补牢未为迟:如何应对网络安全勒索事件 2019-06
“欲穷千里目,更上一层楼”——国际新形势下的等保2.0 2019-05
叶上初生并蒂莲——最新出台的《电子商务法》与《网络安全法》之比较 2018-09
《网安法》生效后不得不知的N件大事 2017-08
“新”电信业务办法:更简、更活、更规范 2017-07
必将婴城固守,皆为金城汤池——看《关键信息基础设施安全保护条例(征求意见稿)》 2017-07
Petya来袭,网络安全事件应急预案正当其时 2017-07
图解安全评估流程——互联网业务安全不可因“新”而废“管” 2017-06
《网络安全法》及其部分配套规定今起实施 2017-06
“一带一路”背景下中国企业境外并购的网络安全和数据合规问题 2017-06
十三五“新常态”下企业营商的合规挑战 2017-05
开启互联网新闻监管新时代——《互联网新闻信息服务管理规定》述评 2017-05
画龙画虎先画骨 ——解读《网络产品和服务安全审查办法(试行)》 2017-05
热点解读:网信办连续颁布三项重磅新规 2017-05
我知道你 在看 哦