合规业务部 金杜律师事务所
近来,金融领域个人信息保护的立法、规范推进工作又有新的进展。继今年2月中国人民银行(“央行”)发布行业标准《个人金融信息保护技术规范》(JR/T 0171—2020)后,央行又于近日正式颁布了《中国人民银行金融消费者权益保护实施办法》(“《2020年实施办法》”)。《2020年实施办法》将于2020年11月1日生效,代替央行此前颁布的《中国人民银行金融消费权益保护工作管理办法(试行)》与《中国人民银行金融消费者权益保护实施办法》(“《2016年实施办法》”)。相较于此前两项规范性文件,《2020年实施办法》以中国人民银行令形式颁布,在《2016年实施办法》的基础上升格为部门规章,提升了保护金融消费者权益专门文件的法律效力位阶,有利于进一步规范银行、支付机构的经营行为。
从条款内容上看,《2020年实施办法》延续了《2016年实施办法》的基本体例,对金融机构在金融消费者权益保护层面的行为规范、消费者金融信息进行了专章规定。以下我们将重点考察《2020年实施办法》在金融消费者信息保护规则方面的新变化,探讨银行金融领域消费者个人信息保护的规范趋势。
1.《2020年实施办法》适用于哪些主体?
相对于《2016年实施办法》提到的银行业金融机构、非银行支付机构及“提供跨市场、跨行业交叉性金融产品和服务的其他金融机构”,《2020年实施办法》对其直接适用主体进行了限定,主要包含银行业金融机构以及非银行支付机构两类主体,并明确了银行业金融机构具体涉及的业务场景。[1]
参照适用主体上,《2020年实施办法》在《2016年实施办法》提到的征信机构基础上,增加了商业银行理财子公司、金融资产管理公司、信托公司、汽车金融公司、消费金融公司、个人本外币兑换特许业务经营机构。这一规定打消了此前对于“跨市场、跨行业交叉性金融产品和服务的其他金融机构”如何理解,以及证券公司、保险公司等金融机构是否适用《2016年实施办法》的争议与顾虑,而对于汽车金融公司、信托公司等非银行金融机构,在参照适用《2020年实施办法》的规定上也有了更加明确的依据。
2. 如何理解“消费者金融信息”的概念?
在了解“消费者金融信息”之前,有必要对“金融消费者”的概念进行明确。《2020年实施办法》延续了《2016年实施办法》的定义,即“购买、使用银行、支付机构提供的金融产品或者服务的自然人”。而对于消费者金融信息,《2020年实施办法》第二十八条将其定义为“银行、支付机构通过开展业务或者其他合法渠道处理的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或者服务相关的信息。”结合“金融消费者”的概念,我们理解《2020年实施办法》所提到的“消费者金融信息”将更多指向直接购买、使用金融产品或服务的自然人消费者,这相比于《2016年实施办法》中“个人金融信息”的定义可能存在细微差异。
《2016年实施办法》将“个人金融信息”定义为“金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。”该定义一定程度上将非自然人消费者购买、使用金融产品或服务场景下的个人信息也囊括其中,例如企业/机构客户场景下收集的企业联系人信息、高管信息等。相比之下,《2020年实施办法》将所保护的信息与“消费者”相关联,这是否意味着《2020年实施办法》在消费者金融信息保护层面排除了机构客户场景下个人信息处理的适用,有待进一步明确。
3. 《2020年实施办法》在消费者金融信息保护规则上有什么新变化?
总体上,《2020年实施办法》对于消费者金融信息保护的规则更为全面,一方面从立法技术上将消费者金融信息的收集、存储、使用、加工、传输、提供、公开合并为“消费者金融信息处理”,统一作为消费者金融信息保护规则的约束行为,另一方面结合一般消费领域的消费者权益保护机制和一般个人信息保护规则,对金融行业涉及的消费者信息及相关权益保护提出了要求,并对有关的罚则进行了明确。
消费者金融信息保护层面的“知情权”保障
《2020年实施办法》在一般性的合法、正当、必要的收集原则基础上,强调银行、支付机构应当征得金融消费者或其监护人明示同意,并列举了违反消费者明示同意原则的具体情形进行说明,例如变相强制收集消费者金融信息,不同意提供金融信息即拒绝提供金融产品等。相较于《网络安全法》体系下,收集个人信息一般要求征得个人信息主体同意,收集个人敏感信息要求征得个人信息主体明示同意的规则,《2020年实施办法》对征得金融消费者同意义务的设置更为严格,一定程度上反映金融领域个人信息的敏感性。同时,《2020年实施办法》也明确了“明示同意”的除外情况,即“法律、行政法规另有规定的除外”,以与其他个人信息及数据保护的既有规范进行有效衔接。
《2020年实施办法》也从保障金融消费者知情同意权利的角度,制定了银行、支付机构在金融消费者拒绝提供信息情形下的处理原则,即不得以消费者不同意为由拒绝提供金融产品或服务,但如存在金融消费者不能或拒绝提供必需信息,或者在致使银行、支付机构无法履行反洗钱义务的情况下,银行、支付机构可以适当考虑对消费者的金融活动采取限制性措施,或依法拒绝提供金融产品或服务。这一规定平衡了金融行业在保障金融交易安全和金融秩序层面的监管诉求,与银行、支付机构履行其法定反洗钱义务的要求进行了有效衔接。
此外,《2020年实施办法》延续了《网络安全法》、《消费者权益保护法》对于消费者/个人信息主体的知情权保障,要求银行、支付机构公开收集、使用消费者金融信息的规则,明示收集使用消费者信息的目的、方式和范围,并留存相关证明资料。同时,《2020年实施办法》延续并明确了使用格式条款明示金融消费者信息处理情况的可行性,也对格式条款的文本内容作出了明确要求。
营销活动的特别规范
《2020年实施办法》对于银行、支付机构使用消费者金融信息进行营销活动进行了专门的要求。具体而言,银行、支付机构收集消费者金融信息用于营销、用户体验改进或者市场调查的,应确保金融消费者自主选择是否同意的权利,且不得因金融消费者不同意而拒绝向其提供产品或服务。同时,银行、支付机构也应当设置明确的退出机制,向金融消费者提供拒绝继续接收金融营销信息的方式。这一规定作为《2020年实施办法》规范银行、支付机构的营销活动的重要规则内容,构成新规中金融消费者合法权益保障的重要方面。
保障消费者金融数据安全
《2020年实施办法》在原有规定的基础上,对银行、支付机构保障金融消费者信息安全层面进行了规则上的重申与发展。一方面,《2020年实施办法》强调了银行、支付机构及其工作人员对于消费者金融信息的保密义务,不得泄露或非法向他人提供,在发生信息安全事件时,《2020年实施办法》对银行、支付机构向金融消费者的告知义务、以及向央行等监管机关的报送义务进行了细化;另一方面,在消费者数据的使用、存储与保管上,要求银行、支付机构建立分级授权为核心的使用管理制度、采取技术措施和其他必要措施妥善保管消费者金融信息等。
金融消费者的投诉响应
《2020年实施办法》对银行、支付机构对金融消费者权益主张的响应机制进行了规定,这对于银行、支付机构在响应消费者行使其与消费者金融信息相关的权利层面同样提供了制度保障。相较于《网络安全法》体系下,数据控制者对个人信息主体权利主张的响应方式,《2020年实施办法》要求银行、支付机构对一般金融消费者权益主张的响应方式更为多样化:例如,银行、支付机构需要按年度发布金融消费者投诉数据和相关分析报告;需要建设金融消费者投诉处理信息系统,对投诉进行正确分类并按时报送相关信息;依法或依约定告知投诉人处理情况;同时,金融消费者对于银行、支付机构不受理投诉的情形,可以向监管机关(央行分支机构)投诉与转交,监管机关需要在收到投诉之日起7日内进行处理;此外,金融消费者还可以向调解组织申请调解、中立评估等等。我们理解,《2020年实施办法》对投诉方式的创新和管理,特别是要求监管机关(央行分支机构)在前期的积极参与,将为金融消费者实现主体权利降低成本,是对现有的个人信息保护体系的有力补充。
违反消费者金融信息保护规则的法律责任
《2020年实施办法》制定了单独的“法律责任”章节,明确了违反消费者金融信息保护义务的法律后果。虽然《2016年实施办法》第四十七条规定了监管机关规制侵犯金融消费者合法权益行为的措施,但是并非专门针对侵犯消费者金融信息的情形。具体而言,根据《2020年实施办法》第六十条,违反消费者金融信息保护义务可能导致的行政责任形式包括:警告、没收违法所得、罚款、停业整顿、吊销营业执照,记入信用档案并向社会公布等;同时,第六十三条还明确侵犯金融消费者权益的重大案件适用“双罚制”,除了追究银行、支付机构责任外,还将追究对侵害金融消费者权益重大案件负有直接责任的银行、支付机构高级管理人员和其他责任人员相应的行政责任。这一点与《网络安全法》第六十四条等对违反个人信息保护行为进行处罚的思路相类似。
期待信息跨境规则的进一步澄清
值得注意的是,尽管在现行规范下,《个人金融信息保护技术规范》(JR/T 0171—2020)已经设定对个人金融信息的本地化存储要求及跨境规则,《2020年实施办法》删去了《2016年实施办法》有关个人金融信息本地化存储和跨境传输限制的规则条款,预计这一调整对于实践中银行、支付机构因业务需求而须跨境传输个人金融信息适用何种规则将产生较大影响。
实际上,《网络安全法》层面对关键信息基础设施运营者的个人信息和重要数据跨境的要求,对于银行、金融业可能被认定为关键信息基础设施运营者的主体而言,也具有普遍适用的效力。但《2020年实施办法》的这一调整为未来金融行业数据跨境的立法规则预留了空间,除涉及消费者个人相关金融数据跨境需要从行业层面予以特别考虑外,《数据安全法》层面对于“重要数据”保护的制度走向,也同样会对金融行业数据保护及跨境规则产生体系化影响。
结语
《2020年实施办法》从部门规章层面,基于消费者权益保护的上位法视角,在规则上体现为银行、支付机构业务过程中对消费者权益的各方面保护,消费者金融信息保护构成其中重要一环。从个人信息及数据保护的视角出发,银行、支付机构除遵循《2020年实施办法》的要求外,也同样需要关注整体金融行业以及个人信息保护领域的一般性规定。而对于银行、支付机构以外的其他金融机构而言,可以预见的是未来也可能受制于基于金融行业细分维度的专门的信息保护规定。
但对于金融行业的各类机构而言,无论从消费者权益保护角度,还是金融消费者信息保护方面,当前的立法和监管思路都体现了“以人为本”的思路,即重视个体权利,寻求金融行业发展与个人权益的平衡。因此我们建议金融领域的各家企业,破除行业的信息壁垒,不仅加强消费者权益保护工作,更要注重个体权利实现的路径和方式,让包括消费者信息保护在内的合规及权益保护机制透明、便捷和实用。
附:金融消费者信息保护重点条款对比
《2016年实施办法》 | 《2020年实施办法》 |
第二十八条 收集个人金融信息时,应当遵循合法、合理、必要原则,按照法律法规要求和业务需要收集个人金融信息,不得收集与业务无关的信息或者采取不正当方式收集信息,不得非法存储个人金融信息;应当采取符合国家档案管理和电子数据管理规定的措施,妥善保管所收集的个人金融信息,防止信息遗失、毁损、泄露或者篡改。在发生或者可能发生个人金融信息遗失、毁损、泄露或者篡改等情况时,应当立即采取补救措施,及时告知用户并向有关主管部门报告。 |
第二十九条 银行、支付机构处理消费者金融信息,应当遵循合法、正当、必要原则,经金融消费者或者其监护人明示同意,但是法律、行政法规另有规定的除外。银行、支付机构不得收集与业务无关的消费者金融信息,不得采取不正当方式收集消费者金融信息,不得变相强制收集消费者金融信息。银行、支付机构不得以金融消费者不同意处理其金融信息为由拒绝提供金融产品或者服务,但处理其金融信息属于提供金融产品或者服务所必需的除外。 金融消费者不能或者拒绝提供必要信息,致使银行、支付机构无法履行反洗钱义务的,银行、支付机构可以根据《中华人民共和国反洗钱法》的相关规定对其金融活动采取限制性措施;确有必要时,银行、支付机构可以依法拒绝提供金融产品或者服务。 |
第三十一条 金融机构不得将金融消费者授权或者同意其将个人金融信息用于营销、对外提供等作为与金融消费者建立业务关系的先决条件,但该业务关系的性质决定需要预先做出相关授权或者同意的除外。 |
第三十条 银行、支付机构收集消费者金融信息用于营销、用户体验改进或者市场调查的,应当以适当方式供金融消费者自主选择是否同意银行、支付机构将其金融信息用于上述目的;金融消费者不同意的,银行、支付机构不得因此拒绝提供金融产品或者服务。银行、支付机构向金融消费者发送金融营销信息的,应当向其提供拒绝继续接收金融营销信息的方式。 |
第三十条 金融机构通过格式条款取得个人金融信息书面使用授权或者同意的,应当在条款中明确该授权或者同意所适用的向他人提供个人金融信息的范围和具体情形,应当在协议的醒目位置使用通俗易懂的语言明确向金融消费者提示该授权或者同意的可能后果。 金融机构不得以概括授权的方式,索取与金融产品和服务无关的个人金融信息使用授权或者同意。 |
第三十一条 银行、支付机构应当履行《中华人民共和国消费者权益保护法》第二十九条规定的明示义务,公开收集、使用消费者金融信息的规则,明示收集、使用消费者金融信息的目的、方式和范围,并留存有关证明资料。 银行、支付机构通过格式条款取得消费者金融信息收集、使用同意的,应当在格式条款中明确收集消费者金融信息的目的、方式、内容和使用范围,并在协议中以显著方式尽可能通俗易懂地向金融消费者提示该同意的可能后果。 |
/ |
第三十二条 银行、支付机构应当按照法律法规的规定和双方约定的用途使用消费者金融信息,不得超出范围使用。 |
第三十二条 金融机构应当建立个人金融信息使用管理制度。因监管、审计、数据分析等原因需要使用个人金融信息数据的,应当严格内部授权审批程序,采取有效技术措施,确保信息在内部使用及对外提供等流转环节的安全,防范信息泄露风险。 |
第三十三条 银行、支付机构应当建立以分级授权为核心的消费者金融信息使用管理制度,根据消费者金融信息的重要性、敏感度及业务开展需要,在不影响本机构履行反洗钱等法定义务的前提下,合理确定本机构工作人员调取信息的范围、权限,严格落实信息使用授权审批程序。 |
第二十八条 在发生或者可能发生个人金融信息遗失、毁损、泄露或者篡改等情况时,应当立即采取补救措施,及时告知用户并向有关主管部门报告。 |
第三十四条 银行、支付机构应当按照国家档案管理和电子数据管理等规定,采取技术措施和其他必要措施,妥善保管和存储所收集的消费者金融信息,防止信息遗失、毁损、泄露或者被篡改。 银行、支付机构及其工作人员应当对消费者金融信息严格保密,不得泄露或者非法向他人提供。在确认信息发生泄露、毁损、丢失时,银行、支付机构应当立即采取补救措施;信息泄露、毁损、丢失可能危及金融消费者人身、财产安全的,应当立即向银行、支付机构住所地的中国人民银行分支机构报告并告知金融消费者;信息泄露、毁损、丢失可能对金融消费者产生其他不利影响的,应当及时告知金融消费者,并在72小时以内报告银行、支付机构住所地的中国人民银行分支机构。中国人民银行分支机构接到报告后,视情况按照本办法第五十五条规定处理。 |
第四十七条 金融机构有侵害金融消费者合法权益的违规行为的,中国人民银行及其分支机构可以采取以下措施: (一)约谈其董(理)事会或者高级管理层; (二)责令其限期整改; (三)向其上级机构、行业监管部门、行业内部、社会通报相关信息; (四)依照《中华人民共和国消费者权益保护法》以及相关法律、行政法规、规章进行处罚; (五)中国人民银行职责范围内依法可以采取的其他措施。 |
第六十条 银行、支付机构有下列情形之一,侵害消费者金融信息依法得到保护的权利的,中国人民银行或其分支机构应当在职责范围内依照《中华人民共和国消费者权益保护法》第五十六条的规定予以处罚: (一)未经金融消费者明示同意,收集、使用其金融信息的。 (二)收集与业务无关的消费者金融信息,或者采取不正当方式收集消费者金融信息的。 (三)未公开收集、使用消费者金融信息的规则,未明示收集、使用消费者金融信息的目的、方式和范围的。 (四)超出法律法规规定和双方约定的用途使用消费者金融信息的。 (五)未建立以分级授权为核心的消费者金融信息使用管理制度,或者未严格落实信息使用授权审批程序的。 (六)未采取技术措施和其他必要措施,导致消费者金融信息遗失、毁损、泄露或者被篡改,或者非法向他人提供的。 |
/ |
第六十三条 对银行、支付机构侵害金融消费者权益重大案件负有直接责任的董事、高级管理人员和其他直接责任人员,有关法律、行政法规有处罚规定的,依照其规定给予处罚;有关法律、行政法规未作处罚规定的,中国人民银行或其分支机构应当根据情形单处或者并处警告、处以五千元以上三万元以下罚款。 |
[1] 根据《2020年实施办法》第二条,具体的业务场景包括:(一)与利率管理相关的;(二)与人民币管理相关的;(三)与外汇管理相关的;(四)与黄金市场管理相关的;(五)与国库管理相关的;(六)与支付、清算管理相关的;(七)与反洗钱管理相关的。(八)与征信管理相关的;(九)与上述第一项至第八项业务相关的金融营销宣传和消费者金融信息保护;(十)其他法律、行政法规规定的中国人民银行职责范围内的金融消费者权益保护工作。
作者:
陈胜男 颜婷婷