中国人民银行于2020年9月15日发布《金融消费者权益保护实施办法》(“新规”),将于2020年11月1日起施行,取代2016年12月14日的版本(“旧规”)。
该新规的征求意见稿(“新规征求意见稿”)曾于2019年12月27日发布,相对于新规征求意见稿,新规修改和删除内容比较多。
本文将围绕新规第三章关于消费者金融信息保护的规定,对比新规征求意见稿和旧规的规定,对新规下消费者金融信息合规管理风险进行分析。本文作者为北京高勤律师事务所的王源律师。
一、新规为部门规章,法律位阶更高,增加了金融信息管理中的刑事合规风险。
旧规以“银发[2016]314号”文发布,新规以“中国人民银行令〔2020〕第5号”文发布,新规经中国人民银行2020年第6次行务会议审议通过,发布形式为人民银行令。旧规仅为“规范性文件”,新规为“部门规章”,效力层级更高。
根据国务院办公厅《关于加强行政规范性文件制定和监督管理工作的通知》,行政规范性文件是除国务院的行政法规、决定、命令以及部门规章和地方政府规章外,由行政机关发布的具有普遍约束力,在一定期限内反复适用的公文,效力层级低于规章。
在《刑法》中,针对“信息”的某些罪名的入罪条件,有的为“违反国家有关规定”,有的为“违反国家规定”。
例如,《刑法》第253条之一侵犯公民个人信息罪规定,违反国家有关规定,向他人出售或者提供公民个人信息,构成犯罪;
第285条非法侵入计算机信息系统罪规定,违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,构成犯罪。
根据最高人民法院《关于准确理解和适用刑法中“国家规定”的有关问题的通知》,刑法中的“国家规定”是指,全国人大及人大常委制定的法律和国务院制定的行政法规;根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,“国家有关规定”是指,违反法律、行政法规、部门规章有关公民个人信息保护的规定。从现有的规范来看,刑法语境下的“国家规定”包括法律和行政法规,“国家有关规定”包括法律、行政法规、和规章,在任何情形下均不包括规范性文件,也即规范性文件无法成为刑事犯罪定罪量刑的依据,体现了刑法的审慎性。
新规的位阶由规范性文件上升为规章,旧规无法直接成为定罪量刑的依据,但违反新规有触犯刑法的风险。
二、新规没有对金融消费者的撤回、更正、删除和可携带权进行正面规定,也没有对跨境传输和委托分包处理进行规定,增加了金融信息合规管理中的不确定性风险。
旧规本身即对金融信息的收集和使用有所规定,新规征求意见稿进行了细化:(1)新规征求意见稿增加了间接收集个人信息渠道“合法”要求,间接获取了以非法方式收集的个人信息是不能使用的;(2)明确遵循合法、正当、必要原则下告知信息收集的目的、范围、方式后,收集金融信息需要获得明示同意;(3)更加严格限制“用于营销、用户体验改进、或者市场调查”之目的收集个人信息;(4)不能超出法定或者约定范围使用消费者金融信息;(5)增加确认发生信息安全事件后告知消费者。新规基本采用上述规定,并有所细化和修改。
对于旧规中没有的规定,新规征求意见稿也进行了增加:(1)增加消费者有权要求停止使用、更正不准确信息和要求删除的权利,金融机构仅在“法律”和“行政法规”另有规定的情形下,才可以拒绝更正和删除;(2)新规征求意见稿和旧规下的跨境传输均必须满足两大条件:其一、均以境内存储为原则;其二、均要求接收方必须是金融机构的关联机构。在此前提下,旧规只有在“法律法规及中国人民银行另有规定”的,才可以向境外提供;新规征求意见稿下只要“业务所必需”且满足一定条件,就可以跨境传输;(3)对分包商/委托处理方的管理义务规定中,旧规和新规征求意见稿均普遍性地要求金融机构必须审查评估外包服务商能力、签订协议明确权利义务、采取审查监督措施、并且最终对外包服务商的行为负责,新规征求意见稿增加规定合作关系终止后,金融机构应当监督外包服务供应商及时销毁从金融机构获取的消费者金融信息;(4)新规征求意见稿增加规定数据主体有权获取自己的数据并传输给指定第三方,鼓励金融机构在技术可行的前提下,基于金融消费者的请求,将其金融信息转移至金融消费者指定的其他金融机构。新规将上述规定全部删除,甚至将以前包含在旧规中的规定删除。
新规第三章中没有金融消费者更正、删除、访问和可携带权的正面规定,但是在第21条中规定,不得以通知、声明、告示等格式条款的方式排除或者限制金融消费者依法对其金融信息进行查询、删除、修改的权利;新规对于跨境传输和委托处理中分包商的管理责任也没有任何规定。中国人民银行在答记者问中说明“在延续原有的金融信息保护专章的基础上,以实现保护金融消费者信息安全权为目的,从信息收集、披露和告知、使用、管理、存储与保密等方面进行了优化。”新规的着眼点在于数据安全,并不过分强调金融消费者对信息控制权的诉求。但是,金融信息属于个人信息的一种,关于个人信息保护的一般性规定,仍然需要适用《消费者权益保护法》、个人信息保护法等一般性规定。
三、新规涉及金融机构、银行、支付机构概念间的关系,应反洗钱要求收集信息,拒绝接收金融营销信息选择权,信息安全事件告知和通知义务的细化,每一项均需要在金融信息合规管理中进行细化落地。
新规征求意见稿和新规均规定适用主体为银行和非银行支付机构,不包括旧规中提供跨市场、跨行业交叉性金融产品和服务的其他金融机构。按照新规的规定,银行和非银行支付机构之外的金融机构或者类金融机构是不适用新规的,例如保险公司、证券公司等。此外,处理金融信息的非金融机构也不在新规的适用主体范围之中,可以参照适用或者应银行和支付机构的要求间接适用新规。
新规结合《民法典》的规定,增加获得同意的例外,即法律、行政法规另有规定的除外。新规新增金融消费者不能或者拒绝提供必要信息,致使银行、支付机构无法履行反洗钱义务的,银行、支付机构可以根据《中华人民共和国反洗钱法》的相关规定对其金融活动采取限制性措施;确有必要时,银行、支付机构可以依法拒绝提供金融产品或者服务。因此反洗钱法为收集处理金融信息的例外规定,如果金融消费者不能或者拒绝提供信息,银行、支付机构可以限制或者拒绝提供服务。
新规和新规征求意见稿均区分“一般目的对外提供”和“用于营销、用户体验改进、或者市场调查对外提供”。 “一般目的对外提供”,银行、支付机构不得以金融消费者不同意处理其金融信息为由拒绝提供金融产品或者服务,但处理其金融信息属于提供金融产品或者服务所必需的除外;“用于营销、用户体验改进、或者市场调查”之目的,则不能要求必须提供,不提供不影响服务,默认“用于营销、用户体验改进、或者市场调查”之目的的对外提供并非提供金融产品或者服务所必需,除非可以证明“用于营销、用户体验改进、或者市场调查”是属于提供金融产品或者服务所必需。新规相对于新规征求意见稿,增加了必需向金融消费者提供拒绝接收营销信息的方式。
新规对于信息安全事件的通知和报告制度进行了分别规定。首先,在确认信息发生泄露、毁损、丢失时,银行、支付机构应当立即采取补救措施;其次,信息泄露、毁损、丢失可能危及金融消费者人身、财产安全的,应当立即向银行、支付机构住所地的中国人民银行分支机构报告并告知金融消费者;再次,信息泄露、毁损、丢失可能对金融消费者产生其他不利影响的,应当及时告知金融消费者,并在72小时以内报告银行、支付机构住所地的中国人民银行分支机构。可以看出,对于可能造成人身、财产损失的信息安全事件,上报和告知金融消费者的时间要求为“立即”;对于可能产生其他不利影响的信息安全事件,上报的时间要求为72小时,告知金融消费者的时间要求为“及时”。简言之,信息安全事件可能危及人身、财产安全,应当立即上报并告知金融消费者;信息安全事件可能产生其他不利影响的,应当72小时内上报并及时告知金融消费者。丰富了新规征求意见稿单一要求确认信息安全事件后72小时内通知金融消费者的规定,增加规定上报主管机关的义务,但是基于区分“人身、财产损失”和“其他不利影响”的上报和通知的“及时”或者“立即”的规定,实践中很难判断。
总结:银行和非银行支付机构的金融信息合规管理需要遵守《金融消费者权益保护实施办法》第三章关于消费者金融信息保护的规定。银行和非银行支付机构之外的处理金融信息的金融机构、类金融机构、非金融机构可以参照适用或者可能应银行和非银行支付机构的要求间接适用。《金融消费者权益保护实施办法》为中国人民银行制定的部门规章,法律位阶和效力层级更高,在部分刑法罪名中可以直接作为定罪量刑的依据,例如侵犯公民个人信息罪。《金融消费者权益保护实施办法》着眼点在于数据安全,包括信息安全制度和信息安全事件管理等,同时更加明确了金融消费者对于信息的控制权等数据保护的规定,例如在明确遵循合法、正当、必要原则下告知信息收集的目的、范围、方式后,收集金融信息需要获得明示同意以及根据反洗钱法收集信息的同意例外规定等,但是没有正面直接规定金融消费者的撤回、更正、删除权,也没有对跨境传输和委托分包处理进行规定,需要适用个人信息保护的其他一般性规定,增加了金融信息合规管理中的不确定性风险。《金融消费者权益保护实施办法》第三章关于消费者金融信息保护的每项具体规定,均需要在金融信息合规管理中细化落地。
附:
“旧规”、“新规征求意见稿”和“新规”第三章关于消费者金融信息保护的规定
对比表及简评
旧规 | 新规征求意见稿 | 新规 | 简评 注:除非另有说明,指新规征求意见稿和新规相对于旧规的变化或者重点内容 | |
标题 | 《中国人民银行金融消费者权益保护实施办法》(银发[2016]314号) 2016年12月14日 | 《中国人民银行金融消费者权益保护实施办法(征求意见稿)》 2019年12月27日 | 《中国人民银行金融消费者权益保护实施办法》(中国人民银行令〔2020〕第5号) 2020年9月15日 | 名称不变 |
位阶 | 规范性文件 | 部门规章 | 部门规章 | 主体内容升格为部门规章,以人民银行令形式发布实施 |
名称 | 第三章 个人金融信息保护 | 第三章消费者金融信息保护 | 第三章消费者金融信息保护 | 将“个人”修改为“消费者” |
收集 | 第二十七条 本办法所称个人金融信息,是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。 | 第二十七条本办法所称消费者金融信息,是指金融机构通过开展业务或者其他合法渠道获取、加工和存储的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或服务相关的信息。 | 第二十八条本办法所称消费者金融信息,是指银行、支付机构通过开展业务或者其他合法渠道处理的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或者服务相关的信息。 消费者金融信息的处理包括消费者金融信息的收集、存储、使用、加工、传输、提供、公开等。 | 1. 均包括直接收集和从第三方间接收集 2. 对间接收集增加“合法”要求 3. 概括性兜底条款明确限定金融信息为“购买、使用”金融产品或者服务的信息 4. 将“金融机构”明确为“银行、支付机构” 5. 新规将新规征求意见稿中“获取、加工、存储”修改为“处理” |
收集共享转让 | 第二十八条 金融机构应当严格落实国家网络安全和信息技术安全有关规定,采取有效措施确保个人金融信息安全,至少每半年排查一次个人金融信息安全隐患。 收集个人金融信息时,应当遵循合法、合理、必要原则,按照法律法规要求和业务需要收集个人金融信息,不得收集与业务无关的信息或者采取不正当方式收集信息,不得非法存储个人金融信息; … | 第二十八条第一款和第二款金融机构收集、使用消费者金融信息,应当遵循合法、正当、必要原则,经金融消费者明示同意。金融机构不得收集与业务无关的消费者金融信息,不得采取不正当方式收集信息,不得变相强制收集消费者金融信息。 金融机构不得将金融消费者同意其将金融信息用于对外提供作为与金融消费者建立业务关系的先决条件,但该业务关系的性质决定需要预先同意的除外。 | 第二十九条银行、支付机构处理消费者金融信息,应当遵循合法、正当、必要原则,经金融消费者或者其监护人明示同意,但是法律、行政法规另有规定的除外。银行、支付机构不得收集与业务无关的消费者金融信息,不得采取不正当方式收集消费者金融信息,不得变相强制收集消费者金融信息。银行、支付机构不得以金融消费者不同意处理其金融信息为由拒绝提供金融产品或者服务,但处理其金融信息属于提供金融产品或者服务所必需的除外。 金融消费者不能或者拒绝提供必要信息,致使银行、支付机构无法履行反洗钱义务的,银行、支付机构可以根据《中华人民共和国反洗钱法》的相关规定对其金融活动采取限制性措施;确有必要时,银行、支付机构可以依法拒绝提供金融产品或者服务。 | 1. 规范收集原则,将“合法、合理、必要”按照《网络安全法》修改为“合法、正当、必要” 。 2. 增加收集金融信息获得消费者和监护人明示同意规定 3. 新规增加获得同意“法律、行政法规另有规定的除外” 3. 增加原则性规定“不得变相强制收集” 4. 新规增加因反洗钱要求提供信息的规定 |
共享转让委托处理 | 第三十一条 金融机构不得将金融消费者授权或者同意其将个人金融信息用于营销、对外提供等作为与金融消费者建立业务关系的先决条件,但该业务关系的性质决定需要预先做出相关授权或者同意的除外。 | 第二十八条第三款 金融机构收集消费者金融信息用于营销、用户体验改进或者市场调查的,应当以适当方式供金融消费者自主选择是否同意金融机构将其金融信息用于上述目的。金融消费者不同意的,金融机构不得因此拒绝提供金融产品或服务。 | 第三十条银行、支付机构收集消费者金融信息用于营销、用户体验改进或者市场调查的,应当以适当方式供金融消费者自主选择是否同意银行、支付机构将其金融信息用于上述目的;金融消费者不同意的,银行、支付机构不得因此拒绝提供金融产品或者服务。银行、支付机构向金融消费者发送金融营销信息的,应当向其提供拒绝继续接收金融营销信息的方式。 | 1.区分“一般目的对外提供”和“用于营销、用户体验改进、或者市场调查对外提供”。 “一般目的对外提供”,如果为非业务所必需,不能因不提供信息而拒绝提供服务;“用于营销、用户体验改进、或者市场调查”之目的,不提供不影响服务。 2.新规增加向金融消费者提供拒绝接收营销信息的方式。 |
收集 | 第三十条 金融机构通过格式条款取得个人金融信息书面使用授权或者同意的,应当在条款中明确该授权或者同意所适用的向他人提供个人金融信息的范围和具体情形,应当在协议的醒目位置使用通俗易懂的语言明确向金融消费者提示该授权或者同意的可能后果。 金融机构不得以概括授权的方式,索取与金融产品和服务无关的个人金融信息使用授权或者同意。 | 第二十九条金融机构应当履行《中华人民共和国消费者权益保护法》规定的明示义务,并保留有关证明资料。 金融机构通过格式条款取得消费者金融信息收集、使用同意的,应当在条款中明确收集的目的、方式、内容和使用范围,并在协议中以显著方式尽可能通俗易懂地向金融消费者提示该同意的可能后果。 | 第三十一条银行、支付机构应当履行《中华人民共和国消费者权益保护法》第二十九条规定的明示义务,公开收集、使用消费者金融信息的规则,明示收集、使用消费者金融信息的目的、方式和范围,并留存有关证明资料。 银行、支付机构通过格式条款取得消费者金融信息收集、使用同意的,应当在格式条款中明确收集消费者金融信息的目的、方式、内容和使用范围,并在协议中以显著方式尽可能通俗易懂地向金融消费者提示该同意的可能后果。 | 1. 明确明示告知才能收集个人信息的原则 2. 明确明示告知内容至少包括收集目的、范围、方式 |
使用 | 无 | 第三十条金融机构应当按照法律法规的规定和双方约定的用途使用消费者金融信息,不得超出范围使用。 | 第三十二条银行、支付机构应当按照法律法规的规定和双方约定的用途使用消费者金融信息,不得超出范围使用。 | 增加不能超出范围使用消费者金融信息 |
内部访问控制 | 第二十九条 金融机构应当建立个人金融信息数据库分级授权管理机制,根据个人金融信息的重要性、敏感度及业务开展需要,在不影响其履行反洗钱等法定义务的前提下,合理确定本机构员工调取信息的范围、权限及程序。 | 第三十一条金融机构应当建立以分级授权为核心的消费者金融信息使用管理制度,根据消费者金融信息的重要性、敏感度及业务开展需要,在不影响其履行反洗钱等法定义务的前提下,合理确定本机构员工调取信息的范围、权限。 金融机构应当严格落实信息使用授权审批程序,采取有效技术措施,确保消费者金融信息安全。 | 第三十三条银行、支付机构应当建立以分级授权为核心的消费者金融信息使用管理制度,根据消费者金融信息的重要性、敏感度及业务开展需要,在不影响本机构履行反洗钱等法定义务的前提下,合理确定本机构工作人员调取信息的范围、权限,严格落实信息使用授权审批程序。 | 内部信息访问控制,没有实质变化。 |
第三十二条 金融机构应当建立个人金融信息使用管理制度。因监管、审计、数据分析等原因需要使用个人金融信息数据的,应当严格内部授权审批程序,采取有效技术措施,确保信息在内部使用及对外提供等流转环节的安全,防范信息泄露风险。 | ||||
存储泄露报告 | 第二十八条第二款后半段和第三款 …应当采取符合国家档案管理和电子数据管理规定的措施,妥善保管所收集的个人金融信息,防止信息遗失、毁损、泄露或者篡改。在发生或者可能发生个人金融信息遗失、毁损、泄露或者篡改等情况时,应当立即采取补救措施,及时告知用户并向有关主管部门报告。 金融机构及其相关工作人员应当对业务过程中知悉的个人金融信息予以保密,不得非法复制、非法存储、非法使用、向他人出售或者以其他非法形式泄露个人金融信息。 | 第三十二条金融机构应当按照国家档案管理和电子数据管理规定,采取技术措施和其他必要措施,妥善保管和存储所收集的消费者金融信息,防止信息遗失、毁损、泄露或者篡改。 金融机构及其工作人员应当对消费者金融信息严格保密,不得泄露或者非法向他人提供。在确认信息发生泄漏、毁损、丢失时,金融机构应当在72小时以内采取补救措施并告知金融消费者。 | 第三十四条银行、支付机构应当按照国家档案管理和电子数据管理等规定,采取技术措施和其他必要措施,妥善保管和存储所收集的消费者金融信息,防止信息遗失、毁损、泄露或者被篡改。 银行、支付机构及其工作人员应当对消费者金融信息严格保密,不得泄露或者非法向他人提供。在确认信息发生泄露、毁损、丢失时,银行、支付机构应当立即采取补救措施;信息泄露、毁损、丢失可能危及金融消费者人身、财产安全的,应当立即向银行、支付机构住所地的中国人民银行分支机构报告并告知金融消费者;信息泄露、毁损、丢失可能对金融消费者产生其他不利影响的,应当及时告知金融消费者,并在72小时以内报告银行、支付机构住所地的中国人民银行分支机构。中国人民银行分支机构接到报告后,视情况按照本办法第五十五条规定处理。 | 新规对新规征求意见稿的信息安全事件告知和通知义务进行了细化规定: 1. 危及人身、财产安全:立即上报并告知金融消费者 2.其他不利影响:72小时内上报并及时告知 |
更正删除 | 无 | 第三十三条金融消费者发现金融机构违反法律法规、监管规定或者双方的约定收集、使用其金融信息的,有权要求金融机构停止使用并删除前述金融信息;发现金融机构收集、存储的消费者金融信息有错误的,有权要求金融机构予以更正。金融机构应当采取措施予以删除或者更正。法律、行政法规另有规定的除外。 | 无 | 1. 新规征求意见稿增加消费者要求停止使用、更正不准确信息和要求删除的权利 2. 新规征求意见稿规定金融机构仅在“法律”和“行政法规”另有规定的情形下,才可以拒绝更正和删除。不能根据“规章”和“规范性文件”等效力层级更低的规定拒绝消费者的请求。 |
跨境传输 | 第三十三条 在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,金融机构不得向境外提供境内个人金融信息。 境内金融机构为处理跨境业务且经当事人授权,向境外机构 (含总公司、母公司或者分公司、子公司及其他为完成该业务所必需的关联机构)传输境内收集的相关个人金融信息的,应当符合法律、行政法规和相关监管部门的规定,并通过签订协议、现场核查等有效措施,要求境外机构为所获得的个人金融信息保密。 | 第三十四条在中国境内收集的消费者金融信息的存储、处理和分析应当在中国境内进行。因业务需要,确需向境外提供消费者金融信息的,应当同时符合以下条件: (一)为处理跨境业务所必需; (二)经金融消费者书面授权; (三)信息接收方为完成该业务所必需的关联机构(含总公司、母公司或者分公司、子公司等); (四)通过签订协议、现场核查等有效措施,要求境外机构为所获得的消费者金融信息保密; (五)符合法律法规和其他相关监管部门的规定。 | 无 | 1. 旧规和新规征求意见稿均以境内存储为原则。 2. 旧规和新规征求意见稿均要求接收方必须是关联机构。 3. 新规征求意见稿相对于旧规要求放宽:旧规只有在“法律法规及中国人民银行另有规定”的,才可以向境外提供;新规征求意见稿下只要“业务所必需”且满足一定条件,就可以跨境传输。 |
委托处理/分包 | 第三十四条 金融机构保护消费者个人金融信息安全的义务不因其与外包服务供应商合作而转移、减免。 金融机构应当充分审查、评估外包服务供应商保护个人金融信息的能力,在相关协议中明确外包服务供应商保护个人金融信息的职责和保密义务,并采取必要措施保证外包服务供应商履行上述职责和义务。 | 第三十五条金融机构保护消费者金融信息安全的义务不因其与外包服务供应商合作而转移、减免。 金融机构应当充分审查、评估外包服务供应商保护消费者金融信息的能力,在相关协议中明确外包服务供应商保护消费者金融信息的职责和保密义务,并采取必要措施监督外包服务供应商履行上述职责和义务。合作关系终止后,金融机构应当监督外包服务供应商及时销毁从金融机构获取的消费者金融信息。 | 无 | 新规征求意见稿相对于旧规增加“合作关系终止后,金融机构应当监督外包服务供应商及时销毁从金融机构获取的消费者金融信息。” |
共享可携带权 | 无 | 第三十六条鼓励金融机构在技术可行的前提下,基于金融消费者的请求,将其金融信息转移至金融消费者指定的其他金融机构。 | 无 | 新规征求意见稿相对于旧规增加可携带权,及消费者可以要求把金融信息转给指定的其他金融机构,但为鼓励性规定,不是强制性要求,且要满足技术可行的条件。 |
声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
