.png)
.png)
.png)
.png)
作者:张善奋 如果从2012年11月原银监会成立消保局开始算,金融消费者权益保护工作已经开展逾10年。2015年,《国务院办公厅关于加强金融消费者权益保护工作的指导意见》(以下简称“81号文”)发布,将金融消费者权益保护工作提到了新的关注高度。互联网金融和大数据行业的繁荣但无序发展,让金融消费者保护的问题更为紧迫和突出。面对这个可能影响到金融稳定与安全的情况,国务院及金融监管高度重视,密集出台文件。2020年5月,中共中央及国务院发布《关于新时代加快完善社会主义市场经济体制的意见》,要求建立健全金融消费者保护基本制度。同年,中国人民银行发布《中国人民银行金融消费者权益保护实施办法》(以下简称“2019年5号文件”)。2022年,原银保监会发布《银行保险机构消费者权益保护管理办法》(以下简称“2022年9号文件”)。 在金融消费者权益保护工作体系中,很重要的一个子体系就是金融消费者个人信息保护。2013年修正的《消费者保护法》首次在立法层面将个人信息保护纳入了消费者保护的范围。国务院81号文要求金融机构保障金融消费者信息安全权,要求金融机构应当采取有效措施加强对第三方合作机构的管理,明确双方权利义务关系,严格防控金融消费者信息泄露风险,保障金融消费者信息安全。在央行2019年5号文件中,专章对消费者金融信息保护进行了规定,规定从金融信息的收集、使用、存储等角度做出了一定的要求。原银保监2022年9号文件要求,银行保险机构应当建立消费者个人信息保护机制,完善内部管理制度、分级授权审批和内部控制措施,对消费者个人信息实施全流程分级分类管控,有效保障消费者个人信息安全;同时,该文件还专章对保护消费者信息安全权做出规定,从信息收集、处理、第三方管理、权限管理、员工行为管理等角度做出了一定的要求。
一、金融行业个人数据收集及应用现状
要谈金融消费者个人信息保护,就先要了解金融机构获取信息的来源和用途现状。金融机构一般都会从以下几种渠道获取金融消费者个人信息:
1 金融消费者主动提供
消费者主动提供,一种是基于业务办理的需求。例如办理贷款时需要提供个人及配偶信息身份信息、联系信息、婚姻状况,财产收入信息、工作信息等;办理投保时需要提供投保人及受益人身份信息、病例及健康信息等。另一种是因为基于法律法规的要求。例如出于反洗钱的要求,消费者在办理现金业务存取的时候,超过一定数额时可能就会被收集现金来源或用途信息。还有一种是消费者为举证或处理与金融机构之间的纠纷而提供的信息,例如通话记录、电话录音、微信聊天记录等。
2 从征信机构获取
信贷类业务场景下,持牌机构对征信数据的需求一直很大,过去几年中,在互联网金融强劲势头的推动下,尤为明显。同时,根据金融监管“断直连”的要求,这几年大部分银行及经营信贷类业务的持牌机构都已经实现了与征信机构对接。从央行征信中心可以获得关于金融消费者较为详细的历史借贷及还款信息,从朴道和百行等个人征信机构可以获得多元化的个人征信信息(例如来自电商平台的信息)。
3 从非征信类第三方机构获取
自从“断直连”开始,部分原先从第三方直接获取的数据都不得不终止合作,有些个人征信机构能够提供的数据就切换到了征信机构。但是,并不是所有第三方提供的数据都被纳入了“断直连”的范围,或者说由于部分数据的“信用属性”不明显,导致金融机构与监管部门对“断直连”的数据范围认知存在不一致。对于目前不受“断直连”影响的其他金融机构,例如保险公司为核保理赔、理财公司为营销、证券公司为拉新等都在不同程度上从第三方获取数据。
4 金融机构为正常经营管理活动需要
金融机构为正常经营管理活动的需要,金融消费者在营业场所的录像录音信息等,提供客户服务时的电话录音或在线聊天记录等,这些都记录着与金融消费者有关的个人信息。
基于上述途径收集到的个人信息,金融机构会将数据进行不同程度的清洗、整理、加工后进行应用。以下为主要应用场景的举例:
银 行
银行通过大数据分析得出用户画像,在此基础上开展有效的精准营销,包括实时营销、交叉营销、个性化推荐和客户生命周期管理,并以微信、APP站内信或弹窗、短信、电话、邮件等多种方式向个人推荐金融产品。在精准营销的产业链中,金融机构也会和多个合作方合作,其中包括内容运营商、电销合作方等。
信贷风控是银行使用大数据最早也是需求最为旺盛的业务领域,应用于全流程,包括贷前预审核、贷中风险监测、贷后管理,主要目的在于信用风险防范、欺诈风险防范、催收等。
保 险
保险公司在保险产品开发阶段,会将个人信息应用于精算。对于大数据的合理运用恰好能够帮助保险公司更加精确地厘定保险费率,以及更准确地对风险进行评估。
保险公司利用大数据进行风险管理,预防和识别保险欺诈事件,例如在核保和理赔阶段进行欺诈风险排查。
保险公司通过智能化的大数据处理,机器学习等,实现智能判断和提供推荐方案及健康定价方案,保证保单客观公正的核保结果,实现智能核保。保险公司还可以利用个人数据,结合OCR技术、算法及模型等自动识别保险责任、自动理算保险金和自动分配金额,实现智能理赔或自助理赔。
证券投资
证券公司运用大数据技术挖掘客户需求,开展智能投顾业务,通过分析客户的风险偏好、资产规模、交易行为等数据,为客户提供具有优势的个性化投资方案。
证券公司对大量个人投资者样本进行跟踪分析,统计其投资收益率、持仓信息、交易信息,建立大数据模型,分析个人投资者交易行为变化情况、对市场看好情况、投资信心以及当前的风险偏好等,以此来预测市场行情的走向。
为满足监管对合规投资者的管理要求,证券、私募等公司也会通过建立投资者评估数据库,通过收集投资者个人信息、历史测评问卷信息信息、外部信息等,对合格投资者进行认定及测评。
支 付
在支付结算行业,金融机构主要利用数据,与算法、模型、系统相结合,实现实时交易反欺诈监测,对盗刷、冒名、套现、洗钱、网络诈骗等可疑行为进行预警和及时干预。
二、金融消费者个人信息保护的依据
有关金融消费者个人信息保护的问题,不能仅依据金融消费者保护相关法律法规及监管政策,还应当结合数据安全、个人信息保护相关法律法规,及个人金融数据相关法律法规、监管政策及行业标准。
1 有关金融消费者权益保护的依据(举例)
《中华人民共和国消费者权益保护法》《银行保险机构消费者权益保护管理办法》《国务院办公厅关于加强金融消费者权益保护工作的指导意见》《中国人民银行金融消费者权益保护实施办法》等;
2 有关数据安全、个人信息保护的依据(举例)
《网络安全法》《数据安全法》《个人信息保护法》《反洗钱法》等;
3 有关个人金融数据保护的依据(举例)
《中华人民共和国保险法(2015修正)》《中华人民共和国商业银行法(2015修正)》《征信业管理条例》《银行业金融机构数据治理指引》《银行保险机构信息科技外包风险监管办法》《征信业务管理办法》《证券期货投资者适当性管理办法》《个人金融信息保护技术规范》《金融数据安全 数据安全分级指南》《证券期货业数据分类分级指引》《证券期货业数据安全管理与保护指引》等。
这里要特别强调的是,由于金融行业是强监管行业,虽然都列入推荐性标准,但建议金融机构都应当遵循,这些金融行业标准可以视作是监管指导性文件。
三、实务之惑
金融机构的个人信息保护工作开展数年,实践中依然存在不少有待解决的实务之惑。这里笔者就举几个例子:
1 关于个人同意的获取
目前实践中,“个人同意”的获取分为两种,一种是直接获取,即金融机构通过APP、营业网点、电话、微信等方式,在接触到金融消费者个人时,以电子或纸质方式直接从消费者处获得个人同意;另一种是间接获取,即通过合作方向消费者个人获取。例如在数据收集阶段,将获取消费者同意的责任转嫁给数据提供方,让数据提供方在法律文本中进行承诺和兜底。但是金融机构必须清楚,对于数据提供方,其对数据来源的合法性及“提供”行为本身的合法性有法律上的义务与责任,但并不能绝对免除作为数据收集者的金融机构获取个人同意的法定义务,尤其是在“提供”行为与“收集”行为并不是一一对应或直接对应的时候。
2 关于最小及必要原则的适用
金融消费者信息收集时依然要关注最小及必要原则,但随着数字化时代的到来,该原则在金融机构的实践中面临挑战。例如,很多风控部门用于判断风险的数据,从早期几个单维度的数据项已经发展成多元化数据集,如消费者的网络浏览行为信息、电商消费行为信息等,在消费者看来,其并不是银行提供信贷服务的必要信息,收集此类数据也超出了最小范围。但对于银行信贷风控部门来说,在面临日益猖獗的黑产压力下,多元化的数据可以帮助银行更好、更准确地判断消费者个人的欺诈及违约概率。所以,如何既不违反法律及监管的规定,让金融消费者理解并同意,又能最大程度上满足金融机构对数据日益增长的应用需求,是需要在实践中解决的问题。
3 关于个人金融信息的分类分级
根据JR_T 0171-2020 《个人金融信息保护技术规范》、JR_T 0197-2020 《金融数据安全 数据安全分级指南》、JR_T 0158-2018 《证券期货业数据分类分级指引》及相关金融监管规定及标准,金融机构应当对收集来自不同来源的个人数据,按照敏感程度、安全影响程度分类或分级。
但上述标准在实际应用中还是存在局限性。例如JR_T 0171-2020 《个人金融信息保护技术规范》,该标准适用范围是提供金融产品和服务的金融业机构。金融业机构是指国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。但在实际应用中存在适用性问题。例如保险公司收集的投保人的病历信息、健康信息等,该类信息的泄露可能对财产安全影响不大,但是严重涉及个人隐私,按照现行JR_T 0171-2020标准的三类分法,可能还不是完全适用。所以,其他金融机构在适用时建议还是结合自身业务特点进行原则性把握。
4 关于委托处理
《个人信息保护法》规定,个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。2021年,银监发布《银行保险机构信息科技外包风险监管办法》(银保监办发〔2021〕141号),该文件对信息科技外包(其中也包括涉及银行保险机构重要数据和客户个人信息处理的信息科技活动)做出了要求。
实践中,金融机构与第三方的法律关系有时候是比较含糊的。有些合同约定的是委托处理个人数据的行为,但是实质上金融机构很少发指令给受托方,受托方往往有较大的自主空间;有些合同约定的是合作关系,但是实质上包含了委托处理的法律关系。所以,金融机构应当首先梳理清楚所有与第三方的法律关系,不同的法律关系,对应的法律上的权利义务不尽相同,监管要求也不一样。
如果确认是委托处理个人数据的法律关系,也需要根据数据的不同分类和分级来开展,分清楚禁止委托、有条件委托、无限制委托等情形。数据的分级分类会影响到委托行为的有效性、合规性,也影响到双方的权利义务约定。而个人数据的分级分类不明确或不准确,也会影响到委托处理的个人数据的安全性,以及责任的追究与承担问题。
笔者建议
1、建立金融机构建立以消保为核心的金融消费者个人信息保护体系
笔者认为,金融机构的金融消费者权益保护(包括个人信息保护)工作可以分为三个阶段:探索期、建立期、稳定期。
探索期包括了试探、尝试、调整、过渡。过去几年中,金融机构在金融消费者权益保护(包括个人信息保护)工作上处于探索期。在这个阶段,金融机构从零开始建立了一些流程、制定了一些制度、做了一些教育和培训、调整了一些治理架构和职能分工、执行了绩效考核和自评。头痛医头,脚痛医脚,在应付监管检查、消费者纠纷处理、内部考核的路上疲于奔命。
从2023年开始的接下来几年,笔者认为金融机构在金融消费者权益保护(包括个人信息保护)工作上应当开始进入建立期。建立期包括了尝试、建立、稳定。这个阶段仍然应当尝试,但应当尝试建立以金融消费者权益保护为核心的个人信息保护体系。连点成线、连线成面。2023年3月,中共中央、国务院发布了《党和国家机构改革方案》,该文件中已经确定将中国人民银行对有关金融消费者保护职责划入国家金融监督管理总局。随着职责的归拢,我们相信金融消费者保护工作(包括金融消费者个人信息保护工作)会在原先各家监管机构经验的基础上进行进一步的融合和升级,监管规定也会逐渐形成体系化。
2、建议将非金融部门的监管要求纳入金融消费者个人信息保护体系
目前,围绕着数据安全、个人信息保护的监管职责分布在不同的政府部门,除了金融行业监管部门,还有发改委、网信办、市场监督管理局、公安等部门。鉴于目前网络诈骗、黑产等情况日益猖獗,金融行业又是这些犯罪的高发领域,所以金融机构会接受多政府部门监管。金融机构会面临就同一问题需要向不同的部门进行汇报的情况,也会面临不同的部门关注的角度和汇报要求不一样的情况。
目前的实际情况是,有一些地方金融机构因为APP违规收集个人信息等原因,收到过网信等部门的整改要求,但是银行不予重视。若金融机构对其他政府部门的监管要求置之不理,可能在未来会面临较大的处罚风险。《中国人民银行业务领域数据安全管理办法(征求意见稿)》第四条明确,金融监管部门会在国家数据安全工作协调机制统筹协调下,依据本办法开展数据安全监督管理工作,积极支持其他有关主管部门依据职责开展数据安全监督管理工作,必要时可以与其他有关主管部门签署合作协议,进一步约定数据安全监督管理协作模式。所以,建议金融机构首先要重视非金融监管部门的监管要求,其次要尽可能的将共性的监管要求归类管理,再次是将个性化监管要求纳入金融消费者信息保护体系中进行规划。
3、建议金融机构将合作第三方纳入金融消费者个人信息保护体系
在金融消费者权益保护的问题上,以银行名义直接面对消费者的第三方,在消费者看来是代表着银行,而不论银行与第三方在法律上的关系。在过去的这些年中,大量数据公司、催收公司、电销公司等因为各类违法违规行为被刑事立案或行政处罚。这些公司的合作方往往牵连着金融机构,对金融机构的品牌形象、口碑非常不利。同时,金融机构大量的消费者投诉或纠纷也源于此,这些公司也成为了金融消费者个人数据泄露的重灾区。
将第三方纳入金融机构个人信息保护体系,并不只是一个法律合同或授权文本的修改问题,而是构建包括系统及权限管理、流程优化、合同权利义务、违约责任、外部审计或合规评估、金融消费者权益损害风险保证金等多种方式在内的一套完整的第三方管理体系。
