征信宝官网
赢在信用时代

大数据时代金融消费者权益保护——专访人民银行金融消费权益保护局副巡视员朱红

 

人民银行征信

人民银行征信

 

来源:《中国征信》杂志2015年第3期
我国金融消费者权益保护概况
王晓蕾(以下简称“王”):非常高兴今天就金融领域消费者权益保护工作和您做个交流。总体而言,我觉得,金融消费者保护工作这个新领域有很多事情可以作为。
朱红(以下简称“朱”):是的,我也是这么认为的。金融消费者权益保护作为一个独立的概念提出,作为一项整体的制度推出,是近两三年的事,所以各项工作需要推进。一方面,目前还没有专门的法律,涉及金融消费者权益保护的现行法律规定,或者过于原则,操作性不强,或者法律层级低,效力不足,并且散落在诸多法律条文中,不成体系,存在着相互冲突、交叉,也存在着盲区,从而造成执行中管理机构与被管理机构之间的理解分歧,不同管理机构甚至同一管理机构的不同内设部门和分支机构的执法规则和执法力度差异。依法行政,首先要有明确、充分的法律依据,因此我们在制度建设上有很多工作要做。另一方面,目前“一行三会”均成立了专门负责金融消费者权益保护工作的内设机构,除了各自依法履职之外,还需要协调高效地开展金融消费者权益保护工作。而“一行三会”的消保部门如何与各机构内部的其他职能部门协调开展工作,也是需要探讨、磨合。
王:为了了解我们金融消保的情况,您能不能先跟我们介绍一下金融消保局的情况?
朱:“一行三会”分别设立了金融消费者权益保护机构。人民银行金融消费权益保护局职能定位:一是综合研究全国金融消费权益保护的重大问题,二是牵头其他相关部门制定有关的法律规定,三是加强对交叉性产品的投诉监测,协调有关部门的争议处理,四是履行人民银行行政职责范围内的金融消费权益保护工作。银监会银行业消费者权益保护局、证监会投资者保护局、保监会保险消费者保护局按照规定履行各自职责。目前,人民银行和银监会的省级派出机构都成立了金融消费者权益保护的专门处室,负责辖区内的相关工作。
金融消费权益保护局作为人民银行总行的内设司局,目前有业务综合、监督检查、投诉调查、金融教育、制度研究等5个处室,办公地点设在上海。同时加挂人民银行上海总部金融消费权益保护部的牌子,承担上海本地的金融消费权益保护工作。
王:在消保领域,我们有《中华人民共和国消费者权益保护法》,还有您刚才提到的其他散落的法律条款,相关法律条文的适用性如何?
朱:尽管对于《消保法》是否全面适用于金融消费者权益保护目前还有争议(我个人认为应当适用),但是,金融消费者权益保护的基本理念、基本原则是有法律依据的,例如《商业银行法》有保护储户的条款,《保险法》规定了对投保人、被保险人、受益人权益的保护。此外,《民法通则》、《合同法》等一般的民商事法律,也适用于金融消费者权益保护。比如消费者反应强烈的霸王条款、套叠合同以及含有夸大、虚假内容的广告宣传等,现行法律都是可以适用的。金融消费者的一些权利来源甚至可以追溯到《宪法》。
当然,在我国现行法律中是找不到“金融消费者”这个概念的,也就是说,我们没有针对金融消费者的专项性规定,对概念界定、执法保护等尚处在一个分散的状态,我们希望有明确的法律规定,一是解决对金融消费者的赋权问题,告诉金融消费者应该享受什么样的权利;二是解决对相关行政管理部门的授权问题,授予行政部门的职能、责任以及履职的原则、标准、手段、方式等。制定法律的过程会比较漫长,为表明国家对金融消费者权益保护的态度,人民银行会同“三会”,正在研究制定关于进一步加强金融消费者权益保护工作的指导意见,希望能以高于部门规章的形式发布,对金融消费者权益保护制度做一个综合性的说明。
王:除了制度建设方面,在您提到的监督检查方面,我们的情况大概是什么样的?
朱:监督检查包括两方面内容。一方面,我们在2013年、2014年分别进行了个人金融信息保护和银行卡领域金融消费者权益保护的专项检查,发现金融机构维护消费者合法权益的意识有所提高,也采取了内部管理、技术支持等方面的相应措施,但仍存在不少问题,两次检查都查出了几大类、几十个问题。从全国来看,三类问题比较突出:一是个人信息管理上存在问题,相应的制度不完善、执行不到位,员工的意识不足,技术手段欠缺,外包服务信息泄露存隐患;二是格式条款问题突出,比如用格式条款取得客户的概括性授权、用格式条款或套叠的合同增加客户义务或限制其他权利;三是跨境数据流动问题,比如服务器在境外而导致的数据出境、并表管理过程中境内分支机构与境外母行之间的信息流动、按照母国金融监管部门以及其他政府管理部门要求跨境提供数据等,由于我国目前对于数据流出没有限制性规定和诸如《个人数据保护法》等法律约束,国内机构涉及数据流出时就碰到了问题。
加强个人金融信息的保护
王:加强个人数据保护已经是国际共识,欧美等各国皆是如此,具体到个人金融信息这块也是这样的吗?
朱:是的。
日本在2006年将原本“各自为政”的《期货交易法》、《证券交易法》、《抵押担保证券业法》、《银行法》、《保险业法》等进行统筹修订,出台了《金融商品交易法》。在新的法律框架下,金融业不再有传统的银行、保险、证券、信托等具体区分,所有的金融商品交易都被视作金融机构与消费者的契约。在这个基础上,再配合《个人信息保护法》与《消费者契约法》,三管齐下,敦促金融机构充分重视客户的信息安全,投入资金与技术去保护客户的个人信息。
新加坡的《银行法》对客户信息保护相关条款的表述十分严格。若违反该法泄露客户信息,个人可被处以不超过12.5万新元的罚款,或者不超过三年的监禁,或两者并处。若为法人团体,则可被处以不超过25万新元的罚款。 正是由于泄露客户信息违法成本很高,因此不论是从银行管理层面的监管、教育和培训,还是从银行从业人员本身的自律来说,对客户信息的保护都极为谨慎。新加坡金融监管局要求银行必须对它们内部系统和网络进行定期内测,包括安全漏洞评估,并通过触探检测识别和纠正安全漏洞。不过,尽管法律责任很明确,但随着现代科技的不断发展,对客户信息的保护仍然面对众多挑战,2013年12月5日渣打银行新加坡分行被曝其私人银行客户中有647人的2月份银行账单资料外泄,成为新加坡首起银行客户资料遭窃事件。
英国的金融行为监管局负责各类金融服务机构的监管工作,它规定金融机构有责任保障消费者的个人信息不被盗用。这样既可以减少金融犯罪和个人财产损失,也有助于提升市场信心。因为大规模的信息泄露可能影响市场信心,消费者会质疑金融机构的诚信度和安全性。金融行为监管局会对金融机构保存的客户信息进行检查并提供整改意见;要求金融机构加强对能接触到大量客户信息的岗位应聘者的信用审查和犯罪记录审查;要求金融机构尽量减少客户信息在通信系统的使用,以避免不必要的暴露;对金融机构泄露客户信息课以重罚。2007年全国建筑协会一个雇员的笔记本电脑被盗,里面存储了大量客户的个人金融信息。金融行为监管局因其“没有有效的系统和控制措施管理信息安全风险”而对全国建筑协会罚款98万英镑。
欧盟地区也有一套完备的个人信息保护规则。特别是《欧盟个人信息保护指令》关于信息跨境流动的规则:决定跨境流动的基本原则是信息保护水平的充分与否。对内,通过指令为成员国确定信息保护的标准,禁止成员国借信息保护名义限制个人信息在欧盟境内的自由流动;对外,以信息接收国是否达到信息保护的充分性要求决定是否准许信息流出境外。充分性的评估由欧盟委员会综合考虑接收国的法律制度是否全面、执行机制是否健全等多方面因素来确定。比如,中资银行在欧盟区域的分支机构要按照并表要求向母行传递客户信息,是要经欧盟委员会设立的信息安全官审核批准的。
相比之下,我们的信息保护立法确实很薄弱。在金融领域的法律规定中,《反洗钱法》使用了“客户身份资料和交易信息”,《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》使用的是“个人信息”、“个人信用信息”,《商业银行信用卡业务监督管理办法》等用的是“客户资料”、“交易信息”。另外,还有《侵权责任法》中的“隐私权”、《消费者权益保护法》中的“个人信息”。这些概念之间有重叠,但都不是“个人金融信息”的概念。据我了解,只有《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)以概括+列举的形式对“个人金融信息”进行了定义,将“个人金融信息”分为个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息、衍生信息等七大类,同时规定,银行业金融机构在收集、保存、使用、对外提供个人金融信息时,坚持“数据要有规则使用”的最基本原则,确保信息安全,防止信息泄露和滥用。但《通知》仅为规范性文件,效力层次低,而且只适用于银行业金融机构。也就是说,在法律、行政法规层面还没有确立“个人金融信息”这个概念,更无从谈对它的法律定性和统一的规范。
王:推动个人数据保护的立法,加强个人信息的保护涉及老百姓生活的方方面面,我想应该是“一行三会”消保部门需要共同面对和推进的工作。
朱:加强个人信息的保护是金融消费者权益保护的重要工作内容。例如,在征信领域,只有加强了个人信息权益的保护,才能有效地进行信用信息的共享。个人金融信息涉及金融监督管理工作的各个条线,但是从金融消费者权益保护的角度来看应当是最全面的,所以,今后我们会将个人金融信息保护作为每年行政执法检查的常规性内容。
当然,金融消费者权益保护的监督检查能否取得实效,还有一些问题需要解决,例如检查需要完善,检查力量需要充实,消保检查与其他业务部门的业务需要协调。
金融消费者权益保护的第一责任人是金融机构,这可以说是一种共识。为了督促金融机构更加注重个人权益保护,我们正在尝试使用一些柔性的管理手段。第一个是金融机构按照标准每年进行自我评估,一方面让机构自查自省,另一方面它的自评估报告作为我们监管工作的一个重要参考依据。第二个是结合自评估报告、投诉情况、业务部门监管信息、案例分析等,我们对金融机构进行评估,这种评估也可能是结合某一特定产品对不同机构进行比较评估,从这个产品的开发设计、市场营销、售后服务、责任分配、争议处理等整个过程是否尊重并有效落实了消费者的知情权、选择权等法定权利。
王:这些评估的效果如何,特别是金融机构的自评估能发现什么问题?
朱:金融消费者权益保护工作的自评估刚刚做了两年,还处于试行阶段,要达到预期效果还需要几年的磨合。但我们已经看到了一些好的效果,例如,一些并没有被现场检查的金融机构对照人民银行通报的问题进行自我评估,发现自己也存在类似问题,开始主动找我们沟通,有的主动调整了业务规则、格式条款。我们也从机构的自评估报告中发现了一些问题,通过风险提示的方式,提醒金融机构自我调整。当然,也有一些机构大篇幅讲成绩而对于问题往往轻描淡写,有的甚至持应付的态度,交个半页纸的报告。对于这类机构,我们会给予更多的关注,适时采取更强硬一些的管理手段。
第三个是金融消费者权益保护环境的评估。我的理解是,金融消费权益保护不仅仅涉及金融机构和个人,同时受到当地政策环境、经济与文化水平、消费者受教育程度、司法保护水平、社会监督等许许多多因素制约,我们就想通过建立一个评估框架,对这些方面的因素进行综合考虑,看看他们对金融消费权益保护产生什么样的影响,以及各个指标所能体现消费者权益保护的程度。2014年,我们在广州、长沙和宁波三地进行试点。宁波的评估报告已经向社会公布了。试点的效果总体是好的,地方政府、相关监管机构、金融机构都是认可的。今年想适当扩大试点范围。
大数据对金融消费权益保护的挑战
王:目前大数据问题正深入影响了老百姓的生活,您怎么看待消费者对其在电商等平台上留下的交易活动痕迹的权益,以及平台基于对信息处理的精准广告投放等问题?
朱:网民在电商平台上留下的交易痕迹,经汇总后形成了刻画其行为习惯的重要依据,广告商通过对信息的挖掘分析,通过技术手段部署完整的广告投放、反馈、分析的闭环,对于不知情的消费者而言,确实存在侵害消费者权益的问题,我们知道在欧美等国是不能这么干的。
有两个突出的问题。第一个问题是电商平台等网站通过格式条款一次性取得消费者对使用相关信息的“概括性授权”是否是真正的、有效的授权。消费者要成为电商的客户就必须同意电商提出的格式条款,而格式条款充其量是通过加黑字体的方式告知消费者要同意电商使用相关信息,但是不会明确说明相关信息包括哪些信息、这些信息会储存在哪里、会如何进行后续加工和使用、会有哪些主体使用等等,也就是说消费者对信用的使用既没有知情权,也没有选择权。美国建立的退出(opt-out)、进入(opt-in)机制,则为金融消费者建立了基本的、明示性的选择权。
第二个问题是在消费者和电商之间,到底是谁、在什么环节上取得信息的所有权,这个很值得研究。例如,消费者在电商平台浏览而留下的痕迹,平台看到了并保存了这些痕迹,这本身应当没有问题,但是平台将这些痕迹对外销售或者经加工后再对外销售是否有区别?我在平台上的原始数据归谁?加工后的数据归谁?
王:对于这个问题我个人认为很多人存在一定的偏差,对于原始数据,很大程度上不一定是有意义的,而经加工成可以描述信息主体特征的信息更有意义。所以很多信息公司认为对外提供的经过加工的信息不涉及隐私,这是不对的,原始数据只是一些码流,恰恰是那些能归集到某一个主体名下的、反映其行为特征的信息构成隐私。
朱:我赞成您说的。对于电商等平台储存的一些基本信息的,你技术上可以记录这些信息,但不一定说明你有权去使用这些信息。据说有卖财务软件的公司,通过后台储存、甚至挖掘这些信息,号称经过一定的授权对外销售,或者是对客户推荐贷款等金融服务,凭借的就是未经有效授权的信息收集和使用,这连基本的底线都没有。
我刚换了一部手机,接完一个新号码的电话后,手机上会提示我是否将联系方式存在它的云上?现在很多人使用云存储,我想使用者是基于对“云”的运营商的信任,但是,这种信任的基础是什么?也就是说,是什么约束着运营商尊重消费者对信息的所有权并保障信息的安全权?
王:是的,这好比我们家里请一个保姆,把钥匙、孩子交给她后,我们不在家的时候她在家里翻箱倒柜翻个遍,恢复原样后你回来根本发现不了,你是什么感觉。
朱:曾经在一次研讨会上听到一家机构介绍它是如此了解客户的,它靠的不是客户填写的那些有限信息,而是通过技术手段的植入获得客户更广泛的信息。我很疑惑:是谁允许在消费者不知情的情况下这么植入的?如果认可信息是财产,那么未经他人许可或者在别人完全不知情的情况下通过软件植入获取信息,和盗窃他人财产有什么区别呢?像您刚才说到的这些情况,如果消费者对平台的信任感被破坏了,即使再在平台上开创一些新的应用功能,消费者还是会心有余悸的。
王:是的,这些都是涉及到个人数据的保护问题。之所以这个问题以前不太明显,我想是因为彼时信息是在平台的内部闭环内使用的,但是到了外部,如网贷平台(P2P)等,其使用就可能失控了。
朱:这里面还涉及一个问题,以商业银行为例,商业银行的个贷部门在办理贷款业务时获得的客户信息,信用卡部门是否有权利使用?在客户明确反对的情况下,你应当无权使用,至于消费者如何行使反对权,这涉及我们刚才讨论的问题。
在金融控股集团的格局下,我们知道格林斯潘当时提出的金融“防火墙”理念中,其实就有一个重要的方面——“信息防火墙”,就是防止客户信息在金控集团内部的滥用。除此之外,随着互联网技术的发展,集团内部的、非集团的各个业态通过互联网全部链接在一起。这些客户的信息在互联网这样一个开放的环境跑,如何控制它的信息安全非常重要。信息安全、资金安全和责任承担是我对互联网金融最关心的三大问题。
王:这方面,我觉得部分是因为我们一直喜欢给每个人贴个标签,把涉及某个人方方面面的信息都放在一起,这样个人几乎就没有隐私可言了,您觉得这对于个人的人身安全是好事还是坏事?
朱:你们在访谈大纲中用到的一个词——“裸奔”,非常形象。在大数据的背景下,通过对分散信息的“二次利用或开发”有可能对个人信息进行全方位、无遗漏的归集,有的数据从表面上看并不是个人数据,但是经由大数据处理之后就可以追溯到个人了,最典型的例子就是“人肉搜索”,这时“裸奔”的不仅仅是信息而是这个人,何来隐私、尊严?
大数据时代的个人信息保护确实面临着一些困境。比如说在立法方面,近年来,虽然我国加快了个人信息安全保护的立法进程,但《个人信息保护法》至今还在酝酿,个人信息保护领域缺少一部专门、权威的法律。在监管方面,存在管理标准无强制约束力,缺乏法律依据难以从严监管,行政处罚标准较低,使得违法成本过低,不足以遏制侵犯个人信息安全的违法行为等问题。除此之外,在技术方面、行业自律方面和信息主体的自我保护方面也还存在一定的问题。因此,加强对个人信息安全的保护必须多管齐下方能奏效。但这个过程并非一蹴而就的。
确实,个人信息不能够“裸奔”,我们要通过立法和加强监管等各种手段给个人信息“穿衣服”。但至于怎么穿、穿多少,衣服是否合身,怎样达到既保护个人信息安全,又不能因监管过度而对经济、社会发展造成负面影响的效果,这些都是需要综合考量的事情。
迫切需要法律立规则、授赋权
王:我知道在美国征信领域有《公平信用报告法》,它集中规范了信息在信贷领域的使用准则。谷歌公司之所以至今没有将其平台上信息使用到信贷领域,是谷歌在该法律约束下权衡利弊的选择结果,这不是它的主业,而反观我们国内,某电商平台说未来要打造为大数据公司,我认为其本质上在卖个人信息和个人隐私。
朱:目前,我们的个人信息保护的立法步伐还是太慢。刑法修正案七增加了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重。刑法修正案九草案(2014年11月讨论)取消了特殊主体的规定,还对“未经公民本人同意,向他人出售或者非法提供其个人信息,情节严重”的行为单独定罪。但是入刑的判断标准是“违反国家规定”,这个规定起码的是行政法规层级,我在第一个问题中已经谈到,我国涉及个人信息保护的立法并不完备,在没有法律、行政法规规定的领域,即使有出售个人信息的行为,也不能追究其刑事责任。这又回到了我们一直讨论的法律立规则、法律授权赋权问题,这不是靠合同可以约定的问题,是需要法律明确规定的。同时还存在恰当引用现有规定的问题。如客户开立账户时,到底应当按照“最少、必须”的原则收集信息,还是应当按照反洗钱规定的“九要素”收集信息?因此反洗钱规定的信息面要更宽,那么按照反洗钱规定收集的信息能否运用到别的业务领域?所以,制度建设除了“立”之外还有“改”——对现有规定的整合和梳理。
王:您刚才提到即便是传统技术下,我们知道有信息安全事件,在如今信息科技公司发展的云服务、云计算背景下,金融机构如何面对信息在传输、储存和使用等环节的新挑战?
朱:这确实一个需要严肃面对的问题。之前我们提到,金融机构在服务外包过程中容易出现信息安全问题,《通知》就此做了详尽的规定,规范向外包服务商、或其他有业务合作的信息公司提供个人金融信息的行为。
对于互联网企业宣传的云储存和云计算数据技术,从数据安全的角度出发,我的看法是:首先,要明确相关技术的业务本质和特性,让信息主体、数据源单位对相关的数据服务方案有知情权,数据怎么上传、怎么储存、怎么授权使用、可能的风险点等基本性问题,大家要知情;二是各方之间对于数据安全传输、储存和使用的责任一定要明确,目前,金融机构进行所谓的云储存、云计算等新技术要慎之又慎,尽管这可能导致在信息技术、安全标准、监管上,金融机构和从事金融业务的互联网企业间不公平、不平衡,但是客户金融信息无小事。三是对于客户信息的国家层面的立法体系建设要加紧,清晰的全责界定和严厉的违约惩罚是做好信息保护的法宝。
王:是的,这方面,除了金融机构之外,你觉得消费者方面需要注意什么问题?
朱:从消费者角度看,一方面保护信息安全的意识、能力和知识还很欠缺,另一方面,为更便利快捷地获得金融产品和服务,有时就忽略了对个人信息安全性的关注。包括我们自已在内,到金融机构去办业务,很少有人认真看合同、协议的条款,更谈不上真正了解、理解条款内容。我询问过银行理财柜台的柜员,客户是否会“钻研”合同,其实很多人更关心回报率,更关心能不能买上高收益率的产品,在购买产品时,合同条款似乎不重要,只有发生争议了,才发现合同条款对维护自己权利的影响。我在意大利的一家中资银行分行听到的是相反的情况,意大利人会认真研究从银行拿回来的合同。所以,加强个人权益保护意识的培育十分重要。
:非常感谢您接受我们的访谈。

 

 

征信宝(zhengxinbao.com) 微信号 ixinyong ,关于一切信用和信用的一切.

 

未经允许不得转载:征信宝官网 » 大数据时代金融消费者权益保护——专访人民银行金融消费权益保护局副巡视员朱红

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址