基于金融与数据的紧密联系,数据安全与信息保护在金融领域的意义尤为重要。在大数据时代,金融行业得益于海量数据勾勒出的多维度信息,有效缓解了信息不对称问题,金融服务覆盖面和便利性显著提升。但同时,个人金融信息泄露、不当使用等突出问题也越来越引发关注。 在这一背景下,提升个人金融信息保护能力迫在眉睫。近日,为响应国家和行业对个人信息保护的要求和规范,加强对金融行业数据安全的保护,进一步提高个人金融信息保护能力,配合《个人金融信息保护技术规范》等标准的推广实施,中金国盛认证中心(以下简称“中金国盛”)推出了个人金融信息保护能力认证。 对此,业内专家均表示,这一认证有必要,但要持续加强基础性研究,做好制度保障、技术保障和市场平台保障,才能有效发挥作用。 据了解,本次中金国盛推出的认证是针对开展或拟开展提供金融产品或服务的企业法人,在个人金融信息收集、存储、传输、处理等各环节中对个人金融信息保护能力进行标准符合性评估。 “国家正在加紧立法,保护个人隐私与消费者数据信息。”数据治理领域专家王昭彧告诉《金融时报》记者,当前,《数据安全法》《个人信息保护法》已面向社会征求意见。同时,金融行业管理部门针对个人金融信息保护的监管体系也在逐步完善。2019年10月,人民银行就《个人金融信息(数据)保护试行办法》面向社会征求意见,并将根据国家颁布的各项法律及时推出《个人金融信息保护暂行办法》。 王昭彧表示,尽管目前也陆续出台了一系列规范性要求,但金融信息保护领域的最大困难是法规“失之于宽,过于宽泛或模糊的定义让政策执行难上加难”。确切来说,在个人金融信息保护领域并非没有标准,而是大多数普通金融消费者由于专业知识不足、信息不对称等综合因素,无从判断自己的权益是否受到侵害。 “2020年,人民银行正式发布了《个人金融信息保护技术规范》,详细规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面对个人金融信息保护提出了规范性要求。”王昭彧肯定了上述规范的意义,但同时也表示,上述标准都很专业,涉及到生物识别、账户信息等多方面,普通的金融消费者可能难以借此维权。 从这个意义上讲,加强认证工作是有意义且十分必要的。“相当于一个专业的第三方机构,对个人金融信息保护的各方面进行专业的评估。如果认证标准和结果能够充分披露和解释,从普通消费者到业内都将有一个更明晰的认识。”王昭彧表示,这有助于落实个人金融信息全流程保护要求,切实保护金融消费者的合法权益。 “个人金融信息保护能力认证的出发点是好的,但市场接受度还有待检验。”金融科技行业专家苏筱芮表示,如果对标我国信息系统可以看到,当前我国对信息安全产品实行等级管理,其中“三级等保”是指信息系统经过定级、备案这一流程之后,确定为第三级的信息系统。“‘三级等保’是对非银行机构的最高等级保护认证。这一认证由公安机关依据国家信息安全保护条例及相关制度规定,按照管理规范和技术标准,对各机构的信息系统安全等级保护状况进行认可及评定,具有较高的权威性。” “如果想收到良好效果,认证就必须具备足够的市场公信力,并要考虑市场对该认证的需求和接受度。”苏筱芮表示,“例如,金融机构能否将此认证结果作为评级的参照选项,与金融机构有密切业务往来的科技公司是否也可进行该认证,认证结果能否成为金融机构筛选合作伙伴的参照系。”她表示,金融标准化要与适应性、竞争性和普惠性的现代金融体系对接起来,持续增强金融服务实体经济的能力。 需要强调的是,与其他认证业务相比,个人金融信息保护能力认证具有多重特点。例如,该认证面向组织整体开展,而不是面向某一特定产品、服务的认证。而且,该认证是依据人民银行对于数据能力建设的整体框架,面向个人金融信息全生命周期开展的,以国家标准作为底线、行业标准作为门槛,同时充分考虑了组织实际情况,结合组织已开展的相关认证、测评工作,引入互认机制。可以说,这项认证工作必须要由“专业的机构做专业的事”。 实际上,过去几年里,从非银行支付机构支付业务设施技术认证,到金融科技产品认证,金融科技检测认证体系正在蓬勃发展,也逐渐得到了市场认可。中国人民银行科技司二级巡视员、金标委秘书长杨富玉此前介绍,2019年通过建立金融科技产品认证体系,将客户端软件、条码支付受理终端、声纹识别系统和云计算平台等11种金融科技产品纳入国家统一推行的认证体系,以行业标准和团体标准实施为手段,强化金融科技安全与质量管理。上述金融科技产品认证后不到一年,已有商业银行、证券、保险、非银行支付机构等机构的2000余款客户端软件提出认证申请,850款软件完成认证,其中202款通过认证后已被互联网金融协会采信并对通过认证客户端软件进行备案公示。 “个人金融信息保护能力认证本身有其必要性,也有相应的市场需求。但是,最终能否很好落地,还需要考虑多重因素。”王昭彧建议,要加强金融信息乃至信息治理领域的基础研究,更加清晰界定权责边界。“数据确权是一个最核心的问题。数据可复制、易留存,所有权、控制权因为共享使用而发生让渡。我们应针对这些特点进一步深入研究。” 王昭彧表示,要更好解决个人金融信息保护问题,需同时加强制度保障、技术保障和市场保障。制度保障既包括《民法典》等法律从原则上加以确立,也包括建立具体可执行的标准,而后两者则要求监管机构或第三方认证机构具备相应的软硬件实力。如此,好的制度才能真正落地见效。
天眼查APP显示,12月30日,北京蚂蚁云金融信息服务有限公司发生工商变更,胡喜退出公司法定代表人、董事长,新增蚂蚁金服CTO倪行军为法定代表人、董事长。 北京蚂蚁云金融信息服务有限公司成立于2015年1月,注册资本3000万人民币,公司经营范围包括金融信息服务;销售自行开发的产品;产品设计;经济贸易咨询;受金融机构委托从事金融信息技术外包;接受金融机构委托从事金融业务流程外包等。该公司由蚂蚁科技集团股份有限公司全资持股。
作者为苏宁金融研究院高级研究员孙扬 《中国人民银行金融消费者权益保护实施办法》(以下简称《办法》)将于2020年11月1日起施行。这对于相关金融机构日常业务经营有哪些影响?金融机构该如何避免踩坑被罚款呢?下文将通过生动、具体的案例进行讲解。 只有银行机构被《办法》覆盖? 错!银行机构、支付机构、商业银行理财子公司、金融资产管理公司、信托公司、汽车金融公司、消费金融公司以及征信机构、个人本外币兑换特许业务经营机构都被《办法》覆盖。 未经消费者允许发送金融营销短信,违规! 现在很多金融机构会和运营商合作,通过运营商提供的手机号码名单发送金融产品推荐短信给消费者。实际上,如果消费者没有同意运营商和金融机构向其发送商业信息。这就同时违反了《消费者权益保护法》第二十九条和《办法》第三十条的规定,会面临当地市场监督管理局和金融监管部门的双重处罚。 如果消费者允许金融机构可以通过短信/微信/邮件等方式向其发送金融营销信息,但是《办法》规定——营销信息里面必须有拒绝继续接收金融营销信息的方式。 理财产品宣传上说“保本无风险”,违规! 比如某家银行推出了一种理财产品,宣称预期收益率4.8%,约定2年期还本付息,产品宣传文字中明确承诺保本保息。这种营销方式明示了保本、无风险和保收益,未来也是违规会受到处罚的。 根据《办法》第二十三条,银行、支付机构在进行营销宣传活动时,不得有下列行为——明示或者暗示保本、无风险或者保收益等,对非保本投资型金融产品的未来效果、收益或者相关情况作出保证性承诺。 强制搭售产品、擅自改变金融服务内容,违规! 现在金融业务服务线上化程度较高,APP成为主要金融服务渠道。我们经常看到申请贷款的流程里面默认用户办理保险;在购买手机支付的路径上,平台方强制消费者用消费贷款购买手机;将用户信用卡欠款自动转为分期付款。 以后这种都不能做了,根据《办法》第六十二条,以下场景将予以处罚——“擅自代理金融消费者办理业务,擅自修改金融消费者的业务指令,或者强制搭售其他产品或者服务。” 以拒绝提供金融产品和服务,要挟获取消费者金融信息的,违规! 某银行信用卡中心的APP,为用户提供“周边游”服务。一般来说,“周边游”服务获取消费者位置信息就可以了,但是该行信用卡中心还需要获得用户的个人微信号,如果不给,就停止服务。这实际上已经超出了提供该服务所必须的金融信息的范围了。 某银行贷款APP,未经消费者同意,也未作匿名处理,就通过嵌入贷款APP的地图SDK向第三方提供用户位置信息。很多金融机构通过这种方式在后台悄悄地获取用户信息,11月1日之后,将面临监管部门大额的处罚。 《办法》第二十九条规定,银行、支付机构处理消费者金融信息,应当遵循合法、正当、必要原则,经金融消费者或者其监护人明示同意,但是法律、行政法规另有规定的除外。银行、支付机构不得收集与业务无关的消费者金融信息,不得采取不正当方式收集消费者金融信息,不得变相强制收集消费者金融信息。向金融消费者发送金融营销信息的,应当向其提供拒绝继续接收金融营销信息的方式。 格式条款免除金融机构责任,加重消费者责任的,违规! 现在有些金融机构通过格式化合同、条款或者协议,增加消费者需要承担的责任,减少金融机构责任。比如“客户同意,无论XX机构是否同意其贷款申请,XX机构都可以将其金融信息用于其他业务目的”,还比如“XX机构可以在客户贷款还未到期的时候,宣布客户贷款已经到期,并进行名下所有银行账户扣款的操作”。这违背了《办法》第二十一条的规定,通过格式条款侵害了消费者合法权益。 《办法》第二十一条还规定了必须用“显著”方式提醒消费者格式条款:银行、支付机构向金融消费者提供金融产品或者服务时使用格式条款的,应当以足以引起金融消费者注意的字体、字号、颜色、符号、标识等显著方式,提请金融消费者注意金融产品或者服务的数量、利率、费用、履行期限和方式、注意事项、风险提示、纠纷解决等与金融消费者有重大利害关系的内容。 消费者金融信息没有落实分类分级授权,违规! 一些金融机构使用消费者金融信息的方式比较粗放,比如某农商行因为违规泄露客户信息给外部商业机构被罚款,该行客户信息泄露责任人被禁止从事银行业工作3年。 党群工作部员工能够访问消费者征信信息,供应链贷款开发部员工能够访问到消费者的金融消费记录,金融市场部员工能够访问消费者个人财产信息,这些都属于不合理的数据访问。金融机构需要建立起符合业务需求和实际需要的的分类分级授权的消费者金融信息使用管理制度,消费者金融信息的使用要有面向使用部门和角色的明确合理的访问权限控制机制,要有明确有效的分级授权审批程序。金融机构内部人员对于消费者金融信息的访问和使用必须通过日志、后台记录方式留痕。 办理信用卡业务收集的个人信息未经许可用于推销保险,违规! 客户在办理信用卡的时候,填写的个人金融信息,只是用于申请和使用信用卡的,并未明确允许用于保险业务推销,也没有允许信用卡中心将信息推送给保险公司。这是严重侵犯了金融消费者权益。 《办法》第六十条明确规定了,消费者金融信息依法受到保护。具体来说,金融机构如果超出法律法规规定和双方约定的用途使用消费者金融信息,必将受到处罚。 未经消费者允许擅自挪用客户资金,违规! 2019年,某银行某支行的客户经理,未经储户允许,历经6个月,从储户的账户上转走近70万元,用于网络赌博平台购买彩票,致使储户损失惨重。 一些金融机构,在处理此类案件的时候,不够维护客户利益,甚至推诿到个人身上,以解雇相应客户经理了事。但是,以后就不行了,不但司法机关会介入查处挪用资金罪,金融监管部门也会依法处罚此类案件。 《办法》第十二条明确规定:金融机构应当依法保障金融消费者在购买、使用金融产品和服务时的财产安全,不得非法挪用、占用金融消费者资金及其他金融资产。未来监管将会严查此类事件,并重罚。 没有全流程的消费者权益保护机制,违规! 《办法》第九条规定,银行、支付机构应当建立健全涉及金融消费者权益保护工作的全流程管控机制,确保在金融产品或者服务的设计开发、营销推介及售后管理等各个业务环节有效落实金融消费者权益保护工作的相关规定和要求。 消费者权益保护要从营销向前延展到产品设计开发阶段,向后要延展到售后管理阶段。金融监管部门一定会检查对应产品。比如某贷款产品,在产品设计开发阶段有没有明确的环节审核消费者权益保护内容;在宣传海报设计阶段,有没有防止侵害消费者权益的讨论纪要。所以,金融监管更加注重从金融机构业务经营的过程中来确保金融机构有实实在在的消费者权益保护的举措,而不仅仅是根据举报信息和产品信息来评估。
《中国人民银行金融消费者权益保护实施办法》(以下简称《办法》)将于2020年11月1日起施行。这对于相关金融机构日常业务经营有哪些影响?金融机构该如何避免踩坑被罚款呢?下文将通过生动、具体的案例进行讲解。只有银行机构被《办法》覆盖?错!银行机构、支付机构、商业银行理财子公司、金融资产管理公司、信托公司、汽车金融公司、消费金融公司以及征信机构、个人本外币兑换特许业务经营机构都被《办法》覆盖。未经消费者允许发送金融营销短信,违规!现在很多金融机构会和运营商合作,通过运营商提供的手机号码名单发送金融产品推荐短信给消费者。实际上,如果消费者没有同意运营商和金融机构向其发送商业信息。这就同时违反了《消费者权益保护法》第二十九条和《办法》第三十条的规定,会面临当地市场监督管理局和金融监管部门的双重处罚。如果消费者允许金融机构可以通过短信/微信/邮件等方式向其发送金融营销信息,但是《办法》规定——营销信息里面必须有拒绝继续接收金融营销信息的方式。理财产品宣传上说“保本无风险”,违规!比如某家银行推出了一种理财产品,宣称预期收益率4.8%,约定2年期还本付息,产品宣传文字中明确承诺保本保息。这种营销方式明示了保本、无风险和保收益,未来也是违规会受到处罚的。根据《办法》第二十三条,银行、支付机构在进行营销宣传活动时,不得有下列行为——明示或者暗示保本、无风险或者保收益等,对非保本投资型金融产品的未来效果、收益或者相关情况作出保证性承诺。强制搭售产品、擅自改变金融服务内容,违规!现在金融业务服务线上化程度较高,APP成为主要金融服务渠道。我们经常看到申请贷款的流程里面默认用户办理保险;在购买手机支付的路径上,平台方强制消费者用消费贷款购买手机;将用户信用卡欠款自动转为分期付款。以后这种都不能做了,根据《办法》第六十二条,以下场景将予以处罚——“擅自代理金融消费者办理业务,擅自修改金融消费者的业务指令,或者强制搭售其他产品或者服务。”以拒绝提供金融产品和服务,要挟获取消费者金融信息的,违规!某银行信用卡中心的APP,为用户提供“周边游”服务。一般来说,“周边游”服务获取消费者位置信息就可以了,但是该行信用卡中心还需要获得用户的个人微信号,如果不给,就停止服务。这实际上已经超出了提供该服务所必须的金融信息的范围了。某银行贷款APP,未经消费者同意,也未作匿名处理,就通过嵌入贷款APP的地图SDK向第三方提供用户位置信息。很多金融机构通过这种方式在后台悄悄地获取用户信息,11月1日之后,将面临监管部门大额的处罚。《办法》第二十九条规定,银行、支付机构处理消费者金融信息,应当遵循合法、正当、必要原则,经金融消费者或者其监护人明示同意,但是法律、行政法规另有规定的除外。银行、支付机构不得收集与业务无关的消费者金融信息,不得采取不正当方式收集消费者金融信息,不得变相强制收集消费者金融信息。向金融消费者发送金融营销信息的,应当向其提供拒绝继续接收金融营销信息的方式。格式条款免除金融机构责任,加重消费者责任的,违规!现在有些金融机构通过格式化合同、条款或者协议,增加消费者需要承担的责任,减少金融机构责任。比如“客户同意,无论XX机构是否同意其贷款申请,XX机构都可以将其金融信息用于其他业务目的”,还比如“XX机构可以在客户贷款还未到期的时候,宣布客户贷款已经到期,并进行名下所有银行账户扣款的操作”。这违背了《办法》第二十一条的规定,通过格式条款侵害了消费者合法权益。《办法》第二十一条还规定了必须用“显著”方式提醒消费者格式条款:银行、支付机构向金融消费者提供金融产品或者服务时使用格式条款的,应当以足以引起金融消费者注意的字体、字号、颜色、符号、标识等显著方式,提请金融消费者注意金融产品或者服务的数量、利率、费用、履行期限和方式、注意事项、风险提示、纠纷解决等与金融消费者有重大利害关系的内容。消费者金融信息没有落实分类分级授权,违规!一些金融机构使用消费者金融信息的方式比较粗放,比如某农商行因为违规泄露客户信息给外部商业机构被罚款,该行客户信息泄露责任人被禁止从事银行业工作3年。党群工作部员工能够访问消费者征信信息,供应链贷款开发部员工能够访问到消费者的金融消费记录,金融市场部员工能够访问消费者个人财产信息,这些都属于不合理的数据访问。金融机构需要建立起符合业务需求和实际需要的的分类分级授权的消费者金融信息使用管理制度,消费者金融信息的使用要有面向使用部门和角色的明确合理的访问权限控制机制,要有明确有效的分级授权审批程序。金融机构内部人员对于消费者金融信息的访问和使用必须通过日志、后台记录方式留痕。办理信用卡业务收集的个人信息未经许可用于推销保险,违规!客户在办理信用卡的时候,填写的个人金融信息,只是用于申请和使用信用卡的,并未明确允许用于保险业务推销,也没有允许信用卡中心将信息推送给保险公司。这是严重侵犯了金融消费者权益。《办法》第六十条明确规定了,消费者金融信息依法受到保护。具体来说,金融机构如果超出法律法规规定和双方约定的用途使用消费者金融信息,必将受到处罚。未经消费者允许擅自挪用客户资金,违规!2019年,某银行某支行的客户经理,未经储户允许,历经6个月,从储户的账户上转走近70万元,用于网络赌博平台购买彩票,致使储户损失惨重。一些金融机构,在处理此类案件的时候,不够维护客户利益,甚至推诿到个人身上,以解雇相应客户经理了事。但是,以后就不行了,不但司法机关会介入查处挪用资金罪,金融监管部门也会依法处罚此类案件。《办法》第十二条明确规定:金融机构应当依法保障金融消费者在购买、使用金融产品和服务时的财产安全,不得非法挪用、占用金融消费者资金及其他金融资产。未来监管将会严查此类事件,并重罚。没有全流程的消费者权益保护机制,违规!《办法》第九条规定,银行、支付机构应当建立健全涉及金融消费者权益保护工作的全流程管控机制,确保在金融产品或者服务的设计开发、营销推介及售后管理等各个业务环节有效落实金融消费者权益保护工作的相关规定和要求。消费者权益保护要从营销向前延展到产品设计开发阶段,向后要延展到售后管理阶段。金融监管部门一定会检查对应产品。比如某贷款产品,在产品设计开发阶段有没有明确的环节审核消费者权益保护内容;在宣传海报设计阶段,有没有防止侵害消费者权益的讨论纪要。所以,金融监管更加注重从金融机构业务经营的过程中来确保金融机构有实实在在的消费者权益保护的举措,而不仅仅是根据举报信息和产品信息来评估。招募公告:苏宁金融于2020年8月启动“苏宁金融APP-财顾频道大V激励方案”,每月按阅读量和发文活跃度,奖励排名前50名大V,奖励金额300元-2000元不等。如果您是财经作者,欢迎入驻苏宁金融APP-财顾频道。入驻方式:关注“苏宁金融研究院”公众号,向后台发送“财顾”二字,小编将第一时间联系您办理入驻事宜。
近期,金融领域的个人信息泄露事件频频登上热搜。全国两会期间,这一问题也引起了央行系统人大代表的关注和热议。 全国人大代表、人民银行武汉分行行长王玉玲表示,金融领域个人信息具有特殊性,与其他个人信息相比,其与个人的资产、信用状况等高度相关,一旦泄露,不仅会侵害个人隐私,还可能对信息主体的财产安全造成很大威胁。 全国人大代表、中国人民银行参事周振海进一步表示,如果出现与个人金融信息有关的不当行为,不但会直接侵害个人金融信息主体的合法权益,也会增加金融机构的诉讼风险和声誉风险,影响金融机构的正常运营。 “近期发生在金融领域的个人信息泄露案件,从加强个人信息保护的角度看,相关金融机构的做法显然侵害了金融消费者的合法权益,需要由相关监管部门介入调查。”全国人大代表、中国人民银行南昌中心支行行长张智富说。 全国人大代表、中国人民银行南京分行行长郭新明表示,个人金融信息保护是银行业金融机构的一项法定义务,在信息化时代如何加强个人信息保护,如何把握个人信息保护和信息合理应用之间的适度平衡,是金融监管需要深入思考的问题。 近年来,金融监管部门已经出台了一系列金融消费者个人金融信息保护的制度。例如,2013年颁布的《征信业管理条例》明确禁止征信机构采集个人的隐私信息。此后,人民银行陆续发布《关于金融机构进一步做好客户个人金融信息保护工作的通知》《个人金融信息保护技术规范》等文件。 “但从总体上看,我国尚无一部专门的个人信息保护法对个人信息保护理念、原则、范围界定、各方权责等作一致性的约定,没有统一的法律规制来维护公民最基本的个人信息权益。”张智富建议加快个人信息保护立法进程,构建和完善关于个人信息保护的法制体系。 如何规范相关机构对于个人信息收集与使用的行为?张智富认为,要综合利用资质审核、监督检查、第三方评估等手段,督促各公共部门、金融机构切实履行保密和保护义务,按照“合法、正当、必要”原则严格依法收集用户信息,纠正利用“霸王条款”强制收集使用用户信息的行为,有效防止个人信息泄露和滥用。 周振海认为,金融机构要切实履行个人金融信息保护的主体责任。要教育员工切实树立信息保护法治意识;要加强制度建设,将法律、法规和相关监管规定中关于个人金融信息保护的相关规定落实到位;要加强个人信息保护内控建设,通过“技防+人防”相结合的方式,有效避免个人金融信息风险事件的发生。 张智富表示,金融机构应树立“向合规要效益”的理念,建立健全个人信息保护机制,运用科技手段提升个人信息保护能力,持续评估、改进个人信息保护政策和措施。 此外,王玉玲、郭新明均表示,对一些打着大数据、金融科技旗号,无经营资质但实质从事个人征信业务,违规获取、泄露个人敏感和隐私信息的机构,人民银行将配合公安部门依法严肃查处。 同时,多位代表提醒公众提升自我保护意识和维权意识,了解和掌握个人信息保护安全常识,有效防范个人信息被不法滥用的情况发生,切实维护自身合法权益。