2020年9月15日,中国人民银行发布《金融消费者权益保护实施办法》,将2016年的政府规范性文件《中国人民银行金融消费者权益保护实施办法》修改并上升到政府部门规章层面的立法层级,引起了金融机构和社会各界的广泛关注。
金融消费者权益保护具有非常重要而现实的意义。首先金融消费者权益保护在金融领域具有对主动防范化解系统性金融风险发挥 “减震器”和“舒压阀”的基础性作用;二是当前金融领域产品和服务创新多、复杂性强,而我国金融消费者整体金融知识素养仍有待提升、抗金融风险能力较差,因此金融消费者合法权益易被侵害从而遭受重大损失。三是金融消费者权益保护领域在最近几年金融乱象中出现的一些热点案例和社会舆论表明金融消费者权益保护出现了新的问题,缺乏有针对性的罚则和保护措施。因此国家层面近年来先后出台了资管新规、九民纪要等监管规定或者司法文件加以规制。
此次《金融消费者权益保护实施办法》的出台进一步加强了金融消费者权益的保护。根据最高人民法院《关于准确理解和适用刑法中“国家规定”的有关问题的通知》,刑法中的“国家规定”是指,全国人大及人大常委制定的法律和国务院制定的行政法规;根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,“国家有关规定”是指,违反法律、行政法规、部门规章有关公民个人信息保护的规定。从现有的规范来看,刑法语境下的“国家规定”包括法律和行政法规,“国家有关规定”包括法律、行政法规和规章,在任何情形下均不包括规范性文件,也即规范性文件无法成为刑事犯罪定罪量刑的依据。此次实施办法将立法层级由规范性文件上升为规章,违反该办法有触犯刑法的风险。现就该办法从两个角度提出一些思考。
一、个人金融信息保护问题越来越突出
传统理念上,保护金融消费者利益主要强调的是客户的资金安全,但是在互联网大数据时代,以个人隐私为重点的个人信息保护之重要性越来越高。如何在大数据时代加强个人隐私保护同时促进金融数据共享和合理使用亦面临难题,金融消费者保护迫切需要融入大数据和人工智能时代下的数据保护理念。近年来互联网金融领域如P2P问题和金融机构风控外包问题上,金融机构以外的数据公司或者所谓金融科技公司通过非法数据爬虫等手段收集使用大量个人金融数据,在缺乏合法性的情况下帮助金融机构或者P2P公司实现贷款风控或者债务催收等目的,造成了负面的社会后果,2019年已经有一大批此类公司被公安机关调查。所以必须看到金融数据控制者已经从通常认为的传统金融持牌机构包括银行、证券公司、保险演变到也包括脱胎于互联网企业的新型持牌金融机构甚至非金融机构等,都对金融消费者的个人金融信息保护带来重大挑战。
2017年《网络安全法》出台后,尤其是2019年国家网信办和金融监管部门起草制定了大量的个人信息保护相关的监管规定,例如《数据安全管理办法》《网络安全审查办法》《个人信息出境管理办法》《个人金融信息(数据)保护试行办法(初稿)》征求意见等。2020年金标委还发布了《个人金融信息保护技术规范》(JR/T 0171—2020),尤其值得指出的是专门性法律《个人信息保护法》和《数据安全法》已被列入了十三届全国人大常委会立法规划,《数据安全法》2020年已经向社会公布征求意见稿。同时2019年至今,国家网信办等部门不断加大APP治理,很多头部金融机构包括一些大型商业银行都被爆出违法违规收集个人信息的不足被要求整改。
在此次中国人民银行发布的《金融消费者权益保护实施办法》中,针对2016年的《实施办法》对金融信息的收集和使用的规定,新规增加了间接收集个人信息渠道“合法”要求,间接获取了以非法方式收集的个人信息是不能使用的;明确遵循合法、正当、必要原则下告知信息收集的目的、范围、方式后,收集金融信息需要获得明示同意;更加严格限制“用于营销、用户体验改进、或者市场调查”之目的收集个人信息;不能超出法定或者约定范围使用消费者金融信息;增加金融机构确认发生信息安全事件后告知消费者。这些方面均有所进步,有助于保护金融消费者权益。不难预见这些监管规定在出台后将对金融消费者的个人信息保护产生重大的影响,金融机构将面临前所未有的责任义务来保护金融消费者的个人信息。
但是相比较之前的征求意见稿,从金融消费者个人信息保护来看,正式稿将之前征求意见稿中的几项重要增加内容均删除,包括(1)增加消费者有权要求停止使用、更正不准确信息和要求删除的权利,金融机构仅在“法律”和“行政法规”另有规定的情形下,才可以拒绝更正和删除;(2)在中国境内收集的消费者金融信息的存储、处理和分析应当在中国境内进行。因业务确需跨境传输的必须满足接收方必须是金融机构的关联机构,且需满足一定条件,就可以跨境传输;(3)对分包商/委托处理方的管理义务规定中,金融机构必须审查评估外包服务商能力、签订协议明确权利义务、采取审查监督措施、并且最终对外包服务商的行为负责,合作关系终止后,金融机构应当监督外包服务供应商及时销毁从金融机构获取的消费者金融信息;(4)数据主体有权获取自己的数据并传输给指定第三方,鼓励金融机构在技术可行的前提下,基于金融消费者的请求,将其金融信息转移至金融消费者指定的其他金融机构。
对此令人意外,因为这几项规定均是目前个人信息保护领域的重要问题或者热点问题,尤其是可删除权、数据跨境、数据共享、数据迁移等。中国人民银行在答记者问中称“在延续原有的金融信息保护专章的基础上,以实现保护金融消费者信息安全权为目的,从信息收集、披露和告知、使用、管理、存储与保密等方面进行了优化。”因此或许可以推断数据安全是此次实施办法的重点,金融消费者对个人信息控制权的诉求并非重点。
此外笔者认为,正式稿相对于征求意见稿的几项个人信息保护规定内容的删除可能是因为个人信息保护法尚未制定出台,甚至连征求意见稿都尚未公开发布,在顶层的一些法律设计尚未确定的情况下不宜在人民银行的规定中突破上位法,做出过于激进的规定。未来可以在数据安全法、个人信息保护法正式出台后再加以修订加入,或者在未来央行的《个人金融信息(数据)保护试行办法》(已经在征求意见)中对此做出具体规定。
二、金融消费者概念和范围尚需统一认识
2016年《中国人民银行金融消费者权益保护实施办法》则仅规定“在中华人民共和国境内依法设立的为金融消费者提供金融产品和服务的银行业金融机构,提供跨市场、跨行业交叉性金融产品和服务的其他金融机构以及非银行支付机构(本办法统称金融机构)适用本办法。”而在此次《金融消费者权益保护实施办法》中,将适用机构规定为在中华人民共和国境内依法设立的为金融消费者提供金融产品或服务的银行业金融机构、非银行支付机构,商业银行理财子公司、金融资产管理公司、信托公司、汽车金融公司、消费金融公司以及征信机构、个人本外币兑换特许业务经营机构参照适用本办法。法律、行政法规另有规定的,从其规定。这种规定明确将证券公司、保险公司排除,而2016年的实施办法某种程度还有一定弹性。
形成这一问题的原因即是各方对金融消费者范围认识不一,尤其对于证券领域的投资者,是否应纳入金融消费者范围争议依然较大,不少观点认为证券领域的投资者与银行、保险领域的金融消费者在法律关系等各方面都有差异,且长期使用投资者保护的概念,使用金融消费者的概念不利于培养理性投资者。但是在2019年最高人民法院的《九民纪要》列举的金融消费者案件包括银行理财产品、保险投资产品、信托理财产品、券商集合理财计划、杠杆基金份额、期权及其他场外衍生品等高风险等级金融产品,以及为金融消费者参与融资融券、新三板、创业板、科创板、期货等高风险等级投资活动提供服务等,实际上是将证券领域的很多投资产品和服务囊括其中。
对此笔者认为,人民银行的办法对金融消费者范围的规定虽然有意见不统一、部门协调难度较大等原因,但是从客观上看会造成金融监管和金融司法的不同结果,这对于金融机构认真落实金融消费者保护、金融消费者争议的有效解决以及行政执法、司法都带来一定的负面影响。在国内金融消费者的理论体系尚不成熟,尚未达成共识的情况下,目前制定法律、行政法规层次的金融消费者权益保护立法时机不成熟,但是人民银行的规章可以对金融消费者的范围做出综合性的界定,至少可以将金融消费者概念作为一个理念性的顶层概念,在倾斜性保护原则的基础上,把一些最为基础、原则的规定放进去,而对于金融消费者具体权利义务的规定,因为不同金融产品和金融业务场景的较大差异,仍由各不同金融领域的立法和监管规定来规范。这样的安排实现了金融机构和金融消费者之间的相对平衡保护,也符合中国央行在金融监管领域的地位不断提升以及金融统一监管的趋势。
而从境外的金融消费者保护情况来看,金融监管体制亦和金融消费者的范围有较大相关性,例如英国《金融服务与市场法》确立的大一统金融综合监管体制将FSA作为单一金融监管者,该法中的消费者范围也几乎囊括了各类金融领域;美国的《金融服务现代化法》虽然确定混业经营、混业监管的原则,但是基于美国投资者保护已经是一套成熟、相对独立的系统化制度,并没有像英国一样建立大一统的金融消费者概念,《多德弗兰克法案》的金融消费者亦指银行业消费者,与SEC的投资者保护平行。从我国的金融监管体制来看,当前实质上也是在从严格的金融分业监管逐步走向金融混业监管,从金稳会成立并将办公室设在人民银行到人民银行的三定方案即可以看出。在这个背景下,将金融消费者设计为一个理念化的顶层概念,保留现在的证券领域投资者概念,不失为一个各方可以接受的安排。
但是需要注意一点,金融消费者是否包括所有投资者类型?从金融消费者的理念来看,是要对此类人群给予类似于消费者的倾斜性保护,那么到底对什么样的人群需要给予倾斜性保护?笔者认为投资者可以分为个人投资者和机构投资者,也可以分为普通投资者和专业投资者。对于证券基金期货领域的专业投资者,无论其是个人还是机构,都不宜划在金融消费者范围内,而如果在证监会相关适当性管理办法认定的专业投资者范围之外的投资者,无论个人还是机构都应当纳入金融消费者的范畴加以倾斜性保护。
综上,建议如果不能在短期内出台专门针对金融消费者的法律,可以考虑将金融消费者概念视为一种理念性的概念,超越于不同监管部门法下的各种购买产品/接受服务的人群概念,人行的实施办法可以侧重于提出一些金融消费者权益保护原则性、普遍适用、倡导性的规定,而在具体的保护措施上仍然根据产品和服务类型适用部门法律和监管规定。