金融消费者权益保护之网数合规责任解读
发布时间:2022-05-23
文 | 黄春林 冯莉 汇业律师事务所
2022年5月19日,银保监会发布了《银行保险机构消费者权益保护管理办法(征求意见稿)》(下称“消保办法”)。《消保办法》共8章56条,内容涉及管理合规、基本权利保障、消费者教育等内容,同时还专章规范消费者权益保护相关的网数合规责任。《消保办法》是银保监会在银行业保险业消费者权益保护领域制定的纲领性文件,对于统一各地金融消费者权益保护监管执法标准具有重要的现实意义。
结合近期立法、监管及行业实践,参考类似项目经验,汇业黄春林律师团队就《消保办法》中的网数合规责任解读如下,仅供参考。
一、 网数管理合规
结合有关地方监管部门在执法检查中的具体要求,根据《消保办法》《国务院办公厅关于加强金融消费者权益保护工作的指导意见》《中国人民银行金融消费者权益保护实施办法》《网络安全法》《个人信息保护法》等规定,银行保险机构应当落实消费者权益保护有关的下列网数合规管理要求:
建立健全金融消费者权益保护的网络安全及个人信息保护管理制度及操作规程;
应当建立消费者权益保护审查机制,对产品及服务全生命周期开展消费者个人信息保护审查,建立并落实个人信息保护影响评估制度;
参照《保险销售行为可回溯管理暂行办法》等规定,建立销售行为可回溯管理机制,确保数据及个人信息质量,依法记录和留存相关网络日志;
应建立消费者权益保护内部培训机制,定期开展消费者权益保护、网络安全、个人信息保护有关的从业人员培训;
应制定消费者权益保护审计方案,将消费者权益保护工作纳入年度审计范围,定期开展个人信息保护合规审计;
实施全流程数据分级分类管控,参照《金融数据安全 数据安全分级指南》等开展数据分类分级工作;
应当开展消费者日常教育与集中教育活动,在官网、App、营业场所设立公益性金融知识普及和教育渠道;
加强特殊人群保障,提供面向老年人的适老化版本;等等。
二、网络营销信息合规
根据《消保办法》《金融产品网络营销管理办法(征求意见稿)》《商业银行互联网贷款管理暂行办法》《互联网保险业务监管办法》《广告法》《消费者权益保护法》等规定,网络营销信息应当充分保障消费者的合法权益,符合相关监管要求,具体包括但不限于:
金融产品网络营销应当由持牌机构开展,未取得相应的牌照不得开展金融产品营销活动,第三方机构应当使用经金融机构审核确定的网络营销宣传内容对金融产品进行宣传推介,不得擅自变更营销宣传内容;
不同的金融产品的营销信息,应当分别设立宣传展示专区;
应当充分向消费者披露产品和服务的性质、利息、费用、主要风险、违约责任、免责条款、第三方合作机构参与事项及其他可能影响消费者重大决策的关键信息;
以弹窗等形式发布网络营销信息的,应当显著标明关闭标志,确保一键关闭,不得欺骗、误导消费者点击金融产品营销内容,不得违反工信部关于弹窗治理有关规定;
发布组合式营销信息的,应当以显著方式提醒金融消费者注意,不得将组合销售金融产品的选项设定为默认或首选,不得利用业务便利强制指定由消费者承担费用的第三方合作机构为消费者提供担保、保险、支付等服务;
通过直播、自媒体账号、互联网群组等新型网络渠道发布营销信息的,营销人员应当为金融机构从业人员并具备相关金融从业资质,营销活动还应当符合网信办、广电总局等相关监管要求;
不得利用演艺明星的名义或形象作推荐、证明金融营销信息;
第三方机构应当以清晰、醒目的方式展示金融营销信息,金融产品名称不得使用第三方名称、商标的相关字样,造成金融机构和第三方互联网平台的品牌混同,APP名称、小程序及公众号名称不得使用金融相关字样或者内容;等等。
三、算法模型合规
根据《消保办法》《互联网信息服务算法推荐管理规定》《中国银保监会办公厅关于银行业保险业数字化转型的指导意见》《个人信息保护法》等规定,银行保险机构在信息推送、额度计算、风控审核、贷后管理等环节使用算法模型技术的,应当采取下列措施保障消费者合法权益:
使用算法模型应当充分保障消费者的知情权、自主选择权和公平交易权等,不得对具有同等交易条件或风险状况的金融消费者实行算法歧视;
依法制定算法模型管理制度,包括但不限于算法用户权益保护制度、算法安全自评估制度、算法安全监测制度、算法违法违规处置制度、算法安全事件应急处置制度、算法伦理审查制度等;
定期审核、评估、验证算法模型的机制机理、模型、数据和应用结果等,确保算法模型预测能力及在不同场景下的正当性、安全性、合法性,确保算法模型的可解释性和可审计性,算法管理核心环节要自主掌控,建立完善人工干预机制;
应当以显著方式告知消费者算法模型的情况,在官网、APP、小程序等渠道通过适当方式公示算法模型的基本原理、目的意图和主要运行机制等;
依法向网信办办理算法备案;等等。
四、网络安全及个人信息合规
根据《消保办法》《网络安全法》《个人信息保护法》等规定,汇业黄春林律师团队提示,银行保险机构应当采取包括但不限于如下措施保障消费的个人信息权益:
参照《金融行业网络安全等级保护实施指引》《网络安全等级保护条例(征求意见稿)》等规定,依法落实网络安全等级保护;
金融业务使用的第三方云服务、呼叫中心、金融科技产品等,依法取得了电信业务、云安审、金科备案、算法备案等资质及条件;
通过《个人信息授权函》《征信查询同意书》等格式合同/条款取得个人信息授权的,应当明确收集、使用和对外提供(含上下游,例如导流、助贷、资金、保险、贷后等)的范围和具体情形,无法在注册、授权时明确的,应当在金融合同签署时补足授权,未获得授权的应当及时删除;
通过APP、小程序、SDK等模式向消费者提供金融服务的,还应当遵守工信部等规定的“双清单”(个人信息收集清单、个人信息共享清单)、“四政策”(隐私政策、简版隐私政策、自动化决策政策、儿童隐私政策)合规要求;
使用消费者的个人信息用于营销活动的,应当满足合法、必要及正当原则,依法履行告知同意责任,不得利用痕迹数据对消费者开展未经授权的营销活动;
应合理设计业务流程和操作规范,落实消费者身份识别和验证,不得为伪造、冒用他人身份的客户开立账户;
加强第三方数据合作安全评估,交由第三方处理数据的,应依据“最小、必要”原则进行脱敏处理,完善外部合作机构的事前、事中及事后管理,在合作协议中应明确双方关于消费者权益保护的责任和义务,包括但不限于数据保护责任、保密义务、监督、处罚、合同终止和突发情况下的应急处置条款;
规范与外部互联网平台数据链接/交换模式,严格遵守我国征信业务管理有关规定;
相关网络系统应遵循权责对应、最小必要原则设置访问、操作权限,落实授权审批流程,实现异常操作行为的有效监控和干预;
建立网络安全及个人信息安全事件应急预案,依法处置相关的安全漏洞及安全事件;等等。
五、投诉受理及响应
根据《消保办法》《中国人民银行金融消费者权益保护实施办法》《消费者权益保护法》等规定,就消费者权益投诉、算法解释说明及个人信息权利请求(以下统称“投诉”)的受理及响应,银行保险机构应当采取包括但不限于如下措施保障消费的合法权益:
应健全投诉管理工作机制,制定相应的管理制度及操作规程;
设立专门的机构及人员,负责消费者投诉的受理、响应及处置;
建立便捷的投诉受理渠道,保障消费者能够通过在线渠道(推荐)、邮件、电话等方式请求行使查询、删除、注销及解释说明等个人信息权益;
在法律法规规定及承诺的时限内,例如根据《关于进一步规范保险机构互联网人身保险业务有关事项的通知》,互联网人身险业务应在接收到投诉后1个工作日内与投诉人取得联系;
加强对消费者投诉处理信息系统的建设与管理,对投诉进行正确分类并按时报送相关信息,不得迟报、漏报、谎报、错报或者瞒报投诉数据;等等。