金融领域近期加强信息保护立法和执法

中国人民银行（以下简称“央行”）近期发布了相关草案和若干通知，从规范金融营销宣传行为、保护金融消费者权益、加强移动金融客户端应用软件安全管理等方面，加强和细化信息保护领域的监管要求。此外，各监管机关在2019年陆续开展了针对App违法违规收集使用个人信息的执法检查活动，金融App是其中重点领域之一。以下是我们总结的相关要点。

一、新规拟完善消费者金融信息的全生命周期保护

2019年12月27日，央行发布了《中国人民银行金融消费者权益保护实施办法（征求意见稿）》（以下简称“《金融消保草案》”）。《金融消保草案》是在《中国人民银行金融消费者权益保护实施办法》（银发〔2016〕314号）（以下简称“314号文”）的基础上，经修订增补相关条款后起草的。《金融消保草案》采用“消费者金融信息”替代了314号文关于“个人金融信息”的定义，并设立专章对消费者金融信息的全生命周期保护，即对信息收集、披露和告知、使用、管理、存储与保密、删除与更正、跨境传输、外包服务管理等方面进行了全面规定，进一步强调金融消费者的信息知情权和信息自主选择权。

二、明确消费者金融信息的出境条件

《金融消保草案》延续了314号文关于消费者金融信息的跨境传输的两大条件，即以境内存储为原则、接收方必须为金融机构的关联机构。基于该前提，2016年规定要求只有在“法律法规及中国人民银行另有规定”的情况下，金融机构才能向境外提供境内个人金融信息。《金融消保草案》则明确了可以跨境的条件，即“因业务需要”且同时满足以下条件：“（一）为处理跨境业务所必需；（二）经金融消费者书面授权；（三）信息接收方为完成该业务所必需的关联机构（含总公司、母公司或者分公司、子公司等）；（四）通过签订协议、现场核查等有效措施，要求境外机构为所获得的消费者金融信息保密；（五）符合法律法规和其他相关监管部门的规定”。前述规定为金融机构向境外提供消费者金融信息提供了更为清晰的法律依据和指引。

三、严格监管金融App

2019年下半年，央行下发《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》（以下简称“《金融App通知》”），并同时发布金融行业标准《移动金融客户端应用软件安全管理规范》（JR/T 0092-2019，以下简称“《规范》”）。《金融App通知》明确要求金融机构将加强金融App的安全管理工作。此外，相关监管部门也单独或联合开展了若干针对App违法违规采集使用个人信息的专项行动。

1、加强金融App保护个人金融信息

《金融App通知》要求各金融机构应严格按照《规范》采取有效措施加强金融App个人金融信息保护，重点包括：一是收集、使用个人金融信息时应遵循合法、正当、必要的原则，明示收集使用信息的目的、方式和范围，并经用户同意。不得以默认、捆绑、停止安装使用等手段变相强迫用户授权，不得收集与其提供金融服务无关的个人金融信息；二是应采取数据加密、访问控制、安全传输、签名认证等措施，防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡改；三是信息使用结束后应立即删除敏感信息，在客户端软件卸载后不得留存个人金融信息。

2、开始启动金融App备案管理工作

《金融App通知》要求加强金融App的行业自律管理，并做好客户端软件实名备案工作。据此，2019年12月3日，中国互联网金融协会召开会议安排部署金融机构客户端软件备案试点工作，明确应于2019年底前完成第一批试点金融App的备案申请，下一步将在全国范围内分批次组织开展金融App备案推广等自律管理工作。截至目前，已发布的第一批通过备案的金融App清单包括来自于银行、证券、基金、保险、支付等领域的23家机构¹。

3、金融App成为执法整治活动的“常客”

2019年以来，在多次针对App执法整治行动中，金融领域相关的App频繁“上榜”。例如，根据国家网络安全通报中心的报道²，全国公安机关集中查处整改了100款违法违规App，其中包括若干金融App。工信部于2019年12月19日发布《关于侵害用户权益行为的App（第一批）通报》（并于2020年1月8日发布第二批名单），向社会公示尚有41款App存在 

违规收集、使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等问题，在专项整治工作中未完成整改，也包括金融App³。另，App专项治理工作组于2019年12月20日发布关于61款App存在收集使用个人信息问题的通告，其中金融相关的App占比近半数，涵盖银行（信用卡）、网贷、支付等领域⁴。

四、规范金融营销宣传行为以保护消费者权益

12月20日，央行、中国银行保险监督管理委员会、中国证券监督管理委员会和国家外汇管理局联合发布《关于进一步规范金融营销宣传行为的通知》（以下简称“《营销通知》”）。《营销通知》从防范金融消费者的个人信息被滥用、保护金融消费者合法权益的角度，特别对如下金融营销宣传行为提出规范要求：不得违规向金融消费者发送金融营销宣传信息。未经金融消费者同意或请求，不得向其住宅、交通工具等发送金融营销信息，也不得以电子信息方式向其发送金融营销信息。以电子信息方式发送金融营销信息的，应当明确发送者的真实身份和联系方式，并向接收者提供拒绝继续接收的方式。

五、我们的观察

随着国家对数据安全和个人信息保护的监管不断深化，金融领域信息保护的立法工作和执法活动也正在逐步加强。我们将密切关注《金融消保草案》的后续立法进展以及针对消费者金融信息的最新监管动态。

此外，我们预计监管机构在App违法违规收集使用个人信息方面的执法检查活动将会持续开展，并且呈现愈发严格的监管趋势。因此，我们建议金融App的运营主体应积极配合备案管理工作，并依据相关法律法规及国家标准，严格做好用户个人信息收集和使用等方面的合规工作。 

1. 参见https://mp.weixin.qq.com/s/5HEZn-Ox0IkpdHCq6S1YcA。

2. 参见https://mp.weixin.qq.com/s/smT4RbHsA_x0vIZjEKV_yg。

3. 参见https://mp.weixin.qq.com/s/4aLKXLtFKM1vLBiFReLsxA。

4. 参见https://mp.weixin.qq.com/s/lwPtpaYfwB5dlEc7YffQnQ。