作者|车宁「北京市网络法学研究会副秘书长」
进入中国特色社会主义新时代以来,伴随着我国经济的快速发展和人民收入水平的逐步提高,致力于服务客户资产保值增值、抵御各类风险挑战的财富管理业务迅猛增长,不但人群覆盖越来越广、产品品类越来越多,其经营模式的电子化、线上化、数字化发展也是一日千里,深刻影响了行业风貌和内在逻辑,有效拓展了服务的触达性、适当性和持续性,成为数字金融乃至数字经济发展的一抹亮色。
然而,财富管理数字化在促进业务快速发展的同时,也滋生了诸如过度营销、不当宣传、大数据杀熟、贩卖客户信息等风险问题,一定程度上影响了行业的品牌信誉和客户信心。2021年8月20日,全国人大常委会正式审议通过了《个人信息保护法》,为上述风险的治理提供了有力抓手。
财富管理领域相关企业,特别是互联网平台企业有必要提高认识、端正行为,提升个人信息保护合规管理水平,为行业长远稳健发展、客户资金信息安全贡献力量。
个人信息保护,有何必要
经过数十年的持续奋斗,国人的财富积累早已今非昔比。瑞士信贷(Credit Suisse)2021年6月发布的《2021全球财富报告》显示,作为新兴市场国家财富增长的最主要来源,中国居民财富规模已达74.9万亿美元,仅次于美国,位列全球第二。同时,从结构上看,高净值人群呈现多元化发展态势,互联网等数字经济从业人员占比持续增长并成为中坚力量,其投资品类、投资渠道也呈现鲜明的数字化、网络化特征。
受益和服务于国民财富增长和财富人群扩大,我国财富管理行业业务边界也在迅速扩展,范围早已超出现金储蓄及银行理财,广泛涉及债务管理、保险计划、投资组合、退休计划乃至教育慈善、遗产安排等诸多领域。不仅如此,除了商业银行、信托公司、保险公司、券商等传统金融机构发挥比较优势各擅胜场外,互联网平台也纷纷入场,提供各类综合化服务,满足客户多样化需求。
总之,不论是从规模、人群等市场基础,还是从自身业务发展和机构参与,财富管理都已是金融服务的核心业务范畴,并且随着金融领域供给侧结构性改革的深入和国内国际双循环发展格局的落实,这一业务还将持续高速发展。
财富管理业务持续高速发展的一个重要侧面是金融科技的广范应用。金融科技已深深嵌入财富管理的业务基因,个人数据及大数据、人工智能等技术应用既是其业务发展的重要动力,又是其规范治理的重要方向。
相关工作,据何规范
作为我国首部规范个人信息保护的专门法律,《个人信息保护法》即将于2021年11月1日正式实施,未来势必将规范行业发展的市场环境,打造良好的业务生态,对包括财富管理在内各行业的数字化工作合规开展产生深远影响。
《个人信息保护法》共计八章七十四条。从适用对象看,具体到财富管理业务,除了境内开展的相关工作外,境外涉及处理我国境内自然人个人信息的活动也会纳入本法的调整范围。
从具体定义看,具体到财富管理业务,金融账户属于个人敏感信息,其收集、存储、使用、加工、传输、提供、公开、删除等各项工作都会涉及《个人信息保护法》的规范。
从基本原则看,根据《个人信息保护法》的规定,财富管理业务个人信息处理需要秉持合法、正当、必要和诚信原则,处理个人信息应当具有明确、合理的目的,且公开透明、完整准确,做到不过度收集个人信息,对个人权益产生的影响最小,同时采取必要措施保障个人信息的安全。
从处理规则看,在一般情形下,财富管理机构为订立、履行个人作为一方当事人的合同所必需,在取得客户个人同意前提下,方可开展信息处理工作。财富管理机构在处理个人信息前,应以显著的方式、清晰易懂的语言向客户个人告知特定事项,其信息的保存期限也应当为实现处理目的所必需的最短时间。
此外,对于财富管理领域较多应用的“自动化决策”,《个人信息保护法》也作出了专门规定。财富管理机构应保证决策的透明度和结果公平、公正,不得对个人在交易条件上实行不合理的差别待遇,特别是当机构通过自动化决策方式进行信息推送、商业营销时,还应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式,保障客户要求说明和拒绝同意的权利。
不同诉求,共同方向
对于规范网络空间和数字经济而言,《个人信息保护法》只是起点而非终点。
面对客户行为习惯的数字化迁移和业务开展的数字化转型,财富管理机构不仅要依照法律,完善相关业务场景的个人信息收集及隐私保护策略,设置敏感信息收集等特殊情形的专门保护机制,防范共同收集、信息传输等多重潜在法律风险,更要从整体上提升个人信息保护的内部控制机制,及时内化相关法律法规、监管政策和行业标准要求,建立完备的制度体系和管理权限控制体系,对个人信息进行分级分类管理,广泛应用去标识化等安全措施和各类加密技术,为业务健康持续发展打造防火墙。
在财富管理领域,互联网金融机构也扮演着重要角色。如果相关企业属于“提供重要互联网平台服务、用户数量巨大、业务类型复杂”的范畴,则需要依法承担特别责任。这些责任包括遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务,成立独立机构对个人信息保护情况进行监督。除此之外,平台还需要规范、督促平台内产品或服务提供者按照法律法规和平台规则等要求保护个人信息,可谓责任重大。
以《个人信息保护法》出台为重要标志,国家全面加强了对个人信息保护的工作力度,这对个人信息保护尚存潜在威胁的金融消费者而言,不啻为一剂“良药”。
然而,外因仍需要依靠内因发挥作用。财富管理领域个人信息保护的“河清海晏”终究要靠投资者个人努力,需要投资者自身“为权利而斗争”。
一方面,需要绷紧信息保护神经,用好知情权、同意权两大基本权利,在充分了解业务、充分认知风险的基础上,依照“最小必要”原则进行授权;另一方面,要敢于“说不”,对于没有必要的授权和超出期限的存储要果断撤回同意,同时积极行使个人信息可携带权,便利对个人信息跨平台流动的掌控。
财富管理机构和客户对于个人信息保护的诉求看似相反,实则相向。唯有通过市场生态相关各方的共同努力,财富管理领域的个人信息保护工作才能更上一层楼,为业务高质量、可持续发展打造不竭的“数字动力”。
本文首发于微信公众号:金融博览财富杂志。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。