文 | 黃春林 馮莉 匯業律師事務所

2022年5月19日，銀保監會發布了《銀行保險機構消費者權益保護管理辦法（征求意見稿）》（下稱“消保辦法”）?！断＾k法》共8章56條，內容涉及管理合規、基本權利保障、消費者教育等內容，同時還專章規范消費者權益保護相關的網數合規責任?！断＾k法》是銀保監會在銀行業保險業消費者權益保護領域制定的綱領性文件，對于統一各地金融消費者權益保護監管執法標準具有重要的現實意義。

結合近期立法、監管及行業實踐，參考類似項目經驗，匯業黃春林律師團隊就《消保辦法》中的網數合規責任解讀如下，僅供參考。

一、 網數管理合規

結合有關地方監管部門在執法檢查中的具體要求，根據《消保辦法》《國務院辦公廳關于加強金融消費者權益保護工作的指導意見》《中國人民銀行金融消費者權益保護實施辦法》《網絡安全法》《個人信息保護法》等規定，銀行保險機構應當落實消費者權益保護有關的下列網數合規管理要求：

1. 建立健全金融消費者權益保護的網絡安全及個人信息保護管理制度及操作規程；

2. 應當建立消費者權益保護審查機制，對產品及服務全生命周期開展消費者個人信息保護審查，建立并落實個人信息保護影響評估制度；

3. 參照《保險銷售行為可回溯管理暫行辦法》等規定，建立銷售行為可回溯管理機制，確保數據及個人信息質量，依法記錄和留存相關網絡日志；

4. 應建立消費者權益保護內部培訓機制，定期開展消費者權益保護、網絡安全、個人信息保護有關的從業人員培訓；

5. 應制定消費者權益保護審計方案，將消費者權益保護工作納入年度審計范圍，定期開展個人信息保護合規審計；

6. 實施全流程數據分級分類管控，參照《金融數據安全 數據安全分級指南》等開展數據分類分級工作；

7. 應當開展消費者日常教育與集中教育活動，在官網、App、營業場所設立公益性金融知識普及和教育渠道；

8. 加強特殊人群保障，提供面向老年人的適老化版本；等等。

二、網絡營銷信息合規

根據《消保辦法》《金融產品網絡營銷管理辦法(征求意見稿)》《商業銀行互聯網貸款管理暫行辦法》《互聯網保險業務監管辦法》《廣告法》《消費者權益保護法》等規定，網絡營銷信息應當充分保障消費者的合法權益，符合相關監管要求，具體包括但不限于：

1. 金融產品網絡營銷應當由持牌機構開展，未取得相應的牌照不得開展金融產品營銷活動，第三方機構應當使用經金融機構審核確定的網絡營銷宣傳內容對金融產品進行宣傳推介，不得擅自變更營銷宣傳內容；

2. 不同的金融產品的營銷信息，應當分別設立宣傳展示專區；

3. 應當充分向消費者披露產品和服務的性質、利息、費用、主要風險、違約責任、免責條款、第三方合作機構參與事項及其他可能影響消費者重大決策的關鍵信息；

4. 以彈窗等形式發布網絡營銷信息的，應當顯著標明關閉標志，確保一鍵關閉，不得欺騙、誤導消費者點擊金融產品營銷內容，不得違反工信部關于彈窗治理有關規定；

5. 發布組合式營銷信息的，應當以顯著方式提醒金融消費者注意，不得將組合銷售金融產品的選項設定為默認或首選，不得利用業務便利強制指定由消費者承擔費用的第三方合作機構為消費者提供擔保、保險、支付等服務；

6. 通過直播、自媒體賬號、互聯網群組等新型網絡渠道發布營銷信息的，營銷人員應當為金融機構從業人員并具備相關金融從業資質，營銷活動還應當符合網信辦、廣電總局等相關監管要求；

7. 不得利用演藝明星的名義或形象作推薦、證明金融營銷信息；

8. 第三方機構應當以清晰、醒目的方式展示金融營銷信息，金融產品名稱不得使用第三方名稱、商標的相關字樣，造成金融機構和第三方互聯網平臺的品牌混同，APP名稱、小程序及公眾號名稱不得使用金融相關字樣或者內容；等等。

三、算法模型合規

根據《消保辦法》《互聯網信息服務算法推薦管理規定》《中國銀保監會辦公廳關于銀行業保險業數字化轉型的指導意見》《個人信息保護法》等規定，銀行保險機構在信息推送、額度計算、風控審核、貸后管理等環節使用算法模型技術的，應當采取下列措施保障消費者合法權益：

1. 使用算法模型應當充分保障消費者的知情權、自主選擇權和公平交易權等，不得對具有同等交易條件或風險狀況的金融消費者實行算法歧視；

2. 依法制定算法模型管理制度，包括但不限于算法用戶權益保護制度、算法安全自評估制度、算法安全監測制度、算法違法違規處置制度、算法安全事件應急處置制度、算法倫理審查制度等；

3. 定期審核、評估、驗證算法模型的機制機理、模型、數據和應用結果等，確保算法模型預測能力及在不同場景下的正當性、安全性、合法性，確保算法模型的可解釋性和可審計性，算法管理核心環節要自主掌控，建立完善人工干預機制；

4. 應當以顯著方式告知消費者算法模型的情況，在官網、APP、小程序等渠道通過適當方式公示算法模型的基本原理、目的意圖和主要運行機制等；

5. 依法向網信辦辦理算法備案；等等。

四、網絡安全及個人信息合規

根據《消保辦法》《網絡安全法》《個人信息保護法》等規定，匯業黃春林律師團隊提示，銀行保險機構應當采取包括但不限于如下措施保障消費的個人信息權益：

1. 參照《金融行業網絡安全等級保護實施指引》《網絡安全等級保護條例（征求意見稿）》等規定，依法落實網絡安全等級保護；

2. 金融業務使用的第三方云服務、呼叫中心、金融科技產品等，依法取得了電信業務、云安審、金科備案、算法備案等資質及條件；

3. 通過《個人信息授權函》《征信查詢同意書》等格式合同/條款取得個人信息授權的，應當明確收集、使用和對外提供（含上下游，例如導流、助貸、資金、保險、貸后等）的范圍和具體情形，無法在注冊、授權時明確的，應當在金融合同簽署時補足授權，未獲得授權的應當及時刪除；

4. 通過APP、小程序、SDK等模式向消費者提供金融服務的，還應當遵守工信部等規定的“雙清單”（個人信息收集清單、個人信息共享清單）、“四政策”（隱私政策、簡版隱私政策、自動化決策政策、兒童隱私政策）合規要求；

5. 使用消費者的個人信息用于營銷活動的，應當滿足合法、必要及正當原則，依法履行告知同意責任，不得利用痕跡數據對消費者開展未經授權的營銷活動；

6. 應合理設計業務流程和操作規范，落實消費者身份識別和驗證，不得為偽造、冒用他人身份的客戶開立賬戶；

7. 加強第三方數據合作安全評估，交由第三方處理數據的，應依據“最小、必要”原則進行脫敏處理，完善外部合作機構的事前、事中及事后管理，在合作協議中應明確雙方關于消費者權益保護的責任和義務，包括但不限于數據保護責任、保密義務、監督、處罰、合同終止和突發情況下的應急處置條款；

8. 規范與外部互聯網平臺數據鏈接/交換模式，嚴格遵守我國征信業務管理有關規定；

9. 相關網絡系統應遵循權責對應、最小必要原則設置訪問、操作權限,落實授權審批流程，實現異常操作行為的有效監控和干預；

10. 建立網絡安全及個人信息安全事件應急預案，依法處置相關的安全漏洞及安全事件；等等。

五、投訴受理及響應

根據《消保辦法》《中國人民銀行金融消費者權益保護實施辦法》《消費者權益保護法》等規定，就消費者權益投訴、算法解釋說明及個人信息權利請求（以下統稱“投訴”）的受理及響應，銀行保險機構應當采取包括但不限于如下措施保障消費的合法權益：

1. 應健全投訴管理工作機制，制定相應的管理制度及操作規程；

2. 設立專門的機構及人員，負責消費者投訴的受理、響應及處置；

3. 建立便捷的投訴受理渠道，保障消費者能夠通過在線渠道（推薦）、郵件、電話等方式請求行使查詢、刪除、注銷及解釋說明等個人信息權益；

4. 在法律法規規定及承諾的時限內，例如根據《關于進一步規范保險機構互聯網人身保險業務有關事項的通知》，互聯網人身險業務應在接收到投訴后1個工作日內與投訴人取得聯系；

5. 加強對消費者投訴處理信息系統的建設與管理，對投訴進行正確分類并按時報送相關信息，不得遲報、漏報、謊報、錯報或者瞞報投訴數據；等等。