客户授权方式有哪些-财经·观点丨银行业金融机构个人金融信息保护合规要点十大问答

兰台

介绍

银行业金融机构在开展业务过程中需要处理大量客户的个人金融信息。 对于个人金融信息的保护，一方面需要考虑以民法典和即将出台的《个人信息保护法》为代表的基本法律所建立的保护框架。 另一方面，还需要考虑金融监管部门提出的特殊要求。 监管要求。 关于金融机构个人金融信息的保护，本文以问答的形式探讨实践中常见问题，以飨读者。

Q1：如今，个人金融信息的保护越来越受到重视。 什么样的信息属于个人财务信息？

根据中国人民银行制定的《个人金融信息保护技术规范》，个人金融信息是指金融机构通过提供金融产品和服务或者其他渠道获取、处理、存储的个人信息，例如：如账户信息、身份信息、金融交易信息、个人身份信息、财产信息、贷款信息等反映特定个人金融信息主体一定情况的信息均属于个人金融信息。

Q2：原来个人财务信息有这么多种，那么这个人的财务信息和个人信息之间有什么关系呢？

个人财务信息是个人信息的一个分支，可以看作是一种特殊的个人信息。 关于个人信息的保护，主要在民法典人格权部分和即将出台的个人信息保护法中进行规定。 然而，作为基础性法律，《民法典》和《个人信息保护法》更多地对各类个人信息的保护做出了一般性规定。 因此，对于个人金融信息的保护，在不与上位法相冲突的前提下，还必须适用其特别保护规定。 近年来，金融监管部门在个人金融信息保护方面也下了很大功夫，制定发布了《中国人民银行金融消费者权益保护实施办法》等多项监管法规和行业标准。 《中国人民银行关于进一步加强信用信息安全管理的通知》、《中国人民银行关于银行业金融机构保护个人金融信息的通知》以及前述《个人金融信息保护技术规范》因此，金融机构在日常经营中，主要需要遵守这些特殊监管规定，履行保护消费者个人金融信息的义务。

Q3：既然个人金融信息如此重要，金融机构对所有个人金融信息是否都具有同等程度的保护义务？

民事权益的保护程度总是基于价值衡量来选择合理的边界。 绝对保护也意味着对他人自由的绝对限制，个人金融信息的保护也不例外。 正如我们刚才提到的，个人财务信息的范围非常广泛，但在这个个人财务信息大家族中，也有一些个人财务信息非常重要，需要我们更多的保护。 《个人金融信息保护技术规范》根据敏感程度从高到低，根据个人金融信息未经授权查看或未经授权更改所造成的影响和危害，将个人金融信息分为三类：C3、C2、C1。的信息。 金融机构需要针对此类类别提供针对性的保护措施。

Q4：您能否详细说明一下个人财务信息是如何分类的？

能。 刚才我们提到，个人财务信息按照敏感度从高到低分为三类：C3、C2、C1。 C3类别信息主要是用户识别信息。 此类信息一旦被未经授权查看或更改，将会对您的银行卡密码等个人金融信息主体的信息安全和财产安全造成严重危害。 C2类信息主要是指能够识别特定个人金融信息主体身份和财务状况的个人金融信息，以及用于金融产品和服务的关键信息。 此类信息一旦遭到未经授权的查看或未经授权的更改，将会对个人金融信息主体的信息安全和财产安全，例如您的银行交易记录，造成一定的危害。 C1类信息主要是机构内部的信息资产，主要指供金融机构内部使用的个人金融信息。 此类信息一旦遭到未经授权的查看或未经授权的更改，可能会对您的银行账户名称等个人金融信息主体的信息安全和财产安全造成一定的影响。

Q5：金融机构在保护不同敏感度的个人金融信息时需要注意什么？

一般来说，个人金融信息的敏感性越高，金融机构需要采取的保护措施就越严格。 例如，根据《个人金融信息保护技术规范》，金融机构不得委托或授权不具备金融行业相关资质的机构收集C3、C2类信息； 金融机构不得在C3、C2类信息中委托用户识别辅助信息。 交给第三方进行处理； C3类别信息和C2类别信息中的用户识别辅助信息不应共享或转让。 因此，金融机构在处理个人金融信息时，应根据个人金融信息的敏感性采取适当的保护措施。

Q6：现在客户授权方式有哪些，我们很多企业都需要收集客户的个人财务信息。 是否需要获得客户的授权同意？

原则上可以，如果客户是未成年人，还需要征得其监护人的同意。 但根据《个人金融信息保护技术规范》，下列特殊情况不需要个人金融信息主体授权同意：

① 与履行国家法律、法规和行业主管部门规定的义务有关的；

②与国家安全、国防安全直接相关的；

③ 与公共安全、公共卫生、重大公共利益直接相关的；

④与刑事侦查、起诉、审判和判决执行直接相关的；

⑤ 为保护个人金融信息主体或其他主体的生命、财产等重大合法权益但又难以获得个人同意的；

⑥ 个人财务信息主体主动向社会公开的；

⑦ 需要按照个人金融信息主体的要求签订并履行合同；

⑧从合法公开披露的信息中收集个人财务信息，如合法新闻报道、政府信息公开等渠道；

⑨ 为维护所提供的金融产品或服务的安全稳定运行所必需的，例如识别和处理金融产品或服务中的欺诈或挪用行为。

虽然上述规定有很多，但可以简单理解为需要授权为原则，不需要授权为例外。

Q7：既然原则上我们需要获得客户授权，那么在获得客户授权时我们应该注意什么？

首先客户授权方式有哪些，客户的授权应当是积极授权，不能推定客户已经授权、同意。 金融机构直接核对客户个人信息授权条款视为同意的，涉嫌侵犯客户个人金融信息权益； 其次，客户的授权要具体、明确。 这就要求金融机构在获得客户授权时明确个人金融信息授权的目的、方式和范围，而不是一般要求客户向金融机构授权“相关信息”； 第三，应取得客户撤回个人金融信息的授权同意。 实践中常见的做法是要求客户对个人金融信息的授权提供“不可撤销的同意”。 事实上，我们应该允许客户撤回同意，因此应尽可能避免类似的文字表达。

Q8：我们可以通过要求客户签署个人财务信息授权表来获得客户授权吗？

是的，事实上这是实践中常见的做法。 但需要注意的是，无论您制定个人金融信息专用授权书，还是在业务文本中设置个人金融信息专用授权条款，都可能被视为格式化文本。 格式化文本的优点是通过允许客户签署标准格式文本来提高交易效率，避免一对一咨询造成的低效率。 然而，由于格式化文本是由金融机构单方面预先编写的，个人消费者通常很难更改文本。 因此，为了保护消费者的个人金融信息权益，还需要规范金融机构通过格式化文本获取个人金融信息授权的行为。 例如表情包设计，《中国人民银行金融消费者权益保护实施办法》第三十一条规定，“银行、支付机构应当履行《中国人民银行金融消费者权益保护实施办法》第二十九条规定的明示义务。依据《中华人民共和国法》及公开收集消费者金融信息使用规则，明确收集、使用消费者金融信息的目的、方式和范围，并保留相关证明文件。经银行、支付机构同意通过格式条款收集和使用消费者金融信息的，应当在格式条款中明确收集消费者金融信息的目的、方式、内容和使用范围，并提示同意可能产生的后果。尽可能在协议中以显眼的方式明确告知消费者。” 此外，中国人民银行金融消费者事务部《消费者权益保护实施办法》第二十一条也规定，“银行、支付机构不得以通知形式作出含有下列内容的规定：声明、公告等：（3）依法排除或限制金融消费者“查询、删除、修改其金融信息的权利”，这也是金融机构在获取客户个人信息授权时需要注意的。通过格式文本的财务信息。

Q9：金融机构获得客户授权后，是否可以在内部自由传输个人金融信息？

当然不是，“吃瓜有风险，吃瓜要小心”。 金融机构获取客户个人财务信息并不意味着其所有内部员工也有权这样做。 《中国人民银行金融消费者权益保护实施办法》第三十三条规定，“银行和支付机构应当建立以分级授权为核心的消费者金融信息使用管理制度。”根据消费者金融信息的重要性、敏感性和业务发展需要，在不影响机构履行反洗钱等法律义务的情况下，合理确定机构工作人员获取信息的范围和权限，严格执行信息使用授权审批程序。” 因此，个人财务信息存储在金融机构内部，所有转账都需要相应的权限，不能随意转账。

Q10：最后一个问题，我们在实际开展业务时，有时需要与第三方合作机构共享客户的个人财务信息。 我们是否还需要获得客户的授权？

原则上这种情况也需要客户授权。 根据《个人金融信息保护技术规范》，除非法律法规和行业主管部门另有规定，或开展金融业务所必需的数据共享和传输（如转账、清算等）的除外，金融行业机构原则上不得共享或转让其收集的个人金融信息确需共享或转让的，应充分关注信息安全风险。 具体要求如下：

① 应告知个人金融信息主体共享、转让个人金融信息的目的和数据接收者类型卡通人物，并事先取得个人金融信息主体的明示同意。 共享和转让应当对个人金融信息进行去标识化处理（不应仅使用加密技术），除非确保数据接收方无法重新识别个人金融信息的主体。

② 应帮助个人金融信息主体了解数据接收方对个人金融信息的存储和使用情况，包括个人金融信息主体的访问、更正、删除、注销账户等权利； 根据法律法规、行业主管部门等规定，在个人金融信息主体之间的规定和协议范围内，个人金融信息主体行使个人金融信息控制权，金融机构应当配合其请求。

③C3类信息及C2类信息中的用户识别辅助信息不得共享或转让。

④ 转让清算、登记结算等应当按照国家有关法律法规及行业主管部门的相关规定和技术标准进行。

关于作者

蔡敏律师

财务团队

北京

毕业院校：中国人民大学 法学硕士

执业领域：金融法律事务、公司法律咨询事务、民商事争议解决

介绍

团队简介

银行法律业务是兰台最早、最成熟的核心业务之一，市场竞争优势突出。 多年来，兰泰先后担任国家开发银行、中国建设银行、中国农业银行、邮储银行、中信银行、北京银行、百信银行、华夏银行等多家大型商业银行董事、恒丰银行、农银理财。 为开发性金融机构、创新型直销银行、理财子公司担任常年法律顾问和特约法律顾问，并与上述机构建立了密切良好的合作关系。

兰台金融团队银行集团在协助客户做到“想什么、把事情做好、不逾矩”的同时，坚持独立、审慎的原则，秉持“内化外化”的服务态度，为客户提供优质的服务。为银行提供覆盖全业务的法律服务支持。 尤其是兰泰律师在银行表内业务、表外业务、国际业务、合规运营、投行业务、复杂纠纷解决等各方面拥有深入、丰富的经验。