央行2月5日发布政策研究《大型互联网平台消费者金融信息保护问题研究》。文章指出:对大型互联网平台监管的当务之急是综合运用各种监管手段,实现穿透性监管,令其树立起“负责任金融”的理念。建议从我国实际出发,依法将金融业务全面纳入监管,根据同一金融业务,同一监管标准的要求,加强对大型互联网平台的监管,尤其是增强业务信息披露全面性和透明度,切实保护金融消费者长远和根本利益。
全文如下:
政策研究 | 大型互联网平台消费者金融信息保护问题研究
作者:中国人民银行金融消费权益保护局课题组
摘要:党的十九届五中全会明确提出要加快数字化发展,保障国家数据安全,加强个人信息保护。大型互联网平台是我国信息技术创新的重要力量,也是信息和数据的关键使用者,对推进金融科技进步和数字普惠金融发展发挥了积极作用。但现阶段,大型互联网平台消费者金融信息保护总体状况不容乐观,尤其是某些头部互联网平台在格式条款、信息收集和使用、营销宣传方面存在一些问题和争议。建议综合运用各种监管手段,实现穿透性监管,督促大型互联网平台树立负责任金融的理念。在借鉴域外信息保护立法与监管经验的基础上,从我国实际出发,依法将大型互联网平台的金融业务全面纳入监管,增强业务信息披露全面性和透明度,有效控制共债风险,不断完善金融信用信息基础设施建设,严格规范金融营销宣传行为,切实保护金融消费者长远和根本利益。
关键词:大型互联网平台 消费者金融信息保护 负责任金融
信息和数据是“信息时代的石油”,是一种重要的生产要素。在互联网和大数据技术蓬勃发展的大背景下,信息在经济金融领域的重要性越发凸显,信息利用场景呈现多元化、复杂化趋势,信息保护已成为金融监管的全新课题。党的十九届五中全会审议通过的《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》强调要加快数字化发展,建立数据资源产权、交易流通等基础制度和标准规范,保障国家数据安全,加强个人信息保护。
大型互联网平台是我国信息技术创新的重要力量,也是信息和数据的关键使用者,对推进金融科技进步和数字普惠金融发展发挥了积极作用。但同时也要看到,就现阶段而言,大型互联网平台消费者信息保护总体状况不容乐观,尤其是某些头部互联网平台在格式条款、信息收集和使用、营销宣传方面存在一些问题和争议,需要进一步认真审视和对待。
一、大型互联网平台在信息收集使用方面多见概括性授权条款
大型互联网平台获取庞大信息源的关键一环,就是通过信息收集使用的概括性授权条款采集消费者个人信息,通过技术手段将消费者信息物化为商品,弱化了消费者对个人信息的控制,使得消费者在大型互联网平台面前越来越成为“透明人”。
(一)信息收集使用的“知情-同意”原则被弱化,金融消费者自主选择权受到限制。在消费者个人信息收集使用方面,《消费者权益保护法》与《网络安全法》均规定信息收集者应“明示收集、使用信息的目的、方式和范围,并经消费者(被收集者)同意”,最新公布的《个人信息保护法(草案)》也提出处理个人信息应取得个人的同意,并且这种同意应当是个人在充分知情的前提下,自愿、明确作出的。这一规则理论上被称为“知情-同意”机制,但从实践来看,大型互联网平台往往通过概括性授权条款削弱了这一机制。
一方面,在互联网环境下,“知情-同意”机制通常表现为大型互联网平台以格式合同的形式发布相关条款及隐私权政策声明,消费者在手机客户端上点击“同意”,视为同意授权。然而格式合同内容繁多复杂,大多数消费者少有耐心通读全部条款,甚至根本不会点开协议文本。即便全文阅读,消费者也很可能无法完全理解合同中使用的专业术语所表达的实际含义,所以点击同意时往往对于自己授权的具体范围并不清楚。目前人民银行正在制定的金融行业标准《资产管理产品介绍要素》中明确要求,相关产品合同应以具体格式将核心内容限定在相对固定的篇幅内,就是致力于缓解金融消费者阅读意愿低,保证金融消费者知情权的一个有益尝试。另一方面,即使消费者完整阅读了合同中所规定的授权范围,也不存在与大型互联网平台“讨价还价”的余地。消费者即使不同意自己的某些信息被收集、使用,也无法在合同上进行勾选,只能做出“二选一”(即“全部接受”或者“全部不接受”)的决定。由于“全部不接受”意味着无法获得相关服务,消费者往往只能全盘接受合同条款。因此,在消费者缺乏议价能力的情况下,大型互联网平台收集了大量消费者信息,而消费者对此也许并不真正“知情”,也并不真正“同意”。
除此之外,部分大型互联网平台的协议和合同文本只能在手机客户端查看,无法复制和下载保存。有的协议文本甚至嵌套隐藏在另一个协议的某一条款中,需要再次点击链接跳转到另一界面才能呈现相关内容。这些均不利于金融消费者反复阅读、全面理解、自行留存与其个人信息权利有关的合同文本。同时,由于大型互联网平台出于各种原因,会较为频繁地修改电子合同文本内容,导致发生纠纷时,金融消费者难以查阅签订合同时的原始文本。
(二)收集的“必要信息”范围过宽,大型互联网平台对信息收集范围掌握绝对“话语权”。在消费者金融信息收集、使用范围方面,《消费者权益保护法》与《网络安全法》都规定了“收集、使用(消费者)个人信息,应当遵循合法、正当、必要的原则”,目的是要求经营者在最小范围内收集消费者个人信息,避免过度收集行为危害消费者个人信息安全。
但在实际执行过程中,大型互联网平台往往使用“收集与本服务相关的必要信息”“在本服务相关的必要范围内对您的信息进行共享”“您同意我们将您的必要信息共享至以下主体”等表述,强调信息收集的必要性。然而其中所称的“必要信息”,全方位覆盖了身份信息、交易信息、资产负债信息、诉讼信息、履约信息及履约能力判断信息等。其中履约能力判断信息可能包含金融消费者在同属一个平台下的其他非金融信息,比如消费者的购物信息、浏览和搜索信息、消费水平信息等。此类信息是否属于开展所必须,尚无具体衡量标准。这反映出信息收集的“最少、必须”原则没有明确边界,在实践中均由机构端进行“自由裁量”,大型互联网平台倾向于尽可能多地将消费者各类信息认定为必要信息。
深化数据运用是金融科技发展的必然趋势,但消费者个人信息保护也是不容忽视的重要方面。2020年10月31日召开的国务院金融稳定发展委员会专题会议明确,要建立数据资源产权、交易流通等基础制度和标准规范,加强个人信息保护。因此,应当督促大型互联网平台树立起尊重消费者数据主体权利的意识,区分不同数据对于业务开展的必要性,不能片面认为信息一旦收集到手就“理所当然”地变成了平台的私有财产。
二、欧盟等主要经济体信息保护监管标准趋严,国内的信息保护监管力度也将进一步提升,大型互联网平台应成为重点关注对象
全球发达经济体对消费者金融信息保护的力度,一直在不断加强。典型代表为欧盟2016年通过的《一般数据保护条例》,该条例意味着欧盟对个人信息保护及其监管达到了前所未有的高度,堪称史上最严格的数据保护条例。2019年,英国航空公司就因为违反《一般数据保护条例》被罚1.8339亿英镑(约合15.8亿元人民币)。美国对个人信息保护的力度之大相比欧盟也毫不逊色。例如美国联邦贸易委员会(FTC)在2019年7月对脸书开出高达50亿美元的罚单,就是因为这家社交网站对用户个人信息处理不当,导致了信息泄露并被用于不正当用途。根据英国《卫报》报道,英国将在竞争及市场管理局(CMA)之下新设立数字市场部门,旨在集中监管大型科技公司,通过设立限制,让更多小型科技公司拥有发展空间,确保消费者、小企业等不会因科技巨头的行为而处于不利地位。在监管新规之下,大型科技公司须在使用用户数据方面保持公开透明。此外,数字市场部门将有权暂停、阻止和推翻大型科技公司的决策,并采取措施令大型科技公司遵从监管新规。如果大型科技公司违反新规或不听从数字市场部门的命令,将面临罚款。
我国《个人信息保护法(草案)》已完成向社会公开征求意见。可以预见,未来随着我国个人信息保护立法的逐步完善,监管力度必将进一步提升。在此趋势下,大型互联网平台更应未雨绸缪、主动布局,正视发展过程中的信息保护和消费者保护漏洞和短板,切实担负起与自身体量和影响力相当的社会责任。市场终究要交给消费者来“投票”,消费者要看自己的信息权利到底有没有得到应有的保护,有没有受到不应有的侵害。大型互联网平台的信息保护应当加强加强再加强,不能为了单纯追求经营的扩张而短视地选择一些所谓的“捷径”。
三、基于数据挖掘下的“精准营销”,容易诱导更多资信脆弱人群掉进超前负债消费的陷阱
数字经济繁荣发展背景下,个人信息作为生产要素在精准营销方面发挥了关键作用。正如前文提及的脸书被罚案例,就是与脸书合作的第三方公司向剑桥分析公司泄露了用户的个人信息,这些个人信息最终被剑桥分析公司用于精准投送使人们对某个参选人产生好感和信任的信息,以左右他们手中的选票。剑桥分析公司号称其参与了世界各国超过200场竞选,并利用同样的数据挖掘手段屡屡得手。这些商业机构在营销宣传方面对数据挖掘、渗透和控制的程度可见一斑。
部分大型互联网平台在商业利益驱使下,过分追踪与收集用户“数字足迹”,不当使用数据驱动式营销策略,侵占用户私人空间,引起消费者反感与不适。用户诸多“数字足迹”中,最具含金量的就是各类金融信息,包括账户信息、交易信息、信用信息等,这些信息可以构建起大型互联网平台的“信用”支柱。他们通过挖掘用户的金融行为,分析用户金融行为特征,大量推送金融营销广告,使“超前消费”“过度消费”“负债消费”的理念越来越被资信脆弱人群所接受。例如,某些大型互联网平台旗下的小贷公司、助贷公司发布的消费贷款广告经常设计一些广告剧情,将大学生攀比奢侈消费美化为“追求高品质生活”,宣传青年女性使用医疗美容整形就能“逆袭白富美”等。精准营销的另一大特点是诱导性极强,比如某互联网平台经常根据消费者的过往购物习惯,精准推送消费者曾经浏览或者关注过的商品,并标注“X期免息”和“XXX元起/月”。此外,部分小贷产品给消费者展示的基本是日利率,换算为年化利率后,息费均高于银行信用卡业务。当更多的高风险、低净值人群被吸引进入“无抵押消费贷陷阱”时,金融风险也就悄悄开始酝酿。
基于数据挖掘技术而生的精准营销几乎发生在我们生活中的每时每刻。大型互联网平台每天都会根据用户支付行为数据,向用户精准推送各类营销宣传信息。且其推送的营销信息绝大部分与平台旗下的其他关联公司相关,其余则为收取相关服务费用之后,为平台以外的合作第三方企业推送信息。最终导致用户时常处于被五花八门的营销信息“轰炸”的状态,难得安宁。虽然部分平台的APP客户端内设置了所谓关闭接收营销信息的功能,但往往无法实现简单快捷的“一键关闭”,用户必须对每个关注过的对象进行逐一操作才可以取消关注。这种通过技术手段干扰消费者营销信息退订权的手段屡见不鲜,说其是强制营销也并不为过。
对此我们应该高度警惕,务必要督促大型互联网平台树立正确的信息观、消费观,在合法、合规、合情、合理、适度的前提下挖掘信息价值,促进消费升级。而不是薅信息“羊毛”,更不能是杀鸡取卵、竭泽而渔。要知道,信息的根本价值在于服务广大消费者、服务实体经济,而不应成为某些机构攫取超级利润的剪刀。
四、数字普惠金融发展不能脱离消费者保护和个人金融信息保护的根基
2016年,二十国集团(G20)领导人在杭州峰会上核准了《G20数字普惠金融高级原则》,其中第5条原则就强调“采取负责任的数字金融措施保护消费者,创立一种综合性的消费者和数据保护方法,重点关注与数字金融服务相关的具体问题。”同时对数据保护提出了4条具体的行动建议:一是明确“个人数据”的定义,该定义需考虑综合各类信息进行个体识别的能力;二是确保接受数字金融服务的消费者,能够对个人数据进行有意识的选择和控制;三是禁止以不公平、歧视性方式使用数字金融服务相关数据;四是制定指引以保障数据的准确性和安全性。2020年,G20财长和央行行长会议发布的《G20应对新冠肺炎疫情行动计划》中,明确将“在确保金融消费者权益得到保护的同时,采用常规和可靠的数字手段,持续提供可获得和可负担的金融产品和服务,促进普惠金融发展”作为行动和承诺的一部分。在实践中,各国尤其重视加强数据安全和个人信息保护,让老百姓充分信任数字普惠金融服务,可以真正放心地使用数字普惠金融服务。
由此可见,数字普惠金融服务的重要前提是“采用常规和可靠的数字手段”,目标是“持续提供可获得和可负担的金融产品和服务”。虽然大型互联网平台提供的信贷产品极大地提高了“可获得性”,但是却未能保证“可负担性”,对资信脆弱人群形成了更大的诱惑,甚至是风险。如果任其放大和扩散风险,给消费者造成损失,迫使消费者进入非正规融资渠道,加上数字鸿沟的存在,可能出现“金融再排斥”,使得普惠金融出现倒退。事实上,国内大型互联网平台当前的利润不少是来源于互联网消费贷款业务。与经营性贷款不同,消费贷款不会直接产生未来现金流,因此没有直接还款来源,容易产生过度负债问题。从国际上看,突破“可负担性”的数字普惠金融终将失去根基。其中最为深刻的例子莫过于美国次贷危机:在美国次贷危机爆发前,大量家庭和小微企业都可以轻易获得信贷,信贷普及率极高,配套的保险服务和证券化产品也很齐全。看似实现了高水平的普惠金融,但其缺失的最大一块就是金融消费者保护,让消费者承受了过高的风险,最终损害了整个宏观经济,消费者损失惨重,机构本身也不能幸免。
为此,国际社会提出了“负责任金融(Responsible Finance)”的理念,要求对消费者的风险承受能力开展尽职调查,而不是盲目扩张金融服务。相关经验教训说明,我国大型互联网平台亟须树立“负责任金融”的理念,而不是脱离信息保护和消费者权益空谈数字普惠金融,更不应将二者对立起来。
五、相关建议
总的来说,对大型互联网平台监管的当务之急是综合运用各种监管手段,实现穿透性监管,令其树立起“负责任金融”的理念。建议从我国实际出发,依法将金融业务全面纳入监管,根据同一金融业务,同一监管标准的要求,加强对大型互联网平台的监管,尤其是增强业务信息披露全面性和透明度,切实保护金融消费者长远和根本利益。
一是督促大型互联网平台树立“负责任金融”理念,切实履行消费者保护主体责任。在技术驱动金融创新、推进数字普惠金融发展的大背景下,建议高度警惕大型互联网平台过度逐利行为,尤其要注意其对低净值人群过度负债的诱惑,以及就此引发的风险。督促大型互联网平台恪守“负责任金融”理念,使其经营活动真正服务于实体经济发展。建立和完善消费者权益保护内控制度和工作机制,强化全流程管控,规范信息披露、信息保护、营销宣传等各类经营行为,切实履行消费者保护主体责任。
二是加强消费者金融信息保护相关立法保障和标准化建设。党的十九届五中全会明确提出要保障国家数据安全,加强个人信息保护,强化消费者权益保护。建议尽快出台《个人信息保护法》等相关法律法规。通过立法对数据权属认定加以明晰,制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度、数据分类分级安全保护制度、数据隐私保护和安全审查制度;进一步明确规定个人信息收集使用的“知情-同意”“最少、必须”原则,推动大型互联网平台建立健全消费者金融信息保护机制。建议加强消费者金融信息保护相关标准化建设。完善数据基础通用标准和关键技术标准,建立国家数据资源目录体系,提高数据质量和规范性。推动《资产管理产品介绍要素》等金融行业标准的出台和严格落实,提高大型互联网平台提供金融产品和服务时的信息披露规范性,有效矫正金融消费者不愿阅读冗长合同协议文本的行为偏差。建议强化消费者金融信息保护。逐项列明信息收集与共享的内容、目的及范围,进一步细化“知情-同意”机制的执行要求,在保证效率的前提下,供金融消费者自主选择其信息是否能够被用于营销、用户体验改进与市场调查等特定目的,确保遵循消费者真实意愿。
三是加强对大型互联网平台的监管。鉴于大型互联网平台数据具有公共产品属性,建议将其纳入宏观审慎管理,按照公共产品提供者实施相应监管。对涉及金融业务或构成金融控股公司的机构实施准入管理,对具有系统重要性的机构实施严格监管,防范系统性金融风险。结合宏观审慎监管和功能监管措施,通过接入征信系统、设定居民债务收入比等多种手段控制共债风险。同时,由于大型互联网平台广泛覆盖多个业务领域,在金融领域之外,又通过其关联企业涉猎电商、物流、营销等领域,涵盖了购物、出行、住宿、支付转账、投资理财、生活、公益等数以百计的场景。若电商交易与金融场景结合,对信息交互环节的监管就会因监管领域的转变而被切断,使得监管部门难以掌握信息共享和使用的全貌。因此,建议加强信息共享,探索监管执法合作机制。充分发挥社会监督力量,及时发现大型互联网平台存在的问题和风险隐患,提升监管效能。
四是加强对大型互联网平台企业的反垄断审查。建议完善平台企业垄断认定方面的法律规范,将利用算法实施价格共谋、滥用市场支配地位不当收集和支配数据等行为纳入反垄断规制范围。完善大型互联网平台企业的并购审查制度,制定符合数字经济特点的营业额标准,增加交易价格相关标准,避免其通过高价收购竞争对手达成垄断目的。同时,将隐私作为非价格竞争的重要参数予以考虑,评估并购是否对高隐私偏好消费者的福利产生影响。
五是完善金融信用信息基础设施建设。建议进一步拓宽金融信用信息基础数据库接入机构范围,将全部从事放贷业务的机构接入数据库,全量报送借贷业务数据。加强对金融信用信息基础数据库接入机构的监管,从制度、业务、人员和技术等方面建立健全内控合规制度和问责机制。同时,引导并规范大型互联网平台的信息服务业务。重点关注大型互联网平台利用从集团内、外部获取的消费者金融信息开展个人评分、画像等业务,以及其为金融机构风控等提供信息服务的行为。按照“疏堵结合,先疏后堵”的思路,将有影响力的大型互联网平台的垄断信息予以整合,有序纳入征信服务和征信监管,变数据垄断为数据依法共享。依法加强对个人征信机构信息主体权益保护、信息合规使用、数据安全等方面的监管。
六是规范大型互联网平台金融营销宣传行为。大型互联网平台应当进一步贯彻落实《关于进一步规范金融营销宣传行为的通知》要求,规范金融营销宣传行为,构建金融营销宣传内控机制,强化对金融营销宣传的审核,不得做出劝诱低净值人群超前消费、过度消费等存在严重价值观导向问题的金融营销宣传。同时,为消费者提供简单便捷的营销宣传推送信息“一键关闭”功能,避免出现用户必须对每个关注商户/功能进行逐一操作才可以取消推送的情况。建议相关管理部门借鉴国际经验,进一步优化、细化金融营销宣传监管规则,综合运用制定行为规范、构建行业标准、推动行业自律等方式,强化对大型互联网平台金融营销宣传行为的监测追踪,对违反相关法律法规的行为依法严肃查处。