歐盟保護互聯網金融消費者

『伍』 螞蟻金服聯合24家金融機構關於齊力保護消費者金融權益的倡議書內容

保護消費者金融權益是金融行業健康發展的立身之本，也是金融行業創新和改革的根本宗旨。

伴隨著移動互聯網的發展，金融產品和服務的提供日趨豐富。但無論何種創新，金融的本質並沒有改變，防範風險確保消費者權益仍然是所有金融從業者必須謹記在心的事情。

我們發現，目前部分金融行為並不規范，金融消費領域糾紛頻繁發生，而消費者金融權益保護意識不強、識別風險能力亟待提高等問題，也日益凸顯。

值此2016年「3.15」消費者權益保護日之際，為了構建和諧、共贏的金融消費生態，健全金融行業的透明誠信體系，切實保護消費者的金融權益，螞蟻金服聯合24家金融機構，共同發出如下倡議：

1、嚴格遵守國家《關於加強金融消費者權益保護工作的指導意見》，切實保障金融消費者「八項權利」，包括：財產安全權、知情權、自主選擇權、公平交易權、依法求償權、受教育權、受尊重權、信息安全權等基本權利。

2、完善信息透明、公開職責，及時而准確地向社會各界尤其消費者披露金融產品和服務的真實情況，確保資金專款專用，不得違規設立資金池，確保交易資金可追溯，全面保障客戶資金安全。

3、嚴格企業自律，恪守投資適當性原則，抵制惡性競爭，營造行業公平公正的良性競爭環境；在自覺維護金融穩定的基礎上，積極擁抱政府監管，虛心接受社會監督。

4、切實尊重和保護消費者隱私，積極探索機制和創新科技手段，不惜用最大的代價有效防控互聯網內外的金融風險，構建覆蓋信用風險、市場風險、操作風險、突發性風險等風險管理體系。

5、積極開展系統、持續的消費者投資教育，提升全社會對金融權益的關注，增強公民金融知識素養，培養公民科學投資理念，尤其注重消費 者風控意識和能力的提升。

6、健全企業內部高效快速的消費者投訴處理機制，提高投訴處理質量和效率，利用保險等機制確保消費者權益第一時間得到保護，同時及時查找薄弱環節和風險隱患，防範和化解系統性風險。

7、加強與金融消費者保護協會、互聯網金融協會等組織的協作，合力推進消費者金融權益保護的行業協調機制建設以及法律法規完善，實現信息共享，互相協作，暢通消費者維權渠道。

8、確保旗下平台或產品嚴守合法合規的底線，堅決抵制各類侵害消費者權益的偽金融行為，並積極配合司法機關打擊各類以金融為名的違法犯罪，共塑金融市場清明的法治環境。

『陸』 是時候掘金互聯網金融「消費者權益保護」概念了

消費者權益保護月雖過，互聯網金融平台安全問題也被推到了風口浪尖上。投資人的權益如何保護？平台兜底是不是該持續？未來三年互聯網金融消費者保護將成為一個熱點，互聯網金融的發展無論技術上如何進步，它仍然是信用和風險時空配置。與消費者權益相關的那些產業，有哪些新的商機？
互聯網金融中與消費者權益相關的無外乎幾個方面：資產端的供給、平台的運作和消費者權益的保護。其實在整個產業鏈的上中下游，涉及消費者權益的內容均可滲入。
1、 網路安全類軟體
隨著移動支付的普及，相關的騙術也增多了。比如扮演成為微信紅包讓不了解AA付款功能的用戶點擊付費鏈接，從而完成詐騙。根據網友的反映，很多人都曾遭遇這樣的詐騙案。如果消費者權益薄弱，用技術搭建防火牆就顯得格外重要。
可以看到，以互聯網金融為核心的軟體硬體的綜合服務在未來的時間里邊會呈現指數式增長，無論是可穿戴設備、醫療、交通等等本質上都離不開互聯網金融支付作為業務發展的支撐。互聯網金融應用越廣，其帶來的風險評估和管理的難度就更加大，這些挑戰也將是未來的新興產業所在。
在PC端，電腦系統安全的防護軟體已經屢見不鮮，專門針對互聯網金融平台的安全防護類軟體大有可為。用戶密碼的保護、交易的數據安全、用戶隱私保護、平台的日常安全維護等等都需要技術支持，不僅是安全防範功能，還有出現問題以後的補救措施。
2、 評級公司
互聯網金融平台井噴式增長，其魚龍混雜程度則更高。於是，幫消費者挑選平台的評級公司就顯得尤為重要了。評級公司應該以專業的第三方存在，對平台的資質提供公允的評價。更可以進一步提供更加個性化的付費服務，比如對投資者具體感興趣的項目進行評測和對比。
現在，互聯網金融平台垂直化趨勢盡顯。比如最近流行的股票配資、票據之類的，資產端的多樣化也讓互聯網金融由簡單變得「復雜」起來，看似操作簡單，這些垂直化平台對投資者的投資能力有一定的專業門檻。而消除這個「門檻」，評級公司大有可為。評級公司要做的就是信息透明化，把具體平台的實際運作和項目的結構披露出來，解決信息不對稱性。
但評級公司信譽建立是關鍵，如何保證資質的專業性和結果的公允性將是其生存之道。大集團大公司在這方面顯然有更大優勢，可以依靠其累積的商譽做評級服務，並把積累的數據作為自建風控模型的原始數據。
3、 投資者責任險
在證券領域我國有證券投資者保護基金，以保護證券投資者的合法權益，而在互聯網金融領域，尚沒有一種成熟的機制來保障投資者的權益。不管是平台跑路還是項目壞賬，風險責任主要還是由投資者承擔。
風險共擔和分散是保險行業所擅長的，在互聯網金融領域是否保險公司也可以有所作為？探索出一種由保險公司、消費者、平台共同完成的風險承擔模式。一旦出險，消費者免於遭受巨大損失，平台也可以咽下免於「剛性兜底」的苦果。而保險公司要思考的，是如何在分散風險的過程中受益。

『柒』 互聯網金融產品詳情未及時更新，消費者以侵犯其知情權為由主張賠償有無法律依據

1. 侵犯

2. 刻意隱瞞可造成損失的內容可理解為欺詐，合同有效

3. 有欺詐行為可以要求2倍賠償
   

『捌』 國際公約法對互聯網金融怎樣規定的

互聯網金融是指依託於互聯網而開展的各種金融活動的總稱，主要包括網上銀行、網上第三方支付、P2P網路眾籌融資、新型電子貨幣，以及金融機構的網路創新平台和基於網路的金融服務平台等。全球互聯網金融的蓬勃發展，不僅對國際經濟和金融發展起到了極大的促進作用，同時也對國際金融秩序和法律制度的發展產生了重大的影響。

國際金融法律體系是由一系列規范國際金融秩序和國際金融交易行為的國際金融條約、國際金融規則、國際金融慣例、涉外金融立法等法律文件所構成的一個系統，其所涵蓋的范圍主要包括國際商業銀行、國際貨幣、國際借貸及擔保、國際結算與國際貿易融資、國際證券融資以及國際金融組織法律制度等內容。在國際社會各方主體的參與和努力下，國際金融領域法律制度建設已現端倪：銀行法、票據法、金融支付與結演算法、金融擔保法、證券發行與交易法等領域，先後出現了一系列國際公約、國際規則、國際慣例和涉外立法。互聯網金融的出現，改變了國際金融法律體系的傳統格局。1995年，世界上第一家無任何分支機構的純網路銀行——美國第一安全網路銀行產生，由此開啟了網上銀行的金融創新模式；1998年建立的PayPal網路服務商依託eBay龐大的市場份額，開始了全球第三方支付業務的新模式，目前PayPal在全球擁有超過1.5億個賬戶，成為全球最大的網上支付公司之一；2005年誕生的首個依託於WEB2.0的P2P網路眾籌融資模式，為借款需求者和有閑置資金者創建自行配對交易的網路借貸平台。互聯網金融具有空間的虛擬性、金融交易行為的自由性、信息流通的交互性、網路空間的開放性、參與主體的全球性。這些形態各異、功能廣泛的互聯網金融新形態和新模式，超越了傳統國際金融法律體系的調整范圍，亟須新的國際金融條約、新的國際金融規則、新的國際金融慣例和涉外金融立法予以規制。互聯網金融的發展，在客觀上將大大拓展國際金融法律體系的外延。

隨著互聯網金融在中國等發展中國家的普及和推廣，傳統國際金融法律規范在調整國際互聯網金融新秩序方面，表現出許多新的盲點和空缺，傳統國際金融法律制度的這種局限性與互聯網金融交易行為，亟須法律規范調整需求之間的矛盾和沖突將越來越突出。一些現行的國際金融法律制度和規則，在互聯網金融背景下，尤其是面對網上第三方支付、P2P網路眾籌融資、新型電子貨幣等的興起，亟須更新、修訂與增補。國際社會一直在不懈努力促進國際金融法律制度的發展，國際金融監管的法律框架也一直在不斷地進行改革。如針對2008年爆發的全球金融危機所出現的新問題，國際銀行業監管對巴塞爾協議進行了修訂，目前所適用的是經過修訂的第三版巴塞爾協議（即《巴塞爾III》）。《巴塞爾III》中建立了有關提高核心資本充足率、控制杠桿比率以及強化流動性監管等新規則，強化了對銀行的國際監管。但是面對網上第三方支付、P2P網路眾籌融資、新型電子貨幣等金融互聯網新模式，《巴塞爾III》所確立的金融監管法律制度顯得有些捉襟見肘，如從事新型互聯網金融業務的公司，大多以商業公司，而非以銀行的身份開展業務，他們的行為規范並不受《巴塞爾III》中有關核心資本充足率、控制杠桿比率以及強化流動性監管等新規則的約束。在這樣的國際金融法律環境下，勢必造成銀行與開展互聯網金融業務的公司之間的不公平競爭，導致銀行等傳統金融機構的手腳被束縛。又如1996年12月聯合國第51次大會通過的《電子商務示範法》，雖然對於網路市場中的數據電文、網上合同成立及生效條件、運輸等專項領域的電子商務法律問題，都做了十分具體的規范。但是，對於「數宇簽名認證機構」這樣的法律問題，尚付闕如。因此，在互聯網金融快速發展的今天，亟須制定一些專門用於調整互聯網金融的國際金融法新規則。

傳統國際金融法的保護重點往往放在市場強勢主體之上。跨國商業銀行、跨國保險公司、跨國投資銀行和跨國基金等金融市場的主體，常常利用其強勢地位，制定有利的行業規則，或者通過霸王條款，獲得有利的交易地位。在互聯網金融背景下，由於參與主體分布地域廣泛，類型眾多，國際金融法律制度的設計者和國際金融規范的制定者，必須將法律保護的重點，由市場強勢地位的主體轉為弱勢地位的主體即金融消費者之上。可以說，建立適應互聯網金融的國際金融秩序，成功的關鍵在於法律的這種保障金融消費者合法權益的功能在多大程度上得到認同和發揮。由於互聯網金融空間的虛擬性，互聯網金融消費者沒有機會與交易對方進行面對面的交流，只能通過網路傳遞信息。信息的不對稱性，以及交易對手的商業誠實性問題，均可能對互聯網金融消費者產生影響，影響到互聯網金融消費者的合法權益和他們參與互聯網金融的積極性，進而影響到互聯網金融的可持續發展性。要鼓勵全球大眾積極參與互聯網金融活動，必須將維護全球互聯網金融消費者的合法權益作為國際金融法的一項重要原則。在互聯網金融蓬勃發展的大環境下，只有將維護全球互聯網金融消費者的合法權益提升到國際金融法律制度原則的高度，才能真正促進全球互聯網金融的發展，維護國際社會秩序、促進國際經濟繁榮和國際社會進步。

『玖』 請問歐盟的消費者保護法與商品責任問題

對消費者的保護是歐盟一體化進程中的一個重要方面，具有廣泛和深遠的影響：其一，歐盟的消費者保護將各成員國原有水平不一的消費者消費活動的自主性、平等性、安全性，拓展提升到歐盟一體化的區域內，歐盟的消費者保護是一體化中歐盟公民權利的體現。其二，消費者保護與經濟一體化密切相關，歐盟的消費者保護促使歐盟范圍內的消費者保護標准趨於一致，從而有利於歐盟一體化市場中貿易壁壘的消除。其三，歐盟的消費者保護形成了新的行為約束機制，加強了對內部市場的社會控制，同時促使社會結構的合理分化，形成了消費者權益保護網路，促進了消費者的社會化進程，從而成為一體化進程中的社會生長點。
具體內容參見《南開學報》

『拾』 誰有深度整理的歐盟《一般數據保護法案》（GDPR）核心要點中文內容

前言：

整理本文的原因有三：

1、 網上很多關於GDPR的文章並不全面，甚至有誤

2、 以此機會在公司內部開展關於GDPR的專項培訓

3、 青蓮雲的部分客戶業務在未來會受到GDPR的影響

之後，我們計劃編寫一系列相關文章，更多的是站在企業角度來思考法案對物聯網行業的影響以及應對措施，一來希望與同行企業可以就GDPR進行更多的互動討論；二來也是希望傳播國際法案對於安全和隱私的態度，共同提高物聯網安全意識。

以下您將了解到：

1、 什麼是GDPR（重要）

2、 GDPR的發展歷程

3、 GDPR的關鍵術語定義（重要）

4、 GDPR會影響哪些企業（重要）

5、 GDPR不適用於哪些情況

6、 GDPR約束了哪些數據（重要）

7、 GDPR中數據主體的權利（重要）

8、 GDPR中處理個人數據的基本原則（重要）

9、 GDPR中對合法處理數據的定義

10、 GDPR中針對兒童數據的處理規定

11、 GDPR中數據控制者與數據處理者的義務（重要）

12、 GDPR中針對特別類型個人數據的處理規定

13、 GDPR中關於數據主體被遺忘權的規定（重要）

14、 GDPR中關於數據主體可攜帶權的規定（重要）

15、 GDPR中關於個人數據泄露通知的規定（重要）

16、 GDPR中關於設立數據保護官的規定

17、 GDPR關於執法和處罰的規定（非常重要）

18、 總結

什麼是GDPR

2016年4月14日，歐洲議會投票通過了商討四年的《一般數據保護法案》（General Data Protection Regulation (GDPR)），新法案由11章共99條組成，該法案將於2018年5月25日正式生效，將取代現有的《數據保護指示》（Data Protection Directive 95/46/EC），統一歐盟成員國關於數據保護的法律法規。

此外，GDPR新規是在28個歐盟成員國統一實施生效的，這將使28個歐盟及歐洲經濟共同體成員國的隱私保護法更具有一致性和現代性。

GDPR作為一套用來保護歐盟公民個人隱私和數據的新法規，其頒布意味著歐盟對個人信息的保護及監管達到了前所未有的高度，堪稱史上最嚴格的數據保護法案

GDPR的發展歷程

（圖片來自網路）

GDPR的關鍵術語定義

個人數據：是指任何指向一個已識別或可識別的自然人（數據主體）的信息。該可識別的自然人能夠被直接或間接地識別，尤其是通過參照諸如姓名、身份證號、定位數據、在線身份識別這列標識，或者是通過參照針對該自然人一個或多個如物理、生理、遺傳、心理、經濟、文化或社會身份的要素。

處理：是指針對個人數據或個人數據集合的任何一個或一系列操作，諸如收集、記錄、組織、建構、存儲、自適應或修改、檢索、咨詢、使用、披露、傳播或其他利用、排列、組合、限制、刪除或銷毀，無論此操作是否採用自動化手段。

匿名化：是一種使個人數據在不使用額外信息的情況下不指向特定數據主體對待個人數據的處理方式。該處理方式將個人數據與其他額外信息分別存儲，並且使個人數據因技術和組織手段而無法指向一個可識別和已識別的自然人。

數據控制者：能單獨或聯合決定個人數據的處理目的和方式的自然人、法人、公共機構、行政機關或其他非法人組織。

數據處理者：是指為數據控制者處理個人數據的自然人、法人、公共機構、行政機關或其他非法人組織。

數據接受者：只是接收到被傳遞的個人數據的主體，無論其是否是第三方的自然人、法人、公共機構、行政機關或其他非法人組織。政府因在歐盟或其成員國法律框架內特定調查接收到的個人數據，不得視為「數據接受者」。

個人數據外泄：是指個人數據在傳輸、存儲或進行其他處理時的由安全問題引發的個人數據被意外或非法破壞、損失、變更、未經授權披露或訪問。

GDPR會影響哪些企業

歐盟GDPR法案具有域外效應。也就是說，GDPR賦予了歐盟在個人信息安全方面的域外管轄權。

主要受影響的企業為以下四類：

l 設立在歐盟境內的企業（控制者、處理者）

l 未在歐盟境內設立，但向歐盟境內的數據主體（自然人）提供產品和服務的企業（控制者、處理者）

l 未在歐盟境內設立，但涉及監控歐盟境內數據主體（自然人）行為的企業（控制者、處理者）

l 未在歐盟境內設立，但在歐洲成員國法律適用的地方設立的企業（控制者、處理者）

總結來說，GDPR不僅適用於位於歐盟境內的企業組織機構，也適用於位於歐盟以外的企業組織機構，無論機構所在地位於哪裡，只要其向歐盟數據主體提供產品、服務或者監控相關行為，或處理和持有居住在歐盟境內的數據主體的個人數據，都將受到GDPR法案的監管。

GDPR法案同樣適用於「數據控制者」和「數據處理者」。如果是數據處理者涉案，數據控制者也無法免除責任，GDPR規定控制者需要承擔更多的責任，以確保和數據處理者之間的合同能夠嚴格遵守GDPR的規定。

GDPR不適用於哪些情況

GDPR更多的是監管企業對數據的使用行為。以下4個方面的數據使用情況不適用於GDPR：

l 為了預防、調查、偵查或起訴刑事犯罪，主管當局為執行刑事處罰目的而產生的數據處理行為

l 基於國家安全目的而產生的數據處理行為

l 自然人在純粹的個人或家庭活動中產生的數據處理行為

l 歐盟法律規定范圍之外的活動過程中產生的數據處理行為

GDPR約束了哪些數據

個人數據：

可以通過某個標識直接或間接識別某一自然人的信息。

不管是採用自動化手段還是人工進行歸類的數據，包括按時間順序排列的包含個人數據的記錄集合。

已經被匿名化的個人數據，取決於用已有標識來識別特定個體的困難程度。

敏感個人數據：

也被稱為「特殊種類的個人數據」。

包括揭示種族或民族出身、政治觀點、宗教或哲學信仰、工會成員的個人數據。

包括遺傳數據和經過處理可以唯一識別個體的生物特徵數據。

不包括涉及刑事定罪和罪行的個人數據，但該類數據的處理和保存有特殊要求。

GDPR中數據主體的權利（第三章）

l 知情權

l 訪問權

l 反對權

l 可攜帶權

l 糾正權

l 刪除權/被遺忘權

l 限制處理權

l 免受數據畫像影響

GDPR中處理個人數據的基本原則

l 合法、正當、透明

l 處理數據的目的是有限的

l 僅處理為達到目的的最少數據

l 確保數據准確、及時更新

l 存儲數據的期限不得長於為達到目的所需要的時間

l 採取技術和管理措施以保護數據的安全

l 數據控制者有責任並應能夠證明做到了以上幾點

GDPR中對合法處理數據的定義

至少滿足一下中的某一項，處理數據才是合法的

l 數據主體同意為了特定目的處理其數據

l 處理數據是為了簽訂或履行合同的需要

l 處理數據是為了遵守法定義務的需要

l 處理數據是為了保護數據主體或其他自然人的至關重要的利益

l 處理數據是為了公共利益或形式政府授受的權力

l 處理數據是為了追求數據控制者的合理利益，但不得損害數據主體的利益

GDPR中針對兒童數據的處理規定

處理16歲以下兒童的個人數據，必須獲得該兒童父母或監護人的同意或授權。各成員國可以對上述年齡進行調整，但是不得低於13歲

GDPR中數據控制者與數據處理者的義務

設置DPO（數據保護官）

文檔化管理

數據保護影響評估

事先咨詢機制

數據泄露報告機制

安全保障措施

遵守數據跨境轉移規則

GDPR中針對特別類型個人數據的處理規定

禁止收集處理反映個人種族或民族起源、政治觀點、宗教和哲學信仰、是否是工會組織成員的數據、個人基因識別數據、生物數據、或涉及健康、性生活或性取向的數據。但在例外的情況下也可以收集加工以上數據，如已獲得個人的明示同意，或數據控制者因處理勞動關系、社會保險之需要並在法律允許的范圍內且已採取了適當的保護手段等。

GDPR中關於數據主體被遺忘權的規定（重要）

當個人數據已和收集處理的目的無關、數據主體不希望其數據被處理或數據控制者已沒有正當理由保存該數據時，數據主體可以隨時要求收集其數據的企業或個人刪除其個人數據。

如果該數據被傳遞給了任何第三方（或第三方網站），數據控制者應通知該第三方刪除該數據。

GDPR中關於數據主體可攜帶權的規定（重要）

數據主體可向數據控制者索要其數據，也可將其個人數據轉移至另一個數據控制者。

GDPR中關於個人數據泄露通知的規定（重要）

數據控制者應在72小時之內向監管機構報告個人數據的泄露情況。當數據泄露可能會給數據主體的權利或自由帶來巨大風險時，數據控制者必須毫不延誤的通知數據主體，以便數據主體及時採取措施。

GDPR中關於設立數據保護官的規定

為確保數據保護合規並處理數據保護相關事務，數據控制者和數據處理者需設置數據保護官（DPO）。

控制者和處理者應當對數據保護官不下達任何指令，DPO不能因為執行任務的原因被解僱或者受到刑事處罰。

數據保護官直接向最高管理者報告工作。

根據聯盟法律或者成員國法律規定，數據保護官應當對其執行任務的內容進行保密。

數據保護官也可以執行其他任務，履行其他職責。

GDPR關於執法和處罰的規定（非常重要）

不遵守信的數據隱私法規的後果就是會受到嚴厲的制裁和巨額的罰款。

GDPR的處罰並不是像網上傳的那樣直接就罰全球營收的4%。而是有兩個等級的徵收行政性罰款的規定：

對於一般性的違法，罰款上限是1000萬歐元，或者在承諾的情況下，最高為上一個財政年度全球全年營業收入的2%（兩者中取數額大者）；

對於嚴重的違法，罰款上限是2000萬歐元，或者在承諾的情況下，最高為上一個財政年度全球全年營業收入的4%（兩者中取數額大者）；

判罰的嚴重程度是基於以下因素：

l 違規的性質、嚴重程度和違規的持續時間

l 違規是故意的還是因疏忽造成的

l 對個人身份信息的責任心和控製程度

l 違規是單個事件還是重復事件

l 受到影響的個人資料的種類范圍

l 數據主體遭遇的損害程度

l 為了減輕損害而採取的行動

l 由違規產生的財務預期或收益

GDPR核心旨在保護隱私數據，並通過法案約束來建立企業和公民之間的信任關系，違反GDPR的代價遠不止財務層面，還將給企業聲譽造成極大破壞，並且導致企業和消費者之間產生信任危機

總結

由於青蓮雲所在的物聯網行業也處於GDPR法案的約束之中，故此整理出法案中的重點思想與業界分享。GDPR此次改革以保護公民的基本權利為理念，在提高個人數據保護標準的同時，也會增加企業的合規成本。法案的背後是對隱私和安全的需求，法案生效後會成為國際數據隱私保護標准。

對於物聯網行業的相關企業（硬體、軟體、製造、數據分析等）來說，從此刻開始提升物聯網安全意識，關注數據安全和用戶隱私安全，積極的採取相應的整改或強化措施刻不容緩。青蓮雲安全團隊也將在不斷提升自身安全攻防能力和安全合規意識的同時，與客戶企業建立長期持續的安全咨詢合作關系，共同建設安全、自主、可信的物聯網安全新業態。