欧盟保护互联网金融消费者

『伍』 蚂蚁金服联合24家金融机构关于齐力保护消费者金融权益的倡议书内容

保护消费者金融权益是金融行业健康发展的立身之本，也是金融行业创新和改革的根本宗旨。

伴随着移动互联网的发展，金融产品和服务的提供日趋丰富。但无论何种创新，金融的本质并没有改变，防范风险确保消费者权益仍然是所有金融从业者必须谨记在心的事情。

我们发现，目前部分金融行为并不规范，金融消费领域纠纷频繁发生，而消费者金融权益保护意识不强、识别风险能力亟待提高等问题，也日益凸显。

值此2016年“3.15”消费者权益保护日之际，为了构建和谐、共赢的金融消费生态，健全金融行业的透明诚信体系，切实保护消费者的金融权益，蚂蚁金服联合24家金融机构，共同发出如下倡议：

1、严格遵守国家《关于加强金融消费者权益保护工作的指导意见》，切实保障金融消费者“八项权利”，包括：财产安全权、知情权、自主选择权、公平交易权、依法求偿权、受教育权、受尊重权、信息安全权等基本权利。

2、完善信息透明、公开职责，及时而准确地向社会各界尤其消费者披露金融产品和服务的真实情况，确保资金专款专用，不得违规设立资金池，确保交易资金可追溯，全面保障客户资金安全。

3、严格企业自律，恪守投资适当性原则，抵制恶性竞争，营造行业公平公正的良性竞争环境；在自觉维护金融稳定的基础上，积极拥抱政府监管，虚心接受社会监督。

4、切实尊重和保护消费者隐私，积极探索机制和创新科技手段，不惜用最大的代价有效防控互联网内外的金融风险，构建覆盖信用风险、市场风险、操作风险、突发性风险等风险管理体系。

5、积极开展系统、持续的消费者投资教育，提升全社会对金融权益的关注，增强公民金融知识素养，培养公民科学投资理念，尤其注重消费 者风控意识和能力的提升。

6、健全企业内部高效快速的消费者投诉处理机制，提高投诉处理质量和效率，利用保险等机制确保消费者权益第一时间得到保护，同时及时查找薄弱环节和风险隐患，防范和化解系统性风险。

7、加强与金融消费者保护协会、互联网金融协会等组织的协作，合力推进消费者金融权益保护的行业协调机制建设以及法律法规完善，实现信息共享，互相协作，畅通消费者维权渠道。

8、确保旗下平台或产品严守合法合规的底线，坚决抵制各类侵害消费者权益的伪金融行为，并积极配合司法机关打击各类以金融为名的违法犯罪，共塑金融市场清明的法治环境。

『陆』 是时候掘金互联网金融“消费者权益保护”概念了

消费者权益保护月虽过，互联网金融平台安全问题也被推到了风口浪尖上。投资人的权益如何保护？平台兜底是不是该持续？未来三年互联网金融消费者保护将成为一个热点，互联网金融的发展无论技术上如何进步，它仍然是信用和风险时空配置。与消费者权益相关的那些产业，有哪些新的商机？
互联网金融中与消费者权益相关的无外乎几个方面：资产端的供给、平台的运作和消费者权益的保护。其实在整个产业链的上中下游，涉及消费者权益的内容均可渗入。
1、 网络安全类软件
随着移动支付的普及，相关的骗术也增多了。比如扮演成为微信红包让不了解AA付款功能的用户点击付费链接，从而完成诈骗。根据网友的反映，很多人都曾遭遇这样的诈骗案。如果消费者权益薄弱，用技术搭建防火墙就显得格外重要。
可以看到，以互联网金融为核心的软件硬件的综合服务在未来的时间里边会呈现指数式增长，无论是可穿戴设备、医疗、交通等等本质上都离不开互联网金融支付作为业务发展的支撑。互联网金融应用越广，其带来的风险评估和管理的难度就更加大，这些挑战也将是未来的新兴产业所在。
在PC端，电脑系统安全的防护软件已经屡见不鲜，专门针对互联网金融平台的安全防护类软件大有可为。用户密码的保护、交易的数据安全、用户隐私保护、平台的日常安全维护等等都需要技术支持，不仅是安全防范功能，还有出现问题以后的补救措施。
2、 评级公司
互联网金融平台井喷式增长，其鱼龙混杂程度则更高。于是，帮消费者挑选平台的评级公司就显得尤为重要了。评级公司应该以专业的第三方存在，对平台的资质提供公允的评价。更可以进一步提供更加个性化的付费服务，比如对投资者具体感兴趣的项目进行评测和对比。
现在，互联网金融平台垂直化趋势尽显。比如最近流行的股票配资、票据之类的，资产端的多样化也让互联网金融由简单变得“复杂”起来，看似操作简单，这些垂直化平台对投资者的投资能力有一定的专业门槛。而消除这个“门槛”，评级公司大有可为。评级公司要做的就是信息透明化，把具体平台的实际运作和项目的结构披露出来，解决信息不对称性。
但评级公司信誉建立是关键，如何保证资质的专业性和结果的公允性将是其生存之道。大集团大公司在这方面显然有更大优势，可以依靠其累积的商誉做评级服务，并把积累的数据作为自建风控模型的原始数据。
3、 投资者责任险
在证券领域我国有证券投资者保护基金，以保护证券投资者的合法权益，而在互联网金融领域，尚没有一种成熟的机制来保障投资者的权益。不管是平台跑路还是项目坏账，风险责任主要还是由投资者承担。
风险共担和分散是保险行业所擅长的，在互联网金融领域是否保险公司也可以有所作为？探索出一种由保险公司、消费者、平台共同完成的风险承担模式。一旦出险，消费者免于遭受巨大损失，平台也可以咽下免于“刚性兜底”的苦果。而保险公司要思考的，是如何在分散风险的过程中受益。

『柒』 互联网金融产品详情未及时更新，消费者以侵犯其知情权为由主张赔偿有无法律依据

1. 侵犯

2. 刻意隐瞒可造成损失的内容可理解为欺诈，合同有效

3. 有欺诈行为可以要求2倍赔偿
   

『捌』 国际公约法对互联网金融怎样规定的

互联网金融是指依托于互联网而开展的各种金融活动的总称，主要包括网上银行、网上第三方支付、P2P网络众筹融资、新型电子货币，以及金融机构的网络创新平台和基于网络的金融服务平台等。全球互联网金融的蓬勃发展，不仅对国际经济和金融发展起到了极大的促进作用，同时也对国际金融秩序和法律制度的发展产生了重大的影响。

国际金融法律体系是由一系列规范国际金融秩序和国际金融交易行为的国际金融条约、国际金融规则、国际金融惯例、涉外金融立法等法律文件所构成的一个系统，其所涵盖的范围主要包括国际商业银行、国际货币、国际借贷及担保、国际结算与国际贸易融资、国际证券融资以及国际金融组织法律制度等内容。在国际社会各方主体的参与和努力下，国际金融领域法律制度建设已现端倪：银行法、票据法、金融支付与结算法、金融担保法、证券发行与交易法等领域，先后出现了一系列国际公约、国际规则、国际惯例和涉外立法。互联网金融的出现，改变了国际金融法律体系的传统格局。1995年，世界上第一家无任何分支机构的纯网络银行——美国第一安全网络银行产生，由此开启了网上银行的金融创新模式；1998年建立的PayPal网络服务商依托eBay庞大的市场份额，开始了全球第三方支付业务的新模式，目前PayPal在全球拥有超过1.5亿个账户，成为全球最大的网上支付公司之一；2005年诞生的首个依托于WEB2.0的P2P网络众筹融资模式，为借款需求者和有闲置资金者创建自行配对交易的网络借贷平台。互联网金融具有空间的虚拟性、金融交易行为的自由性、信息流通的交互性、网络空间的开放性、参与主体的全球性。这些形态各异、功能广泛的互联网金融新形态和新模式，超越了传统国际金融法律体系的调整范围，亟须新的国际金融条约、新的国际金融规则、新的国际金融惯例和涉外金融立法予以规制。互联网金融的发展，在客观上将大大拓展国际金融法律体系的外延。

随着互联网金融在中国等发展中国家的普及和推广，传统国际金融法律规范在调整国际互联网金融新秩序方面，表现出许多新的盲点和空缺，传统国际金融法律制度的这种局限性与互联网金融交易行为，亟须法律规范调整需求之间的矛盾和冲突将越来越突出。一些现行的国际金融法律制度和规则，在互联网金融背景下，尤其是面对网上第三方支付、P2P网络众筹融资、新型电子货币等的兴起，亟须更新、修订与增补。国际社会一直在不懈努力促进国际金融法律制度的发展，国际金融监管的法律框架也一直在不断地进行改革。如针对2008年爆发的全球金融危机所出现的新问题，国际银行业监管对巴塞尔协议进行了修订，目前所适用的是经过修订的第三版巴塞尔协议（即《巴塞尔III》）。《巴塞尔III》中建立了有关提高核心资本充足率、控制杠杆比率以及强化流动性监管等新规则，强化了对银行的国际监管。但是面对网上第三方支付、P2P网络众筹融资、新型电子货币等金融互联网新模式，《巴塞尔III》所确立的金融监管法律制度显得有些捉襟见肘，如从事新型互联网金融业务的公司，大多以商业公司，而非以银行的身份开展业务，他们的行为规范并不受《巴塞尔III》中有关核心资本充足率、控制杠杆比率以及强化流动性监管等新规则的约束。在这样的国际金融法律环境下，势必造成银行与开展互联网金融业务的公司之间的不公平竞争，导致银行等传统金融机构的手脚被束缚。又如1996年12月联合国第51次大会通过的《电子商务示范法》，虽然对于网络市场中的数据电文、网上合同成立及生效条件、运输等专项领域的电子商务法律问题，都做了十分具体的规范。但是，对于“数宇签名认证机构”这样的法律问题，尚付阙如。因此，在互联网金融快速发展的今天，亟须制定一些专门用于调整互联网金融的国际金融法新规则。

传统国际金融法的保护重点往往放在市场强势主体之上。跨国商业银行、跨国保险公司、跨国投资银行和跨国基金等金融市场的主体，常常利用其强势地位，制定有利的行业规则，或者通过霸王条款，获得有利的交易地位。在互联网金融背景下，由于参与主体分布地域广泛，类型众多，国际金融法律制度的设计者和国际金融规范的制定者，必须将法律保护的重点，由市场强势地位的主体转为弱势地位的主体即金融消费者之上。可以说，建立适应互联网金融的国际金融秩序，成功的关键在于法律的这种保障金融消费者合法权益的功能在多大程度上得到认同和发挥。由于互联网金融空间的虚拟性，互联网金融消费者没有机会与交易对方进行面对面的交流，只能通过网络传递信息。信息的不对称性，以及交易对手的商业诚实性问题，均可能对互联网金融消费者产生影响，影响到互联网金融消费者的合法权益和他们参与互联网金融的积极性，进而影响到互联网金融的可持续发展性。要鼓励全球大众积极参与互联网金融活动，必须将维护全球互联网金融消费者的合法权益作为国际金融法的一项重要原则。在互联网金融蓬勃发展的大环境下，只有将维护全球互联网金融消费者的合法权益提升到国际金融法律制度原则的高度，才能真正促进全球互联网金融的发展，维护国际社会秩序、促进国际经济繁荣和国际社会进步。

『玖』 请问欧盟的消费者保护法与商品责任问题

对消费者的保护是欧盟一体化进程中的一个重要方面，具有广泛和深远的影响：其一，欧盟的消费者保护将各成员国原有水平不一的消费者消费活动的自主性、平等性、安全性，拓展提升到欧盟一体化的区域内，欧盟的消费者保护是一体化中欧盟公民权利的体现。其二，消费者保护与经济一体化密切相关，欧盟的消费者保护促使欧盟范围内的消费者保护标准趋于一致，从而有利于欧盟一体化市场中贸易壁垒的消除。其三，欧盟的消费者保护形成了新的行为约束机制，加强了对内部市场的社会控制，同时促使社会结构的合理分化，形成了消费者权益保护网络，促进了消费者的社会化进程，从而成为一体化进程中的社会生长点。
具体内容参见《南开学报》

『拾』 谁有深度整理的欧盟《一般数据保护法案》（GDPR）核心要点中文内容

前言：

整理本文的原因有三：

1、 网上很多关于GDPR的文章并不全面，甚至有误

2、 以此机会在公司内部开展关于GDPR的专项培训

3、 青莲云的部分客户业务在未来会受到GDPR的影响

之后，我们计划编写一系列相关文章，更多的是站在企业角度来思考法案对物联网行业的影响以及应对措施，一来希望与同行企业可以就GDPR进行更多的互动讨论；二来也是希望传播国际法案对于安全和隐私的态度，共同提高物联网安全意识。

以下您将了解到：

1、 什么是GDPR（重要）

2、 GDPR的发展历程

3、 GDPR的关键术语定义（重要）

4、 GDPR会影响哪些企业（重要）

5、 GDPR不适用于哪些情况

6、 GDPR约束了哪些数据（重要）

7、 GDPR中数据主体的权利（重要）

8、 GDPR中处理个人数据的基本原则（重要）

9、 GDPR中对合法处理数据的定义

10、 GDPR中针对儿童数据的处理规定

11、 GDPR中数据控制者与数据处理者的义务（重要）

12、 GDPR中针对特别类型个人数据的处理规定

13、 GDPR中关于数据主体被遗忘权的规定（重要）

14、 GDPR中关于数据主体可携带权的规定（重要）

15、 GDPR中关于个人数据泄露通知的规定（重要）

16、 GDPR中关于设立数据保护官的规定

17、 GDPR关于执法和处罚的规定（非常重要）

18、 总结

什么是GDPR

2016年4月14日，欧洲议会投票通过了商讨四年的《一般数据保护法案》（General Data Protection Regulation (GDPR)），新法案由11章共99条组成，该法案将于2018年5月25日正式生效，将取代现有的《数据保护指示》（Data Protection Directive 95/46/EC），统一欧盟成员国关于数据保护的法律法规。

此外，GDPR新规是在28个欧盟成员国统一实施生效的，这将使28个欧盟及欧洲经济共同体成员国的隐私保护法更具有一致性和现代性。

GDPR作为一套用来保护欧盟公民个人隐私和数据的新法规，其颁布意味着欧盟对个人信息的保护及监管达到了前所未有的高度，堪称史上最严格的数据保护法案

GDPR的发展历程

（图片来自网络）

GDPR的关键术语定义

个人数据：是指任何指向一个已识别或可识别的自然人（数据主体）的信息。该可识别的自然人能够被直接或间接地识别，尤其是通过参照诸如姓名、身份证号、定位数据、在线身份识别这列标识，或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。

处理：是指针对个人数据或个人数据集合的任何一个或一系列操作，诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他利用、排列、组合、限制、删除或销毁，无论此操作是否采用自动化手段。

匿名化：是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据的处理方式。该处理方式将个人数据与其他额外信息分别存储，并且使个人数据因技术和组织手段而无法指向一个可识别和已识别的自然人。

数据控制者：能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。

数据处理者：是指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。

数据接受者：只是接收到被传递的个人数据的主体，无论其是否是第三方的自然人、法人、公共机构、行政机关或其他非法人组织。政府因在欧盟或其成员国法律框架内特定调查接收到的个人数据，不得视为“数据接受者”。

个人数据外泄：是指个人数据在传输、存储或进行其他处理时的由安全问题引发的个人数据被意外或非法破坏、损失、变更、未经授权披露或访问。

GDPR会影响哪些企业

欧盟GDPR法案具有域外效应。也就是说，GDPR赋予了欧盟在个人信息安全方面的域外管辖权。

主要受影响的企业为以下四类：

l 设立在欧盟境内的企业（控制者、处理者）

l 未在欧盟境内设立，但向欧盟境内的数据主体（自然人）提供产品和服务的企业（控制者、处理者）

l 未在欧盟境内设立，但涉及监控欧盟境内数据主体（自然人）行为的企业（控制者、处理者）

l 未在欧盟境内设立，但在欧洲成员国法律适用的地方设立的企业（控制者、处理者）

总结来说，GDPR不仅适用于位于欧盟境内的企业组织机构，也适用于位于欧盟以外的企业组织机构，无论机构所在地位于哪里，只要其向欧盟数据主体提供产品、服务或者监控相关行为，或处理和持有居住在欧盟境内的数据主体的个人数据，都将受到GDPR法案的监管。

GDPR法案同样适用于“数据控制者”和“数据处理者”。如果是数据处理者涉案，数据控制者也无法免除责任，GDPR规定控制者需要承担更多的责任，以确保和数据处理者之间的合同能够严格遵守GDPR的规定。

GDPR不适用于哪些情况

GDPR更多的是监管企业对数据的使用行为。以下4个方面的数据使用情况不适用于GDPR：

l 为了预防、调查、侦查或起诉刑事犯罪，主管当局为执行刑事处罚目的而产生的数据处理行为

l 基于国家安全目的而产生的数据处理行为

l 自然人在纯粹的个人或家庭活动中产生的数据处理行为

l 欧盟法律规定范围之外的活动过程中产生的数据处理行为

GDPR约束了哪些数据

个人数据：

可以通过某个标识直接或间接识别某一自然人的信息。

不管是采用自动化手段还是人工进行归类的数据，包括按时间顺序排列的包含个人数据的记录集合。

已经被匿名化的个人数据，取决于用已有标识来识别特定个体的困难程度。

敏感个人数据：

也被称为“特殊种类的个人数据”。

包括揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员的个人数据。

包括遗传数据和经过处理可以唯一识别个体的生物特征数据。

不包括涉及刑事定罪和罪行的个人数据，但该类数据的处理和保存有特殊要求。

GDPR中数据主体的权利（第三章）

l 知情权

l 访问权

l 反对权

l 可携带权

l 纠正权

l 删除权/被遗忘权

l 限制处理权

l 免受数据画像影响

GDPR中处理个人数据的基本原则

l 合法、正当、透明

l 处理数据的目的是有限的

l 仅处理为达到目的的最少数据

l 确保数据准确、及时更新

l 存储数据的期限不得长于为达到目的所需要的时间

l 采取技术和管理措施以保护数据的安全

l 数据控制者有责任并应能够证明做到了以上几点

GDPR中对合法处理数据的定义

至少满足一下中的某一项，处理数据才是合法的

l 数据主体同意为了特定目的处理其数据

l 处理数据是为了签订或履行合同的需要

l 处理数据是为了遵守法定义务的需要

l 处理数据是为了保护数据主体或其他自然人的至关重要的利益

l 处理数据是为了公共利益或形式政府授受的权力

l 处理数据是为了追求数据控制者的合理利益，但不得损害数据主体的利益

GDPR中针对儿童数据的处理规定

处理16岁以下儿童的个人数据，必须获得该儿童父母或监护人的同意或授权。各成员国可以对上述年龄进行调整，但是不得低于13岁

GDPR中数据控制者与数据处理者的义务

设置DPO（数据保护官）

文档化管理

数据保护影响评估

事先咨询机制

数据泄露报告机制

安全保障措施

遵守数据跨境转移规则

GDPR中针对特别类型个人数据的处理规定

禁止收集处理反映个人种族或民族起源、政治观点、宗教和哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据，如已获得个人的明示同意，或数据控制者因处理劳动关系、社会保险之需要并在法律允许的范围内且已采取了适当的保护手段等。

GDPR中关于数据主体被遗忘权的规定（重要）

当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时，数据主体可以随时要求收集其数据的企业或个人删除其个人数据。

如果该数据被传递给了任何第三方（或第三方网站），数据控制者应通知该第三方删除该数据。

GDPR中关于数据主体可携带权的规定（重要）

数据主体可向数据控制者索要其数据，也可将其个人数据转移至另一个数据控制者。

GDPR中关于个人数据泄露通知的规定（重要）

数据控制者应在72小时之内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时，数据控制者必须毫不延误的通知数据主体，以便数据主体及时采取措施。

GDPR中关于设立数据保护官的规定

为确保数据保护合规并处理数据保护相关事务，数据控制者和数据处理者需设置数据保护官（DPO）。

控制者和处理者应当对数据保护官不下达任何指令，DPO不能因为执行任务的原因被解雇或者受到刑事处罚。

数据保护官直接向最高管理者报告工作。

根据联盟法律或者成员国法律规定，数据保护官应当对其执行任务的内容进行保密。

数据保护官也可以执行其他任务，履行其他职责。

GDPR关于执法和处罚的规定（非常重要）

不遵守信的数据隐私法规的后果就是会受到严厉的制裁和巨额的罚款。

GDPR的处罚并不是像网上传的那样直接就罚全球营收的4%。而是有两个等级的征收行政性罚款的规定：

对于一般性的违法，罚款上限是1000万欧元，或者在承诺的情况下，最高为上一个财政年度全球全年营业收入的2%（两者中取数额大者）；

对于严重的违法，罚款上限是2000万欧元，或者在承诺的情况下，最高为上一个财政年度全球全年营业收入的4%（两者中取数额大者）；

判罚的严重程度是基于以下因素：

l 违规的性质、严重程度和违规的持续时间

l 违规是故意的还是因疏忽造成的

l 对个人身份信息的责任心和控制程度

l 违规是单个事件还是重复事件

l 受到影响的个人资料的种类范围

l 数据主体遭遇的损害程度

l 为了减轻损害而采取的行动

l 由违规产生的财务预期或收益

GDPR核心旨在保护隐私数据，并通过法案约束来建立企业和公民之间的信任关系，违反GDPR的代价远不止财务层面，还将给企业声誉造成极大破坏，并且导致企业和消费者之间产生信任危机

总结

由于青莲云所在的物联网行业也处于GDPR法案的约束之中，故此整理出法案中的重点思想与业界分享。GDPR此次改革以保护公民的基本权利为理念，在提高个人数据保护标准的同时，也会增加企业的合规成本。法案的背后是对隐私和安全的需求，法案生效后会成为国际数据隐私保护标准。

对于物联网行业的相关企业（硬件、软件、制造、数据分析等）来说，从此刻开始提升物联网安全意识，关注数据安全和用户隐私安全，积极的采取相应的整改或强化措施刻不容缓。青莲云安全团队也将在不断提升自身安全攻防能力和安全合规意识的同时，与客户企业建立长期持续的安全咨询合作关系，共同建设安全、自主、可信的物联网安全新业态。