新《反洗钱法》中信息保护条款对金融机构的影响

文摘   2024-11-09 11:11   上海  

反洗钱是所有金融机构都要履行的重要义务,其中也必然涉及信息流动,在新《反洗钱法》中予以规制确有必要。


整体来看,这些条款一方面对金融机构提出了新要求,另一方面也开展反洗钱工作过程中提供了便利和依据。此外,反洗钱信息存储要求由5年变10年!


 一、主管部门


(一)保密义务


国家有关机关使用反洗钱信息应当依法保护国家秘密、商业秘密和个人隐私、个人信息。
《反洗钱法》第7条第4款


在保留现行反洗钱法关于严格规范反洗钱信息使用规定的同时,第4款新增对个人隐私的保护。


《个人信息保护法》中其实也有类似的规定,为应有之义。


(二)法律责任


反洗钱行政主管部门和其他依法负有反洗钱监督管理职责的部门从事反洗钱工作的人员有下列行为之一的,依法给予处分:
……
(二)泄露因反洗钱知悉的国家秘密、商业秘密或者个人隐私、个人信息
……
其他国家机关工作人员有前款第二项行为的,依法给予处分。
《反洗钱法》第51条


本次只是新增了“个人信息”,其实予以处分并不算是很重的处罚,如果泄露个人信息的数量多了,侵犯公民个人信息罪肯定适用。


综上,这两条主要是宣誓性条款,实质影响不大。


二、金融机构


(一)集团共享反洗钱信息


在境内外设有分支机构或者控股其他金融机构的金融机构,以及金融控股公司,应当在总部或者集团层面统筹安排反洗钱工作。为履行反洗钱义务在公司内部、集团成员之间共享必要的反洗钱信息的,应当明确信息共享机制和程序。共享反洗钱信息,应当符合有关信息保护的法律规定,并确保相关信息不被用于反洗钱和反恐怖主义融资以外的用途。
《反洗钱法》第37条


此前的《金融机构反洗钱和反恐怖融资监督管理办法》也有类似规定。


金融机构应当在总部层面制定统一的反洗钱和反恐怖融资机制安排,包括为开展客户尽职调查、洗钱和恐怖融资风险管理,共享反洗钱和反恐怖融资信息的制度和程序,并确保其所有分支机构和控股附属机构结合自身业务特点有效执行。金融机构在共享和使用反洗钱和反恐怖融资信息方面应当依法提供信息并防止信息泄露。

《金融机构反洗钱和反恐怖融资监督管理办法》第12条


此次,《反洗钱法》将该要求提到了法律层面,一方面明确了反洗钱信息共享的合法性基础,另一方面也对金融机构提出了要求。


1、基于反洗钱目的共享个人信息无需单独同意。具有反洗钱风险的高危客户,在集团成员间共享有利于风险防范,取得客户单独同意显然不现实。共享必要信息被写入《反洗钱法》,因此金融机构集团内共享反洗钱信息也就有了“法定义务”的合法性基础,无需取得客户单独同意了。


核心机构和经营机构应当依法依规向第三方机构提供投资者个人信息,明确告知投资者个人信息处理目的、处理方式、个人信息种类、保存期限、保护措施以及相关方的权利和义务等,并取得投资者个人单独同意,履行法定职责或者法定义务的情形除外

《证券期货业网络和信息安全管理办法》第33条


2、履行“信息保护规定”的相关义务。单独同意被豁免了,但相关的增强告知义务和个人信息保护影响评估依然要落实。


(1)增强告知。根据《个人信息保护法》第23条还应该告知:“接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类”。证券行业机构还应当满足前述《证券期货业网络和信息安全管理办法》第33条的告知要求。由于不用取得单独同意了,相关的告知工作可以通过隐私政策开户协议等覆盖广谱客户的协议文本来完成,不用单独弹窗。


(2)个人信息保护影响评估。《个人信息保护法》第55条明确对外提供个人信息时应进行个人信息保护影响评估。由于集团内成员以及分享的个人信息字段都比较固定,因此在开展反洗钱信息共享活动前开展一次个人信息保护影响评估即可,后续若有变动的再重新评估。


3、建章立制。在总部层面明确反洗钱信息共享的制度和流程,前述告知要求、个人信息保护影响评估等也应被覆盖,并被集团成员统一执行。


(二)境外协查


外国国家、组织违反对等、协商一致原则直接要求境内金融机构提交客户身份资料、交易信息,扣押、冻结、划转境内资金、资产,或者作出其他行动的,金融机构不得擅自执行,并应当及时向国务院有关金融管理部门报告。 

除前款规定外,外国国家、组织基于合规监管的需要,要求境内金融机构提供概要性合规信息、经营信息等信息的,境内金融机构向国务院有关金融管理部门和国家有关机关报告后可以提供或者予以配合。  

前两款规定的资料、信息涉及重要数据和个人信息的,还应当符合国家数据安全管理、个人信息保护有关规定。

《反洗钱法》第50条


1、境外监管直接要求提供客户身份、交易信息或进行查冻扣转等要求,金融机构不得擅自执行,并且还应立刻报告金融主管部门


2、境外监管基于合理的监管需求,要求提供概性合规信息、经营信息等的,报告金融主管部门后方能提供。


3、涉及个人信息或重要数据出境的,还应该遵守网信部门的数据出境相关前置审批流程。


总结一下,境外监管要求金融机构直接提供信息或执行查冻扣转的,均应报主管部门,原则上不能给,概要性信息监管同意才能给。如果涉及个人信息或重要数据,还得走数据出境的前置审批流程。


如果想拒绝,依据更充分啦。


(三)反洗钱服务机构信息安全保障义务


提供反洗钱咨询、技术、专业能力评价等服务的机构及其工作人员,应当勤勉尽责、恪尽职守地提供服务;对于因提供服务获得的数据、信息,应当依法妥善处理,确保数据、信息安全。 

国务院反洗钱行政主管部门应当加强对上述机构开展反洗钱有关服务工作的指导。

《反洗钱法》第26条


对于那几个境外的、很难沟通的、非常强势的却又不得不用的反洗钱数据商,每每看到合同条款都只能叹口气。诚挚希望有关部门管一管。

数据何规
数据合规及科技、AI最新动态。
 最新文章