新闻详情
当MiFID II遇上GDPR,尴尬是免不了的

MiFID II已于今年1月3日正式开始推行,而与此同时,欧盟的另一项法律文件GDPR也将在今年5月25日正式生效,一个是“欧盟金融工具市场指导2.0版”,一个是“全新的欧盟数据隐私保护法律”,二者不期而遇,会产生怎么的“火花”呢?

关于MiFID II,我们已经介绍过很多了,就不累述了。可参考:《MiFID II 正式实施!投资者应何去何从?》

GDPR

GDPR,是General Data Protection Regulation的缩写,译为欧盟《通过数据保护条例》,2016年4月14日,欧洲议会投票通过了商讨了四年的GDPR,GDPR将在2018年5月25日正式生效。GDPR共有11章,99个条例。

GDPR将取代1995年颁布的《数据保护指导》(Data Protection Directive 95/46/EC),并直接适用于欧盟各成员国。之所以要取代之前的《数据保护指导》,是因为在当时的时代背景下,还尚未普及智能终端、移动互联网、社交网络等新兴事物,而如今,技术的变革将人类带入了一个“数据时代”,个人隐私数据保护面临全新的挑战,为了适应时代变化,欧盟委员会制定了GDPR。

GDPR旨在加强对个人(自然人)数据隐私的保护,并统一之前欧盟区内分散化的个人数据保护法律法规。GDPR是迄今为止覆盖面最广的全球性数据隐私保护法规,任何处理欧盟公民个人数据的组织都必须遵守该条例,无论该组织设立地是否在欧盟。

GDPR对个人数据处理链条上的所有相关方都提出了新要求,如果企业不遵守将会受到非常严厉的制裁。对于存在违规行为的企业,可能面临高达 2000 万欧元或 4% 的年度全球营业额的罚款。下面是GDPR一些关键要点:

MiFID II遇上GDPR

MiFID II旨在保护投资者的合法利益,防止投资者因遭到各种欺诈而蒙受财务上的损失,并增加金融市场透明度,尤其在对金融公司的信息披露上提出了更高的要求,同时还提出要提供最佳订单执行环境。

然而,MiFID II的监管新规涉及到收集客户及企业的信息数据,而GDPR则是强化对个人数据的保护,二者存在冲突之处,一旦“相遇”,会出现何种局面,又会将产生怎样的影响呢?

比如:MiFID II要求所有客户业务的通话都要被录音记录,以备日后核查,然而GDPR则强调个人对私人信息的隐私权,这种情况下,金融公司该如何应对呢?留存电话录音的时间期限是非常关键的,假设一个新的客户开户交易两年后,就关闭了该账户,MiFID II要求该客户的通话记录应被保留7年,而GDPR则要求该通话记录的处置权应交由客户自行决定,这种情形下,就要求两个法律体系的制定者聚到一起相互协商,达成一个一致方案。

当然,只有涉及商业业务的电话通话才会被录音留存,那么私人通话呢?一般情况下,金融公司所有员工的公司电话通话都会被录音,因而员工们要进行私人性质的通话就不能用公司电话,而必须用个人的私人电话。另外,很多业务实际上并不是在办公室里完成的,而是下班之后通过私人手机谈成的,而私人手机的通话又是被禁止录音的。这又是一个MiFID II和GDPR的冲突点。

MiFID II和GDPR要想并行顺利实施,还有许多地方需要磨合,在GDPR正式推行之前,两个法律的制定者还需坐在一起,认真磋商。如果没有一个完整的方案应对二者的诸多冲突之处,那届时不仅会对投资者、客户及金融公司的业务运营产生负面影响,还会损及到法律制定者的权威性。目前还有一段时间的过渡期,希望欧盟的法律制定者能对此重视起来。