加拿大《消費者驅動銀行法》落地：國樽涉外律師對法律風險解析

2025 年 11 月 18 日，加拿大聯邦政府正式提交 C-15 號預算實施法案，其中嵌入的《消費者驅動銀行法》（Consumer-Driven Banking Act，下稱 CDBA），標志著加拿大聯邦層面開放銀行立法框架的最終確立。這部醞釀多年的法案，不僅重塑了加拿大金融數據共享的規則體系，更對金融機構、支付服務商等市場主體的合規義務提出明確要求，也為相關法律實務工作劃定了全新范疇。

一、法案核心規制框架：監管權責與適用范圍

1. 雙層監管體系確立，權責邊界清晰

CDBA 明確了加拿大央行（BoC）作為開放銀行體系的核心監管主體，其法定職責涵蓋三大維度：一是參與實體的資質認證，負責審核申請主體的技術標準與安全防護能力；二是全流程合規監督，對參與實體的數據共享行為、安全措施落實情況進行常態化監管；三是市場趨勢監測，為制度迭代提供決策依據。

與此同時，加拿大財政部長保留宏觀監管干預權，可基于國家安全或公共利益考量，發布專項監管指引并采取應急干預措施，形成 “專業機構實操監管 + 政府部門宏觀把控” 的雙層監管格局，為開放銀行體系的穩定運行提供制度保障。

2. 適用范圍劃定，覆蓋多類金融主體與數據

從規制對象來看，CDBA 的適用范圍包含兩類核心要素：

數據范疇：覆蓋存款賬戶、投資賬戶、支付產品、信貸產品等全品類受監管金融服務相關數據，實現個人及企業核心金融數據的全覆蓋；

參與主體：將聯邦監管金融機構、受監管信用合作社、《零售支付活動法》項下注冊支付服務商及其他經認證主體，統一界定為 “參與實體”，納入開放銀行數據共享體系。

二、參與實體的核心合規義務與準入門檻

CDBA 為參與實體設定了嚴格的準入標準與持續性合規要求，是市場主體參與開放銀行業務的基本法律遵循：

1.資質認證與信息公示：申請成為參與實體需先通過央行的資質審核，提交技術標準達標證明與安全防護方案；獲證后需按規繳納年費，且相關資質信息將被納入央行維護的公共注冊名錄，接受社會監督。

2.數據共享的合規要求：數據共享必須以消費者明示同意為前提，需向消費者清晰披露數據共享的范圍、用途及期限；同時需建立便捷通道，保障消費者隨時撤回同意或申請數據刪除的權利。

3.安全防護與風險處置：必須搭建全流程數據安全防護體系，一旦發生數據泄露，需第一時間上報監管機構，并在存在重大損害風險時，及時告知受影響消費者，降低風險擴散范圍。

4.爭議解決機制搭建：需同時建立內部投訴處理流程與外部糾紛解決渠道，強制加入指定外部投訴機構，確保消費者的維權訴求能得到公正、高效的響應。

三、法案項下的法律責任與懲戒標準

CDBA 設置了梯度化的法律責任體系，大幅提高了違規成本，為規則落地提供強力保障：

1.行政罰款：加拿大央行可對違規主體開展專項審計、下達合規整改協議，同時處以高額行政罰款 —— 個人違規最高罰 100 萬加元，參與實體或獲證第三方服務商違規最高罰 1000 萬加元。

2.刑事懲戒：針對情節嚴重的違法情形，將觸發法庭裁決程序，個人可能面臨最高 100 萬加元罰款和 / 或 5 年監禁，企業主體則可能被處以最高 500 萬加元罰款，形成強大法律震懾。

四、法律實務視角下的主體應對建議

1. 對金融機構、支付服務商等參與實體

需盡快開展 CDBA 合規差距評估，對照法案要求完善數據安全防護體系與消費者權益保護流程；

建立央行監管溝通機制，提前籌備資質認證所需材料，確保順利納入開放銀行體系；

搭建違規風險預警與應急處置預案，降低行政處罰與刑事追責風險。

2. 對企業及個人消費者

在授權數據共享前，需仔細核驗接收方的參與實體資質，明確數據共享邊界；

留存數據共享授權憑證，一旦發生權益受損情況，可通過內部投訴與外部維權渠道主張權利；

避免因自身重大過失導致未授權訪問，防止產生不必要的法律責任。