加拿大《消费者驱动银行法》落地：国樽涉外律师对法律风险解析

2025 年 11 月 18 日，加拿大联邦政府正式提交 C-15 号预算实施法案，其中嵌入的《消费者驱动银行法》（Consumer-Driven Banking Act，下称 CDBA），标志着加拿大联邦层面开放银行立法框架的最终确立。这部酝酿多年的法案，不仅重塑了加拿大金融数据共享的规则体系，更对金融机构、支付服务商等市场主体的合规义务提出明确要求，也为相关法律实务工作划定了全新范畴。

一、法案核心规制框架：监管权责与适用范围

1. 双层监管体系确立，权责边界清晰

CDBA 明确了加拿大央行（BoC）作为开放银行体系的核心监管主体，其法定职责涵盖三大维度：一是参与实体的资质认证，负责审核申请主体的技术标准与安全防护能力；二是全流程合规监督，对参与实体的数据共享行为、安全措施落实情况进行常态化监管；三是市场趋势监测，为制度迭代提供决策依据。

与此同时，加拿大财政部长保留宏观监管干预权，可基于国家安全或公共利益考量，发布专项监管指引并采取应急干预措施，形成 “专业机构实操监管 + 政府部门宏观把控” 的双层监管格局，为开放银行体系的稳定运行提供制度保障。

2. 适用范围划定，覆盖多类金融主体与数据

从规制对象来看，CDBA 的适用范围包含两类核心要素：

数据范畴：覆盖存款账户、投资账户、支付产品、信贷产品等全品类受监管金融服务相关数据，实现个人及企业核心金融数据的全覆盖；

参与主体：将联邦监管金融机构、受监管信用合作社、《零售支付活动法》项下注册支付服务商及其他经认证主体，统一界定为 “参与实体”，纳入开放银行数据共享体系。

二、参与实体的核心合规义务与准入门槛

CDBA 为参与实体设定了严格的准入标准与持续性合规要求，是市场主体参与开放银行业务的基本法律遵循：

1.资质认证与信息公示：申请成为参与实体需先通过央行的资质审核，提交技术标准达标证明与安全防护方案；获证后需按规缴纳年费，且相关资质信息将被纳入央行维护的公共注册名录，接受社会监督。

2.数据共享的合规要求：数据共享必须以消费者明示同意为前提，需向消费者清晰披露数据共享的范围、用途及期限；同时需建立便捷通道，保障消费者随时撤回同意或申请数据删除的权利。

3.安全防护与风险处置：必须搭建全流程数据安全防护体系，一旦发生数据泄露，需第一时间上报监管机构，并在存在重大损害风险时，及时告知受影响消费者，降低风险扩散范围。

4.争议解决机制搭建：需同时建立内部投诉处理流程与外部纠纷解决渠道，强制加入指定外部投诉机构，确保消费者的维权诉求能得到公正、高效的响应。

三、法案项下的法律责任与惩戒标准

CDBA 设置了梯度化的法律责任体系，大幅提高了违规成本，为规则落地提供强力保障：

1.行政罚款：加拿大央行可对违规主体开展专项审计、下达合规整改协议，同时处以高额行政罚款 —— 个人违规最高罚 100 万加元，参与实体或获证第三方服务商违规最高罚 1000 万加元。

2.刑事惩戒：针对情节严重的违法情形，将触发法庭裁决程序，个人可能面临最高 100 万加元罚款和 / 或 5 年监禁，企业主体则可能被处以最高 500 万加元罚款，形成强大法律震慑。

四、法律实务视角下的主体应对建议

1. 对金融机构、支付服务商等参与实体

需尽快开展 CDBA 合规差距评估，对照法案要求完善数据安全防护体系与消费者权益保护流程；

建立央行监管沟通机制，提前筹备资质认证所需材料，确保顺利纳入开放银行体系；

搭建违规风险预警与应急处置预案，降低行政处罚与刑事追责风险。

2. 对企业及个人消费者

在授权数据共享前，需仔细核验接收方的参与实体资质，明确数据共享边界；

留存数据共享授权凭证，一旦发生权益受损情况，可通过内部投诉与外部维权渠道主张权利；

避免因自身重大过失导致未授权访问，防止产生不必要的法律责任。