首页 | 金融服务法总论|证券和金融商品交易法|银行法票据法|保险法|信托法|金融公法|金融税法|环境金融法|国际金融法|法金融学
中财法学论坛|国外动态|金融服务法评论|金融服务法研究咨询报告|金融法案例|金融法规速递|金融消费者教育|课程与课件|金融法考试
 今天是
扎根中国大地 立足中国实际 为推进中国式现代化提供有力法治保障      年会通知 | 中国法学会证券法学研究会2023年年会通知      北京市金融服务法学研究会2022年会成功举行      【年会通知】完善中国特色金融服务法治建设研讨会 暨北京市金融服务法学研究会2022年年会邀请函     
您现在的位置:首页>>>最新观点
数字经济背景下我国金融控股公司信息共享机制的完善
邢会强、姜帅
上传时间:2022/1/20
浏览次数:140
字体大小:

摘要: 《金融控股公司监督管理试行办法》第23条第1款初步确立了我国金融控股公司信息共享的基本规则,实践中“告知-知情-同意”是其基本运行框架。然而,该规则在内容和配套举措方面还十分单薄,存在的问题主要表现为:停留于“告知-知情-同意”有效性存疑的窘境,一律要求书面授权或同意将使金融机构承受较重的负担,对个人金融信息的差异性关注不足。通过比较欧美混业经营体制下的信息共享制度,本文发现我国当前在告知义务履行、授权模式选择、例外事由设定、信息差异化保护利用方面亦存在不足。立法者应当认识到,金融控股公司集团内信息共享属于一般个人信息共享的特殊机制,肩负着我国金融创新与发展的重大使命,应当与一般的个人信息共享区别对待。建议以利用与保护相平衡为调整目标,改革授权模式,采用择出同意模式,放宽目的限制,促进信息的利用;限缩改革后授权模式的适用范围以及信息共享的范围,优化告知义务,明确责任规则。


关键词: 金融控股公司 信息共享 个人金融信息 知情同意

2020年3月11日通过的国家《十四五规划纲要》提出要迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。向数字经济转型已成为我国经济发展的战略方向。金融是现代经济的核心,与之对应,我国金融业也需要加快数字化转型,以适应数字经济的发展需要。在这一发展趋势下,个人金融信息的开放共享尤为必要。数字经济的发展规律表明:静态的数据价值有限,只有确保数据开放流通,我国金融机构才能进一步结合数字技术获得更好的发展,才能在国际竞争中处于优势。目前,我国金融控股公司是除开放银行之外统筹协调个人金融信息开放共享的重要场景。金融控股公司信息共享机制的作用举足轻重,但有关制度仍停留在旧的时空,对金融控股公司的进一步发展构成了阻碍。因此,在这一背景下检视我国现行金融控股公司信息共享机制的不足,借鉴域外的有益经验,并进而提出促进数据开放流通的完善方案具有重要意义。


我国金融控股公司信息共享机制的现状与问题

(一)规范现状:信息共享机制基本规则的初步确立

2020年9月11日,中国人民银行颁布《金融控股公司监督管理试行办法》(下文简称《金控监管办法在第23条第1款正式规定了金融控股公司框架下个人金融信息的共享该款在规制范围上定位于金融控股公司及其所控股机构在集团内部的信息共享并在规则遵循方面提出了依法合规风险可控经客户书面授权或同意和防止不当使用四大共享准则同时22条规定金融控股公司与所控股机构之间所控股机构之间在共享客户信息时应当依法明确风险承担主体防止风险责任不清交叉传染及利益冲突综合来看虽然这两条规定内容有但却意义非凡因为在此之前我国并无专门规范金融控股公司的法律法规金融控股公司信息共享的法律规制长期处于空白状态具体而言在规则适用方面由于2020年9月以前我国个人信息保护法人金融信息数据保护试行办法尚未出台围绕金融控股公司发生的信息共享只能适用有关法规文件中关于一般个人金融信息共享的专门规范在没有此等专门规范的情况下则要适用民法中个关于一般个人信息的共享规定除此之外金融控股公司及其所控机构在特定角色场景下还要遵循其他法律法规经营者要遵循消费者权益保护法中的信息共享规范网络运营者还要遵循网络安全法中的信息共享规范详见表

从上述规范体系来看,在《金控监管办法》出台前,国内并没有专门针对金融控股公司及其所控机构进行信息共享的特殊法律规范,金融控股公司信息共享只能指向上述法律文件中的条款,而这些条款本身的功用有限。以优先适用的一般个人金融信息共享专门规范为例,《关于银行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17号)(下文简称人民银行17号文)规定,银行业金融机构在具有“个人办理相关业务所必需并经个人书面授权或同意”、“法律法规或人民银行另有规定”两种情形时,方可对外提供个人金融信息。再如,2020年颁布的《中国人民银行金融消费者权益保护实施办法》(下文简称《金消保办法》)规定:“银行、支付机构处理消费者金融信息,应当遵循合法、正当、必要原则,经金融消费者或者其监护人明示同意,但是法律、行政法规另有规定的除外”。不难看出,上述两项规定的适用范围在分业经营格局下只针对银行业金融机构,同时对关联方和非关联方的信息共享采取无差别的对待息共享条件较为严格相比之下控监管办法第22条和第23条第1款在一定程度上放宽了对金融控股公司及其所控股机构在集团内部进行信息共享的条件将其适用范围也拓展到了所有金融机构

通过上述分析可以发金控监管办法初步确立了金融控股公司信息共享的基本规则然条款内容较为简单但是作为首个专门针对金融控股公司的法律文件其已经关注到了金融控股公司信息共享的特殊性填补了这一领域的立法空白

(二)实践现状:“告知-知情-同意”的基本运行框架

在个人信息领域,信息主体是信息之源。只有征得信息主体的“知情同意”,才能共享个人信可以说知情同意原则作为个人信息保护法的一项基本原则其重要性相当于意思自治原则在民法中的地位金控监管办法第23条第1款并没有突破这一模式因此金融控股公司及其所控机构在信息共享前也必须依法进行相关信息的披露告知而后取得客户的书面授权或同意

按照金控监管办法规定金融控股公司本身不从事具体业务因此在实践中客户都是与金融控股公司所控机构建立业务关系这些机构都运用格式条款与客户订立合同通常将信息共享规则嵌入有关合同中的隐私条款或者单独的隐私政策之中并应法律法规的要求列明共享目的内容和使用范围内容编排上通常与个人信息的收集放在一起以重庆市某小微小额贷款有限公司的用户服务合同为例第7条即为信息收集使用共享与委托处理而在网络业务发达的今天各所控机构会还会应网络安全法第41条的要求在网站和AP界面披露隐私政策供客户阅读如初始启动某银行电子银行AP页面会弹出隐私政策电子银行个人客户服务协议供客户阅读在正式注册登录之时用户会被要求就两份协议勾选同意因此如果是在网络上进行有关业务客户通常会被给予两次了解隐私政策的机会以保障其知情

之所以设计这样的流程主要为了履行知情同意规则下的要求首先依据意思表示理论果客户未被告知且不知情其个人信息被收集共享属于意思表示错误的情形将落入我国民法第147条所规定的重大误解制度其次客户相对于金融机构处于劣势地位知情是客户后续行使其他相关权利的基础是保障客户权益的核心因此这也是保护金融消费者的要求金消保办法第31条第2款就规定银行支付机构通过格式条款取得消费者金融信息收集使用同意的应当在格式条款中明确收集消费者金融信息的目的方式内容和使用范围并在协议中以显著方式尽可能通俗易懂地向金融消费者提示该同意的可能后

不过在实践中告知知情同意框架的虚化问题一直较为突出由于信息收集和处理存在复杂性风险性网络经营者为了满足各国的立法要求规避自身的法律风险往往倾向于用绑式的方式列出内容冗长繁琐的隐私政策条款给用户带来阅读困难们的调研也发现在授权方面很多金融机构都没有就客户隐私政策征得客户的单独同意而是与具体的服务合同相捆绑

除了外部“告知-知情-同意”的基本运行框架以外,目前在更加细微的内部建设实践中,金融控股公司及其所控机构也需遵循一定的规则。2021年2月9日,由全国金融标准化技术委员会归口、中国人民银行颁布的《金融业数据能力建设指引》正式实施。这一推荐性行业标准在第13部分“数据应用”项下提供了关于金融机构进行数据交换的指引,列举了9项具体的工作措施,内容主要涉及建立明确的交换目录,做好交换合作方管理等。这一内容也可视为金融控股公司信息共享实践的组成部分

(三)现行信息共享机制存在的问题

控监管办法初步确立了金融控股公司框架下信息共享的基本规则但总体来看该基本规则在规范的内容配套举措方面还十分单薄立法的整体思路也停滞在我国个人信息保护法出台前的框架内通过考察规则的内容和适用效果可以发现国内现行信息共享机制主要存在如下三个方面的问题

1.停留于“告知-知情-同意”有效性存疑的窘境

个人信息保护的传统知情同意模式在大数据时代表现出极大的不适应性其主要困境有告知虚化认知偏差决策困境这些情形导致知情同意严重背离了意思自治理论所要求的在法律上同意是对某种行为或目的的认可或允许是由有能力的个人自愿作出的意思表示在这种情形下有关法律责任处于失灵的状态同时信息主体享有的权利也在整个信息收集共享中没得到应有的重告知知情同意成为了形式化的过场为此我国2021年8月20日颁布的个人信息保护法》(以下简称个保法进行了一系列回应然而金控监管办法尚没有对此进行相应的调整。《金控监管办法第23条第2款虽然规定金融控股公司所控股机构在提供综合化金融服务应当尊重客户知情权和选择权”,但这一规范要解释为客户享有拒绝信息共享的权利并不可因为这已经远远超出了规范的字面意思在责任的规定方面其也仅含混地提及了明确风险承担主体防止风险责任不清交叉传染及利益冲突的原则

就事论事而言,《金控监管办法作为规定特殊事宜的部门规章是有权在上位法框架下就特殊事项做出规定的因此关于告知同意等事宜金控监管办法理应结合个保法以及金融控股公司信息共享的特殊性予以规定实现信息共享中保护与利用的平衡而不应一味停留于旧制度

2.一律要求书面授权或同意将使金融机构承受较重的负担

从规范内容看金控监管办法将取得客户的知情同意作为了金融控股公司及其所控股机构信息共享的唯一合法性基础并未设定例外情形和但书条款从合规情况来看遵循这些规定可能会使金融控股公司及其所控股机构在未来面临较大不适一方面个人金融信息具有突出的公共属性金融机构通常依法律负有反洗钱反客户欺诈保障投资者适当等法定义务此种义务的履行既可能在关联方之间进行也可能发生在关联方与非关联方之间此外当某些个人信息为企业订立履行与用户之间的合同所必需或者为企业或第三方的正当利益所必需时一律要求书面授权或同意无疑也会使此种正当需要变得困难重重效率低下第23条第1款理应对此予以考不应仅以模糊的依法合规涵盖即便不对具体事由予以归纳统合来指引适用至少应当写法律法规另有规定的除外”,保证规范的完整性和法规适用的体系周延

另一方面,按照当前一般规则的要求,银行业金融机构取得客户书面授权或同意必须严格履行《金消保办法》第29条的明示义务,采用格式条款的金融机构还要在协议中以显著方式、尽可能通俗易懂地向金融消费者提示该同意的可能后果。非银行业金融机构则需遵循《个保法》中一系列更为严格的要求。目前《金消保办法》、《个保法》对此均设定了相关法律责任,金融机构如不合规将面临行政处罚和有关民事诉讼这无疑会给金融机构带来不可忽视的成本和负担而制约金融控股公司协同效应的发挥

3.对个人金融信息的差异性关注不足

在书面授权或同意项金控监管办法并没有区分个人金融信息中不同类型信息的敏感度并采取相应措施这种一刀切的做法不利于平衡信息共享中个人金融信息的保护和利用从理论和发展趋势上看个人金融信息属于个人信息的一种具体类型在组成上较为复杂总体上可以分为个人身份信息个人财务信息以及预测个人信息并且在每个大类下还有具体的构成如果仅进行同一性的规制只能顾此失彼而在三大分类中个人财务信息最为特殊虽然其与个人人格尊严关系并不十分密切但该信息一旦被泄露将会对信息主体造成重大的经济损害在域外英美日都已逐渐将个人财务信息认定为敏感信息其次从这一规定的实际效果来考察目前的一揽子授权无疑会使客户的所有信息被收集主体在其集团内部任意共享这在本质上是金融控股公司权利的不当扩张在没有限定的情况下客户面临的风险将因此加剧而对于金融机构而言因为面对无差别要它们也将承受较多的负担不能基于信息分类对信息进行充分利用


欧美信息共享机制及其与我国的比较

欧洲的全能银行模式和美国的金融控股公司模式分别代表了世界范围内金融混业经营的两种典型模式。总体来看,我国金融控股公司不仅要在本土市场上发展完善,还要在国际市场上积极开拓,深入参与经济全球化进程。因此,我们有必要借鉴主要的国际竞争对手在信息共享机制方面的经验。

(一)信息共享语境下的告知义务的比较

按照民法语境下的一般构造,“知情”属于效果意思,“同意”属于表示行为,二者作为意思表示之整体,缺一不可。在知情环节,其主要的前置纽带就是个人信息处理者履行告知义务。因此,在某种意义上,金融机构履行告知义务是金融控股公司信息共享的起点。

欧盟《一般数据保护条例》General Date Protection Regulation,下文简称GDPR)是全能银行模式下金融机构履行告知义务的基本依据。GDPR将透明性作为处理个人数据的原则,对于任何处理数据的行为,都要求数据控制者履行告知义务,而不管其依赖何种合法性基础。如果告知模糊不清,同意将失效。此外,GDPR还区分了收集信息时的, 告知和非从原数据主体处获得信息时的告知。值得注意的是,GDPR第13条第5款规定了告知的例外。共计4种情形,分别是:(1)数据主体已拥有该信息;(2)告知会带来不对等的投入或事实上不可能完成;(3)数据控制者根据欧盟法或成员国特别法获取或披露个人信息,且已采取适当措施保护数据主体的合法利益;(4)根据欧盟法或成员国特别法规定的保密义务无需披露的。

在美国,由于《金融服务现代化法》和《多德-弗兰克华尔街改革和个人消费者保护法》对金融控股公司关联企业共享客户信息并未作出限制,因此相关业务中并无事前授权许可条款。但是这些企业要根据美国消费者金融保护局(CFPB)的要求在网站上披露其隐私政策,或随业务表单附上单独的隐私通知,以满足CFPB的政策标准要求。金融机构若要与非关联方共享个人金融信息,则应当以书面、电子或其他形式,将信息共享的范围清楚、明确地告知用户,并给予用户拒绝共享的权利以及如何行使拒绝共享的说明,否则不得进行共享。此外,在与金融消费者建立关系时以及在业务关系存续期内,金融机构还必须每年至少一次,明确而显著地履行信息披露义务,披露的大致内容主要包括:(1)金融机构向非关联第三方披露个人信息的政策;(2)金融机构向关联方和非关联方披露的个人信息的种类;(3)业务关系终止后个人信息的保护政策;(4)金融机构依据501条款采取的保护政策和措施。更为具体的告知内容,《金融服务现代化法》第504条授权各监管部门就各自管辖领域制定更具体的条例。

通过以上比较可知,欧美强调告知的明确、易懂,并且重视关于权利的告知,并对告知缺位设定了较为严厉的法律责任。除此之外,美国主要强调首次告知之后对客户的年度告知,GDPR主要区分了收集时的告知和非从原数据主体处获得信息的告知,同时对告知例外进行了设定。我国新出台的《个保法》对告知的要求基本沿用GDPR的思路,做出了一系列改进与优化。然而,目前优先适用的一般个人金融信息共享规范还停留在《个保法》未出台前的状态,告知内容较为单薄,有关权利内容的告知没有得到重视,需要后续进一步整合。

(二)信息共享授权模式及相关权利保障的比较

作为个人信息保护领域的基本原则,传统知情同意规则在世界范围内都受到了挑战。处理个人信息的授权已不局限于传统的明示同意。其中,美国联邦贸易委员会在其2012年发布的《在快速变革的时代保护消费者隐私权的报告》中列举的同意形式就是代表之一。该报告将同意形式分为“择入式同意”“择出式同意”以及“无需同意”三种。本文将参照这三种分类,对德国、美国和中国在混业经营体制下信息共享的授权模式进行国际比较。同时,鉴于有力的权利保护是信息共享授权中必不可少的保障,本文还会比较与授权相关的权利。

1.关联方之间的授权模式

在GDPR颁布之前,欧盟在个人数据保护方面主要遵循其在1995年颁布的《在个人数据处理和自由流动方面保护个人的指令》,该指令对于银行与关联方与非关联方的信息共享分别采用了择出式同意和择入式同意。GDPR没有延续这一做法,而是改成了无论企业之间是否有关联关系,皆应当取得个人的明确同意才能共享个人信息的方式。不过,德国金融业自始至终实行全能银行模式,法律允许全能银行内部不同部门的信息共享。换言之,德国全能银行内部的信息共享受益于“一个法人”“多个部门”的架构,通常只要获取了信息,便可实现信息的内部充分共享。因此,以德国为代表的全能银行框架下“关联方之间”的信息共享实际上是无需授权的。

德国全能银行的运作优势使美国倍感压力。美国于1999年出台的《金融服务现代化法》明显受到了德国的影响。该法突破了20世纪30年代以来《格拉斯-斯蒂格尔法》确立的严格分业经营体制,允许银行控股公司成为金融控股公司。然而,相较于全能银行这样混业经营的完全形态,金融控股公司模式更像从分业经营走向混业经营的中间形态,其仅在母公司层面进行混业经营。与之对应,如果是多个法人之间的信息共享,那么即便彼此是关联方也需要遵循严格的一般信息共享规则,这无疑制约了美国金融业的发展。因此,该法最终决定对金融机构关联企业之间的信息共享采用“无需同意”的授权模式。在关联企业的范围上也不局限于子公司,而是包括了金融机构的上级、平级和下级的机构。这被视为当时美国金融界立法游说的重大胜利。不过,作为妥协,该法案允许州层面制定更加严格的保护客户的规定。

2.非关联方之间的授权模式

在欧盟和德国,隐私被视为公民的一项基本人权。2007年《欧盟基本权利宪章》将“数据保护的权利”规定为一种基本权利。因此,在金融隐私权保护方面,欧盟相较于其他国家更加严格。这表现为对金融机构与非关联方之间的信息共享采取严格的“择入式同意”。GDPR第4条第11款明确定义了此种同意,即“数据主体的同意是数据主体通过一个声明,或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表示同意对其相关个人数据进行处理的意愿”。如果对这一定义进行拆解,不难发现其构成要件之严格。
之所以对非关联方之间的信息共享作出如此严格的规定,是因为相较于关联方之间的信息共享,非关联方间的信息共享多为商业利益所驱使,而且风险系数增加,较难控制,同时也远远超出了客户对个人信息使用的合理预期。不过,美国的《金融服务现代化法》对此仍持较宽松的态度,采用了“择出式同意”。同样地,该法也允许各州制定更严格的规范。加利福尼亚州2003年为落实《金融服务现代化法》而通过的《金融信息隐私法案》(California Financial Information Privacy Act)就是一个典型代表,该法案修正了此前州金融法规中的有关内容,并对非关联方间信息共享的授权采取了“择入式同意”模式。

3.与授权有关的权利保障比较

GDPR作为数据保护领域具有领先地位的综合性法律,第一次系统地将抽象意义上的个人数据权具象为一系列内涵明确的具体权利,包括知情权、访问权、修正权、撤回同意权、限制处理权、反对权、删除权(被遗忘权)和可携带权等。这些权利无差别地适用于德国全能银行与关联方和非关联方之间的信息共享中。在授权语境下,知情权、撤回同意权、反对权较为重要。GDPR第7条不仅将撤回同意权作为了同意的有效要件之一,还要求数据控制者应当在同意之前告知这一权利,而数据主体有权随时撤回同意,并且撤回同意应当和勾选同意一样简单。GDPR第21条第2款还规定了数据主体的反对权。对于基于直接营销目的进行的个人信息处理,包括根据这些条款进行的用户画像,数据主体有权随时反对。此种反对被要求至迟在和数据主体进行第一次沟通时告知,并采用与其他信息相区别的方式。

美国《金融服务现代化法》极为重视“择出式同意”模式下选择退出的权利,但并未规定个人信息一般权利。从整体立法情况来看,美国在联邦层面主要着力于特定数据类别立法,尚没有一部统一、综合的个人信息法。美国白宫曾在2011年、2015年和2017年三次向国会提交《消费者隐私保护法》草案,但均未获正式通过。这种情形下,2018年6月28日颁布、2020年正式生效的《美国加利福尼亚州消费者隐私法》California Consumer Privacy Act,下文简称CCPA)作为美国州层面的第一部综合性的消费者隐私信息保护法,具有了较强的示范引领效应。这一法案统合了消费者的个人信息保护权利,主要包括知情权、删除权、选择不出售其个人信息的权利以及不受歧视的权利等。

总之,无论是追求提升国际金融竞争力的美国,还是以数据严格保护著称的欧盟,在关联方的信息共享授权方面均突破了传统的明示同意模式,二者虽然有所不同,但均追求关联方信息共享的无障碍流通。相比之下,我国《金融监管办法》就集团内信息共享仍固守传统机制,不利于金融发展。而从授权的权利保障来看,欧盟、美国均不排斥一般个人信息权利的行使,我国金融机构也应贯彻《个保法》对个人信息权利保障的要求。

(三)授权模式下设定例外的比较

GDPR第6条第1款列举了除同意外个人信息处理的其他5项法定依据,主要包括:(1)履行与数据主体的合同所必要;(2)数据控制者履行法定义务;(3)处理对于保护数据主体或另一个自然人的重要利益所必要;(4)公共利益所需或官方机构要求;(5)实现数据控制者或第三方的合法利益。同时,针对其中法定义务和公共利益或政府强制要求两项,欧盟成员国可以制定更多具体条款。第3款对此提供了进行具体规定的指引,要求其在法律层面确定并遵循比例原则。

美国的《金融服务现代化法》就金融机构与非关联方的信息共享也规定了两项例外。在这两项例外场景中,金融机构不必向消费者提供所谓的“选择退出权”,而可直接向非关联第三方披露消费者非公开的个人信息。第一项例外是《金融服务现代化法》第502条(e)款的“法定例外”,包括八种情形:(1)为使消费者所要求的或所授权的交易生效所必需,或者管理、执行该交易所必需的;(2)经过消费者的同意或者按照消费者的指示;(3)保障消费者银行信息的保密性和安全,防止欺诈和未授权交易等行为的发生;(4)向保险费率咨询机构、评级机构、律师、会计师和审计师披露的非公开个人信息;(5)依据其他法律的规定,向执法机构、自律机构披露信息,或者因调查涉及公共安全的事件而披露信息;(6)依据《公平信用报告法》向信用报告机构披露信息;(7)因业务机构合并、转让、交换而披露该业务机构拥有的消费者信息;(8)遵守联邦、州、地方法律法规,遵守民事、刑事或监管机构的调查或有关机关签发的传票,或者为司法程序或监管机构监管所需要。第二项是第502条(b)款(2)项规定的“共同营销例外”。适用于非关联方为金融机构或者代表金融机构从事业务的场景。不过作为必要的风险防范措施,该金融机构必须与非关联方签订协议,要求后者履行严格的保密义务。

总体来看,设定例外作为传统知情同意以外处理个人信息的其他合法依据,其事由一般分为如下四类:其一,公共利益的需要或政府的强制命令。其二,企业履行法定义务所必要。其三,为企业或第三方的正当利益之必要。其四,企业履行与用户之间的合同所必要。比较而言,欧盟与美国均将企业的正当利益作为例外设定的重要依据之一,这项例外的设定对于金融机构而言无疑是十分重要的。虽然我国《个保法》第13条也列举了六项例外情形,但没有基于企业正当利益设置例外的规定。值得一提的是,结合上文欧美在关联方信息共享方面采取“无需同意模式”的内容,我们可以将对无需同意模式的理解跳出意思自治的框架,将之理解为一种基于企业利益或公共利益做出的例外事由。

(四)个人金融信息差异化保护与利用的比较

对信息差异化保护与利用的前提是识别界定不同信息间的差异性,个人金融信息内部构成多元复杂的客观存在使此种路径具备可行性基础。通常来讲,虽然差异化保护与利用的客体可以区存在敏感信息和一般信息、可识别信息与不可识别信息两种区分路径,但前者对于金融控股公司信息共享最具价值,而后者各国的做法差异较小,且并不关注某种个人信息的内部构成。因此,接下来本文主要着眼于区分敏感信息与一般信息这一路径,除了梳理欧美的有益经验外,还会对我国台湾地区的做法予以分析和比较。

欧盟对个人敏感信息主要采取“生命神圣”和“人格尊严”两项普遍性标准来界定,目前并没有将个人金融信息或者其中的某一组成规定为个人敏感信息,不过这种情况已经与财务数据被侵害最多的现实形成鲜明反差。在规则方面,个人敏感信息属于GDPR第9条规定的“特殊类型的个人数据”。针对此种数据的保护措施主要有:第一,原则上禁止处理个人敏感信息,严格限定例外情形。第二,在例外情形下,数据控制者应当征得数据主体的“明示同意”。此种同意区别于个人信息的“无争议同意”,要求也更加严格。具体要求包括:数据主体必须充分知情,必须以积极主动的方式作出明示同意且必须是基于特定目的作出的特定同意,概括同意将被认定为无效。第三,为不遵循个人敏感信息保护的行为设定了严厉的法律责任,违反者将面临2000万欧元的罚款;如果是集团的话,还会将其公司全球营业额的4%与2000万欧元相比较,取二者中数额最高者,最终确定罚款数额。

将个人信息分为一般信息与敏感信息亦是美国的主流做法。与欧盟不同,美国联邦贸易委员会在其2012年发布的《在快速变革的时代保护消费者隐私权的报告》将消费者的财务信息纳入了个人敏感信息行列。2015年白宫向国会提交的《消费者隐私保护法案(草案)》(Consumer Privacy Bill of Rights Act of 2015,简称CPBR也明确将金融账号、信用卡或借记卡号以及访问此账号的安全码、访问码、密码列为敏感个人可识别信息。同时该草案为了回应敏感信息与一般信息区分模糊的问题,对个人敏感信息采取了动态的“关联性”定义方式,要求将具体信息置身于具体的场景来审视个人信息的敏感程度,在达到较高敏感度的情形下,消费者有权要求经营者处理其个人敏感信息的方式与其提供信息时的场景相一致,并且经营者必须取得消费者的同意。此外,经营者必须给予消费者与风险程度相当的透明度和控制措施,消费者享有撤回同意、要求删除、要求去识别化以及更正的权利。为落实上述要求,草案第203条为之设置了严厉的民事责任。

我国台湾地区2010年修改通过《个人资料保护法》,该法律在2012年正式生效时保留了规定个人敏感信息的第6条的效力。不过,在金融控股公司信息共享层面,相关规则较早地贯彻了对个人金融信息分类保护与利用的思路。由台湾地区“金融监督管理委员会”制定的《金融控股公司子公司间共同行销管理办法》注意到了客户基本资料交互利用对于金融集团内交叉销售的基础性作用,将客户资料区分为“基本资料”和“非基本资料”,对之分别采取择出式和择入式同意模式。依据该办法第10条规定,基本资料包括姓名、出生年月日、身份证统一编号、电话及地址等,非基本资料包括账务资料、信用资料、投资资料和保险资料。具体要求包括:第一,信息共享不得越出行销目的。第二,非基本资料除法令另有规定、经客户签订契约或书面明示同意外不得共享。第三,非基本资料的信息共享范围由客户自行决定。金融机构应当提供栏位供客户勾选或者其他类似的可以识别客户同一性的方式,以供客户作出同意。第四,金融机构应当履行明晰的告知,特别是客户享有的随时撤销权,关于该权利的行使必须简易。总的来看,这样的做法相当于将非基本资料视为个人敏感信息。

我国国内现行敏感信息与一般信息的划分缘起自2012年发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》(简称《个人信息保护指南》)。在这一框架下,2017年发布的《信息安全技术个人信息安全规范》(简称《个人信息安全规范》)明确将“个人财产信息”确定为敏感信息,具体列举了银行账号、鉴别信息(口令)、存款信息、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息,共计9项。其中,对收集个人信息和敏感信息分别采用了“授权同意”和“明示同意”的不同表述。但是上述两部规范在层级上均属于国家推荐标准。2020年发布的金融行业标准《个人金融信息保护技术规范》在这一路径下继续探索,将个人金融信息按敏感程度分为了C1、C2、C3三个类别,并规定同一信息在不同场景中可能处于不同类别的,应予识别并采取针对性措施。而在法律层面,我国2021年颁布的《个保法》明确规定金融账户为个人敏感信息,适用个人敏感信息的处理规则。

综合来看,国内信息保护治理领域当前呈现出的特点是:第一,与欧盟相比,顺应了个人财务信息日趋敏感的趋势,但主要内容集中于国家标准、金融行业标准,《个保法》仅规定了金融账户一项内容。第二,与美国相比,针对个人敏感信息与一般信息可能相互转化、难以认定的情势,《个人金融信息保护技术规范》进行了探索。第三,与我国台湾地区相比,我国大陆遵循了分类规制的思路,但就个人金融信息共享中的具体做法不够明晰。


我国金融控股公司个人金融信息共享机制的完善建议

《金控监管办法》第23条第1款确立的信息共享机制存在诸多缺憾,但《金控监管办法》只是一个试行办法,在《个保法》颁布后具有修订空间。目前,应当清晰认识到:第一,这款规则受《个人金融信息(数据)保护试行办法》尚未出台背景下个人金融信息规则滞后、散乱的制约,虽然实现了有法可依,但是单薄的内容无法有效平衡个人金融信息共享场景中的保护与利用。第二,从大的趋势和域外比较来看,这款规则确立的一律“择入式同意”的授权模式背离了欧(德)美金融大国的主流做法,将使我国金融控股公司及其所控机构承受较多负担,在国际竞争中处于劣势。因此,对该机制的完善应当回归最初原点,重新定位、定向、定则。

(一)制度定位:集团内信息共享属于个人信息共享的特殊机制

国内立法者应当清晰地认识到金融控股公司集团内信息共享机制属于个人信息共享的特殊机制此种共享场景不同于通常的信息共享场景应予区别对待我国当前对此施加与一般信息共享无异的严苛要求显然是制度定位的失误理由如下

其一,从历史来看,集团内信息共享长期以来扮演着信息共享的特殊角色。在金融业发展初期,银行对客户奉行信息保密制度,在长达数百年的时间里,由于竞争等因素,金融机构信息都是封闭的。而唯一的信息流通就是金融集团内部的信息共享。其二,域外多采取了对集团内信息共享与一般个人信息共享相区分的制度构建。既包括了偏重信息利用的美国,也包括了个人信息保护以严格著称的欧盟。集团内的信息共享俨然不受传统授权模式的制约。我国虽然守成,但在现行立法体例下,并没有将之简单地交给今后规定一般个人金融信息事宜的《个人金融信息(数据)保护试行办法》,而是专门在《金控监管办法》中创制规则,并在目前个人金融信息共享被严格限制的境遇下为之首开通道,实际上也隐含着这一认知。其三,从集团内信息共享本身的功用和构造来看,对此也确实有区别对待的必要。一方面,从功用而言,金融控股公司集团内信息共享能够实现精准营销、节约成本、金融创新、风险控制等多方面优势,极大地推动金融服务业的发展,符合数字经济下金融业的转型要求此种信息共享既惠及自身又惠及客户如果套用一般个人信息共享规不利于整个金融业的发展和各方利益的促进另一方面从信息共享的场景来看此种信息共享边界较为清晰集团内所有获得客户信息的公司均由金融控股公司主导并统一协受到统一的约束因此相较于一般的个人信息共享风险系数较小且可控其四结合我国国情也有必要将之区别于一般个人信息共享制度我国金融市场总体上属于新兴加转轨的发展中国家市场金融服务业一直以来都处于国际贸易逆差地位金融机构的国际竞争力欠缺但与此同时我国金融服务业的对外开放已提上议事日程我国金融机构面临着来自国际同行的全方位竞而这些域外竞争对手普遍具有混业经营的特征和优势这将使我国分业经营体制下的金融机构很难与之展开平等的竞争这就需要作为我国混业经营主要载体的金融控股公司有所作为而金融控股公司的发展很大程度上依赖信息共享机制的驱动和协同

(二)制度定向:仍要实现个人金融信息保护与利用的平衡

虽然金融控股公司集团内信息共享机制在授权方面可以豁免一般个人信息共享的授权要求但是这并不意味着这一机制在其他方面可以不受限制客观来看其仍属于信息共享的范畴个人信息保护与利用的冲突仍然存在尽管个人金融信息在集团内的共享效用有目共睹是金融控股公司的信息利用毕竟是逐利性的且其相对于客户具有优势在金融科技日新月异的背景下一情况进一步加剧严重者甚至会危及信息主体的人身权益和财产权益实践中金融机构在业务过程中未经客户明示同意就进行深度挖掘再次利用甚至进行共享转让的做法已经出现

从欧美经验来看金融控股公司集团内的信息共享在授权方面享受着事前豁免授权的待却依然需要在事前事中事后遵循一系列规则而这些规则甚至更为严苛以实现不同利益间的精妙衡平没有此种衡平个人金融信息的共享就难以成为长效机制而此种着眼于整体强调保护与利用并重并对个人金融信息实施事前事中事后一体化规制的做法也成为了大数据时代的显著趋势因此监管机构在完善我国金融控股公司集团内信息共享机制也应当正视信息保护与利用的客观现实和制度潮流在明晰特殊制度定位的前提下要以实现个人金融信息保护与利用有机平衡为调整目标设计好有关配套举措

(三)制度定则:授权模式的改革与配套举措的跟进

在制度定位和制度定向指引下制度定则致力于建设科学可行的规具体而言首先基于制度定位的考量应当改革目前一律同意的授权模式放宽目的限制促进金融控股公司的发展其次基于利用与保护相平衡的考量跟进有关配套举措一方面要限缩制度适用范围信息共享范围另一方面要优化金融机构的告知义务明确金融控股公司及其子公司的行政责任和民事

1.改革授权模式

(1)对集团内信息共享“授权”采取择出式同意模式

应改革当前一律要求同意的授权模式,摒弃传统的择入式同意。那么,在择出式同意模式和无需同意模式之间,我国该采取何种模式?我们认为,虽然采用无需同意模式最能减轻金融控股公司及其所控机构的负担,提升我国金融控股公司国际竞争力,使之与欧美大国并驾齐驱,是金融控股公司集团内信息共享授权的最理想的状态,但是采取这样一种模式,对我国目前而言还不具有可行性。从不同的角度来看,无需同意模式的定位有所不同。从意思表示理论出发,可以将之视为一种将沉默拟制为同意的做法。在这一定位下,无需同意虽无同意之形式,却有同意之实质,其与明示同意具有同等法律后果,同受表意人行为能力的限制与意思表示相关法律规则的约束。而从处理个人信息正当依据的角度来看,又可以将无需同意模式视为除知情同意外处理个人信息的其他合法依据直接绕开知情同意理论此种情形类似于GDPR中基于数据控制者正当利益而设置的正当化事由但数据控制的利益应当不与数据主体的利益基本权利和自由相冲突因此若要对授权模式进行变革我国有两种选择方案但是从当前的情形来看这两种方案短期内都难以进行我国民法典14条规定沉默拟制为同意应当由法律规定同时我国个保法条规定设定处理个人信息的其他合法事由最低也需要行政法规来确定回归到现实我国目前的金控监管办法仅仅是一个部门规章这一规范级别今后虽然可能随着金融控股公司重要性的凸显而升格但势必需要较长时间但是如果采取择出式同意就可以绕开上述限制因为在这一理解维度下择出式同意本质上就是民法中的默示同意金控监管办法以对之予以规定相比传统的择入式同意择出式同意已具备了较大的灵活性能够节省金融机构的成本促进数据迅速进入分析应用领域提高数据的流通效率因此基于现实考量我国对金融控股公司集团内的信息共享应采取择出式同意的授权模式待有关条件成熟金控监管办法升格为行政法规后再采取无需同意的授权模式

(2)放宽目的限制

知情同意原则受到正当目的原则和必要原则的限制在二者的限制个人信息处理的目的必须明确合法信息处理必须与处理目的直接相关同时限于实现目的的最小必要范围在信息共享方面个保法23条对此予以了规定个人金融信息数据保护试行办法征求意见稿条也规定金融机构应当按照与信息主体的约定处理使用个人金融信息使用时确有必要超出约定事项的金融机构应当另行取得信息主体的明示同意

针对放宽目的限制问题我国目前主要形成了两种观点第一种观点认为应当照顾到金融控股公司的正当利益在目的限定方面应当放宽至各方持有的金融许可证所载明的经营范围之内的目的第二种观点则认为基于对客户保护的考量即使是金融控股公司内部共享数据也需要受到搜集和使用目的限制总体而言者均坚持目的限制立场其争论的关键点在于限制程度

我们认为采取第一种观点较为妥当。首先,这一观点洞悉了放宽目的限制的正当需要和必然趋势,与欧美做法相近。一方面,“如果需要告知使用目的或任何目的变化都需要实施告知同意,实质上就等于扼杀大数据红利”。以大数据技术为基础的数据协同更是金融控股公司的命脉,动辄偏离最初目的就需要重新履行合规手续无疑会给金融控股公司带来较大的负担。另一方面,虽然欧盟全能银行也受到GDPR的目的限制,但因为自身作为整体取得业务授权,落实个人数据保护规则,并且对基于内部管理目的的信息传输享有正当利益,实际上也享受着放宽的待遇。而美国对此则一向持宽松态度,依据前述CPBR中的规定,即便是高敏感信息,也仅要求使用场景与提供时一致。其次,这一观点主张的放宽仍是有边界的、可平衡的、可解释的。金融控股公司集团内信息共享对象因为是特定的,所以即使放宽至各方所持有的金融许可证载明的经营范围,其仍然在可以控制的法律界限之内,风险总体水平并未发生大幅变动,完全可以依托后续举措予以抑制而且此种放宽与初次收集使用的场景具有较高的关联度和功能兼容符合大多数客户的一般预

2.配套举措的跟进

(1)限缩改革后授权模式的适用范围

金融控股公司集团内信息共享属于关联方之间的信息共享然而关联关系并非是单一的明确的这一点从公司法第216条的释义中即可看出一般来讲集团内母子公司的关系通常最为紧密风险最小们之间的协同效应对金融控股公司的发展效用也最大与前述制度定位最为契合因此按信息共享的场景可以将集团内信息共享区分为集团内子公司的信息共享与集团内关联非子公司的信息共享总的来看后者相较于前者共享参与者范围迅速扩展不但具有额外的风险而且超出了一般客户的预期从域外看美国采用广义关联方的范围进行信息共享一直备受诟病因此作为授权模式改革的平衡我国应当限缩改革后授权模式的适用范围对共享场景予以实质判断将之限于集团内子公司信息共享的场景维持现行金控监管办确立的范围

(2)限缩信息共享的范围

从欧盟美国的经验来看虽然结合个人信息敏感度对个人信息进行差异化的保护和利用已成为国际趋势但是否将个人金融信息整体或某一部分认定为个人敏感信息仍不明确欧美对此也未形成有效做法和正式法律我国台湾地区对此积累了一定的经验但给金融控股公司带来了不小负担因此一方面我国大陆不宜照搬我国台湾地区的做法对金融控股公司集团内信息共享进行严格的前端限制以免削弱金融控股公司的发展空间和国际竞争力另一方面我国也应当正视此种趋势的合理性考虑将有关信息排除在共享之

在我国现行实践中由中国人民银行发布全国金融标准化技术委员会归口的两部行业标准率先对个人金融信息进行了分类保护与利用第一部是前述提及的个人金融信息保护技术规范该标准根据未经授权查看或变更后所产生的影响和危害将个人金融信息按敏感程度从高到低分为C1C2C3三个类别此外还单列了对于两种或两种以上经过组合关联析后可能产生高敏感程度的信息要求针对同一信息在不同场景中可能处于不同类别的进行识从而采取针对性保护措施第二部是2020年9月23日发布的金融数据安全数据安全分级指南该标准在前一标准的基础上依据数据安全性遭受破坏后对客户机构及行业所造成影响的范围和程度将数据定级为四级前三级分别对应了前述C3C2C1类信息此外标准在附录给出了数据级别升降变化事宜在附录列出了详细的归类和细分参考表然这两部标准均属金融行业推荐标准具有强制约束力但是作为当下个人金融信息保护与利用的引领性文件其精细化的定级和详细的列举仍然具有较大的参考价值它们遵循了对敏感信息处理施加某些特殊限制条件从而对敏感信息给予更高的注意以及特殊保护的逻辑

因此,我们认为,在金融控股公司集团内信息共享场景下,对于其列举的高度敏感的C3类信息,即用户鉴别信息,如银行卡密码、网络支付交易密码、账户登录密码/交易密码/查询密码等,以及C2类信息中的用户鉴别辅助信息,已凝聚了很强的共识,除了法定例外,应当原则上禁止共享。一方面,其列举范围不仅与美国2015年《消费者隐私保护法案(草案)》规定的个人敏感信息高度重合,而且欧洲、我国台湾地区也未将此等信息列入共享范畴。另一方面,我国《个保法》也已明确金融账户规定为个人敏感信息与之相关的鉴别信息当然应一同归属而对于其列举的其他C2类信息C1类信息以及预测信息其敏感度的区分实际上不甚容易延续着敏感信息与一般信息分类的模糊性特征因而出于对客户的保护应当统一适用择出同意模式

(3)优化金融机构的告知义务

我国个保法第17条第1款是规定我国个人信息处理前如何告知的基本规范该款规定个人信息处理者应当向信息主体告知其身份和联系方式处理目的处理方式处理的个人信息种类保存期限个人行使本法规定权利的方式和程序以及法律行政法规规定应当告知的其他事项金融控股公司信息共享应对此一体遵循同时还应当着力从以下方面重点提升告知同意有效性

第一应当明确采用择出同意模式后充分告知仍是金融控股公司所控机构共享个人信息需遵循的法定义务并应当突出单独告知权利告知一方面保法条要求一般个人信息共享需取得个人的单独同意虽然目前专门规定个人金融信息的规章和规范并未要求单独同但是个人金融信息比一般个人信息特殊且重要相关金融规范屡屡强调特定处理明示同”;如果一般个人信息共享都需要单独同意那么按照举轻以明重的法理个人金融信息的共享更应当征得个人的单独同意另一方面在权利告知中既应当包括择出同意模式下的选择退出权也应当包括信息主体依法享有的其他个人信息权我国个保法已规定了丰富的个人信息权当借鉴GDPR的经验用较为显著的方式告知信息主体享有的权利以及行使权利的必要信息样一种做法能够促使信息主体从传统的消极被保护者向治理参与者转变弥合传统知情同意的不

第二借鉴DPR中要求向信息主体告知自动化处理用户画像可预期后果的做法可以将自动化处理和用户画像的可预期后果纳入告知内容此种预测个人信息容易引发被人操纵的疑虑和恐慌具有突出的人格利益在实践中一些金融集团已在隐私政策中有所实践个保法第24条对此也予以了规制应当尽快将这些有益经验规定入金控监管办法

第三优化隐私说明书使之易懂清晰显著并尽可能简短数据治理具有技术性复杂性应时性的特征不可能完全依赖国家制定的正式法律因而对软法产生大量的需求因此金融业的行业协会应结合行业特点牵头就基本要素作出标准的框架性模板人信息国家标准已在此方面进行了有益尝试为了达到上述目的一些简明的图表也应当被鼓励使

第四为了确保信息主体知情权还应当进行第二次告知传统模式下银行在获取授权时披露的信息有效期仅限于获取授权那一这与大数据时代高频率的数据处理与共享需求是背道而驰的因此集团内子公司在首次使用被共享的信息时应当再一次向客户履行上述告知义务而且这次的告知应区别于其他事项专就信息共享情况进行告知具体的告知要求应与初次告知一样突出权利告知和提供行使权利的必要信息。GDPR与美国均对二次告知有所规定但美国的年度告知义务负担沉重已饱受批判

第五可考虑为告知义务设定例外告知义务会带来成本和负担因此有必要运用设置例外情形这一普遍的衡平经验按前述DPR的做法主要情形与通常设定例外的法理相同主要涉及信息主体已拥有特别法规定不对等的过高成本事实不可能特别法定保密义务对比来看国则在择出式同意模式下设置了过多的例外而饱受诟病因此我国对此也应当慎重我国保法第18条初步规定了两项例外建议以此为基准结合金融行业的特殊性遵循比例原则摸索建立这一机制

(4)明确责任规则

在现行实践中金融机构在数据共享的相关条款中多强调其拥有与合作伙伴共享数据的权利却甚少或者模糊地提及其应当承担的义务与责任

一方面对于上述告知义务等要求如果涉及合规问题但具有产生损害个人权益的可能性金控监管办法应当设定监管措施个人金融信息数据保护试行办法征求意见稿第37、38条规定了违法处理使用信息的法律责任和违法提供信息的法律责任消费者权益保护第56条第1款规定的责令改正根据情节单处或者并处警告没收违法所得处以违法所得一倍以上十倍以下的罚款等均可资借鉴

另一方面如果对信息主体造成了损害性后果有关民事责任形态应当为连带责任虽然这一场景下还有按照过错各负其责的方案但连带责任有着先行赔付的优势明显有利于对信息主体的保护此外实施此种做法的法理还在于既然金融集团之间享有全能银行制下的权利也应尽全能银行制下的义务即金融控股公司及其子公司应为个人金融信息的侵权承担连带赔偿责任这一责任内容具有特殊性建议金控监管办法在法律责任一章予以明确


结语

在数字经济背景下,金融控股公司信息共享机制能否与时俱进,关系到我国金融业整体的发展与转型。《金融控股公司监督管理试行办法》第23条初步确立了我国金融控股公司信息共享的基础规则,但这一规则本身较为简单,无法有效平衡金融控股公司框架下个人金融信息的保护和利用。本文从宏观视角出发,将视野延伸到欧(德)美等金融发达经济体混业经营体制下的信息共享机制。通过有针对性的四个方面的比较,提出完善我国金融控股公司框架下信息共享规则的思路。不难发现,《金控监管办法》第23条第1款对金融控股公司集团内信息共享施加了与一般信息共享无异的严苛要求,显然属于制度定位的失误,将对金融控股公司产生制约和束缚。因此,本文对金融控股公司集团内信息共享机制的特殊定位予以了分析,并在平衡保护与利用的目标指引下,最终提出了一体化的完善方案,希望以此平衡我国金融控股公司对于个人金融信息共享中的利用与保护,促进个人金融信息的开放流通,助力我国金融控股公司在数字经济背景下转型升级。

注:为方便阅读,本文省去注释与参考文献。

封面正文图片来源于网络。
出处:《金融评论》2021年第6期
 
 
分享到: 豆瓣 更多
【打印此文】 【收藏此文】 【关闭窗口】

网站简介 | 联系我们 | 网站地图 | 网站管理

公众微信二维码
建议使用IE6.0以上1024*768浏览器访问本站 京ICP备14028265号
如果您有与网站相关的任何问题,请及时与我们联系(financialservicelaw@126.com),我们将做妥善处理!
版权所有©转载本网站内容,请注明转自"中国金融服务法治网"
欢迎您!第 位访问者!