【原创】许可:金融控股公司的个人金融信息保护与数据协同 | 银行法研究专栏第15期(3)
许可:对外经济贸易大学数字经济与法律创新研究中心执行主任
一、金融控股公司的两难
自国家十三五规划纲要明确提出统筹监管金融控股公司以来,中国平安集团、中信银行等传统金融机构和新兴的金融科技公司纷纷拓展版图,事实上的混业经营已经出现。作为横跨银行、证券、保险、基金、信托、期货、金融租赁等两个或两个以上金融领域的多元化公司类型,金融控股公司“存在的唯一理由,就是为了公司内部彼此间获得协同效应,即通过奇妙的业务组合使公司的整体实力和盈利能力高于各子公司各自运行时的状态”。“协同”是多方面和深层次的,既包括管理层面上和营销层面上的协同,也包括业务层面、信息技术和品牌层面上的协同。由此,金融控股公司各个子公司得以相互支援、交叉服务和综合营销,为客户提供一体化的金融服务,大幅降低金融机构的经营成本,最终形成金融服务的规模经济和范围经济。在金融数字化转型(digital transform)的背景下,客户身份信息和行为数据日益成为金融控股公司的关键生产要素和重要资产。数据使用的非竞争性和数据共享的低成本进一步便利了数据的协同。更重要的是,在大数据时代,海量、实时、多样的数据可以动态变化、扩展、演化,由此产生特殊的“整体涌现性”(whole Emergent),这意味着这一旦数据聚合,就能相互作用、相互补充,激发出1+1>2的结构效应,提供新的洞察和预见力。正因如此,数据协同成为金融控股公司的核心功能之一。
然而,金融控股公司的数据协同不可避免地和金融消费者对个人信息的权利产生冲突。该权利可追溯至英国在1927年“图尔尼案”(Tournier)所开创的“金融隐私权”(finical privacy),即客户对其信用或交易相关的信息,如财产状况及其财务流向信息的控制权。伴随着计算机技术的快速发展,英美法系中“隐私”的范围和内容不断拓展,美国《1984年有线通信政策法案》中提出“可识别的个人信息”(Personally Identifiable Information,PII)这一概念,从而将隐私锚定在个人信息之上。在大陆法系,不论是德国《个人资料保护法》还是欧盟1995年《数据保护指令》,抑或2018年生效的《一般数据保护条例》,均将个人信息(数据)作为保护对象。在此背景下,我国《中华人民共和国消费者权益保护法(2013年修正)》第29条明确了消费者个人信息保护的基本框架。《征信业管理条例》以及《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)进一步明确了金融机构对于个人信息收集、保存、使用、对外提供的法定义务。在法律上,数据协同属于“数据对外提供”的一种形式——“数据共享”,从而受制于金融消费者对个人信息的权利。基于此,如何在发挥金融控股公司价值和保护个人信息之间实现平衡,成为金融控股公司制度设计的难题。他山之石,可以攻玉。为此,我们不妨先做一番比较法的观察。
二、金融信息保护的全球视野
尽管强化对个人信息的保护已经全球共识,但由于金融信息天生所具有的公共性,即其不但关系到数据主体人格,更关系到社会对该主体的经济评价,世界各国对于金融数据多不强调“个人控制”的理念,转而采取鼓励数据共享的立法立场,以避免个人过分美化自身信用、结果损及他人的“道德风险”。其中,尤以美国《金融服务现代化法》(Financial Services Modernization Act of 1999)为典型。
作为美国经济大萧条时期以来对金融服务业法律体系的最大修正,1999年的《金融服务现代化法》彻底改变了《格拉斯-斯蒂格尔法》(Glass-Steagall Act of 1933),允许一个金融控股公司可以拥有商业银行、投资银行、保险公司以及其他各类公司。事有凑巧,在国会对该法进行讨论之时,恰逢美国银行盗卖客户资料案(Hatch v. U.S. Bank)的审理。尽管这一案件以和解结案,却促使联邦众议员采取立法行动,将个人信息保障加入其中。与此同时,人们同样意识到数据流通与共享对于金融业务重组是必不可少的,正如美国财政部货币监理署官员John Hawke Jr.在国会听证会时所言:“整个金融服务业领域,就是一个信息导向的企业,以信息交换方式提供有利于消费者和金融机构是重要的市场功能,可以促进信用卡、投资、保险或其它的金融交易。”故此,《金融服务现代化法》第五章力图平衡不同的诉求,寻找个人信息保护的最佳路径。
利益平衡的结果就是采取金融控股公司关联方和非关联方二元分置的规则设计。这里的“非关联方”是指与金融控股公司不具有下述关系的实体:(1)金融机构的关系企业(affiliate);(2)与金融控股公司具有共同所有(common ownership)关系;或(3)属于金融控股公司依事实上的公司控制(corporate control)而形成的关系企业。针对“关联方”,金融控股公司可以自由地向其传输个人信息,可在此情形下,金融机构应在合同关系成立以及每年度以“通知书”(notice)的形式明确向用户披露共享信息类别。针对“非关联方”,个人信息的共享则应受到“公平信息实践”(fair information practice)的限制,即应遵循“通知/注意”“选择/同意”“接近/参与”“完整/安全”“执行/补偿”的具体规则。详言之,在向非关联方共享数据之前,金融机构应以书面、电子或其他形式,将数据共享的类型、非关联方的类型、数据使用的目的、用户拒绝共享(opt out)的权利等事项告知用户;用户应得到如何行使拒绝共享的说明,并有权随时退出。只有在满足上述要求后,个人信息方可用于为用户提供必需的服务,或金融机构自身经营,包括推销自身产品或联合推销。但不论如何,金融机构不得将账号、信用卡账号、账户交给非关联方,用于其直接营销(电话营销、电子邮件或其他营销)。
《金融服务现代化法》对他国的立法产生了深刻影响。2009年,韩国以该法为基础,修改《金融控股公司法》。其48条之二一改之前对金融数据共享的限制,规定:“金融控股公司等仍可以营业为目的,向其所属的金融控股公司等提供《关于金融实名交易及保障秘密的法律》第四条之有关金融交易内容的信息或者资料以及《关于信用信息的利用及保护的法律》第三十二条第一款之总统令规定的个人信用信息”。然而,天有不测风云。在2014年韩国史上最大规模的信用卡信息泄露案后,该条款因舆论压力不得不有所改变。2014年11月,它修改为:除非获得用户同意,金融控股公司只有处于管理目的,才能共享用户信息。可人们很快发现,该规定对数据共享的目的、范围和期限的限制过于严苛,大大阻碍了金融控股公司的发展。为此,2018年5月,韩国金融服务委员会表示,为满足物联网和大数据分析等新技术的需求,将考虑逐步采用美式数据共享监管模式,允许企业在未获得用户初始同意的情况下收集和使用一些“非必要”的个人信息。总之,韩国的金融控股公司立法呈现出从严格到宽松再到严格,现在又趋向宽松的监管态势,充分说明了金融数据流通与共享需求的“刚性”。
三、我国金融控股公司数据协同和个人信息保护的制度设计
正如欧盟《一般数据保护条例》(GDPR)的序言所强调的:个人信息保护并非绝对权利,必须根据比例原则考虑其在社会中的作用,并与个人和家庭生活、通讯自由、思想、意识和宗教自由、言论和信息自由、商业活动自由等其他权利相平衡。就金融控股公司的监管立法而言,我们要特别注意其在落实服务实体经济、防范系统风险的同时,依然有着推动金融控股公司发展的远大使命。我们必须在充分考量具体情势,在不同的场景下实现因地制宜的动态平衡。为此,我们从金融控股公司数据协同的三种典型场景——“金融控股公司和集团内子公司之间的数据共享”“金融控股公司和集团外关联公司之间的数据共享”以及“金融控股公司与非关联公司之间的数据共享”出发,提出制度构想。
(一)金融控股公司和集团内子公司之间的数据共享
在满足如下条件时,金融数据可以在金融控股公司及其各子公司之间共享:(1)在首次收集个人信息时,已在网站首页或APP显著位置向用户清晰、明了地告知其数据可能与金融控股公司及其子公司共享,包括共享的范围、目的和保存期限等;(2)个人信息仅限于被用于为各方持有的“金融许可证”所载明的经营范围之内的目的;(3)金融控股公司对各子公司的个人信息侵权行为承担连带责任。
上述建议基于以下的理由:其一,从风险衡量的角度观察,金融控股公司及其各子公司之间自由共享并没有给数据主体带来额外的风险。首先,数据自由共享并未违反用户对个人信息保护的合理期待。在主观上,金融控股公司及其子公司的股权关系复杂,公众多通过金融控股集团名义获得认知,一般并不区分其授权的对象是子母公司抑或是兄弟公司。在客观上,金融控股公司及其子公司对数据的使用仍然落在法律明确限定的金融活动之内,而不能用于金融以外的其他目的。其次,数据自由共享并未实质削弱用户对个人信息的知情权和选择权控制权。一方面,金融控股公司应当根据公开、透明原则,履行数据共享的告知、说明和披露义务;另一方面,用户仍有权依照《消费者权益保护法》《网络安全法》等法律法规的规定行使对个人信息的删除权。最后,数据共享并未降低对用户的救济水平。鉴于金融控股公司与其子公司在共同行销、数据流用或营业设备或营业场所共同等行为上视为一体,在财务方面亦为一体。正因如此,许多国家或地区纷纷引入“金融控股公司加重责任制度”,要求金融控股公司保证其所管理的子公司清偿能力。此外,美国《1989年金融机构改革、复兴与整顿法》(Financial Institutions Reform, Recovery and Enforcement Act of 1989)明确了金融控股公司内承保存款保险机构间的相互保证。所谓“相互保证”是指与IDI存款保险机构间责任相关的,由金融控股公司控制的承保存款保险机构应当在控股公司内其他承保存款保险机构的破产与因FDIC支援而发生的损失承担责任。据此,不论金融控股公司还是其子公司中任何一家引致个人信息侵权,各方均承担连带责任,最大程度地保障用户权益。
其二,金融数据共享具有公共性,数据自由共享构成了金融控股公司的正当利益。首先,数据自由共享是金融控股公司风险管理、内部公司、用户分析、服务改进等一体化管理的客观需要。其次,数据自由共享是金融控股公司及其子公司为用户提供服务的需要。例如,证券公司需要根据用户的银行资产信息作出更准确的投资者风险承受能力评估,进而判断投资者的适当性。最后,数据自由共享是防范金融风险,履行金融机构反欺诈、反洗钱等法定职能的需要。
(二)金融控股公司与集团外关联公司之间的数据共享
在满足如下条件时,金融数据可以在金融控股公司与集团外关联公司(科技公司)之间共享:(1)已经向用户清晰、明了地告知其数据可能与关联公司(科技公司)共享,同时告知共享的目的、范围、保存期限;(2)用户已经通过明示同意或默示同意的方式进行了授权;(3)金融控股公司与关联公司应当遵循个人信息保护的同一标准和行为准则;(4)金融控股公司应当对其关联公司的侵权行为承担补充责任。
上述建议的理由如下:其一,从风险衡量的角度观察,金融控股公司与集团外关联公司(科技公司)的共享有可能给用户带来额外风险,但该风险仍属可控。首先,数据共享并未实质削弱用户对个人信息的知情权和选择权。(1)金融控股公司应当根据公开、透明原则,履行数据共享的告知、说明和披露义务;(2)用户主动或默示的同意是共享的前提;(3)用户仍有权依照《网络安全法》《个人信息安全规范》等法律法规的规定行使对个人信息的删除权。最后,数据共享并未降低用户个人信息的保护水平。一方面,金融控股公司及其关联公司(科技公司)就个人信息保护遵循同一套“有约束力的公司准则”,保证了用户在不同企业享有同等保护。另一方面,金融控股公司作为其关联公司(科技公司)侵权风险的开启者和集团的管理者,应当承担一定的“安全保障义务”,这意味着,在关联公司(科技公司)无法足额赔偿用户损失时,金融控股公司应承担补充责任,从而保障用户免收损失。其二,数据共享符合金融控股公司的正当利益。金融的数据化转型使得科技公司日益成为金融机构发展的重要驱动力,通过开放技术平台,作为关联企业的科技公司为金融控股公司升级迭代积极赋能。但是,受制于金融控股公司下述科技公司非集团业务的营收占比不大于49%的限制,开放性的大型科技公司难以纳入金控集团之内。为此,消除数据共享的障碍对于金融控股公司以及数字金融的发展与创新意义重大。
(三)金融控股公司与非关联方的数据共享
金融控股公司与非关联公司共享金融数据应当受到严格限制,建议采取与一般数据共享的一般规则加以处理。这是因为,从风险衡量的角度,该等共享可能带来一系列风险:(1)监管规避风险:数据从高度监管、高度保护的金融控股公司流向保护力度不足的第三方;(2)不当使用风险:违反了目的限定原则,破坏了用户对于个人信息使用的期待;(3)数据安全风险:金融控股公司管控数据供应链和数据生态安全风险的能力因第三方的存在而削弱;(4)责任认定风险:在数据泄露或滥用的情形下,由谁以及如何对用户承担赔偿责任并不明确;(5)救济不足风险:不同企业的实际履行能力千差万别,第三方信用的不足将导致用户无法获得充分救济。
结语
如同其他金融机构一样,一个高效且管理良好的金融控股公司理应为金融消费者提供充分的透明度、选择权、救济、信任和个人信息保护。但就像2012年界银行《金融消费者保护良好做法》所揭示的,“共享客户信息”是和“客户信息的安全性和保密性”同等重要的制度设计,我国在制定金融控股公司监管的法律法规时,应审慎进行利益平衡,使金融控股公司数据协同和个人金融信息保护相反相成、共蒙其利。
(本文刊载于《银行家》2019年第7期)
专栏主持人:何海锋,法学博士,北京市天同律师事务所顾问。
专栏介绍:当前我国银行业发展日新月异,商业银行从单一存贷款业务走向混合经营和网络经营,各种新兴银行业态不断出现,开放银行方兴未艾,银行监管的理念、框架和方式也在调整升级,《商业银行法》《银行业监督管理法》等法律修订和完善势在必行。在此背景下,银行家杂志推出《银行法研究专栏》,分享最新最重要的银行法研究成果,为银行法的修订完善以及实施落地提供参考,敬请关注。
专栏文章列表:
郭雳:中国式影子银行的风险溯源与监管创新 | 银行法研究专栏第13期
宋晓燕:国际金融危机后十年监管变革考 | 银行法研究专栏第12期
季立刚、解正山:欧盟银行破产法的一体化及其意义 | 银行法研究专栏第11期
杨松、宋怡林:商业银行股东加重责任及其制度建构 | 银行法研究专栏第10期
岳彩申:尽快完善民营银行的金融科技风险防范制度 | 银行法研究专栏第9期
伏军:构建我国银行市场化接管处置制度 | 银行法研究专栏第8期
徐孟洲:改革开放以来中国金融立法的回顾与展望 | 银行法研究专栏第7期
强力:新常态下金融法制监管与市场调节的二元价值平衡 | 银行法研究专栏第6期
吴志攀:中国银行业和银行法发展40年的本土经验 | 银行法研究专栏第5期
吴晓灵:中国金融业的法律框架及立法进程 | 银行法研究专栏第4期
中国政法大学“银行法修改问题研讨会”综述 | 银行法研究专栏第3期