破局之锥, 金融类个人信息的共享困境新破解 —— 兼评《金控公司监管办法》下的数据共享

2020年9月11日中国人民银行对外颁布了《金融控股公司监督管理试行办法》(“《金控公司监管办法》”)。虽然《金控公司监管办法》的规定主要是监管在华的“金融控股公司”的业务活动, 但是其中短短两条关于“客户信息”共享的规定, 却给在金融领域内的个人信息共享实践提供了巨大的想象空间。

无论境内境外, “数据”已然成为各个产业中颇具价值的资产; 无论政府还是业界, 也都已经认识到了“数据”在经济发展中的重要作用。不同于飞速发展的互联网产业, 在金融行业, 对于是否需要放开“数据流动”这条红线, 监管部门一直秉持谨慎态度。

金融业界从业者经常面临这样的困境: 明知数据的流动将带来巨大的价值, 但是法律是否允许数据对外共享呢?现有的法律和政策对此褒贬不一: 一方面有对于发展大数据产业的鼓励, 另一方面又对数据的共享加以限制。这个问题背后不仅仅反映的是立法者和监管者的矛盾, 更是整个金融行业对于能否利用“数据要素”这个与“土地、资本、劳动力、知识”具有同等地位的新型资源, 开展“数据驱动型”业务的叩心提问。

毫无疑问的是, 作为金融行业数据的“皇冠”—金融类个人信息, 长期以来受到现行法律的严格监管。无论是银保监和人民银行监管下的银行类金融机构和非银金融机构, 亦或是证监会监管的证券公司或者公募基金管理公司, 在对外提供用户信息的问题上, 都存在着绕不开的法律限制:

- 《金融消费者权益保护实施办法》和《关于银行业金融机构做好个人金融信息保护工作的通知》等规定禁止银行业金融机构对外提供其收集的个人金融信息; 

- 《征信业管理条例》等禁止信息使用者向第三方提供其获取的个人征信信息; 

- 《证券法》和《证券基金经营机构信息技术管理办法》严格禁止证券公司和公募基金管理公司对外提供客户信息和投资者信息; 

- 《反洗钱法》等禁止金融机构对外提供其在履行反洗钱职责或义务时获得的客户资料和交易信息; 

- 《期货公司监督管理办法》等禁止期货公司以任何方式违规向其他机构或者个人提供客户信息。

除了前述列举的金融行业内的限制之外, 《民法典》和《网络安全法》也对个人信息的对外提供做出了一般性的法律要求: 即, 未经相关个人信息主体的同意, 信息处理者(包括网络运营者)不得向第三方提供任何人的个人信息。

我们可以发现, 由于上述监管性规定的存在, 金融机构往往难以打通金融机构与外部之间金融类个人信息的流通; 哪怕是在金融机构的关联公司之间的数据共享, 也因为法律限制的存在难以实现。这样的监管要求限制了金融机构的业务发展, 进而产生了一组现实的矛盾: 即一方面在数字经济时代 “大金融、大资管“概念下, 金融产品需要不断“融合”进而发挥更大的经济价值, 与另一方面个人金融信息只能“割裂”使用无法为金融产品的“融合”提供助力之间的矛盾。这组矛盾也使得传统的金融机构在与新兴的互联网新贵们在互联网金融产业的竞争中处于劣势。

而在禁止或限制个人金融信息流动的另一面, 则是国务院和金融业主管部门在不同的场合表示过鼓励“金融类个人信息”在合法合规的情况下进行流通, 以“助力”金融业务的合规发展。这些意见都表示立法者可能需要革新现有的法律制度和法律实践, 为金融数据的打通提供理论基础。

无论对于传统的金融机构, 还是新兴的互联网金融企业, 数据流通都着不菲的价值: 自移动互联网开始, “精准营销”、“金融风控”、“信用评分”和“关联产品推荐”等等一系列金融机构愿意开展的相关业务, 都需要以金融类个人信息的共享为基础。简单来说, 金融类个人信息流通地越顺畅, 金融机构的业务可能就发展地更顺利。实际上, 在构建“金融类个人信息”监管制度的过程中, 金融行业的各个主管部门也确实对“禁止分享客户信息”要求提供了有限的例外, 例如: 

- 《金融消费者权益保护实施办法》允许金融机构可以在向金融消费者提供满足格式要求的文件且在获得其“单独授权”的情况下, 向他人提供个人金融信息; 

- 《证券基金经营机构信息技术管理办法》同意在法律允许或者证监会同意的情况下, 金融机构可对外提供客户的个人信息; 

- 《征信业管理条例》允许信息使用者在经过个人信息主体的同意的情况下, 向第三方提供个人征信信息; 

- 《关于银行业金融机构做好个人金融信息保护工作的通知》允许金融机构在满足“知情同意”、“业务必要”、“显著提示”和“必要条款齐备”四个条件的情况下, 对外提供个人金融信息。

但是这些例外规定的例外不仅零散, 而且其使用场景也极其狭隘, 因此很难为金融业机构提供一个全局性的解决方案。在实践中, 金融机构的业务部门和法务部门对于条文的解读尺度不一, 也可能对需要利用个人数据开展业务的金融机构造成了明显的障碍。这些现象的存在都意味着现有的法律框架并不能为“数据要素”的合理流通提供有力的法律支持。

在这样的情况下,  “数据中台”模式、“科技子公司”模式、“账号统一模式”等为了解决数据流通和数据共享的商业模式层出不穷。鉴于长期以来金融行业对于个人信息保护的严格监管态度, 这些商业模式往往并不能全面得到现行法律或者监管部门的明确支持, 而且其实施也需要很高的时间成本和财务成本, 因此这些商业模式的推行也颇有阻碍。但是, 《金融公司监管办法》则为金融类个人信息的流通提供了新的思路。

百川汇流终赴海, 意想不到的是《金控公司监管办法》为共享金融类个人信息提供了新的解决路径。《金控公司监管办法》第22条允许“金融控股公司与其所控股机构之间”、“(被金融控股公司)所控股的机构之间”之间“共享客户信息”; 同时, 第23条要求在“共享客户信息”时, “应当确保依法合规、风险可控并经客户书面授权或同意, 防止客户信息被不当使用”。这两条规定实际上为金融机构共享金融类个人信息构建了新的途径: 

首先, 《金控公司监管办法》为金融机构在集团内部共享客户数据降低了法律要求。无论是《金融消费者权益保护实施办法》还是《证券基金经营机构信息技术管理办法》, 这些法律规定下的“分享客户信息”的前提条件都过于苛刻或具有不确定性。但是《金控公司监管办法》下, 只要满足1)主体要求(即金控集团内部的企业主体)以及2)客户同意这两个主要的法律要求, 金融类个人信息即可以在集团内部共享并用以开展业务, 大大降低了数据流通的法律门槛。

其次, 《金控公司监管办法》为“科技子公司”模式等商业实践的合法性提供了充分的法律依据。理论上说, 只要“科技子公司”是由金控集团所控股持有的企业, 其收集、处理、共享和传输用户信息都不存在必然的法律障碍。这对于长期游走在灰色地带的“科技子公司”模式而言, 提供了充分的“合法化”的空间。

最后, 《金控公司监管办法》理论上为外资金融机构向境外传输客户信息提供了法律依据。随着中国金融业加速对外开放, 境外的金融投资者在华设立独资的金融机构也已经提上了日程。境外投资者在网络安全领域最为关心的问题之一就是如何将“客户信息”与其境外的关联方进行共享, 使其能够充分利用境外的关联方的风控技术和分析能力, 以加速在华业务的发展。《金控公司监管办法》虽然没有明确提及向境外传输客户信息的相关要求, 但是《金控公司监管办法》特别说明“金融控股公司所控股金融机构”包括“金融控股公司控股或实际控制的境内外金融机构”, 这意味着境外的主体也可以符合第22条下的“主体要求”, 进而使得外商投资金融机构可以向境外传输客户信息。当然, 外国投资者还需要经过一系列的股权、知识产权、技术以及财务安排, 才能使得向境外提供客户信息在监管部门的视野下属于“合法行为”。

谁都不会想到, 看似毫不相干的《金控公司监管办法》竟然为金融类个人信息的共享提出了新的解决方案。我们期待这个“破局之锥”能够给业界带来更多的想法、实践和操作, 也静静观察监管部门是否会在此基础之上提供更进一步的解释。但无论如何, 《金控公司监管办法》都在某种程度上为金融领域的“数据要素”打开了流通之门。