个人信息保护法和数据安全法二审稿对跨国金融机构的影响

《个人信息保护法(草案一次审议稿)》(“《个保法一审稿》”)规定了个人信息保护的域外适用。《个保法二审稿》则进一步加强了域外适用的效力。此外, 《数安法二审稿》也与《个保法一审稿》和《个保法二审稿》的规定保持一致, 明确其具有域外适用的效力。

在《个保法二审稿》和《数安法二审稿》现有规定下, 这两部法律具有非常广泛的域外适用效力。只要收集、处理或者处置的是中国境内自然人的个人信息或者与中国的公共利益相关的数据, 无论处理者为中国企业还是外国企业, 也无论对该等数据的收集、处理或者处置是发生在中国境内还是中国境外, 均将受到《个保法二审稿》和《数安法二审稿》的限制。因此, 当跨国金融机构的总部或者其在全球各地的分支机构收集、处理或者处置在中国境内收集或者产生的数据时, 它们除了遵守所在国的法律规定之外, 还需要遵守中国《个人信息保护法》和/或《数据安全法》的规定。

此外, 《个保法二审稿》还对违反《个人信息保护法》处理个人信息的公司提出了制裁要求。根据《个保法二审稿》第42条的规定, 当一个境外公司违法收集、处理或者处置中国境内自然人的个人信息时, 其可能被列入“禁止提供个人信息”的黑名单中。换言之, 如果跨国金融机构的总部或者分支机构违反中国的《个人信息保护法》的规定, 那其中国境内的关联公司也可能被禁止向其提供个人信息, 进而导致业务中断。

更重要的是, 作为“数据主权”的具体体现, 在《个保法二审稿》和《数安法二审稿》均规定若需向境外政府机构提供数据的, 需经中国政府的同意。《个保法二审稿》第41条和《数安法二审稿》第35条均要求, 若境外司法或者执法机构存储在中国境内的“个人信息”或者“数据”的, 均应当经过中国的主管部门同意后, 方可对外提供。例如, 当美国证券监管机构(“SEC”)要求披露某中国公司的部分业务数据或者该等中国公司的最终受益人信息, 则在中国处理该等数据或者信息的证券公司仅能在证监会许可同意后, 方可遵守SEC的要求向其披露信息。一方面其受制于外国政府部门的要求应当披露数据, 但另一方面中国政府却禁止其获取数据(除非获取中国政府的同意), 如果《个保法二审稿》和《数安法二审稿》按照目前的形式被采纳, 这可能使跨国金融企业面临信息披露层面的困境。

《个保法二审稿》第13条增加了一条合法处理个人信息的理由, 即“依照本法规定在合理的范围内处理已公开的个人信息”的, 无需征得用户的同意, 也能作为合法处理个人信息的理由。与《民法典》第1036条的规定类似, 本条实际上允许在没有相关个人同意的情况下, 收集和使用公开渠道可得的个人信息, 但前提是该等收集和使用应当限定在“合理范围”内。

无论是《个保法二审稿》还是现有的其他法律法规, 均未界定过何为“合理范围”。根据一般的理解, 如果收集、使用个人信息的目的是可以被预见或者被期待的, 那么该等收集或者使用很可能被视为在“合理范围”之内。在实践中, 金融机构通往往过公开途径收集大量的信息, 以便其从事研究和市场分析工作, 这些信息中就包含个人信息。因此, 《个保法二审稿》新增的“公开途径收集个人信息”例外, 实际上在使用公开渠道内的个人信息方面, 给与了金融机构更多的自由。

《个保法二审稿》和《数安法二审稿》均鼓励对大数据科技的应用和开发。

从条文本身来看, 《数安法二审稿》第14条明文规定鼓励大数据科技的开发, 并且鼓励在商业创新中应用大数据技术。这表明中国政府认可大数据技术在各行各业均存在着日益广阔的应用前景。自第三方数据提供商处寻找和使用大数据技术已经成为了金融机构的“惯例”。例如, 通过对投资者或者金融消费者的行为数据进行积累和分析, 大批金融机构已经结合自身的需求, 利用大数据科技建立了包括产品推荐、风控、个性化营销、支持业务决策等各类业务模型, 为金融业务的蓬勃发展提供有效支持。

由于模型的建立非常依赖于客户自身的数据(个人信息), 当一旦客户行使“撤回同意”的权利之后, 金融机构是否需要删除客户的数据, 或者不得继续处理该等数据, 进而导致模型无法继续使用底层数据, 现行法律并未明确。而《个保法二审稿》对第16条的修订则给与该等问题明确的回应, 承认了在用户撤回同意后, 继续使用基于用户个人信息产生的匿名数据或者大数据技术的可行性。

在《个保法一审稿》承认了个人有权撤回同意之前个人信息处理活动的合法性之外, 《个保法二审稿》第16条规定, “个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”对比《个人信息安全规范》第8.4条的注释“撤回授权同意不影响撤回前基于授权同意的个人信息处理”, 《个保法二审稿》第16条更加突出肯定“处理行为的效力不受影响”。根据《个保法二审稿》第16条的规定, 基于投资者或者金融消费者的同意, 金融机构在此基础上通过数据分析得出的匿名数据、模型或者大数据技术, 即使在投资者或者金融消费者撤回同意后, 也不会受到影响, 金融机构仍然可以继续研发和使用该等匿名数据、模型或者大数据技术。因此, 我们建议金融机构尽快匿名化其收集的个人信息, 且该等匿名化操作尽量在投资者或者金融消费者撤回同意之前, 以保证未来能够继续使用该等数据的便利性。

《个保法二审稿》和《数安法二审稿》均设置了加强网络安全保护的规则。

从系统安全角度而言, 《数安法二审稿》第26条特别规定, “在网络安全等级保护制度的基础上, 建立健全全流程数据安全管理制度”。自公安部门2007年开始推行“等保制度”后, 计算机信息系统所有者或者网络运营者即有义务根据其系统的重要性以及在系统中储存信息的敏感性, 对其定级, 并根据定级的结果实施对应的保护措施。而在《数安法二审稿》中融入遵守“网络安全等级保护制度”的要求, 则意味着网络安全等级保护制度将对所有的数据处理者适用。因此, 金融机构不仅仅应当遵守行业主管设定的安全义务, 还应当遵守公安部制定的等级保护义务。

从数据的角度而言, 作为本次《数据安全法(草案)》最为重要的修订之一, 《数安法二审稿》第20条规定“国家建立数据分类分级保护制度”, 以及“确定重要数据目录, 加强对重要数据的保护。”也就是说, 国家将会主导建立数据分级制度, 并对“重要数据”实施额外的保护义务。可见, 《数安法二审稿》放弃了由企业和组织自行决定“数据分类分级保护制度”的保护方式, 转而实施由中国政府主导负责识别重要数据的类别和范围的模式, 同时数据处理者应当依照法律要求实施相应的安全措施以保护各种类型的数据。根据上述要求, 金融机构未来应当根据政府要求, 在识别由其数据中的“重要数据”的基础上, 依据要求采取相应的保护措施。我们建议金融机构定期关注数据安全领域相关法律的更新, 以及时了解在金融领域的“数据分级分类和重要数据保护”的要求。