金控监管办法草案发布 有望扫清信息共享障碍(DPO社群成员观点)
7月26日,中国人民银行发布《金融控股公司监督管理试行办法(征求意见稿)》(以下简称“《草案》”)。在经过多年研究及近年试点之后,中国对金融控股公司的监管迈出实质性的一步。在总共五十三条、一万多字的《草案》中,只有两条提到客户信息共享。然而,就是这简短的两个条文,有望扫清金融集团内客户信息共享的法律障碍。
中国当前的个人信息保护,大体呈现“网信办牵头的统一监管+行业监管部门实施的分业监管”的二元格局。鉴于当前个人信息保护的基础还比较薄弱,贸然鼓励信息共享风险太大,故无论是统一监管规则,还是金融行业监管规则,对于个人信息共享都持谨慎态度。
《网络安全法》第42条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外;第44条规定,任何个人和组织……不得非法出售或者非法向他人提供个人信息。第42条在一定程度上为个人信息共享提供了法律依据,但不够明确。只规定个人同意是信息共享的必要条件,虽然暗含了不禁止信息共享的意思,但是否还要满足其他条件才能共享信息,不得而知。有观点就认为,通过大数据技术,可以从客户金融信息推算出居民的消费习惯、金融发展趋势甚至是经济动态等状况,进而影响公共利益甚至国家安全。故即使有客户同意也不能共享其个人信息。第44条没有界定何为“非法提供”,反而使个人信息共享的合法性蒙上了阴影。
《个人信息安全规范》(以下简称“《安全规范》”)规定,个人信息原则上不能共享,但实际上又规定了共享的条件和要求,使得网络运营者可以在满足相关要求的前提下共享个人信息。最近的修订稿则删去了不得共享的表述,并明确规定了个人信息的汇聚融合。虽然修订稿没有给出“汇聚融合”的定义,但一般理解,不同机构之间的个人信息汇聚融合必然涉及信息共享。不过,以《安全规范》作为金融集团客户信息共享的法律依据,也存在不足:一是《安全规范》是推荐性国家标准,效力层级较低;二是《安全规范》是一般性规则,不足以对抗金融行业的限制性规则。
上述一般性规则虽未禁止共享个人信息,但也没有为个人信息共享提供充分的法律支撑。金融行业的监管规则,则对信息共享施加了严格的限制。
对银行业,中国人民银行在《关于银行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17号)中规定,银行业金融机构不得向本金融机构以外的其他机构和个人提供个人金融信息,仅在“业务必需且用户授权”或“法律法规、中国人民银行另有规定”的情况下方可对外提供。据此,“原则禁止+例外允许”成为金融行业个人信息共享的基本原则。
对证券基金业,监管部门也对信息共享采取类似的监管思路。证监会于2018年发布的《证券基金经营机构信息技术管理办法》(证监会令第[152]号)第34条规定,除法律法规和中国证监会另有规定外,证券基金经营机构不得允许或者配合其他机构、个人截取、留存客户信息,不得以任何方式向其他机构、个人提供客户信息。在这一规定下,任何形式的信息共享都必须依赖法律法规或证监会的明确的允许规定,否则就不合规。
综上可见,在现行法下,金融集团内成员企业之间共享客户信息存在法律障碍,这是阻碍金融行业客户信息开放整合和挖掘利用的重要因素。而《草案》的出台,有望扫清这一法律障碍。
《草案》第22条规定,“金融控股公司与其所控股机构之间、其所控股机构之间可以共享客户信息、销售团队、信息技术系统、运营后台、营业场所等资源,发挥协同效应。金融控股公司可以在集团内部建立金融控股公司与其所控股机构之间、其所控股机构之间的协同机制,对集团各项资源进行合理配置。在开展业务协同时,金融控股公司、其所控股机构应当依法以合同等形式明确风险承担主体,防止风险责任不清、交叉传染及利益冲突。”这一规定与上述金融行业限制信息共享条款的例外情形完美接榫,为金融集团内部的客户信息共享提供了明确的法律依据。
《草案》第23条进一步规定了客户信息共享的条件:“金融控股公司及其所控股机构在集团内部共享客户信息时,应当确保依法合规、风险可控并经客户书面授权,防止客户信息被不当使用。”按照当前金融机构的合规水平,满足这些条件并不困难。
需要说明的是,虽然《草案》为金融控股集团客户信息共享提供了明确的法律依据,但有三点仍然需要注意:
一是《草案》为金融控股集团设置了严苛的实体条件和程序条件,只有满足各项实体条件并经中国人民银行批准,才能设立金融控股公司,成立金融控股集团。只有依法设立的金融控股集团和金融机构跨业投资控股形成的金融集团(见《草案》第2条)才能适用客户信息共享的规则。除此以外的金融机构或集团不能适用《草案》,故原则上不得共享客户信息。
二是《草案》只为金融集团内部的客户信息共享开了绿灯,并未放开集团内企业与外部机构之间的信息共享,无论外部机构是否为金融机构。故超出金融集团范围共享客户信息仍然存在法律障碍。
三是根据《草案》第2条,金融控股集团包括金融控股公司以及其所控股的金融机构,金融机构仅限于:商业银行(不含村镇银行)、金融租赁公司、信托公司金融资产管理公司、证券公司、基金管理公司、期货公司、人身保险公司、财产保险公司、再保险公司、保险资产管理公司、金融管理部门认定的其他金融机构。另据《草案》第17条,除了投资控股上述金融机构外,金融控股公司还可以投资经金融管理部门认定与金融业务相关的机构,但投资总额账面价值原则上不得超过金融控股公司净资产的15%。根据中国人民银行随《草案》一并发布的《答记者问》,金融科技公司就是典型的与金融业务相关的非金融机构,对辅助金融业务发展十分重要。在符合投资限额的前提下,金融控股公司可以投资设立金融科技公司。这就为金融科技公司参与金融集团内信息共享、甚至担当集团内客户信息共享整合平台的运营主体提供了依据。这也契合当前金融集团客户信息共享整合的普遍实践。(作者为竞天公诚律师事务所合伙人)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点