7月26日，中国人民银行发布《金融控股公司监督管理试行办法（征求意见稿）》（以下简称“《草案》”）。在经过多年研究及近年试点之后，中国对金融控股公司的监管迈出实质性的一步。在总共五十三条、一万多字的《草案》中，只有两条提到客户信息共享。然而，就是这简短的两个条文，有望扫清金融集团内客户信息共享的法律障碍。

中国当前的个人信息保护，大体呈现“网信办牵头的统一监管+行业监管部门实施的分业监管”的二元格局。鉴于当前个人信息保护的基础还比较薄弱，贸然鼓励信息共享风险太大，故无论是统一监管规则，还是金融行业监管规则，对于个人信息共享都持谨慎态度。

《网络安全法》第42条规定，网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外；第44条规定，任何个人和组织……不得非法出售或者非法向他人提供个人信息。第42条在一定程度上为个人信息共享提供了法律依据，但不够明确。只规定个人同意是信息共享的必要条件，虽然暗含了不禁止信息共享的意思，但是否还要满足其他条件才能共享信息，不得而知。有观点就认为，通过大数据技术，可以从客户金融信息推算出居民的消费习惯、金融发展趋势甚至是经济动态等状况，进而影响公共利益甚至国家安全。故即使有客户同意也不能共享其个人信息。第44条没有界定何为“非法提供”，反而使个人信息共享的合法性蒙上了阴影。

《个人信息安全规范》（以下简称“《安全规范》”）规定，个人信息原则上不能共享，但实际上又规定了共享的条件和要求，使得网络运营者可以在满足相关要求的前提下共享个人信息。最近的修订稿则删去了不得共享的表述，并明确规定了个人信息的汇聚融合。虽然修订稿没有给出“汇聚融合”的定义，但一般理解，不同机构之间的个人信息汇聚融合必然涉及信息共享。不过，以《安全规范》作为金融集团客户信息共享的法律依据，也存在不足：一是《安全规范》是推荐性国家标准，效力层级较低；二是《安全规范》是一般性规则，不足以对抗金融行业的限制性规则。

上述一般性规则虽未禁止共享个人信息，但也没有为个人信息共享提供充分的法律支撑。金融行业的监管规则，则对信息共享施加了严格的限制。

对银行业，中国人民银行在《关于银行业金融机构做好个人金融信息保护工作的通知》（银发[2011]17号）中规定，银行业金融机构不得向本金融机构以外的其他机构和个人提供个人金融信息，仅在“业务必需且用户授权”或“法律法规、中国人民银行另有规定”的情况下方可对外提供。据此，“原则禁止+例外允许”成为金融行业个人信息共享的基本原则。

对证券基金业，监管部门也对信息共享采取类似的监管思路。证监会于2018年发布的《证券基金经营机构信息技术管理办法》（证监会令第[152]号）第34条规定，除法律法规和中国证监会另有规定外，证券基金经营机构不得允许或者配合其他机构、个人截取、留存客户信息，不得以任何方式向其他机构、个人提供客户信息。在这一规定下，任何形式的信息共享都必须依赖法律法规或证监会的明确的允许规定，否则就不合规。

综上可见，在现行法下，金融集团内成员企业之间共享客户信息存在法律障碍，这是阻碍金融行业客户信息开放整合和挖掘利用的重要因素。而《草案》的出台，有望扫清这一法律障碍。

《草案》第22条规定，“金融控股公司与其所控股机构之间、其所控股机构之间可以共享客户信息、销售团队、信息技术系统、运营后台、营业场所等资源，发挥协同效应。金融控股公司可以在集团内部建立金融控股公司与其所控股机构之间、其所控股机构之间的协同机制，对集团各项资源进行合理配置。在开展业务协同时，金融控股公司、其所控股机构应当依法以合同等形式明确风险承担主体，防止风险责任不清、交叉传染及利益冲突。”这一规定与上述金融行业限制信息共享条款的例外情形完美接榫，为金融集团内部的客户信息共享提供了明确的法律依据。

《草案》第23条进一步规定了客户信息共享的条件：“金融控股公司及其所控股机构在集团内部共享客户信息时，应当确保依法合规、风险可控并经客户书面授权，防止客户信息被不当使用。”按照当前金融机构的合规水平，满足这些条件并不困难。

需要说明的是，虽然《草案》为金融控股集团客户信息共享提供了明确的法律依据，但有三点仍然需要注意：

一是《草案》为金融控股集团设置了严苛的实体条件和程序条件，只有满足各项实体条件并经中国人民银行批准，才能设立金融控股公司，成立金融控股集团。只有依法设立的金融控股集团和金融机构跨业投资控股形成的金融集团（见《草案》第2条）才能适用客户信息共享的规则。除此以外的金融机构或集团不能适用《草案》，故原则上不得共享客户信息。

二是《草案》只为金融集团内部的客户信息共享开了绿灯，并未放开集团内企业与外部机构之间的信息共享，无论外部机构是否为金融机构。故超出金融集团范围共享客户信息仍然存在法律障碍。

三是根据《草案》第2条，金融控股集团包括金融控股公司以及其所控股的金融机构，金融机构仅限于：商业银行（不含村镇银行）、金融租赁公司、信托公司金融资产管理公司、证券公司、基金管理公司、期货公司、人身保险公司、财产保险公司、再保险公司、保险资产管理公司、金融管理部门认定的其他金融机构。另据《草案》第17条，除了投资控股上述金融机构外，金融控股公司还可以投资经金融管理部门认定与金融业务相关的机构，但投资总额账面价值原则上不得超过金融控股公司净资产的15%。根据中国人民银行随《草案》一并发布的《答记者问》，金融科技公司就是典型的与金融业务相关的非金融机构，对辅助金融业务发展十分重要。在符合投资限额的前提下，金融控股公司可以投资设立金融科技公司。这就为金融科技公司参与金融集团内信息共享、甚至担当集团内客户信息共享整合平台的运营主体提供了依据。这也契合当前金融集团客户信息共享整合的普遍实践。（作者为竞天公诚律师事务所合伙人）

数据保护官（DPO）社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时，DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月，DPO社群举行了第一次线下沙龙。沙龙每月一期，集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）

14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

16. “108号公约”全文翻译（DPO沙龙出品）

17. 美国司法部“云法案”白皮书全文翻译（DPO社群出品）

18. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）

19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译（DPO沙龙出品）

20. 英国ICO《广告技术和实时竞价的更新报告》中译文（DPO社群出品）

21. “FTC与Facebook达成和解令的新闻通告”全文翻译（DPO社群出品）
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

10. 第十期数据保护官沙龙纪实：数据融合可给企业赋能，但不能不问西东

11. 第十一期数据保护官沙龙纪实：企业如何看住自家的数据资产？这里有份权威的安全指南

12. 第十二期数据保护官纪实：金融数据保护，须平衡个人隐私与公共利益

13. 第十三期DPO沙龙纪实：厘清《数据安全管理办法》中的重点条款

14. 第十四期DPO沙龙纪实：梳理《个人信息出境安全评估办法（征求意见稿）》的评估流程
    

    
    

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

10. 日本拟效仿德国：对IT巨头非法收集个人信息适用“反垄断法”

11. 扎克伯格最新愿景：将Facebook打造成“关注隐私的社交网络“

12. 德国最高数据保护官员就美国“云法案”提出警告

13. 【时评】ICO对英国航空和万豪国际开出巨额罚单，GDPR执法强硬时代来临！
    

    
    

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）

11. 从Android Q看安卓系统的授权机制的三次重大演进（DPO社群成员观点）

12. APP安全认证公告和实施规则解读：治理思路的创新与多样化（DPO社群成员观点）

13. 从数据融合角度分析CNIL处罚谷歌案（DPO社群成员观点）

14. 历史和国际比较视角DPO法律制度探源（DPO社群成员观点）

15. 谷歌数据融合合规之路：从欧盟监管机构调查与处罚来看——上篇（DPO社群成员观点）

16. 数据保护官岗位角色技术能力分析（DPO社群成员观点）

17. 中国企业境外投资中儿童个人信息保护（DPO社群成员观点）

18. 企业上市过程面临的数据合规问题和相关风险：境内篇（DPO社群成员观点）

19. 企业上市过程面临的数据合规问题和相关风险：境外篇（DPO社群成员观点）
    

20. 数据保护岗位需求与能力发展（DPO社群成员观点）

21. DPO互助平台对企业数据治理实务的指导（DPO社群成员观点）

22. 对网络安全负责人岗位的思考（DPO社群成员观点）

23. 结合良好实践，细说APP自评估指南之一（DPO社群成员观点）

24. 《个人信息安全规范》的效力与功能

25. 结合良好实践，细说APP自评估指南之二（DPO社群成员观点）

26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

27. 实施已满三月，区块链新规“回头看”（DPO社群成员观点）

28. 从“布拉格提案”看美国政府的策略

29. 《欧盟GDPR合规指引》前言：从一个损毁的雕像说起

30. 对《网络安全审查办法（征求意见稿）》的几点观察

31. 使命与界限：近期个人信息和数据安全新规的一些思考（DPO社群成员观点）

32. 解析《个人信息出境安全评估办法（征求意见稿）》实体保护规则背后的主要思路

33. “惟危惟微，允执厥中”：对《数据安全管理办法》中“定向推送”部分的思考

34. 《儿童个人信息网络保护规定（征求意见稿）》评析：与美国COPPA对比的视角

35. 网安法中的“范围”如何理解和落地：从头条案说起

36. 《数据安全管理办法》的监管诉求及文本改进建议：DPO社群的现场讨论

37. 数据安全的内部和外部视角初探
    

38. 《个人信息出境安全评估办法》的流程改进建议：DPO社群的现场讨论

39. 评价GDPR一周年：一些正负面观点

40. GDPR与相关数据保护法律处罚案例调研（DPO社群成员观点）

41. 个人信息侵权纠纷类型化试解（DPO社群成员观点）

42. 英法两国对 AdTech和广告类SDK的监管案例分析