近期，随着人民银行开始《个人金融信息（数据）保护试行办法》的内部意见征求工作，以及对金融风控服务中数据违法违规收集使用行为打击力度的加大，个人金融信息保护问题成为社会各界热议、热搜的焦点。面对集中出台的规则和执法，围绕金融展开的数据处理全行业被紧张气氛所笼罩，还有不少数据处理类企业预先关张大吉，许多从业者甚至专门前往国外提前“休假过冬”。最有助于平缓目前的紧张气氛并建立稳定预期的，莫过于清晰明确的规则。在对最终规则翘首以盼的同时，探究提炼中美欧个人金融信息保护的基本原理，也许能有助于我们对未来有个相对准确的把握。

一、个人金融信息的内涵

个人金融信息的定义或内涵，看似明确实则模糊，中美欧对此并不统一。中国现有法律法规对个人金融信息的界定，依赖于一个核心概念：金融机构。例如《中国人民银行金融消费者权益保护实施办法》（银发〔2016〕314号）中，将金融消费者定义为“购买、使用金融机构提供的金融产品和服务的自然人”。《个人金融信息（数据）保护试行办法》也采用了类似的路径，将个人金融信息界定为金融机构在业务过程中个人所收集的信息，以及通过其他渠道获得的个人信息。但遗憾的是，法律法规对金融机构并没有统一的定义，而是在不同规则中根据不同的监管目的划定不同的金融机构范围。《个人金融信息（数据）保护试行办法》也采取了上述路径。但总的来说，金融机构的范围不会逃脱出“依法设立的、经国家金融管理部门批准从事金融业务的机构”这个圈。既然是经国家金融管理部门批准从事金融业务的机构，那就是落在管理部门的监管范围之内。反过来说，国家金融管理部门认为自己无权管辖的机构，也就不能称为金融机构，其所收集使用的个人信息或数据，自然也就不能称为个人金融信息。换句话说，在中国，个人金融信息专指金融机构所持有的个人信息，非金融机构所掌握的个人信息不在此列。

美国个人金融信息保护的主要联邦立法当属《金融现代化法》（Financial Services Modernization Act of 1999，又称theGramm-Leach-Bliley Act, GLBA）。这部法律对个人金融信息的界定，主要依赖于金融活动（financialactivities）这个概念。这部法律中，无论是金融机构的界定，还是金融产品或服务的定义，均指向了the Bank Holding Company Act of 1956 (12 U.S.C. 1843(k))中第4节K项所列举的金融活动。因此，美国法对个人金融信息界定的逻辑建立于对金融活动和非金融活动的区分。《金融现代化法》认定，任何显著从事（significantly engaged in）金融活动的机构，均是金融机构。金融机构在从事金融活动过程中能提供的任何产品或服务，就是金融产品或服务。个人金融信息主要是指金融机构要求消费者提供的或与消费者互动过程中产生的非公开个人信息。再看欧盟，无论是95指令，还是取代95指令的《通用数据保护条例》（GDPR）均没有出现金融信息这个定义。

总结起来，中国与美国对个人金融信息界定的路径相近，强调了一种“边界”意识，并将个人金融信息区分于其他个人信息，通过部门法的方式制定了特殊规则。只不过中国划分了金融机构和非金融机构，美国区分的是金融活动和非金融活动。而欧盟采取一部覆盖各行各业的通用法律的形式对个人信息开展保护，个人金融信息与其他类型个人信息并无特殊要求。

二、个人金融信息保护的收集和共享

如果对个人金融信息保护的主要问题进行一个非常粗略的概括，主要包括两个方面的内容。首先是个人金融信息在技术安全方面的要求，也就是《网络安全法》第十条提出的完整性、保密性、可用性这三个目标。其次是个人金融信息的收集、使用、共享问题。对前者的中美欧近期的趋势概览，笔者在《透析金融数据保护的美欧中立法要点和趋势》这篇文章（刊载于《中国银行业》2018年第11期）【见金融数据保护的美欧中立法趋势概览】中已经做了初步介绍。同时，限于篇幅的原因，使用问题留待日后总结。因此本文将主要集中在个人金融信息的收集和共享问题。

1、中国

在《个人金融信息（数据）保护试行办法》出台之前，对个人金融信息保护的主要规定集中在《中国人民银行金融消费者权益保护实施办法》和《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》（银发〔2011〕17号）。综合上述两项规定，其对个人金融信息的收集和共享规定，可归纳为如下具体要求：

上述要求总结如下：

• 对于（消费者要求的）业务所必需的个人金融信息的收集、（机构内部办理业务所必需的）使用，金融机构应当明示，可以通过格式条款要求概括性授权，可以要求用户必须给予同意或授权；

• 对于（消费者要求的）业务所必需的对他人提供（包括他人获得个人金融信息后的使用），金融机构应当明示，可以通过格式条款要求概括性授权，可以要求用户必须给予同意或授权；

• 对于（消费者要求的）金融产品和服务相关的营销活动，如果该营销为“该业务关系的性质决定需要”，可以直接通过格式条款获得“概括性授权”，也可以强制要求消费者同意；

• 对于与（消费者要求的）金融产品和服务相关的营销，如果该营销不为“该业务关系的性质决定需要”，不得直接通过格式条款获得“概括性授权”，不得强制要求消费者同意；

• 对于与（消费者要求的）金融产品和服务不相关的营销，不得一揽子概括授权，且不得强制要求消费者授权或同意；如果前期个人选择同意但后期反对，金融机构应当停止营销活动；

• 对于（消费者要求的）金融产品和服务之外的非营销事项，必须明示、不得概括性授权、不得强制授权。

  
  

2、美国

《金融服务现代化法》作为美国经济大萧条时期以来对金融服务业法律体系的最大修正，彻底改变了《格拉斯-斯蒂格尔法》（Glass-Steagall Act of 1933），允许一个金融控股公司可以拥有商业银行、投资银行、保险公司以及其他各类公司。为了应对金融业务的重组，该法特辟专章规规定金融数据保护问题，其包括金融机构隐私政策的建立与披露、金融机构数据安全要求、消费者选择权、监管机构法律制定义务等。基于该法，美国联邦储备委员会、财政部等八个机构监管部门组成联合工作组，制定“Regulation P（Privacy of Consumer Financial Information）”，进一步细化了《金融现代化法》的数据保护规定。

《金融现代化法》和Regulation P授权银行、保险公司和投资公司等金融机构广泛共享个人金融信息。其中，在金融机构及其附属公司，允许自由共享。在此情形下，金融机构应在合同关系成立以及每年度以“通知书”（notice）的形式明确向用户披露共享信息类别。对于附属公司，规则给出了判定标准——一家公司是否控制了另一家公司，或者是否存在“共同控制”的情况。

而在金融机构与非附属第三方之间，出于为用户提供服务所必需，或者金融机构自身经营所需要（包括推销自身产品或联合推销），金融机构可以在公开上述共享的前提下，径直与非附属的第三方共享个人金融信息。但在出于直接营销目的（例如电话营销、电子邮件或其他营销）的共享中，金融机构不得将账号、信用卡账号、账户与非附属第三方共享。

其他情况下，金融机构若要与非附属第三方之间共享个人金融信息，必须满意以下条件：

1. 以书面、电子或其他形式，将信息共享的范围清楚、明确地告知用户；

2. 在首次共享之前，给予用户拒绝共享（opt out）的权利；

3. 用户应得到如何行使拒绝共享的说明。

3、欧盟

在欧盟，个人金融信息也是个人数据，适用GDPR。从立法理念来说，GDPR在坚持个人数据保护为基本人权的同时，同时采取了风险路径。而所谓的风险路径，用大白话说则是：面包店涉及的处理个人数据的风险，显然和开展征信业务的公司所涉及的风险截然不同，GDPR并不要求前者采取和后者完全相同的个人数据保护义务（例如任命个人数据保护官、开展数据保护影响评估等），而会根据风险来调适保护义务的高度。GDPR另外一个显著特点是，在GDPR中，数据收集和对外提供，统一使用“数据处理”这个概念。数据处理，无论是收集还是对外提供，均统一适用GDPR的原则和规则，不像中美立法均分区收集、对外提供等数据生命周期的环节，并相应地提出专门的规则。

在GDPR中，通常要先确立数据处理的目的（也就是要开展的具体业务），再从目的出发圈定完成目的所需要开展的具体数据处理动作（processing activities），然后是确定六种合法事由（lawful grounds）可以用来支撑该数据处理目的，之后是确认目的涵摄的各处理动作是否遵循了个人数据处理的基本原则。由于GDPR并没有对数据共享的额外规则。因此对共享数据这个动作，GDPR还是根据前段的思路进行审视。

在此以一例子说明：一智能穿戴设备公司希望将记录的用户生理健康数据（如睡眠时长、每日步数等）与一保险公司共享，用于对用户的保费计算目的。从GDPR来看，为完成前述的计费目的，需要有三个数据处理动作（分别是穿戴设备公司对外提供、保险公司接收、保险公司合并数据并计算），此时个人数据共享需要有合法事由。由于保险价格的计算对个人数据主体合法权益影响较大，此时，合适的合法事由应当为用户同意而非企业的正当利益事由。上述智能可穿戴设备公司和保险公司可以隶属于同一集团，也可以分属于不同集团，并不会对上述分析产生实质影响。但由于属于同一集团内部，确实对落实统一的数据安全保护措施有很大的优势，这也是为什么GDPR在跨境环节中，专门提出有约束力的公司规则（Binding Corporate Rules, BCRs）可被视为在缺乏国家和地区充分性认定时，承担“合适的保护措施”的作用，从而支撑了数据跨境流动的合法性。当然，该集团应当事先向DPA就其BCRs申请认证。

总之，基于风险的共享规则要求以数据为中心，本质上并不关心数据共享是否跨出组织边界，除非组织边界内外提供了显著不同的安全水平。但此时的安全水平，还是不能超越数据处理目的的决定性权重。

三、中国规则发展的展望

从上述对中美欧现行立法的总结来看，三者在以下方面具有共同点：首先是金融机构收集个人信息需要以开展业务为前提，且所收集的信息必须与业务有关。其次是允许因为用户所自主选择的业务的性质所决定而必需对第三方进行共享，并无需再次征求用户的同意。再次，非因业务所必需的个人金融信息共享，应当遵循用户的自主选择权，不得强迫、绑架用户。只不过在此方面，美国采取的opt-out的路径，欧盟采取的opt-in的路径，中国则是两种路径均接受。此外值得注意的是，相对于中国和欧盟，美国对具有附属关系的不同金融机构之间的个人金融信息共享，持更加开放的态度。

通过上述中美欧法律法规的盘点，大致可得出下一步中国在个人金融信息收集和共享规则方面可能的走向：首先，用户自主选择的金融产品或服务仍然会是支撑个人金融信息收集和共享最重要的合法性基础。其次，由于中国的法律法规中强调金融机构和非金融机构的区分，因此在《中国人民银行金融消费者权益保护实施办法》和《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》的基础上，会进一步强化金融机构和非金融机构之间进行数据共享时的安全要求。由于国家金融管理部门认为非金融机构超出自己的管辖范围，且个人金融信息流向非金融机构后也将游离于其设定的规则框架。因此，可以预计国家金融管理部门将会对个人金融数据从“监管域”流向“非监管域”提出除个人自主选择同意之外的额外安全要求。再次，对于发端于“非监管域”的数据，通过金融机构采购、合作等形式进入“监管域”，也很可能是国家金融管理部门的管控重点，因此对于从非金融机构那获取数据将会有新的安全要求。

这其中，笔者认为比较有可能为我国监管所接受的是目前欧盟规定的数据保护影响评估（data protection impact assessment），或者美国规定的隐私影响评估（privacy impact assessment）。目前，全国信息安全技术标准化委员会（TC260）正在组织制定《个人信息安全规范》的配套标准《个人信息安全影响评估指南》。该标准继承了美欧的相关标准和实践，建议金融机构在与非金融机构进行数据交互时，采用该标准主动降低数据从“监管域”流出时的安全风险，以及数据从“非监管域”流入而导致的数据污染的风险。（完）