江翔宇:中国金融数据保护相关问题研究
江翔宇 上海市法学会金融法研究会理事、基金法专委会秘书长,上海市协力律师事务所资深顾问,法学博士。
一
金融数据的本质是特殊的个人信息,个人信息主体本身对信息拥有完全的权利,为了获取一定程度的便利(如降低交易成本等),信息主体自愿将一部分信息(如金融数据)及相应的部分权利让渡给专业机构进行处理。相应地,专业机构应当按照双方的约定合理地使用信息。从个人信息保护到金融数据共享,应当在便利性和保护性两点之间取得平衡。
2019年7月26日,中国人民银行发布了《金融控股公司监督管理试行办法(征求意见稿)》。一般认为,在银行、证券、保险等两个或两个以上金融领域拥有牌照、实际经营或者实际控制该行业企业的公司,都属于金融控股公司。《金融控股公司监督管理试行办法(征求意见稿)》第22条规定:金融控股公司与其所控股机构之间、其所控股机构之间可以共享客户信息、销售团队、信息技术系统、运营后台、营业场所等资源,发挥协同效应。金融控股公司可以在集团内部建立金融控股公司与其所控股机构之间、其所控股机构之间的协同机制,对集团各项资源进行合理配置。在开展业务的同时,金融控股公司、其所控股机构应当依法以合同等形式明确风险承担主体,防止风险责任不清、交叉传染及利益冲突。第23条规定:金融控股公司及其所控股机构在集团内部共享客户信息时,应当确保依法合规、风险可控并经客户书面授权,防止客户信息被不当使用。
该办法实质上是基于中国金融业分业监管的现状,根据金融业实际已经存在大量金融控股公司的实践制定的规范。在金融混业经营和大数据技术应用等背景下,银行等金融机构以往沉淀的海量数据和现在获得的数据均可以通过技术手段进行深度挖掘,这种行为在数字经济时代对金融行业是一种新的场景,可以通过大数据和人工智能提供更加有效的金融服务。同时,金融控股公司的多个子公司之间对于金融数据的处理和共享相对于以前具有极为现实的商业意义,通过金融控股公司的银行子公司获取数量庞大的客户信息,与证券子公司、资产管理子公司和保险子公司共享,将会极大提高精准营销的效率,深度开发客户资源,打通消费者不同金融需求的全领域的金融生态,真正形成一站式的金融超市。但是,对于金融控股公司内部不同业务子公司之间的数据共享,如果没有进行必要的规范将产生个人敏感数据泄露等风险。既往基于客户信息保密义务进行的数据保护已经不适应目前的数据和个人信息保护的要求。
中国目前的立法对金融混业经营预留了空间,但是涉及金融控股公司内部的数据共享规定之前是空白。《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》完整确立了消费者的金融数据安全权,但对信息共享缺乏更系统的规范,该通知第4条规定,银行业金融机构使用个人金融信息时,不得向本金融机构以外的其他机构和个人提供个人金融信息,除非是为个人办理相关业务所必需,并且必须获得个人书面授权或同意,或者是法律法规和中国人民银行有其他规定。根据上述规定,金融控股公司的银行子公司,如何将客户的个人数据共享给其他子公司,并没有明确的操作规范,《金融控股公司监督管理试行办法(征求意见稿)》对此给予了回应,实质上是为金融控股公司内部的数据共享开了绿灯,作出了金融行业的数据监管在适用数据保护的一般性法律基础上的特殊规定。
二
近年来随着“棱镜门事件”、Google爱尔兰案等网络与数据安全事件的频繁发生,各国对数据出境安全高度重视,不断加强立法保护数据出境安全管控。目前以欧盟、美国、亚太经合组织为代表的世界主流国家和国际组织已经形成较为完备的数据出境管理制度体系。
随着中国金融市场国际化进程的推进,越来越多的国际金融机构在中国利用母国的信息基础设施开展业务,个人数据出境与入境成为常态。传统的以保护本国范围内个人信息权利为重点的金融数据立法,必然面对金融全球化时代个人数据跨境流动的考验。《网络安全法》的颁布实施首次提出数据出境安全管理要求,之后中国又起草了多部相关立法。金融监管部门的理念也在迅速变化,2020年3月23日中国证监会在发给美国高盛集团子公司的《关于核准高盛高华证券有限责任公司变更控股股东的批复》中罕见地指出“你公司应当严格落实《网络安全法》《证券法》有关规定,加强对证券业务数据及投资者个人信息跨境流动的合规管理,切实保护投资者合法权益,保障重要信息系统及网络安全稳定运行”,明确了金融机构在个人信息保护方面不再像以往主要依据金融法律执行客户信息保护要求,而是要把国家关于数据和个人信息保护的专门立法作为合规依据。
如前所述,金融数据可以分为个人金融数据、金融业重要数据与其他金融数据三块,金融数据出境问题的主要焦点是前二者的范围和具体的出境流程。金融数据的出境问题与一国金融业开放息息相关,是营商环境中较为关注的问题。很多在中国开展业务的国际金融机构在接受金融监管过程中都提出金融数据出境的合理范围问题,而金融数据跨境的具体原因一般包括几种类型:
(1)跨国金融集团开展跨境业务过程中对特定客户的展业需求;
(2)跨国金融集团基于客户全球风险统一管理的需求;
(3)跨国金融机构母国监管机关或母行出于当地反洗钱监管或合规管理的目的要求提供金融数据;
(4)跨国金融机构对数据的跨境处理需求。
(一)个人金融数据出境问题
对于个人金融数据出境问题,相关的监管要求主要来自网信部门和金融监管部门的规定,但是二者有一定差异:
2011年5月,中国人民银行上海分行紧急发布《关于银行业金融机构做好个人金融信息保护工作有关问题的通知》(上海银发〔2011〕110号,以下简称“110号文”)。110号文指出,17号文所称的“例外情形”是指“为客户办理业务所必需,且经客户书面授权或同意,境内银行业金融机构向境外总行、母行或分行、子行提供境内个人金融信息的,可不认为违规。银行业金融机构应当保证其境外总行、母行或分行、子行为所获得的个人金融信息保密”。也就是说,满足“业务必需+客户同意+关联机构+保密”四要件,可允许金融机构数据出境。
2016年,中国人民银行发布的《中国人民银行金融消费者权益保护实施办法》第33条对110号文的精神予以了确认,并将适用范围扩大到银行业金融数据以外的金融数据,规定:“在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,金融机构不得向境外提供境内个人金融信息。境内金融机构为处理跨境业务且经当事人授权,向境外机构(含总公司、母公司或者分公司、子公司及其他为完成该业务所必需的关联机构)传输境内收集的相关个人金融信息的,应当符合法律、行政法规和相关监管部门的规定,并通过签订协议、现场核查等有效措施,要求境外机构为所获得的个人金融信息保密。”该办法发布之后,中国人民银行对金融机构数据出境的监管模式正式定为“原则禁止,以业务必需+客户同意+关联机构+保密为例外”。
2020年2月13日中国人民银行发布的《个人金融信息保护技术规范》基本沿袭了其之前规定的要求,同时增加了应依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求,并要求明确监督境外机构有效履行个人金融信息保密、数据删除、案件协査等职责义务。
网信办对于金融机构数据出境的监管模式与中国人民银行的监管模式具有显著区别。《网络安全法》第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”可以看出,网信办对于数据出境的监管主要采用“原则禁止,以经安全评估为例外”的监管模式。2019年发布的《个人信息出境安全评估办法(征求意见稿)》第2条规定:“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。国家关于个人信息出境另有规定的,从其规定。”
2019年,中国人民银行起草的《个人金融信息(数据)保护试行办法(初稿)》第20条(个人金融信息跨境流动的要求)规定:“在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律、法规、规章及有关主管部门另有规定外,金融机构不得向境外提供境内个人金融信息。境内金融机构为处理跨境业务向境外机构(含总公司、母公司或者分公司、子公司以及其他为完成该业务所必需的关联机构)提供境内收集的个人金融信息的,应当事先取得信息主体的明示同意,并依法开展个人金融信息出境安全评估,未经评估或者经评估存在显著风险隐患的,境内金融机构不得向境外机构提供个人金融信息。境内金融机构向境外机构提供境内收集的个人金融信息的,应当与境外机构签订协议明确对方的职责和义务,个人金融信息出境后,境内金融机构应当建立个人金融信息出境记录并且至少保存5年,并通过现场核查等必要措施,监督境外机构有效履行保护个人金融信息安全的职责和义务,持续保障个人金融信息安全。”从上述规定可以看出,央行这个办法的初稿实质上是按照网信部门的相关要求并结合金融行业的具体实际作出的监管规定。
(二)重要数据出境问题根据2017年的《个人信息和重要数据出境安全评估办法(征求意见稿)》,《网络安全法》第37条提到的“重要数据”是指“与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南”。2019年,网信办征求意见的《数据安全管理办法》规定:“重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”然而,两个办法对重要数据并未作出明确可操作的范围界定,金融监管部门也未出台具体规范,后续需要对此加以明确。另外,2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》第9条规定,对符合一定标准的重要数据,网络运营者应报请行业主管或监管部门组织安全评估。(三)金融数据出境的评估和审批《网络安全法》第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”也就是说,个人信息和重要数据需向境外提供的,应当经过评估。金融数据也应适用这一要求。
2019年12月修订的《证券法》第177条新增规定:“国务院证券监督管理机构可以和其他国家或者地区的证券监督管理机构建立监督管理合作机制,实施跨境监督管理。境外证券监督管理机构不得在中华人民共和国境内直接进行调查取证等活动。未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。”即对数据出境,《证券法》也作出了严格规定。
2019年,国家网信办发布的《数据安全管理办法(征求意见稿)》第28条规定:“网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。向境外提供个人信息按有关规定执行。”2019年,国家网信办发布的《个人信息出境安全评估办法(征求意见稿)》第2条规定:“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。国家关于个人信息出境另有规定的,从其规定。”第3条第1款规定:“个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。”
总体而言,目前的金融数据出境监管规定和要求较为严格,但也有较多不明确之处,使得金融数据出境的实际操作面临很多问题,需要后续立法和监管规定作出更加合理的规定。例如,能否建立“白名单”制度,能否就需要评估的场景对零星数据和非个人敏感数据、非重要数据作出差异化规定等。
三
人类正从IT(Information Technology)时代走向DT(Data Technology)时代,数据将成为最有价值的资产,数据的价值在于关联,但是现实中,数据大部分是割裂和分散的,这在金融行业尤为突出。金融业数据治理过程中普遍存在“不愿、不敢、不能”共享的问题,导致海量数据散落在众多金融机构和信息系统中。之所以会如此,除了技术和标准的原因外,主要还是因为数据共享和交易的法律规范和流程不完备。
央行起草的《个人金融信息(数据)保护试行办法(初稿)》规定,“金融机构不得向与其无业务关系的第三方提供个人金融信息,不得通过向第三方提供个人金融信息非法从事个人征信业务活动,不得向非法从事个人征信业务活动的第三方提供个人金融信患。金融机构向与其存在业务关系的第三方提供个人金融信息的,应当事先明确告知信息主体第三方的姓名或者名称,第三方收集、处理、使用个人金融信息的特定的用途,范围和可能产生的后果等,并取得信息主体的明示同意”。
2019年12月27日,中国人民银行发布的《中国人民银行金融消费者权益保护实施办法(征求意见稿)》第36条对可携带权作出了前瞻性规定:“鼓励金融机构在技术可行的前提下,基于金融消费者的请求,将其金融信息转移至金融消费者指定的其他金融机构。”
2020年2月13日中国人民银行发布的《个人金融信息保护技术规范》则对金融数据共享提出了严格的操作标准,具有重要现实意义。其6.1.4.2规定了非常详尽的技术标准,并在7.1.1规定了数据共享的安全管理要求:“除法律法规与行业主管部门另有规定或开展金融业务所必需的数据共享与转让(如转接清算等)外,金融业机构原则上不应共享、转让其收集的个人金融信息,确需共享、转让的,应充分重视信息安全风险”,同时其规定了具体要求:
1.应向个人金融信息主体告知共享、转让个人金融信息的目的、数据接收方的类型,并事先征得个人金融信息主体明示同意,共享、转让经去标识化处理(不应仅使用加密技术)的个人金融信息,且确保数据接收方无法重新识别个人金融信息主体的除外。
2.应帮助个人金融信息主体了解数据接收方对个人金融信息的存储、使用等情况,包括个人金融信息主体的权利,例如访问、更正、删除、注销账户等;在法律法规规定、行业主管部门有关规定及个人金融信息主体约定的范围内,个人金融信息主体行使其个人金融信息控制权利,金融业机构应配合响应其请求。
3.C3类别信息以及C2类别信息中的用户鉴别辅助信息不应共享、转让。
4.转接清算、登记结算等情况,应依据国家有关法律法规与行业主管部门有关规定与技术标准执行。
5.当因收购、兼并、重组、破产等情况,对个人金融信息主体提供金融产品或服务的金融业机构主体变更而发生个人金融信息共享、转让时,具体要求如下:金融业机构将其提供的金融产品或服务移交至其他金融业机构的情况,应使用逐一传达(或公告)的方式通知个人金融信息主体;承接其金融产品或服务的金融业机构,应对其承接运营的金融产品或服务继续履行个人金融信息保护责任;如变更其在收购、兼并重组过程中获取的个人金融信息使用目的,应重新获得个人金融信息主体明示同意(或授权)。
(二)金融机构服务外包根据《银行业金融机构外包风险管理指引》第11条,外包是指金融机构将原本由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。服务提供商包括独立第三方,银行业金融机构母金融机构或其所属集团设立在中国境内外的子金融机构、关联金融机构或附属机构。
央行起草的《个人金融信息(数据)保护试行办法(初稿)》第21条规定,金融机构将收集的个人金融信息委托给外包服务供应商或者外部合作机构处理的,应当事先取得信息主体的明示同意,并充分审查、评估外包服务供应商或者外部合作机构保护个人金融信息安全的能力,将其作为选择委托对象的重要指标。未经充分审查、评估或者经充分审查、评估发现外包服务供应商或者外部合作机构不具有相应的个人金融信息安全保护能力的,金融机构不得将收集的个人金融信息委托给其处理。金融机构与外包服务供应商或者外部合作机构签订协议时,应当明确外包服务供应商或者外部合作机构保护个人金融信息安全的职责和义务,并采取必要措施监督外包服务供应商或者外部合作机构履行有关职责和义务。接受委托的外部服务供应商或者外部合作机构不得进行转委托。委托处理业务终止后,金融机构应当确保外包服务供应商或者外部合作机构及时销毁因委托处理业务而获得的个人金融信息。金融机构保护个人金融信息安全的职责和义务不因其与外包服务供应商成者外部合作机构合作而转移、减免。
《中国人民银行金融消费者权益保护实施办法(征求意见稿)》第35条也规定:“金融机构保护消费者金融信息安全的义务不因其与外包服务供应商合作而转移、减免。金融机构应当充分审查、评估外包服务供应商保护消费者金融信息的能力,在相关协议中明确外包服务供应商保护消费者金融信息的职责和保密义务,并采取必要措施监督外包服务供应商履行上述职责和义务。合作关系终止后,金融机构应当监督外包服务供应商及时销毁从金融机构获取的消费者金融信息。”
人民银行发布的《个人金融信息保护技术规范》在7.1.3中规定因金融产品或服务的需要,将收集的个人金融信息委托给第三方机构(包含外包服务机构与外部合作机构)处理的,具体要求如下:
1.依据6.1.4.4开展委托处理工作。要求C3以及C2类别信息中的用户鉴别辅助信息,不应委托给第三方机构进行处理。金融机构应对委托行为进行个人金融信息安全影响评估,并确保受委托者具备足够的数据安全能力,且提供了足够的安全保护措施。金融机构应对第三方机构等受委托者进行监督,方式包括但不限于:依据该规范7.2.1的要求,通过合同等方式规定受委托者的责任和义务;依据7.4.2的要求,对受委托者进行安全检查和评估。对其收集个人金融信息的行为进行审计,发现超出约定行为及时切断接入等等。
2.应对第三方机构等受委托者提出如下要求:
——应严格按照金融业机构的要求处理个人金融信息,如因特殊原因受委托者未能按照要求处理个人金融信息,应及时告知金融业机构,并配合金融业机构进行信息安全评估,并采取补救措施以保护个人金融信息的安全,必要时应终止其对个人金融信息的处理;
——未经书面授权,受委托者不应将其处理的个人金融信息再次委托给其他机构进行处理;
——应协助响应个人金融信息主体的请求;
——如受委托者在处理个人金融信息过程中无法提供足够的信息安全保护水平或发生安全事件,应及时告知金融业机构,配合进行信息安全评估与安全事件调查,并釆取补救措施以保护个人金融信息的安全,必要时应终止其对个人金融信息的处理;
——在委托关系解除时(或外包服务终止后),受委托者应按照金融业机构的要求销毁其处理的个人金融信息,并依据双方协商的期限承担后续的个人金融信息保密责任;
——应准确记录和保存委托处理个人金融信息的情况。
(三)大型互联网平台对金融机构的数据开放金融机构和外部机构的数据共享是双向的。微软、亚马逊、eBay、百度、Facebook以及腾讯、阿里等互联网企业都有庞大的数据库,有些也利用这些数据提供资产管理、电子支付以及借贷、保险等金融服务。如果这些大科技公司可以不受限制地进入金融服务领域,银行等传统金融业者将居于竞争劣势,并可能会导致金融稳定性、金融业竞争以及数据隐私面临风险,如Facebook的Libra加密货币计划便受到了全球监管机构的抨击。另外,这些大科技公司可能会因为自身原因或数据共享机制的缺乏,滥用数据支配地位进行数据垄断,限制数据对外的共享使用,形成“数据孤岛”。美国金融稳定委员会(Financial Stability Board,FSB)认为,这些大型科技公司应该与第三方的金融科技公司分享顾客数据,这样才能够促进竞争,并且确保每个市场参与者的实力能维持在一定水平。中国人民银行亦提出了在金融科技领域要持牌经营。
四
当前金融数据保护的一个突出问题是金融机构在业务开展过程中对第三方数据的合法使用问题,尤其是传统金融机构自第三方接受数据但是第三方却使用非法的数据爬虫方式。此外,在非传统金融领域,如P2P平台通过用户所谓“授权”,利用爬虫技术抓取用户在银行的大量个人信息,包括个人以往借贷还款记录,职业、婚姻状况乃至消费行为、个人行踪及地址定位等数据,即存在利用爬虫技术过度收集用户隐私信息的行为。
网络爬虫技术本身是中性的,并无与生俱来的善恶之分,它是一种按照一定规则来自动抓取互联网信息的程序。网络爬虫可以代替人们自动地在互联网中进行数据信息的采集与整理。在大数据时代,信息的采集是一项重要的工作,广泛运用于金融行业的大数据风控、消费产品的定向推荐、政府监管等,如果单纯靠人力进行信息采集,不仅低效烦琐,收集的成本也会很高。爬虫技术的合理应用大大节省了信息收集的成本,提升了信息处理的效率,总体上扮演了一种降低社会交易成本的良性技术角色。
2019年8月以来,国内一些消费金融机构依托外部机构进行大数据风控,而外部机构利用数据爬虫等违规方式获得数据的行为引起了监管部门的重视和严格查处。在“助贷”和“联合贷”业务中,金融机构的授信审查、风险控制严重依赖合作机构提供的金融数据,风控数据提供商可通过后台爬虫收集信息,将通话信息、消费数据等互联网信息整合标准化,最终形成对借款人的综合评估,供金融机构作相应的后续决策。但由于市场上金融科技公司鱼龙混杂,好多公司以“大数据”为名窃取、滥用、非法买卖或泄露客户信息。若银行等金融机构在未确认数据来源的合法性和使用范围的情形下,购买或使用非法爬取的个人金融数据,极易将合作机构的外部风险传导至银行等金融机构,带来重大的风险隐患。多家知名大数据公司相关人员被抓或被调查,魔蝎科技、新颜科技等多家现金贷相关的数据源公司被查处,涉事高管被警方控制。随后,魔蝎科技、新颜科技、天机数据、有盾科技、聚信立、白骑士等多家公司主动或被动地停止了与爬虫相关的数据业务。这一波查处行动源于银监会、互联网金融风险专项整治、P2P网贷风险专项整治工作领导小组办公室等监管机构主导的现金贷溯源性整肃,以及公安机关在全国范围开展的扫黑除恶行动,即打掉“套路贷”和暴力催收的数据源头。法律依据为《网安法》《刑法修正案(九)》等法律法规中关于禁止非法收集、使用个人信息的规定,以及上述专项整治工作领导小组办公室于2017年下发的《关于规范整顿“现金贷”业务的通知》所提出的红线要求:“不得暴力催收和不得非法侵犯公民个人信息”。部分催收公司暴力催收,出现逼迫受害人自杀等极端事件,这促使公安部门追查大数据风控公司是如何把个人隐私数据倒卖出去的。
金融机构从外部机构获得数据过程中的合规之主要问题在于,金融机构如何采取有效的方式来确保从外部机构获得的数据的合法性,尤其是涉及个人信息的有效保护。金融机构作为数据接收方需要严格审核上游数据源公司数据来源特别是爬虫产品数据来源的合法性及授权同意范围,要求其保证数据来源合法合规,通过尽职调查和合同承诺等措施控制非法获得公民个人信息的风险以及后续可能涉及的安全风险;遵循三重授权原则,如果对获得数据使用超出原有授权目的,要再次获得用户授权,真正做到通过获取外部数据实现自身数据的补强,达成数据融合的正当性。
2019年11月6日,中国互联网金融协会向其会员单位下发的《关于增强个人信息保护意识依法开展业务的通知》指出,爬虫技术成为部分自称“大数据风控”平台越界采集个人信息,实质从事个人“类征信”业务的工具。近年来,由于从事P2P网贷、互联网小贷甚至资金中介等业务的互联网金融机构无法接入央行征信等系统,为从事线上放贷,它们转而通过与第三方大数据公司合作,由后者采集个人或企业在互联网上的留痕数据信息。上述通知要求:“未经消费者授权同意,各会员机构不收集、处理、使用和对外提供消费者个人信息。各会员机构不以默认授权、概况授权、功能捆绑等误导、强迫消费者的方式收集个人信息,不与违规收集和使用个人信息的第三方开展数据合作,不滥用、非法买卖和泄露消费者个人信息。”
鉴于数据爬虫的技术中立性,确立数据爬虫的合法边界非常重要。对网络爬虫技术的规制是需要在不同的公共政策之间进行平衡的。首先,爬虫技术的应用必须建立在对个人信息的有效保护基础之上;其次,目前绝大多数的所谓个人信息区别于传统理念下强调的“个人隐私”,而隐含着巨大的商业价值,社会总体财富的增进有赖于对这些个人信息的合规使用。因此,法律规则需要在保护个体信息权利与促进技术应用和社会总体福利的公共政策目标上取得一个平衡。
2020年2月13日中国人民银行发布的《个人金融信息保护技术规范》为此在6.1.1规定金融机构不应委托或授权无金融业相关资质的机构收集C3、C2类别信息,并应确保收集信息来源的可追溯性。
五
2016年,金融稳定理事会(Financial Stability Board,FSB)第一次对金融科技作出了定义:通过技术手段推动金融创新,形成对金融市场、机构及金融服务产生重大影响的业务模式、技术应用以及流程和产品,目前已成为全球共识。金融科技是技术驱动的金融创新,旨在运用现代科技成果改造或创新金融产品、经营模式、业务流程等,推动金融发展提质增效。在金融科技所覆盖的范围与领域方面,巴塞尔银行监管委员会区分出四个核心应用领域,即存贷款与融资服务、支付与清结算服务、投资管理服务以及市场基础设施服务。2019年11月1日,在中共十九届四中全会新闻发布会上,中央财经委员会办公室副主任韩文秀在介绍坚持和完善社会主义基本经济制度的有关情况时指出:“要鼓励勤劳致富,健全劳动、资本、土地、知识、技术、管理和数据等生产要素按贡献参与分配的机制……”这是中央首次在公开场合提出数据可作为生产要素按贡献参与分配。
金融科技目前发展较为成熟的关键技术有人工智能、大数据、安全/生物识别、移动互联网/物联网、区块链、云计算等,这些技术将为金融服务行业带来实质性变化,或将全面颠覆传统金融服务的技术基础和商业流程,促使金融机构选择新的战略发展方向。其中,对于大数据领域的金融科技企业来说,其核心资产大都以数据的形式存在,主要分为企业数据和用户数据。
无论从金融科技的特点还是发展目标来看,金融数据的保护和合理使用都是基础,围绕数据的工作是在金融科技研究之外最重要的金融科技发展内容之一。金融业在转型升级、服务实体经济、服务普惠金融、防范风险过程中,如果要嵌入科技,都需要秉承科技向善的理念,因为虽然技术中立,但是科技是“双刃剑”,而在技术优势和大数据背景下,科技向善很重要的一点是对金融数据的保护尤其是对个人信息的保护。央行《金融科技(FinTech)发展规划(2019-2021年)》中专门就加大金融信息保护力度提出:“建立金融信息安全风险防控长效机制,研究制定金融信息全生命周期管理制度和标准规范,定期组织对易发生金融信息泄露的环节进行排查,保障身份、财产、账户、信用、交易等数据资产安全。加强金融信息安全防护,遵循合法、合理原则,选择符合国家及金融行业标准的安全控件、终端设备、APP等产品进行金融信息采集和处理,利用通道加密、双向认证等技术保障金融信息传输的安全性,运用加密存储、信息摘要等手段保证重要金融信息机密性与完整性,通过身份认证、日志完整性保护等措施确保金融信息使用过程有授权、有记录,防范金融信息集中泄露风险。强化金融信息保护内部控制管理,健全金融信息安全管理制度,明确相关岗位和人员的管理责任,定期开展金融信息安全内部审计与外部安全评估,防止金融信息泄露和滥用。”上海市政府于2020年1月19日发布了《加快推进上海金融科技中心建设实施方案》,提出落实金融信息安全保护制度,强化金融信息全生命周期安全防护。建立新技术金融领域应用的风险防范机制,充分评估新技术与业务融合的潜在风险。要推进跨部门数据共享,在充分保障数据安全的前提下,依法有序丰富金融科技数据资源。推动跨领域、跨行业的数据融合与协同创新,带动金融产品研发、业务管理、商业模式的变革与创新。积极审慎、稳步有序开展公共数据普惠金融应用项目试点,促进数据安全可控开放应用。
从“金融科技”的文义来看,落脚点在“科技”而非“金融”,但是从金融科技的特点来看,具有明显的金融属性,从事金融数据业务的金融科技企业也需要遵循金融监管的逻辑和规定。按照央行非正式的解读,也认为金融科技本质上并没有脱离金融业,其运用仍需遵循金融业务的内在规律和秩序、遵守现行法律和金融监管要求。这与中国在“金融科技”的概念被提出前经历了“互联网金融”阶段的发展有关,由于从事“互联网金融”业务的非金融持牌的P2P等互联网企业在过去几年出现了忽视金融本质、风险属性和必要监管约束的现象,引发了严重的金融消费者保护风险和监管套利风险,所以中国监管机构所称的“金融科技”,更多是强调科技对持牌的金融业务的辅助、支持和优化作用,技术的运用仍需遵循金融业务的内在规律、遵守现行法律和金融监管要求,所以最终的金融科技产品或服务的提供者,也聚焦在合规经营的金融机构的范围内。
2019年12月12日,在“2019中国金融科技上海高峰论坛上”,中国人民银行科技司司长李伟表示,中国特色金融科技创新监管制度要坚持三个原则:一是坚持持牌经营,只有持牌机构才能通过金融科技提供创新的金融服务产品,科技公司可以和持牌金融机构进行合作;二是坚持依法合规,金融机构必须管控好新技术创新应用带来的风险隐患,确保创新不偏离正确的方向;三是坚持权益保护,秉承以人民为中心的发展理念,建立健全与金融科技创新发展相适应的消费者权益保护机制。
目前中国金融监管部门尚未对金融科技作出正式的监管规定,意味着对持牌金融机构开展金融数据类业务是鼓励的,但是对于非持牌的开展金融数据类业务的金融科技企业之监管将成为一个问题。如果按照这个思路,将阻止大型互联网公司独立从事金融科技业务进而实质开展金融业务,同时大量的中小型金融科技企业将必须选择和持牌金融机构合作,这虽然有助于防范金融风险,但是可能会造成持牌金融机构对从事金融数据类业务的金融科技企业的控制,从而导致市场活力下降。
六
中国的个人征信市场的发展相对较晚,第一家个人征信机构——上海资信有限公司成立于1999年;中国人民银行征信中心则在2008年才挂牌。2014年以来,互联网金融(尤其是网络借贷)的快速发展过程中,风险不断暴露,中国个人征信市场建设相对滞后的问题显露无遗。中国人民银行征信中心控股的上海资信有限公司曾尝试介入互联网金融领域的个人征信数据归集工作,但限于规模和市场影响力等因素,其效果不甚明显。央行征信系统作为国家级的基础数据库覆盖的人群和企业非常有限,可提供服务的对象也仅限于持牌的金融机构。在此情况下,监管部门同意中国互联网金融协会联合8家试点市场机构共同发起成立了百行征信有限公司,以解决非传统金融机构个人征信数据的归集问题。之前这8家之外的在做个人征信业务准备的市场机构因此不再直接从事个人征信业务,原有部分征信业务剥离并入百行征信,其他业务可存续为数据服务公司。至此,中国个人征信市场第一层级的全面征信机构包括了中国人民银行征信中心和百行征信有限公司两家。其中前者主要负责银行等传统金融机构个人征信数据的归集整理,后者则负责互联网公司、部分消费金融机构、网贷机构等的个人征信数据的归集整理。百行征信的数据来源为第二层级的专业征信信息提供商,目前主要是上海资信有限公司、百行征信所属的8家市场机构股东(芝麻信用、腾讯征信、前海征信等),未来还会随着市场的发展而有所增加。
不难看出,对个人信息征信的立法不足是导致百行征信数据归集难题的一个关键原因。2013年,中国人民银行出台《征信业管理条例》,明确中国个人征信实行牌照制。2015年1月,中国人民银行下发《关于做好个人征信业务准备工作的通知》要求芝麻信用、腾讯征信等8家机构做好个人征信业务的准备工作。2018年3月,百行征信拿到央行发放的首张个人征信牌照。这些个人征信的安排变迁意图把百行征信设计为具有一定官方色彩的市场化机构,但是在法律上缺乏顶层设计和足够的支撑,对百行征信的法律地位以及和股东之间数据共享的制度安排没有明确的规定和立法层级,市场机构作为股东对此表示异议有一定合理性。所以这些机构不再强化“征信”属性,而是强调其提供的是数据服务,进而又映射出一个问题,即征信服务和数据服务的关系和差异。持牌征信服务作为金融基础设施建设,无疑需要信贷机构共享数据,以生成全面、专业的信贷报告,而市场机构通过自身商业场景和渠道所掌握的用户信息,是否可以认为不属于征信而是属于数据服务的范畴。这两类行为是否是性质不同的服务?是否能够加以区分,建立对应的完善的法律法规体系和监管架构,成为迫切需要思考解决的问题。
上海市法学会欢迎您的投稿
fxhgzh@vip.163.com
相关链接
罗培新:疫病境外输入压力日增,外国人可到中国免费医疗?国民待遇,绝不应等于“国民的”待遇
罗培新:医护人员“集体放弃”抗疫补助?法理事理情理,理理皆输
罗培新:境外输入压力剧增,赖账不付者,道义与法律双输,将开启人生的至暗时刻
【招聘】上海社会科学院期待你的加入!
吴慧琼:涉区块链纠纷解决方式的选择及应用
罗培新:《上海市优化营商环境条例》英译全文及专业术语对译表
李小武:网络平台的安全保障义务研究
吴文芳:疫情防控中欧盟个人信息保护的法律困境及其对策
叶榅平课题组:强化野生动物利用的规范化管理,严禁野生动物非法交易和食用
陈邦达:聚焦5月1日起施行的《上海市司法鉴定管理条例》
邓鑫:优化网络营商环境语境下电商平台自律管理的边界
罗培新:抢了当当网的公章,除了抢走几块木头,啥也抢不走
责任编辑:王 健 王柯心