作者:朱芸阳 中央民族大学法学院副教授

今年9月份以来,多家大数据公司、爬虫公司、放贷平台被查,监管部门严查银行合作类业务的数据来源是否合法,各种消息满天飞,不少从业人员非常关注未来个人金融信息立法会何去何从。据悉,近期央行向部分银行下发了《个人金融信息(数据)保护试行办法》(以下简称《办法》)初稿,预计待征求意见结束后正式对外发布。有自媒体人士声称央行即将采取“一刀切”的做法,即除了依法设立的征信机构以外,未经人民银行批准,任何机构都不得采集个人金融信息。但笔者认为,我国顺应一般性立法中加强个人信息保护的从严趋势,必然会加强金融机构的个人金融信息保护义务,但这并不意味着我国金融监管机构将会采取“一刀切”的做法——这既不是我国现有的治理理念,也不会是未来个人金融数据立法的发展趋势。

一、未来个人金融信息立法会加强金融机构的个人金融信息保护义务,并强化信息主体对个人金融信息的知情权和控制权

我国虽然未有形成统一的个人金融信息保护规范,但是,我国《中国人民银行法》、《商业银行法》、《证券法》、《保险法》等法律法规中,都规定有保护个人金融信息的条款。而在中国人民银行规范性文件《关于银行业金融机构做好个人金融信息保护工作的通知》、《关于金融机构进一步做好客户个人金融信息保护工作的通知》,对个人金融信息的收集和使用、外包管理、商业银行报告义务和法律责任等方面提出了明确规定。2016年颁布的《中国人民银行金融消费者权益保护实施办法》更是专设第三章“个人金融信息保护”对个人金融信息的定义、信息收集、信息出境、金融信息安全义务等内容作出规定。

按照2018年《银行业金融机构数据治理指引》第24条的规定,银行业金融机构采集、应用数据涉及到个人信息的,除了遵循国家个人信息保护法律法规要求,还需要符合与个人信息安全相关的国家标准。这意味着《个人信息安全规范》等国家标准也会被纳入银行金融机构的合规标准体系。

未来个人金融数据立法预计将会延续现有的监管理念,对现有零散在法律、法规、规章、国家标准中的一般性规定,包括《中国人民银行金融消费者权益保护实施办法》、《网络安全法》的配套性文件《数据安全管理办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》以及国家标准《个人信息安全规范》等中的具体规则进行整合,以保护个人金融信息为主要目标,按照个人信息的全生命周期规律,对个人金融信息的收集、使用、存储、展示、对外提供、跨境流动的不同应用场景进行规定。主要会体现在两点:

第一,强化信息主体对个人金融信息的控制。按照知情同意原则,个人金融信息作为个人敏感信息,要求金融机构对个人金融信息的收集、利用的不同环节履行明确的告知义务,并获得信息主体的明示同意。

第二,强化金融机构对个人金融信息的安全保障义务。会吸纳我国关于个人信息保护的一般性规定,要求金融机构采取必要措施,防止个人金融信息被泄露或非法使用,保障个人金融信息安全,特别是在对外提供、跨境流动环节更需要保障个人金融信息的可追溯性和安全性。

二、个人金融信息立法既需要尊重加强个人信息保护的整体立法趋势,也需要充分考虑金融领域的特殊性,兼顾加强个人信息的流动共享

首先,金融机构收集和利用客户的个人金融信息、促进金融业个人信息共享流动,是金融机构固有的业务需求,也是金融行业发展的内在需求。

一方面,金融机构基于业务需求,需要收集、利用客户的个人金融信息。金融机构与客户订立金融服务合同、为客户提供金融服务,包括开立账户、转账交易、理财等等,都必须收集和使用客户的个人信息才能完成。而在特定的银行业务场景下,包括银行热线客户服务、信用催收等等,金融机构也会将客户的个人信息提供给相对应的外包服务提供商。

另一方面,从金融创新发展的大局出发,需要金融机构要把数据作为核心资产管好、用好,促进数据资产的流动和增值。我国现有的相关规范也充分体现出提倡、促进数据流动共享的治理理念。未来个人金融信息立法也必然会考虑到与其他规范性文件相协调一致的问题。

其一,2018年银保监会发布的《银行业金融机构数据治理指引》专设一章,对数据价值实现做出了规定,要求在风险管理、业务经营和内部控制中加强数据应用,实现数据驱动,提高管理精细化程度,发挥数据价值,特别是鼓励充分运用大数据技术,实现业务创新、产品创新和服务创新。

其二,今年7月,同样是由我国人民银行颁布的另一个规范性文件《金融控股公司监督管理试行办法》(征求意见稿),其中第22条允许金融控股公司与其所控股机构之间、其所控股机构之间共享客户信息。如果金融控股公司发挥协同效应,个人信息的流动共享也会成为常态。

其次,金融机构收集和利用客户的个人金融信息,不仅是为了履行合同义务,更是为了履行法定义务。

包括《个人存款账户实名制规定》、《反洗钱法》、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》、《支付机构反洗钱和反恐怖融资管理办法》、《保险机构洗钱和恐怖融资风险评估及客户分类管理指引》、《非居民金融账户涉税信息尽职调查管理办法》的相关规定,金融机构需要通过客户身份识别和客户尽职调查来履行其反洗钱、反腐败、税收等法定义务,而且身份识别不仅包括初次识别,还包括持续识别、重新识别,需要金融机构持续关注客户业务,对客户基本信息定期审核。此外,我国资管新规坚持产品和投资者的匹配原则,金融机构要履行投资者适当性管理义务,更需要充分了解客户的个人信息。

因此,个人金融信息保护固然重要,但同时也需要考虑金融机构收集、使用个人信息的法定性,即金融机构需要通过客户身份识别来履行其反洗钱、反腐败、税收等法定义务,而且,适度的信息共享、信息披露是克服金融市场信息不对称的重要手段。过于严格的金融信息保护制度,反而会加剧信息不对称,不利于金融市场的健康发展;也不利于金融机构来打击洗钱、腐败、偷漏税等违法行为。

第三,兼顾个人金融信息保护和实现信息流动共享,是国际上通行的金融监管理念。而从各国实践来看,银行与金融科技已经高度融合、相互交织,借力科技力量实现金融创新实质上已经成为不可逆转的趋势。

联合国于2015年12月通过了70/186项决议,对其准则性文件《联合国消费者保护准则》进行修订,在总则第5条中明确将“保护消费者隐私和全球信息自由流动”并列对待,作为第四项准则。即使是在被显著认为个人信息保护最为严格的欧盟,金融数据的相关立法实践中也在兼顾这两大目标。欧盟在通过《通用数据保护条例》(GDPR)对包括个人金融信息在内的个人信息提供严格保护的同时,也通过了修订后的《支付服务指令修正案指令》(PSD2,2019年9月14日生效)提出了开放银行(opening bank)的思路,增强对金融业特别是银行业数据的开放和利用,加强了零售商、金融科技公司以及银行之间的关联。银行通过开放API端口的方式,向希望聚合账户数据和发起支付服务的第三方提供信息,其中最重要的内容是,银行允许第三方支付服务提供商(TPPS)在获得客户明示同意后,可以通过API端口来访问客户的银行账户及交易数据。这为传统金融机构与金融、支付这些领域的新参与者之间加强合作和更好的操作性奠定了共同基础。

欧盟提出开放银行的思路,出台PSD2指令的目的正是为了通过鼓励银行与第三方交换确保安全的客户数据以推动创新。麦肯锡对全球100家领先银行的调查结果表明,52%的银行与金融科技公司有合作关系。因此,在数字化浪潮下,随着大量的用户和场景从线下迁移到线上,商业形和用户习惯也发生了很大的变化,金融行业要发展,必须要打破封闭的平台运营模式,向开放平台转型。利用API、SDK等技术将数据、服务等标准化、组件化后与外部合作伙伴进行信息共享,实现跨界批量获客和交叉营销,这是实现金融创新、促进金融机构业务增长的重要途径。

因此,从增强我国金融行业国际竞争力的视角出发,当各国在立法和金融实践中,都充分重视金融数据的价值、加强数据应用和流动之时,我国如果背道而驰,转而采取严格限制个人金融信息流动共享的监管立场,将不会是一种优选之策。

可以预计的是,考虑到金融领域的特殊性,未来个人金融信息的立法趋势,需要在个人金融信息保护和促进信息流动共享两者之间取得平衡。

声明:本文来自数字经济与社会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。