作者朱芸阳为中央民族大学法学院副教授,清华大学智能法治研究院兼职研究员
今年9月份以来,多家大数据公司、爬虫公司、放贷平台被查,监管部门彻查建行合作类业务的数据来源是否合法,各种消息满天飞,不少从业人员特别关注未来个人金融信息立法会何去何从。据悉,近期央行向部份建行下发了《个人金融信息(数据)保护试行办法》(以下简称《办法》)初稿,预计待征询意见结束后即将对外发布。有自媒体人士宣称央行正式采取“一刀切”的做法,即不仅依法筹建的征信机构以外,未经人民银行批准,任何机构都不得采集个人金融信息。但笔者觉得,我国迎合一般性立法中强化个人信息保护的从严趋势,必然会强化金融机构的个人金融信息保护义务,但这并不意味着我国金融监管机构将会采取“一刀切”的做法——这既不是我国现有的整治理念,也不会是未来个人金融数据立法的发展趋势。
一、未来个人金融信息立法会强化金融机构的个人金融信息保护义务,并加强信息主体对个人金融信息的知情权和控制权。
我国其实未有产生统一的个人金融信息保护规范,但是,我国《中国人民银行法》、《商业建行法》、《证券法》、《保险法》等法律法规中,都规定有保护个人金融信息的条款。而在中国人民银行规范性文件《关于银行业金融机构做好个人金融信息保护工作的通知》、《关于金融机构进一步做好顾客个人金融信息保护工作的通知》,对个人金融信息的搜集和使用、外包管理、商业银行报告义务和法律责任等方面提出了明晰规定。2016年出台的《中国人民银行金融消费者权益保护施行办法》更是专设第三章“个人金融信息保护”对个人金融信息的定义、信息搜集、信息出境、金融信息安全义务等内容做出规定。
按照2018年《银行业金融机构数据整治指引》第24条的规定,银行业金融机构采集、应用数据涉及到个人信息的,除了遵守国家个人信息保护法律法规要求,还须要符合与个人信息安全相关的国家标准。这意味着《个人信息安全规范》等国家标准也会被列入建行金融机构的合规标准体系。
未来个人金融数据立法预计将会延续现有的监管理念,对现有零散在法律、法规、规章、国家标准中的一般性规定,包括《中国人民银行金融消费者权益保护施行办法》、《网络安全法》的配套性文件《数据安全管理办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》以及国家标准《个人信息安全规范》等中的具体规则进行整合,以保护个人金融信息为主要目标,按照个人信息的全生命周期规律,对个人金融信息的搜集、使用、存储、展示、对外提供、跨境流动的不同应用场景进行规定。主要会彰显在两点:
第一,强化信息主体对个人金融信息的控制。按照知情同意原则,个人金融信息作为个人敏感信息,要求金融机构对个人金融信息的搜集、利用的不同环节履行明晰的告知义务,并获得信息主体的明示同意。
第二,强化金融机构对个人金融信息的安全保障义务。会吸纳我国关于个人信息保护的一般性规定,要求金融机构采取必要举措,防止个人金融信息被泄漏或非法使用,保障个人金融信息安全,特别是在对外提供、跨境流动环节更需要保障个人金融信息的可追溯性和安全性。
二、个人金融信息立法既须要尊重强化个人信息保护的整体立法趋势,也须要充分考虑金融领域的特殊性,兼顾强化个人信息的流动共享。
首先,金融机构搜集和借助顾客的个人金融信息、促进金融业个人信息共享流动,是金融机构固有的业务需求,也是金融行业发展的内在需求。
一方面,金融机构基于业务需求,需要搜集、利用顾客的个人金融信息。金融机构与顾客签署金融服务协议、为顾客提供金融服务,包括开立帐户、转账交易、理财等等,都必须搜集和使用顾客的个人信息能够完成。而在特定的建行业务场景下,包括工行热线顾客服务、信用催款等等,金融机构也会将顾客的个人信息提供给相对应的外包服务提供商。
另一方面,从金融创新发展的大局出发,需要金融机构要把数据作为核心资产管好、用好,促进数据资产的流动和增值。我国现有的相关规范也充分彰显出倡导、促进数据流动共享的整治理念。未来个人金融信息立法也必然会考虑到与其他规范性文件相协调一致的问题。
其一,2018年银保监会发布的《银行业金融机构数据整治指引》专设一章,对数据价值实现作出了规定,要求在风险管理、业务经营和内部控制中强化数据应用,实现数据驱动,提高管理精细化程度,发挥数据价值,特别是鼓励充分运用大数据技术,实现业务创新、产品创新和服务创新。
其二,今年7月,同样是由我国人民银行施行的另一个规范性文件《金融控股公司监督管理试行办法》(征求意见稿),其中第22条容许金融控股公司与其所控股机构之间、其所控股机构之间共享顾客信息。如果金融控股公司发挥协同效应,个人信息的流动共享也会成为常态。
其次,金融机构搜集和借助顾客的个人金融信息,不仅是为了履行协议义务,更是为了履行法定义务。
包括《个人存款账户实名制规定》、《反洗钱法》、《金融机构顾客身分辨识和顾客身分资料及交易记录保存管理办法》、《支付机构反洗钱和反恐怖融资管理办法》、《保险机构洗钱和恐怖融资风险评估及客户分类管理指引》、《非居民金融帐户涉税信息尽职调查管理办法》的相关规定,金融机构须要通过顾客身分辨识和顾客尽职调查来履行其反洗钱、反腐败、税收等法定义务,而且身分辨识除了包括初次辨识,还包括持续辨识、重新辨识,需要金融机构持续关注顾客业务,对顾客基本信息定期初审。此外,我国资管新政坚持产品和投资者的匹配原则,金融机构要履行投资者适当性管理义务,更需要充分了解顾客的个人信息。
因此,个人金融信息保护尚且重要,但同时也须要考虑金融机构搜集、使用个人信息的法定性,即金融机构须要通过顾客身分辨识来履行其反洗钱、反腐败、税收等法定义务,而且,适度的信息共享、信息披露是克服金融市场信息不对称的重要手段。过于严格的金融信息保护制度,反而会减缓信息不对称,不利于金融市场的健康发展;也不利于金融机构来严打洗钱、腐败、偷漏税等违法行为。
第三,兼顾个人金融信息保护和实现信息流动共享,是国际上通行的金融监管理念。而从各国实践来看,银行与金融科技已然高度融合、相互交织,借力科技力量实现金融创新实质上早已成为不可逆转的趋势。
联合国于2015年12月通过了70/186项决议,对其准则性文件《联合国消费者保护准则》进行修订,在总则第5条中明晰将“保护消费者隐私和全球信息自由流动”并列对待,作为第四项准则。即使是在被明显觉得个人信息保护最为严格的欧共体,金融数据的相关立法实践中也在兼具这两大目标。欧盟在通过《通用数据保护条例》(GDPR)对包括个人金融信息在内的个人信息提供严格保护的同时,也通过了修订后的《支付服务指令修正案指令》(PSD2,2019年9月14日生效)提出了开放建行(opening bank)的思路,增强对金融业非常是工行业数据的开放和借助,加强了零售商、金融科技公司以及工行之间的关联。银行通过开放API端口的方法,向希望聚合帐户数据和发起支付服务的第三方提供信息,其中最重要的内容是,银行容许第三方支付服务提供商(TPPS)在获得顾客明示同意后,可以通过API端口来访问顾客的建行帐户及交易数据。这为传统金融机构与金融、支付那些领域的新参与者之间强化合作和更好的操作性奠定了共同基础。
欧盟提出开放建行的思路,出台PSD2指令的目的正是为了通过鼓励工行与第三方交换确保安全的顾客数据以促进创新。麦肯锡对全球100家领先建行的调查结果表明,52%的工行与金融科技公司有合作关系。因此,在数字化浪潮下,随着大量的用户和场景从线下迁移到线上,商业形和用户习惯也发生了很大的变化,金融行业要发展,必须要打破封闭的平台运营模式,向开放平台变革。利用API、SDK等技术将数据、服务等标准化、组件化后与外部合作伙伴进行信息共享,实现跨界批量获客和交叉营销,这是实现金融创新、促进金融机构业务下降的重要途径。
因此,从提高我国金融行业国际竞争力的视角出发,当各国在立法和金融实践中,都充分注重金融数据的价值、加强数据应用和流动之时,我国假如背道而驰,转而采取严格限制个人金融信息流动共享的监管立场,将不会是一种优选之策。
可以预计的是,考虑到金融领域的特殊性,未来个人金融信息的立法趋势,需要在个人金融信息保护和推动信息流动共享二者之间取得平衡。