原创 江翔宇 上海市法学会
一、金融数据的概念和范围
关于数据和信息,学界和实务界在概念使用上有不同的认识。在国内外大多数研究者的论述中,“数据”更多强调的是可以被机器设备自动化处理的特点,而“信息”更多强调的是内容的传递。虽然在语义上这两个词语有所区别,各国在立法中表达相关含义时的措辞也各有不同的选择,但由于数据保护与电脑、网络等信息技术的使用密不可分,因此,“数据”与“信息”两个概念经常通用。有时区分数据与信息是很困难的。信息总是依赖于数据存储和传输,特别是在数字环境下,信息被转化为毫无意义的数据“0”和“1”,它们都只能通过特定的系统读取和理解,在这种情况下,数据与信息是等同的。这里统一使用“数据”的概念。
而对于何谓金融机构,一直有争议,从数据控制者的角度看,除了包括传统持牌金融机构外,金融机构还应当包括互联网相关的新型持牌金融机构以及地方金融组织(机构)等,《个人金融信息保护技术规范》为此规定:“金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构”。
按照数据监管的关注点,金融数据可以分为个人金融数据、金融重要数据与其他金融数据三个部分,其中个人金融数据和重要金融数据受特别立法规制,适用特别的监管要求,其他金融数据则主要适用一般性的数据监管法律规定。个人金融数据是个人数据的一部分,是金融数据中最为敏感的部分,因为其涉及各种个人敏感信息。个人金融数据来源于证券、银行、保险、宏观经济监管等诸多金融活动,包括金融机构对其在交易过程中获得的静态的客户个人基本信息和动态的交易数据。对于金融数据中的重要数据,因为其对国家金融安全和风险防范具有重要意义,亦需要给予高度关注和重视,尽快明确其范围和保护方式。
《个人金融信息保护技术规范》根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为了C3、C2、C1三类。C3类别信息主要为用户鉴别信息,该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害;C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息;C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。“金融业机构”应首先识别日常经营过程中涉及的个人金融信息,按照《规范》中“C3、C2、C1”的敏感度进行分类,并尽可能使之与内部既存的数据资产分级得以衔接和协调。除参照《规范》对以上敏感程度的个人金融信息进行分类时,尤须注意低敏感度信息经关联、组合或分析后可能产生的高敏感度信息。
二、金融数据保护的背景和特点
(一)金融数据保护与金融机构客户保密义务
金融行业对于数据保护有天然的重视,与其他领域相比,金融行业对数据的保护无论是理念还是措施可以说都早于并强于其他领域。因为涉及个人的资产安全,金融行业形成之初就对金融机构的保密义务提出了较高要求(金融数据基本上都可以纳入“敏感信息”范围),金融监管部门亦一直将保密义务作为金融监管的重点。这一点在大数据时代之前就已经形成,例如,金融机构被要求对客户的身份资料、账户信息、交易信息等予以保密,除法规另有规定外,不得对外提供或允许查询。中国人民银行也从金融消费者权益保护的角度强调个人信息/数据保护。
但是这些对金融机构客户资料的保密传统以及金融消费者的权益保护安排,与大数据时代对客户信息和数据的保护处于不同的维度。进入大数据时代以后,客户资料普遍实现了信息化和数字化,对客户资料的保密传统和对金融消费者的保护也必然延伸到对客户金融信息和数据的保护层面。人民银行《个人金融信息(数据)保护试行办法(初稿)》第23条规定“金融机构应当根据个人信息保护,数据安全和网络安全方面的法律、法规、规章和有关主管部门的规定,建立健全收集、处理、使用、对外提供、展示、保存、销毁等全生命周期的个人金融信息保护制度。”
传统金融业客户资料保密要求和数据时代数据保护要求存在竞合,但传统金融服务下金融机构的安全保障义务主要集中在保护客户在金融机构营业场所的人身和财产安全、防止客户资金丢失或被盗以及保护客户的金融信息等,而在大数据和人工智能时代,客户的信息安全(数据安全)和资金安全渐成重点,信息安全(数据安全)则成为金融机构安全保障义务的核心内容,金融数据的传统保护理念已经不能顺应时势的发展。在进行数据安全保障的同时,金融数据的共享和使用对于金融业的业务开展、风险控制等具有越来越大的意义,即数据驱动的人工智能将发挥越来越大的商业价值,而在数据共享和合理使用的大数据时代,数据驱动亦面临着对个人信息保护的难题,金融领域迫切需要融入大数据和人工智能时代下的数据保护理念。
同时,鉴于金融数据保护通常涉及个人的敏感信息,并且具有高度精准识别性,特别是账户数据、交易数据、信用数据等信息可能被交易对手或外界所利用,从而对客户造成可能的经济损失,同时由于金融行业数据的量级和复杂性,因此金融数据泄露的实际风险较大,对金融数据的风险控制、信息安全和数据防护能力以及技术处理手段都提出了更高的要求。
随着数字经济的到来,排除金融监管部门,金融数据的控制者并不限于传统持牌金融机构,如银行、证券公司、保险公司,大型科技公司和互联网企业已经进入金融领域,例如,阿里巴巴集团和腾讯公司均已获得众多金融牌照,蚂蚁金服已被纳入国家的金融控股公司试点范围,可以开展金融和互联网相结合的新型金融业务,如支付业务、网络银行、网络保险等。这些公司的用户数以亿计,收集的个人金融数据和重要数据数量庞大,其所控制的海量数据的合理共享和使用可以为社会带来巨大的正面效益,但是从另外的角度看,互联网企业进入金融领域也面临风险偏好和风险文化需要时间来积淀的问题。互联网和金融结合实质上还是金融业务,需要接受严格的金融监管,而这种理念需要时间被互联网企业所真正认可。因此,这些大型互联网平台企业如果不受到必要的金融监管或者为了自身领域进行数据垄断形成“数据孤岛”,将对公共利益和个人隐私带来巨大潜在风险。
必须看到,金融数据控制者已经从通常认为的传统金融持牌机构演变为也包括脱胎于互联网企业的新型持牌金融机构,甚至包括非金融机构等。具体来说,金融数据控制者主要包括三类主体:一是传统金融机构,包括银行、证券公司、保险公司等,涉及用户金融资产、负债、交易信息;二是第三方机构,包括支付平台、电子商务平台、物流渠道等以及彼此结合体,涉及用户非金融交易信息(如购物、销售、物流等,有助于用户行为模式分析)和部分金融交易信息;三是涉及跨机构、跨平台全量交易数据的平台(如银联、网联等)和征信数据的平台(如人行征信、百行征信等)。
三、金融数据的立法和监管概况
(一)境外金融数据立法
1.立法模式
随着数字经济时代的到来,制定数据保护的法律法规成为世界各国的重要立法任务。欧盟和美国是数据立法的两个主要代表,采取了不同的立法模式。欧盟采取了综合性个人信息保护立法模式,以《通用数据保护条例》(GDPR)为核心立法,该条例非常严格,将数据视为信息主体的基本权利,建立了以被遗忘权为特色的最高保护标准。美国则采取了分领域立法,在联邦层面并无一部类似GDPR的综合性个人信息保护法案,而是在隐私法、个人信息保护的一般性法律外,针对金融领域的个人信息保护进行专门性规定,并辅之以严格的违法处罚。如果说欧盟是以“数据基本权利”为基础的模式,那么美国就是以“自由式市场+强监管”为基础的模式。
2.欧盟和美国的立法概况
欧盟的主要金融数据相关立法包括GDPR和《欧盟支付服务修订法案第二版》(Payment Service Directive 2,PSD2)。欧盟的立法没有对金融数据作出专门定义,也未认可金融数据作为特殊类型的个人数据。
美国主要的金融数据相关立法包括《金融服务现代化法案》(Gramm-Leach-Bliley Act, GLBA)和《消费者金融信息隐私P条例》( Regulation P: Privacy of Consumer Financial Information,以下简称《P条例》)。GLBA标示着美国国会开始重视互联网背景下用户金融信息的隐私保护问题,该法案第五章专设金融机构之隐私保护政策,适用于所有金融机构,同时该法案还进一步要求金融机构对其如何收集、分享、保护金融消费者个人信息进行详细的解释。为了实施该法案,美国各大金融监管机构纷纷出台系列行业细则和补充性细则,以明确信息流转限制、自愿退出机制以及对消费者通知清晰度的具体要求。《P条例》规定:(1)金融机构必须以明确、清楚且显著的方式告知消费者在何种情况下,金融机构会对关联企业或非关联第三方披露消费者非公开信息;(2)金融机构必须定期以明确、清楚且显著的方式告知客户其隐私政策;(3)金融机构必须向消费者提供选出机制,避免个人信息被非法披露给其他第三方。所有受联邦储备理事会、货币监理署、储贷监理署(OTS)、存款保险公司、证券交易维护员会、全国信用合作社管理局、联邦贸易委员会以及商品期货贸易委员会等八家联邦监管机构监管的金融机构都应遵守《P条例》。同时,上述监管机构还专门出台了“客户信息安全与机密保护标准”,在管理、技术及检查程序等方面制定消费者个人信息及交易记录的安全标准,以具体实施GLBA的信息安全要求。
(二)中国金融数据保护立法概述
目前中国在法律层面尚未就个人信息保护和数据保护进行单独立法,《网络安全法》和金融行业领域的相关法律只是作了一些总体性和原则性规定。金融数据保护的具体立法主要体现在部门规章和国家标准层面,如2016年12月出台了《中国人民银行金融消费者权益保护实施办法》,明确要求金融机构应当建立健全金融消费者权益保护的各项内控制度,该办法第三章就以专章形式规定了个人金融信息保护制度框架。虽然中国立法对个人金融信息保护有了初步规范,但基于大数据时代所引发的新问题、新风险,立法步伐相比时代发展略显滞后,大数据时代金融信息具有更加动态化和宽泛化趋势,除了一般金融信息外还包括非内容性的元数据,而传统的信息保护立法并未涉及。具体来说,中国金融数据立法的现状主要有以下几个特点:
(1)对金融数据的法律规定主要体现在金融监管部门的政策性文件和部门规章层面,已经形成了初步的规范体系,但是层级不高并分布于各部门法中,较为分散。
(2)立法理念上主要是从金融业务传统的客户信息保密角度和理念来立法,而不是基于个人信息保护的角度从信息的收集、控制、处理、共享等方面进行规定,对数字金融的立法供给不足。
(3)关于金融数据保护的权利义务方面的规定总体比较原则,同时在立法实施的约束性和法律后果方面比较粗放,实际执行和监管乏力。
值得关注的是,专门性立法《个人信息保护法》和《数据安全法》已被列入了十三届全国人大常委会立法规划,预计很快就会出台,中国人民银行亦已将《个人金融信息(数据)保护试行办法(初稿)》下发征求意见。以上存在的问题有待于在《个人信息保护法》和《数据安全法》的顶层设计完成后加以解决。
1.法律层面
在法律层面,对金融数据保护作出规定的有:《民法典》(征求意见稿)、《民法总则》《网络安全法》《消费者权益保护法》《电子商务法》《刑法》。其中,《网络安全法》是在《个人信息保护法》和《数据安全法》两部法律问世之前,对数据安全和个人信息保护提供了最为全面的法律规定。《网络安全法》与现行国际规则及欧美个人信息保护方面的立法实现了理念上的接轨,将个人信息保护的主要原则纳入其中,包括目的明确原则、同意和选择原则、最少够用原则、开放透明原则、质量保证原则、确保安全原则、主体参与原则、责任明确原则、披露限制原则等。
此外,法律层面的立法文件还有:2012年通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》、2009年通过的《刑法修正案(七)》、2015年通过的《刑法修正案(九)》。与此同时,国家立法机关在证券、银行、基金、保险等行业的单行金融法律中对金融数据保护有分散的部门法规定,主要是从客户保密的角度进行规范。例如,《商业银行法》第6条规定:“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。”第29条规定:“商业银行办理个人储蓄存款业务,应当遵循……为存款人保密的原则。对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。”《反洗钱法》第5条第1款规定:“对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息,应当予以保密;非依法律规定,不得向任何单位和个人提供。”2019年修订后的《证券法》第41条规定:“证券交易场所、证券公司、证券登记结算机构、证券服务机构及其工作人员应当依法为投资者的信息保密,不得非法买卖、提供或者公开投资者的信息。证券交易场所、证券公司、证券登记结算机构、证券服务机构及其工作人员不得泄露所知悉的商业秘密。
2.行政法规、部门规章层面
对金融数据保护作出规定的行政法规、部门规章主要包括:《个人存款账户实名制规定》(国务院令第285号)、《人民币银行结算账户管理办法》(中国人民银行令〔2003〕第5号)、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》(中国人民银行令〔2007〕第2号)、《个人信用信息基础数据库管理暂行办法》(中国人民银行令〔2005〕第3号)、《征信业管理条例》(国务院令第631号)、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)、《个人信息和重要数据出境安全评估办法(征求意见稿)》(2017年4月)、《网络借贷信息中介机构业务活动信息披露指引》(银监办发〔2017〕113号)、《银行业金融机构数据治理指引》(银保监发〔2018〕22号)、《商业银行理财业务监督管理办法》(银保监会2018年6号令)、《金融信息服务管理规定》(2018年12月网信办发布)。
2019年5月,网信办先后颁布了多部规章的征求意见稿,均涉及金融数据保护问题,包括:《网络安全审查办法》(征求意见稿)、《数据安全管理办法》(征求意见稿)、《个人信息出境管理办法》(征求意见稿)。另外,中国人民银行也于2019年先后发布《个人金融信息(数据)保护试行办法(初稿)》(征求意见稿)、《金融消费者权益保护实施办法(征求意见稿)》。
3.政策性文件层面
涉及金融数据保护的政策性文件主要包括:《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)、《中国人民银行上海分行关于银行业金融机构做好个人金融信息保护工作有关问题的通知》(银发〔2011〕17号)、《中国人民银行关于银行业金融机构进一步做好客户个人金融信息保护工作的通知》(银发〔2012〕80号)、《中国人民银行关于进一步加强征信信息安全管理的通知》(银发〔2018〕102号)、《中国银监会关于加强电子银行客户信息管理工作的通知》(银监发〔2011〕86号)、《中国人民银行办公厅关于2013年个人金融信息保护专项检查情况的通报》(银办发〔2014〕131号)、《中国人民银行关于印发〈中国人民银行金融消费者权益保护实施办法〉的通知》(银发〔2016〕314号)。
4.国家标准与行业标准层面
涉及金融数据保护的国家标准与行业标准主要包括:《信息安全技术个人信息安全规范》(GB/T 35273—2020,国家市场监督管理总局、国家标准化管理委员会于2020年3月6日发布)、《个人金融信息保护技术规范》(中国人民银行、全国金融标准化委员会于2020年2月13日发布)、《支付信息保护技术规范(送审稿)》(金标委2018年8月7日发布)。
四、中国金融数据保护监管概述
中国长期实行金融领域的严监管和强监管,对金融业的持牌经营要求一直强于其他领域的行业监管,并秉承分业经营的监管思路。银行、证券、保险等金融领域分别建立了以中国人民银行为中央银行之下的正部级金融监管部门,如银保监会和证监会。
对金融数据监管,整个网络安全立法和个人信息保护和数据安全立法大多突出了网信部门的作用。《网络安全法》第8条规定:“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。”因此,中国对于金融数据的监管思路是强调网信、公安、工信等部门的统一监管,也重视发挥行业主管或监管部门分行业监管的优势。由于金融数据和金融业务的开展紧密相关,金融数据的保护可以被现有的金融业务监管所包含,也就是纳入现有金融监管部门监管的范围,因此未来很可能形成金融监管领域的数据保护监管竞合问题(在其他领域亦有可能产生数据监管竞合问题)。
(一)数据安全和保护的功能监管
从立法上看,网信部门负责对个人信息安全的监管,工信部、公安部、国家安全部、国家保密局等均有权根据相关立法在其职责范围内对涉及个人信息安全的问题进行处罚。
(二)金融业务的部门监管
1.从金融行业监管角度看,证券、银行、保险等传统金融机构的金融监管部门处于有利地位,可以对金融机构的金融数据保护情况进行日常监管和处罚。
2.对互联网企业和科技企业的金融监管。实践中,大量的金融数据控制者并非金融机构,而是大型科技公司和互联网企业,此类企业如果从事支付、信贷、保险等金融持牌业务,将会控制和处理金融数据,对其的监管应当根据其从事的金融业务类型适用部门监管。
(三)涉及数据竞争的竞争秩序监管
金融数据的共享和使用过程中容易产生“数据孤岛”、不正当竞争行为,对此国家和地方市场监管部门包括反垄断部门有权进行调查和处罚。
因此,正在制定中的《个人信息保护法》和《数据安全法》中首先需要解决的是目前个人数据保护分散立法导致的法律体系混乱问题,对个人数据保护的一般性问题加以明确规定,增强法律适用稳定性和法律结果可预见性。同时,也应当对金融数据监管的协调问题作出规定,建立面向数字经济未来的分工协作且行之有效的金融数据监管机制已经势在必行。
《数据安全管理办法》(征求意见稿)第5条规定,在中央网络安全和信息化委员会的领导下,由国家网信部门统筹协调、指导监督个人信息和重要数据的安全保护工作,这个思路比较符合实际。对于金融数据监管,可由国家网信部门统筹协调、指导监督,金融行业主管监管部门进行日常监管。
此外,金融数据的监管落地应当发挥行业协会的作用,行业协会可以通过促进核心企业缔结金融隐私保护自律公约等方式,鼓励金融机构提供高于法律标准的金融隐私保护。为了避免自律公约流于形式,行业协会可以在自律公约中加入相关企业自愿接受协会监督检查,考核各金融机构隐私政策的落实情况,并向社会公布检查结果的条款,提高自律公约和隐私政策落实情况的透明度,从而对金融机构提升隐私保护水平形成舆论压力。
上海市法学会欢迎您的投稿
fxhgzh@vip.163.com
相关链接
原标题:《江翔宇:中国金融数据保护的立法与监管研究》