金融控股公司中個(gè)人數(shù)據(jù)共享的法律規(guī)范研究

韓一鳴

摘 要：因我國金融控股公司自身特殊的經(jīng)營模式，以及現(xiàn)行法律法規(guī)與現(xiàn)實(shí)情況不完全配合，金融控股公司中不同子公司之間進(jìn)行個(gè)人數(shù)據(jù)共享可能會(huì)侵犯金融消費(fèi)者的數(shù)據(jù)安全。本文在法律制度層面對(duì)平衡金融消費(fèi)者的個(gè)人數(shù)據(jù)安全與我國金融控股公司的良好發(fā)展這一問題提出了數(shù)據(jù)分類、完善隱私政策說明書、保障消費(fèi)者的選擇權(quán)與救濟(jì)權(quán)等建議。

關(guān)鍵詞：金融控股公司;數(shù)據(jù)共享;個(gè)人數(shù)據(jù)

緒 論

一般認(rèn)為，金融控股公司可以定義為：“在同一控制下，下屬受監(jiān)管實(shí)體大規(guī)模從事兩類或兩類以上的銀行、證券、保險(xiǎn)、基金、信托、期貨、融資租賃業(yè)務(wù)。同時(shí)對(duì)每類業(yè)務(wù)的資本要求不同的，擁有牌照、實(shí)際經(jīng)營或者實(shí)際控制該行業(yè)企業(yè)的公司”。金融消費(fèi)者的個(gè)人信息大數(shù)據(jù)化這一現(xiàn)象在金融控股公司中已然十分普遍。但是，金融消費(fèi)者和金融控股公司都應(yīng)意識(shí)到，通過金融消費(fèi)形成的個(gè)人數(shù)據(jù)受個(gè)人隱私的約束。目前，我國法律法規(guī)對(duì)金融控股公司應(yīng)當(dāng)如何保護(hù)金融消費(fèi)者的個(gè)人數(shù)據(jù)這一問題并沒有專門的規(guī)定。與之相比，在英美等國的法律實(shí)踐中，對(duì)客戶信息保密等默示義務(wù)包含于默示條款中。通過這種方式，金融消費(fèi)者的個(gè)人數(shù)據(jù)安全權(quán)在很大程度上有了良好的保障。金融控股公司在共享個(gè)人數(shù)據(jù)時(shí)，應(yīng)考慮平衡商業(yè)利益與個(gè)人金融隱私權(quán)保護(hù)，我國未來立法也應(yīng)在金融控股公司對(duì)客戶數(shù)據(jù)的共享方面做出限制規(guī)定。

一、我國金融控股公司中個(gè)人數(shù)據(jù)共享問題的成因

除金融公司特殊的經(jīng)營模式與現(xiàn)行立法不能完全配合之外，我國金融控股公司體系中現(xiàn)存的個(gè)人數(shù)據(jù)共享問題的出現(xiàn)，大致還有以下幾點(diǎn)原因：

原有金融控股公司消費(fèi)者數(shù)據(jù)保護(hù)模式存在缺陷。美國《金融服務(wù)現(xiàn)代化法》確保消費(fèi)者了解金融機(jī)構(gòu)的隱私政策，進(jìn)而由消費(fèi)者做出決定是否允許金融機(jī)構(gòu)收集自身的金融數(shù)據(jù)，并用于確定的目的，最終由消費(fèi)者來做出知情決策。這一消費(fèi)者數(shù)據(jù)保護(hù)模式本身是美國的經(jīng)典模式，但該制度并不適合中國國情，也無法適應(yīng)當(dāng)下的中國市場環(huán)境，已顯示出較大局限性。

金融控股公司超越最低需求獲取信息。在收集金融消費(fèi)者的信息時(shí)，金融控股公司會(huì)擴(kuò)大信息收集的來源和渠道，超越最低需求。此外，因業(yè)務(wù)需要，與客戶產(chǎn)生業(yè)務(wù)的銀行可以直接獲取到客戶的征信報(bào)告。但是，消費(fèi)者無從得知銀行是否會(huì)與集團(tuán)內(nèi)部其他子公司共享征信報(bào)告。我國《個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》在這一點(diǎn)上也依然存在法律保障體系不完善問題。

大數(shù)據(jù)技術(shù)廣泛應(yīng)用于金融控股公司。在大數(shù)據(jù)技術(shù)迅猛發(fā)展的時(shí)代條件下，利用云存儲(chǔ)、數(shù)據(jù)挖掘、統(tǒng)計(jì)分析等技術(shù)手段，金融控股公司對(duì)個(gè)人金融數(shù)據(jù)的掌控更加便捷、全面。然而，由于金融消費(fèi)者無從了解和控制信息的使用目的與途徑，這些數(shù)據(jù)很可能會(huì)被金融控股公司不正當(dāng)使用。

二、金融控股公司體系中個(gè)人數(shù)據(jù)共享問題的比較分析

基于數(shù)據(jù)安全考慮，我國應(yīng)借鑒歐盟《個(gè)人數(shù)據(jù)保護(hù)指令》的規(guī)定，對(duì)金融控股公司內(nèi)部共享數(shù)據(jù)的范圍作出一定限制。我國立法機(jī)關(guān)應(yīng)當(dāng)作出與我國現(xiàn)有的《網(wǎng)絡(luò)安全法》相配合的規(guī)定，若因業(yè)務(wù)需要，金融控股公司內(nèi)部將客戶數(shù)據(jù)共享至境外前，至少應(yīng)先首先獲得金融消費(fèi)者的知情與同意。

在金融控股公司共享個(gè)人數(shù)據(jù)的目的方面，我國立法機(jī)關(guān)可以借鑒我國臺(tái)灣地區(qū)的規(guī)定，在法律規(guī)定中明確限制金融控股公司采集和共享個(gè)人數(shù)據(jù)的目的和用途。根據(jù)我國臺(tái)灣地區(qū)《金融控股公司子公司間共同營銷管理辦法》第 11 條，金融控股公司子公司之間的消費(fèi)者數(shù)據(jù)共享，只能出于營銷的目的，不能為了其他用途。

針對(duì)我國金融控股公司的個(gè)人數(shù)據(jù)共享，對(duì)于非敏感性的一般數(shù)據(jù)和公開數(shù)據(jù)，應(yīng)當(dāng)可以直接共享。而對(duì)于敏感數(shù)據(jù)，則應(yīng)通過法律保障金融消費(fèi)者的知情權(quán)和選擇權(quán)來保護(hù)。歐盟與我國臺(tái)灣地區(qū)均對(duì)可處理或共享的數(shù)據(jù)種類做出了明確規(guī)定。在我國未來立法中，首先應(yīng)配合我國現(xiàn)行的法律中對(duì)數(shù)據(jù)敏感程度分類的規(guī)定，將金融消費(fèi)者的個(gè)人數(shù)據(jù)區(qū)分為敏感數(shù)據(jù)與非敏感數(shù)據(jù)。給予金融控股公司直接共享金融消費(fèi)者非敏感數(shù)據(jù)的權(quán)利，并通過強(qiáng)化金融消費(fèi)者知情權(quán)、選擇權(quán)與救濟(jì)權(quán)的方式，保護(hù)金融消費(fèi)者的敏感數(shù)據(jù)。

根據(jù)GDPR，數(shù)據(jù)控制者收集個(gè)人信息必須給予個(gè)人充分知情權(quán)。根據(jù)我國具體情況，完善金融控股公司共享個(gè)人數(shù)據(jù)的隱私政策說明書是妥善解決這一問題的有效途徑。我國立法機(jī)關(guān)應(yīng)明確要求，隱私政策說明書中要有明顯字體提醒金融消費(fèi)者注意。金融控股公司內(nèi)部的子公司接到消費(fèi)者通知后，就必須停止共享消費(fèi)者的數(shù)據(jù)，并且按照消費(fèi)者所確認(rèn)的授權(quán)使用的子公司的范圍執(zhí)行。此外，我國立法機(jī)關(guān)還可以要求我國金融控股公司將共同營銷的子公司名稱及其保密措施在公司網(wǎng)頁進(jìn)行公告，并且以書面或者電子郵件方式通知消費(fèi)者。

除消費(fèi)者的知情權(quán)外，歐盟GDPR法規(guī)還為數(shù)據(jù)主體提供了大量選擇。結(jié)合我國情況，我國立法機(jī)關(guān)應(yīng)在立法中明確賦予金融消費(fèi)者選擇權(quán)，即金融消費(fèi)者有權(quán)不允許金融控股公司共享其個(gè)人數(shù)據(jù)的權(quán)利。此外，在一定條件下，金融消費(fèi)者還應(yīng)有要求金融控股公司刪除、限制處理和反對(duì)處理個(gè)人數(shù)據(jù)的權(quán)利。

三、平衡金融控股公司體系中商業(yè)利益與個(gè)人數(shù)據(jù)保護(hù)

遵循利益平衡原則。金融控股公司與消費(fèi)者之間存在嚴(yán)重信息不對(duì)稱，消費(fèi)者只有依賴法律法規(guī)的傾斜保護(hù)，才能與占據(jù)技術(shù)和信息優(yōu)勢(shì)的金融控股公司平等交易，督促后者承擔(dān)隱私保護(hù)義務(wù)及可能產(chǎn)生的損害賠償責(zé)任。此外，平衡金融控股公司的信息共享與用戶的個(gè)人隱私保護(hù)時(shí)，應(yīng)在堅(jiān)持保護(hù)個(gè)人隱私基本權(quán)利的前提下，避免隱私保護(hù)的泛化。

進(jìn)行數(shù)據(jù)分類 完善隱私政策說明書。如前文所述，對(duì)于不敏感的一般數(shù)據(jù)和公開數(shù)據(jù)，金融控股公司可直接進(jìn)行共享。而對(duì)于敏感數(shù)據(jù)，則必須在獲得金融消費(fèi)者知情和同意的條件下才可以進(jìn)行共享。完善隱私政策說明書是保障消費(fèi)者知情權(quán)的有效方法。在內(nèi)容規(guī)定方面，我國立法機(jī)關(guān)還可以參考美國對(duì)隱私政策說明書的具體規(guī)范。

保障消費(fèi)者的選擇權(quán)與救濟(jì)權(quán)。如前文所述，我國立法機(jī)關(guān)可以借鑒歐盟GDPR金融消費(fèi)者有權(quán)不允許金融控股公司共享其個(gè)人數(shù)據(jù)的規(guī)定。我國立法機(jī)關(guān)還應(yīng)考慮加入保障金融消費(fèi)者可以要求金融控股公司刪除個(gè)人數(shù)據(jù)、限制處理個(gè)人數(shù)據(jù)和反對(duì)處理個(gè)人數(shù)據(jù)的權(quán)利條款。此外，消費(fèi)者救濟(jì)權(quán)利不僅要能夠?qū)崿F(xiàn)快捷、低成本，救濟(jì)途徑還要能與立法相配合。

結(jié) 語

金融控股公司特殊的經(jīng)營模式?jīng)Q定了集團(tuán)內(nèi)部的很多子公司可以從事不同行業(yè)，因此可以獲得不同來源的客戶數(shù)據(jù)。個(gè)人數(shù)據(jù)共享是金融控股公司相較于其他普通金融機(jī)構(gòu)的重要優(yōu)勢(shì)，出于對(duì)商業(yè)利益的追求和自身發(fā)展的需要，輔以大數(shù)據(jù)技術(shù)的廣泛應(yīng)用，不同來源的個(gè)人數(shù)據(jù)很可能會(huì)被金融控股公司在全集團(tuán)內(nèi)部共享。但是，這無疑會(huì)侵害到消費(fèi)者個(gè)人的數(shù)據(jù)安全。為了在法律制度層面解決該問題，我國立法機(jī)關(guān)可以借鑒其他國家及地區(qū)的規(guī)定，在立法中完善個(gè)人數(shù)據(jù)分類、消費(fèi)者選擇權(quán)和知情權(quán)保障、消費(fèi)者權(quán)利救濟(jì)等規(guī)定，平衡金融控股公司的信息共享需求與金融消費(fèi)者的個(gè)人數(shù)據(jù)隱私權(quán)益。

參考文獻(xiàn)

[1] 張民安.信息性隱私權(quán)研究——信息性隱私權(quán)的產(chǎn)生、發(fā)展、適用范圍和爭議[M].中山大學(xué)出版社，2014.

[2] 黎金榮.中美金融消費(fèi)者保護(hù)制度比較[J].湛江師范學(xué)院學(xué)報(bào)，2012（2）.

[3] 何穎.論金融消費(fèi)者保護(hù)的立法原則[J].法學(xué)，2010，（2）.

[4] 王仲會(huì).金融控股公司研究[J].東北財(cái)經(jīng)大學(xué)學(xué)報(bào)，2005（3）.