個人金融信息保護與數據協同：金融控股公司的選擇

金融控股公司的兩難?

自國家十三五規劃綱要明確提出統籌監管金融控股公司以來，中國平安集團、中信銀行等傳統金融機構和新興的金融科技公司紛紛拓展版圖，事實上的混業經營已經出現。作為橫跨銀行、證券、保險、基金、信托、期貨、金融租賃等兩個或兩個以上金融領域的多元化公司類型，金融控股公司“存在的唯一理由，就是為了公司內部彼此間獲得協同效應，即通過奇妙的業務組合使公司的整體實力和盈利能力高于各子公司各自運行時的狀態”。“協同”是多方面和深層次的，既包括管理層面上和營銷層面上的協同，也包括業務層面、信息技術和品牌層面上的協同。由此，金融控股公司各個子公司得以相互支援、交叉服務和綜合營銷，為客戶提供一體化的金融服務，大幅降低金融機構的經營成本，最終形成金融服務的規模經濟和范圍經濟。在金融數字化轉型（digital transform）的背景下，客戶身份信息和行為數據日益成為金融控股公司的關鍵生產要素和重要資產。數據使用的非競爭性和數據共享的低成本進一步便利了數據的協同。更重要的是，在大數據時代，海量、實時、多樣的數據可以動態變化、擴展、演化，由此產生特殊的“整體涌現性”（Whole Emergent），這意味著這一旦數據聚合，就能相互作用、相互補充，激發出“1+1>2”的結構效應，提供新的洞察和預見力。正因如此，數據協同成為金融控股公司的核心功能之一。

然而，金融控股公司的數據協同不可避免地和金融消費者對個人信息的權利產生沖突。該權利可追溯至英國在1927年“圖爾尼案”（Tournier）所開創的“金融隱私權”（Finical Privacy），即客戶對其信用或交易相關的信息，如財產狀況及其財務流向信息的控制權。伴隨著計算機技術的快速發展，英美法系中“隱私”的范圍和內容不斷拓展，美國《1984年有線通信政策法案》中提出“可識別的個人信息”（Personally Identifiable Information，PII）這一概念，從而將隱私錨定在個人信息之上。在大陸法系，不論是德國《個人資料保護法》還是歐盟1995年《數據保護指令》，抑或2018年生效的《一般數據保護條例》，均將個人信息（數據）作為保護對象。在此背景下，我國《中華人民共和國消費者權益保護法（2013年修正）》第29條明確了消費者個人信息保護的基本框架。《征信業管理條例》以及《人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》（銀發〔2011〕17號）進一步明確了金融機構對于個人信息收集、保存、使用、對外提供的法定義務。在法律上，數據協同屬于“數據對外提供”的一種形式——“數據共享”，從而受制于金融消費者對個人信息的權利。基于此，如何在發揮金融控股公司價值和保護個人信息之間實現平衡，成為金融控股公司制度設計的難題。他山之石，可以攻玉。為此，我們不妨先做一番比較法的觀察。

金融信息保護的全球視野?

盡管強化對個人信息的保護已經全球共識，但由于金融信息天生所具有的公共性，即其不但關系到數據主體人格，更關系到社會對該主體的經濟評價，世界各國對于金融數據多不強調“個人控制”的理念，轉而采取鼓勵數據共享的立法立場，以避免個人過分美化自身信用、結果損及他人的“道德風險”。其中，尤以美國《金融服務現代化法》（Financial Services Modernization Act of 1999）為典型。

作為美國經濟大蕭條時期以來對金融服務業法律體系的最大修正，1999年的《金融服務現代化法》徹底改變了《格拉斯—斯蒂格爾法》，允許一個金融控股公司可以擁有商業銀行、投資銀行、保險公司以及其他各類公司。事有湊巧，在國會對該法進行討論之時，恰逢美國銀行盜賣客戶資料案的審理。盡管這一案件以和解結案，卻促使聯邦眾議員采取立法行動，將個人信息保障加入其中。與此同時，人們同樣意識到數據流通與共享對于金融業務重組是必不可少的，正如美國財政部貨幣監理署官員霍克（John Hawke）在國會聽證會時所言：“整個金融服務業領域，就是一個信息導向的企業，以信息交換方式提供有利于消費者和金融機構是重要的市場功能，可以促進信用卡、投資、保險或其它的金融交易。”故此，《金融服務現代化法》第五章力圖平衡不同的訴求，尋找個人信息保護的最佳路徑。

利益平衡的結果就是采取金融控股公司關聯方和非關聯方二元分置的規則設計。這里的“非關聯方”是指與金融控股公司不具有下述關系的實體：第一，金融機構的關系企業（affiliate）;第二，與金融控股公司具有共同所有（common ownership）關系;第三，屬于金融控股公司依事實上的公司控制（corporate control）而形成的關系企業。針對“關聯方”，金融控股公司可以自由地向其傳輸個人信息，可在此情形下，金融機構應在合同關系成立以及每年度以“通知書”（notice）的形式明確向用戶披露共享信息類別。針對“非關聯方”，個人信息的共享則應受到“公平信息實踐”（fair information practice）的限制，即應遵循“通知/注意”“選擇/同意”“接近/參與”“完整/安全”“執行/補償”的具體規則。詳言之，在向非關聯方共享數據之前，金融機構應以書面、電子或其他形式，將數據共享的類型、非關聯方的類型、數據使用的目的、用戶拒絕共享（opt out）的權利等事項告知用戶;用戶應得到如何行使拒絕共享的說明，并有權隨時退出。只有在滿足上述要求后，個人信息方可用于為用戶提供必需的服務，或金融機構自身經營，包括推銷自身產品或聯合推銷。但不論如何，金融機構不得將賬號、信用卡賬號、賬戶交給非關聯方，用于其直接營銷（電話營銷、電子郵件或其他營銷）。

《金融服務現代化法》對他國的立法產生了深刻影響。2009年，韓國以該法為基礎，修改《金融控股公司法》。其48條之二一改之前對金融數據共享的限制，規定：“金融控股公司等仍可以營業為目的，向其所屬的金融控股公司等提供《關于金融實名交易及保障秘密的法律》第四條之有關金融交易內容的信息或者資料以及《關于信用信息的利用及保護的法律》第三十二條第一款之總統令規定的個人信用信息”。然而，天有不測風云。在2014年韓國史上最大規模的信用卡信息泄露案后，該條款因輿論壓力不得不有所改變。2014年11月，它修改為：除非獲得用戶同意，金融控股公司只有處于管理目的，才能共享用戶信息。可人們很快發現，該規定對數據共享的目的、范圍和期限的限制過于嚴苛，大大阻礙了金融控股公司的發展。為此，2018年5月，韓國金融服務委員會表示，為滿足物聯網和大數據分析等新技術的需求，將考慮逐步采用美式數據共享監管模式，允許企業在未獲得用戶初始同意的情況下收集和使用一些“非必要”的個人信息。總之，韓國的金融控股公司立法呈現出從嚴格到寬松再到嚴格，現在又趨向寬松的監管態勢，充分說明了金融數據流通與共享需求的“剛性”。

我國金融控股公司數據協同和個人信息保護的制度設計?

正如歐盟《一般數據保護條例》（GDPR）的序言所強調的：個人信息保護并非絕對權利，必須根據比例原則考慮其在社會中的作用，并與個人和家庭生活、通訊自由、思想、意識和宗教自由、言論和信息自由、商業活動自由等其他權利相平衡。就金融控股公司的監管立法而言，我們要特別注意其在落實服務實體經濟、防范系統風險的同時，依然有著推動金融控股公司發展的遠大使命。我們必須在充分考量具體情勢，在不同的場景下實現因地制宜的動態平衡。為此，我們從金融控股公司數據協同的三種典型場景——“金融控股公司和集團內子公司之間的數據共享”“金融控股公司和集團外關聯公司之間的數據共享”以及“金融控股公司與非關聯公司之間的數據共享”出發，提出制度構想。

金融控股公司和集團內子公司之間的數據共享。在滿足如下條件時，金融數據可以在金融控股公司及其各子公司之間共享：第一，在首次收集個人信息時，已在網站首頁或APP顯著位置向用戶清晰、明了地告知其數據可能與金融控股公司及其子公司共享，包括共享的范圍、目的和保存期限等;第二，個人信息僅限于被用于為各方持有的“金融許可證”所載明的經營范圍之內的目的;第三，金融控股公司對各子公司的個人信息侵權行為承擔連帶責任。

上述建議基于以下的理由：其一，從風險衡量的角度觀察，金融控股公司及其各子公司之間自由共享并沒有給數據主體帶來額外的風險。首先，數據自由共享并未違反用戶對個人信息保護的合理期待。在主觀上，金融控股公司及其子公司的股權關系復雜，公眾多通過金融控股集團名義獲得認知，一般并不區分其授權的對象是子母公司抑或是兄弟公司。在客觀上，金融控股公司及其子公司對數據的使用仍然落在法律明確限定的金融活動之內，而不能用于金融以外的其他目的。其次，數據自由共享并未實質削弱用戶對個人信息的知情權和選擇權控制權。一方面，金融控股公司應當根據公開、透明原則，履行數據共享的告知、說明和披露義務;另一方面，用戶仍有權依照《消費者權益保護法》《網絡安全法》等法律法規的規定行使對個人信息的刪除權。最后，數據共享并未降低對用戶的救濟水平。鑒于金融控股公司與其子公司在共同行銷、數據流用或營業設備或營業場所共同等行為上視為一體，在財務方面亦為一體。正因如此，許多國家或地區紛紛引入“金融控股公司加重責任制度”，要求金融控股公司保證其所管理的子公司清償能力。此外，美國《1989年金融機構改革、復興與整頓法》（Financial Institutions Reform， Recovery and Enforcement Act of 1989）明確了金融控股公司內承保存款保險機構間的相互保證。所謂“相互保證”是指與IDI存款保險機構間責任相關的，由金融控股公司控制的承保存款保險機構應當在控股公司內其他承保存款保險機構的破產與因FDIC支援而發生的損失承擔責任。據此，不論金融控股公司還是其子公司中任何一家引致個人信息侵權，各方均承擔連帶責任，最大程度地保障用戶權益。

其二，金融數據共享具有公共性，數據自由共享構成了金融控股公司的正當利益。首先，數據自由共享是金融控股公司風險管理、內部公司、用戶分析、服務改進等一體化管理的客觀需要。其次，數據自由共享是金融控股公司及其子公司為用戶提供服務的需要。例如，證券公司需要根據用戶的銀行資產信息作出更準確的投資者風險承受能力評估，進而判斷投資者的適當性。最后，數據自由共享是防范金融風險，履行金融機構反欺詐、反洗錢等法定職能的需要。

金融控股公司與集團外關聯公司之間的數據共享。在滿足如下條件時，金融數據可以在金融控股公司與集團外關聯公司（科技公司）之間共享：第一，已經向用戶清晰、明了地告知其數據可能與關聯公司（科技公司）共享，同時告知共享的目的、范圍、保存期限;第二，用戶已經通過明示同意或默示同意的方式進行了授權;第三，金融控股公司與關聯公司應當遵循個人信息保護的同一標準和行為準則;第四，金融控股公司應當對其關聯公司的侵權行為承擔補充責任。

上述建議的理由如下：其一，從風險衡量的角度觀察，金融控股公司與集團外關聯公司（科技公司）的共享有可能給用戶帶來額外風險，但該風險仍屬可控。首先，數據共享并未實質削弱用戶對個人信息的知情權和選擇權。一是金融控股公司應當根據公開、透明原則，履行數據共享的告知、說明和披露義務;二是用戶主動或默示的同意是共享的前提;三是用戶仍有權依照《網絡安全法》《個人信息安全規范》等法律法規的規定行使對個人信息的刪除權。最后，數據共享并未降低用戶個人信息的保護水平。一方面，金融控股公司及其關聯公司（科技公司）就個人信息保護遵循同一套“有約束力的公司準則”，保證了用戶在不同企業享有同等保護。另一方面，金融控股公司作為其關聯公司（科技公司）侵權風險的開啟者和集團的管理者，應當承擔一定的“安全保障義務”，這意味著，在關聯公司（科技公司）無法足額賠償用戶損失時，金融控股公司應承擔補充責任，從而保障用戶免收損失。其二，數據共享符合金融控股公司的正當利益。金融的數據化轉型使得科技公司日益成為金融機構發展的重要驅動力，通過開放技術平臺，作為關聯企業的科技公司為金融控股公司升級迭代積極賦能。但是，受制于金融控股公司下述科技公司非集團業務的營收占比不大于49%的限制，開放性的大型科技公司難以納入金控集團之內。為此，消除數據共享的障礙對于金融控股公司以及數字金融的發展與創新意義重大。

金融控股公司與非關聯方的數據共享。金融控股公司與非關聯公司共享金融數據應當受到嚴格限制，建議采取與一般數據共享的一般規則加以處理。這是因為，從風險衡量的角度，該等共享可能帶來一系列風險：第一，監管規避風險：數據從高度監管、高度保護的金融控股公司流向保護力度不足的第三方;第二，不當使用風險：違反了目的限定原則，破壞了用戶對于個人信息使用的期待;第三，數據安全風險：金融控股公司管控數據供應鏈和數據生態安全風險的能力因第三方的存在而削弱;第四，責任認定風險：在數據泄露或濫用的情形下，由誰以及如何對用戶承擔賠償責任并不明確;第五，救濟不足風險：不同企業的實際履行能力千差萬別，第三方信用的不足將導致用戶無法獲得充分救濟。

結語?

如同其他金融機構一樣，一個高效且管理良好的金融控股公司理應為金融消費者提供充分的透明度、選擇權、救濟、信任和個人信息保護。但就像2012年界銀行《金融消費者保護良好做法》所揭示的，“共享客戶信息”是和“客戶信息的安全性和保密性”同等重要的制度設計，我國在制定金融控股公司監管的法律法規時，應審慎進行利益平衡，使金融控股公司數據協同和個人金融信息保護相輔相成、共謀其利。

（作者單位：對外經濟貿易大學）