贵州新闻

[原件]许可证:金融控股公司个人金融信息保护与数据合作|银行法研究专栏第15期(3)

许可:国际工商大学数字经济与法律创新研究中心执行主任1。金融控股公司的困境自《国家十三五规划纲要》明确提出对金融控股公司进行全面监管以来,中国平安集团、中信银行、新兴金融科技公司等传统金融机构纷纷拓展业务。事实上,混合行动已经出现。

作为一种多元化的公司类型,横跨银行、证券、保险、基金、信托、期货、金融租赁等两个或多个金融领域。,金融控股公司“存在的唯一目的是实现公司内部的协同作用,即公司的整体实力和盈利能力高于每个子公司,当它们通过一个极好的业务组合经营时”。

“协同效应”是多方面和深层次的,包括管理层面和营销层面的协调,以及业务层面、信息技术和品牌层面的协调。

因此,金融控股公司的每个子公司可以相互支持,提供交叉服务和全面营销,为客户提供综合金融服务,大大降低金融机构的运营成本,最终形成金融服务的规模经济和范围经济。

在金融数字化转型的背景下,客户身份信息和行为数据日益成为金融控股公司的关键生产要素和重要资产。

数据的非竞争性使用和数据共享的低成本进一步促进了数据协作。

更重要的是,在大数据时代,海量、实时、多样的数据可以动态地变化、扩展和演变,从而创造出一种特殊的“整体涌现属性”(wholeEmergent properties),这意味着一旦数据被聚合,它们就可以相互作用、相互补充,触发1+1 >;2、提供新的洞察力和远见。

正因为如此,数据协作已经成为金融控股公司的核心功能之一。

然而,金融控股公司的数据合作不可避免地与金融消费者的个人信息权相冲突。

该权利可追溯至英国在1927年“图尔尼案”(Tournier)所开创的“金融隐私权”(finicalprivacy),即客户对其信用或交易相关的信息,如财产状况及其财务流向信息的控制权。这项权利可以追溯到英国在1927年发起的“图尔尼尔案”(Tournier Case)中的“有限隐私”,即客户对与其信用或交易相关的信息的控制,如财产状况和资金流动信息。

随着计算机技术的飞速发展,英美法系中“隐私”的范围和内容不断扩大。“个人可识别个人信息(PII)”的概念是在1984年美国有线通信政策法案中提出的,从而将隐私锚定在个人信息上。

在民法体系中,个人信息(数据)是德国《个人数据保护法》、欧盟1995年《数据保护指令》或2018年生效的《一般数据保护条例》的保护对象。

在此背景下,《中华人民共和国消费者权益保护法》(2013年修订)第29条界定了消费者个人信息保护的基本框架。

《征信业管理条例》和《中国人民银行关于银行业金融机构保护个人金融信息的通知》(银发[〔2011〕17号)进一步明确了金融机构收集、保存、使用和对外提供个人信息的法律义务。

从法律上来说,数据协作属于“向外部提供数据”的一种形式——“数据共享”,受金融消费者个人信息权利的制约。

基于此,如何平衡金融控股公司的价值与个人信息保护成为金融控股公司制度设计中的一个难题。

由于别人的错误,聪明人会改正自己的错误。

为此,我们不妨先做些比较观察。

第二,金融信息保护的全球视角虽然全球一致认为要加强对个人信息的保护,但由于金融信息的内在公开性,即它不仅与数据主体的个性有关,也与主体的社会经济评价有关,世界各国并不强调对金融数据的“个人控制”概念,而是采取立法立场鼓励数据共享,从而避免个人过度美化自己的信用而因此损害他人的“道德风险”。

其中,《美国金融服务现代化法案》(1999年金融服务现代化法案)就是一个典型的例子。

作为自大萧条以来对金融服务法律体系的最大修正,1999年《金融服务现代化法案》彻底改变了1933年(1933年)的格拉斯-斯蒂加拉法案(Glass-Stegalactof1933),允许金融控股公司拥有商业银行、投资银行、保险公司和其他类型的公司。

碰巧国会对该法律的讨论与美国银行盗窃和销售客户数据案(Hatchv)的审判同时进行。美国银行)。

尽管该案件通过和解得到解决,但它促使联邦众议院采取立法行动,纳入个人信息保护。

同时,人们也意识到数据流通和共享对于金融业务重组至关重要。正如美国财政部货币监管部门官员约翰·霍克(JohnHawkeJr)在国会听证会上所说:“整个金融服务部门都是一个信息导向型企业。通过信息交流提供有利于消费者和金融机构的市场功能是促进信用卡、投资、保险或其他金融交易的重要方式。

“因此,《金融服务现代化法案》第5章试图平衡不同的需求,并找到保护个人信息的最佳方式。

利益平衡的结果是采用金融控股公司关联方与非关联方双重分离的规则设计。

这里的“非关联方”是指与金融控股公司不存在以下关系的实体:(1)金融机构的关联企业;(二)与金融控股公司有共同所有权关系。或者(3)是金融控股公司按照事实上的公司控制权与企业之间的关系形成的。

对于“关联方”,金融控股公司可以自由向他们传递个人信息。在这种情况下,金融机构应在合同关系建立时和每年以“通知”的形式向用户明确披露共享信息的类别。

对于“非相关方”,个人信息的共享应受“公平信息惯例”的限制,即应遵循“通知/注意”、“选择/同意”、“方法/参与”、“完整性/安全性”和“执行/补偿”的具体规则。

具体而言,在与非相关方共享数据之前,金融机构应告知用户数据共享的类型、非相关方的类型、数据使用的目的以及用户的退出权等。以书面、电子或其他形式。用户应被告知如何行使拒绝分享的权利,并有权随时退出。

只有在满足上述要求后,个人信息才能用于为用户提供必要的服务,或者金融机构自己经营,包括推广自己的产品或联合营销。

然而,在任何情况下,金融机构都不允许为直接营销(电话营销、电子邮件或其他营销)向非相关方提供账户、信用卡账户和账户。

《金融服务现代化法案》对其他国家的立法产生了深远的影响。

2009年,韩国根据该法修订了《金融控股公司法》。

该法第48条之二改变了以前对金融数据共享的限制,规定”金融控股公司和其他人仍然可以按照《实名制金融交易和保密法》第4条以及《使用和保护信贷信息法》第32条第1款的总统令的规定,为其附属金融控股公司和其他人提供关于金融交易内容的信息或数据”。

然而,也有不可预见的情况。

在2014年韩国历史上最大的信用卡信息披露案之后,由于公众舆论的压力,该条款不得不被修改。

2014年11月,修改为:除非用户同意,金融控股公司只能出于管理目的共享用户信息。

然而,人们很快发现,这些法规对数据共享的目的、范围和持续时间要求过于严格,极大地阻碍了金融控股公司的发展。

为此,2018年5月,韩国金融服务委员会表示,为了满足物联网和大数据分析等新技术的需求,将考虑逐步采用美国式的数据共享监管模式,允许企业在未经用户初步同意的情况下收集和使用一些“不必要的”个人信息。

简而言之,韩国对金融控股公司的立法呈现出从严格到宽松再到严格的趋势,现在监管趋于宽松,这充分说明了金融数据流通和共享需求的“刚性”。

第三,中国金融控股公司数据协调和个人信息保护的制度设计,正如欧盟《一般数据保护条例》(GDPR)序言所强调的那样:个人信息保护不是一项绝对的权利。必须根据相称原则考虑其在社会中的作用,并与个人和家庭生活、通信自由、思想、意识和宗教自由、言论和信息自由以及商业活动自由等其他权利相平衡。

就金融控股公司的监管立法而言,应特别关注其促进金融控股公司发展、服务实体经济、防范系统性风险的长期使命。

我们必须充分考虑具体情况,因地制宜,在不同场景中实现动态平衡。

因此,我们从金融控股公司数据协作的三个典型场景——“金融控股公司与集团内部子公司之间的数据共享”、“金融控股公司与集团外部关联公司之间的数据共享”和“金融控股公司与非关联公司之间的数据共享”提出了系统概念。

(1)当满足以下条件时,金融控股公司及其子公司之间可以共享金融数据:(1)首次收集个人信息时,用户已经清楚、清楚地了解到在网站首页或应用程序的显著位置与金融控股公司及其子公司共享数据的可能性,包括共享的范围、目的和保留期;(2)个人信息仅用于各方持有的《金融许可证》规定的业务范围内的目的;(3)金融控股公司应对各子公司的个人信息侵权行为承担连带责任。

上述建议基于以下原因:第一,从风险度量的角度来看,金融控股公司与其子公司之间的自由分享不会给数据主体带来额外的风险。

首先,自由共享数据并不违反用户对个人信息保护的合理期望。

主观上,金融控股公司与其子公司之间的股权关系是复杂的,公众通常通过金融控股集团的名义获取知识。一般来说,它不区分授权对象是子公司还是兄弟公司。

客观地说,金融控股公司及其子公司使用数据仍然属于法律明确规定的金融活动范围,不能用于金融以外的其他目的。

第二,自由分享数据不会大大削弱用户的知情权和选择控制个人信息的权利。

一方面,金融控股公司应按照公开透明的原则履行告知、解释和披露数据共享的义务;另一方面,根据《消费者权益保护法》、《互联网安全法》等法律法规的规定,用户仍有权删除个人信息。

最后,数据共享不会降低对用户的缓解程度。

鉴于金融控股公司及其子公司在联合营销、数据流或业务设备或营业场所的联合运营方面被视为一个整体,它们在财务方面也是一个整体。

正因为如此,许多国家或地区都引入了“金融控股公司增加责任制”,要求金融控股公司确保其子公司的偿付能力。

此外,1989年《美国金融机构改革、恢复和重组法》(1989年《恢复和执行法》)规定了金融控股公司存款保险机构之间的相互担保。

所谓“相互保证”,是指与IDI存款保险相关的机构间责任。金融控股公司控制的存款保险机构应对控股公司内其他存款保险机构的破产和因联邦存款保险公司支持而发生的损失负责。

据此,无论金融控股公司或其子公司是否造成个人信息侵权,各方都应承担连带责任,最大限度地保护用户权益。

第二,金融数据共享是公开的,自由共享数据是金融控股公司的合法权益。

首先,自由数据共享是金融控股公司风险管理、内部公司、用户分析、服务改进等综合管理的客观需要。

其次,数据的自由共享是金融控股公司及其子公司为用户提供服务的需要。

例如,证券公司需要根据用户的银行资产信息对投资者的风险承受能力进行更准确的评估,以判断投资者的适用性。

最后,自由分享数据对于防范金融风险和履行金融机构反欺诈和反洗钱等法律职能是必要的。

(2)满足以下条件时,金融控股公司与集团以外的关联公司(科技公司)可以共享财务数据:(1)明确告知用户其数据可以与关联公司(科技公司)共享,并告知共享的目的、范围和保留期限;(2)用户已经通过明示同意或暗示同意的方式授权;(3)金融控股公司和关联公司应遵循相同的个人信息保护标准和行为准则;(四)金融控股公司对其关联公司的侵权行为承担补充责任。

提出上述建议的原因如下:第一,从风险度量的角度来看,金融控股公司和集团外关联公司(科技公司)的共享可能会给用户带来额外的风险,但风险仍然是可控的。

首先,数据共享不会大大削弱用户了解和选择个人信息的权利。

(一)金融控股公司应当按照公开透明的原则履行告知、解释和披露数据共享的义务;(2)用户的主动或暗示同意是共享的前提;(3)根据《互联网安全法》、《个人信息安全标准》等法律法规,用户仍有权删除个人信息。

最后,数据共享不会降低对用户个人信息的保护水平。

一方面,金融控股公司及其附属公司(技术公司)遵循同一套关于保护个人信息的“有约束力的公司准则”,确保用户在不同的企业中享有平等的保护。

另一方面,金融控股公司作为其关联公司(技术公司)侵权风险的发起者和集团的管理者,应承担一定的“安全义务”,这意味着当关联公司(技术公司)不能完全补偿用户的损失时,金融控股公司应承担保护用户免受损失的补充责任。

第二,数据共享符合金融控股公司的合法利益。

基于数据的金融转型使得科技公司日益成为金融机构发展的重要驱动力。通过技术平台的开放,技术公司作为关联企业,积极赋予金融控股公司升级和迭代的权力。

然而,由于金融控股公司的限制,以下技术公司的非集团业务收入不应超过49%,大型开放式技术公司很难纳入黄金控制集团。

因此,消除数据共享障碍对金融控股公司和数字金融的发展和创新具有重要意义。

(3)金融控股公司与非关联公司之间的数据共享应严格限制金融控股公司与非关联公司之间的数据共享,建议采用数据共享的一般规则。

这是因为,从风险度量的角度来看,这种共享可能带来一系列风险:(1)监管规避风险:数据从受到高度监管和高度保护的金融控股公司流向保护不足的第三方;(2)使用不当的风险:违反目的限制原则,破坏用户对个人信息使用的期望;(3)数据安全风险:由于第三方的存在,金融控股公司控制数据供应链和数据生态安全风险的能力减弱;(4)责任认定风险:在数据泄露或滥用的情况下,不清楚由谁以及如何为用户承担赔偿责任;(5)救济不足的风险:不同企业的实际绩效能力差异很大,第三方信用的缺乏将导致用户无法获得足够的救济。

结论与其他金融机构一样,一个高效、管理良好的金融控股公司应该为金融消费者提供充分的透明度、选择权、救济、信任和个人信息保护。

然而,正如世界银行2012年出版的《金融消费者保护良好做法》所揭示的,“共享客户信息”是一项与“客户信息的安全性和保密性”同等重要的制度设计。中国在制定金融控股公司相关法律法规时,应谨慎平衡自身利益,使金融控股公司的数据协调与个人金融信息保护相辅相成,相互受益。

You may also like...

发表评论