编者按:近年来,随着信息化的快速发展以及银行业对信息化的依赖程度不断加深,信息安全在银行业金融机构中的地位日渐凸显,成为业务开展的基础和稳健经营的重要保障。与此同时,银行信息安全也面临严峻挑战,一方面,以大数据、云计算、移动互联等为代表的新技术与金融业务深入融合,虽然促进了银行服务质量和效率的提升,但也增强了信息系统安全的多样性和复杂性,导致系统承载的数据风险和操作风险不断加大。另一方面,网络和信息安全形势日趋复杂,新业态、新技术应用所带来的风险隐患逐步显现,如网络攻击不断升级、数据泄露风险增大、银行第三方机构数据风险的传导和蔓延等问题,都给银行和个人数据安全的防护带来了新的挑战。因此,如何加强内控合规管理、构建银行信息与网络安全的有效防线、保障金融安全,成为银行业需要解决的重大问题。
为此,此前出版的《中国银行业》杂志2019年第12期推出了“银行业信息安全”特别策划,特邀监管者、行业专家及实践者,共同探讨新时期银行业信息安全面临的挑战和问题,并分享在信息安全管理、信息安全技术实践、信息安全防控体系建设等方面的探索与实践。本公众号今日精选其中的两篇文章与读者分享最新观点:
通过对中美欧法律法规的盘点,预计未来中国在个人金融信息收集和共享规则方面将有以下发展趋势:用户自主选择的金融产品或服务仍然会是支撑个人金融信息收集和共享最重要的合法性基础;金融管理部门将会对个人金融数据从“监管域”流向“非监管域”提出除个人自主选择同意之外的安全要求;对于金融机构从非金融机构获取数据将会有新的安全要求。
近期,随着人民银行开始《个人金融信息(数据)保护试行办法》的内部意见征求工作,以及对金融风控服务中数据违法违规收集使用行为打击力度的加大,个人金融信息保护问题成为社会各界热议、热搜的焦点。面对集中出台的规则和执法,围绕金融展开的数据处理行业被紧张气氛所笼罩,甚至有从业者提前“休假过冬”。而最有助于平缓目前的紧张气氛并建立稳定预期的,莫过于清晰明确的规则。在对最终规则翘首以盼的同时,探究提炼中美欧个人金融信息保护的基本原理,也许能有助于我们厘清个人信息保护的边界,并对未来发展的趋势有相对准确的把握。
个人金融信息的边界和内涵
个人金融信息的定义或内涵,看似明确实则模糊,中美欧对此并不统一。中国现有法律法规对个人金融信息的界定,依赖于一个核心概念:金融机构。例如《中国人民银行金融消费者权益保护实施办法》(银发〔2016〕314号)中,将金融消费者定义为“购买、使用金融机构提供的金融产品和服务的自然人”。《个人金融信息(数据)保护试行办法》也采用了类似的路径,将个人金融信息界定为金融机构在业务过程中个人所收集的信息,以及通过其他渠道获得的个人信息。但遗憾的是,法律法规对金融机构并没有统一的定义,而是在不同规则中根据不同的监管目的划定不同的金融机构范围。《个人金融信息(数据)保护试行办法》也采取了上述路径。但总的来说,金融机构的范围不会脱离“依法设立的、经国家金融管理部门批准从事金融业务的机构”这个圈。既然是经国家金融管理部门批准从事金融业务的机构,那就是落在管理部门的监管范围之内。反过来说,不在监管范围内的非金融机构所收集使用的个人信息或数据,自然也就不能称为个人金融信息。简单来说,在中国,个人金融信息专指金融机构所持有的个人信息,非金融机构所掌握的个人信息不在此列。
美国个人金融信息保护的主要联邦立法当属《金融服务现代化法》(Financial Services Modernization Act of 1999,又称the Gramm-Leach-Bliley Act,GLBA)。这部法律对个人金融信息的界定,主要依赖于金融活动(financial activities)这个概念。这部法律中,无论是金融机构的界定,还是金融产品或服务的定义,均指向了the Bank Holding Company Act of 1956(12 U.S.C.1843(k))中第4节K项所列举的金融活动。因此,美国法律对个人金融信息界定的逻辑建立于对金融活动和非金融活动的区分。《金融服务现代化法》认定,任何显著从事(significantly engaged in)金融活动的机构,均是金融机构。金融机构在从事金融活动过程中能提供的任何产品或服务,就是金融产品或服务。个人金融信息主要是指金融机构要求消费者提供的或与消费者互动过程中产生的非公开个人信息。再看欧盟,无论是95指令,还是取代95指令的《通用数据保护条例》(GDPR)均没有出现金融信息这个定义。
总体来看,中国与美国对个人金融信息界定的路径相近,强调了一种“边界”意识,并将个人金融信息区分于其他个人信息,通过部门法的方式制定了特殊规则。只不过中国划分了金融机构和非金融机构,美国区分的是金融活动和非金融活动,而欧盟则是以覆盖各行各业的通用法律的形式对个人信息开展保护,个人金融信息与其他类型个人信息并无特殊要求。
个人金融信息保护的中美欧规则比较
如果对个人金融信息保护的主要问题进行一个非常粗略的概括,主要包括两个方面的内容。首先是个人金融信息在技术安全方面的要求,也就是《网络安全法》第十条提出的完整性、保密性、可用性这三个目标。其次是个人金融信息的收集、使用、共享问题。本文将集中探讨个人金融信息的收集和共享问题。
从中国来看,在《个人金融信息(数据)保护试行办法》出台之前,对个人金融信息保护的主要规定集中在《中国人民银行金融消费者权益保护实施办法》和《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)。综合上述两项规定,其对个人金融信息的收集和共享规定,具体可参见右表。
对表中的各要求总结如下:
一是对于(消费者要求的)业务所必需的个人金融信息的收集、(机构内部办理业务所必需的)使用,金融机构应当明示,可以通过格式条款要求概括性授权,可以要求用户必须给予同意或授权;
二是对于(消费者要求的)业务所必需的对他人提供(包括他人获得个人金融信息后的使用),金融机构应当明示,可以通过格式条款要求概括性授权,可以要求用户必须给予同意或授权;
三是对于(消费者要求的)金融产品和服务相关的营销活动,如果该营销为“该业务关系的性质决定需要”,可以直接通过格式条款获得“概括性授权”,也可以强制要求消费者同意;
四是对于与(消费者要求的)金融产品和服务相关的营销,如果该营销不为“该业务关系的性质决定需要”,不得直接通过格式条款获得“概括性授权”,不得强制要求消费者同意;
五是对于与(消费者要求的)金融产品和服务不相关的营销,不得一揽子概括授权,且不得强制要求消费者授权或同意;如果前期个人选择同意但后期反对,金融机构应当停止营销活动;
六是对于(消费者要求的)金融产品和服务之外的非营销事项,必须明示、不得概括性授权、不得强制授权。
中国个人金融信息的收集和共享相关规定
从美国来看,《金融服务现代化法》作为美国经济大萧条时期以来对金融服务业法律体系的最大修正,彻底改变了《格拉斯-斯蒂格尔法》(Glass-Steagall Act of 1933),允许一个金融控股公司可以拥有商业银行、投资银行、保险公司以及其他各类公司。为了应对金融业务的重组,该法特辟专章规定金融数据保护问题,其包括金融机构隐私政策的建立与披露、金融机构数据安全要求、消费者选择权、监管机构法律制定义务等。基于该法,美国联邦储备委员会、财政部等八个机构监管部门组成联合工作组,制定“Regulation P(Privacy of Consumer Financial Information)”,进一步细化了《金融服务现代化法》的数据保护规定。
《金融服务现代化法》和Regulation P授权银行、保险公司和投资公司等金融机构广泛共享个人金融信息。其中,在金融机构及其附属公司,允许自由共享。在此情形下,金融机构应在合同中明确,并每年度以“通知书”(notice)的形式明确向用户披露共享信息类别。对于附属公司,规则给出了判定标准——一家公司是否控制了另一家公司,或者是否存在“共同控制”的情况。
而在金融机构与非附属第三方之间,出于为用户提供服务所必需,或者金融机构自身经营所需要(包括推销自身产品或联合推销),金融机构可以在公开上述共享的前提下,径直与非附属的第三方共享个人金融信息。但在出于直接营销目的(例如电话营销、电子邮件或其他营销)的共享中,金融机构不得将账号、信用卡账号、账户与非附属第三方共享。
其他情况下,金融机构若要与非附属第三方之间共享个人金融信息,必须满意以下条件:一是以书面、电子或其他形式,将信息共享的范围清楚、明确地告知用户;二是在首次共享之前,给予用户拒绝共享(opt out)的权利;三是用户应得到如何行使拒绝共享的说明。
从欧盟来看,个人金融信息也是个人数据,适用GDPR。从立法理念来说,GDPR不仅坚持个人数据保护为基本人权,同时还采取了风险路径。而所谓的风险路径,举例来说即是:面包店涉及的处理个人数据的风险,显然和开展征信业务的公司所涉及的风险截然不同。GDPR并不要求前者采取和后者完全相同的个人数据保护义务(例如任命个人数据保护官、开展数据保护影响评估等),而会根据风险来调适保护义务的高度。GDPR另外一个显著特点是,在GDPR中,数据收集和对外提供,统一使用“数据处理”这个概念。数据处理,无论是收集还是对外提供,均统一适用GDPR的原则和规则,不像中美立法均分区收集、对外提供等数据生命周期的环节,并相应地提出专门的规则。
GDPR第六条规定了个人信息处理合法的六项事由:一是数据主体对出于单个或多个特定目的而处理其个人数据表示同意;二是处理是为向身为合同当事人的数据主体履行合同所必须的,或在缔约前,应数据主体的要求所必须采取的步骤;三是因履行数据控制者承担的法律义务而必须处理个人数据的;四是为保护数据主体重大利益或其他自然人重大利益而必须处理个人数据的;五是为公共利益而执行任务,或数据控制者履行赋予的公共职能时,必须处理个人数据的;六是因数据处理者正当利益或第三方正当利益而必须处理个人数据的,但当数据主体的利益或基本权利和自由(特别当数据主体尚未成年时)高于上述正当利益时,不得使用该事由。
在GDPR中,个人信息控制者开展数据处理之前,通常要先确立数据处理的目的(也就是要开展的具体业务),再从目的出发,选择所需要开展的具体数据处理动作将依赖于上述六种合法事由(lawful grounds)中的哪一个,随后是确保具体数据处理动作遵循了个人数据处理的基本原则。由于GDPR并没有对数据共享的额外规则。因此对共享数据这个动作,GDPR还是根据前段的思路进行审视。
在此以一例子说明:一智能穿戴设备公司希望将记录的用户生理健康数据(如睡眠时长、每日步数等)与一保险公司共享,其目的为对用户的保费进行计算。从GDPR来看,为完成前述的计费目的,需要有三个数据处理动作(分别是穿戴设备公司对外提供数据,保险公司接收数据,保险公司合并数据并计算),此时个人数据共享需要有合法事由。同时,由于保险价格的计算对个人合法权益将产生较大的影响,因此合适的合法事由应当经过用户同意,而非以企业的正当利益为事由。
此外,上述智能可穿戴设备公司和保险公司可以隶属于同一集团,也可以分属于不同集团,并不会对上述分析产生实质影响。但实际上,如果两者属于同一集团,则在统一的数据安全保护措施方面具有更大优势。这也是为什么GDPR在跨境环节中专门提出有约束力的公司规则(Binding Corporate Rules,BCRs),其被视为在缺乏国家和地区充分性认定时,承担“合适的保护措施”的作用,从而支撑数据跨境流动的合法性。当然,该集团应事先向DPA就其BCRs申请认证。
总之,基于风险的共享规则要求以数据为中心,本质上并不关心数据共享是否跨出组织边界,除非组织边界内外提供了显著不同的安全水平。但此时的安全水平,还是不能超越数据处理目的的决定性权重。
中国个人信息保护规则的发展趋势
从上述对中美欧现行立法的总结来看,三者在以下方面具有共同点:首先是金融机构收集个人信息需要以开展业务为前提,且所收集的信息必须与业务有关。其次,因用户自主选择的业务的性质所决定而必需对第三方进行的共享,无需再次征求用户的同意。再次,非因业务所必需的个人金融信息共享,应当遵循用户的自主选择权,不得强迫、绑架用户。在最后一点上,美国采取opt-out的路径,欧盟采取opt-in的路径,中国则是两种路径均接受。值得注意的是,相对于中国和欧盟,美国对具有附属关系的不同金融机构之间的个人金融信息共享,持更加开放的态度。
通过上述中美欧法律法规的盘点,预计中国在个人金融信息收集和共享规则方面可能有以下发展趋势:
首先,用户自主选择的金融产品或服务仍然会是支撑个人金融信息收集和共享最重要的合法性基础。
其次,由于中国的法律法规中强调金融机构和非金融机构的区分,因此,在《中国人民银行金融消费者权益保护实施办法》和《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》的基础上,会进一步强化金融机构和非金融机构之间进行数据共享时的安全要求。由于国家金融管理部门认为非金融机构超出自己的管辖范围,且个人金融信息流向非金融机构后也将游离于其设定的规则框架。因此,可以预计国家金融管理部门将会对个人金融数据从“监管域”流向“非监管域”提出除个人自主选择同意之外的额外安全要求。
再次,对于发端于“非监管域”,通过金融机构采购、合作等形式进入“监管域”的数据,可能成为监管重点。因此,对于金融机构从非金融机构获取数据将会有新的安全要求。
对数据流入或流出“监管域”的新安全要求中,笔者认为值得借鉴的是欧盟规定的数据保护影响评估(data protection impact assessment),或者美国规定的隐私影响评估(privacy impact assessment)。目前,全国信息安全技术标准化委员会(TC260)正在组织制定《个人信息安全规范》的配套标准《个人信息安全影响评估指南》。该标准继承了美欧的相关标准和实践,建议金融机构在与非金融机构进行数据交互时可以参考该标准,从而主动降低数据从“监管域”流出时的安全风险,以及数据从“非监管域”流入而导致的数据污染的风险。
(本文作者就职于北京大学法治与发展研究院)
展开全文