(一)金融数据保护与金融机构客户保密义务
金融行业对于数据保护有天然的重视,与其他领域相比,金融行业对数据的保护无论是理念还是措施可以说都早于并强于其他领域。因为涉及个人的资产安全,金融行业形成之初就对金融机构的保密义务提出了较高要求(金融数据基本上都可以纳入“敏感信息”范围),金融监管部门亦一直将保密义务作为金融监管的重点。这一点在大数据时代之前就已经形成,例如,金融机构被要求对客户的身份资料、账户信息、交易信息等予以保密,除法规另有规定外,不得对外提供或允许查询。中国人民银行也从金融消费者权益保护的角度强调个人信息/数据保护。
但是这些对金融机构客户资料的保密传统以及金融消费者的权益保护安排,与大数据时代对客户信息和数据的保护处于不同的维度。进入大数据时代以后,客户资料普遍实现了信息化和数字化,对客户资料的保密传统和对金融消费者的保护也必然延伸到对客户金融信息和数据的保护层面。人民银行《个人金融信息(数据)保护试行办法(初稿)》第23条规定“金融机构应当根据个人信息保护,数据安全和网络安全方面的法律、法规、规章和有关主管部门的规定,建立健全收集、处理、使用、对外提供、展示、保存、销毁等全生命周期的个人金融信息保护制度。”
传统金融业客户资料保密要求和数据时代数据保护要求存在竞合,但传统金融服务下金融机构的安全保障义务主要集中在保护客户在金融机构营业场所的人身和财产安全、防止客户资金丢失或被盗以及保护客户的金融信息等,而在大数据和人工智能时代,客户的信息安全(数据安全)和资金安全渐成重点,信息安全(数据安全)则成为金融机构安全保障义务的核心内容,金融数据的传统保护理念已经不能顺应时势的发展。在进行数据安全保障的同时,金融数据的共享和使用对于金融业的业务开展、风险控制等具有越来越大的意义,即数据驱动的人工智能将发挥越来越大的商业价值,而在数据共享和合理使用的大数据时代,数据驱动亦面临着对个人信息保护的难题,金融领域迫切需要融入大数据和人工智能时代下的数据保护理念。
同时,鉴于金融数据保护通常涉及个人的敏感信息,并且具有高度精准识别性,特别是账户数据、交易数据、信用数据等信息可能被交易对手或外界所利用,从而对客户造成可能的经济损失,同时由于金融行业数据的量级和复杂性,因此金融数据泄露的实际风险较大,对金融数据的风险控制、信息安全和数据防护能力以及技术处理手段都提出了更高的要求。
必须看到,金融数据控制者已经从通常认为的传统金融持牌机构演变为也包括脱胎于互联网企业的新型持牌金融机构,甚至包括非金融机构等。具体来说,金融数据控制者主要包括三类主体:一是传统金融机构,包括银行、证券公司、保险公司等,涉及用户金融资产、负债、交易信息;二是第三方机构,包括支付平台、电子商务平台、物流渠道等以及彼此结合体,涉及用户非金融交易信息(如购物、销售、物流等,有助于用户行为模式分析)和部分金融交易信息;三是涉及跨机构、跨平台全量交易数据的平台(如银联、网联等)和征信数据的平台(如人行征信、百行征信等)。
三、金融数据的立法和监管概况
(一)境外金融数据立法
1.立法模式
随着数字经济时代的到来,制定数据保护的法律法规成为世界各国的重要立法任务。欧盟和美国是数据立法的两个主要代表,采取了不同的立法模式。欧盟采取了综合性个人信息保护立法模式,以《通用数据保护条例》(GDPR)为核心立法,该条例非常严格,将数据视为信息主体的基本权利,建立了以被遗忘权为特色的最高保护标准。美国则采取了分领域立法,在联邦层面并无一部类似GDPR的综合性个人信息保护法案,而是在隐私法、个人信息保护的一般性法律外,针对金融领域的个人信息保护进行专门性规定,并辅之以严格的违法处罚。如果说欧盟是以“数据基本权利”为基础的模式,那么美国就是以“自由式市场+强监管”为基础的模式。
2.欧盟和美国的立法概况
(二)中国金融数据保护立法概述
(1)对金融数据的法律规定主要体现在金融监管部门的政策性文件和部门规章层面,已经形成了初步的规范体系,但是层级不高并分布于各部门法中,较为分散。
(2)立法理念上主要是从金融业务传统的客户信息保密角度和理念来立法,而不是基于个人信息保护的角度从信息的收集、控制、处理、共享等方面进行规定,对数字金融的立法供给不足。
(3)关于金融数据保护的权利义务方面的规定总体比较原则,同时在立法实施的约束性和法律后果方面比较粗放,实际执行和监管乏力。
1.法律层面
在法律层面,对金融数据保护作出规定的有:《民法典》(征求意见稿)、《民法总则》《网络安全法》《消费者权益保护法》《电子商务法》《刑法》。其中,《网络安全法》是在《个人信息保护法》和《数据安全法》两部法律问世之前,对数据安全和个人信息保护提供了最为全面的法律规定。《网络安全法》与现行国际规则及欧美个人信息保护方面的立法实现了理念上的接轨,将个人信息保护的主要原则纳入其中,包括目的明确原则、同意和选择原则、最少够用原则、开放透明原则、质量保证原则、确保安全原则、主体参与原则、责任明确原则、披露限制原则等。
此外,法律层面的立法文件还有:2012年通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》、2009年通过的《刑法修正案(七)》、2015年通过的《刑法修正案(九)》。与此同时,国家立法机关在证券、银行、基金、保险等行业的单行金融法律中对金融数据保护有分散的部门法规定,主要是从客户保密的角度进行规范。例如,《商业银行法》第6条规定:“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。”第29条规定:“商业银行办理个人储蓄存款业务,应当遵循……为存款人保密的原则。对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。”《反洗钱法》第5条第1款规定:“对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息,应当予以保密;非依法律规定,不得向任何单位和个人提供。”2019年修订后的《证券法》第41条规定:“证券交易场所、证券公司、证券登记结算机构、证券服务机构及其工作人员应当依法为投资者的信息保密,不得非法买卖、提供或者公开投资者的信息。证券交易场所、证券公司、证券登记结算机构、证券服务机构及其工作人员不得泄露所知悉的商业秘密。
2.行政法规、部门规章层面
对金融数据保护作出规定的行政法规、部门规章主要包括:《个人存款账户实名制规定》(国务院令第285号)、《人民币银行结算账户管理办法》(中国人民银行令〔2003〕第5号)、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》(中国人民银行令〔2007〕第2号)、《个人信用信息基础数据库管理暂行办法》(中国人民银行令〔2005〕第3号)、《征信业管理条例》(国务院令第631号)、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)、《个人信息和重要数据出境安全评估办法(征求意见稿)》(2017年4月)、《网络借贷信息中介机构业务活动信息披露指引》(银监办发〔2017〕113号)、《银行业金融机构数据治理指引》(银保监发〔2018〕22号)、《商业银行理财业务监督管理办法》(银保监会2018年6号令)、《金融信息服务管理规定》(2018年12月网信办发布)。
2019年5月,网信办先后颁布了多部规章的征求意见稿,均涉及金融数据保护问题,包括:《网络安全审查办法》(征求意见稿)、《数据安全管理办法》(征求意见稿)、《个人信息出境管理办法》(征求意见稿)。另外,中国人民银行也于2019年先后发布《个人金融信息(数据)保护试行办法(初稿)》(征求意见稿)、《金融消费者权益保护实施办法(征求意见稿)》。
3.政策性文件层面
涉及金融数据保护的政策性文件主要包括:《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)、《中国人民银行上海分行关于银行业金融机构做好个人金融信息保护工作有关问题的通知》(银发〔2011〕17号)、《中国人民银行关于银行业金融机构进一步做好客户个人金融信息保护工作的通知》(银发〔2012〕80号)、《中国人民银行关于进一步加强征信信息安全管理的通知》(银发〔2018〕102号)、《中国银监会关于加强电子银行客户信息管理工作的通知》(银监发〔2011〕86号)、《中国人民银行办公厅关于2013年个人金融信息保护专项检查情况的通报》(银办发〔2014〕131号)、《中国人民银行关于印发〈中国人民银行金融消费者权益保护实施办法〉的通知》(银发〔2016〕314号)。
4.国家标准与行业标准层面
涉及金融数据保护的国家标准与行业标准主要包括:《信息安全技术个人信息安全规范》(GB/T35273—2020,国家市场监督管理总局、国家标准化管理委员会于2020年3月6日发布)、《个人金融信息保护技术规范》(中国人民银行、全国金融标准化委员会于2020年2月13日发布)、《支付信息保护技术规范(送审稿)》(金标委2018年8月7日发布)。
四、中国金融数据保护监管概述
中国长期实行金融领域的严监管和强监管,对金融业的持牌经营要求一直强于其他领域的行业监管,并秉承分业经营的监管思路。银行、证券、保险等金融领域分别建立了以中国人民银行为中央银行之下的正部级金融监管部门,如银保监会和证监会。
(一)数据安全和保护的功能监管
(二)金融业务的部门监管
1.从金融行业监管角度看,证券、银行、保险等传统金融机构的金融监管部门处于有利地位,可以对金融机构的金融数据保护情况进行日常监管和处罚。
2.对互联网企业和科技企业的金融监管。实践中,大量的金融数据控制者并非金融机构,而是大型科技公司和互联网企业,此类企业如果从事支付、信贷、保险等金融持牌业务,将会控制和处理金融数据,对其的监管应当根据其从事的金融业务类型适用部门监管。
(三)涉及数据竞争的竞争秩序监管
金融数据的共享和使用过程中容易产生“数据孤岛”、不正当竞争行为,对此国家和地方市场监管部门包括反垄断部门有权进行调查和处罚。
因此,正在制定中的《个人信息保护法》和《数据安全法》中首先需要解决的是目前个人数据保护分散立法导致的法律体系混乱问题,对个人数据保护的一般性问题加以明确规定,增强法律适用稳定性和法律结果可预见性。同时,也应当对金融数据监管的协调问题作出规定,建立面向数字经济未来的分工协作且行之有效的金融数据监管机制已经势在必行。
《数据安全管理办法》(征求意见稿)第5条规定,在中央网络安全和信息化委员会的领导下,由国家网信部门统筹协调、指导监督个人信息和重要数据的安全保护工作,这个思路比较符合实际。对于金融数据监管,可由国家网信部门统筹协调、指导监督,金融行业主管监管部门进行日常监管。