《金融评论》| 邢会强、姜帅—数字经济背景下我国金融控股公司信息共享机制的完善

2021-12-14

以下文章来源于社科院金融评论 ,作者邢会强 姜帅

 

9月4日,北京大学数字金融研究中心第六届学术年会暨《金融评论》专题研讨会,以线上线下联动的方式在京举行。会议以中国的数字普惠金融:测度、影响与监管为主题,分4个专场,分别由北京大学数字金融研究中心的黄卓,沈艳,谢绚丽老师和《金融评论》编辑部副主任周莉萍主持。会议评选出七篇优秀论文科研成果,刊登于《金融评论》2021年第6期。北京大学数字金融研究中心副主任黄卓老师全程主持了学术年会的组织工作与专刊论文的选送。

数字经济背景下我国金融控股公司信息共享机制的完善

邢会强  姜帅

(发表于《金融评论》2021年第6期)

数字经济的发展规律表明:静态的数据价值有限,只有确保数据开放流通,我国金融机构才能进一步结合数字技术获得更好发展,在国际竞争中获得优势。目前,作为个人金融信息开放共享的重要场景,我国金融控股公司信息共享的有关制度仍停留在旧的时空,对金融控股公司的进一步发展构成了阻碍。

一、我国金融控股公司信息共享机制的现状与问题

中国人民银行颁布的《金融控股公司监督管理试行办法》(简称《金控监管办法》)第22条和第23条第1款在一定程度上放宽了对金融控股公司及其所控股机构在集团内部进行信息共享的条件,并将适用范围拓展到所有金融机构,关注到了金融控股公司信息共享的特殊性。金融控股公司及其所控机构通常将信息共享规则嵌入有关合同中的隐私条款或者单独的隐私政策之中。不过,实践中“告知-知情-同意”框架的虚化问题一直较为突出。

现行信息共享机制存在的问题有:

第一,作为有权在上位法框架下就特殊事项做出规定的部门规章,《金控监管办法》尚未结合《个人信息保护法》以及金融控股公司信息共享的特殊性进行完善,实现信息共享中保护与利用的平衡。

第二,《金控监管办法》将取得客户的“知情-同意”作为了金融控股公司及其所控股机构信息共享的唯一合法性基础,并未设定例外情形和但书条款,这存在规范不完整、体系不周延的弊病。另一方面,当企业或第三方的正当利益所必需时,一律要求书面授权或同意无疑也会使此种正当需要变得困难重重,效率低下。随着《个人信息保护法》的出台,要求和责任更为严格,这无疑会制约金融控股公司协同效应的发挥。

第三,目前的“一揽子授权”可能会使客户的所有信息在其集团内部被任意共享,这本质上是金融控股公司权利的不当扩张,客户面临的风险加剧,而金融机构也不能基于信息分类对信息实现充分利用。

二、欧美信息共享机制及其与我国的比较

在告知义务方面,美国主要强调首次告知之后对客户的年度告知,GDPR主要区分了收集时的告知和非从原数据主体处获得信息的告知,同时对告知例外进行了设定。

在授权模式方面,美国和欧盟在关联方的信息共享授权方面均突破了传统的明示同意模式。相比之下,我国《金融监管办法》就集团内信息共享仍固守传统机制。

在设定授权例外方面,欧盟与美国均将企业的正当利益作为例外设定的重要依据之一。我国《个人信息保护法》第13条没有基于企业正当利益设置例外的规定。

在个人金融信息差异化保护与利用方面,第一,与欧盟相比,我国顺应了个人财务信息日趋敏感的趋势,但主要内容集中于国家标准、金融行业标准。第二,与美国相比,针对个人敏感信息与一般信息可能相互转化、难以认定的情势,《个人金融信息保护技术规范》进行了探索。第三,与我国台湾地区相比,我国遵循了分类规制的思路,但具体做法不够明晰。

三、我国金融控股公司个人金融信息共享机制的完善建议

(一)制度定位:集团内信息共享属于个人信息共享的特殊机制

其一,从历史来看,集团内信息共享长期扮演着信息共享的特殊角色。其二,域外多采取了对集团内信息共享与一般个人信息共享相区分的制度构建。其三,套用一般个人信息共享规则不利于整个金融业的发展和各方利益的促进。金控集团内信息共享边界较为清晰,由金融控股公司统一协调,受到统一的约束,相较于一般的个人信息共享,风险系数较小且可控。其四,我国金融机构国际竞争力欠缺,需要作为混业经营主要载体的金融控股公司有所作为。

(二)制度定向:仍要实现个人金融信息保护与利用的平衡

不同利益间的精妙衡平离不开事前、事中、事后的一体规制。我国监管机构应当正视信息利用与保护的客观现实和制度潮流,在明晰特殊制度定位的前提下,以实现个人金融信息保护与利用有机平衡为调整目标,设计好有关配套举措。

(三)制度定则:授权模式的改革与配套举措的跟进

1. 改革授权模式。第一,虽然无需同意模式最为理想,但基于现实考量,我国对金融控股公司集团内的信息共享应采取择出式同意的授权模式,待《金控监管办法》升格为行政法规后再采用前者。第二,应当将共享目的放宽至各方持有的“金融许可证”所载明的经营范围之内。

2. 配套举措跟进。第一,应维持现行《金控监管办法》确立的制度适用范围,限于集团内子公司信息共享的场景。C3类信息以及C2类信息中的用户鉴别辅助信息凝聚了很强的共识,除了法定例外,应当原则上禁止共享。而C2类信息、C1类信息以及预测信息,则延续着敏感信息与一般信息分类的模糊性特征,应统一适用择出同意模式。第三,充分告知仍是法定义务,突出单独告知、权利告知。将自动化处理和用户画像的可预期后果纳入告知内容,使之易懂、清晰、显著,并尽可能简短。第四,对于具有产生损害个人权益可能性的合规问题,《金控监管办法》应设定相应监管措施。既然金融集团之间享有全能银行制下的权利,也应尽全能银行制下的义务,即金融控股公司及其子公司应为个人金融信息的侵权承担连带赔偿责任。

撰稿人:邢会强  姜帅

作者简介

邢会强,中央财经大学法学院教授、博士生导师,国家社科基金重大项目“大数据法制立法方案研究”首席专家。

姜帅,中央财经大学法学院经济法学硕士研究生。