韩一鸣
摘 要:因我国金融控股公司自身特殊的经营模式,以及现行法律法规与现实情况不完全配合,金融控股公司中不同子公司之间进行个人数据共享可能会侵犯金融消费者的数据安全。本文在法律制度层面对平衡金融消费者的个人数据安全与我国金融控股公司的良好发展这一问题提出了数据分类、完善隐私政策说明书、保障消费者的选择权与救济权等建议。
关键词:金融控股公司;数据共享;个人数据
绪 论
一般认为,金融控股公司可以定义为:“在同一控制下,下属受监管实体大规模从事两类或两类以上的银行、证券、保险、基金、信托、期货、融资租赁业务。同时对每类业务的资本要求不同的,拥有牌照、实际经营或者实际控制该行业企业的公司”。金融消费者的个人信息大数据化这一现象在金融控股公司中已然十分普遍。但是,金融消费者和金融控股公司都应意识到,通过金融消费形成的个人数据受个人隐私的约束。目前,我国法律法规对金融控股公司应当如何保护金融消费者的个人数据这一问题并没有专门的规定。与之相比,在英美等国的法律实践中,对客户信息保密等默示义务包含于默示条款中。通过这种方式,金融消费者的个人数据安全权在很大程度上有了良好的保障。金融控股公司在共享个人数据时,应考虑平衡商业利益与个人金融隐私权保护,我国未来立法也应在金融控股公司对客户数据的共享方面做出限制规定。
一、我国金融控股公司中个人数据共享问题的成因
除金融公司特殊的经营模式与现行立法不能完全配合之外,我国金融控股公司体系中现存的个人数据共享问题的出现,大致还有以下几点原因:
原有金融控股公司消费者数据保护模式存在缺陷。美国《金融服务现代化法》确保消费者了解金融机构的隐私政策,进而由消费者做出决定是否允许金融机构收集自身的金融数据,并用于确定的目的,最终由消费者来做出知情决策。这一消费者数据保护模式本身是美国的经典模式,但该制度并不适合中国国情,也无法适应当下的中国市场环境,已显示出较大局限性。
金融控股公司超越最低需求获取信息。在收集金融消费者的信息时,金融控股公司会扩大信息收集的来源和渠道,超越最低需求。此外,因业务需要,与客户产生业务的银行可以直接获取到客户的征信报告。但是,消费者无从得知银行是否会与集团内部其他子公司共享征信报告。我国《个人信用信息基础数据库管理暂行办法》在这一点上也依然存在法律保障体系不完善问题。
大数据技术广泛应用于金融控股公司。在大数据技术迅猛发展的时代条件下,利用云存储、数据挖掘、统计分析等技术手段,金融控股公司对个人金融数据的掌控更加便捷、全面。然而,由于金融消费者无从了解和控制信息的使用目的与途径,这些数据很可能会被金融控股公司不正当使用。
二、金融控股公司体系中个人数据共享问题的比较分析
基于数据安全考虑,我国应借鉴欧盟《个人数据保护指令》的规定,对金融控股公司内部共享数据的范围作出一定限制。我国立法机关应当作出与我国现有的《网络安全法》相配合的规定,若因业务需要,金融控股公司内部将客户数据共享至境外前,至少应先首先获得金融消费者的知情与同意。
在金融控股公司共享个人数据的目的方面,我国立法机关可以借鉴我国台湾地区的规定,在法律规定中明确限制金融控股公司采集和共享个人数据的目的和用途。根据我国台湾地区《金融控股公司子公司间共同营销管理办法》第 11 条,金融控股公司子公司之间的消费者数据共享,只能出于营销的目的,不能为了其他用途。
针对我国金融控股公司的个人数据共享,对于非敏感性的一般数据和公开数据,应当可以直接共享。而对于敏感数据,则应通过法律保障金融消费者的知情权和选择权来保护。欧盟与我国台湾地区均对可处理或共享的数据种类做出了明确规定。在我国未来立法中,首先应配合我国现行的法律中对数据敏感程度分类的规定,将金融消费者的个人数据區分为敏感数据与非敏感数据。给予金融控股公司直接共享金融消费者非敏感数据的权利,并通过强化金融消费者知情权、选择权与救济权的方式,保护金融消费者的敏感数据。
根据GDPR,数据控制者收集个人信息必须给予个人充分知情权。根据我国具体情况,完善金融控股公司共享个人数据的隐私政策说明书是妥善解决这一问题的有效途径。我国立法机关应明确要求,隐私政策说明书中要有明显字体提醒金融消费者注意。金融控股公司内部的子公司接到消费者通知后,就必须停止共享消费者的数据,并且按照消费者所确认的授权使用的子公司的范围执行。此外,我国立法机关还可以要求我国金融控股公司将共同营销的子公司名称及其保密措施在公司网页进行公告,并且以书面或者电子邮件方式通知消费者。
除消费者的知情权外,欧盟GDPR法规还为数据主体提供了大量选择。结合我国情况,我国立法机关应在立法中明确赋予金融消费者选择权,即金融消费者有权不允许金融控股公司共享其个人数据的权利。此外,在一定条件下,金融消费者还应有要求金融控股公司删除、限制处理和反对处理个人数据的权利。
三、平衡金融控股公司体系中商业利益与个人数据保护
遵循利益平衡原则。金融控股公司与消费者之间存在严重信息不对称,消费者只有依赖法律法规的倾斜保护,才能与占据技术和信息优势的金融控股公司平等交易,督促后者承担隐私保护义务及可能产生的损害赔偿责任。此外,平衡金融控股公司的信息共享与用户的个人隐私保护时,应在坚持保护个人隐私基本权利的前提下,避免隐私保护的泛化。
进行数据分类 完善隐私政策说明书。如前文所述,对于不敏感的一般数据和公开数据,金融控股公司可直接进行共享。而对于敏感数据,则必须在获得金融消费者知情和同意的条件下才可以进行共享。完善隐私政策说明书是保障消费者知情权的有效方法。在内容规定方面,我国立法机关还可以参考美国对隐私政策说明书的具体规范。
保障消费者的选择权与救济权。如前文所述,我国立法机关可以借鉴欧盟GDPR金融消费者有权不允许金融控股公司共享其个人数据的规定。我国立法机关还应考虑加入保障金融消费者可以要求金融控股公司删除个人数据、限制处理个人数据和反对处理个人数据的权利条款。此外,消费者救济权利不仅要能够实现快捷、低成本,救济途径还要能与立法相配合。
结 语
金融控股公司特殊的经营模式决定了集团内部的很多子公司可以从事不同行业,因此可以获得不同来源的客户数据。个人数据共享是金融控股公司相较于其他普通金融机构的重要优势,出于对商业利益的追求和自身发展的需要,辅以大数据技术的广泛应用,不同来源的个人数据很可能会被金融控股公司在全集团内部共享。但是,这无疑会侵害到消费者个人的数据安全。为了在法律制度层面解决该问题,我国立法机关可以借鉴其他国家及地区的规定,在立法中完善个人数据分类、消费者选择权和知情权保障、消费者权利救济等规定,平衡金融控股公司的信息共享需求与金融消费者的个人数据隐私权益。
参考文献
[1] 张民安.信息性隐私权研究——信息性隐私权的产生、发展、适用范围和争议[M].中山大学出版社,2014.
[2] 黎金荣.中美金融消费者保护制度比较[J].湛江师范学院学报,2012(2).
[3] 何颖.论金融消费者保护的立法原则[J].法学,2010,(2).
[4] 王仲会.金融控股公司研究[J].东北财经大学学报,2005(3).