□ 文 杨 晨
近年来,随着大数据、云计算、人工智能、区块链等技术的诞生,金融与科技加快了融合的步伐,金融科技应运而生。金融科技是金融与科技的二元融合,以近乎颠覆的方式对传统金融行业进行了体系化的重构。金融科技的发展有赖于强大的技术支持,数据的收集、分析、处理及应用是金融科技发展的必备要素,而由此产生的数据风险亦成为金融科技发展的遏制要素。金融数据风险可以从数据开放和保护予以考量,其主要问题在于数据隐私、数据监管失灵等。在国际金融数据治理的角度上,欧盟《通用数据保护条例》、美国《加州消费者隐私法》均为我国提供了有益的数据治理经验。对我国而言,《数据安全法》《个人信息保护法》等法律也将推进中国金融科技健康、稳定的发展。
金融稳定委员会(FSB)于2016年将金融科技定义为“以数据为基础,以金融技术驱动创新发展,并带来全新的商业模式、产品及应用服务,会对金融市场、金融机构及金融服务产生显著的影响。”在表面含义上,金融科技是由金融数据促进金融创新,通过改变传统的金融交易方式、改革金融机构、增加金融产品、推进金融监管等方式,打破数据壁垒,利用新兴技术与产业支持新金融业务的开展,诸如转移支付活动、信息中介服务、业务外包活动等。在深层次含义上,金融科技是基于数据创新、科技创新,通过大数据即时应用场景演化出区块链、智能投顾、数字货币、众筹等新兴技术与产业,打破了传统意义上金融活动的时空限制。但是,金融科技作为信息时代的新兴产物,存在技术安全、数据隐私、传统监管规则失灵等问题,以及由金融与科技结合而成所产生的更为错综复杂的金融风险。
金融科技从产生之时,数据风险便相伴相随,数据风险可以从开放和保护两个角度予以考量。其一,从数据开放的角度思考,考虑到金融科技的市场主体一般为大型金融科技公司而非初创型公司。初创公司一般只提供传统金融服务项目或者小型创新项目,而大型金融科技公司提供更为宽泛的数据业务、科技业务,用云计算、大数据分析等信息技术服务达到破除传统金融服务收入占主导的局面。其二,从数据保护的角度而言,数据保护是指金融市场用户作为数据主体,应当对自己的数据信息拥有广泛的法律权利。大型金融科技公司、保险、证券等金融服务机构作为金融数据的处理、控制者,在征得用户明确同意的前提下,才能获取和使用金融用户的各项数据。
早在2 01 2年,欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)就已经出现在欧盟内部提案之中,并已于2018年5月25日施行。它主要规范了欧盟(EU)和欧洲经济区(EEA)的公民隐私和数据保护的问题,并旨在通过标准化的监管框架协调欧盟成员国的数据保护原则。尽管这些改革法案与欧盟之前颁布的指令并不完全相同,但是GDPR的影响范围绝不仅仅停留在欧盟区域,而是全球性的。受GDPR的广泛影响,美国等国家均争相出台法律以期对隐私数据有更为系统和规范的保护。
2.1.1 GDPR的主要目标
GDPR是要保持199 5年和2002年的统一法令,同时更新隐私数据法以适应现代新的信息技术发展变化。仅在过去的十几年时间里,信息技术在人们日常生活中的作用发生了巨大的变化。但是,法律具有滞后性,数据隐私法并没有很快适应由技术发展带来深刻的变化,这结果导致出现了许多关于如何执行先前指令的技术规范,同时允许它在当今社会继续运行的问题。GDPR的另一个目标是保护消费者在数据保护方面的基本权利,并且确保个人数据在成员国之间可以自由流动。但是,由谁承担未经授权的数据被分享和非法利用的后果均不得而知,但以防止潜在缺陷的发生,GDPR致力于通过规制大型科技公司来为欧盟公民提供保护。
GDPR是要保持1995年和2002年的统一法令,同时更新隐私数据法以适应现代新的信息技术发展变化。
2.1.2 GDPR消费者的告知与同意
GDPR规定要求数据收集者和控制者必须遵循关于收集消费者个人数据时,需要发出进行处理的通知并取得其知情同意,这使得消费者拥有信息处理的知情权以及对数据相关的权利保护。GDPR要求数据控制者在收集个人数据时必须充分告知消费者,他们的数据何时以及出于何种目的将被进行处理。这需要消费者明确表示同意,且同意声明必须使用清晰明了的语言,不应包含不公平的条款。根据第一次GDPR的执法行动,法国隐私监管机构发布了对GDPR定义的术语的严格解释,即“充分通知”和“有效同意”,并澄清所提供的通知必须清晰且易于消费者找到其所在之处。在公布的执法决定中,法国国家信息与自由委员会谴责Google使用消费者个人信息,特别指出Google违反了透明度义务,其提供给消费者的信息不足缺乏有效的同意要件,并最终处以5000万欧元的罚款。
2.1.3 GDPR数据主体的扩展权利
GDPR以严格的标准维护欧盟区域内数据主体的权利,其数据主体的权利范围也较为广泛,它保护所有的自然人而不问其国籍或居住地。GDPR扩展的数据主体权利主要体现在以下四个方面:第一,侵权通知的发出。当公司意识到因违规操作产生个人数据泄露时,其有义务在可行的情况下,并在七十二小时内向其数据主体报告数据泄露的相关情况。第二,数据主体获取数据的权利。数据主体具有要求数据控制者、处理者告知自己的数据是否正在被使用的权利。第三,被遗忘权。被遗忘权是一项由公平信息实践保护的数据隐私权,旨在确保“数据处理的准确性、透明度和工具合理性”。但如果出现以下任一情况,数据主体可以删除其信息而不进行进一步处理:(1)数据主体撤回同意或反对数据处理;(2)个人数据不再需要用于收集目的;(3)数据被非法处理。第四,其他权利。GDPR下的其他权利包括数据主体接收透明信息、访问其个人数据以及反对处理其个人数据的权利,而所有这些广泛的权利比以往任何时候都更能限制数据控制者和处理者。
GDPR规则为全球数据治理的立法奠定了基础,具有划时代的意义。无论GDPR的适用性如何,与消费者个人信息交互的公司在实施数据隐私保护计划时都具有前瞻性。GDPR规则一方面建立起数据保护制度,另一方面扩大了数据保护的适用范围和数据主体的权利,并进一步区分了数据控制者和处理者,同时设计了相应的具体制度予以规制。
GDPR规则为全球数据治理的立法奠定了基础,具有划时代的意义。
2.2.1 CCPA的主要内容
2020年1月1日,美国《加州消费者隐私保护法》(California Consumer Privacy Act,以下简称“CCPA”)正式开始实施,其成为美国历史上第一个全面的隐私保护法律。CCPA代表了GDPR数据隐私监管时代的延续,由以下两个方面得以体现:其一,与GDPR类似,CCPA的执法范围非常广泛。任何收集加州居民个人信息的企业都属于CCPA的监管范围。CCPA监管的营利性企业需满足以下三个要求之一:(1)总收入超过2500万美元;(2)拥有购买、接收、出售或共享超过5万名消费者、家庭的个人信息或设备;(3)企业年收入的50%以上来自于销售消费者的个人信息。CCPA的管辖范围远小于GDPR,从根本上影响了加利福尼亚州内从事洲际贸易的所有企业。居住在该州的加利福尼亚州居民和消费者,包括家庭用品和服务的客户、员工和企业对企业的交易,CCPA将提供与GPDR同等广泛的数据信息保护。其二,全面定义个人信息。CCPA以更为全面的方式重新定义了个人信息,CCPA所涵盖的个人信息可以被概括为直接或间接识别、相关、描述消费者或家庭,并能够与该消费者或家庭相关联的任何内容。CCPA的豁免政策与GDPR并不相同,它包括针对个人信息的个人或家庭成员设有特别规定。根据该法律,公司有权酌情决定使用去标识化的个人信息。此外,给数据主体提供的主要权利之一是收集通知和违规通知。CCPA要求企业告知客户正在收集哪些类别的个人信息以及收集信息的原因。最后,经济激励措施。GDPR规定,企业不能因数据主体行使权利而歧视数据主体,并且没有像CCPA那样有选择同意使用个人信息的经济激励措施。
2.2.2 对比CCPA与GDPR的异同之处
G D P R和C C PA虽 然 具 有相同的规范模式,却规定了不同的职责和义务。因此,现在符合GDPR数据隐私框架的公司将不一定符合CCPA数据隐私框架体系,企业需进行合规审查。GDPR创造了比CCPA更多的数据隐私权,并对商界产生了更广泛的影响。具体表现在以下四个方面:首先,在GDPR和CCPA下,被遗忘权中的删除程序应用是不同的。根据GDPR,除非适用豁免程序,数据主体必须满足数据被删除的条件,随后控制者必须删除相应数据。而在CCPA下,消费者不必满足任何条件,却存在可以拒绝请求的有限具体的豁免清单。其次,消费者选择加入和选择退出的权利并不相同。GDPR要求消费者选择允许处理数据,而CCPA要求消费者可以选择不允许公司出售他们的数据信息。再者,CCPA不需要像GDPR需要企业设立数据保护官,但它确实要求企业培训员工参与合规性审查工作和回应客户数据处理关于是否符合CCPA。最后,这两项法律都为集体诉讼设立了诉讼因由,要求数据泄露的企业需进行最低法定损害赔偿,并允许国家对违规行为处以罚款。集体诉讼和违规处罚金额一般不会相同,企业不合规的风险也可能非常高。
近年来,我国陆续出台《网络安全法》《数据安全法》《个人信息保护法(草案)》等法律。中国正在积极探索建立金融数据治理框架,但相关可落地的方法仍有待完善。中国是世界经济难以分割的重要组成部分,应积极参与全球数据治理规则的制定,以阻止全球市场的进一步倒退分割。
《中华人民共和国数据安全法》(以下简称《数据安全法》)于2021年9月1日起正式施行。第一,它明确重要数据出境安全管理制度。该法第31条规定了数据的出入境安全管理制度和管理办法。其一,该条规定了关键信息基础设施运营者在境内运营过程中采集、生成的重要数据的出境安全管理应适用《网络安全法》第37条规定的一般与例外情形。其二,对其他数据处理者在国内运营中收集和生成的重要数据的规定,目前可参考国家网信办在2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称,《办法》),其中第9条规定了6类重要数据。《办法》规定网络运营者在将数据输出境时,应当向行业主管部门或者监管部门的现场提交安全评估报告。由于该《办法》尚未正式颁布实施,征求意见稿发布时间较长,对关键信息基础设施经营者以外的数据处理者,数据出境安全管理的相关规定尚不明确,因此需等待官方出台正式的文件。但在此之前,公司需要密切关注其重要数据出境时的合规义务。最后,严格规制面向境外司法或者执法机构的数据出境活动。《数据安全法》第36条制定的背景是近年来国家之间的数据管辖权存在冲突,并在国际大环境中日趋激烈。2018年3月,美国通过了《澄清海外合法使用数据法》,该法第103(a)(1)条规定,“无论该信息是在美国国内还是国外,电子通信服务或远程计算服务提供者需保存、备份或披露电子通信信息者、内容提供者以及拥有、保管或控制任何记录或其他与客户有关,并由客户产生的信息。”这为在数据领域确立“长臂管辖”规则奠定了初步立法基础。在此背景下,我国《数据安全法》的规定明确了境内数据的管辖权以及相关机构的法律责任,这不仅意味着第36条的规定是企业应严格履行的一项数据合规义务,还在法律上也有可进行援引的法律规范。
《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)已于2021年11月1日起正式施行。与GDPR、CCPA等制度相比,我国《个人信息保护法》虽有不同之处,却亦有其自身的特性。其一,适用范围。《个人信息保护法》第3条第1款设定的基本原则为属地主义,即无论数据处理者是外国主体还是个人信息主体是外国人,只要数据处理活动发生在中国境内,均适用本法。而《个人信息保护法》第3条第2款也借鉴了GDPR的规则,具有事实上“长臂管辖”的效果。其二,个人信息的定义。《个人信息保护法》第4条规定了个人信息的范畴,在历经《网络安全法》《民法典》的发展变化,最终确定“识别标准+关联标准”的判断方式。有关识别标准的判断方法是从信息到个人,可以通过信息自身的特征来识别个人,例如身份证信息、籍贯等;而关联标准是从个人到信息,即已知的特定个人在其活动中产生的信息,例如某人的定位、手机账单等。其三,合法、有效标准。《个人信息保护法》首次突破了《网络安全法》以“告知—同意”为核心的单一法律基础,对《民法典》第1035条所规定的“法律、行政法规另有规定”进行了细化和扩展。虽然《个人信息保护法》还未像欧盟GDPR的规定,要求数据控制者在收集数据主体个人数据时需说明处理的法律依据,但此有益于企业制定对应的数据合规策略,以确保个人信息的合规性。《个人信息保护法》第14条、第15条规定了在个人信息主体同意处理个人信息的情形下,需达到获得个人同意的有效标准及符合撤回同意进行规定。该同意应由个人在充分知情的前提下,自愿、明确地作出,且可以被便捷地撤回。第16条还规定,个人信息处理者不得拒绝提供产品或者服务的相关理由。其四,跨境传输的路径。在跨境传输的通用要求上,无论企业构成何种主体,只要涉及将个人信息跨境传输,就要求保障境外接收方处理个人信息的活动时需达到《个人信息保护法》规定的对个人信息最基本的保护标准,且告知个人关于个人信息跨境传输的相关情况并取得个人的单独同意,当然,这需要事先进行个人信息保护影响评估。在跨境传输的路径设计上,对于个人信息处理者来说,在进行数据跨境传输时,除满足上述一般的要求以外,还需要根据数据本身的特征以符合规则的基本要求。最后,个人信息主体权利。《个人信息保护法》规定的法定权利与GDPR以及CCPA的对比下,该法第44条赋予信息主体具有对信息的决定权,这在GDPR和CCPA项下却没有明确指出,而第45条第2款首次引入了GDPR和CCPA项下的可携带权,由此可知,我国《个人信息保护法》与GDPR和CCPA等制度仍有异同,并趋于相互吸收、借鉴。
我国应借鉴国际数据治理的经验,积极建设国际数据治理合作机制,投身于数据安全治理之中。
在通信信息技术飞速发展的时代,金融科技在全球市场领域进行了广泛应用,金融用户信息的收集、分析及处理更为便捷与专业,数据的合理使用、流通安全、信息共享等问题引发广泛关注。在国际上,欧盟、美国等国家在数据治理中均积累了一些先进的国际经验。《个人信息保护法》的通过和正式实施,我国缺乏专门的个人信息保护立法的时代一去不复返,并会迎来个人信息保护的新时代。我国应借鉴国际数据治理的经验,积极建设国际数据治理合作机制,投身于数据安全治理之中。面对新的法律规则与市场环境,我国企业也迫切需要重塑内部合规及管理体系,结合自身数据处理活动的能力,设置数据保护机构并承担起数据治理的行政职责,以应对数据治理带来的合规风险。■