韓一鳴

摘 要：因我國金融控股公司自身特殊的經(jīng)營模式，以及現(xiàn)行法律法規(guī)與現(xiàn)實情況不完全配合，金融控股公司中不同子公司之間進(jìn)行個人數(shù)據(jù)共享可能會侵犯金融消費者的數(shù)據(jù)安全。本文在法律制度層面對平衡金融消費者的個人數(shù)據(jù)安全與我國金融控股公司的良好發(fā)展這一問題提出了數(shù)據(jù)分類、完善隱私政策說明書、保障消費者的選擇權(quán)與救濟權(quán)等建議。

關(guān)鍵詞：金融控股公司;數(shù)據(jù)共享;個人數(shù)據(jù)

緒 論

一般認(rèn)為，金融控股公司可以定義為：“在同一控制下，下屬受監(jiān)管實體大規(guī)模從事兩類或兩類以上的銀行、證券、保險、基金、信托、期貨、融資租賃業(yè)務(wù)。同時對每類業(yè)務(wù)的資本要求不同的，擁有牌照、實際經(jīng)營或者實際控制該行業(yè)企業(yè)的公司”。金融消費者的個人信息大數(shù)據(jù)化這一現(xiàn)象在金融控股公司中已然十分普遍。但是，金融消費者和金融控股公司都應(yīng)意識到，通過金融消費形成的個人數(shù)據(jù)受個人隱私的約束。目前，我國法律法規(guī)對金融控股公司應(yīng)當(dāng)如何保護(hù)金融消費者的個人數(shù)據(jù)這一問題并沒有專門的規(guī)定。與之相比，在英美等國的法律實踐中，對客戶信息保密等默示義務(wù)包含于默示條款中。通過這種方式，金融消費者的個人數(shù)據(jù)安全權(quán)在很大程度上有了良好的保障。金融控股公司在共享個人數(shù)據(jù)時，應(yīng)考慮平衡商業(yè)利益與個人金融隱私權(quán)保護(hù)，我國未來立法也應(yīng)在金融控股公司對客戶數(shù)據(jù)的共享方面做出限制規(guī)定。

一、我國金融控股公司中個人數(shù)據(jù)共享問題的成因

除金融公司特殊的經(jīng)營模式與現(xiàn)行立法不能完全配合之外，我國金融控股公司體系中現(xiàn)存的個人數(shù)據(jù)共享問題的出現(xiàn)，大致還有以下幾點原因：

原有金融控股公司消費者數(shù)據(jù)保護(hù)模式存在缺陷。美國《金融服務(wù)現(xiàn)代化法》確保消費者了解金融機構(gòu)的隱私政策，進(jìn)而由消費者做出決定是否允許金融機構(gòu)收集自身的金融數(shù)據(jù)，并用于確定的目的，最終由消費者來做出知情決策。這一消費者數(shù)據(jù)保護(hù)模式本身是美國的經(jīng)典模式，但該制度并不適合中國國情，也無法適應(yīng)當(dāng)下的中國市場環(huán)境，已顯示出較大局限性。

金融控股公司超越最低需求獲取信息。在收集金融消費者的信息時，金融控股公司會擴大信息收集的來源和渠道，超越最低需求。此外，因業(yè)務(wù)需要，與客戶產(chǎn)生業(yè)務(wù)的銀行可以直接獲取到客戶的征信報告。但是，消費者無從得知銀行是否會與集團(tuán)內(nèi)部其他子公司共享征信報告。我國《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》在這一點上也依然存在法律保障體系不完善問題。

大數(shù)據(jù)技術(shù)廣泛應(yīng)用于金融控股公司。在大數(shù)據(jù)技術(shù)迅猛發(fā)展的時代條件下，利用云存儲、數(shù)據(jù)挖掘、統(tǒng)計分析等技術(shù)手段，金融控股公司對個人金融數(shù)據(jù)的掌控更加便捷、全面。然而，由于金融消費者無從了解和控制信息的使用目的與途徑，這些數(shù)據(jù)很可能會被金融控股公司不正當(dāng)使用。

二、金融控股公司體系中個人數(shù)據(jù)共享問題的比較分析

基于數(shù)據(jù)安全考慮，我國應(yīng)借鑒歐盟《個人數(shù)據(jù)保護(hù)指令》的規(guī)定，對金融控股公司內(nèi)部共享數(shù)據(jù)的范圍作出一定限制。我國立法機關(guān)應(yīng)當(dāng)作出與我國現(xiàn)有的《網(wǎng)絡(luò)安全法》相配合的規(guī)定，若因業(yè)務(wù)需要，金融控股公司內(nèi)部將客戶數(shù)據(jù)共享至境外前，至少應(yīng)先首先獲得金融消費者的知情與同意。

在金融控股公司共享個人數(shù)據(jù)的目的方面，我國立法機關(guān)可以借鑒我國臺灣地區(qū)的規(guī)定，在法律規(guī)定中明確限制金融控股公司采集和共享個人數(shù)據(jù)的目的和用途。根據(jù)我國臺灣地區(qū)《金融控股公司子公司間共同營銷管理辦法》第 11 條，金融控股公司子公司之間的消費者數(shù)據(jù)共享，只能出于營銷的目的，不能為了其他用途。

針對我國金融控股公司的個人數(shù)據(jù)共享，對于非敏感性的一般數(shù)據(jù)和公開數(shù)據(jù)，應(yīng)當(dāng)可以直接共享。而對于敏感數(shù)據(jù)，則應(yīng)通過法律保障金融消費者的知情權(quán)和選擇權(quán)來保護(hù)。歐盟與我國臺灣地區(qū)均對可處理或共享的數(shù)據(jù)種類做出了明確規(guī)定。在我國未來立法中，首先應(yīng)配合我國現(xiàn)行的法律中對數(shù)據(jù)敏感程度分類的規(guī)定，將金融消費者的個人數(shù)據(jù)區(qū)分為敏感數(shù)據(jù)與非敏感數(shù)據(jù)。給予金融控股公司直接共享金融消費者非敏感數(shù)據(jù)的權(quán)利，并通過強化金融消費者知情權(quán)、選擇權(quán)與救濟權(quán)的方式，保護(hù)金融消費者的敏感數(shù)據(jù)。

根據(jù)GDPR，數(shù)據(jù)控制者收集個人信息必須給予個人充分知情權(quán)。根據(jù)我國具體情況，完善金融控股公司共享個人數(shù)據(jù)的隱私政策說明書是妥善解決這一問題的有效途徑。我國立法機關(guān)應(yīng)明確要求，隱私政策說明書中要有明顯字體提醒金融消費者注意。金融控股公司內(nèi)部的子公司接到消費者通知后，就必須停止共享消費者的數(shù)據(jù)，并且按照消費者所確認(rèn)的授權(quán)使用的子公司的范圍執(zhí)行。此外，我國立法機關(guān)還可以要求我國金融控股公司將共同營銷的子公司名稱及其保密措施在公司網(wǎng)頁進(jìn)行公告，并且以書面或者電子郵件方式通知消費者。

除消費者的知情權(quán)外，歐盟GDPR法規(guī)還為數(shù)據(jù)主體提供了大量選擇。結(jié)合我國情況，我國立法機關(guān)應(yīng)在立法中明確賦予金融消費者選擇權(quán)，即金融消費者有權(quán)不允許金融控股公司共享其個人數(shù)據(jù)的權(quán)利。此外，在一定條件下，金融消費者還應(yīng)有要求金融控股公司刪除、限制處理和反對處理個人數(shù)據(jù)的權(quán)利。

三、平衡金融控股公司體系中商業(yè)利益與個人數(shù)據(jù)保護(hù)

遵循利益平衡原則。金融控股公司與消費者之間存在嚴(yán)重信息不對稱，消費者只有依賴法律法規(guī)的傾斜保護(hù)，才能與占據(jù)技術(shù)和信息優(yōu)勢的金融控股公司平等交易，督促后者承擔(dān)隱私保護(hù)義務(wù)及可能產(chǎn)生的損害賠償責(zé)任。此外，平衡金融控股公司的信息共享與用戶的個人隱私保護(hù)時，應(yīng)在堅持保護(hù)個人隱私基本權(quán)利的前提下，避免隱私保護(hù)的泛化。

進(jìn)行數(shù)據(jù)分類 完善隱私政策說明書。如前文所述，對于不敏感的一般數(shù)據(jù)和公開數(shù)據(jù)，金融控股公司可直接進(jìn)行共享。而對于敏感數(shù)據(jù)，則必須在獲得金融消費者知情和同意的條件下才可以進(jìn)行共享。完善隱私政策說明書是保障消費者知情權(quán)的有效方法。在內(nèi)容規(guī)定方面，我國立法機關(guān)還可以參考美國對隱私政策說明書的具體規(guī)范。

保障消費者的選擇權(quán)與救濟權(quán)。如前文所述，我國立法機關(guān)可以借鑒歐盟GDPR金融消費者有權(quán)不允許金融控股公司共享其個人數(shù)據(jù)的規(guī)定。我國立法機關(guān)還應(yīng)考慮加入保障金融消費者可以要求金融控股公司刪除個人數(shù)據(jù)、限制處理個人數(shù)據(jù)和反對處理個人數(shù)據(jù)的權(quán)利條款。此外，消費者救濟權(quán)利不僅要能夠?qū)崿F(xiàn)快捷、低成本，救濟途徑還要能與立法相配合。

結(jié) 語

金融控股公司特殊的經(jīng)營模式?jīng)Q定了集團(tuán)內(nèi)部的很多子公司可以從事不同行業(yè)，因此可以獲得不同來源的客戶數(shù)據(jù)。個人數(shù)據(jù)共享是金融控股公司相較于其他普通金融機構(gòu)的重要優(yōu)勢，出于對商業(yè)利益的追求和自身發(fā)展的需要，輔以大數(shù)據(jù)技術(shù)的廣泛應(yīng)用，不同來源的個人數(shù)據(jù)很可能會被金融控股公司在全集團(tuán)內(nèi)部共享。但是，這無疑會侵害到消費者個人的數(shù)據(jù)安全。為了在法律制度層面解決該問題，我國立法機關(guān)可以借鑒其他國家及地區(qū)的規(guī)定，在立法中完善個人數(shù)據(jù)分類、消費者選擇權(quán)和知情權(quán)保障、消費者權(quán)利救濟等規(guī)定，平衡金融控股公司的信息共享需求與金融消費者的個人數(shù)據(jù)隱私權(quán)益。

參考文獻(xiàn)

[1] 張民安.信息性隱私權(quán)研究——信息性隱私權(quán)的產(chǎn)生、發(fā)展、適用范圍和爭議[M].中山大學(xué)出版社，2014.

[2] 黎金榮.中美金融消費者保護(hù)制度比較[J].湛江師范學(xué)院學(xué)報，2012（2）.

[3] 何穎.論金融消費者保護(hù)的立法原則[J].法學(xué)，2010，（2）.

[4] 王仲會.金融控股公司研究[J].東北財經(jīng)大學(xué)學(xué)報，2005（3）.