(三)共性规则
1.金融数据流动共享“知情-同意”规则
虽然美国和欧盟采纳了不同的立法理念,但本质上二者都在“同意”的形式上在加强对个人数据的权益保护。“知情-同意”规则是个人数据保护中的“帝王”条款,也是个人金融数据流动或共享法律规制的核心。金融数据权益是具有公法性质的私权利,对于私权利的保护应当充分尊重其意思自治。为避免将对个人金融数据流动共享的方式被认定为“概括授权”,应注意避免将金融消费者个人数据共享的授权条款直接勾选为同意;在取得金融消费者授权时应明确金融数据授权的目的、方式和范围;允许客户撤回金融数据授权的同意,以及避免采用“相关信息”等模糊不清的表述。因此,在个人金融数据流动共享的过程中,还应严格遵循“知情-同意”规则。
2.金融数据流动共享者的法律义务与责任
欧盟和美国在相关的立法文书中,都规定了金融机构的责任和义务,明确了作为数据处理者,金融机构所应当承担的责任。美国法律规定了金融机构处理个人数据的条件和范围,以及必须以合理的方式向金融消费者提供隐私权保护的相关政策,同时也强调了金融机构必须以合理的方式向个人数据主体进行通知,以便保护金融消费者的隐私权和数据安全,违反此类规定的金融机构需承担法律责任。欧盟法律规定,金融机构对个人数据的合法性使用,必须经数据主体本人授权、履行法定职责,并要求采取必要性保护措施。
3.高效协调的金融数据流动共享监管机制
在监管模式上,欧盟倾向于设立专门的个人数据保护的专职机构,并强调监管的全面性和协调性,其优势在于将金融数据流动或共享的监管权集中于一个监管机构,从而使得监管执法的标准、程序更加统一,有助于提升监管的效率。美国的金融监管则比较注重市场自我调节和监管,强调市场的自由度和竞争力,也重视行业自律组织的作用,通过行业协会等组织进行自律监管。
三、欧盟、美国经验对粤港澳大湾区的可鉴之处
(一)防范个人金融数据流动共享法律风险
1.保障金融消费者的知情选择权
一方面,在消费者与金融机构之间的契约关系中,数据作为合同客体,必须要尊重金融消费者的意思自治。当在数据被金融机构所掌控时,金融机构有责任保护金融数据主体隐私和人格,在进行数据共享前,金融机构应当以通俗易懂的语言,真实、准确地向金融消费者披露可能影响其决策的信息,法律也应当赋予金融消费者拥有权利介入数据共享环节,以保护金融消费者的数据权益并及时控制对其数据权益可能造成损害的处理行为。这是数据共享中数据主体行使知情权的一种表现。另一方面,在数据处于金融机构控制时,金融机构也需要明确,数据主体依然享有自主选择权,可以根据法律规定以及个人意愿来选择是否同意进行数据共享。在特定情况下,金融机构进行金融数据流动共享仍然需要告知金融消费者并由其做出最后决策。
2.规范隐私保护计算技术的应用
隐私保护计算是隐私权保护下金融数据流动共享的技术实现路径。隐私保护计算一般通过三个环节保证数据和模型隐私,具体做法如下:首先,通过对原始数据进行去标识化处理,以确保合作的第三方机构无法通过数据逆向推导出数据主体的身份,但要尽可能地保留数据的“信息价值”,做到共享数据的“可算不可识”。其次,提升数据和模型计算环境的安全性,确保全程安全可控,可以通过硬件化、安全沙箱、存取控制、数据脱敏、流转管控、即时风控和行为审计等手段实现安全性。再次,保护数据中涉及的隐私,在不暴露原始数据的情况下进行数据流动、共享和价值提取,可采用智慧计算技术,如多方安全计算、差分隐私和联邦学习等方法实现数据的“可用不可见”。⑥
3.建立金融数据流动共享前置风险评估制度
欧美的经验表明,风险评估制度能够有效检测各方金融数据主体的安全保障能力。但该制度难以得到真正地贯彻实施,因为风险评估规范作为行业标准对金融机构往往并不具备强制效力。为此,应当引入风险评价机制,用行政强制力来保障风险评估的执行。此外,对金融机构的合规措施进行内外部评估,可以在一定程度上减轻金融机构的合规成本。
(二)构建金融数据流动共享法律规则
1.优化“知情-同意”授权规则
首先,应遵循“三重授权”的规则。“三重授权”方法要求在进行个人数据共享时,需要获取三次授权,即共享个人数据需取得三次授权,分别对应数据权利人对数据控制者收集个人数据的授权,数据控制者对其他控制者的授权以及数据权利人对数据控制者共享个人数据的授权。⑦
其次,应当优化知情同意授权模式。金融机构可以采用简化的流程和介面,减少授权的步骤和介面的复杂性,向金融消费者披露数据的实际使用情况;同时,可以提供更加多样化的知情同意授权方式,如单项选择、分级授权等。
最后,适当使用“即时同意”规则。金融机构在超出原始数据收集的目的和许可权的前提下,运用原有金融数据,结合深度挖掘和分析技术,发掘数据之间的关联性和规律性,以获取新的价值。此时,金融机构应该获得金融消费者的“即时同意”才能进行二次利用包括共享行为。
2.厘清个人金融数据流动共享者的义务与责任
针对金融数据流动共享者的义务,具体要求如下:(1)数据共享前:应当签订数据共享协定,告知数据主体共享目的及第三方机构类型并取得授权,确保数据主体的知情权;还应当加强对数据接收方的尽职调查,确保其具备合法的资质。(2)数据共享中:应对数据的共享情况进行精确的记载,包括共享的日期、规模、目的,以及数据接收方的基本情况等;采取必要的安全措施,确保金融数据在共享过程中的安全性和保密性,防范数据泄露、篡改和丢失等风险。(3)数据共享后:应按照《网络安全法》的要求保存共享记录不少于6个月。
金融数据流动共享涉及的主体多元,在金融消费者的个人数据权利受到侵害时,应当确定侵权责任主体,并对不同责任主体的责任承担方式进行判断。从是否有金融消费者授权来看,金融数据跨境流动可能引发两种类型的纠纷:第一种是金融机构或第三方机构未经金融消费者授权,故意或者重大过失地向他人共享金融数据。金融消费者若提起违约之诉,则可依据合同条款有权要求金融机构承担违约责任。金融消费者若提起侵权之诉,则可以依据侵权责任原理要求金融机构和第三方机构承担对外连带责任。第二种是在经过金融消费者授权下,金融机构或第三方机构故意或者重大过失地超出授权范围共享数据。金融消费者有权根据合同条款提起违约之诉,也可以在规定时期内对共享行为进行合法性追认,但这种约定不能对抗法律法规的强制性规定。此外,如果金融消费者在财产或者人格方面受到侵害,金融机构和第三方机构存在共同侵权,金融消费者有权要求其承担连带责任。
3.制定第三方机构审核与认证规则
为从源头上防控风险,对于数据的共享对象是第三方机构的情况。首先,应要求第三方机构取得相关的牌照或者具有合格资质。在审核第三方机构提交的申请材料时,金融机构需要核查其营业执照是否写明确定的营业范围,并检查其内部控制水平和技术能力等方面的资质,同时加强对金融消费者的数据授权安全保护。⑧可以参考欧盟相关规定,在准入管理方面,加强对第三方机构的指导和制定规范,包括但不限于以下措施:对第三方机构实施资质管理,如设定帐户存取权限;并制定由金融机构和第三方机构承担因消费者帐户缺陷或欺诈行为造成的损失的责任分配方案。⑨其次,应当设立“黑名单”机制。将有数据运营异常记录的第三方机构列入在金融机构的黑名单,如果第三方机构采取补救措施消除负面影响,则可以请求从黑名单中删除。同时,“黑名单”应由各类金融机构共享,以消除由于信息不对称带来的损害。再次,应引进第三方机构的验证制度。在第三方机构发起的数据转移请求时,可以通过“用户名和密码”进行“单一验证”,针对隐私风险较高的数据,应实施“用户名和密码+电子邮件复验”的“双重验证”,例如先使用用户名和密码登录,再以电子邮件或文本消息进行重复验证。
(三)协调金融数据流动共享监管机制
1.推进机构监管与功能监管相结合
随着金融新业态的蓬勃发展,粤港澳大湾区金融数据监管需要考虑两个方面的问题:一是要考虑对金融数据的共享行为进行监管不会过分抑制金融的发展与创新;二是功能监管和机构监管两种模式的结合过程中,应考虑取舍什么、如何取舍、取舍到什么程度的问题。我国金融控股公司的出现也更多地参照了美国模式,在功能监管建立的初期采取美国伞式功能监管。待监管水平达到一定程度后,再向功能监管中的双峰模式或欧盟统一监管模式逐渐转变,这应该是比较合理的路径。
2.细化金融数据反垄断监管规则
首先,要制定金融数据垄断的具体判定标准。可以从以下考虑:一方面,针对特定金融市场,明确参与市场的主体及其所拥有的数据;另一方面,需要考虑金融数据垄断行为对金融市场和金融消费者的影响,包括价格、品质、创新等方面。只有综合考虑以上因素,才能够对金融数据垄断进行准确判定。其次,完善对金融数据的反垄断监管的法律。为此,可以从以下三个方面入手:其一,建立金融数据的反垄断法律框架,包括法律法规、监管规则和执法机构等。其二,明确金融数据反垄断监管的对象和范围。针对金融数据垄断行为,需要明确监管对象为金融机构和互联网金融平台等经营者,并且监管范围需要覆盖金融数据的收集、共享、使用、销售等环节。其三,加强金融数据反垄断执法力度,制定有力的惩罚规则。
四、粤港澳大湾区金融数据跨境流动规则构建与协调的基本路径
(一)建立粤港澳大湾区金融数据跨境流动制度的协调对接机制
金融数据多为敏感性数据,不仅涉及个人隐私权保护,还可能涉及国家安全。粤港澳大湾区有必要建立相互协调的金融数据分类、分级保护制度,并对重要金融数据建立联合认定和识别机制,加强保护。首先,建立粤港澳协调互认的金融数据分类分级制度,明确一般金融数据和重要金融数据的识别标准,并能在大湾区内互认,为大湾区内金融数据跨境流动奠定制度和标准基础。其次,建立粤港澳联合金融数据跨境流动评估机制,并适当简化大湾区内金融数据跨境流动评估程序,对于一般金融数据,在严格保护个人隐私权的基础上,制定相对宽松的跨境流动评估程序;对于重要金融数据,仅在大湾区范围内流动的,除涉及国家安全事项需要单独评估外,也尽可能简化评估程序。再次,鼓励大湾区金融机构在处理数据跨境流动时,采用数据脱敏技术,在技术层面降低金融数据的敏感性和跨境流动的安全风险。
(二)提升粤港澳大湾区金融数据跨境流动的法律保护水准
因应数字经济、数字金融的飞速发展,粤港澳大湾区在数据跨境流动的法律保护方面,均已初步出台了一些法律规定,已经有一定的法律基础,但对于金融数据的跨境流动,法律保护水平尚不高。内地有关金融数据法律保护的立法和实践,目前尚处于摸索阶段,澳门由于金融市场不够发达,在此领域的立法和司法实践稍显滞后,而香港在普通法体系下,对个人隐私有着较高的法律保护标准,同时在司法层面,香港的判例法传统对此也有较好的调适性和灵活应对性。因此,提升大湾区金融数据跨境流动的法律保护水平,大湾区内地九市和澳门均应该以香港的规则、制度和司法实践为基准,在立法和司法上,不仅要尽快消除三地的法律保护水平差,更要对标欧盟、美国等先进地区,提升法律保护能力。
(三)加强粤港澳大湾区金融数据跨境流动监管和执法合作
大湾区需要强化金融数据跨境流动安全和个人信息保护的联合监管及执法协作。在联合监管层面,大湾区金融监管部门要建立数据跨境流动的联合监管机制,加强监管标准和流程的对接协调、监管信息的共享、监管措施的协助,必要时应建立跨境联合监管机制。在执法协作层面,大湾区金融执法部门要建立数据跨境流动的信息共享与联合调查机制,在执法证据搜集、执法信息共享、处罚措施协助等方面,进行充分的合作。
注释:
①杨晓伟、张誉馨、贾丹:《粤港澳大湾区数据跨境流动的挑战与对策研究》,《工业信息安全》2023年第4期。
②洪延青:《个人金融信息收集和共享的基本原理:基于中美欧规则的展开》,《中国银行业》2019年第12期。
③See Steven R. Roach, William R. J. Schuerman, Privacy Year in Review: Recent Developments in the Gramm-Leach Bliley Act, Fair Credit Reporting Act, and Other Acts Affecting Financial Privacy, A Journal of Law and Policy for the Information Society, Vol. 1, 2005, pp385-390.
④许娟、黎浩田:《个人金融信息风险民事责任的实现》,《江苏社会科学》2022年第1期。
⑤彭德雷、张子琳:《数字时代金融数据跨境流动的风险与规制研究》,《国际商务研究》2022年第1期。
⑥张晔:《隐私计算:让数据“可用不可见”》,《科技日报》2023年4月10日第2版。
⑦王利明:《数据共享与个人信息保护》,《现代法学》2019年第1期。
⑧陈振云:《我国金融数据治理法律构建的三个维度》,《贵州大学学报(社会科学版)》2022年第5期。
⑨赵吟:《开放银行模式下个人数据共享的法律规制》,《现代法学》2020年第3期。
(全文刊载于《中国评论》月刊2024年5月号,总第317期,P63-70) |
