(三)共性規則
1.金融數據流動共享“知情-同意”規則
雖然美國和歐盟採納了不同的立法理念,但本質上二者都在“同意”的形式上在加強對個人數據的權益保護。“知情-同意”規則是個人數據保護中的“帝王”條款,也是個人金融數據流動或共享法律規制的核心。金融數據權益是具有公法性質的私權利,對於私權利的保護應當充分尊重其意思自治。為避免將對個人金融數據流動共享的方式被認定為“概括授權”,應注意避免將金融消費者個人數據共享的授權條款直接勾選為同意;在取得金融消費者授權時應明確金融數據授權的目的、方式和範圍;允許客戶撤回金融數據授權的同意,以及避免採用“相關信息”等模糊不清的表述。因此,在個人金融數據流動共享的過程中,還應嚴格遵循“知情-同意”規則。
2.金融數據流動共享者的法律義務與責任
歐盟和美國在相關的立法文書中,都規定了金融機構的責任和義務,明確了作為數據處理者,金融機構所應當承擔的責任。美國法律規定了金融機構處理個人數據的條件和範圍,以及必須以合理的方式向金融消費者提供隱私權保護的相關政策,同時也強調了金融機構必須以合理的方式向個人數據主體進行通知,以便保護金融消費者的隱私權和數據安全,違反此類規定的金融機構需承擔法律責任。歐盟法律規定,金融機構對個人數據的合法性使用,必須經數據主體本人授權、履行法定職責,並要求採取必要性保護措施。
3.高效協調的金融數據流動共享監管機制
在監管模式上,歐盟傾向於設立專門的個人數據保護的專職機構,並強調監管的全面性和協調性,其優勢在於將金融數據流動或共享的監管權集中於一個監管機構,從而使得監管執法的標準、程序更加統一,有助於提升監管的效率。美國的金融監管則比較注重市場自我調節和監管,強調市場的自由度和競爭力,也重視行業自律組織的作用,通過行業協會等組織進行自律監管。
三、歐盟、美國經驗對粵港澳大灣區的可鑒之處
(一)防範個人金融數據流動共享法律風險
1.保障金融消費者的知情選擇權
一方面,在消費者與金融機構之間的契約關係中,數據作為合同客體,必須要尊重金融消費者的意思自治。當在數據被金融機構所掌控時,金融機構有責任保護金融數據主體隱私和人格,在進行數據共享前,金融機構應當以通俗易懂的語言,真實、準確地向金融消費者披露可能影響其決策的信息,法律也應當賦予金融消費者擁有權利介入數據共享環節,以保護金融消費者的數據權益並及時控制對其數據權益可能造成損害的處理行為。這是數據共享中數據主體行使知情權的一種表現。另一方面,在數據處於金融機構控制時,金融機構也需要明確,數據主體依然享有自主選擇權,可以根據法律規定以及個人意願來選擇是否同意進行數據共享。在特定情況下,金融機構進行金融數據流動共享仍然需要告知金融消費者並由其做出最後決策。
2.規範隱私保護計算技術的應用
隱私保護計算是隱私權保護下金融數據流動共享的技術實現路徑。隱私保護計算一般通過三個環節保證數據和模型隱私,具體做法如下:首先,通過對原始數據進行去標識化處理,以確保合作的第三方機構無法通過數據逆向推導出數據主體的身份,但要盡可能地保留數據的“信息價值”,做到共享數據的“可算不可識”。其次,提升數據和模型計算環境的安全性,確保全程安全可控,可以通過硬件化、安全沙箱、存取控制、數據脫敏、流轉管控、即時風控和行為審計等手段實現安全性。再次,保護數據中涉及的隱私,在不暴露原始數據的情況下進行數據流動、共享和價值提取,可採用智慧計算技術,如多方安全計算、差分隱私和聯邦學習等方法實現數據的“可用不可見”。⑥
3.建立金融數據流動共享前置風險評估制度
歐美的經驗表明,風險評估制度能夠有效檢測各方金融數據主體的安全保障能力。但該制度難以得到真正地貫徹實施,因為風險評估規範作為行業標準對金融機構往往並不具備強制效力。為此,應當引入風險評價機制,用行政強制力來保障風險評估的執行。此外,對金融機構的合規措施進行內外部評估,可以在一定程度上減輕金融機構的合規成本。
(二)構建金融數據流動共享法律規則
1.優化“知情-同意”授權規則
首先,應遵循“三重授權”的規則。“三重授權”方法要求在進行個人數據共享時,需要獲取三次授權,即共享個人數據需取得三次授權,分別對應數據權利人對數據控制者收集個人數據的授權,數據控制者對其他控制者的授權以及數據權利人對數據控制者共享個人數據的授權。⑦
其次,應當優化知情同意授權模式。金融機構可以採用簡化的流程和介面,減少授權的步驟和介面的複雜性,向金融消費者披露數據的實際使用情況;同時,可以提供更加多樣化的知情同意授權方式,如單項選擇、分級授權等。
最後,適當使用“即時同意”規則。金融機構在超出原始數據收集的目的和許可權的前提下,運用原有金融數據,結合深度挖掘和分析技術,發掘數據之間的關聯性和規律性,以獲取新的價值。此時,金融機構應該獲得金融消費者的“即時同意”才能進行二次利用包括共享行為。
2.厘清個人金融數據流動共享者的義務與責任
針對金融數據流動共享者的義務,具體要求如下:(1)數據共享前:應當簽訂數據共享協定,告知數據主體共享目的及第三方機構類型並取得授權,確保數據主體的知情權;還應當加強對數據接收方的盡職調查,確保其具備合法的資質。(2)數據共享中:應對數據的共享情況進行精確的記載,包括共享的日期、規模、目的,以及數據接收方的基本情況等;採取必要的安全措施,確保金融數據在共享過程中的安全性和保密性,防範數據洩露、篡改和丟失等風險。(3)數據共享後:應按照《網絡安全法》的要求保存共享記錄不少於6個月。
金融數據流動共享涉及的主體多元,在金融消費者的個人數據權利受到侵害時,應當確定侵權責任主體,並對不同責任主體的責任承擔方式進行判斷。從是否有金融消費者授權來看,金融數據跨境流動可能引發兩種類型的糾紛:第一種是金融機構或第三方機構未經金融消費者授權,故意或者重大過失地向他人共享金融數據。金融消費者若提起違約之訴,則可依據合同條款有權要求金融機構承擔違約責任。金融消費者若提起侵權之訴,則可以依據侵權責任原理要求金融機構和第三方機構承擔對外連帶責任。第二種是在經過金融消費者授權下,金融機構或第三方機構故意或者重大過失地超出授權範圍共享數據。金融消費者有權根據合同條款提起違約之訴,也可以在規定時期內對共享行為進行合法性追認,但這種約定不能對抗法律法規的強制性規定。此外,如果金融消費者在財產或者人格方面受到侵害,金融機構和第三方機構存在共同侵權,金融消費者有權要求其承擔連帶責任。
3.制定第三方機構審核與認證規則
為從源頭上防控風險,對於數據的共享對象是第三方機構的情況。首先,應要求第三方機構取得相關的牌照或者具有合格資質。在審核第三方機構提交的申請材料時,金融機構需要核查其營業執照是否寫明確定的營業範圍,並檢查其內部控制水平和技術能力等方面的資質,同時加強對金融消費者的數據授權安全保護。⑧可以參考歐盟相關規定,在准入管理方面,加強對第三方機構的指導和制定規範,包括但不限於以下措施:對第三方機構實施資質管理,如設定帳戶存取權限;並制定由金融機構和第三方機構承擔因消費者帳戶缺陷或欺詐行為造成的損失的責任分配方案。⑨其次,應當設立“黑名單”機制。將有數據運營異常記錄的第三方機構列入在金融機構的黑名單,如果第三方機構採取補救措施消除負面影響,則可以請求從黑名單中刪除。同時,“黑名單”應由各類金融機構共享,以消除由於信息不對稱帶來的損害。再次,應引進第三方機構的驗證制度。在第三方機構發起的數據轉移請求時,可以通過“用戶名和密碼”進行“單一驗證”,針對隱私風險較高的數據,應實施“用戶名和密碼+電子郵件複驗”的“雙重驗證”,例如先使用用戶名和密碼登錄,再以電子郵件或文本消息進行重複驗證。
(三)協調金融數據流動共享監管機制
1.推進機構監管與功能監管相結合
隨著金融新業態的蓬勃發展,粵港澳大灣區金融數據監管需要考慮兩個方面的問題:一是要考慮對金融數據的共享行為進行監管不會過分抑制金融的發展與創新;二是功能監管和機構監管兩種模式的結合過程中,應考慮取捨什麼、如何取捨、取捨到什麼程度的問題。我國金融控股公司的出現也更多地參照了美國模式,在功能監管建立的初期採取美國傘式功能監管。待監管水平達到一定程度後,再向功能監管中的雙峰模式或歐盟統一監管模式逐漸轉變,這應該是比較合理的路徑。
2.細化金融數據反壟斷監管規則
首先,要制定金融數據壟斷的具體判定標準。可以從以下考慮:一方面,針對特定金融市場,明確參與市場的主體及其所擁有的數據;另一方面,需要考慮金融數據壟斷行為對金融市場和金融消費者的影響,包括價格、品質、創新等方面。衹有綜合考慮以上因素,才能夠對金融數據壟斷進行準確判定。其次,完善對金融數據的反壟斷監管的法律。為此,可以從以下三個方面入手:其一,建立金融數據的反壟斷法律框架,包括法律法規、監管規則和執法機構等。其二,明確金融數據反壟斷監管的對象和範圍。針對金融數據壟斷行為,需要明確監管對象為金融機構和互聯網金融平台等經營者,並且監管範圍需要覆蓋金融數據的收集、共享、使用、銷售等環節。其三,加強金融數據反壟斷執法力度,制定有力的懲罰規則。
四、粵港澳大灣區金融數據跨境流動規則構建與協調的基本路徑
(一)建立粵港澳大灣區金融數據跨境流動制度的協調對接機制
金融數據多為敏感性數據,不僅涉及個人隱私權保護,還可能涉及國家安全。粵港澳大灣區有必要建立相互協調的金融數據分類、分級保護制度,並對重要金融數據建立聯合認定和識別機制,加強保護。首先,建立粵港澳協調互認的金融數據分類分級制度,明確一般金融數據和重要金融數據的識別標準,並能在大灣區內互認,為大灣區內金融數據跨境流動奠定制度和標準基礎。其次,建立粵港澳聯合金融數據跨境流動評估機制,並適當簡化大灣區內金融數據跨境流動評估程序,對於一般金融數據,在嚴格保護個人隱私權的基礎上,制定相對寬鬆的跨境流動評估程序;對於重要金融數據,僅在大灣區範圍內流動的,除涉及國家安全事項需要單獨評估外,也盡可能簡化評估程序。再次,鼓勵大灣區金融機構在處理數據跨境流動時,採用數據脫敏技術,在技術層面降低金融數據的敏感性和跨境流動的安全風險。
(二)提升粵港澳大灣區金融數據跨境流動的法律保護水準
因應數字經濟、數字金融的飛速發展,粵港澳大灣區在數據跨境流動的法律保護方面,均已初步出台了一些法律規定,已經有一定的法律基礎,但對於金融數據的跨境流動,法律保護水平尚不高。內地有關金融數據法律保護的立法和實踐,目前尚處於摸索階段,澳門由於金融市場不夠發達,在此領域的立法和司法實踐稍顯滯後,而香港在普通法體系下,對個人隱私有著較高的法律保護標準,同時在司法層面,香港的判例法傳統對此也有較好的調適性和靈活應對性。因此,提升大灣區金融數據跨境流動的法律保護水平,大灣區內地九市和澳門均應該以香港的規則、制度和司法實踐為基準,在立法和司法上,不僅要儘快消除三地的法律保護水平差,更要對標歐盟、美國等先進地區,提升法律保護能力。
(三)加強粵港澳大灣區金融數據跨境流動監管和執法合作
大灣區需要強化金融數據跨境流動安全和個人信息保護的聯合監管及執法協作。在聯合監管層面,大灣區金融監管部門要建立數據跨境流動的聯合監管機制,加強監管標準和流程的對接協調、監管信息的共享、監管措施的協助,必要時應建立跨境聯合監管機制。在執法協作層面,大灣區金融執法部門要建立數據跨境流動的信息共享與聯合調查機制,在執法證據搜集、執法信息共享、處罰措施協助等方面,進行充分的合作。
註釋:
①楊曉偉、張譽馨、賈丹:《粵港澳大灣區數據跨境流動的挑戰與對策研究》,《工業信息安全》2023年第4期。
②洪延青:《個人金融信息收集和共享的基本原理:基於中美歐規則的展開》,《中國銀行業》2019年第12期。
③See Steven R. Roach, William R. J. Schuerman, Privacy Year in Review: Recent Developments in the Gramm-Leach Bliley Act, Fair Credit Reporting Act, and Other Acts Affecting Financial Privacy, A Journal of Law and Policy for the Information Society, Vol. 1, 2005, pp385-390.
④許娟、黎浩田:《個人金融信息風險民事責任的實現》,《江蘇社會科學》2022年第1期。
⑤彭德雷、張子琳:《數字時代金融數據跨境流動的風險與規制研究》,《國際商務研究》2022年第1期。
⑥張曄:《隱私計算:讓數據“可用不可見”》,《科技日報》2023年4月10日第2版。
⑦王利明:《數據共享與個人信息保護》,《現代法學》2019年第1期。
⑧陳振雲:《我國金融數據治理法律構建的三個維度》,《貴州大學學報(社會科學版)》2022年第5期。
⑨趙吟:《開放銀行模式下個人數據共享的法律規制》,《現代法學》2020年第3期。
(全文刊載於《中國評論》月刊2024年5月號,總第317期,P63-70) |