金融控股公司框架下数据共享的法律规制
|
摘要
金融控股公司作为中国金融改革发展和创新的组织形式,所涉及的消费者数据共享问题是当前法律规定中的空白。传统上的知情同意模式存在严重的缺陷,面对金融混业经营和大数据技术的冲击更是显示出不足。数据共享不能一味追求商业利益,应与金融隐私权的保护平衡发展;选择放弃制度需要在消费者的知情和企业成本之间进行平衡,消费者应被赋予反对的权利;无论是金融控股公司内部子公司之间以及与非关联方之间的数据共享,都应有目的和条件的限制;隐私政策说明书的设计是数据共享制度适用的载体,既要保证减轻金融机构的成本和责任,也要切实保证消费者的知情选择。
As an organizational form of China's financial reform,development and innovation,financial holding companies have the consumer data sharing problem involved,which is still a blank in the current legal provisions. The traditional Opt-in model has serious shortcomings,especially in the face of the impact of the financial mixed operation and the big data technology.Data sharing should develop synchronously and maintain a balanced with the protection of financial privacy,instead of blindly pursuing commercial interests. The system of Opt-out requires a balance between right to know of consumers and costs of enterprise,and consumers should be given the right to refuse. Whether it is data sharing between parent company,subsidiaries and nonaffiliate party within a financial holding company,there should be limitations of purpose and conditions. The design of privacy notice is the carrier of the application of data sharing system,which guarantees not only to reduce the cost and responsibility of financial institutions,but also the consumers' informed choices.
As an organizational form of China's financial reform,development and innovation,financial holding companies have the consumer data sharing problem involved,which is still a blank in the current legal provisions. The traditional Opt-in model has serious shortcomings,especially in the face of the impact of the financial mixed operation and the big data technology.Data sharing should develop synchronously and maintain a balanced with the protection of financial privacy,instead of blindly pursuing commercial interests. The system of Opt-out requires a balance between right to know of consumers and costs of enterprise,and consumers should be given the right to refuse. Whether it is data sharing between parent company,subsidiaries and nonaffiliate party within a financial holding company,there should be limitations of purpose and conditions. The design of privacy notice is the carrier of the application of data sharing system,which guarantees not only to reduce the cost and responsibility of financial institutions,but also the consumers' informed choices.
引文
(1)隐私权、个人数据权、个人信息权,这些名词还存在争议,各自的内涵也有不同,本文在此不做探讨和结论,为行文方便,文中使用隐私权的概念。参见张民安主编:《信息性隐私权研究---信息性隐私权的产生、发展、适用范围和争议》,中山大学出版社2014年版。
(2)[美]莎莉·布鲁姆、杰里·马卡姆:《银行金融服务业务的管制---案例与资料(第二版)》,李杏杏、沈晔、王宇力译,法律出版社2006年版,第194页。
(3)美国早期是金融混业经营,但是1929年的经济大危机使得金融体系也遭受重创。随后,著名的1933年《银行法》确立了分业经营的模式,即商业银行和投资银行分业经营。但是之后情况也在不断发生变化,混业经营的步伐一直在向前推进,1956年《银行控股公司法》可谓向前进了一步,至1999年《金融服务现代化法》出台,确立了以金融控股公司为经营模式的混业经营体系。相关历史介绍参见:Jonathan R.Macey,Geoffrey P.Miller,Richard Scott Carnell,Banking Law and Regulation,中信出版社2003年版,第20~46页。
(4)See,Joint Forum,Principles for the supervision of financial conglomerates,September 2012,p.5.
(5)王文宇:《控股公司与金融控股公司法》,中国政法大学出版社2003年版,第136页。
(6)See,ECMA&EBA&EIOPA,Joint Guidelines on the convergence of supervisory practices relating to the consistency of supervisory coordination arrangements for financial conglomerates,JC/GL/2014/01,Dec 2014.
(7)另外两个是合法的收集和使用个人数据和客户信息的保密和安全。See,The World Bank,Good Practices for Financial Consumer Protection,December 2017,pp.46~48.两者合法收集数据和保障数据安全,我国出台了一系的法律法规和司法解释,例如,2011年《人民银行第17号文》、2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》、2016年《中华人民共和国网络安全法》。
(8)张成虎、王雪萍、常继武:《美国银行业个人财务隐私保密制度及其对我国的启示》,载《金融论坛》2003年第10期;胡月晓:《客户信息在金融集团内的利用研究》,载《上海金融学院学报》2006年第5期;何颖:《数据共享背景下的金融隐私保护》,载《东南大学学报(哲学社会科学版)》2017年第1期。
(9)《金融服务现代化法》有消费者(consumer)和客户(customer)两个概念,消费者是指和金融机构发生联系,但是还没有建立正式的合同关系的个人,而客户是与金融机构已经建立合同关系,接受金融机构服务的个人。两者在数据保护方面的权利有一定的差别。可参见美国贸易委员会:How To Comply with the Privacy of Consumer Financial Information Rule of the Gramm-Leach-Bliley Act-A Guide for Small Business from the Federal Trade Commission,2002年,第3页。本文中为行文方便,不对二者进行区分。
(10)美国《金融服务现代化法》出台之后,6家美国金融监管机构委托Kleimann Communication集团对纸质版的隐私政策声明书的设计进行研究,以期消费者可以更容易地理解和使用。相关的研究数据和表格可参见Kleimann Communication Group,Evolution of a Prototype Financial Privacy Notice:A Report on the Form Development Project,Feb 2006.
(11)[美]特伦斯·克雷格、玛丽·E·卢德洛芙:《大数据与隐私---利益博弈者、监管者和利益相关者》,赵亮、武青译,东北大学出版社2016年版,第32页。
(12)See,Peter P.Swire,The Surprising Virtues of the New Financial Privacy Law,Minnesota Law Review 2002 Vol.86,p.151,https://papers.ssrn.com/sol3/papers.cfm?abstract_id=347402,访问日期:2016年10月12日。
(13)工业和信息化部电信研究院:《大数据白皮书2014》,第24页,http://www.caict.ac.cn/kxyj/qwfb/bps/201512/P020151211378899999508.pdf,访问日期:2018年4月10日。
(14)周仲飞:《银行法研究》,上海财经大学出版社2010年版,第444~445页。
(15)关联企业的外延大于金融控股公司的子公司,按照《金融服务现代化法》规定,关联企业是指金融机构的上级、平级和下级的机构。这个概念涵盖了金融控股公司子公司的概念,在本文中,如没有特别指明,仅指子公司。
(16)[美]莎莉·布鲁姆、杰里·马卡姆:《银行金融服务业务的管制---案例与资料(第二版)》,李杏杏、沈晔、王宇力译,法律出版社2006年版,第196页。
(17)中国台湾地区《金融控股公司子公司间共同营销管理办法》第10条规定:同一金融控股公司之子公司间依使用目的得交互运用其客户数据进行营销。前开子公司之范围不包括国外子公司。前项所称客户资料系指金融控股公司子公司客户之基本数据、往来交易资料及其他相关数据:一、基本数据:包括姓名、出生年月日、身分证统一编号、电话及地址等资料。二、往来交易及其他相关数据报括以下各目资料:(一)账务资料:包括账户号码或类似功能号码、信用卡账号、存款账号、交易账户号码、存借款及其他往来事务数据及财务情况等数据。(二)信用资料:包括退票纪录、注销纪录、拒绝往来纪录及业务经营状况等资料。(三)投资资料:包括投资或出售投资之标的、金额及时间等数据。(四)保险资料:包括投保保险种类、年期、保额及缴费方式等相关数据。
(18)中国台湾地区《金融控股公司子公司间共同营销管理办法》第11条。
(19)中国台湾地区《金融控股公司子公司间共同营销管理办法》第11条。
(20)[德]尼古拉·杰因茨:《金融隐私---征信制度国际比较》,万存知译,中国金融出版社2009年版,第35~36页。
(21)《金融服务现代化法》第502条(e)款规定的8种例外包括:(1)为使消费者所要求或授权的交易生效所必需,或者管理、执行该交易所必需;(2)经过消费者的同意或者按照消费者的指示;(3)保障消费者银行信息的保密性和安全,防止欺诈和未授权交易等行为的发生;(4)向保险费率咨询机构、评级机构、银行的律师、会计师和审计师披露非公开的个人信息;(5)依据其他法律的规定,向执法机构、自律机构披露信息,或者因调查涉及公共安全的事件而披露信息;(6)依据《公平信用报告法》向信用报告机构披露信息;(7)因义务机构出售、合并、转让、交换而披露该业务机构消费者的信息;(8)遵守联邦、州、地方法律法规,遵守民事、刑事或监管机构的调查或有关机构签发的传票,或者为司法程序或者监管机构监管所需要。译文参见《美国金融服务现代化法》,黄毅、杜要忠译,中国金融出版社2005年版,第163~167页。
(22)周仲飞:《银行法研究》,上海财经大学出版社2010年版,第448页。
(23)A Revised Recommendation Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data.
(24)See,Basel Committee on Banking Supervision,Implications of fintech developments for banks and bank supervisors,consultative document,Aug 2017,p.28.
(25)See,FSB,Financial Stability Implications from FinT ech:Supervisory and Regulatory Issues that Merit Authorities’Attention,Jun 2017.
(26)12 CFR Part 225-Bank Holding Companies and Change in Bank Control(REGULATION Y)(14)Data processing,(ii)A company conducting data processing,data storage,and data transmission activities may conduct data processing,data storage,and data transmission activities not described in paragraph(b)(14)(i)of this section if the total annual revenue derived from those activities does not exceed 49 percent of the company's total annual revenues derived from data processing,data storage and data transmission activities.
(27)易宪容:《金融科技的内涵、实质及未来发展---基于金融理论的一般性分析》,载《江海学刊》2017年第2期,第13页。
(28)12 CFR Part 40.4.
(29)12 CFR Part 40.6.
(30)张成虎、王雪萍、常继武:《美国银行业个人财务隐私保密制度及其对我国的启示》,载《金融论坛》2003年第10期,第52页。
(31)中国台湾地区《金融控股公司子公司间共同营销管理办法》第11条。
(32)中国台湾地区《金融控股公司子公司间共同营销管理办法》第13条。
(33)中国台湾地区《金融控股公司子公司间共同营销管理办法》第11条:与客户之往来契约,有关客户数据之使用条款应订定让客户选择是否同意提供姓名或地址以外之其他数据作为营销建文件、揭露、转介或交互运用之字段,经客户以签名或其他得以辨识客户同一性及其意思表示之方式确认,并应列明运用数据之子公司名称。金融控股公司因其组织异动,而有子公司增减时,应于金融控股公司及其子公司网站公告。与客户之往来契约有关交互运用客户资料等相关条款,应以明显字体提醒客户注意,并揭露交互运用客户资料之子公司名称,且明确告知或约定客户得随时要求停止对其相关信息交互运用之简易方式(如电话通知)。金融控股公司之子公司于接获客户通知停止使用其数据后,应立即停止金融控股公司及所有子公司相互使用其数据,但如客户明确指示停止交互运用数据之子公司范围非及于所有子公司者,得依客户通知之意旨办理。
(34)中国台湾地区《金融控股公司子公司间共同营销管理办法》第13条。
(35)《中国建设银行官网的隐私政策声明》,http://www.ccb.com/cn/v3/head_content/sitedeclare.html,访问日期:2018年3月12日。
(36)蚂蚁金服官网的隐私政策声明,https://docs.alipay.com/policies/privacy/alipay,访问日期:2018年1月10日。
(37)See,Aleecia M.McDonald&Lorrie Faith Cranor,The Cost of Reading Privacy Policies,A Journal of law and policy for the Information Society,2008.
(38)See,U.S.Federal Trade Commission,Protecting Consumer Privacy in a Era of Rapid Change-a Proposed Framework for Businesses and Policymakers,Preliminary FTC Staff Issues Privacy Report,Dec 2010,p.70.
(39)有关金融产品关键信息披露的规则参见颜苏:《银行理财产品信息披露标准化原则的立法研究》,载《法学杂志》2015年第3期,第83~84页。
(40)See,EU Article 29 Data Protection Working Party,Opinion on More Harmonised Information Provisions,11987/04/EN/WP 100,Nov 2004,pp.6~9.
(2)[美]莎莉·布鲁姆、杰里·马卡姆:《银行金融服务业务的管制---案例与资料(第二版)》,李杏杏、沈晔、王宇力译,法律出版社2006年版,第194页。
(3)美国早期是金融混业经营,但是1929年的经济大危机使得金融体系也遭受重创。随后,著名的1933年《银行法》确立了分业经营的模式,即商业银行和投资银行分业经营。但是之后情况也在不断发生变化,混业经营的步伐一直在向前推进,1956年《银行控股公司法》可谓向前进了一步,至1999年《金融服务现代化法》出台,确立了以金融控股公司为经营模式的混业经营体系。相关历史介绍参见:Jonathan R.Macey,Geoffrey P.Miller,Richard Scott Carnell,Banking Law and Regulation,中信出版社2003年版,第20~46页。
(4)See,Joint Forum,Principles for the supervision of financial conglomerates,September 2012,p.5.
(5)王文宇:《控股公司与金融控股公司法》,中国政法大学出版社2003年版,第136页。
(6)See,ECMA&EBA&EIOPA,Joint Guidelines on the convergence of supervisory practices relating to the consistency of supervisory coordination arrangements for financial conglomerates,JC/GL/2014/01,Dec 2014.
(7)另外两个是合法的收集和使用个人数据和客户信息的保密和安全。See,The World Bank,Good Practices for Financial Consumer Protection,December 2017,pp.46~48.两者合法收集数据和保障数据安全,我国出台了一系的法律法规和司法解释,例如,2011年《人民银行第17号文》、2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》、2016年《中华人民共和国网络安全法》。
(8)张成虎、王雪萍、常继武:《美国银行业个人财务隐私保密制度及其对我国的启示》,载《金融论坛》2003年第10期;胡月晓:《客户信息在金融集团内的利用研究》,载《上海金融学院学报》2006年第5期;何颖:《数据共享背景下的金融隐私保护》,载《东南大学学报(哲学社会科学版)》2017年第1期。
(9)《金融服务现代化法》有消费者(consumer)和客户(customer)两个概念,消费者是指和金融机构发生联系,但是还没有建立正式的合同关系的个人,而客户是与金融机构已经建立合同关系,接受金融机构服务的个人。两者在数据保护方面的权利有一定的差别。可参见美国贸易委员会:How To Comply with the Privacy of Consumer Financial Information Rule of the Gramm-Leach-Bliley Act-A Guide for Small Business from the Federal Trade Commission,2002年,第3页。本文中为行文方便,不对二者进行区分。
(10)美国《金融服务现代化法》出台之后,6家美国金融监管机构委托Kleimann Communication集团对纸质版的隐私政策声明书的设计进行研究,以期消费者可以更容易地理解和使用。相关的研究数据和表格可参见Kleimann Communication Group,Evolution of a Prototype Financial Privacy Notice:A Report on the Form Development Project,Feb 2006.
(11)[美]特伦斯·克雷格、玛丽·E·卢德洛芙:《大数据与隐私---利益博弈者、监管者和利益相关者》,赵亮、武青译,东北大学出版社2016年版,第32页。
(12)See,Peter P.Swire,The Surprising Virtues of the New Financial Privacy Law,Minnesota Law Review 2002 Vol.86,p.151,https://papers.ssrn.com/sol3/papers.cfm?abstract_id=347402,访问日期:2016年10月12日。
(13)工业和信息化部电信研究院:《大数据白皮书2014》,第24页,http://www.caict.ac.cn/kxyj/qwfb/bps/201512/P020151211378899999508.pdf,访问日期:2018年4月10日。
(14)周仲飞:《银行法研究》,上海财经大学出版社2010年版,第444~445页。
(15)关联企业的外延大于金融控股公司的子公司,按照《金融服务现代化法》规定,关联企业是指金融机构的上级、平级和下级的机构。这个概念涵盖了金融控股公司子公司的概念,在本文中,如没有特别指明,仅指子公司。
(16)[美]莎莉·布鲁姆、杰里·马卡姆:《银行金融服务业务的管制---案例与资料(第二版)》,李杏杏、沈晔、王宇力译,法律出版社2006年版,第196页。
(17)中国台湾地区《金融控股公司子公司间共同营销管理办法》第10条规定:同一金融控股公司之子公司间依使用目的得交互运用其客户数据进行营销。前开子公司之范围不包括国外子公司。前项所称客户资料系指金融控股公司子公司客户之基本数据、往来交易资料及其他相关数据:一、基本数据:包括姓名、出生年月日、身分证统一编号、电话及地址等资料。二、往来交易及其他相关数据报括以下各目资料:(一)账务资料:包括账户号码或类似功能号码、信用卡账号、存款账号、交易账户号码、存借款及其他往来事务数据及财务情况等数据。(二)信用资料:包括退票纪录、注销纪录、拒绝往来纪录及业务经营状况等资料。(三)投资资料:包括投资或出售投资之标的、金额及时间等数据。(四)保险资料:包括投保保险种类、年期、保额及缴费方式等相关数据。
(18)中国台湾地区《金融控股公司子公司间共同营销管理办法》第11条。
(19)中国台湾地区《金融控股公司子公司间共同营销管理办法》第11条。
(20)[德]尼古拉·杰因茨:《金融隐私---征信制度国际比较》,万存知译,中国金融出版社2009年版,第35~36页。
(21)《金融服务现代化法》第502条(e)款规定的8种例外包括:(1)为使消费者所要求或授权的交易生效所必需,或者管理、执行该交易所必需;(2)经过消费者的同意或者按照消费者的指示;(3)保障消费者银行信息的保密性和安全,防止欺诈和未授权交易等行为的发生;(4)向保险费率咨询机构、评级机构、银行的律师、会计师和审计师披露非公开的个人信息;(5)依据其他法律的规定,向执法机构、自律机构披露信息,或者因调查涉及公共安全的事件而披露信息;(6)依据《公平信用报告法》向信用报告机构披露信息;(7)因义务机构出售、合并、转让、交换而披露该业务机构消费者的信息;(8)遵守联邦、州、地方法律法规,遵守民事、刑事或监管机构的调查或有关机构签发的传票,或者为司法程序或者监管机构监管所需要。译文参见《美国金融服务现代化法》,黄毅、杜要忠译,中国金融出版社2005年版,第163~167页。
(22)周仲飞:《银行法研究》,上海财经大学出版社2010年版,第448页。
(23)A Revised Recommendation Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data.
(24)See,Basel Committee on Banking Supervision,Implications of fintech developments for banks and bank supervisors,consultative document,Aug 2017,p.28.
(25)See,FSB,Financial Stability Implications from FinT ech:Supervisory and Regulatory Issues that Merit Authorities’Attention,Jun 2017.
(26)12 CFR Part 225-Bank Holding Companies and Change in Bank Control(REGULATION Y)(14)Data processing,(ii)A company conducting data processing,data storage,and data transmission activities may conduct data processing,data storage,and data transmission activities not described in paragraph(b)(14)(i)of this section if the total annual revenue derived from those activities does not exceed 49 percent of the company's total annual revenues derived from data processing,data storage and data transmission activities.
(27)易宪容:《金融科技的内涵、实质及未来发展---基于金融理论的一般性分析》,载《江海学刊》2017年第2期,第13页。
(28)12 CFR Part 40.4.
(29)12 CFR Part 40.6.
(30)张成虎、王雪萍、常继武:《美国银行业个人财务隐私保密制度及其对我国的启示》,载《金融论坛》2003年第10期,第52页。
(31)中国台湾地区《金融控股公司子公司间共同营销管理办法》第11条。
(32)中国台湾地区《金融控股公司子公司间共同营销管理办法》第13条。
(33)中国台湾地区《金融控股公司子公司间共同营销管理办法》第11条:与客户之往来契约,有关客户数据之使用条款应订定让客户选择是否同意提供姓名或地址以外之其他数据作为营销建文件、揭露、转介或交互运用之字段,经客户以签名或其他得以辨识客户同一性及其意思表示之方式确认,并应列明运用数据之子公司名称。金融控股公司因其组织异动,而有子公司增减时,应于金融控股公司及其子公司网站公告。与客户之往来契约有关交互运用客户资料等相关条款,应以明显字体提醒客户注意,并揭露交互运用客户资料之子公司名称,且明确告知或约定客户得随时要求停止对其相关信息交互运用之简易方式(如电话通知)。金融控股公司之子公司于接获客户通知停止使用其数据后,应立即停止金融控股公司及所有子公司相互使用其数据,但如客户明确指示停止交互运用数据之子公司范围非及于所有子公司者,得依客户通知之意旨办理。
(34)中国台湾地区《金融控股公司子公司间共同营销管理办法》第13条。
(35)《中国建设银行官网的隐私政策声明》,http://www.ccb.com/cn/v3/head_content/sitedeclare.html,访问日期:2018年3月12日。
(36)蚂蚁金服官网的隐私政策声明,https://docs.alipay.com/policies/privacy/alipay,访问日期:2018年1月10日。
(37)See,Aleecia M.McDonald&Lorrie Faith Cranor,The Cost of Reading Privacy Policies,A Journal of law and policy for the Information Society,2008.
(38)See,U.S.Federal Trade Commission,Protecting Consumer Privacy in a Era of Rapid Change-a Proposed Framework for Businesses and Policymakers,Preliminary FTC Staff Issues Privacy Report,Dec 2010,p.70.
(39)有关金融产品关键信息披露的规则参见颜苏:《银行理财产品信息披露标准化原则的立法研究》,载《法学杂志》2015年第3期,第83~84页。
(40)See,EU Article 29 Data Protection Working Party,Opinion on More Harmonised Information Provisions,11987/04/EN/WP 100,Nov 2004,pp.6~9.