金融控股公司中個人數據共享的法律規范研究

韓一鳴

摘 要：因我國金融控股公司自身特殊的經營模式，以及現行法律法規與現實情況不完全配合，金融控股公司中不同子公司之間進行個人數據共享可能會侵犯金融消費者的數據安全。本文在法律制度層面對平衡金融消費者的個人數據安全與我國金融控股公司的良好發展這一問題提出了數據分類、完善隱私政策說明書、保障消費者的選擇權與救濟權等建議。

關鍵詞：金融控股公司;數據共享;個人數據

緒 論

一般認為，金融控股公司可以定義為：“在同一控制下，下屬受監管實體大規模從事兩類或兩類以上的銀行、證券、保險、基金、信托、期貨、融資租賃業務。同時對每類業務的資本要求不同的，擁有牌照、實際經營或者實際控制該行業企業的公司”。金融消費者的個人信息大數據化這一現象在金融控股公司中已然十分普遍。但是，金融消費者和金融控股公司都應意識到，通過金融消費形成的個人數據受個人隱私的約束。目前，我國法律法規對金融控股公司應當如何保護金融消費者的個人數據這一問題并沒有專門的規定。與之相比，在英美等國的法律實踐中，對客戶信息保密等默示義務包含于默示條款中。通過這種方式，金融消費者的個人數據安全權在很大程度上有了良好的保障。金融控股公司在共享個人數據時，應考慮平衡商業利益與個人金融隱私權保護，我國未來立法也應在金融控股公司對客戶數據的共享方面做出限制規定。

一、我國金融控股公司中個人數據共享問題的成因

除金融公司特殊的經營模式與現行立法不能完全配合之外，我國金融控股公司體系中現存的個人數據共享問題的出現，大致還有以下幾點原因：

原有金融控股公司消費者數據保護模式存在缺陷。美國《金融服務現代化法》確保消費者了解金融機構的隱私政策，進而由消費者做出決定是否允許金融機構收集自身的金融數據，并用于確定的目的，最終由消費者來做出知情決策。這一消費者數據保護模式本身是美國的經典模式，但該制度并不適合中國國情，也無法適應當下的中國市場環境，已顯示出較大局限性。

金融控股公司超越最低需求獲取信息。在收集金融消費者的信息時，金融控股公司會擴大信息收集的來源和渠道，超越最低需求。此外，因業務需要，與客戶產生業務的銀行可以直接獲取到客戶的征信報告。但是，消費者無從得知銀行是否會與集團內部其他子公司共享征信報告。我國《個人信用信息基礎數據庫管理暫行辦法》在這一點上也依然存在法律保障體系不完善問題。

大數據技術廣泛應用于金融控股公司。在大數據技術迅猛發展的時代條件下，利用云存儲、數據挖掘、統計分析等技術手段，金融控股公司對個人金融數據的掌控更加便捷、全面。然而，由于金融消費者無從了解和控制信息的使用目的與途徑，這些數據很可能會被金融控股公司不正當使用。

二、金融控股公司體系中個人數據共享問題的比較分析

基于數據安全考慮，我國應借鑒歐盟《個人數據保護指令》的規定，對金融控股公司內部共享數據的范圍作出一定限制。我國立法機關應當作出與我國現有的《網絡安全法》相配合的規定，若因業務需要，金融控股公司內部將客戶數據共享至境外前，至少應先首先獲得金融消費者的知情與同意。

在金融控股公司共享個人數據的目的方面，我國立法機關可以借鑒我國臺灣地區的規定，在法律規定中明確限制金融控股公司采集和共享個人數據的目的和用途。根據我國臺灣地區《金融控股公司子公司間共同營銷管理辦法》第 11 條，金融控股公司子公司之間的消費者數據共享，只能出于營銷的目的，不能為了其他用途。

針對我國金融控股公司的個人數據共享，對于非敏感性的一般數據和公開數據，應當可以直接共享。而對于敏感數據，則應通過法律保障金融消費者的知情權和選擇權來保護。歐盟與我國臺灣地區均對可處理或共享的數據種類做出了明確規定。在我國未來立法中，首先應配合我國現行的法律中對數據敏感程度分類的規定，將金融消費者的個人數據區分為敏感數據與非敏感數據。給予金融控股公司直接共享金融消費者非敏感數據的權利，并通過強化金融消費者知情權、選擇權與救濟權的方式，保護金融消費者的敏感數據。

根據GDPR，數據控制者收集個人信息必須給予個人充分知情權。根據我國具體情況，完善金融控股公司共享個人數據的隱私政策說明書是妥善解決這一問題的有效途徑。我國立法機關應明確要求，隱私政策說明書中要有明顯字體提醒金融消費者注意。金融控股公司內部的子公司接到消費者通知后，就必須停止共享消費者的數據，并且按照消費者所確認的授權使用的子公司的范圍執行。此外，我國立法機關還可以要求我國金融控股公司將共同營銷的子公司名稱及其保密措施在公司網頁進行公告，并且以書面或者電子郵件方式通知消費者。

除消費者的知情權外，歐盟GDPR法規還為數據主體提供了大量選擇。結合我國情況，我國立法機關應在立法中明確賦予金融消費者選擇權，即金融消費者有權不允許金融控股公司共享其個人數據的權利。此外，在一定條件下，金融消費者還應有要求金融控股公司刪除、限制處理和反對處理個人數據的權利。

三、平衡金融控股公司體系中商業利益與個人數據保護

遵循利益平衡原則。金融控股公司與消費者之間存在嚴重信息不對稱，消費者只有依賴法律法規的傾斜保護，才能與占據技術和信息優勢的金融控股公司平等交易，督促后者承擔隱私保護義務及可能產生的損害賠償責任。此外，平衡金融控股公司的信息共享與用戶的個人隱私保護時，應在堅持保護個人隱私基本權利的前提下，避免隱私保護的泛化。

進行數據分類 完善隱私政策說明書。如前文所述，對于不敏感的一般數據和公開數據，金融控股公司可直接進行共享。而對于敏感數據，則必須在獲得金融消費者知情和同意的條件下才可以進行共享。完善隱私政策說明書是保障消費者知情權的有效方法。在內容規定方面，我國立法機關還可以參考美國對隱私政策說明書的具體規范。

保障消費者的選擇權與救濟權。如前文所述，我國立法機關可以借鑒歐盟GDPR金融消費者有權不允許金融控股公司共享其個人數據的規定。我國立法機關還應考慮加入保障金融消費者可以要求金融控股公司刪除個人數據、限制處理個人數據和反對處理個人數據的權利條款。此外，消費者救濟權利不僅要能夠實現快捷、低成本，救濟途徑還要能與立法相配合。

結 語

金融控股公司特殊的經營模式決定了集團內部的很多子公司可以從事不同行業，因此可以獲得不同來源的客戶數據。個人數據共享是金融控股公司相較于其他普通金融機構的重要優勢，出于對商業利益的追求和自身發展的需要，輔以大數據技術的廣泛應用，不同來源的個人數據很可能會被金融控股公司在全集團內部共享。但是，這無疑會侵害到消費者個人的數據安全。為了在法律制度層面解決該問題，我國立法機關可以借鑒其他國家及地區的規定，在立法中完善個人數據分類、消費者選擇權和知情權保障、消費者權利救濟等規定，平衡金融控股公司的信息共享需求與金融消費者的個人數據隱私權益。

參考文獻

[1] 張民安.信息性隱私權研究——信息性隱私權的產生、發展、適用范圍和爭議[M].中山大學出版社，2014.

[2] 黎金榮.中美金融消費者保護制度比較[J].湛江師范學院學報，2012（2）.

[3] 何穎.論金融消費者保護的立法原則[J].法學，2010，（2）.

[4] 王仲會.金融控股公司研究[J].東北財經大學學報，2005（3）.