金融集团数据共享的来路与困境
作者:周杨 时间:2023-03-15

一、前言

 

2023年2月1日,中国人民银行发布2023年1号令《金融控股公司关联交易管理办法》(以下简称“《办法》”),该办法将金融控股集团内部相互提供包括个人信息在内的数据及相关服务认定为关联交易。

 

数据在金融控股集团成员企业之间的利用已经非常普遍,就普通金融消费者而言,直观的感受是申请贷款时的审批额度越来越精准,打开手机银行App时展示的广告越来越贴近实际所需。但这些做法虽然常见,其中的金融数据流动却并不必然合规,金融机构共享数据仍应考虑通用监管以及行业监管层面个人金融信息流动的合规义务。《办法》的颁布无疑将为金融机构之间数据流动再添一层合规负担。

 

本文试图从个人金融信息的通用监管、行业监管以及特殊合规义务出发,结合本次《办法》新规,讨论金融机构共享个人金融信息面临的合规困境。有关这些困境的解决思路我们将另行择机讨论和分享。

 

二、个人信息共享的通用要求

 

(一)《个人信息保护法》明确了个人信息处理者与第三方数据交互的法定要求

 

除国标GB/T 35273-2020《信息安全技术 个人信息安全规范》(“《安全规范》”)中明确“共享”的内涵即“个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程”之外,《民法典》《网络安全法》以及《个人信息保护法》(“《个保法》”)均未提及与“共享”相关的概念界定及合规要求。而《个人信息保护法》中所规定个人信息流通场景主要有:个人信息处理者在处理个人信息时,可能存在与相关合作方共同处理(第20条)或委托处理(第21条)情形,以及基于经营管理或业务协同的需要,向关联方或其他个人信息处理者对外提供个人信息等情形(第23条)。《个保法》分别就这三类行为的主要特征和责任分担进行了规定:

 

 

(二)《个人信息保护法》统一了共享个人信息的规定

 

上述三类个人交互流动情形在法律性质、目的、方式、责任承担,以及是否必须获取个人单独同意、是否必须进行影响评估等因素上存在差异。但从主要特征可见,《个保法》中的“对外提供”即是对《安全规范》“共享”概念的整合。尽管《个人信息保护法》并未明确说明,但沿袭《个人信息安全规范》及一贯的监管原则,在共享数据范围内,数据提供方有义务对数据接收方的合规行为进行监督和管理。《个人信息保护法》第23条对个人信息对外提供的规则进行了专门规定,核心条款为

 

第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意

接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意

 

上述规定统一了《民法典》[1]和《安全规范》提出的“一般授权同意”的原则性个人信息处理前提,要求所有的对外提供个人信息行为均应取得个人信息主体的“单独同意”。然而,这种“单独同意”的额外要求仅适于在基于“同意”处理个人信息的情形,如果对外提供个人信息是基于“履行合同所必需”等其他合法性基础上,则依据《个保法》第十三条的明确规定“有前款第二项至第七项规定情形的,不需取得个人同意(也就不存在单独同意)”

 

我们理解,这种基于合法性基础不同的同意豁免形式已经被《个保法》全面统一,《民法典》《安全规范》乃至《个人金融信息保护技术规范》中的豁免同意规则均应当以《个保法》的规定为准。但需要指出,这并不能因此免除个人信息处理者“向第三方提供”的其他合规义务,比如隐私政策中的增强告知义务、需经事前个人信息保护影响评估,各自承担法律责任等

 

(三)《信息安全技术 个人信息安全规范》的个人信息共享要求仍具备重要参考价值

 

在《个人信息保护法》生效之前,《安全规范》是个人信息保护领域最为重要的指导性规范,其对个人信息处理的合法性基础采取了“授权同意+例外情形”的规制模式,也即在通常情况下,组织只有在获取个人信息主体授权同意的情况下才能对个人信息进行收集以及进行后续包括共享在内的处理行为,只有在某些例外情形下组织才能被豁免获取前述授权同意。尽管《个人信息保护法》明确在个人信息可以基于其他合法处理理由而共享,但实践中由于《安全规范》仍被视为重要的执法参考依据,其对个人信息共享活动要求的一系列义务,包括个人信息安全影响评估、记录处理记录、安全补救措施、签订协议等等(详见附录),均可在实践中作为对《个保法》“对外提供”处理规范的重要补充。

 

(四)现有规范没有对关联方之间共享个人信息进行豁免

 

需要注意的是,无论是《个保法》还是《安全规范》,都没有对向关联方共享个人信息进行任何豁免,也没有放宽个人信息的共享提供方的合规义务。关联方之间共享个人信息仍应确保存在共享个人信息的合法处理理由(若为同意则应确保得到了单独同意),并确保履行了相关安全管理和技术措施。

 

(五)针对App和SDK形式的数据共享可能存在敞口

 

令人欣喜的是,重要国标GB/T 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》认为,“虽与App运营者属于不同法人实体,但与App运营者属于同一企业集团,且遵守同一套管理制度、统一进行安全和运维管理的,不属于App运营者的第三方。而关联公司通常属于App运营者的第三方”。 该标准对“关联方”和“第三方”的概念辨析和区别性要求,为集团内部平衡数据利用与数据安全的业务路径提供了解决思路。对于实施集中系统管理的金融控股集团而言,若其内部附属机构采用同一套管理制度和安全、运维保障体系,则很可能不属于该标准监管的“第三方”范围,从而一定程度上豁免在App和SDK为彼此提供应用、SDK的安全管理要求。 

 

三、个人金融信息共享的特殊处理

 

(一)重提个人信息主体“同意”作为必要合规前提

 

中国目前的立法对金融混业经营预留了空间,但是涉及金融控股公司内部的数据共享规定则一直留白,只能适用通用或部门法规文件中关于一般个人信息共享的规范。而这些规定的适用范围有限,在分业经营格局下只针对负责具体金融业务的附属机构,同时对关联方和非关联方的数据共享采取无差别的对待,共享条件较为严格。大部分金融领域的监管文件中都排除了《个保法》规定的“履行合同所必须”合法性基础,要求需要获得个人同意才可向包括关联方和非关联方在内的第三方提供个人金融信息。2011年1月公布的《关于银行业金融机构做好个人金融信息保护工作的通知》中更是要求同时满足为个人办理相关业务所必需”+“获得个人书面授权或同意的前提下才可向本金融机构以外的其他机构和个人提供个人金融信息。

 

  • 《金融消费者权益保护实施办法》允许金融机构在遵循合法、正当、必要原则,经金融消费者或者其监护人明示同意,向金融消费者明示金融信息处理规则的情况下,向他人提供个人金融信息; 

  • 《证券基金经营机构信息技术管理办法》明确除法律法规和中国证监会另有规定外,证券基金经营机构不得以任何方式向其他机构、个人提供客户信息;

  • 《征信业管理条例》允许信息使用者在经过个人信息主体的同意的情况下,向第三方提供个人征信信息; 

  • 《期货公司监督管理办法》等禁止期货公司以任何方式违规向其他机构或者个人提供客户信息;

  • 《证券法》和《证券基金经营机构信息技术管理办法》严格禁止证券公司和公募基金管理公司非法买卖、提供或者公开投资者的信息; 

  • 《反洗钱法》等禁止金融机构对外提供其在履行反洗钱职责或义务时获得的客户资料和交易信息; 

  • 《关于银行业金融机构做好个人金融信息保护工作的通知》银行业金融机构使用个人金融信息时,不得向本金融机构以外的其他机构和个人提供个人金融信息,除非是为个人办理相关业务所必需,并且必须获得个人书面授权或同意,或者是法律法规和中国人民银行有其他规定。

 

(二)安全管理和技术措施适用更细致的规则

 

2020年2月13日发布的金融行业标准JR/T 0171—2020《个人金融信息保护技术规范》(“《技术规范》”)参考了《安全规范》关于个人信息共享、转让的有关要求,并重申在共享和转让前,应取得信息主体的明示同意,告知其相关的规则和信息,应开展个人金融信息安全影响评估,并与其签署数据保护责任承诺,准确记录和保存个人金融信息共享和转让情况,采取有效技术防护措施等等。

 

例如,鉴于个人金融信息的高度敏感性和特殊性,《技术规范》将个人金融信息按敏感程度、泄露后造成的危害程度,从高到低分为C3、C2、C1三个类别,并在此基础上从安全技术和安全管理两个方面,对不同级别个人金融信息共享施加了更为严格的安全防护要求(详见附录),如6.1.4.2条c)款规定,支付账号及其等效信息在共享和转让时,除法律法规和行业主管部门另有规定外,应按照《中国金融移动支付 支付标记化技术规范》使用支付标记化技术进行脱敏处理,如无法使用支付标记化技术时,应进行加密;6.1.4.2条d)款、e)款明确应部署信息防泄露监控工具和流量监控技术措施,对共享、转让的信息进行监控和审计,防止个人金融信息的违规传输、使用行为。另外,7.1.3条a)款规定,C3类别信息以及C2类别信息中的用户鉴别辅助信息不应共享、转让。

 

(三)法定共享情形已经较为固定

 

针对当前信息不完备难以识别可疑客户、特定行业场景的单一识别分析困难、难以进行联防联控以及信息上报不完备等问题,金融机构关联方之间利用大数据、人工智能等信息技术,对反恐反洗钱反欺诈义务主体个人信息进行采集、共享、汇集分析,以实现对复杂、多变的新型洗钱行为的判断与预测,成为了有效协调各方资源、充分发挥协同效应、提升风险管理效果的一个重要手段。

 

为此,金融机构的法定共享情形主要集中于反洗钱、反恐怖融资以及反欺诈风险管理活动。如《金融机构反洗钱和反恐怖融资监督管理办法》《中国人民银行关于加强反洗钱客户身份识别有关工作的通知》《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》等法律文件均要求义务主体应当在集团层面建立共享反洗钱和反恐怖融资信息的制度和程序,而集团合规、审计和反洗钱部门可以依法要求分支机构和附属机构提供客户、账户、交易信息及其他相关信息

 

但需要注意的是,上述规定仅为金融控股集团出于反洗钱反恐反欺诈需要而进行的信息内部共享活动提供“履行法定职责/义务所必需”的合法性基础,并不代表此类个人金融信息共享场景有更宽松的安全要求,更不意味着满足反洗钱的监管要求可以无需严格遵守其他个人信息保护相关的法律法规及标准、规范

 

如《金融机构反洗钱和反恐怖融资监督管理办法》所明确,金融控股集团在内部共享和使用反洗钱和反恐怖融资信息方面应当依法提供信息并防止信息泄露,即金融机构在此场景下仍需遵守个人金融信息共享的所有安全要求,并应重点关注:(1)个人信息收集范围与法定义务之目的直接相关;(2)个人信息处理活动与法定义务之目的直接相关;(3)个人信息处理活动应最小化对个人权益的影响。否则,将因违法违规处理个人金融信息而受到处罚。(如《吉市银罚字〔2020〕2-6号所显示的,中国农业银行江北支行因侵害消费者个人信息依法得到保护的权利;违反反洗钱管理规定,泄露客户信息,而被警告并处罚款1223万元,其中包括行长在内的5名员工因对违反反洗钱管理规定、泄露客户信息违法违规行为负有责任也被处以罚款。

 

四、金融机构共享个人金融信息的特别要求

 

(一)个人金融信息在金融机构公司间共享的基本规则

 

如上所述,在金融机构间共享个人金融信息非但没有得到豁免,还几乎均需要获得用户同意。因此,金融机构间共享个人金融信息应当至少遵循几块合规义务:

 

* 非法定情形的共享时,至少获取用户的“明确同意”;

* 满足通用监管和部门监管关于“对外提供”的一般合规要求,主要包括:

 

1

事先进行个人信息保护影响评估;

2

对客户进行增强告知以保障其知情权和选择权;

3

集团公司应建立数据分类分级制度,部分个人金融信息不得共享;

4

梳理内部的数据流转需求,签署数据合作配套协议;

5

厘清与共享方之间的信息化工作职责,各自承担数据安全管理责任,落实相应技术措施。

 

(二)《金控办法》为个人金融信息共享打开监管思路

 

2020年9月13日,中国人民银行发布了《金融控股公司监督管理试行办法》(“《金控办法》”),旨在推动金融控股公司规范发展,有效防控金融风险,其对金融控股公司的监督管理制度进行了全面规定,确立了金融控股公司监督管理体系。引起数据领域关注的是,《金控办法》就个人金融信息共享做出了明确的原则性要求:

 

*明确集团内个人金融信息共享准则《金控办法》首次对金融控股公司与其所控股机构之间、其所控股机构之间的客户个人金融信息共享做出了明确要求。其第23条第1款正式规定了金融控股公司及其所控股机构在集团内部的信息共享要求,并在规则遵循方面提出了依法合规、风险可控、经客户书面授权或同意和防止不当使用四大共享准则

 

许可企业信息在集团内共享,并明确实际控制人信息在共享范围内:基于提升集团信用风险防控水平,金融控股公司应当应当牵头建立集团内信息共享和联合授信机制,主动掌握集团对同一企业融资情况,主要包括协调所控股机构共同收集汇总企业信息,识别隐性关联企业和实际控制人,联合设置企业融资风险预警线等。

 

*要求对共享行为进行合理隔离:值得一提的是,鉴于与单一金融机构相比,集团化风险管理的复杂性、传染性以及叠加性,《金控办法》强调了对金融控股集团的风险管理要求,需防范单一金融机构产生风险对集团的传染效应。这体现其34条在规范金融控股公司内部数据共享的同时,也强调要对信息共享行为进行合理隔离,以有效防控风险保护客户合法权益。该项要求与《保险公司信息化工作管理指引(试行)》《互联网保险业务监管办法》《保险中介机构信息化工作监管办法》《关于国有金融机构聚焦主业、压缩层级等相关事项的通知》所要求一致,集团内各法人机构之间的重要信息化机制、信息系统设施、信息管理客户信息保护应具有业务独立性和完整性,彼此合理隔离,关联方各自承担信息安全管理责任。从侧面也反映出需要将金融控股集团下各关联方之作为独立的个人信息处理者来看待数据共享问题,严格保证数据池的独立性,不得混用数据池。在进行数据共享时应严格遵循现行法律规范规定的共享规则,对于突破性的应用,应当做到具备制度依据且有充分的操作日志和其他文档辅以企业自证合规。

 

(三)《办法》进一步认可个人金融信息共享的实际需要和资产价值

 

*《办法》再次重申将个人金融信息共享纳入关联交易管理

 

为规范金融控股公司关联交易行为,防止不当利益输送、风险集中、风险传染和监管套利,促进金融控股公司稳健经营。2023年2月1日,中国人民银行发布2023年1号令《金融控股公司关联交易管理办法》(“《办法》”),在《金控办法》相关条文的基础上,细化了关联方和关联交易定义及分类、内部管理、报告和披露、监督管理等要求。值得注意的是,《办法》第14条认定征信信息、客户信息共享等服务属于“转移资源”行为,将数据共享归入到金融控股集团的关联交易行为之中,从而在用户私权利保障基础之上,将个人金融信息共享监管提高到了金融风险管理的高度。

 

众所周知,就金融机构而言,除反洗钱、反欺诈等法定范围外,个人金融信息共享的根本目的主要在于两个方面:(1)共享客户信用信息,降低金融业务风险;(2)商业营销,为金融机构经营实现利益最大化。从《办法》的下述总结来看,监管层面完全认同和理解金融机构的上述实际业务需求,并已经对个人金融信息的利用形式进行了全面摸底和准确归纳。

 

第十四条 按照交易类型的不同,金融控股集团的关联交易包括:

(三)提供服务类:包括征信、信用评级、资产评估、法律、审计、精算、咨询等服务;软件和信息技术服务、互联网数据服务[2];非金融机构支付服务;金融信息服务[3]包括但不限于客户信息共享、金融交易风险控制、金融决策分析;信息展示、销售推介、委托或受托销售;有价证券交易经纪服务和承销服务;自用动产与不动产租赁、其他租赁资产交易等。

 

同时,由于被提格至关联交易进行管理,金融控股集团内部各机构还要额外注意《办法》对于数据共享类关联交易行为的禁止性规定:

 

  • 通过金融控股集团内部交易虚构交易、转移收入与风险或进行监管套利,或者通过第三方间接进行内部交易,损害金融控股公司及其附属机构的稳健性。

  • 通过金融控股集团对外关联交易进行不当利益输送,损害金融控股公司及其附属机构的稳健性。

  • 通过隐匿关联关系、拆分交易、设计复杂交易结构等各种隐蔽方式规避内部审查、外部监管以及报告披露义,为关联方违规提供融资、隐藏风险等。

  • 关联交易协议条件显著偏离与非关联方进行的同类交易,以及采用明显偏离市场价格或缺乏合理依据的定价基准。

  • 通过互联网数据服务、金融信息服务等交易规避有关规定,或利用规则、数据、算法等各种手段实施价格控制、利益输送或不当转移风险。

  • 金融控股公司及其附属机构以不正当竞争的方式向关联方提供服务。

 

《办法》肯定了个人金融信息的资产价值

 

《办法》揭示了关联交易管理的目的,即阻止金融控股公司或其附属机构利益被不当转移,因而认定关联交易价格是否公允,以及关联交易涉及金额是关联交易监管的重点之一。个人金融信息共享被视为“提供服务类”关联交易,其将以“以业务收入或支出金额计算交易金额”。但是,如何确认个人金融信息的价格是否公允,则涉及到对个人金融信息价值进行评估的深层要求

 

第二十一条 金融控股公司及其附属机构开展关联交易应当按照商业合理原则,具有真实的业务背景、条件合理、价公允,明确交易对价的确定原则及定价方法。关联交易定价应当以明确、公允的市场价格为基础;无法获取市场价格的,可以参考与独立第三方交易的条件和价格;因交易特殊性而无法按照前述方法进行定价的,应当对该定价的公允性和条件设定的合理性作出说明。必要时关联交易管理委员会可以聘请财务顾问等独立第三方出具报告,作为判断的依据。

 

2022年12月2日,中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》(“《数据二十条》”)确认了数据产权制度和交易流通制度,《办法》显然吸收和内化了《数据二十条》的政策精神。但需要指出,实践中对于数据资产评估的探索还在继续,目前可查的公开资料屈指可数,仅有中国资产评估协会于2022年7月发布的《数据资产评估指导意见(征求意见稿)》可供参考。根据该征求意见稿,数据资产评估时将关注数据资产权属、数据质量等多维度,并采用“收益法、成本法和市场法三种基本方法及其衍生方法”确定数据资产价值。

 

尽管数据作为资产的评估方法仍在摸索,但这也为金融机构共享个人信息的基础工作准备打开思路。除了上文所述的核查合法处理理由、保障个人信息主体权益和确保数据安全管理及技术落地外,个人金融信息也应当从评估角度出发,充分考虑数据应用方面厘清数据权属、管理数据质量,区分数据资产和其他资产所获得的收益,加强合同管控,重视数据安全赋予个人金融信息的价值。

 

五、结语

 

个人金融信息在过去的几年间受到了监管的紧密关注,有关个人金融信息的处罚层出不穷,且相关处罚已经累及主要负责人或法定代表人。然而,逐利是商业的本质,如何保证个人金融信息共享行为在合法合规性前提下,实现业务数据在集团经营层面高效流通、有效利用,在合规的框架内寻求平衡数据流通与金融监管、信息安全的可行路径,已不仅仅是金融机构更是监管机构当前亟需解决的难题。随着《数据二十条》刮起的政策东风下,包括个人金融信息在内的数据在权属、流动和利用上得到了前所未有的政策推动。尽管尚未出现类似美国《金融服务.现代化法案》所规定的在财产规则上采取金融机构与关联方信息共享“无需同意”、与非关联方信息共享需“默示同意”的授权模式,以及“共同营销行为”豁免等具体规则,但随着开放银行业务模式、隐私计算等技术的日益成熟,金融风险和个人权益保障可控将成为可期未来,政策加持也将指日可待。

 

六、附录:本文涉及的法规条文

 

(一)GB/T 35273-2020《信息安全技术 个人信息安全规范》

 

a)事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;

b)向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外;

c)共享、转让个人敏感信息前,除b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意

d)通过合同等方式规定数据接收方的责任和义务;

e)准确记录和存储个人信息的共享、转让情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;

f)个人信息控制者发现数据接收方违反法律法规要求或双方约定处理个人信息的,应立即要求数据接收方停止相关行为,且采取或要求数据接收方采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险;必要时个人信息控制者应解除与数据接收方的业务关系,并要求数据接收方及时删除从个人信息控制者获得的个人信息;

g)因共享、转让个人信息发生安全事件而对个人信息主体合法权益造成损害的,个人信息控制者应承担相应的责任;

h)帮助个人信息主体了解数据接收方对个人信息的存储、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等;

i)个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意

 

 

(二)JR/T 0171—2020《个人金融信息保护技术规范》

 

3.9 共享 

个人金融信息控制者向其他控制者提供个人金融信息,且双方分别对个人金融信息拥有独立控制权的过程。

6.1.4.2 共享和转让

个人金融信息在共享和转让的过程中,应充分重视信息转移或交换过程中的安全风险,具体技术要求如下:

a)在共享和转让前,应开展个人金融信息安全影响评估,并依据评估结果采取有效措施保护个人金融信息主体权益。

b)在共享和转让前,应开展个人金融信息接收方信息安全保障能力评估,并与其签署数据保护责任承诺。

c)支付账号及其等效信息在共享和转让时,除法律法规和行业主管部门另有规定外,应使用支付标记化(按照 JR/T 0149—2016)技术进行脱敏处理(因业务需要无法使用支付标记化技术时,应进行加密),防范信息泄露风险。

d)应部署信息防泄露监控工具,监控及报告个人金融信息的违规外发行为。

e)应部署流量监控技术措施,对共享、转让的信息进行监控和审计。

f)应根据“业务需要”和“最小权限”原则,对个人金融信息的导出操作进行细粒度的访问控制与全过程审计,应采取两种或两种以上鉴别技术对导出信息操作人员进行身份鉴别。

g)应定期检查或评估信息导出通道的安全性和可靠性。

h)使用外部嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)进行信息共享与转让时,应定期检查或评估信息共享工具、服务组件和共享通道的安全性和可靠性,并留存检查或评估结果记录。

i)应执行严格的审核程序,并准确记录和保存个人金融信息共享和转让情况。记录内容应包括但不限于日期、规模、目的、范围,以及数据接收方基本情况与使用意图等,并应确保对共享和转让的信息及其过程可被追溯。

j)应采取有效技术防护措施,防范信息转移过程中被除信息发送方与接收方之外的其他个人、组织和机构截获和利用。

7.1.3使用

个人金融信息在信息展示、共享与转让、公开披露、委托处理、加工处理、汇聚融合等方面,应遵循6.1.4.1—6.1.4.6的要求,并满足以下要求:

a)除法律法规与行业主管部门另有规定或开展金融业务所必需的数据共享与转让(如转接清算等)外,金融业机构原则上不应共享、转让其收集的个人金融信息,确需共享、转让的,应充分重视信息安全风险,具体要求如下

  • 应向个人金融信息主体告知共享、转让个人金融信息的目的、数据接收方的类型,并事先征得个人金融信息主体明示同意,共享、转让经去标识化处理(不应仅使用加密技术)的个人金融信息,且确保数据接收方无法重新识别个人金融信息主体的除外。

  • 应帮助个人金融信息主体了解数据接收方对个人金融信息的存储、使用等情况,包括个人金融信息主体的权利,例如访问、更正、删除、注销账户等;在法律法规规定、行业主管部门有关规定及个人金融信息主体约定的范围内,个人金融信息主体行使其个人金融信息控制权利,金融业机构应配合响应其请求。

  • C3 类别信息以及 C2 类别信息中的用户鉴别辅助信息不应共享、转让。

  • 转接清算、登记结算等情况,应依据国家有关法律法规与行业主管部门有关规定与技术标准执行。

  • 当因收购、兼并、重组、破产等情况,对个人金融信息主体提供金融产品或服务的金融业机构主体变更而发生个人金融信息共享、转让时,具体要求如下:——金融业机构将其提供的金融产品或服务移交至其他金融业机构的情况,应使用逐一传达(或公告)的方式通知个人金融信息主体。——承接其金融产品或服务的金融业机构,应对其承接运营的金融产品或服务继续履行个人金融信息保护责任;如变更其在收购、兼并重组过程中获取的个人金融信息使用目的,应重新获得个人金融信息主体明示同意(或授权)。

……

d)以下情形中,金融业机构共享、转让、公开披露个人金融信息无需征得个人金融信息主体的授权同意

  • 与履行法律法规及行业主管部门规定的义务相关的;

  • 与国家安全、国防安全直接相关的;

  • 与公共安全、公共卫生、重大公共利益直接相关的;

  • 与犯罪侦查、起诉、审判和判决执行等直接相关的;

  • 出于维护个人金融信息主体或其他主体的生命、财产等重大合法权益但又很难得到本人同意的;

  • 个人金融信息主体自行向社会公众公开的;

  • 从合法公开披露的信息中收集个人金融信息的,如合法的新闻报道、政府信息公开等渠道。

 

(三)《金融控股公司监督管理试行办法》

 

第二十二条 金融控股公司与其所控股机构之间、其所控股机构之间在开展业务协同,共享客户信息、销售团队、信息技术系统、运营后台、营业场所等资源时,不得损害客户权益,应当依法明确风险承担主体,防止风险责任不清、交叉传染及利益冲突

第二十三条 金融控股公司及其所控股机构在集团内部共享客户信息时,应当确保依法合规、风险可控并经客户书面授权或同意,防止客户信息被不当使用。金融控股公司所控股机构在提供综合化金融服务时,应当尊重客户知情权和选择权

第三十三条 金融控股公司应当统筹协调集团对同一企业(含企业集团)授信工作,提升集团信用风险防控水平。金融控股公司应当主动掌握集团对同一企业融资情况,对融资余额较大的企业,金融控股公司应当牵头建立集团内信息共享和联合授信机制,主要包括协调所控股机构共同收集汇总企业信息,识别隐性关联企业和实际控制人,联合设置企业融资风险预警线等。金融控股公司应当要求所控股金融机构定期上报从其他金融机构获得的授信额度和使用情况。

第三十四条 金融控股公司应当建立健全集团整体的风险隔离机制,包括金融控股公司与其所控股机构之间、其所控股机构之间的风险隔离制度,强化法人、人事、信息、财务和关联交易等“防火墙”,对集团内部的交叉任职、业务往来、信息共享,以及共用销售团队、信息技术系统、运营后台、营业设施和营业场所等行为进行合理隔离,有效防控风险,保护客户合法权益

 

(四)《反洗钱法》

第三条 在中华人民共和国境内设立的金融机构和按照规定应当履行反洗钱义务的特定非金融机构,应当依法采取预防、监控措施,建立健全客户身份识别制度、客户身份资料和交易记录保存制度、大额交易和可疑交易报告制度,履行反洗钱义务。

 

(五)《金融机构反洗钱和反恐怖融资监督管理办法》

 

第十二条 金融机构应当在总部层面制定统一的反洗钱和反恐怖融资机制安排,包括为开展客户尽职调查、洗钱和恐怖融资风险管理,共享反洗钱和反恐怖融资信息的制度和程序,并确保其所有分支机构和控股附属机构结合自身业务特点有效执行。

金融机构在共享和使用反洗钱和反恐怖融资信息方面应当依法提供信息并防止信息泄露。

 

(六)《中国人民银行关于加强反洗钱客户身份识别有关工作的通知》

 

(五)出于反洗钱和反恐怖融资需要,集团(公司)应当建立内部信息共享制度和程序,明确信息安全和保密要求。集团(公司)合规、审计和反洗钱部门可以依法要求分支机构和附属机构提供客户、账户、交易信息及其他相关信息。

 

(七)《金融控股公司监督管理试行办法》

 

第二十二条 金融控股公司与其所控股机构之间、其所控股机构之间在开展业务协同,共享客户信息、销售团队、信息技术系统、运营后台、营业场所等资源时,不得损害客户权益,应当依法明确风险承担主体,防止风险责任不清、交叉传染及利益冲突。

第三十三条 金融控股公司应当统筹协调集团对同一企业(含企业集团)授信工作,提升集团信用风险防控水平。金融控股公司应当主动掌握集团对同一企业融资情况,对融资余额较大的企业,金融控股公司应当牵头建立集团内信息共享和联合授信机制,主要包括协调所控股机构共同收集汇总企业信息,识别隐性关联企业和实际控制人,联合设置企业融资风险预警线等。

 

金融控股公司应当要求所控股金融机构定期上报从其他金融机构获得的授信额度和使用情况。

 

(八)《反电信网络诈骗法》

 

第十六条开立银行账户、支付账户不得超出国家有关规定限制的数量。

对经识别存在异常开户情形的,银行业金融机构、非银行支付机构有权加强核查或者拒绝开户。

中国人民银行、国务院银行业监督管理机构组织有关清算机构建立跨机构开户数量核验机制和风险信息共享机制,并为客户提供查询名下银行账户、支付账户的便捷渠道。银行业金融机构、非银行支付机构应当按照国家有关规定提供开户情况和有关风险信息。相关信息不得用于反电信网络诈骗以外的其他用途。

 

(九)《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》

 

第六条   金融机构应当在总部层面对客户尽职调查、客户身份资料及交易记录保存工作作出统一部署或者安排,制定反洗钱和反恐怖融资信息共享制度和程序,以保证客户尽职调查、洗钱和恐怖融资风险管理工作有效开展。 

金融机构应当对其分支机构执行客户尽职调查制度、客户身份资料及交易记录保存制度的情况进行监督管理。 

金融机构应当要求其境外分支机构和附属机构在驻在国家或地区法律规定允许的范围内,执行本办法的有关要求,驻在国家或地区有更严格要求的,遵守其规定。如果本办法的要求比驻在国家或地区的相关规定更为严格,但驻在国家或地区法律禁止或者限制境外分支机构和附属机构实施本办法的,金融机构应当采取适当措施应对洗钱和恐怖融资风险,并向中国人民银行报告。 

 

注释

[1] 《民法典》于2021年1月1日,正式施行,其以“隐私权和个人信息保护”专章的方式,对隐私权和个人信息定义、保护原则、法律责任、主体权利、信息处理等问题作出规定。在个人信息共享方面,《民法典》规定“信息处理者……未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外”。其延续了《个人信息安全规范》的理念,仍然将个人信息主体的同意作为后续处理活动的核心合法理由。

[2] 《数字经济及其核心产业统计分类(2021)》,互联网数据服务指以互联网技术为基础的大数据处理、云存储、云计算、云加工、区块链等服务活动。

[3] 金融信息服务,是指向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场的信息和/或者金融数据的服务。该服务不同于通讯社服务。

微信公众号 ×

使用“扫一扫”即可添加关注