sis banner sls2
欢迎光临上海市法学会!   您是第位访客 今天是
标题 内容 作者
  • 财税法学研究会
  • 法理法史研究会
  • 法学教育研究会
  • 港澳台法律研究会
  • 国际法研究会
  • 海商法研究会
  • 金融法研究会
  • 禁毒法研究会
  • 经济法学研究会
  • 劳动法研究会
  • 民法学研究会
  • 农业农村法治研究会
  • 商法学研究会
  • 社会治理研究会
  • 生命法研究会
  • 诉讼法研究会
  • 外国法与比较法研究会
  • 未成年人法研究会
  • 宪法研究会
  • 消费者权益保护法研究会
  • 网络治理与数据信息法学研究会
  • 刑法学研究会
  • 行政法学研究会
  • 知识产权法研究会
  • 仲裁法研究会
  • 反恐研究中心
  • 教育法学研究会
  • 航空法研究会
  • 卫生法学研究会
  • 立法学研究会
  • 法学期刊研究会
  • 法社会学研究会
  • 自贸区法治研究会
  • 竞争法研究会
  • 非公经济法治研究会
  • 人民调解法治研究会
  • 欧盟法研究会
  • 海洋法治研究会
  • 破产法研究会
  • 财富管理法治研究中心
  • 法学翻译研究会
  • 慈善法治研究会
  • 司法研究会
  • 海关法研究会
  • 环境和资源保护法研究会
  • "一带一路"法律研究会
  • 案例法学研究会
  • 互联网司法研究会
  • 文化产业法治研究小组
  • 体育法学研究小组
  • 人工智能法治研究会
  • 刑罚执行与回归社会研究小组
  •       
当前位置: 网站首页 > 学会活动

江翔宇:中国金融数据保护的立法与监管研究

2020-05-18 09:24:31 字体:

image.png

江翔宇  上海市法学会金融法研究会理事、基金法专委会秘书长,上海市协力律师事务所资深顾问,法学博士。

一、金融数据的概念和范围

关于数据和信息,学界和实务界在概念使用上有不同的认识。在国内外大多数研究者的论述中,“数据”更多强调的是可以被机器设备自动化处理的特点,而“信息”更多强调的是内容的传递。虽然在语义上这两个词语有所区别,各国在立法中表达相关含义时的措辞也各有不同的选择,但由于数据保护与电脑、网络等信息技术的使用密不可分,因此,“数据”与“信息”两个概念经常通用。有时区分数据与信息是很困难的。信息总是依赖于数据存储和传输,特别是在数字环境下,信息被转化为毫无意义的数据“0”和“1”,它们都只能通过特定的系统读取和理解,在这种情况下,数据与信息是等同的。这里统一使用“数据”的概念。

image.png

目前在中国立法上对金融数据没有作出明确的概念界定,一般认为金融数据是金融机构收集、使用的数据。对个人金融数据,《中国人民银行金融消费者权益保护实施办法》第27条规定:“本办法所称个人金融信息,是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。”中国人民银行起草的《个人金融信息(数据)保护试行办法(初稿)》指出,个人金融信息“是指金融机构通过开展业务或者其他渠道获取、加工和保存的自然人信息,包括但不限于自然人的身份信息、财产信息、账户信息、信用信息、金融交易信息以及其他反映特定自然人某些情况的信息但不包括经过技术处理无法识别或者关联特定个人且不能复原的自然人信息”。人民银行2020年2月13日发布的《个人金融信息保护技术规范》规定“个人金融信息”指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,主要包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。

而对于何谓金融机构,一直有争议,从数据控制者的角度看,除了包括传统持牌金融机构外,金融机构还应当包括互联网相关的新型持牌金融机构以及地方金融组织(机构)等,《个人金融信息保护技术规范》为此规定:“金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构”。

按照数据监管的关注点,金融数据可以分为个人金融数据、金融重要数据与其他金融数据三个部分,其中个人金融数据和重要金融数据受特别立法规制,适用特别的监管要求,其他金融数据则主要适用一般性的数据监管法律规定。个人金融数据是个人数据的一部分,是金融数据中最为敏感的部分,因为其涉及各种个人敏感信息。个人金融数据来源于证券、银行、保险、宏观经济监管等诸多金融活动,包括金融机构对其在交易过程中获得的静态的客户个人基本信息和动态的交易数据。对于金融数据中的重要数据,因为其对国家金融安全和风险防范具有重要意义,亦需要给予高度关注和重视,尽快明确其范围和保护方式。

《个人金融信息保护技术规范》根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为了C3、C2、C1三类。C3类别信息主要为用户鉴别信息,该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害;C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息;C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。“金融业机构”应首先识别日常经营过程中涉及的个人金融信息,按照《规范》中“C3、C2、C1”的敏感度进行分类,并尽可能使之与内部既存的数据资产分级得以衔接和协调。除参照《规范》对以上敏感程度的个人金融信息进行分类时,尤须注意低敏感度信息经关联、组合或分析后可能产生的高敏感度信息。

image.png

金融数据在内容上涵盖两部分,一是业务活动中通过各种方式收集到的原始信息,二是对原始信息经过大数据分析、整理、加工后得到的二次信息。在对金融数据进行界定时,不应局限于数据本身,而应综合考虑数据的产生、转换、使用、传输、储存、加密、解密、销毁等过程,在这一过程中,金融数据经历了不同形态的衍化,归于不同主体的管控之下,发挥着不同形式的功能。

二、金融数据保护的背景和特点

(一)金融数据保护与金融机构客户保密义务

金融行业对于数据保护有天然的重视,与其他领域相比,金融行业对数据的保护无论是理念还是措施可以说都早于并强于其他领域。因为涉及个人的资产安全,金融行业形成之初就对金融机构的保密义务提出了较高要求(金融数据基本上都可以纳入“敏感信息”范围),金融监管部门亦一直将保密义务作为金融监管的重点。这一点在大数据时代之前就已经形成,例如,金融机构被要求对客户的身份资料、账户信息、交易信息等予以保密,除法规另有规定外,不得对外提供或允许查询。中国人民银行也从金融消费者权益保护的角度强调个人信息/数据保护。

但是这些对金融机构客户资料的保密传统以及金融消费者的权益保护安排,与大数据时代对客户信息和数据的保护处于不同的维度。进入大数据时代以后,客户资料普遍实现了信息化和数字化,对客户资料的保密传统和对金融消费者的保护也必然延伸到对客户金融信息和数据的保护层面。人民银行《个人金融信息(数据)保护试行办法(初稿)》第23条规定“金融机构应当根据个人信息保护,数据安全和网络安全方面的法律、法规、规章和有关主管部门的规定,建立健全收集、处理、使用、对外提供、展示、保存、销毁等全生命周期的个人金融信息保护制度。”

image.png

中国人民银行2020年2月13日发布的《个人金融信息保护技术规范》对金融机构的金融数据保护义务提出了全面系统的制度要求,具有标志性意义。该规范要求金融业机构应建立个人金融信息保护制度体系,明确工作职责,规范工作流程。制度体系的管理范畴应涵盖本机构、外包服务机构与外部合作机构,并确保相关制度发布并传达给本机构员工及外部合作方。相关制度应至少包括个人金融信息保护管理规定、日常管理及操作流程、外包服务机构与外部合作机构管理、内外部检查及监督机制、应急处理流程和预案。该规范还就规定了具体要求:1.制定个人金融信息保护管理规定,提出本机构个人金融信息保护工作方针、目标和原则。2.开展个人金融信息分类分级管理。应针对不同类别和敏感程度的个人金融信息,实施相应的安全策略和保障措施。3.建立日常管理及操作流程。应对个人金融信息的收集、传输、存储、使用、删除、销毁等环节提出具体保护要求,制定个人金融信息时效性管理规程,确保符合法律法规和行业主管部门有关规定。4.建立信息系统分级授权管理机制。应在不影响履行反洗钱等法定义务的前提下,制定本机构人员个人金融信息调取权限与使用范围,并制定专门的授权审批流程。5.建立个人金融信息脱敏(如屏蔽、去标识、匿名化等)管理规范和制度,应明确不同敏感级别个人金融信息脱敏规则、脱敏方法和脱敏数据的使用限制。6.依据国家与行业有关标准,建立个人金融信息安全影响评估制度,应定期(至少每年一次)开展个人金融信息安全影响评估。7.建立外包服务机构与外部合作机构管理制度,包括但不限于:A.应对个人金融信息生命周期过程中相关的外包服务机构与外部合作机构进行审查与评估,评估其个人金融信息的保护能力是否达到国家、行业主管部门与金融业机构的要求:应通过协议或合同的方式,约束外包服务机构与外部合作机构不应留存C2、C3类别信息;对于C2类别信息中的支付账号等信息,若因清分清算、差错处理等业务需要确需留存,金融业机构应明确其保密义务与保密贵任,并应根据安全要求落实安全控制措施,并将有关资料留档备査;对可能访问个人金融信息的外包服务机构、外部合作机构及其人员,金融业机构应要求外包服务机构与外部合作机构向有关人员传达个人金融信息保护安全要求,与其签署保密协议,并对协议履行情况进行监督。B.不应将存储个人金融信息的数据库交由外部合作机构运维。C.应定期对外包服务机构与外部合作机构的个人金融信息保护措施落实情况进行确认,确认的方式包括但不限于外部信息安全评估、现场检査等。D.国家法律法规与行业主管部门另有规定的,按照相关要求执行。8.建立个人金融信息安全检査及监督机制。应建立个人金融信息安全日常检査机制和工作流程、定期评估个人金融信息管理方面存在的不足,及时调整检查机制和工作流程。9.应将个人金融信息泄露等相关事件处理纳入机构信息安全事件应急处置工作机制,制定专门的流程和预案。定期评估应急处理流程和预案,及时保障、有效应对个人金融信息安全事件,降低安全事件造成的损失及不利影响。10.建立个人金融信息投诉与申诉处理程序,明确投诉与申诉受理部门、处理程序,对个人金融信息主体要求更正或删除金融业机构收集其个人金融信息的情况,应受理、核实,并依据国家与行业主管部门要求予以处理。11.明确个人金融信息共享、存储、使用和销毁的期限,具备个人金融信息存储时效性的控制能力。

(二)金融机构传统保护理念与数字经济、数字金融

传统金融业客户资料保密要求和数据时代数据保护要求存在竞合,但传统金融服务下金融机构的安全保障义务主要集中在保护客户在金融机构营业场所的人身和财产安全、防止客户资金丢失或被盗以及保护客户的金融信息等,而在大数据和人工智能时代,客户的信息安全(数据安全)和资金安全渐成重点,信息安全(数据安全)则成为金融机构安全保障义务的核心内容,金融数据的传统保护理念已经不能顺应时势的发展。在进行数据安全保障的同时,金融数据的共享和使用对于金融业的业务开展、风险控制等具有越来越大的意义,即数据驱动的人工智能将发挥越来越大的商业价值,而在数据共享和合理使用的大数据时代,数据驱动亦面临着对个人信息保护的难题,金融领域迫切需要融入大数据和人工智能时代下的数据保护理念。

同时,鉴于金融数据保护通常涉及个人的敏感信息,并且具有高度精准识别性,特别是账户数据、交易数据、信用数据等信息可能被交易对手或外界所利用,从而对客户造成可能的经济损失,同时由于金融行业数据的量级和复杂性,因此金融数据泄露的实际风险较大,对金融数据的风险控制、信息安全和数据防护能力以及技术处理手段都提出了更高的要求。

(三)金融数据控制者的变化

随着数字经济的到来,排除金融监管部门,金融数据的控制者并不限于传统持牌金融机构,如银行、证券公司、保险公司,大型科技公司和互联网企业已经进入金融领域,例如,阿里巴巴集团和腾讯公司均已获得众多金融牌照,蚂蚁金服已被纳入国家的金融控股公司试点范围,可以开展金融和互联网相结合的新型金融业务,如支付业务、网络银行、网络保险等。这些公司的用户数以亿计,收集的个人金融数据和重要数据数量庞大,其所控制的海量数据的合理共享和使用可以为社会带来巨大的正面效益,但是从另外的角度看,互联网企业进入金融领域也面临风险偏好和风险文化需要时间来积淀的问题。互联网和金融结合实质上还是金融业务,需要接受严格的金融监管,而这种理念需要时间被互联网企业所真正认可。因此,这些大型互联网平台企业如果不受到必要的金融监管或者为了自身领域进行数据垄断形成“数据孤岛”,将对公共利益和个人隐私带来巨大潜在风险。

image.png

近年来,互联网金融领域出现了如P2P问题和金融机构风控外包问题等,传统金融机构以外的数据公司或者所谓金融科技公司通过非法数据爬虫等手段收集、使用大量个人金融数据,在缺乏合法性的情况下帮助金融机构或者P2P公司实现贷款风控或者债务催收等目的,造成了负面的社会后果。

必须看到,金融数据控制者已经从通常认为的传统金融持牌机构演变为也包括脱胎于互联网企业的新型持牌金融机构,甚至包括非金融机构等。具体来说,金融数据控制者主要包括三类主体:一是传统金融机构,包括银行、证券公司、保险公司等,涉及用户金融资产、负债、交易信息;二是第三方机构,包括支付平台、电子商务平台、物流渠道等以及彼此结合体,涉及用户非金融交易信息(如购物、销售、物流等,有助于用户行为模式分析)和部分金融交易信息;三是涉及跨机构、跨平台全量交易数据的平台(如银联、网联等)和征信数据的平台(如人行征信、百行征信等)。

三、金融数据的立法和监管概况
(一)境外金融数据立法1.立法模式
随着数字经济时代的到来,制定数据保护的法律法规成为世界各国的重要立法任务。欧盟和美国是数据立法的两个主要代表,采取了不同的立法模式。欧盟采取了综合性个人信息保护立法模式,以《通用数据保护条例》(GDPR)为核心立法,该条例非常严格,将数据视为信息主体的基本权利,建立了以被遗忘权为特色的最高保护标准。美国则采取了分领域立法,在联邦层面并无一部类似GDPR的综合性个人信息保护法案,而是在隐私法、个人信息保护的一般性法律外,针对金融领域的个人信息保护进行专门性规定,并辅之以严格的违法处罚。如果说欧盟是以“数据基本权利”为基础的模式,那么美国就是以“自由式市场+强监管”为基础的模式。

2.欧盟和美国的立法概况

欧盟的主要金融数据相关立法包括GDPR和《欧盟支付服务修订法案第二版》(Payment Service Directive 2,PSD2)。欧盟的立法没有对金融数据作出专门定义,也未认可金融数据作为特殊类型的个人数据。

美国主要的金融数据相关立法包括《金融服务现代化法案》(Gramm-Leach-Bliley Act, GLBA)和《消费者金融信息隐私P条例》( Regulation P:  Privacy of Consumer Financial Information,以下简称《P条例》)。GLBA标示着美国国会开始重视互联网背景下用户金融信息的隐私保护问题,该法案第五章专设金融机构之隐私保护政策,适用于所有金融机构,同时该法案还进一步要求金融机构对其如何收集、分享、保护金融消费者个人信息进行详细的解释。为了实施该法案,美国各大金融监管机构纷纷出台系列行业细则和补充性细则,以明确信息流转限制、自愿退出机制以及对消费者通知清晰度的具体要求。《P条例》规定:(1)金融机构必须以明确、清楚且显著的方式告知消费者在何种情况下,金融机构会对关联企业或非关联第三方披露消费者非公开信息;(2)金融机构必须定期以明确、清楚且显著的方式告知客户其隐私政策;(3)金融机构必须向消费者提供选出机制,避免个人信息被非法披露给其他第三方。所有受联邦储备理事会、货币监理署、储贷监理署(OTS)、存款保险公司、证券交易维护员会、全国信用合作社管理局、联邦贸易委员会以及商品期货贸易委员会等八家联邦监管机构监管的金融机构都应遵守《P条例》。同时,上述监管机构还专门出台了“客户信息安全与机密保护标准”,在管理、技术及检查程序等方面制定消费者个人信息及交易记录的安全标准,以具体实施GLBA的信息安全要求。

(二)中国金融数据保护立法概述目前中国在法律层面尚未就个人信息保护和数据保护进行单独立法,《网络安全法》和金融行业领域的相关法律只是作了一些总体性和原则性规定。金融数据保护的具体立法主要体现在部门规章和国家标准层面,如2016年12月出台了《中国人民银行金融消费者权益保护实施办法》,明确要求金融机构应当建立健全金融消费者权益保护的各项内控制度,该办法第三章就以专章形式规定了个人金融信息保护制度框架。虽然中国立法对个人金融信息保护有了初步规范,但基于大数据时代所引发的新问题、新风险,立法步伐相比时代发展略显滞后,大数据时代金融信息具有更加动态化和宽泛化趋势,除了一般金融信息外还包括非内容性的元数据,而传统的信息保护立法并未涉及。具体来说,中国金融数据立法的现状主要有以下几个特点:

1)对金融数据的法律规定主要体现在金融监管部门的政策性文件和部门规章层面,已经形成了初步的规范体系,但是层级不高并分布于各部门法中,较为分散。

2)立法理念上主要是从金融业务传统的客户信息保密角度和理念来立法,而不是基于个人信息保护的角度从信息的收集、控制、处理、共享等方面进行规定,对数字金融的立法供给不足。

3)关于金融数据保护的权利义务方面的规定总体比较原则,同时在立法实施的约束性和法律后果方面比较粗放,实际执行和监管乏力。

值得关注的是,专门性立法《个人信息保护法》和《数据安全法》已被列入了十三届全国人大常委会立法规划,预计很快就会出台,中国人民银行亦已将《个人金融信息(数据)保护试行办法(初稿)》下发征求意见。以上存在的问题有待于在《个人信息保护法》和《数据安全法》的顶层设计完成后加以解决。

image.png

目前,中国金融数据保护相关的具体法律规范、政策性文件、标准规定梳理如下:

1.法律层面

在法律层面,对金融数据保护作出规定的有:《民法典》(征求意见稿)、《民法总则》《网络安全法》《消费者权益保护法》《电子商务法》《刑法》。其中,《网络安全法》是在《个人信息保护法》和《数据安全法》两部法律问世之前,对数据安全和个人信息保护提供了最为全面的法律规定。《网络安全法》与现行国际规则及欧美个人信息保护方面的立法实现了理念上的接轨,将个人信息保护的主要原则纳入其中,包括目的明确原则、同意和选择原则、最少够用原则、开放透明原则、质量保证原则、确保安全原则、主体参与原则、责任明确原则、披露限制原则等。

此外,法律层面的立法文件还有:2012年通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》、2009年通过的《刑法修正案(七)》、2015年通过的《刑法修正案(九)》。与此同时,国家立法机关在证券、银行、基金、保险等行业的单行金融法律中对金融数据保护有分散的部门法规定,主要是从客户保密的角度进行规范。例如,《商业银行法》第6条规定:“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。”第29条规定:“商业银行办理个人储蓄存款业务,应当遵循……为存款人保密的原则。对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。”《反洗钱法》第5条第1款规定:“对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息,应当予以保密;非依法律规定,不得向任何单位和个人提供。”2019年修订后的《证券法》第41条规定:“证券交易场所、证券公司、证券登记结算机构、证券服务机构及其工作人员应当依法为投资者的信息保密,不得非法买卖、提供或者公开投资者的信息。证券交易场所、证券公司、证券登记结算机构、证券服务机构及其工作人员不得泄露所知悉的商业秘密。

2.行政法规、部门规章层面

对金融数据保护作出规定的行政法规、部门规章主要包括:《个人存款账户实名制规定》(国务院令第285号)、《人民币银行结算账户管理办法》(中国人民银行令〔2003〕第5号)、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》(中国人民银行令〔2007〕第2号)、《个人信用信息基础数据库管理暂行办法》(中国人民银行令〔2005〕第3号)、《征信业管理条例》(国务院令第631号)、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)、《个人信息和重要数据出境安全评估办法(征求意见稿)》(2017年4月)、《网络借贷信息中介机构业务活动信息披露指引》(银监办发〔2017〕113号)、《银行业金融机构数据治理指引》(银保监发〔2018〕22号)、《商业银行理财业务监督管理办法》(银保监会2018年6号令)、《金融信息服务管理规定》(2018年12月网信办发布)。

2019年5月,网信办先后颁布了多部规章的征求意见稿,均涉及金融数据保护问题,包括:《网络安全审查办法》(征求意见稿)、《数据安全管理办法》(征求意见稿)、《个人信息出境管理办法》(征求意见稿)。另外,中国人民银行也于2019年先后发布《个人金融信息(数据)保护试行办法(初稿)》(征求意见稿)、《金融消费者权益保护实施办法(征求意见稿)》。

3.政策性文件层面

涉及金融数据保护的政策性文件主要包括:《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)、《中国人民银行上海分行关于银行业金融机构做好个人金融信息保护工作有关问题的通知》(银发〔2011〕17号)、《中国人民银行关于银行业金融机构进一步做好客户个人金融信息保护工作的通知》(银发〔2012〕80号)、《中国人民银行关于进一步加强征信信息安全管理的通知》(银发〔2018〕102号)、《中国银监会关于加强电子银行客户信息管理工作的通知》(银监发〔2011〕86号)、《中国人民银行办公厅关于2013年个人金融信息保护专项检查情况的通报》(银办发〔2014〕131号)、《中国人民银行关于印发〈中国人民银行金融消费者权益保护实施办法〉的通知》(银发〔2016〕314号)。

4.国家标准与行业标准层面

涉及金融数据保护的国家标准与行业标准主要包括:《信息安全技术个人信息安全规范》(GB/T 35273—2020,国家市场监督管理总局、国家标准化管理委员会于2020年3月6日发布)、《个人金融信息保护技术规范》(中国人民银行、全国金融标准化委员会于2020年2月13日发布)、《支付信息保护技术规范(送审稿)》(金标委2018年8月7日发布)。

四、中国金融数据保护监管概述

中国长期实行金融领域的严监管和强监管,对金融业的持牌经营要求一直强于其他领域的行业监管,并秉承分业经营的监管思路。银行、证券、保险等金融领域分别建立了以中国人民银行为中央银行之下的正部级金融监管部门,如银保监会和证监会。

对金融数据监管,整个网络安全立法和个人信息保护和数据安全立法大多突出了网信部门的作用。《网络安全法》第8条规定:“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。”因此,中国对于金融数据的监管思路是强调网信、公安、工信等部门的统一监管,也重视发挥行业主管或监管部门分行业监管的优势。由于金融数据和金融业务的开展紧密相关,金融数据的保护可以被现有的金融业务监管所包含,也就是纳入现有金融监管部门监管的范围,因此未来很可能形成金融监管领域的数据保护监管竞合问题(在其他领域亦有可能产生数据监管竞合问题)。

image.png

目前中国对于金融数据的监管情况大致如下:

(一)数据安全和保护的功能监管

从立法上看,网信部门负责对个人信息安全的监管,工信部、公安部、国家安全部、国家保密局等均有权根据相关立法在其职责范围内对涉及个人信息安全的问题进行处罚。

(二)金融业务的部门监管

1.从金融行业监管角度看,证券、银行、保险等传统金融机构的金融监管部门处于有利地位,可以对金融机构的金融数据保护情况进行日常监管和处罚。

2.对互联网企业和科技企业的金融监管。实践中,大量的金融数据控制者并非金融机构,而是大型科技公司和互联网企业,此类企业如果从事支付、信贷、保险等金融持牌业务,将会控制和处理金融数据,对其的监管应当根据其从事的金融业务类型适用部门监管。

(三)涉及数据竞争的竞争秩序监管

金融数据的共享和使用过程中容易产生“数据孤岛”、不正当竞争行为,对此国家和地方市场监管部门包括反垄断部门有权进行调查和处罚。

image.png

可以看出,如果仅由金融监管部门对金融数据进行监管,会在涉及数据领域的专业性知识方面有所欠缺,而如果完全由网信办等网络安全保护部门来监管,又可能对数据的金融属性失之考虑;同时,大型科技公司和互联网企业进入金融领域增加了监管的复杂性和潜在的风险,也对数据时代的数据竞争问题提出了新的监管挑战。

因此,正在制定中的《个人信息保护法》和《数据安全法》中首先需要解决的是目前个人数据保护分散立法导致的法律体系混乱问题,对个人数据保护的一般性问题加以明确规定,增强法律适用稳定性和法律结果可预见性。同时,也应当对金融数据监管的协调问题作出规定,建立面向数字经济未来的分工协作且行之有效的金融数据监管机制已经势在必行。

《数据安全管理办法》(征求意见稿)第5条规定,在中央网络安全和信息化委员会的领导下,由国家网信部门统筹协调、指导监督个人信息和重要数据的安全保护工作,这个思路比较符合实际。对于金融数据监管,可由国家网信部门统筹协调、指导监督,金融行业主管监管部门进行日常监管。

此外,金融数据的监管落地应当发挥行业协会的作用,行业协会可以通过促进核心企业缔结金融隐私保护自律公约等方式,鼓励金融机构提供高于法律标准的金融隐私保护。为了避免自律公约流于形式,行业协会可以在自律公约中加入相关企业自愿接受协会监督检查,考核各金融机构隐私政策的落实情况,并向社会公布检查结果的条款,提高自律公约和隐私政策落实情况的透明度,从而对金融机构提升隐私保护水平形成舆论压力。

上海市法学会欢迎您的投稿  fxhgzh@vip.163.com

相关链接

罗培新:疫病境外输入压力日增,外国人可到中国免费医疗?国民待遇,绝不应等于“国民的”待遇

罗培新:医护人员“集体放弃”抗疫补助?法理事理情理,理理皆输

罗培新:境外输入压力剧增,赖账不付者,道义与法律双输,将开启人生的至暗时刻

罗培新:抢了当当网的公章,除了抢走几块木头,啥也抢不走

江翔宇:中国金融数据保护相关问题研究

朱亮:私募基金管理机构的刑法规制

崔磊:侵犯公民个人信息罪的司法认定

刘嘉懿:冒用个人信用支付产品行为定性的实证研究

高富平:个人信息使用的合法性基础

高阳 胡丹阳:专利新颖性宽限期制度的比较研究

罗培新 刘斌:白衣天使,最美逆行,法治为你护航 ——上海医护人员立法取得阶段性成果