“《个人信息保护法》并没有将母公司、子公司之间的个人信息共享与一般的第三方共享相区分。我们一直在呼吁,在金控集团内部做一点突破。因为金控集团本身受到了严格监管,其最大的优势就在于内部资源协同功能,个人数据作为重要资源的共享自然也是金控公司业务的重要一部分。”10月10日,在新金融联盟举办的“新法规下金融机构的数据合规应用”研讨会上,对外经贸大学数字经济与法律创新研究中心主任许可表示。
许可结合法条分析了《个人信息保护法》对金融业的影响,区分了《征信业务管理办法》的终稿与征求意见稿异同,辨析了“信用”“相关信息”等概念,并厘清了其适用性。
会上,建设银行(601939,股吧)首席信息官金磐石、光大银行(601818,股吧)信息科技部副总经理王磊、北京银行(601169,股吧)首席信息官龚伟华、南京银行(601009,股吧)首席信息官余宣杰、清华大学法学院院长申卫星做了主题发言。中国银行(601988,股吧)原行长李礼辉,许可,以及两位来自监管部门的代表进行了点评。会议由新金融联盟秘书长吴雨珊主持,中国金融四十人论坛提供学术支持。实录详见→数据应用旧规则颠覆,银行、科技公司如何应对挑战?
嘉宾发言陆续刊登中,以下为许可发言全文,已经本人审核。如果您在数字金融、金融创新、资管转型等领域有心得,欢迎来稿,共同探讨。(详见:征稿 | 数字时代话金融,分享您的所思所得)
个人信息保护法、征信新规与金融业
文 | 许可
对外经贸大学数字经济与法律创新研究中心主任 许可
一、《个人信息保护法》与金融业发展
谢谢吴秘书长的邀请。首先,我从个人角度回应一下对于《个人信息保护法》《数据安全法》和金融行业相关的问题。
有专家提到《个人信息保护法》并不是去阻止或限制金融行业应用新技术利用个人信息的法律。恰恰相反,它是想做到个人信息保护和个人信息利用的平衡。《个人信息保护法》第13条确立了一个多元的个人信息处理机制,这一条款亦是个保法的法眼之所在。
还有关于单独同意的问题。对于一些敏感信息、与第三方共享信息都需要进行单独同意。但需要注意,这里面的单独同意是以用户的一般性同意为前提的。在符合《个人信息保护法》第13条规定的无需个人同意的前提下,如金融机构为了履行法定的义务,特别是履行反洗钱、反欺诈这样的法定义务,实际上是不需要通过用户的同意就可以处理个人信息,同时,在此情况下自然也不需要通过后续的单独授权来去处理。这体现出在《个人信息保护法》平衡产业发展和个人信息保护这两个看起来矛盾目标的一个努力。
此外,在《个人信息保护法》中还有大量的条款处理了个人信息的利用和个人信息的保护。有专家提出对于不同的人给予不同的贷款利率算不算差别待遇?事实上,《个人信息保护法》并非一概禁止差别待遇,而是禁止“不合理”的差别待遇,在《个人信息保护法》中,“不合理”首先是损害个人人格尊严的歧视性待遇,比如基于种族、民族、特定身份等人格相关因素的差异化待遇。其次,“不合理”是基于个人支付意愿的定价。
再比如母公司、子公司之间的个人信息共享,《个人信息保护法》并没有将其与一般的第三方共享相区分。我们也一直在呼吁,在金控集团内部能不能做一点突破。因为金控集团本身受到了严格监管,并且其最大的优势就在于内部资源协同功能,个人数据作为重要资源的共享自然也是金控公司业务的重要一部分。除了共享以外,《个人信息保护法》有一条可以供大家参考,即通过个人信息共同控制者持有,这可以部分解决业界的担忧。
二、《征信业务管理办法》中的“信用信息”
《征信业务管理办法》最终稿和征求意见稿比有一个很大的改变,将征信替代数据纳入了信用信息之中。
信用信息的扩展在世界范围内趋势和挑战。《征信业务管理办法》征求意见稿将“信用信息”界定为“为金融经济活动提供服务,用于识别判断个人和企业信用状况的各类信息。包括但不限于:个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息。”
可以看出,这里的信用信息几乎囊括在个人在各主要场景的信息,信用信息边界的扩展可能给法律带来了挑战。
这个挑战是什么呢?从国际经验上看,信用信息遵循“四大法定”的要求,也就是“范围法定”“收集法定”“使用法定”“救济法定”。这是因为,信用信息不能由个人自行决定,否则结果必然是坏的信息删除,好的信息保留,从而引发道德风险和逆向选择。所以,过于宽泛的、不确定的信用信息将动摇上述“四大法定”的要求。
为此,在《征信业务管理办法》正式稿完善了上述范围,将信用信息缩限为“基本信息、借贷信息、其他相关信息”。其中,“基本信息、借贷信息”比较明确,但到底什么是“相关信息”?这个问题的核心是个人信息的查阅、更正、删除等支配性权利与信用信息不经个人同意的“法定收集、使用”的矛盾。
对此,我个人的理解是,这里的“相关信息”就是为“形成信用”的“最小必要信息”,也就是和“信用形成”有着直接关联的“信息”。那么,何为“信用”?
在我国法律中,“信用”有三重不同的含义。
最宽泛的含义是社会信用,也就是说在社会和金融活动中遵守法定义务和履行规定义务的状态,这主要体现在社会信用体系建设中,典型的比如骑共享单车不需要付押金,这里面就是社会信用。
第二重信用是经济信用。《民法典》草案曾经提过对于信用权的规定。信用权的规定就是特定主体的偿债能力和与经济能力相关的评价。
第三个含义是金融信用,即对于授信者和债务人的履行义务相应的评价。
《征信业务管理办法》的“信用”应当是最狭义上的金融信用,不应扩展到经济性和社会性。就此而言,“相关信息”不是所有的信息,只有和金融信用形成最小关联的信息才会纳入到个人的征信系统中,根据《个人信息保护法》第13条“为履行合同所必需的规定”,这些信息无需个人同意即可处理,从而避免了法律上个人信息自我决定权利的冲突。此外,对于“金融信用形成最小关联的信息”以外的信息是辅助性的,应当采取用户的知情同意才能处理。
往期嘉宾发言
?? 央行科技司李伟:做好数据治理,强化个人隐私保护
?? 互联网存款业务的国内外监管新进展
?? 工行首席技术官吕仲涛:实行负面清单,建立规范的数据交易市场
?? 平安银行(000001,股吧)蔡新发:商业银行数字化转型的实践分享及升级建议
?? 光大银行杨兵兵:发挥生产要素价值,推进数据交易先行先试
【关于我们】
新金融联盟成立于2016年,致力于打造一个高质量的新金融政策研讨和业务交流平台。成立以来,联盟共组织各类闭门研讨会、优秀企业参访近百场,议题涵盖金融科技、资产管理、普惠金融等方向。部分研讨成果形成报告,呈送给相关部门,推动了业界与监管的沟通交流,助力理事单位的合作共赢。
本文首发于微信公众号:新金融城。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。
(责任编辑:张泓杨)