2019年08月19日农历 己亥年(猪)七月十九

共享经济

主页 >共享经济

从法律角度看消费者金融数据共享和整合原则

发布日期:2018-09-29

20171018日,美国消费者金融保护局(CFPB)发布了经消费者授权的金融数据共享和整合原则。金融数据共享是2017年以来持续热门的金融话题,甚至有2018年是“开放银行服务年”的说法。除美国外,欧洲、英国等地也先后发布了有关金融数据共享法令、规划。对国内而言,鉴于各银行、金融机构、金融科技巨头间的利益关系,金融数据共享看似是个遥远的话题,但互联网金融与征信行业的兴起、金融监管的不断加强、个人信息保护法律法规的完善,使得金融数据共享有可能在正确的监管下得以实现。本文将从CFPB发布的金融数据共享和整合原则(以下简称“九条原则”)出发,从与法律有关的角度对金融数据共享进行粗浅的解读。

九条原则出台背景

英国政府的竞争和市场委员会 (Competition and Mar-kets Authority CMA)2016开始主导开放银行计划,经过近两年准备,2018年开始在英国大银行逐步实现。

欧盟2016年通过支付服务规划2法令(Payment Ser-vice Directive 2PSD2),规定在2018113日起欧洲银行必须把支付服务和相关客户数据开放给第三方服务商。目前该计划的准备已经到收宫阶段。

在美国,因著名的《多德-弗兰克法案》而成立的消费者金融保护局 ,201611月就金融数据共享广泛征求社会意见。在经过一年研究后,1018CFPB发布金融数据共享的九条指导原则。

随后澳大利亚、新加坡、日本和韩国都相继推出各自雄心勃勃的金融数据共享战略。

虽然各国对金融数据共享的称谓五花八门,实现的途径不一,但是都有一个核心的理念:通过金融数据共享,推动传统银行和金融科技公司更深层次地协作和竞争,最终追求用户利益最大化。

美国在2010721日由时任总统奥巴马签署生效了《多德-弗兰克华尔街改革和消费者保护法》,被称为自20世纪30年代以来美国一项最全面的金融监管改革法案,消费者金融保护局依据此法案成立,被赋予了超越监管机构的权利,全面保护消费者合法权益。法案的第1033条明确规定用户或者用户授权的机构,有权获取该用户在金融机构的金融交易数据。

现任总统特朗普与201723日对《多德-弗兰克法案》法案进行全面审查,签署下达行政命令大幅缩减该监管系统,也由此导致了消费者金融保护局的地位和权力处境比较微妙。鉴于特朗普放松金融监管的执政理念,此次消费者金融保护局出台的九条原则,可能是强监管和放松监管两派之间妥协的产物,但是对金融数据共享来说,在监管强度之间的拿捏恰恰也是需要的。

九条原则的解读

九条原则的具体内容涉及获取、数据范围和使用、控制和同意、授权支付、安全性、获取的透明性、准确性、对非授权获取提出异议和解决争议、有效的切实可行的问责机制等,全部都是原则性的内容,非强制性规则,每一条均可扩展成相当数量的法律条文或者执行标准。从适用范围来说,对在美注册的跨国公司、在美国开展业务的公司等主体适用。在我国境内注册的公司,如没有对美开展业务,九条原则是不适用的。以下从个人信息保护的基本法律原则和国内立法契合度的角度对原则进行解读。

用户授权原则

用户授权是关于个人数据或个人信息使用的“黄金原则”和首要原则。九条原则的前提是“经消费者授权”。在我国,《网络安全法》第四十一条明确规定了网络运营者收集、使用个人信息,应当经被收集者同意;《征信业管理条例》第十三条规定采集个人信息应当经信息主体本人同意,未经本人同意不得采集;《消费者权益保护实施条例》第二十二条规定经营者收集、使用消费者个人信息应当遵循合法、必要、正当的原则,明示收集、使用信息的目的、方式和范围并征得消费者同意。

为且仅为用户利益原则

为且仅为用户利益原则意味着,金融数据的共享是为了是提高用户体验,以某一个资产管理门户作为个人金融活动的入口,进而丰富金融产品的多样性和降低金融成本。为此,应当严格控制金融数据的使用范围,一是不能超过授权范围使用,二是不能用于其他目的。如九条原则中的“控制和同意”部分提出“当消费者能控制和自己账户以及与金融服务使用相关的信息时,他们能改善自己的金融生活。消费者不是被强迫授权给第三方自己的数据的”。“数据范围和使用”部分提出“获得消费者授权的第三方只能获取与消费者选定的产品与服务相关的数据,这种第三方可以保存此类数据,但只能是在必要的情况下”。“获取”部分提出“金融账户协议和条款支持安全的、经过消费者授权的获取、有利于消费者利益,并且不寻求阻止消费者获取或授权获取消费者的账户信息”。在我国,《网络安全法》第四十一条第二款规定“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息”。《消费者权益保护实施条例》第二十二条规定“经营者不得收集与经营业务无关的信息或者采取不正当方式收集信息”。

保障用户权利原则

无论是数据还是信息,权利主体均是用户本身,用户对个人信息或个人数据应当享有完全的、排他的处置权。这包括了授权的权利、终止授权的权利、要求第三方确保准确处理的权利、要求第三方合理处置的权利,以及由此而衍生的知情权利、异议权利等。如九条原则的“控制和同意”部分提出:“消费者理解数据共享废止条款,并能有准备地、轻松地废止对数据获取、使用或储存的授权。如果消费者要求被授权的服务商删除个人可识别信息,服务商应及时、高效地废止相关行为”,这一部分保证了用户对自己个人数据的处置权利。又如九条原则的“获取的透明性”部分提出“消费者应能了解,或易于查明,他们授权过的第三方如何获取并使用与他们账户和金融服务使用情况相关的信息”。“准确性”部分提出“如果数据不准确,不管不准确如何以及在哪发生,消费者应当有合理的方式来提出异议并解决这一不准确性”。“对非授权获取提出异议和解决争议”部分均是对由此衍生的知情权、异议权提供保障。在国内,《网络安全法》第四十三条规定“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正”。《网络安全法》第四十九条规定“网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报”。《征信业管理条例》第十七条规定“信息主体可以向征信机构查询自身信息。个人信息主体有权每年两次免费获取本人的信用报告”。《征信业管理条例》第四章“异议和投诉”则是对用户主体权利和相关衍生权利的保障。

业务隔离和安全原则

由于金融数据的敏感性,采集使用数据的授权和最终目标业务的授权应当分离。如九条原则的“授权支付”部分提出“经过授权的数据获取本身不是支付的授权”,由此推广,用户授权机构获取数据,并不等同于用户授权机构开展业务,机构向用户开展业务的,还需另行获得另外的授权。目前虽然没有法律法规明确对此作出规定,但各金融机构办理业务操作流程的实践中,一般会按照《征信业管理条例》第十九条规定“征信机构或者信息提供者、信息使用者采用格式合同条款取得个人信息主体同意的,应当在合同中作出足以引起信息主体注意的提示,并按照信息主体的要求作出明确说明”,以格式合同的条款或附件等形式另行获取数据授权。安全原则意味着信息和数据的传输、加工、处理、保存的过程应当保证安全且不被泄露,为此在整个共享数据处置链上的所有环节均应当采取相当强有力的技术和制度手段进行保障。九条原则的“安全性”部分、以及我国整部《网络安全法》、《征信业管理条例》第二十二条等均对此提出了要求。

九条原则对监管及有关立法影响

有专家认为,金融数据共享必将引发全球金融巨变。变革的浪潮将席卷银行、金融科技公司和个人。正因为共享的是最核心的金融数据,牵扯到各方利益,监管也必须相应调整和改变。以九条原则为代表,欧美金融对此技术变革作出了一定的反应。而在我国,随着个人信息的保护逐渐加强,对于数据的共享利用是一个既热门又谨慎的话题。特别是敏感的金融数据,牵涉的利益更加巨大,要求监管和立法必须更精细、更有针对性。

银行的抵制,数据安全和隐私的保护,公平原则的维护以及实现模式的选择,这些重任如同四座大山,压在监管的肩上。监管不仅要平衡各方的利益,维护用户数据的安全和隐私,力求公平公正,还要根据实际情况选择最佳的实现方式。同时监管还要确保数据共享的标准,统一共享的规范。 另外,监管还需要协调监管内部各个部门之间的政策,如果必要,还需要协助立法机关对法律法规的适度调整。

可以看到,九条原则的提出,首先是肯定了金融数据共享,并在此基础上,对金融数据共享的规范化提出了一些原则性的建议。金融数据的本质是特殊的个人信息,从法理层面,信息主体本身对信息拥有完全的权利,为了获取一定程度的便利(如降低交易成本等),信息主体自愿将一部分信息(如金融数据)及相应的部分权利让渡给专业机构进行处理。相应的,专业机构应当按照双方的约定合理地使用信息。为此,大到个人信息保护、小到金融数据共享,监管仍然应当在便利性和保护性两点之间取得平衡。

借鉴意义

从目前的立法情况来看,笔者建议金融数据共享在我国要取得健康有序的发展,应当从以下几点入手。

首先,应当明确“金融数据”的具体含义和范围。金融数据的外延范围非常广,必须对金融数据的外延加以限定,以防数据滥用。而我国的整个立法体系中,以金融数据为特定立法对象的,仅有《征信业管理条例》及其对应的部门规章、政府规章等。以《征信业管理条例》规定的金融信用信息基础数据库为标准,金融数据的核心应当是借贷交易信息。但金融数据应当不单指归入金融信用信息基础数据库的借贷交易信息,根据用户需要,还应当包括未纳入金融信用信息基础数据库的其他借贷交易信息。此外,还应当包括《征信业管理条例》第十四条规定的相对不得采集信息(指征信机构明确告知采集的不利后果,并取得书面同意后方可采集的信息),相对不得采集信息包括收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息等。

其次,应当明确运营金融数据共享的相关机构的地位。征信机构基于《征信业管理条例》采集、处理个人信用信息。虽然目前也有征信机构搭建平台实现一定范围内的信用信息共享,比如新成立的百行征信欲借助中国互联网金融协会的组织平台实现互联网金融范围内的信用信息共享,但是这与个人用户主体根据自身意愿整合自身数据是不同的。征信机构和金融数据共享机构的区别在于:传统征信机构主要为金融机构服务,基于信息主体的授权获得信用信息,并提供给金融机构供其参考,信息主体的授权偏向于被动;而金融数据共享机构的服务对象是信息主体个人,必须先有信息主体共享自身金融数据的主观意愿,金融数据共享机构方才能从信息主体处获得授权,整合其在各金融机构的数据,最终目标是为信息主体(用户)提供金融服务,信息主体的授权偏向于主动。《征信业管理条例》对征信机构的资质、业务运作规范等均作出了规定,个人征信机构应当经过审批,持照经营。而对于金融数据共享机构,目前并没有相关的立法进行监管约束,虽然按照法律原则,基于主体授权即可采集数据,但相关机构在金融数据的运营、处置、安全防护上均没有统一的规范可言,数据有失控的危险。因此,立法应当参照征信机构的有关规定,在金融数据共享机构的资质、业务范围、业务规则上作出规定,做到相关机构持牌运作、规范发展;或者,将采集、利用金融数据的公司一并纳入个人征信机构管理的体系,参照个人征信机构的严格监管模式进行管理。

最后,监管应当强调相关机构的市场独立性,严格实行业务隔离。国内的一些金融科技公司打着金融科技的名号,将非金融数据纳入金融数据的范围进行采集,或者将金融数据用于非金融领域的主体评价,在个体用户端和金融机构端均提供服务,同时还自营金融业务,实则是游走在监管边缘的灰色地带,失去了金融数据共享的本意。鉴于金融数据的敏感性,运营金融数据共享的机构应当在投资者构成、业务范围等方面保持独立性。否则,由于资本的趋利性,混业经营的金融数据共享机构很难确保信息主体(金融服务最终用户)的利益,也很难保证用户有关的金融数据被正确地使用、评价。同时,混业经营也会给监管带来较大难度,一个既经营金融业务,又经营金融数据的机构,必然会涉及多部门监管,部门职能的交叉之间难免会给别有用心之人留下利用空间。

目前,通过数据类、工具类、外包服务类和解决方案类等征信产品和服务,提供快速、高效、一站式综合解决方案成为很多征信机构的业务方向。该类业务在个人信用信息的授权共享方面,具有金融数据共享的雏形。现阶段监管方面对于金融数据共享的政策尚不明确,但在征信业务方面监管制度是比较系统和规范的。按照征信业务有关监管制度,在业务合规性上,征信机构应当在获得信息主体的授权后将信用信息进行共享。

综上,九条原则的出台,目前对于我国的征信市场及小微金融市场并没有直接影响,但九条原则中体现的一些数据获取、数据处理、数据安全的实践操作精神,值得我们借鉴。考虑到如果国内对于金融数据共享进行立法,可能会借鉴参考国际法律、政策、原则等,因此在征信机构在某些后台操作规程的编制中,笔者建议可以将九条原则提出的一些要求付诸实践,这也有利于在具体监管出台后快速对标,减少调整成本。(来源:中国征信杂志)