联系我们
如您对参会报名、网站使用、内容发布有任何疑问或改进意见,请随时与我们进行沟通!
客服企业微信
期待您的宝贵意见
陈忠阳 中国人民大学财政金融学院教授,TGES和CFRMF发起人
【编者按】 2020年11月28日下午,第十六届中国金融风险经理年度总论坛,专题研讨会NO.12“ 科技在金融业务中应用 ”成功举办。 中国人寿再保险公司风险管理部、法律合规部副总经理周俊发表了题为《金融科技下的数据保护思考——从数据法谈起》的讲座。 本文是周俊先生的发言实录全文,供读者参阅。
一、 数据法基本理念
数据法是规范数据活动的领域法,是以隐私、个人信息(数据)及非个人信息的数据等为主要研究对象,以数据在全生命周期中涉及的隐私及安全等为主要研究内容,以基于重要性和行业领域为基础的数据分级分类保护制度为主要研究特色,具体调整数据主体、数据控制者及数据处理者之间法律关系的法律规范的总称。
数据法的特点包括五点。第一,数据法并不属于传统的基本法律部门,是一个典型的领域法,即该法律并不是特别成熟,不具有很强的理论背景。第二,数据法的研究对象广泛,包括兼具人格权益与财产权益的个人信息(数据)、财产权的 “非个人信息的数据”、人格权的“隐私”。第三,数据法的研究内容主要是数据在其全生命周期中不可回避并且日益突出的隐私及安全等问题。第四,数据法的研究特色主要是数据分级分类保护制度。
此外,数据法中的关键概念 ——个人信息与数据是有区别的。个人信息即个人数据,个人信息与个人数据两个概念的出现是各地法律传统和使用习惯所致,并无本质区别,只是表述方式的差异,可以相互替换使用。个人信息与数据存在区别,个人信息是从属于人格权的,而数据是匿名化的不具可识别特征的信息,数据形成了无形财产权。
二、 数据法立法模式
欧盟的数据立法进程包括1981年颁布108公约、1995年颁布95指令、2016年GDPR(General Data Protection Regulation)通过、2018年GDPR生效。其特点包括数据权利体系化;域外效力,即长臂管辖;严厉处罚;强调公法保护机制。
美国的数据立法包括联邦立法和各州立法。在联邦层面,美国没有制定统一的数据保护基本法典,采取的是分行业的分散立法模式。在州层面,美国各州积极主动制定法典化的数据保护法案,均已出台了应对数据泄露的法律,一些州制定或即将制定消费者数据保护法。重点条款包括访问被收集的个人数据的权利、访问与第三方共享的个人数据的权利以及纠正权、删除权、限制处理权、数据携带权。加州出台的《消费者隐私法案》为消费者个人数据的全面保护提供了完整的法律保障,包括个人信息定义、管辖原则、数据处理原则、儿童个人信息、被遗忘权。
新加坡的数据立法与欧盟相近,包括基础立法的个人数据保护法和一些配套立法,主要有数据保护机构、数据处理规则、处罚规则、域外效力、数据跨境转移机制。
三、 金融数据立法及监管
境外金融数据立法主要包括欧盟和美国两大经济体。欧盟的主要数据相关立法包括 GDPR和《欧盟支付服务修订法案第二版》,没有对金融数据作出专门定义。美国主要的金融数据相关立法包括《金融服务现代化法案》和《消费者金融信息隐私P条例》。
而在国内,在立法层面,金融数据的法律规定主要体现在金融监管部门的政策性文件和部门规章层面,已经形成了初步的规范体系,但层级不高并分布于各部门法中,较为分散。在监管层面,并没有专门的金融立法。
四、 金融数据保护概述
目前中国立法对金融数据没有作出明确定义,一般认为金融数据是金融机构收集、使用的数据。可以分类为个人金融数据、金融重要数据、其他金融数据;业务活动中通过各种方式收集到的原始信息;对原始信息进行过大数据分析、整理、加工后得到的二次信息。
五、 金融数据保护的问题与应对
中国金融数据保护主要问题有六点。第一,数据共享与金融控股公司问题。第二,金融数据的出境监管,包括个人金融数据出境问题、重要数据出境问题、金融数据出境的评估和审批,在国际业务中提出了较大的挑战。第三,金融机构与第三方机构的数据共享和交易,包括金融机构向外部机构共享数据、金融机构服务外包、大型互联网平台对金融机构的数据开放。第四,金融机构使用外部数据的合规问题。如何规范网络爬虫和大数据风控、数据来源合法性审查、三重授权原则。第五,金融数据保护与金融科技。持牌金融机构开展金融数据类业务、金融科技企业开展需要持牌的金融业务。第六,金融数据保护与征信。如何规范数据收集、数据共享、数据使用,目前立法供给不足导致个人征信数据归集无法实现。
金融企业应对举措可以有以下几点。第一,开展企业数据治理顶层设计。第二,梳理所在行业数据保护相关的法律法规、监管规定、国家标准,即外部约束的边界,着重研究本行业数据保护的特点及特殊监管要求。第三,对数据进行全生命周期的合规管控,包括收集、使用、传输、存储等,制定制度机制、出台数据保护指引、制作数据安全标准条款及合同范本。第四,将数据保护工作前置,强化法律人员在数据合作前端的支持作用。第五,培育业务员工数据保护合规文化,数据来源依法合规、数据处理符合授权。第六,加强法律合规人员对数字经济业务的认知,熟悉基本业态、了解行业趋势。
