协同共享与跨境流动。
在金融机构数据处理的过程中,可能涉及的数据流动对象包括征信机构、第 三方数据分析公司、第三方非金融机构和其他被监管的金融机构等数据来源,可 能涉及的数据处理方式包括将金融数据与第三方共享、使用第三方收集的数据以 及委托第三方进行数据处理。《个金技术规范》第 7.1.1 条明确了“除法律法规与 行业主管部门另有规定或开展金融业务所必需的数据共享与转让(如转接清算等) 外,金融业机构原则上不应共享、转让其收集的个人金融信息,确需共享、转让 的,应充分重视信息安全风险”,在第 6.1.1 条规定金融机构不应委托或授权无金 融业相关资质的机构收集 C3、C2 类别信息,并应确保收集信息来源的可追溯性, 在第 7.1.3 条规定因金融产品或服务的需要,将收集的个人金融信息委托给第三 方机构的处理要求。
此外,金融控股公司可能需要在内部与业务子公司之间进行数据共享。域外 欧美立法例中加强个人金融信息共享、普遍采用“同意”而非“明示同意”为信息处 理事由。但在我国分业监管的背景下,根据《金融控股公司监督管理试行办法》 第 23 条第 1 款的规定,金融控股公司内部共享信息需要经过客户书面授权或同意,没有规定例外情形。由此,我国的金融控股公司相比域外金融控股公司处于 不利地位。权衡金融控股公司内部的数据共享的利弊,考察是否需要为其设定例 外情形,是监管需要关注的重要问题。
在跨国金融业机构进行用户研究,或境内外金融机构处理跨境支付、对外联 络等业务场景时,通常会产生金融数据跨境的需求。传统的以保护本国范围内个 人信息权利为重点的金融数据立法,必然面对金融全球化时代下个人数据跨境流 动的考验。在数据跨境流动领域,各国的侧重均有不同。美国采用“贸易优先的自 由流动模式”,欧盟采用“人权优先的域外管辖模式”,中国采用“安全优先的属地 模式”。2 由于金融风险的传导性以及金融业的战略,即使是以数据自由流动为先 的条约也承认金融数据的特殊性。在一些国际性的条约如《全面与进步跨太平洋 伙伴关系协定》(CPTPP)和《数字经济伙伴关系协定》(DEPA)中,也允许金融 数据作为跨境数据流动的例外。
数据主权与安全优先的规则体现为数据本地化措施,我国《网络安全法》第 37 条与《数据安全出境评估办法》对于个人信息与重要数据确立了“原则禁止, 以经安全评估为例外”的监管模式。《个金技术规范》细化了个人金融信息本地化 存储原则下的跨境传输制度,针对“信息出境安全评估”义务,需要结合《数据出 境安全评估办法》进行适用。《金融数据生命周期规范》则对金融数据中的重要数 据作出了更严格的规范,在任何情况下均不允许重要数据出境。
