金融集团数据共享的来路与困境

一、前言

二、个人信息共享的通用要求

（一）《个人信息保护法》明确了个人信息处理者与第三方数据交互的法定要求

（二）《个人信息保护法》统一了共享个人信息的规定

第二十三条　个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。

接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

（三）《信息安全技术 个人信息安全规范》的个人信息共享要求仍具备重要参考价值

（四）现有规范没有对关联方之间共享个人信息进行豁免

（五）针对App和SDK形式的数据共享可能存在敞口

三、个人金融信息共享的特殊处理

（一）重提个人信息主体“同意”作为必要合规前提

• 《金融消费者权益保护实施办法》允许金融机构在遵循合法、正当、必要原则，经金融消费者或者其监护人明示同意，向金融消费者明示金融信息处理规则的情况下，向他人提供个人金融信息； 

• 《证券基金经营机构信息技术管理办法》明确除法律法规和中国证监会另有规定外，证券基金经营机构不得以任何方式向其他机构、个人提供客户信息；

• 《征信业管理条例》允许信息使用者在经过个人信息主体的同意的情况下，向第三方提供个人征信信息； 

• 《期货公司监督管理办法》等禁止期货公司以任何方式违规向其他机构或者个人提供客户信息；

• 《证券法》和《证券基金经营机构信息技术管理办法》严格禁止证券公司和公募基金管理公司非法买卖、提供或者公开投资者的信息； 

• 《反洗钱法》等禁止金融机构对外提供其在履行反洗钱职责或义务时获得的客户资料和交易信息； 

• 《关于银行业金融机构做好个人金融信息保护工作的通知》银行业金融机构使用个人金融信息时，不得向本金融机构以外的其他机构和个人提供个人金融信息，除非是为个人办理相关业务所必需，并且必须获得个人书面授权或同意，或者是法律法规和中国人民银行有其他规定。

（二）安全管理和技术措施适用更细致的规则

（三）法定共享情形已经较为固定

四、金融机构共享个人金融信息的特别要求

（一）个人金融信息在金融机构公司间共享的基本规则

（二）《金控办法》为个人金融信息共享打开监管思路

（三）《办法》进一步认可个人金融信息共享的实际需要和资产价值

第十四条 按照交易类型的不同，金融控股集团的关联交易包括：

（三）提供服务类：包括征信、信用评级、资产评估、法律、审计、精算、咨询等服务；软件和信息技术服务、互联网数据服务[2]；非金融机构支付服务；金融信息服务[3]，包括但不限于客户信息共享、金融交易风险控制、金融决策分析；信息展示、销售推介、委托或受托销售；有价证券交易经纪服务和承销服务；自用动产与不动产租赁、其他租赁资产交易等。

• 通过金融控股集团内部交易虚构交易、转移收入与风险或进行监管套利，或者通过第三方间接进行内部交易，损害金融控股公司及其附属机构的稳健性。

• 通过金融控股集团对外关联交易进行不当利益输送，损害金融控股公司及其附属机构的稳健性。

• 通过隐匿关联关系、拆分交易、设计复杂交易结构等各种隐蔽方式规避内部审查、外部监管以及报告披露义务，为关联方违规提供融资、隐藏风险等。

• 关联交易协议条件显著偏离与非关联方进行的同类交易，以及采用明显偏离市场价格或缺乏合理依据的定价基准。

• 通过互联网数据服务、金融信息服务等交易规避有关规定，或利用规则、数据、算法等各种手段实施价格控制、利益输送或不当转移风险。

• 金融控股公司及其附属机构以不正当竞争的方式向关联方提供服务。

第二十一条 金融控股公司及其附属机构开展关联交易应当按照商业合理原则，具有真实的业务背景、条件合理、定价公允，明确交易对价的确定原则及定价方法。关联交易定价应当以明确、公允的市场价格为基础；无法获取市场价格的，可以参考与独立第三方交易的条件和价格；因交易特殊性而无法按照前述方法进行定价的，应当对该定价的公允性和条件设定的合理性作出说明。必要时关联交易管理委员会可以聘请财务顾问等独立第三方出具报告，作为判断的依据。

五、结语

六、附录：本文涉及的法规条文

a）事先开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施；

b）向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果，并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息，且确保数据接收方无法重新识别或者关联个人信息主体的除外；

c）共享、转让个人敏感信息前，除b）中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力，并事先征得个人信息主体的明示同意；

d）通过合同等方式规定数据接收方的责任和义务；

e）准确记录和存储个人信息的共享、转让情况，包括共享、转让的日期、规模、目的，以及数据接收方基本情况等；

f）个人信息控制者发现数据接收方违反法律法规要求或双方约定处理个人信息的，应立即要求数据接收方停止相关行为，且采取或要求数据接收方采取有效补救措施（如更改口令、回收权限、断开网络连接等）控制或消除个人信息面临的安全风险；必要时个人信息控制者应解除与数据接收方的业务关系，并要求数据接收方及时删除从个人信息控制者获得的个人信息；

g）因共享、转让个人信息发生安全事件而对个人信息主体合法权益造成损害的，个人信息控制者应承担相应的责任；

h）帮助个人信息主体了解数据接收方对个人信息的存储、使用等情况，以及个人信息主体的权利，例如，访问、更正、删除、注销账户等；

i）个人生物识别信息原则上不应共享、转让。因业务需要，确需共享、转让的，应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等，并征得个人信息主体的明示同意。

3.9 共享 

个人金融信息控制者向其他控制者提供个人金融信息，且双方分别对个人金融信息拥有独立控制权的过程。

6.1.4.2 共享和转让

个人金融信息在共享和转让的过程中，应充分重视信息转移或交换过程中的安全风险，具体技术要求如下：

a）在共享和转让前，应开展个人金融信息安全影响评估，并依据评估结果采取有效措施保护个人金融信息主体权益。

b）在共享和转让前，应开展个人金融信息接收方信息安全保障能力评估，并与其签署数据保护责任承诺。

c）支付账号及其等效信息在共享和转让时，除法律法规和行业主管部门另有规定外，应使用支付标记化（按照 JR/T 0149—2016）技术进行脱敏处理（因业务需要无法使用支付标记化技术时，应进行加密），防范信息泄露风险。

d）应部署信息防泄露监控工具，监控及报告个人金融信息的违规外发行为。

e）应部署流量监控技术措施，对共享、转让的信息进行监控和审计。

f）应根据“业务需要”和“最小权限”原则，对个人金融信息的导出操作进行细粒度的访问控制与全过程审计，应采取两种或两种以上鉴别技术对导出信息操作人员进行身份鉴别。

g）应定期检查或评估信息导出通道的安全性和可靠性。

h）使用外部嵌入或接入的自动化工具（如代码、脚本、接口、算法模型、软件开发工具包等）进行信息共享与转让时，应定期检查或评估信息共享工具、服务组件和共享通道的安全性和可靠性，并留存检查或评估结果记录。

i）应执行严格的审核程序，并准确记录和保存个人金融信息共享和转让情况。记录内容应包括但不限于日期、规模、目的、范围，以及数据接收方基本情况与使用意图等，并应确保对共享和转让的信息及其过程可被追溯。

j）应采取有效技术防护措施，防范信息转移过程中被除信息发送方与接收方之外的其他个人、组织和机构截获和利用。

7.1.3使用

个人金融信息在信息展示、共享与转让、公开披露、委托处理、加工处理、汇聚融合等方面，应遵循6.1.4.1—6.1.4.6的要求，并满足以下要求：

a）除法律法规与行业主管部门另有规定或开展金融业务所必需的数据共享与转让（如转接清算等）外，金融业机构原则上不应共享、转让其收集的个人金融信息，确需共享、转让的，应充分重视信息安全风险，具体要求如下：

• 应向个人金融信息主体告知共享、转让个人金融信息的目的、数据接收方的类型，并事先征得个人金融信息主体明示同意，共享、转让经去标识化处理（不应仅使用加密技术）的个人金融信息，且确保数据接收方无法重新识别个人金融信息主体的除外。

• 应帮助个人金融信息主体了解数据接收方对个人金融信息的存储、使用等情况，包括个人金融信息主体的权利，例如访问、更正、删除、注销账户等；在法律法规规定、行业主管部门有关规定及个人金融信息主体约定的范围内，个人金融信息主体行使其个人金融信息控制权利，金融业机构应配合响应其请求。

• C3 类别信息以及 C2 类别信息中的用户鉴别辅助信息不应共享、转让。

• 转接清算、登记结算等情况，应依据国家有关法律法规与行业主管部门有关规定与技术标准执行。

• 当因收购、兼并、重组、破产等情况，对个人金融信息主体提供金融产品或服务的金融业机构主体变更而发生个人金融信息共享、转让时，具体要求如下：——金融业机构将其提供的金融产品或服务移交至其他金融业机构的情况，应使用逐一传达（或公告）的方式通知个人金融信息主体。——承接其金融产品或服务的金融业机构，应对其承接运营的金融产品或服务继续履行个人金融信息保护责任；如变更其在收购、兼并重组过程中获取的个人金融信息使用目的，应重新获得个人金融信息主体明示同意（或授权）。

……

d）以下情形中，金融业机构共享、转让、公开披露个人金融信息无需征得个人金融信息主体的授权同意：

• 与履行法律法规及行业主管部门规定的义务相关的；

• 与国家安全、国防安全直接相关的；

• 与公共安全、公共卫生、重大公共利益直接相关的；

• 与犯罪侦查、起诉、审判和判决执行等直接相关的；

• 出于维护个人金融信息主体或其他主体的生命、财产等重大合法权益但又很难得到本人同意的；

• 个人金融信息主体自行向社会公众公开的；

• 从合法公开披露的信息中收集个人金融信息的，如合法的新闻报道、政府信息公开等渠道。

第二十二条　金融控股公司与其所控股机构之间、其所控股机构之间在开展业务协同，共享客户信息、销售团队、信息技术系统、运营后台、营业场所等资源时，不得损害客户权益，应当依法明确风险承担主体，防止风险责任不清、交叉传染及利益冲突。

第二十三条 金融控股公司及其所控股机构在集团内部共享客户信息时，应当确保依法合规、风险可控并经客户书面授权或同意，防止客户信息被不当使用。金融控股公司所控股机构在提供综合化金融服务时，应当尊重客户知情权和选择权。

第三十三条 金融控股公司应当统筹协调集团对同一企业（含企业集团）授信工作，提升集团信用风险防控水平。金融控股公司应当主动掌握集团对同一企业融资情况，对融资余额较大的企业，金融控股公司应当牵头建立集团内信息共享和联合授信机制，主要包括协调所控股机构共同收集汇总企业信息，识别隐性关联企业和实际控制人，联合设置企业融资风险预警线等。金融控股公司应当要求所控股金融机构定期上报从其他金融机构获得的授信额度和使用情况。

第三十四条 金融控股公司应当建立健全集团整体的风险隔离机制，包括金融控股公司与其所控股机构之间、其所控股机构之间的风险隔离制度，强化法人、人事、信息、财务和关联交易等“防火墙”，对集团内部的交叉任职、业务往来、信息共享，以及共用销售团队、信息技术系统、运营后台、营业设施和营业场所等行为进行合理隔离，有效防控风险，保护客户合法权益。

第三条 在中华人民共和国境内设立的金融机构和按照规定应当履行反洗钱义务的特定非金融机构，应当依法采取预防、监控措施，建立健全客户身份识别制度、客户身份资料和交易记录保存制度、大额交易和可疑交易报告制度，履行反洗钱义务。

第十二条　金融机构应当在总部层面制定统一的反洗钱和反恐怖融资机制安排，包括为开展客户尽职调查、洗钱和恐怖融资风险管理，共享反洗钱和反恐怖融资信息的制度和程序，并确保其所有分支机构和控股附属机构结合自身业务特点有效执行。

金融机构在共享和使用反洗钱和反恐怖融资信息方面应当依法提供信息并防止信息泄露。

（五）出于反洗钱和反恐怖融资需要，集团（公司）应当建立内部信息共享制度和程序，明确信息安全和保密要求。集团（公司）合规、审计和反洗钱部门可以依法要求分支机构和附属机构提供客户、账户、交易信息及其他相关信息。

第二十二条　金融控股公司与其所控股机构之间、其所控股机构之间在开展业务协同，共享客户信息、销售团队、信息技术系统、运营后台、营业场所等资源时，不得损害客户权益，应当依法明确风险承担主体，防止风险责任不清、交叉传染及利益冲突。

第三十三条 金融控股公司应当统筹协调集团对同一企业（含企业集团）授信工作，提升集团信用风险防控水平。金融控股公司应当主动掌握集团对同一企业融资情况，对融资余额较大的企业，金融控股公司应当牵头建立集团内信息共享和联合授信机制，主要包括协调所控股机构共同收集汇总企业信息，识别隐性关联企业和实际控制人，联合设置企业融资风险预警线等。

第十六条开立银行账户、支付账户不得超出国家有关规定限制的数量。

对经识别存在异常开户情形的，银行业金融机构、非银行支付机构有权加强核查或者拒绝开户。

中国人民银行、国务院银行业监督管理机构组织有关清算机构建立跨机构开户数量核验机制和风险信息共享机制，并为客户提供查询名下银行账户、支付账户的便捷渠道。银行业金融机构、非银行支付机构应当按照国家有关规定提供开户情况和有关风险信息。相关信息不得用于反电信网络诈骗以外的其他用途。

第六条   金融机构应当在总部层面对客户尽职调查、客户身份资料及交易记录保存工作作出统一部署或者安排，制定反洗钱和反恐怖融资信息共享制度和程序，以保证客户尽职调查、洗钱和恐怖融资风险管理工作有效开展。 

金融机构应当对其分支机构执行客户尽职调查制度、客户身份资料及交易记录保存制度的情况进行监督管理。 

金融机构应当要求其境外分支机构和附属机构在驻在国家或地区法律规定允许的范围内，执行本办法的有关要求，驻在国家或地区有更严格要求的，遵守其规定。如果本办法的要求比驻在国家或地区的相关规定更为严格，但驻在国家或地区法律禁止或者限制境外分支机构和附属机构实施本办法的，金融机构应当采取适当措施应对洗钱和恐怖融资风险，并向中国人民银行报告。 

[1] 《民法典》于2021年1月1日，正式施行，其以“隐私权和个人信息保护”专章的方式，对隐私权和个人信息定义、保护原则、法律责任、主体权利、信息处理等问题作出规定。在个人信息共享方面，《民法典》规定“信息处理者……未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外”。其延续了《个人信息安全规范》的理念，仍然将个人信息主体的同意作为后续处理活动的核心合法理由。

[2] 《数字经济及其核心产业统计分类（2021）》，互联网数据服务指以互联网技术为基础的大数据处理、云存储、云计算、云加工、区块链等服务活动。

[3] 金融信息服务，是指向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场的信息和／或者金融数据的服务。该服务不同于通讯社服务。