金融个人信息保护的数据开放探析

　　近年来，在金融科技的驱动下，“开放银行”成为银行数字化的热点方向。截至2019年年底，我国65%的商业银行已建立开放银行平台，众多银行已将开放银行作为其战略推进。开放银行的实质是银行金融数据的开放，其中一项重要前提为个人金融信息的有效保护。在我国目前个人信息保护的法律体系尚不完善的情况下，如何应对开放银行数据共享对个人金融信息保护带来的挑战和问题，值得相关部门研究探讨。

何为开放银行
　　如果简单定义物理网点为Bank1.0，电子银行推进Bank2.0，互联网银行开启Bank3.0，Bank4.0可以看作是开放银行的探索。从个人信息共享层面，开放银行通过应用程序编程接口、软件开发工具包等方式与第三方共享数据，使第三方机构，特别是非银行的金融科技公司发挥自己的科技优势参与到金融服务模式中，在不同服务场景中为金融消费者提供更为个性化的金融服务。传统银行业有着严格的准入门槛，积累了海量的金融数据。开放银行则通过科技赋能，实现更丰富的服务场景，有利于挖掘金融消费数据新价值。

所涉个人信息的范围和分类
　　我国目前虽然没有针对开放银行的专门立法或规范，中国人民银行2019年10月起草下发的《个人金融信息（数据）保护试行办法（初稿）》，2020年2月发布的《个人金融信息保护技术规范》，以及2020年4月国家市场监督管理总局、国家标准化管理委员会发布的2020年版《信息安全技术个人信息安全规范》，均对个人信息，特别是个人金融信息保护作出了具体的规定。
　　《试行办法》规定“个人金融信息”指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息，主要包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。
　　《技术规范》按敏感程度将个人金融信息分为三类：C3类别信息主要为用户鉴别信息，该类信息一旦遭到未经授权的查看或未经授权的变更，会对个人金融信息主体的信息安全与财产安全造成严重危害，例如银行卡密码、网络交易支付密码、卡片有效期、账户登录密码、查询密码，用于用户鉴别的个人生物识别信息等；C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息，以及用于金融产品与服务的关键信息，例如支付账号、证件信息、账户登录的用户名、用户鉴别辅助信息（动态口令、短信验证码等）、信息主体金融状况信息（账号余额、借贷信息等）、金融交易信息（交易指令、交易流水等）、其他识别特定主体的信息（家庭地址）；C1类别信息主要为机构内部的信息资产，例如账户开立时间，开户机构。
　　《技术规范》第7.1.3条禁止共享、转让、公开披露的C3类别信息以及C2类别信息中用户鉴别辅助信息。
　　目前开放银行所涉及的个人信息主要为个人身份信息、个人财产交易信息和对其加工处理后的信息。基于此，银行应对拟与第三方共享的个人信息按《技术规范》要求进行梳理分级，严格区分和规范C2类别中的用户鉴别辅助信息，禁止共享。

数据共享
　　金融数据共享而创造额外价值是开放银行模式的核心和基础，而在数据共享中个人金融信息的共享，除法律强制性规定的情形外，必须以“知情-同意”为前提。
　　开放银行的数据共享中涉及的第三方机构，信息主体应有权决定是否在一定范围内共享其个人金融信息给第三方。信息主体有权获取“经过整理的、普遍使用的和机器可读的”个人数据，有权“无障碍地将此类数据从收集其数据的控制者那里传输给其他控制者”。当然，行使可行权需限定条件，仅限于消费者个人数据，不包括数据处理者加工后的增值数据部分。
　　这里涉及数据所有权属问题，有观点认为前者所有权为消费者，而后者所有权为数据处理者。我国法院在“微博诉脉脉案”中也明确了三重授权的规制：第三方平台通过公开方式获取用户个人信息时，应适用“用户对原信息收集方授权”+“原信息收集方对第三方平台授权”+“用户对第三方平台授权”三重授权。
　　银行业的数字化转型是大势所趋，开放银行是银行数字化的重要模式之一。虽然我国目前的开放银行尚在探索阶段，以产品和服务的开放为主，但开放银行倡导的数据共享、打破数据孤岛、开发挖掘金融数据整合的附加经济价值，有利于促进良性竞争，降低交易成本，提高效率。
　　在这种新兴的银行模式下，现有的规则体系难以应开发银行模式下个人信息的保护要求，完善金融数据共享相关个人信息保护的立法具有重要意义。2020年5月，全国两会工作报告已将制定个人信息保护法、数据安全法列入下一步计划，希望立法机关借此契机完善相关问题的法律规制，构建制度化框架，降低开放、共享的金融业发展的法律风险，促进经济社会健康发展。

□王 兢 韦 翩