一、引 言
金融控股集团(以下简称“金控集团”)作为现代金融体系中的重要组织形态,其本质是金融分业经营下的集中控股与机构协同。随着金融数字化转型的推进,金控集团内部数据共享成为成员机构发挥协同效应、提升业务质效、优化风险控制的重要手段与关键机制。
1近年来,党中央、国务院对数字金融发展作出重大战略部署。2023年中央金融工作会议首次提出做好“五篇大文章”,将数字金融作为推动金融高质量发展的关键领域,要求金融机构加快数字化转型,提升数据要素价值释放能力。2024年党的二十届三中全会通过的《中共中央关于进一步全面深化改革 推进中国式现代化的决定》进一步明确提出要积极发展数字金融,加强对重大战略、重点领域、薄弱环节的优质金融服务。金控集团内部数据共享有利于打破数据孤岛和发挥数据要素乘数效应,为探索和发展数字金融提供有力支撑。然而在当前制度框架下,金控集团数据共享面临着金融合规和数据合规的双重约束:一方面,金控集团内的金融机构之间应设置风险隔离“防火墙”,数据共享可能妨碍金融机构独立性和催生损害客户利益的不正当关联交易;另一方面,金融数据中存在大量敏感个人金融信息,其共享亦受到个人信息保护制度和数据分类分级管理制度的严格约束。易言之,尽管金控集团内部存在现实的数据共享需求,但客观存在的制度障碍不容忽视。因此,有必要基于金控集团的特殊性对集团内部数据共享进行制度优化,以促进金融数据的高效流通与价值释放。
金控集团数据保护与共享的平衡机制一直是学界关注的焦点。国际学界主要从监管路径、法律性质、治理机制以及消费者权益保护四个维度展开研究。在监管路径上,欧盟确立了数据持有者的数据共享义务,
2美国则采取更为灵活的分层规制,允许金控集团内部扩展数据处理业务。
3两种模式虽有差异,但均未充分回应金控集团的组织特殊性。在法律性质上,主流观点认为金控集团内部数据共享既非单一法人内部调用,亦非纯粹外部共享,但GDPR并不承认集团的特殊地位,各子公司间的数据流转仍需满足一般合规要求。
4在治理机制方面,有学者提出将监管目标嵌入内部管理的“新治理”技术,
5亦有学者尝试构建金融数据治理的理论框架,
6但对如何平衡集团内部效率与合规要求、激发子公司共享动力等问题探讨不足。在消费者权益保护上,美国消费者金融保护局最新规则要求金融机构应在消费者提出要求时,免费解锁消费者的个人财务数据并将其转移给其他服务提供商,体现了赋权消费者的监管转向。
7
我国学界关于金控集团数据共享的理论主张呈现出多元化的特征。从制度设计层面看,有学者指出传统“知情-同意”机制在应对金控集团数据共享场景时存在局限性,难以满足数据共享的新态势与新需求,认为应对金控集团信息共享的授权模式进行改革,在适度放宽目的限制的同时,优化告知义务,以此在数据流通与权益保障之间寻求更优的平衡点。
8另有学者通过对金融控股公司(以下简称“金控公司”)与子公司、集团外关联公司、集团外非关联公司之间的三种数据共享场景进行情景化分析,构建了三层差别化的规制体系。
9有学者从成本与合理性的角度出发,强调要对隐私政策说明书进行完善,旨在在合规成本控制与隐私保护效能之间实现动态平衡,防止制度设计过于理想化而脱离实际操作场景。
10在实施路径层面,有学者着重强调构建统一的数据治理体系对于金控集团数据共享的推动作用,认为通过整合资源、统一标准,可以有效打破部门之间的数据壁垒。
11此外,也有学者关注数据共享过程中各类参与主体之间的协调机制,其认为优化规则体系、明晰各方权责,是实现合理共享重要前提。
本文认为,现有研究对金控集团内部数据共享的独特性认识不足,既未能充分剖析其特殊的法律关系结构和经济属性,也缺乏对监管规则碎片化、授权机制僵化、利益冲突等制度障碍的系统梳理,同时尚未提出兼顾合规与效率的整体性解决方案。虽然《金融控股公司监督管理试行办法》确立了集团内部信息共享的基本原则,但在授权模式、利益平衡等关键环节仍付之阙如。基于此,本文遵循“现状梳理-问题反思-经验借鉴-制度优化”的研究进路,通过分析梳理金控集团数据共享的制度现状以及面临的三重结构性障碍来揭示现实困境,剖析其法律与经济双重属性,从而把握内在逻辑,结合对美国、欧盟、日本、新加坡等法域实践的比较分析,提出构建以专门规章为基础、“默认授权”与“选择退出”相结合、利益平衡机制为支撑的系统性优化方案,尝试为数据要素在金控集团内部的合规高效流通探索制度保障路径。
二、金控集团数据共享的制度现状与结构性障碍
金控集团凭借其跨行业、多牌照的经营模式,汇聚和积累了海量异构金融数据。集团内部的数据资源不仅规模庞大,而且横跨银行、证券、保险、信托等多个金融领域,涵盖了客户基础信息、交易记录、经营管理以及风险防控等多元数据类型。这种数据的广度、深度与多样性构成了金控集团独特的、极具潜在价值的核心资源禀赋。然而,现实中这些数据资源往往散落在各个独立的子公司信息系统中,形成了阻碍价值流动的“数据孤岛”。
13释放这一内在潜能、化解数据孤岛困境的关键,在于构建高效、合规的内部数据共享机制。金控集团数据共享,即基于资源整合与协同运作的目标,在集团成员机构之间共享其收集、处理和控制的数据。通过内部数据的有效整合与分析应用,金控集团不仅能够更精准地识别与管理集团整体面临的各类风险,还能够深刻洞察客户跨金融产品的综合需求,从而提供更加一体化、个性化的金融服务,提升客户体验与黏性,同时也有助于提升集团整体的经营管理效率。
14部分金控集团已前瞻性地布局数据中台等共享基础设施,正是对这一内在逻辑和迫切需求的印证。
区别于一般意义上的公司集团内部数据共享,金控集团数据共享具有两大特殊性。一方面,共享数据除集团成员机构在经营过程中生成和积累的数据外,还包含大量的客户信息,尤其是个人金融信息,数据共享涉及对客户个人信息权益的处分;另一方面,共享数据属于金融数据,存在鲜明的行业属性,涉及金融安全与金融消费者保护,受到金融监管部门的行业监管。因此,金控集团数据共享除了基于内部协议构建数据共享规则外,还需要遵守个人信息处理规则和金融数据监管规则。
从我国一般数据共享的规范体系上看,安全与发展是两大并重的核心价值取向。安全价值导向主要体现为对个人信息权益的全面保障及数据安全的全方位监管。《民法典》确立了个人信息处理活动的“合法、正当、必要”原则,构建了以尊重主体自决权为核心的规范框架。《个人信息保护法》则更为精细地设置了“告知-同意”机制,特别是针对信息共享行为设定了“单独同意”要求,强化了对信息流转环节的控制。与此同时,《数据安全法》从国家安全与公共利益维护角度构建了数据分类分级管理制度,要求处理者承担风险评估、安全保障及应急处置等一系列义务,从而形成对数据共享活动的多层次安全监控机制。《网络安全法》则专门禁止网络运营者泄露、篡改、毁损所收集的个人信息。
15这些规定共同构筑了数据共享的安全保障体系。在发展价值层面,立法者通过多元的制度安排释放数据要素活力。《个人信息保护法》确立了包括履行合同所必需、履行法定职责等六种合法处理个人信息的情形,为数据共享提供了合法性基础。《个人信息保护法》第四十五条确立的数据可携带权赋予了个人信息主体对其个人信息的主动迁移权能,打破了数据被动锁定的局面。《数据安全法》要求确立数据交易管理制度,着力培育规范化的数据流通市场。
16此外,立法还为脱敏数据和匿名化信息的流通共享创设了制度豁免空间,通过技术与法律的有机结合,在隐私保护与数据利用间寻求平衡点。
17
金融领域数据共享规制呈现出高度专业化、精细化的特征,其价值取向表现为更为严格的保护标准和更加细致的风险管控。我国金融监管当局针对银行业、证券期货业等不同金融领域,建立了多层次、多维度的数据治理与安全保障体系。
182020年《中国人民银行金融消费者权益保护实施办法》对金融信息共享采取了更为严格的限制措施,明确规定银行、支付机构不得向第三方提供消费者的金融信息,除非经金融消费者或其监护人明示同意。2023年《中国人民银行业务领域数据安全管理办法(征求意见稿)》要求数据共享需签订书面协议,明确各方权利义务和安全责任,并对接收方的数据安全保护能力进行核实评估。同年出台的《证券期货业网络和信息安全管理办法》强调金融机构在处理和共享数据,特别是涉及投资者个人信息时,必须遵循合法、正当、必要和诚信原则,履行保护义务并取得投资者的单独同意。2024年《银行保险机构数据安全管理办法》则进一步强化了数据安全责任,要求银行保险机构建立全覆盖的数据安全管理组织架构,明确董(理)事会、高级管理部门等不同层级的责任分工,构筑起包括数据共享在内的数据处理全流程的安全防线。
19此外,各金融监管机构也发布了一些行业指引与标准,如《银行业金融机构数据治理指引》《证券期货业数据分类分级指引》《金融数据安全 数据安全分级指南》《个人金融信息保护技术规范》《金融数据安全 数据生命周期安全规范》等。这一系列规范共同确立了金融数据管理与安全的基础框架,其核心是指导机构依据数据的重要性和敏感等级,在数据收集、存储、使用、传输、共享、销毁等全生命周期中落实差异化、精细化的安全管理和技术防护措施。
金控集团数据共享的专门规制则主要集中于《金融控股公司监督管理试行办法》。该办法虽然关注了金控公司框架下信息共享的特殊性,但其规定以原则性、指导性为主,尚未形成系统精细的规制体系。具体而言,该办法第二十二、二十三条确立了集团内部信息共享的四项基本原则:依法合规、风险可控、经客户书面授权或同意以及防止不当使用。值得注意的是,《金融控股公司监督管理试行办法》虽然强调了客户书面授权或同意的要求,但未能针对金控集团内部信息共享的特殊性提供差异化的授权规则设计,仅简单套用个人信息共享的一般知情同意模式。同时,针对责任分担与风险控制的原则性规定虽有前瞻性,但缺乏具体的责任划分标准和风险评估机制,在实践中难以有效指导金控集团构建科学合理的数据共享框架。
通过分析金控集团数据共享的现实需求与规则现状可以发现,在数据共享过程中,金控集团面临着监管规则碎片化、授权模式僵化以及多主体利益冲突的“三重挑战”。这些结构性障碍严重制约了金控集团内部进行数据共享整合,阻碍了数据要素价值的充分释放。
第一,我国现行“数据领域通用监管”与“金融领域分业监管”并存的多头监管模式导致适用于金控集团数据治理的规则体系呈现碎片化、模糊化的状态。
20金控集团跨领域、跨行业的特性使其必须同时遵循来自国家数据安全与个人信息保护主管部门的通用数据治理规则,以及来自中国人民银行、国家金融监督管理总局、证监会等金融监管机构分别针对银行、证券、保险等不同行业的特定金融数据监管要求。不同监管机构基于其监管目标和职责范围,可能在数据分类分级、数据安全保护、风险评估等方面存在差异甚至冲突。金控集团基于提升经营效率、强化风险控制、发挥协同效应的需要,倾向于建立集中统一的数据治理架构和共享平台。然而,各金融子公司作为独立的法人主体,必须分别满足其所属行业的特定监管要求,并独立承担合规责任。
21这种“集团统一治理,成员分立监管”的矛盾,使得建立权责清晰、运行顺畅的集团一体化数据治理体系困难重重。同时,金控集团需要投入大量资源来应对并满足不同监管机构的多套规则体系,进行重复的数据处理、报送和审计工作,合规成本显著叠加。
第二,以“告知-同意”为核心的个人信息保护法律框架在金控集团内部数据共享场景下暴露出显著的适用障碍与效率瓶颈。由于金控集团旗下各子公司均为独立的法人主体,其间的数据共享在法律性质上属于不同主体间的数据处理活动。当共享数据涉及客户个人金融数据时,原则上须严格遵循《个人信息保护法》所规定的“告知-同意”要求,
22以尊重和保障客户个人信息权益。《金融控股公司监督管理试行办法》更是直接规定金控公司及其所控股机构在集团内部共享客户信息时,应当经客户书面授权或同意。然而,“同意”机制的僵化直接束缚了集团内部数据资源的灵活运用。
23当前普遍存在的“一揽子授权”模式,虽在形式上获取了用户的“同意”,但因缺乏用户对具体共享事项的真实意愿表达与自主选择,使得以此为基础在内部进行的个人金融数据共享,其合法性与正当性始终存疑。这使得集团在推进内部数据协同时顾虑重重,实质上限制了数据在集团内部根据真实业务需要进行合理配置与流动的空间。
第三,金控集团独特的组织结构内生性地带来了各子公司间的利益冲突与协调难题,阻碍了数据顺畅流动。各子公司作为独立的法律实体和经营单位,拥有自身的经营目标、业绩考核压力和市场竞争策略,这与集团追求整体利益最大化的目标之间存在天然张力。一方面,不同金融业态的子公司所掌握的数据资源在数量、质量、价值上就存在显著差异。数据富集的子公司可能担心其核心数据资产在共享后价值外溢,被其他子公司“搭便车”而自身获益不足,因而缺乏数据共享的主动性和积极性。
24另一方面,构建集团统一的数据共享平台、推动各子公司独立信息系统的标准化改造、满足安全与合规要求,都需要巨大的资金投入和技术资源。各子公司的信息化基础、盈利能力、战略侧重各不相同,如何在集团内部公平合理地分担这些前期投入和后期运维成本,均是现实中阻碍数据共享机制建设和有效运转的棘手问题。
三、金控集团数据共享的规制考量与经验借鉴
(一) 金控集团数据共享的内在逻辑与利益考量
金控集团作为现代金融体系中的重要组织形式,其内部数据共享活动具有深刻的法律内涵与独特的运作逻辑。厘清其复杂的法律关系结构,以及明确其服务于集团整体战略的经济属性,是把握其本质特征、探讨其制度优化路径的关键所在。
从法律关系维度审视,金控集团内部数据共享的核心特征在于数据在具有独立法人资格但受共同控制的关联主体间流转。金控集团内部数据共享既不同于单一法人内部的数据调用,也区别于与无关联第三方的数据共享。与单一法人内部的数据调用相比,后者发生在同一法律主体内不同部门或业务条线之间,数据控制者并未发生变更,主要受内部管理章程和操作流程约束,法律层面障碍相对较小,合规要求也主要集中在内部管理和目的限制上。
25然而,金控集团内部数据共享则跨越了独立的法律实体边界,即使主体间存在紧密的控制与被控制关系,数据在法律意义上仍是从一个处理者转移到另一个处理者,这意味着必须严格遵守《个人信息保护法》等法律法规中关于数据共享的规定。另一方面,与向无关联第三方的数据共享相比,金控集团内部数据共享又具有特殊性。外部数据共享通常基于特定的商业合同或法定事由,缺乏集团内部共享所依托的共同控制基础、统一战略目标以及相对较高的信任度。因此,外部数据共享往往面临更严格的审查程序和防范措施。
26而金控集团内部数据共享虽然也需遵循法律规定,但基于其关联性和协同需求,理论上应适用更为多元的合法性基础,且金控公司作为集团控制核心能够对数据共享活动进行统一协调,这使其在法律责任的承担和风险控制机制上与外部共享存在显著差异。因此,金控集团内部数据共享超越了单一法人的内部管理范畴,必须满足跨主体数据处理的法律要求,但又因其内部关联性和控制关系,在授权模式和监管考量上,与纯粹的外部第三方共享有所区别,需要在承认各子公司独立法人地位的前提下,寻求合规与效率的平衡点。
从经济属性维度考察,金控集团内部数据共享的经济逻辑根植于其独特的组织结构和战略目标,
27主要体现在共享的无偿性、目的的一致性以及价值取向的内部化三方面。首先,集团内部各子公司间的数据共享通常并非以直接的金钱对价为基础进行的商业买卖行为,而更多表现为一种服务于集团整体战略的内部资源调配。尽管可能存在内部成本分担或计价机制,但其本质并不是追求数据转移的交易利润,而是为了降低集团整体的数据获取成本和内部协作成本,促进信息在集团内的顺畅流动。
28其次,共享方与接收方均具有服务于集团整体利益的一致目标。无论是共享客户信息以进行交叉销售,还是共享风险数据以加强集团风险管理,其根本目的都在于提升集团的整体竞争力。这种内在目标的高度统一,是集团内部数据共享区别于外部合作方基于各自商业利益进行数据交换的根本差异,也为其合法性论证提供了“集团整体利益”这一特殊考量维度。最后,集团内部数据共享的核心在于最大化数据在集团内的“使用价值”,而非追求其在市场上的“交换价值”。金控集团汇集了跨领域的多元数据,通过内部整合、分析和应用,能够激发“1+1>2”的协同效应,创造出单一子公司所无法实现的独特价值。
金控集团数据共享的制度设计必须充分考量多方利益的平衡:一是集团整体利益与子公司独立利益的平衡,既要促进集团层面的资源整合与协同效应,又要尊重各子公司作为独立法人的经营自主权;二是数据流通效率与个人信息保护的平衡,在便利集团内部必要数据共享的同时,确保数据主体的知情权、选择权等基本权益得到有效保障;三是监管统一性与行业差异性的平衡,在构建统一的集团数据共享规章制度的同时,兼顾不同金融业态的特殊监管要求。
(二) 金控集团数据共享制度的域外经验
1.美国:内外部数据共享的双轨规制与平衡
美国关于金控集团内部与外部数据共享的监管规范,集中体现于1999年颁布的《格雷姆-里奇-比利雷法案》(Gramm-Leach-Bliley Act,简称GLBA)。
29该法案的颁布具有里程碑意义,它不仅旨在通过允许银行、证券和保险业务在金控公司架构下融合来重塑金融服务业的格局,同时也致力于为日益凸显的消费者金融隐私保护问题提供法律框架。
GLBA隐私规则的核心是保护“非公开个人信息”,即金融机构从消费者处获取的,或因与消费者交易产生的,或通过其他方式获得的,非公开可得的个人可识别金融信息。该法案明确规定了金融机构的核心义务,即必须向客户提供清晰、显著的隐私政策通知,并阐明其信息收集、使用及共享的实践。此外,GLBA赋予了消费者一项关键的控制权——“选择退出权”(Opt-Out)。根据这一权利,金融机构在计划将客户的非公开个人信息共享给非关联第三方之前,通常必须给予客户阻止此类共享行为的机会,除非该共享属于法案规定的例外情形。
值得注意的是,在处理金控集团内部关联公司之间的数据共享问题时,GLBA展现了不同的监管态度。法案并未对金融机构在与其关联方之间共享个人信息时设置“选择退出”的要求。由此可见,GLBA框架实质上允许信息在金控集团内不同子公司或关联实体间相对自由地流动,无需为此类内部共享向客户提供额外的退出选项。这种对关联方共享的许可态度,旨在促进金融服务在金控集团内部整合,便利了集团内部的协同效应和综合化金融服务的提供。
30以GLBA为核心,美国的金控集团数据共享规范体系在保障消费者对信息向外部非关联方共享的知情与选择权的同时,通过豁免集团内部关联方共享的选择退出要求,策略性地平衡了消费者金融隐私保护与促进金融服务整合的需求。
2.欧盟:统一强监管下的开放金融创新与权利保障
欧盟金融数据治理实践的法律依据主要来源于《通用数据保护条例》(GDPR),该条例为整个欧盟区域内个人数据的处理活动提供了统一的法律框架。GDPR确立了若干核心原则,如合法、公平与透明、目的限制等,
31这些原则构成了所有数据控制者和处理者必须遵守的基准,旨在确保个人数据在收集、存储、使用和传输等整个生命周期内得到周全保护。
GDPR的一个核心要求是,任何个人数据处理活动都必须具备明确的“合法基础”(Lawful Basis)。依据其第六条规定,这包括数据主体同意、履行合同所必需、遵守法定义务、保护重大利益、执行公共任务或追求控制者合法利益等。其中,关于“数据主体同意”这一要素,GDPR采取了严格的“选择加入”模式(Opt-In),要求同意必须是自由给出、具体、知情且明确的肯定性表示,并且赋予数据主体随时撤回同意的权利。这种以数据主体权利为中心、强调主动授权的模式与美国GLBA框架下的“选择退出”机制(Opt-Out)形成了鲜明对比,凸显了欧盟在个人数据保护上的权利导向特征。
32尤为关键的是,GDPR并未因企业同属一个集团而为其内部数据共享行为提供当然的豁免路径。在该框架下,金控集团内部子公司或关联公司之间的个人数据传输,必须逐项识别并确立其独立的合法基础,并满足相应的透明度和记录保存要求。
在GDPR这一通用数据保护框架基础上,欧盟进一步通过金融行业的特定立法来引导和规范金融数据共享,以促进市场创新与竞争,最具代表性的是《第二号支付服务指令》(Payment Service Directive 2,PSD2)。该指令要求银行在客户同意的情况下,通过应用程序接口(API)向第三方支付服务提供商开放账户数据访问,其核心目标是促进金融市场的竞争和创新,通过打破传统银行对客户数据的垄断,使金融科技公司和其他第三方服务提供商能够基于银行数据开发创新的金融服务。随着实践的深入,欧盟正致力于构建更宏大的“开放金融”图景。2023年欧盟委员会提出的《金融数据访问框架》(Framework for Financial Data Access,FIDA)提案,旨在将PSD2的数据共享模式从支付账户扩展至更广泛的金融领域,覆盖投资、保险等产品数据,其核心在于赋予客户对其各类金融数据的更大控制权,允许他们授权第三方访问和利用这些数据,通过标准化的数据共享进一步激发整个金融行业的创新活力。
33通过扩展数据共享的适用范围并优化其执行机制的效率与实用性,欧盟正逐步调整其数据治理的战略重心,从先前侧重于权利本位与安全保障,转变为更加注重促进数据流通以实现创新驱动和价值创造。
34
3.日本:双重监管框架下的数据分类治理与共享创新
日本金控集团数据共享治理呈现出明显的“双层监管”架构,即以《个人信息保护法》(Act on the Protection of Personal Information,APPI)为基础性制度框架,同时辅以金融厅(Financial Services Agency,FSA)与个人信息保护委员会(Personal Information Protection Commission,PPC)共同制定并实施的金融行业特定规范。APPI经2015年及2022年深度修订后,已形成四种主要数据共享法律路径:基于明确同意的第三方提供机制、针对非敏感数据的选择退出程序、提供灵活共享空间的“共同利用”条款以及严格管控的跨境传输框架。
35同时FSA与PPC联合发布的《金融领域个人信息保护指南》则进一步细化了监管标准,
36对数据处理目的明确化、敏感信息处理必要性、共同利用通知形式以及安全管理措施等提出了更为具体且严格的行业特定要求。
日本金控集团内部数据共享面临的监管核心在于“防火墙规则”,该规则针对银行与证券公司等不同类型金融机构间非公开客户信息的流动设置了特定障碍,旨在防范利益冲突与滥用市场优势地位的行为。防火墙规则与APPI的“共同利用”条款在集团内部共享适用中呈现出复杂的交互关系,形成了双重合规要求。传统上,银行与证券公司间共享个人非公开信息需获得事前明确同意,而法人客户非公开信息则逐步放宽为选择退出机制。2022年对防火墙规则的修订在放宽上市公司信息共享限制的同时,引入了“简易选择退出”机制并强化了“需者知情”(Need to Know)原则,体现了监管思路从严格限制向差异化风险管理的微妙转变。
37
总体而言,日本金融数据共享的规范体系呈现出多层次、多维度的复杂特征。APPI提供了基础性数据保护框架,而金融领域的特定规则对集团内部数据流动施加更为严格的限制的同时也提供了多样的共享豁免路径。这种结构反映了日本监管机构逐步探索如何在保持适当监管强度的前提下为金融创新提供必要空间的平衡之道。
4.新加坡:银行数据保密严规下的多法协同治理
新加坡金控集团数据共享的监管环境,呈现为一个由多部关键法律与金融管理局(Monetary Authority of Singapore,MAS)的监管共同塑造的复杂体系。其基础法律包括:《个人数据保护法》(Personal Data Protection Act,PDPA)、《金控公司法》(Financial Holding Companies Act,FHCA)、《银行法》(Banking Act,BC)。
38作为新加坡的中央银行和综合金融监管机构,MAS通过发布具有约束力的公告和指导性指南,在基础法律之上构建了具体的监管规则。
FHCA确立了对金控集团的审慎监管框架,侧重于集团层面的风险管理。它并未直接规定数据共享的具体操作规则,但其通过设定集团监管和风险控制目标,间接产生了对内部数据共享的需求,并允许为提供集团内部支持服务而进行必要的运营数据共享,同时为所有共享活动设定了必须符合整体风险控制要求的宏观背景。
39在数据共享实践中,PDPA构成了普遍适用的合规底线,要求金控公司在处理个人数据时必须遵守其核心原则,其中也包括同意原则。值得注意的是,PDPA引入了“视为同意”(Deemed Consent)的多种情形,例如基于行为、合同履行必需或经通知后未反对等情形,
40并允许在特定条件下为“商业改进目的”无需另行获取同意,这为数据共享提供了相对灵活的法律基础。然而,对于金控集团内的银行子公司而言,《银行法》第四十七条施加的客户信息保密义务具有优先性和更强的约束力,该条款严禁银行披露客户信息,除非符合其明确列举的例外情形。
41这意味着,即使PDPA可能为金控集团个人数据共享提供理论上的合法基础,但只要涉及银行客户信息,其共享行为必须满足《银行法》的特定例外条件才能进行,这构成了新加坡金融数据共享规制中的一个核心特征和关键限制。
因此,在新加坡,金控集团内部进行数据共享面临着复杂的合规挑战。新加坡法律并未赋予集团内部数据流动天然的特权。任何涉及个人数据,尤其是包含银行客户信息的内部转移,都必须逐笔论证其合法性。
42这种严格的区分要求金控集团必须具备精细化的数据分类能力以及对内部数据流通进行审慎评估与管理的合规架构。
(三) 域外经验的总结与启示
第一,对金控集团数据共享进行差异化规制是普遍做法。各国均认识到金控集团内部数据共享有别于一般性数据处理活动,并在制度设计中予以体现。美国GLBA明确区分关联方与非关联方共享,对前者豁免“选择退出”要求,这种差异化处理基于对金控集团作为一个经济整体的现实认知。欧盟GDPR虽未承认集团特殊地位,但通过PSD2针对金融行业的特殊安排,以及FIDA提案中对金融数据访问的专门规定,实质上形成了通用规则与行业规则的差异化体系。日本通过APPI的“共同利用”条款为集团内部共享提供特殊路径,同时运用“防火墙规则”对不同金融业态实施分类管理。新加坡则通过PDPA的“视为同意”机制和《银行法》的严格保密义务,构建了宽严相济的差异化框架。这种差异化规制表明,承认并回应金控集团数据共享的特殊性已成为国际共识。
第二,平衡数据流通与权益保护的机制设计是核心要义。各国制度均致力于在数据流通效率与个人权益保护之间寻求动态平衡,但平衡点的选择体现了不同的价值取向。美国倾向于效率优先,通过“选择退出”机制赋予消费者事后控制权,体现了对市场机制的信任。欧盟坚持权利本位,通过“选择加入”模式确保数据主体的事前控制,但近年来开放金融的发展显示其正在调整过于严格的立场。日本的平衡更为精细,既通过“共同利用”条款便利必要共享,又通过分级管理控制风险。新加坡则展现了实用主义色彩,在不同场景下灵活运用不同的平衡工具。值得注意的是,这种平衡并非静态的,而是随着技术发展以及市场需求和社会认知不断调整的具有适应性特征的动态平衡规制结构。
第三,技术手段与法律规则相结合是重要支撑。单纯法律规制难以应对数据共享的复杂性,技术措施已成为制度体系的重要组成部分。数据分类分级不仅是管理工具,更被嵌入法律规则,成为合规要求的具体标准。匿名化技术为在保护隐私的前提下促进数据流通提供了可能,各国均在立法中为此类处理提供了特殊地位。美国强调企业的技术创新责任,欧盟明确“设计隐私”和“默认隐私”要求,日本要求技术性的信息系统隔离,新加坡则注重技术标准的实用性。法律与技术的深度融合,既提高了规制的精准性和可操作性,也为创新留出了空间。
第四,在守住合规底线的基础上追求制度竞争优势是发展方向。当前,全球主要经济体都在通过优化金融数据治理规则提升本国金融业竞争力。美国依托其宽松的内部共享规则,促进金控集团的规模化发展和综合化服务能力提升。欧盟虽然规则严格,但正通过“开放金融”战略推动数据驱动的金融创新。日本、新加坡等国也在不断调整规则以适应数字化转型需求。在此背景下,我国若固守僵化规制,不仅难以发挥金控集团的协同优势,更可能在国际金融竞争中处于不利地位。因此,在确保数据安全和个人信息保护的前提下,应当积极探索既符合我国国情又顺应国际趋势的制度创新路径。
四、金控集团数据共享的制度优化路径
在数字金融时代,构建既能保障数据安全与个人信息权益,又能促进数据要素价值释放的制度框架,已成为提升金融业国际竞争力的关键所在。我国金控集团数据共享制度的路径选择应当摒弃“一刀切”式的规制思路,在坚守数据安全底线的前提下,充分认识金控集团作为特殊组织形态在数据共享方面的独特需求,通过制定专门性规章构建差异化的制度框架,探索符合我国法律体系和市场环境的制度优化路径,为我国金融业的数字化转型和高质量发展提供坚实的制度保障。
(一) 制定专门规章,为金控集团内部数据共享提供制度支撑
当前金控集团数据共享实践中面临的监管规则碎片化困境,根源在于现有规范体系中缺乏针对金控集团这一特殊组织形态的体系化数据治理顶层规划,未能充分回应其内部数据共享的独特需求。
43《金融控股公司监督管理试行办法》虽为金控集团的设立与监管提供了基本框架,并原则性地提及内部管理需求,暗示了数据整合与共享的必要性,但其对数据共享的具体要求、流程、权责界定及法律责任等关键要素着墨甚少,规定过于原则化,难以有效指导实践并应对复杂的共享场景。同时,若依赖各金融行业监管部门分别就其监管领域内的金融机构子公司出台数据共享细则,则可能导致规则冲突与监管套利,增加集团整体的合规成本与协调难度。
44鉴于此,更为适宜而务实的选择是,在现行部门规章体系内,专门制定《金融控股集团数据共享管理暂行办法》(以下简称《办法》)来规制金控集团内部数据共享活动。
首先,在制定主体上,考虑到金控公司及其核心的商业银行、保险公司等成员机构主要由国家金融监督管理总局监管,由其牵头制定《办法》具有监管职责上的匹配性与主导性。
45然而,鉴于金控集团广泛涉足证券、基金、支付等由证监会、中国人民银行等监管的业态,且数据共享行为深度关联国家网信部门、国家数据局等在个人信息保护、数据安全及数据要素治理方面的宏观管理职责,《办法》的制定过程必须体现高度的协同性和权威性。因此,理想的制定路径是由国家金融监督管理总局牵头,联合中国人民银行、证监会、中央网信办、国家数据局等相关部委共同制定《办法》,确保规章与相关法律法规的协调性、一致性以及有效实施和执行。
其次,在定位上,《办法》应是现行部门规章体系内,针对金控集团内部数据共享这一特定领域、特殊场景的专门性管理规范。其一,该规范应作为《金融控股公司监督管理试行办法》在数据共享维度上的核心配套细则,将原则性要求转化为可操作的具体规则。其二,《办法》必须在《个人信息保护法》《数据安全法》等国家层面数据治理法律的框架下制定,确保其所有条款均符合上位法的基本原则和核心要求,并为这些宏观法律在金控集团这一特殊领域的落地提供具体指引。
46其三,《办法》的核心特殊性在于其专门针对金控集团内部各独立法人子公司之间因共同控制关系、统一风险管理需求和业务协同目标而产生的数据共享活动进行规范。这意味着其需要在承认各子公司独立法人地位、确保合规底线的前提下,设计出有别于纯粹外部第三方共享和单一法人内部数据调用的规则体系。
47
最后,在核心内容上,《办法》应聚焦确立金控集团数据共享的基本原则、导向与关键制度,为集团内部数据要素的安全、合规、高效流通提供清晰的制度依据。具体而言,《办法》应明确指导原则,坚持安全底线与发展促进并重、问题导向与风险防控相统一、统筹协调与权责对等相结合,确保在遵守上位法要求的基础上促进数据合理有序共享。第一,构建集团统一的数据共享治理架构并明确各方权责,规定由金控公司统一领导、各子公司共同参与的治理体系,细化金控公司在策略、标准、审计等方面的核心角色以及各子公司的执行与报告责任。第二,建立集团层面统一的数据分类分级标准与共享目录管理制度,依据国家及行业标准,结合集团特性制定统一的分类分级细则和动态共享目录,明确数据敏感等级、共享范围以及条件。
48第三,规范核心共享流程与全生命周期安全管理要求,针对数据共享的全过程,提出明确的流程规范和强制性的安全技术与管理要求,包括内部共享协议、安全评估、应急响应等。
(二) 创设前端“默认授权”,为集团内部数据共享提供权利基础
金控集团内部数据共享在实践中正面临《个人信息保护法》“告知-同意”原则和《金融控股公司监督管理试行办法》书面授权要求的双重制约,导致运作效率低下、协同效应受限。
49如前文所述,现有授权模式的僵化与复杂难以完全适应集团一体化经营和数字化转型的现实需求。因此,为了促进数据要素在集团内部高效流通,探索构建一种内部数据共享的默认授权机制至关重要。“默认授权”机制,是在“告知-同意”原则的基础上,采用格式化的授权条款获取客户授权,并以监管规则肯定该格式条款效力的特殊安排。该机制的核心在于以“标准化合同”为载体,并以“信息披露”为核心原则,即金融机构在与客户建立服务关系时,将关于集团内部数据共享的默认同意作为金融服务协议中的格式条款,在金融机构就数据共享的范围、目的、方式等进行了清晰、详尽披露的前提下,客户接受金融服务即视为同意其个人数据可在该金融机构所属金控集团内部,为提升服务效率、进行风险管理或实现其他合规正当目的而进行共享。
首先,此种“默认授权”模式具备合法性、合理性与正当性基础。在合法性层面,“默认授权”并非对《个人信息保护法》“告知-同意”原则的背离或豁免,而是对其在金控集团这一特殊场景下的一种情境化适用。通过具有法律效力的标准化合同进行全面、清晰的事前告知,以此为基础推定客户在充分知情后对特定范围内的必要内部共享作出了授权。这种基于“告知-推定同意”的路径在法律逻辑上与“告知-明示同意”一脉相承,关键在于告知的质量与客户后续控制权的保障。
50在合理性层面,金控集团作为提供一体化金融服务的重要载体,其内部成员机构间为实现统一风险管理、提升客户服务体验、满足合规监管要求而进行的必要数据共享,具有内在的业务逻辑和客观需求。客户选择金控集团的金融服务,通常也对其能够提供跨机构、一站式的便捷服务抱有合理期待。因此,针对此类支撑集团核心功能运作所必需的数据共享,通过一次性的、在建立服务关系之初的全面告知与默认授权,相较于对每一次内部数据流转均要求客户进行繁琐的单独同意,显然更具效率,也更符合金控集团一体化运营的现实。
51在正当性层面,此模式的正当性源于对金控集团特殊组织形态和功能定位的承认以及金融行业创新发展的现实需求。通过“默认授权”简化“告知-同意”在金控集团数据共享中的适用,有利于增强金控集团的数据协同效应,对于提升我国金融服务质效和行业竞争力具有显著意义。
其次,需明确“默认授权”制度的具体构建路径及其与现有监管规则的协调机制。《办法》应详细规定可纳入“默认授权”的共享目的清单、告知内容的最低标准、客户权利保障措施以及金融机构的合规义务与法律责任。在与现有监管规则的协调方面,重点在于处理与《金融控股公司监督管理试行办法》的关系。《办法》应明确,金融机构通过符合《金融控股集团数据共享管理暂行办法》所规定的标准化的客户服务协议或隐私政策与客户建立服务关系,在履行了全面、清晰的告知义务并明确了客户的选择退出权后,所获得的客户对特定内部共享的“默认授权”,可被视为满足了《金融控股公司监督管理试行办法》第二十三条所规定的授权或同意要求,其法律效力应等同于传统意义上的“书面”同意。换言之,通过监管规则确认在客户协议中约定授权金融机构在集团内共享数据的格式条款,实现默认授权格式条款的合法嵌入,从而在一定程度上减轻“告知-同意”规则下金控集团内部数据共享的合规成本。
最后,必须以健全的配套保障措施为前提,规范“默认授权”模式的适用,确保其规范运行。“默认授权”并非无条件的,其必须建立在严格的规范和强有力的保障之上,以防止权利被滥用并切实维护个人信息安全。为此,《办法》应将健全的配套保障措施作为实施“默认授权”的核心前提。其中包括:第一,强化信息披露的持续性与透明度。要求金控集团确保相关隐私政策、服务协议等授权文件易于客户访问查阅,相关告知条款必须以简明易懂、重点突出的方式呈现,并在发生可能实质性影响客户权益的重大变更时,通过适当方式及时通知客户。第二,严格落实目的限制与最小必要原则。金控集团需建立健全内部审批流程和权限管理机制,确保数据仅在客户“默认授权”的特定目的和最小必要范围内共享和使用,并对数据处理活动进行记录以备核查。
52第三,构建集团层面统一的数据安全保护体系。金控集团需明确各数据处理主体的安全责任,投入必要资源建立和维护安全技术和管理措施,确保数据在内部流转、存储、处理全过程中的机密性、完整性和可用性,并具备对数据泄露、滥用等安全事件的有效预防、监测、应急响应及追溯问责能力。
(三) 引入后端“选择退出”,以平衡机制保障数据主体权利
在通过前端“默认授权”机制便利集团内部必要数据共享以提升效率的同时,必须同步构筑并强化对个人金融数据主体的权利保障,以实现效率与安全的平衡。“选择退出”机制的引入,正是从事中、事后角度赋予数据主体对集团内部特定数据共享进行明确拒绝或撤回授权的权利,从而实现实质性控制的关键举措。
53这不仅是对“默认授权”机制下个人控制力可能被弱化的必要补充与平衡,也是对消费者掌控自身数据意愿的回应,在享受一体化服务便利性的同时保留对个人数据利用说“不”权利的有效路径。
首先,赋予个人数据主体选择退出权是平衡“默认授权”下个人控制权弱化的必要补充。“默认授权”模式主要针对集团内部基于风险管理、基础服务整合等特定必要场景,但这并不意味着个人应完全让渡对其数据后续利用的控制。选择退出权允许个人在概括性同意的前提下,对特定的、非必要的内部数据共享或利用方式表示反对,从而在不妨碍集团核心运作的前提下,保留了对自身信息边界的决定权。这实质上是对《个人信息保护法》所确认的个人信息自决权精神的延伸和具体落实。
54可在前述拟制定的《办法》中,明确将选择退出权设定为金控集团内部特定数据共享场景下数据主体的一项法定权利,并规定其行使条件与法律效力。
其次,须明确选择退出权的适用范围与行使条件,确保其精准有效。选择退出权并非绝对权利,其行使范围应有所界定,以避免妨碍金控集团履行法定义务或提供基础金融服务。
55理论上,对于法律法规强制要求共享的信息、为履行与客户订立合同所必需的基础信息核验或维护账户安全所必需的风险预警信息共享等,不宜适用选择退出权。然而,对于集团内部主要服务于提升营销精准度、进行交叉销售推荐、构建全面用户画像等以实现协同效应为目的的数据共享活动,应当赋予客户选择退出的权利。
56此外,选择退出权的行使条件必须是便捷、明确且无障碍的。金控集团应提供易于访问和操作的界面,清晰列出可供选择退出的数据共享项目或目的,并确保客户行使该权利不会受到歧视性对待,也不会影响其获得基础金融服务的资格。
最后,应建立便捷有效的“选择退出权”实现机制与技术支撑,保障权利落地。权利的设定离不开有效的执行保障。金控集团必须投入资源建设或改造其信息系统,以支持选择退出功能的实现。这要求建立能够准确记录、及时更新并在集团内各相关子公司间有效同步客户选择退出状态的技术后台。当客户行使选择退出权后,系统应能自动限制或停止相应的数据共享或处理活动。
57同时,需要建立配套的内部管理流程,确保员工能够正确理解并执行客户的选择退出指令。强大的内部审计和合规监督机制亦不可或缺,需定期检查选择退出机制的运行情况和客户指令的落实情况,对未能有效执行客户意愿的行为进行问责。此外,选择退出机制本身及其行使方式,也应作为重要的透明度内容,在服务通知中向客户进行清晰、显著的披露说明。
(四) 健全利益平衡机制,激发集团数据共享内生动力
金控集团内部各子公司间的利益冲突与协调难题,是阻碍数据要素顺畅流动的关键挑战。仅依靠监管要求或集团指令强制数据聚合,而忽视数据提供方的成本付出与价值贡献,难以形成可持续的内部共享生态。
58因此,必须同步设计并实施一套科学、公平、透明的集团内部利益平衡机制,通过正向激励与合理补偿,有效化解内部共享的动力障碍,激发各子公司参与数据共享的内生积极性。
首先,应确立集团主导、基于贡献、成本共担的利益平衡基本原则与制度框架。金控公司作为集团战略的制定者和资源整合的核心,理应承担起主导设计、推动落实及监督评价内部利益平衡机制的首要责任。该机制的核心原则应明确,集团内数据共享既是各子公司支持集团整体战略、履行风险管理义务的基本责任,也是其获取集团层面数据资源与增值服务的前提。
59集团将依据各子公司在数据共享中的实际贡献进行价值认可,并合理分担共享体系建设与运维的相关成本。为确保机制的权威性与稳定性,相关原则、评估标准、分配方式等应制度化,形成关于集团内部数据共享价值评估与利益平衡的专门管理办法,纳入集团整体数据治理体系。
其次,应设计多元化的收益分配与成本分摊机制。考虑到金融数据价值实现的间接性和滞后性以及集团内部非市场化的特点,利益分配不宜简单采取直接的现金交易模式,而应探索多元化的补偿与激励方式。
60具体机制可包括:(1)差异化的数据使用权限,即数据贡献度高的子公司可获得更广泛、更深入地访问和使用集团层面整合数据、分析报告或数据服务平台的权限;(2)设立内部“数据积分”或服务额度,子公司可根据数据贡献获得积分,用于兑换集团提供的IT资源、技术支持、高级分析服务等内部资源;(3)与绩效考核挂钩,将数据共享的贡献度评估结果纳入年度绩效考核体系,与资源分配或激励奖金等适度关联;(4)成本补贴与专项投入,对于在数据共享中承担了较高合规成本、系统改造投入或提供了关键核心数据的子公司,集团可通过直接的财务补贴、加大科技投入支持等方式予以补偿。
61成本分担方面,集团数据平台、治理体系等公共投入应由集团层面承担主要部分,各子公司根据其受益程度和使用情况分担部分运维成本,所有评估结果和分配方案应在集团内部保持必要的透明度。
最后,需构建科学的内部数据贡献度评估体系,为利益平衡提供客观依据。金控公司应牵头建立一套多维度、可操作的内部数据贡献度量化评估模型。该模型不应仅以数据量为单一指标,而应综合考量数据质量、数据稀缺性与重要性、数据合规与处理成本、数据应用效益等多重因素。评估过程应制度化、规范化,可设立专门的数据价值评估小组,定期对各子公司的数据贡献进行综合评分,并建立清晰的评估档案。
五、结 语
金控集团作为跨业别资源协同整合的重要载体,其内部数据共享既是发挥协同效应、提升综合竞争力的战略需求,也是落实中央金融工作会议做好数字金融大文章要求的题中之义。在金控集团这一特殊的法律关系结构中,集团内部数据共享既不同于单一法人内部数据调用,也不同于面向无关联第三方的数据传输。尽管共享可提升风险控制与业务协同水平,但在“告知-同意”模式机械适用、监管规则碎片化与利益协调机制缺失的现实条件下,单靠集团内部自发共识难以化解制度障碍与协调成本。针对上述困境,应以制定专门的《金融控股集团数据共享管理暂行办法》为契机,确立统一的金控集团数据共享制度框架。在此基础上,创设适应金控集团特性的“默认授权”机制,并配套引入“选择退出”机制保障数据主体权益,有效平衡数据流通效率与个人信息权益保护的双重诉求。同时,健全集团内部的数据贡献评估与利益分配机制,激发各子公司参与共享的内生动力,促进数据要素在集团内部的自主流动与深度整合。上述制度优化方案可以促进数据要素在金控集团内部充分流通利用,形成金融数据治理的实践样本与经验积累,为金融数据价值释放和金融行业数字化转型提供有力的制度供给。
1李璠:《金控集团数据治理创新》,《中国金融》2020年第9期。
2European Commission, Proposal for a Regulation of the European Parliament and of the Council on a Framework for Financial Data Access and Amending Regulations (EU) No 1093/2010, (EU) No 1094/2010, (EU) No 1095/2010 and (EU) 2022/2554, COM(2023) 360 final, 2023.
3Saule T. Omarova, Margaret E. Tahyar, That Which We Call a Bank: Revisiting the History of Bank Holding Company Regulations in the United States, Review of Banking & Financial Law, 2011,Vol.31, p.113.
4K. Demetzou, Data Protection Impact Assessment: A Tool for Accountability and the Unclarified Concept of 'High Risk' in the General Data Protection Regulation, Computer Law & Security Review, 2019,Vol.35, Issue 6, p.105342.
5D. McNulty, A. Miglionico, A. Milne, Data Access Technologies and the 'New Governance' Techniques of Financial Regulation, Journal of Financial Regulation, 2023,Vol.9, Issue 2, pp.225-248 .
6Douglas. W. Arner, Giuliano G. Castellano, Eriks Selga, Financial Data Governance, Hastings Law Journal, 2022, Vol.74, p.235.
7CFPB Finalizes Personal Financial Data Rights Rule, at https://www.consumerfinance.gov/about-us/newsroom/cfpb-finalizes-personal-financial-data-rights-rule-to-boost-competition-protect-privacy-and-give-families-more-choice-in-financial-services/,2025年5月22日访问。
8邢会强、姜帅:《数字经济背景下我国金融控股公司信息共享机制的完善》,《金融评论》2021年第6期。
9许可:《个人金融信息保护与数据协同:金融控股公司的选择》,《银行家》2019年第7期。
10颜苏:《金融控股公司框架下数据共享的法律规制》,《法学杂志》2019年第2期。
11马丹、张春子:《加强金控集团数据治理势在必行》,《银行家》2022年第10期。
12赵吟:《论开放银行数据共享中的信息披露义务》,《政治与法律》2021年第2期。
13袁立志:《金控集团数据整合:“信息孤岛”攻坚战》,《当代金融家》2019年第8期。
14许可、尹振涛:《金融数据开放流通共享》,《中国金融》2019年第4期;李成刚:《绿色金融对经济高质量发展影响的异质性研究》,《贵州师范大学学报(社会科学版)》2025年第4期。
15《民法典》第1035、1038条;《个人信息保护法》第4、6、14、45条;《数据安全法》第27、29条;《网络安全法》第42条。
16洪延青:《我国数据安全法的体系逻辑与实施优化》,《法学杂志》2023年第2期。
17许可:《数据要素市场的法律建构:模式比较与中国路径》,《法学杂志》2023年第6期。
18陈振云:《我国金融数据治理法律构建的三个维度》,《贵州大学学报(社会科学版)》2022年第5期。
19《中国人民银行金融消费者权益保护实施办法》第29、32、34条;《中国人民银行业务领域数据安全管理办法(征求意见稿)》第23、24条;《证券期货业网络和信息安全管理办法》第29、30、31、33、34;《银行保险机构数据安全管理办法》第9、10、11、14、35条。
20袁康:《金融数据治理的分层与耦合》,《法学杂志》2024年第3期。
21苏海雨:《金融科技背景下金融数据监管模式构建》,《科技与法律》2020年第1期。
22王利明:《数据共享与个人信息保护》,《现代法学》2019年第1期。
23李璠:《关于数据共享智能在金控集团的研究与思考》,《清华金融评论》2022年第3期。
24黎四奇、王威:《金融数据共享利益冲突平衡的法律进路》,《财经理论与实践》2023年第5期。
25范云朋、尹振涛:《金融控股公司的发展演变与监管研究——基于国际比较的视角》,《金融监管研究》2019年第12期。
26许可:《个人金融信息保护与数据协同:金控公司的选择》,《银行家》2019第7期。
27马丹、张春子:《加强金控集团数据治理势在必行》,《银行家》2022年第10期。
28高富平:《数据流通理论数据资源权利配置的基础》,《中外法学》2019年第6期。
29Gramm-Leach-Bliley Act, Pub. L. No. 106-102, 113 Stat. 1338 (1999).
30尹振涛、王甲旭:《美国金融控股公司监管的框架、要点与措施》,《金融监管研究》2020年第4期。
31Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), OJ L 119, 4.5.2016.
32郑联盛、臧怡宏、李俊成:《欧盟金融数据治理:框架、重点与启示》,《金融监管研究》2024年第2期。
33Proposal for a Regulation of the European Parliament and of the Council on a Framework for Financial Data Access (FIDA), COM(2023) 360 final, 2023.
34尚博文:《从“开放银行”到“开放金融” :金融数据要素流通的治理应对》,《金融监管研究》2023年第 11期。
35Data Protection Laws in Japan, at https://www.dlapiperdataprotection.com/?t=law&c=JP#insight,2025年4月21日访问。
36Guidelines on Personal Information Protection in the Financial Sector (金融分野における個人情報保護に関するガイドライン), at https://www.fsa.go.jp/common/law/kj-hogo-2/01-2.pdf,2025年4月21日访问。
37Amendment of Cabinet Office Ordinance on Firewall Regulations: Relaxation of Information Sharing Regulations for Listed Companies (ファイアーウォール規制に関する内閣府令等の改正 上場企業等に関する情報共有規制を緩和), at https://www.dir.co.jp/report/research/law-research/regulation/20220519_023034.pdf,2025年4月21日访问。
38Supaat Thia Quinn, Pritam Khiang Hsu, Singh Saktiandi Ashraf, Financial Regulations and Stability of Banking Systems: A Case Study of Citibank in Singapore, Journal of Finance and Accounting, 2023, Vol.7, Issue 4, pp.1-10.
39胡裕岭、姚浩亮:《我国GAI数据治理的多元协同模式研究——新加坡治理经验的启示》,《河海大学学报(哲学社会科学版)》2024年第5期。
40Ali Alibeigi, Abu Bakar Munir, A Decade after the Personal Data Protection Act 2010 (PDPA): Compliance of Communications Companies with the Notice and Choice Principle, Journal of Data Protection & Privacy, 2022, Vol.5, Issue 2, pp.119-137.
41Banking Act (Chapter 19), Singapore Statutes, 2008.
42S. Y. Tan, A. Taeihagh, D. Pande, Data Sharing in Disruptive Technologies: Lessons from Adoption of Autonomous Systems in Singapore, Policy Design and Practice, 2023, Vol.6, Issue 1, pp.57-78.
43鄢浩宇:《金融数据协同治理的制度困境与路径突破》,《财经科学》2025年第3期。
44许多奇:《论数字金融规制的法律框架体系》,《荆楚法学》2021年第1期。
45冯果、郑乾:《商业银行数据共享治理的组织法进路——以“开放银行”为切入点》,《商业经济与管理》2025年第3期。
46杨松、汪宓:《我国银行数据共享规则的安全与发展“再平衡”》,《探索与争鸣》2025年第1期。
47鄢浩宇:《企业数据合规的困境纾解与体系构建》,《华中科技大学学报(社会科学版)》2024年第4期。
48刘志云、连浩琼:《金融数据的二元治理困境及融合路径》,《厦门大学学报(哲学社会科学版)》2023年第6期。
49李善民:《金控公司内部信息共享的正当性与监管路径》,《银行家》2022年第1期。
50谢琳:《大数据时代个人信息使用的合法利益豁免》,《政法论坛》2019年第1期。
51邢会强、姜帅:《数字经济背景下我国金控公司信息共享机制的完善》,《金融评论》2021年第6期。
52方乐、李伟群:《个人金融信息保护视阈下金融数据共享规则的完善》,《金融法苑》2021年第3期。
53颜苏:《金控公司框架下数据共享的法律规制》,《法学杂志》2019年第2期。
54万方:《个人信息处理中的“同意”与“同意撤回”》,《中国法学》2021年第1期。
55冯恺:《个人信息“选择退出”机制的检视和反思》,《环球法律评论》2020年第4期。
56陈兵、顾丹丹:《数字经济下数据共享理路的反思与再造——以数据类型化考察为视角》,《上海财经大学学报》2020年第2期。
57赵吟:《开放银行模式下个人数据共享的法律规制》,《现代法学》2020年第3期。
58鲁桐:《金融控股集团公司治理的关键》,《中国金融》2017年第16期。
59朱俊达:《金融机构数据治理监管:问题探究、理论回应与模式创新》,《南方金融》2024年第5期。
60袁康、刘羿鸣:《个人数据主体收益权的理论迷思与制度选择》,《学习与实践》2024年第8期。
61欧阳日辉、龚伟:《基于价值和市场评价贡献的数据要素定价机制》,《改革》2022年第3期。
The Institutional Barriers and Optimization of Data Sharing in Financial Holding Groups
