个人数据共享的法律分析与应对——以金融控股集团内部共享为视角

金钟超

（西南大学民商法学院，重庆４０１１２０）

摘要：当前，关于数据共享已有较多讨论，但对于金融控股集团内部个人数据共享的法律研究还未被关注。基于金融控股公司的职能定位与充分发挥金融控股集团优势的考虑，应在保护个人客户数据安全的基础上，便利集团内部的个人数据共享行为。金融控股集团内部的个人数据共享属于关联企业间的个人数据共享，但其与普通的关联企业间的个人数据共享，在是否有偿、使用目的、价值侧重等方面均存在不同。在数据共享规则的构建中，应根据不同共享主体间的关联程度，施加不同的要求。金融控股集团内部的个人数据共享不应统一适用“知情———同意”规则，而应区分数据的不同类别适用不同的共享规则，做到安全与效率的平衡。同时在为共享“松绑”的同时，应通过连带责任与举证责任倒置等手段强化对个人客户的救济。关键词：金融控股公司；数据共享；知情同意；连带责任

中图分类号：Ｄ９２３　　文献标识码：Ａ　　文章编号：１６７１－５３６５（２０２１）０５－００６１－１０ＤＯＩ：１０．１９５０４／ｊ．ｃｎｋｉ．ｉｓｓｎ１６７１－５３６５．２０２１．０５．００７

　　１９９３年我国首次提出分业经营的，２００５

年十六届五中全会正式提出“稳步推进金融业综合经营的试点”。随着金融企业综合化经营渐成趋势，２００２年中信集团、光大集团和平安集团获得批准，成为首批试点综合金融０２０年９月１１日，发布《国务控股集团。２

院关于实施金融控股公司准入管理的决定》（以

收稿日期：２０２０－１１－１９基金项目：２０２０年重庆市研究生科研创新项目“金融控股公司集团内部数据共享的法律规制”（ＣＹＳ２０１４８）

作者简介：金钟超（１９９６－），男，辽宁辽阳人，硕士研究生，主要从事民商法研究。

金钟超：个人数据共享的法律分析与应对———以金融控股集团内部共享为视角

下简称《决定》），其对金融控股公司的定义为“依照《中华人民共和国公司法》和本决定设立的，控股或者实际控制两个或者两个以上不同类型金融机构，自身仅开展股权投资管理、不直接从事商业性经营活动的有限责任公司或者股份有限公司。”当前，金融控股公司的类型主要有“投资管理型控股公司”（或称纯粹型金融控股公司）与“经营型控股公司”，二者的区别在于金融控股公司自身是否进行经营活动。根据《决定》，我国所允许的金融控股公司类型仅限于投资管理型控股公司。金融控股公司基本功能在于统筹调配，分类整合集团的内部资源，优化集团内部的资源配

置，充分发挥资源效能。

［１］

此种功能在投资管理型控股公司的模式下将更加突出，因为其自身并不从事经营，专注于投资与管理，所以对于数据的流通与共享也将是其职能定位的必然要求。如花旗集团便属于投资管理型的控股公司，在其之下三大子公司间便要互通信息、共享客户资源，实现

不同业务之间的连接及衍生服务［２］

。与此同时，

数据共享需要受到约束，这也是保护个人信息与隐私权的必然要求。设计数据共享规则，使个人数据权利不被恶意侵害，避免造成财产与精神的双重打击，同时保障在金融控股公司的主导下，数据能够规范、有序地流通与共享，才是明智之举。对此，２０２０年６月２８日在第十三届全国常委会第二十次会议审议的《中华人民共和国数据安全法》（草案）（以下简称《数据安全法草案》）

的第１２条亦有原则性表述。

①在投资管理型控股公司模式下，为了充分展现金融控股集团②的优势，同时基于金融控股公司的职能定位，法律对金融控股集团内部个人数据共享的回应，既要做到保护个利不受侵害，又要保障金融控股集团对数据共享的效率。因此，需要在明晰法律关系的基础上，以适当的规则来约束共享行为，使金融控股集团内部的个人数

据共享行为兼具效率与安全。

一、　基础：法律关系之分析

相较于单一的金融机构，金融控股集团在数据方面具有金融属性多元、适应规则多元、数据的实际所有人为集团旗下的法人、数据海量与服务诉求较大差异等特征。因此早已有人提出构建金融控股集团数据共享平台，以此来解决数据

孤岛、协调成本及系统架构问题。

［３］

构建“倒Ｔ”型的数据共享平台，由金融控股公司来掌控具体的共享活动，各金融子公司将数据传到集团层面，再由金融控股公司来实现各子公司之间的数据交换与共享，进而为客户提供更多元、高质、高效的金

融产品与服务。

［４］

光大集团已经建设了统一的数据采集平台和数据资产管理平台。［５］

以下将对金

融控股集团内部个人数据共享法律关系予以具体分析。

（一）法律关系之主体：共享关系主体与监管主体

从微观层面观察共享行为涉及四方主体，分别为个人客户、为个人客户提供服务或者产品的金融子公司、金融控股公司及其他被控金融子公司。其中与个人客户接触的直接交易方是为其提供具体服务或者产品的金融子公司，而金融控股公司和其他被控金融子公司与个人客户间并不具有直接的法律关系。但是，个人数据关涉个人客户的信息与隐私安全，个人数据应具有对世性，即所有人都不得对个人数据恶意侵害、篡改、泄露。所以，个人与任何获得其数据的主体之间都会形成一种具有绝对权属性的类似于“物权”的法律关系，这在个人客户与金融控股集团内获得其数据的公司间亦是如此。数据“共享”需通过协议促成，本文将基于数据共享产生的四方主体间的法律关系称为“共享法律关系”。首先，在共享法律关系中，个人客户与为其提供服务或者产品的

金融子公司基于订立合同的双方法律行为产生合同法上的权利义务关系，金融子公司对客户提供的数据使用、共享等行为必须严格限定在合同范围内，此为第一层法律关系。其次，个人客户与金融控股公司和其他被控金融子公司之间存在的法律关系是基于第一层法律关系产生的。虽然，与个人客户存在直接合同关系的是为其提供服务或者产品的金融子公司，但是为了保障数据共享行为的“正当”性，双方在合同中有关数据约定的条款，需扩展至任何一家获得个人数据的金融公司，从而使集团内获得个人数据的公司都需受到合同中关于数据约定的拘束。最后，金融控股公司与被控子公司分别拥有的法人人格，不同于法人与其分支机构之间的关系。金融控股公司与被控子公司以及各被控子公司之间形成关联企业关系。在金融控股集团内部数据共享属于关联企业

间的数据共享。

［６］

收集数据的金融公司，即为个人客户直接提供服务或者产品的金融子公司与金融控股公司、其他金融子公司之间基于集团内部协议来共享数据。

金融控股集团内的个人数据共享行为已经不再是单独的公司之间分别进行的共享，而是由金融控股公司主导的，统一协调的共享行为。因此，从宏观层面观察共享行为则涉及两方主体，个人客户与金融控股集团。个人客户为信息的提供者，各金融子公司通过金融控股公司联结成了“利益共同体”，再加上金融控股公司的职能使然，在对外关系上，金融控股集团可整体充当法律关系的一方主体，统一受到数据条款约定的拘束。此时在内部关系上，金融控股公司与各子公司既是某一客户某一数据的收集者与共享者，也是某一客户其他数据或者其他客户某一数据的使用者。

此外，在共享行为中还涉及监管问题。对于金融控股集团内部个人数据共享的监管主体，从

宜宾学院学报　２０２１年５期（第２１卷）

当前规定来看，为中国人民银行。

③

同时，“银与要对金融控股公司的持牌子公司实行功能监管，地方金融监督管理局根据业务特性对准金融牌照进行配合监管的‘伞形’监管架

构。”

［７］

而金融控股公司基于统筹调配、分类整合集团内部资源的功能性要求，应履行自律监管的职能。

（二）法律关系之客体：个人数据

“凡是单独可以识别出特定自然人的数据或者与其他数据结合后能够识别出自然人的数据，

都是个人数据，反之，则为非个人数据。”

［８］

如姓名、肖像、身份证号、社会保险号码均属此列。个人数据“包含着个人信息。没有个人信息的数据

不是个人数据”［８］

，本文不意在对数据与信息进

行辨析，本文所指个人数据就是以数据化方式存在的个人信息。《中华人民共和国网络安全法》（以下简称《网络安全法》）的第７６条第５项与《中华人民共和国民法典》（以下简称《民法典》）的第１０３４条第２款均对个人信息进行了示范性

列举。④而个人数据的认定受制于多种因素影响，需结合具体场景进行考察。［９］聚焦到金融控股集

团内部的数据共享场合，则其数据主要涉及的是金融机构在为客户提供服务或者产品过程中与客户相关的各类信息。根据中国人民银行２０２０年９月２３日发布的《金融数据安全数据安全分级指南》（以下简称《指南》），其主要包括个人自然信息、身份鉴别信息、资讯信息、关系信息、行为信息、标签信息。《指南》在对以上信息进一步细分的基础上，提供了各类信息的最低安全级别参考。由此，为我们针对不同数据适用不同的共享规则奠定了基础。

（三）法律关系之内容：权利与义务

２０１５年印发《关于加强金融消费者权益保护工作的指导意见》（下文简称《意见》），规定金融机构保护金融消费者的基本权利

金钟超：个人数据共享的法律分析与应对———以金融控股集团内部共享为视角

中包含了“信息安全权”。但有学者认为信息安全权“在实质上并未超越现行金融立法有关金融

机构保密义务的规则要求”。［１０］２０２０年７月１５日

发布的《深圳经济特区数据条例》（征求意见稿）（以下简称《深圳条例意见稿》）系我国首次在规范文件中采取“数据权”的表述，其规定“数据权是权利人依法对特定数据的自主决定、控制、处理、收益、利益损害受偿的权利。”有学者主张数据权利包括个人数据权与数据财产权。其中个人数据权主要包括数据知情同意权、保密权、查询权、修改权、删除权；数据财产权主要包括数据采集权、使用权、收益权。［１１］

根据权利与义务在法律关系中的对应关系，“一方主体有法律权利，对方主体就必须承担相应的法律义务，反之亦然”。

［１２］３２

即一方的权利是对方的义务，在赋予个

人客户有关数据的一系列权利时，也应赋予企业合法、合理地对数据进行利用的权利。因此，科学合理的权利义务安排是实现数据流通共享与个人数据保护的关键。

具体到金融控股集团内部的个人数据共享。在对外关系上，如上文所述，金融控股集团应整体作为一方法律关系的主体，此时集团内任何获得客户数据的公司，均应与直接为客户提供服务或者产品的金融子公司一样，受到同等约束，负担同等义务。个人客户对金融控股集团应享有：知情同意的权利、撤回同意的权利、查阅复制的权利、异议及更正的权利、删除的权利、投诉的权利以及

选择的权利等。⑤

负有忍受金融控股集团在约定

范围内合法、合理共享利用的义务，根据“一方的权利是对方的义务”的法理可知，此项个人客户负担的义务构成金融控股集团的权利。同时，金融控股集团对个人客户应负有：安全保护的义务、公平服务的义务、隐私权保护的义务、保密的义

务、合法合理收集使用的义务以及明示义务等。

⑥在金融控股集团内部，各金融公司还应享有要求

集团内其他金融公司配合调查的权利，以及配合集团内其他金融公司调查的义务。在数据被侵犯时，负有及时通知为个人客户直接提供服务或者产品的金融公司的义务，以便其及时通知个人客户，并及时展开行动。同时，金融控股公司应享有查询调查的权利，各金融子公司负有配合的义务，以便金融控股公司实现其自律监管的职能，确保共享行为的有序、安全。

目前关于数据权利理论层面的讨论，在我国

学界尚无定论［

１３］

，是采取立法赋权模式还是行为模式，是使其上升为一种具体权利还是通过法益

的方式予以保护［

１４］

，仍待进一步研究探讨。通过法益的保护方式，可以在关于数据的研究尚未取得共识时，保持对数据保护与利用进行价值衡量的灵活性。避免在认识尚不充分时，过早赋予权利以至于桎梏数据保护与利用在探索过程中的动态调整。然而，这只是针对时机成熟与否的争论，最终将其确认为权利则是众心所向。明确的权利义务规定可以为个人数据在金融控股集团内部的共享行为划定清晰的红线。

二、　过程：共享规则的选择

有关数据共享，美国《金融服务现代化法》以及欧盟《一般数据保护条例》有着基本共识：企业应当向个人明确告知信息共享的具体情形，取得个人同意或者基于其他法定依据才能处理个人信息，否则构成侵权。然而《金融服务现代化法》和《一般数据保护条例》的侧重点有所不同。《金融服务现代化法》侧重对数据的共享与利用，其并不个人数据在集团内部关联企业之间的共享，即便是与无关联关系的第三方共享，其采取的也是“选择—退出”（ｏｐｔ—ｏｕｔ）规则，即未明确反对视为同意。而《一般数据保护条例》则无论企业之间是否有关联关系，皆应当取得个人的明确

同意才能共享个人信息，否则即视为反对。［１０］

我

国于２０２０年７月２３号审议通过的《金融控股公司监督管理试行办法》在第２３条对集团内的共享行为也作出规定，要求“确保依法合规、风险可控并经客户书面授权或同意，防止客户信息被不当使用。”由此看来我国与《一般数据保护条例》的规制思路较为接近，均侧重于对数据的保护。

（一）知情同意：同质适用的掣肘

金融控股集团内部的数据共享虽然属于关联企业之间的共享，但其与通常所讨论的关联企业之间的数据共享有所区别。表现在：第一，一般意义上的数据共享是交易行为，有偿行为，而金融控股集团内部的数据共享是无偿行为。第二，共享方与使用方目的是否一致不同。一般意义上的数据共享，使用方是为了使用数据，而共享方则是为了获得使用方给付的对价，二者目的不一致；而金融控股集团内部的数据共享则目的统一为更好地为客户提供服务、精准决策，促进集团的共同发展。第三，共享时的价值侧重不同，一般意义上的数据共享侧重于数据的交换价值，而金融控股集团内部的数据共享侧重于数据的使用价值。以关联度为视角，企业内部各部门间的关联度＞金融控股集团内部的关联度＞

一般关联企业的关联度＞非关联企业间的关联度。由此也决定了：金融控股集团内部的数据共享行为，不能套用数据共享的通用规制框架，而应对其做出特殊安排，方能实现效益原则的要求。

现有规范针对数据的共享与利用并未基于金融控股集团内部个人数据共享的特性做出针对性安排，也未根据数据对于个人客户的风险不同做出区别对待。而是统一规定了知情同意规则。如《民法典》第１０３８条第１款与《网络安全法》第４２条都明确规定了提供个人信息给他人必须经被收集者的同意。《深圳条例意见稿》于第１３条也明确规定了同意规则，但是其同意包括明示与默示两种，对于未成年人的数据（第１３条第２款）或

宜宾学院学报　２０２１年５期（第２１卷）

者涉及隐私数据（第１６条）则明确要求明示同意。《金融控股公司监督管理试行办法》也于第２３条规定集团内部共享客户信息要经客户书面授权或同意。针对信息共享行为王利明教授也认

为未经权利人同意不得实施共享行为。

［１５］

正如上文所述，此种规制路径与欧盟《一般数据保护条例》的思路相同，不同于美国的《金融服务现代化法》。有学者建议在美国与欧盟对于数据的规制方面，应借鉴欧盟经验，欧盟基于基本的个人信息权保护要强于美国基于隐私权的个人信息保

护。

⑦

但保护应维持在有效率的层面，即，使数据保护的目的能够实现，同时还能便利对数据的共享与价值挖掘。此外，美国与欧盟在数据共享问题上的不同偏好还与他们各自的现实需求有密切的关联，拥有更多在全球做生意的高科技企业的美国，其更重视对数据的利用价值，在我国大力发展金融科技的当下，在不损害个人客户利益的情形下，应做出便利数据共享的安排。

然而统一适用知情同意规则是否为最佳选择？知情同意规则，是否真的能确保个人客户是在“知情”下作出同意与否的选择？即便对授权条款规定有质量要求，要求必须做到清楚明确，是否便能确保“知情权”的实现？通过观察各家银行的隐私说明书，隐私保护说明书普遍冗长且重点不突出，再加上新兴科技的出现也使

得数据处理问题变得更加复杂专业。［１６］

这就使得

一方面，在网络碎片化阅读时代，系统长篇的阅读能力有所退化，个人客户难以对冗长且重点不突出的文字仔细阅读；另一方面，由于专业知识的，个人客户“难以清醒地选择是否披露一些信

息并了解其作用机制”［１７］，加之“要么同意继续，

要么不同意离开”的有限选择，实际上使得“知情———同意”被虚置。此外，客户的共享意向和共享行为之间存在悖论。即知道隐私的风险，意图保护，但实际却倾向于分享个人信息来换取优

金钟超：个人数据共享的法律分析与应对———以金融控股集团内部共享为视角

惠或个性化服务。［１８］因此，“一刀切”的知情同意

规则恐难以实现其规范目的。

（二）共享规则的适配

不同类别的个人数据的敏感程度，被侵害后可能遭受的损害程度均不同，应当区别适用不同的共享规则。一方面可以使知情同意的内容有所精简，突出重点，做到更加清晰、简短和标准化，保障个人客户的“知情权”；另一方面降低金融控股集团共享的成本，更好实现数据价值。所以，应根据个人数据的分类分别在内含、隔离、隐藏、庇护的层次上加以利用。内含适用于客户出于某种目的可能希望公开或散播的信息；隔离适用于只能通过信息联合或数据归并的形式提供，不能披露完全的信息；隐藏适用于在值得信任和安全保证的情况下，客户数据在隐私权下可以某种方式进行交换；庇护是无论如何都不能透露给第三

者。

［１９］

根据《指南》关于个人数据最低安全级别的划分，分为４级。结合《个人金融信息保护技术规范》（ＪＲ／Ｔ０１７１－２０２０，以下简称《规范》），１级为个人信息主体主动公开的信息，其对应的个人影响程度为无损害。２级为个人金融信息中的Ｃ１类信息，主要指供金融业机构内部使用的个人金融信息（如开庭公告信息、犯罪记录、违法违规记录、收入情况等），其对应的个人影响程度为轻微损害。３级为个人金融信息中的Ｃ２类信息，主要为可识别特定个人信息主体身份与金融状况的个人金融信息，以及用于金融产品与服务的关键信息（如个人借款信息、个人还款信息、个人欠款信息、拥有的不动产状况、拥有的车辆状况等），其对应的个人影响程度为一般损害。４级为个人金融信息的Ｃ３类信息，主要为用户鉴别信息（如银行卡密码、支付密码、指纹、虹膜等），其对应的个人影响程度为严重损害。由此，对于个人数据最低安全级别的四级划分，可分别对应于内含、隔离、隐藏、庇护四个层次的利用约束。即对于最低

安全级别为１级的个人数据可在内含层次上利用；对于最低安全级别为２级的个人数据可在隔离层次上利用；对于最低安全级别为３级的个人数据可在隐藏层次利用；对于最低安全级别为４级的个人数据应在庇护层次利用，并加强做好对此类数据的保密工作，将可能使个人遭受严重损害的风险降至最低。根据上述不同个人数据可能给客户带来的损害不同及利用的不同，应适用不同的共享规则。

第一，针对１级个人数据。由于其基于个人客户的主动公开而获得，金融机构对该数据予以共享，并不会给个人客户带来超出自我公开行为本身所蕴含的风险。因此，此类数据应属于可自由共享的数据。

第二，针对２级个人数据。该类数据属于金融机构内部的信息资产，在金融机构内部可以自由共享，但金融控股集团内部的共享毕竟还是超出某一金融机构自身内部范围的共享，所以要开始施加部分隐私权的，在隔离层次上利用。基于前文所述金融控股集团内部的个人数据共享虽然也属于关联企业间的个人数据共享，但其不同于一般意义上的关联企业间的个人数据共享，其已经构成以金融控股公司为中枢的“利益共同体”内部的共享。根据前文，企业内部各部门间的关联度＞金融控股集团内部的关联度＞一般关联企业的关联度＞非关联企业间的关联度。金融控股集团内部数据共享的应介于金融机构内部各部门间数据共享与一般关联企业数据共享的之间。因此在金融机构内部可自由共享的２级数据，在金融控股集团内部共享时，已经施加以“隔离”即部分隐私权的手段，所以针对此类数据适用“选择—退出”规则即可，而不必如一般关联企业之间一样采知情同意规则。但此时在为个人客户提供服务或者产品时仍需履行告知义务。此外，还必须加强监管主体的外部监管及金

融控股公司的自律监管，确保共享的个人数据经过处理符合要求。

第三，针对３级数据。由于其已具备很强的“可识别性”，因此要进行脱敏处理。《民法典》第１０３８条第１款与《网络安全法》第４２条均规定了知情同意规则，“但是经过加工无法识别特定个人且不能复原的除外。”也就意味着即便是在知情同意规则下，如果经过“脱敏”处理，可以达到无法识别特定个人且不能复原，则此种共享将被允许。此类数据由于与个人隐私关联较强，应适用知情同意规则，事前征得个人客户的明确同意才可共享。而将经“脱敏”达到无法识别特定个人且不能复原作为适用除外，但此时除了加强外部监管与自律监管外，还要通过责任机制的构建增加未经个人客户同意或脱敏不完全的共享成本，倒逼企业积极作为。此外，征得个人客户的同意时，应借鉴欧盟经验，如果授权条款写得不清楚，即便获得了个人同意，也不能认为是获得了授

权。

［１５］

第四，针对４级数据。此类数据可能给个人客户造成信息安全与财产安全的严重损害，对其利用必须严格适用知情同意规则，单独且明确取得个人客户的授权，无例外适用。

综上，针对个人数据的不同安全级别及考虑金融控股集团内部数据共享的特性应适用不同的共享规则。针对１级数据可自由共享，除了对该数据恶意加以利用外，将不构成对义务的违反。针对２级数据，

应适用“选择—退出”规则，即未明确反对视为同意。在为个人客户提供服务或者产品时要告知其集团将对其数据进行内部共享，而此种共享不需要取得个人客户同意，只要在个人客户未明确表示反对时，共享行为将不构成对义务的违反。针对３级数据与４级数据则都需经个人客户的明确同意才能进行共享，同时个人客户还享有撤回同意的权利。但区别在于，４级数

宜宾学院学报　２０２１年５期（第２１卷）

据共享时要求“单独”取得个人的同意，而３级则不用；

３级数据即便在没有取得个人客户同意的情况下进行了共享，集团也不当然构成对义务的违反，因为其可以“经过脱敏达到无法识别特定个人且不能复原”作为抗辩，而４级数据则不允许。

三、　保障：责任承担的矫正

责任层面，现有规范对于行政处罚措施与行政责任作有详细规定，《刑法》也规定了侵犯公民个人信息罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪。但对于个人数据保护的主体，即数据提供者来说对于责任主体的惩罚并不能使其遭受的损害得到填补，与其切身利益相关的更多体现为民事责任的救济。结合前文所述，不应该对所有个人数据的共享均采取“知情—同意”规则，其实质相当于对金融控股集团内部个人数据共享进行一定程度的“松绑”，然而在方便金融控股集团内部个人数据共享的同时，并不意味着放松对个人数据权利的保护，反而需要通过强化救济来达到平衡，因此需要民事责任加以矫正。如在股票的发行批准制度中，要实现实质审查向形式审查的转变，一个先决条件，就是健全的

民事责任制度。［２０］１２８由此，通过加强责任规制促

成共享机制从“知情—同意”机制向“使用—责任”机制转变。同时也符合有学者主张的“前数字化信息时代有效保障了决策隐私中个人自主的用户同意原则，要转向数字化信息时代的控制者

预防和补救原则”。

［１７］（一）实体：承担连带责任

在金融控股集团内部个人数据共享中，由金融控股公司作为共享中枢，所有数据必须共享给金融控股公司，再由金融控股公司共享给各子公司，由此可加强金融控股公司的控制力，也方便其自律监管职能的发挥。数据提供者因金融控股公

金钟超：个人数据共享的法律分析与应对———以金融控股集团内部共享为视角

司与被控子公司之间的特殊关系而处于信息劣势，通过连带责任加强对数据提供者的保护有利于平衡各方利益。在连带责任之下，一旦出现数据泄露问题，其不必为查明泄露行为的具体主体而费心劳神，因为其承担相同的责任。数据提供者可以选择向金融控股公司、具体为其提供服务的被控金融子公司及具体的泄露主体进行索赔，由此最大限度减少数据所有人的举证责任。金融控股公司及各子公司与具体的泄露主体可以内部追偿，但应考虑各方的过错，合理分配各自的责任。因为，虽然基于金融控股公司模式下，母公司与各子公司形成了“利益集团”，但各公司依然各自拥有的人格，根据法律的一般原理，其仍需承担责任。这也是“母子公司”与“总分公司”最本质的差异。同时须强调，此种金融控股公司、具体提供服务的金融子公司与发生侵犯数据权利的金融子公司之间的侵权责任应当是强制性的，不得通过公司章程作出另行规定。

此外，在加强对个人客户救济的同时，也必须关注金融控股集团的传播性风险。没有侵犯数据权利的其他被控金融子公司，也即除金融控股公司、为个人客户提供金融服务的金融子公司和侵犯个人数据权利的金融子公司之外的其他金融子公司，则不必为此承担连带责任。以避免导致整个金融行业的风险传染，做到有效的风险隔离。

（二）程序：举证责任倒置

考虑是否应采用举证责任倒置，应考虑两要素，一是原告举证困难，二是社会影响强烈。首先，“数据”对于很多人来说依然是较为新鲜的事　　注　释：

［２２］

［２１］

物，并不能对其有足够的了解并基于此做出正确的判断。其次，个人客户也不具备对金融控股集团数据共享进行实时监测的条件，难以对内部的共享行为准确知晓其细节。因此，原告存在举证困难的问题。且个人客户相较于金融控股集团处于弱势地位，正如有学者建议在数据泄露侵权纠纷中引入与此相似的“示范判决”及“代表人诉讼”机制，因为数据侵权也涉及大量受害人且同

［２３］

其样存在受害人维权难度大、成本高等问题。

具有类似于证券领域纠纷的社会影响，所以在举证责任的分配上，应实行举证责任倒置，以强化个人客户在诉讼中获得救济的可能。

结语

责任的承担是以违反相应的义务为前提的，在数据侵权问题中，个人客户自身也应承担相应的责任，保密义务，发现异常及时报告或报案的义

［２４］

务以及配合调查的义务。限于篇幅原因，在责

任方面仍有一些问题留待探讨。如由第三人恶意侵害数据主体的权利，而金控公司已经采取符合要求的监管防范举措，但还是未能阻止的情形，则不应由金控公司承担最终责任。但其仍然负有辅助找寻具体侵权人的义务，如果违反此等积极义务而消极不作为，同样要承担相应的责任。那么，在第三人恶意侵权场合，金控公司仅是不用承担最终的侵权责任，但是否需要考虑其应承担先行赔付的责任？是否要规定数据侵权的免责事由？如若规定，该如何进行类型化设计？都值得探讨。

中华人民共和国数据安全法》（草案）第１２条：“国家坚持维护数据安全和促进数据开发利用并重，以数据开发利用和①《

产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。”

是多种金融机构与金融业务的集合体。②金融控股集团指的是由金融控股公司与被控子公司共同构成的组织型态，

关于实施金融控股公司准入管理的决定》中对金融控股公司的批准主体为中国人民银行。《金融控股公司监督③《宜宾学院学报　２０２１年５期（第２１卷）

管理试行办法》第５条“中国人民银行会同相关部门按照实质重于形式原则，对金融控股集团的资本、行为及风险进行全面、持续、穿透监管，防范金融风险跨行业、跨市场传递。”

网络安全法》第７６条第５项“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个④《

人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《民法典》第１０３４条第２款“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。网络安全法》第４３条，《民法典》第１０３７条，《深圳经济特区数据条例》（征求意见稿）第１４条、第１９条，《中国人民⑤参见《

银行金融消费者权益保护实施办法》第２１条第２款第３项，《金融控股公司监督管理试行办法》第２３条第２款等。网络安全法》于第２１条，《数据安全管理办法》第１１条、第１３条，《民法典》第１０３２条、第１０３３条、第１０３５条，《深⑥参见《

圳经济特区数据条例》（征求意见稿）第１５条、第１７条，《证券法》第４１条，《商业银行法》第２９条等。

数据共享与个人信息保护》，载《现代法学》２０１９年第１期，第５３页；何颖《数据共享背景下的金融隐私保⑦参见王利明《

护》，载《东南大学学报》（哲学社会科学版）２０１７年第１期，第９０页；雷婉璐《我国个人信息权的立法保护———对美国和欧盟个人信息保护最新进展的比较分析》，载《人民论坛·学术前沿》２０１８年第２３期，第１１０页；项定宜《比较与启示：欧２０１９年第４期，第５０～５２页。盟和美国个人信息商业利用规范模式研究》，载《重庆邮电大学学报》（社会科学版）　　参考文献：

［１］叶维武，张华伦．金融机构组织创新、风险管理与外部监管研究：以金融控股公司模式为例［Ｊ］．南昌大学学报（人文社会

科学版），２０１２（４）：８６－９０．

［２］邓琪．建立金融控股集团财务监控制度体系问题初探［Ｊ］．经济评论，２００３（３）：９５－９７，１１２．［３］夏令武．构建金融控股集团的共享大数据平台［Ｊ］．金融电子化，２０１６（７）：１４９－１５１．［４］陆岷峰，葛和平．中国金融控股集团发展现状与路径研究［Ｊ］．金融与经济，２０１８（２）：１１－１６．［５］李．金控集团数据治理创新［Ｊ］．中国金融，２０２０（９）：５７－５８．

［６］颜苏．金融控股公司框架下数据共享的法律规制［Ｊ］．法学杂志，２０１９（２）：６１－７０．［７］王勋．金控公司监管需系统性策略［Ｊ］．中国金融，２０１９（１６）：６９－７１．

［８］程啸．论大数据时代的个人数据权利［Ｊ］．中国社会科学，２０１８（３）：１０２－１２２，２０７－２０８．

［９］ＮＩＳＳＥＮＢＡＵＭＨ．ＰｒｉｖａｃｙａｓＣｏｎｔｅｘｔｕａｌＩｎｔｅｇｒｉｔｙ［Ｊ］．ＷａｓｈｉｎｇｔｏｎＬａｗＲｅｖｉｅｗ，２００４，７９（１）：１１９－１５８．［１０］何颖．数据共享背景下的金融隐私保护［Ｊ］．东南大学学报（哲学社会科学版），２０１７（１）：８５－９１，１４４．

［１１］齐爱民，盘佳．数据权、数据主权的确立与大数据保护的基本原则［Ｊ］．苏州大学学报（哲学社会科学版），２０１５（１）：６４－

７０，１９１．

［１２］付子堂．法理学进阶［Ｍ］．北京：法律出版社，２０１６．

［１３］肖建华，柴芳墨．论数据权利与交易规制［Ｊ］．中国高校社会科学，２０１９（１）：８３－９３，１５７－１５８．［１４］宁立志，傅显扬．论数据的法律规制模式选择［Ｊ］．知识产权，２０１９（２）：２７－３５．［１５］王利明．数据共享与个人信息保护［Ｊ］．现代法学，２０１９（１）：４５－５７．

［１６］赵吟．开放银行模式下个人数据共享的法律规制［Ｊ］．现代法学，２０２０（３）：１３８－１５０．

［１７］郭旨龙．从公民身份到信息身份：隐私功能的理论重述与制度安排［Ｊ］．法制与社会发展，２０２０（５）：１４３－１６３．［１８］闫坤如．大数据的共享－隐私悖论探析［Ｊ］．大连理工大学学报（社会科学版），２０２０（５）：１５－２０．［１９］胡月晓．客户信息在金融集团内的利用研究［Ｊ］．上海金融学院学报，２００６（５）：２７－３０．［２０］朱锦清．证券法学［Ｍ］．北京：北京大学出版社，２０１９．

金钟超：个人数据共享的法律分析与应对———以金融控股集团内部共享为视角

［２１］王涛生．金融控股公司的风险及其防范机制研究［Ｊ］．特区经济，２００６（５）：６０－６２．［２２］叶自强．举证责任倒置规则的构成要素与适用［Ｊ］．河北法学，２０１５（１１）：７１－７５．［２３］解正山．数据泄露损害问题研究［Ｊ］．清华法学，２０２０（４）：１４０－１５８．

［２４］辜明安，王彦．大数据时代金融机构的安全保障义务与金融数据的资源配置［Ｊ］．社会科学研究，２０１６（３）：７６－８２．

〔责任编辑：许　洁〕

ＬｅｇａｌＡｎａｌｙｓｉｓｏｎＰｅｒｓｏｎａｌＤａｔａＳｈａｒｉｎｇＷｉｔｈｉｎＦｉｎａｎｃｉａｌＣｏｎｇｌｏｍｅｒａｔｅａｎｄ：ＦｒｏｍｔｈｅＰｅｒｓｐｅｃｔｉｖｅｏｆＩｎｔｅｒｎａｌＳｈａｒｉｎｇｏｆＦｉｎａｎｃｉａｌＩｔｓＣｏｕｎｔｅｒｍｅａｓｕｒｅｓＣｏｎｇｌｏｍｅｒａｔｅ

ＪＩＮＺｈｏｎｇｃｈａｏ

（ＣｏｌｌｅｇｅｏｆＣｉｖｉｌａｎｄＣｏｍｍｅｒｃｉａｌＬａｗ，ＳｏｕｔｈｗｅｓｔＵｎｉｖｅｒｓｉｔｙｏｆＰｏｌｉｔｉｃａｌＳｃｉｅｎｃｅａｎｄＬａｗ，Ｃｈｏｎｇｑｉｎｇ４０１１２０，Ｃｈｉｎａ）

Ａｂｓｔｒａｃｔ：Ａｔｐｒｅｓｅｎｔ，ｔｈｅｒｅｈａｖｅｂｅｅｎｄｉｓｃｕｓｓｉｏｎｓａｂｏｕｔｄａｔａｓｈａｒｉｎｇ，ｂｕｔｔｈｅｌｅｇａｌｒｅｓｅａｒｃｈｏｎｐｅｒｓｏｎａｌｄａｔａｓｈａｒｉｎｇｗｉｔｈｉｎｆｉｎａｎｃｉａｌｃｏｎｇｌｏｍｅｒａｔｅｈａｓｎｏｔｂｅｅｎｐａｉｄａｔｔｅｎｔｉｏｎｔｏ．Ｂａｓｅｄｏｎｔｈｅｆｕｎｃｔｉｏｎｏｒｉｅｎｔａｔｉｏｎｏｆｆｉｎａｎｃｉａｌｈｏｌｄｉｎｇｃｏｍｐａｎｙａｎｄｔｈｅｃｏｎｓｉｄｅｒａｔｉｏｎｏｆｇｉｖｉｎｇｆｕｌｌｐｌａｙｔｏｔｈｅｆｉｎａｎｃｉａｌｃｏｎｇｌｏｍｅｒａｔｅ，ｉｔｉｓｎｅｃｅｓｓａｒｙｔｏｆａｃｉｌｉｔａｔｅｔｈｅｐｅｒｓｏｎａｌｄａｔａｓｈａｒｉｎｇｗｉｔｈｉｎｔｈｅｃｏｎｇｌｏｍｅｒａｔｅｏｎｔｈｅｂａｓｉｓｏｆｐｒｏｔｅｃｔｉｎｇｔｈｅｓｅｃｕｒｉｔｙｏｆｐｅｒｓｏｎａｌｄａｔａ．Ｐｅｒｓｏｎａｌｄａｔａｓｈａｒｉｎｇｗｉｔｈｉｎｆｉｎａｎｃｉａｌｃｏｎｇｌｏｍｅｒａｔｅｂｅｌｏｎｇｓｔｏｐｅｒｓｏｎａｌｄａｔａｓｈａｒｉｎｇｂｅｔｗｅｅｎａｆｆｉｌｉａｔｅｄｃｏｍｐａｎｉｅｓ，ｂｕｔｐｅｒｓｏｎａｌｄａｔａｓｈａｒｉｎｇｂｅｔｗｅｅｎｉｔｉｓｄｉｆｆｅｒｅｎｔｆｒｏｍｏｒｄｉｎａｒｙａｆｆｉｌｉａｔｅｄｃｏｍｐａｎｉｅｓｉｎｔｅｒｍｓｏｆｗｈｅｔｈｅｒｉｔｉｓｐａｉｄ，ｐｕｒｐｏｓｅｏｆｕｓｅ，ａｎｄｖａｌｕｅｆｏｃｕｓ．Ｉｎｔｈｅｃｏｎｓｔｒｕｃｔｉｏｎｏｆｄａｔａｓｈａｒｉｎｇｒｕｌｅｓ，ｄｉｆｆｅｒｅｎｔｒｅｓｔｒｉｃｔｉｏｎｒｅｑｕｉｒｅｍｅｎｔｓｓｈｏｕｌｄｂｅｉｍｐｏｓｅｄａｃｃｏｒｄｉｎｇｔｏｔｈｅｄｅｇｒｅｅｏｆａｓｓｏｃｉａｔｉｏｎｂｅｔｗｅｅｎｄｉｆｆｅｒｅｎｔｓｈａｒｉｎｇｓｕｂｊｅｃｔｓ．Ｐｅｒｓｏｎａｌｄａｔａｓｈａｒｉｎｇｗｉｔｈｉｎｔｈｅｆｉｎａｎｃｉａｌｃｏｎｇｌｏｍｅｒａｔｅｓｈｏｕｌｄｎｏｔｂｅｕｎｉｆｏｒｍｌｙａｐｐｌｉｅｄｔｏｔｈｅ“ｉｎｆｏｒｍｅｄ－ｃｏｎ”ｒｕｌｅ，ｄｉｆｆｅｒｅｎｔｔｙｐｅｓｏｆｄａｔａｓｈｏｕｌｄｂｅｄｉｓｔｉｎｇｕｉｓｈｅｄａｎｄｄｉｆｆｅｒｅｎｔｓｈａｒｉｎｇｒｕｌｅｓｓｈｏｕｌｄｂｅａｐｐｌｉｅｄｔｏａｓｅｎｔｃｈｉｅｖｅａｂａｌａｎｃｅｂｅｔｗｅｅｎｓａｆｅｔｙａｎｄｅｆｆｉｃｉｅｎｃｙ．Ａｔｔｈｅｓａｍｅｔｉｍｅ，ｗｈｉｌｅ“ｒｅｌａｘｉｎｇ”ｆｏｒｓｈａｒｉｎｇ，ｉｔｉｓｎｅｃｅｓｓａｒｙｔｏｓｔｒｅｎｇｔｈｅｎｔｈｅｒｅｌｉｅｆｔｏｉｎｄｉｖｉｄｕａｌｃｕｓｔｏｍｅｒｓｔｈｒｏｕｇｈｊｏｉｎｔｌｉａｂｉｌｉｔｙａｎｄｉｎｖｅｒｓｉｏｎｏｆｔｈｅｂｕｒｄｅｎｏｆｐｒｏｏｆ．Ｋｅｙｗｏｒｄｓ：ｆｉｎａｎｃｉａｌｈｏｌｄｉｎｇｃｏｍｐａｎｙ；ｄａｔａｓｈａｒｉｎｇ；ｉｎｆｏｒｍｅｄｃｏｎｓｅｎｔ；ｊｏｉｎｔｌｉａｂｉｌｉｔｙ