经济日报-中国经济网编者按:美股周四收高,三大股指均创历史最高收盘纪录。截至收盘,道指涨148.83点,或0.49%,报30303.37点;纳指涨106.56点,或0.84%,报12764.75点;标普500指数涨21.31点,或0.58%,报3722.48点。 据新浪财经,劳工部周四公布数据,截至12月12日的一周,首次申请州常规失业金人数增加了23000,增至885000人。美国上周首次失业救济金人数意外升至三个月来的最高水平,表明在新冠病例激增和更多企业关停的情况下,劳动力市场的复苏步履蹒跚。 此外,美国商务部周四公布的数据显示,美国各州的个人收入水平均在第三季度出现下滑。商务部表示,在此期间,州个人收入按年率下降10%,尽管总体收入仍高于一年前,但与前一个季度增长36%的情况相比可谓急剧下降。
中国经济网北京12月21日讯据新华社天津消息,国家计算机病毒应急处理中心(简称“CVERC”)近期在“净网2020”专项行动中通过互联网监测发现,多款旅行类移动应用存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息。 《马蜂窝旅行》(版本10.3.3)存在1类不合规事项,即未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内受理并处理,涉嫌隐私不合规。 经中国经济网记者查询,“马蜂窝旅行”app隶属于北京蚂蜂窝网络科技有限公司,该公司成立于2007年11月29日,大股东为陈罡,持股比例40.35%。 马蜂窝旅行官网显示,“马蜂窝”是旅游社交网站,是数据驱动平台,是新型旅游电商。提供全球60000个旅游目的地的交通、酒店、景点、餐饮、购物、用车、当地玩乐等信息和产品预订服务。
日前,鹏元征信因存在“未经批准,擅自从事个人征信业务活动”“企业征信机构任命高级管理人员未及时备案”两项违法行为,被央行没收违法所得约1918万元,并处罚款62万元。至此,鹏元征信成为了首个因擅自从事个人征信业务而被处罚的企业征信机构。 “此次对于鹏元征信个人征信业务的处罚,应该主要是针对其业务渗透最广、营收最高的‘天下信用’板块。”广东华商律师事务所的齐岩冰律师认为,征信机构的个人征信业务经营资质已在2018年百行征信成立之时宣告终结,“但近几年来,鹏元征信旗下的‘天下信用’通过在各类金融、信息服务平台捆绑分成等模式,依然在百行征信之外深入开展个人征信业务,且有不断扩大业务规模的趋势。”齐岩冰说。 尽管鹏元征信回应称已完成全部整改内容,能够继续为用户提供服务,但市场的变化似乎昭示着,鹏元征信“天下信用”板块未来的生存情况不会太如意――与鹏元征信遭到处罚同期,央行批准了朴道征信的个人征信业务申请,后者成为继百行征信之外的第二家个人征信机构;且鹏元征信的主要适用场景――互联网金融也正处于全面清零状态。 实际上,个人征信业务的牌照发放一直比较谨慎,截至2020年7月末,在央行分支行完成备案的企业征信机构已有133家,而目前仅百行征信、朴道征信两家机构获得个人征信业务经营许可。 “天下信用”无证开展非议多 2005年,鹏元征信成立,并在成立10年后与芝麻征信、腾讯征信等7家机构,获央行批准开展第一批个人征信试点业务。然而,该8家试点机构无一通过审核。 不过,从始至终未单独获得个人征信牌照的鹏元征信,却从未停止发展个人征信业务的脚步,甚至带动了一股面向C端提供信用报告的热潮。 按照鹏元征信官网介绍,2016年“天下信用”推出,用户可通过其查询企业信用、自己的信用,或授权他人查询对方信用报告。 其最广泛的用途,当属帮助借款人查询自己是否存在失信违约行为。近两年来,天下信用频繁出现在各消费金融公司或小贷平台公众号的菜单栏,或APP内,用户花费9.9至50元不等的费用即可查询。 但天下信用的用户体验却不尽人意。 诸多投诉人称,在明知自己存在借贷逾期的情况下使用天下信用,却未能得到任何关于借贷的记录。“因房贷信用卡相关问题想查询自己的信用,在交付了39.9元后给出的是毫不相关的结果,明明存在逾期却不显示。”王女士投诉道。 另有不少消费者因被贷款平台APP拒绝提供放款额度,而在APP引导下使用天下信用查询风险报告。令人不解的是,不仅天下信用并未查询到不良记录,“无失信记录”的借款人在报告查询后也仍未得到APP的借款业务批准。据 此外,消费者对于“天下信用接入的数据是否真实可信”的质疑也是层出不穷:“输入手机号和身份证号码、交29.9元就查到别人的隐私,这公民信息还得到保护吗”? 捷信消费金融APP导流天下信用 不仅如此,随着监管禁止现金贷搭售砍头息,鹏元征信还被用户投诉以风险评估报告名义,联合现金贷平台收取变相砍头息,风险评估费达388元、480元、600元以及1000+元。 鹏元征信微信公众号曾介绍道,小贷、P2P、第三方支付是其数据覆盖的主要场景。此前有媒体报道称,鹏元征信的收入构成中,个人征信产品占近70%,企业征信占25%左右,其他产品服务占5%。 但如今,互联网金融行业监管愈发严厉,再加上个人征信牌照空白,鹏元征信的导流渠道开始闭塞,C端数据源的获取出路也逐渐缺失。 行业秩序日益规范生存难 目前,个人征信的行业秩序正在依托牌照发放进行规范。 在百行征信的个人征信牌照到期的前两个月里,央行受理并于2020年12月25日批准了国内第二张个人征信业务牌照――朴道征信成为获批机构。天眼查显示,北京金控集团、京东数科、小米电子以35%、25%和17.5%的持股比例成为朴道征信三大股东。拟任的董事长赵以邗来自央行征信中心。 这侧面意味着,那些通过对外输送个人征信产品、提供有偿数据信息服务的第三方机构,再次被监管予以牌照方面的警示。 事实上,从数量上看,个人征信牌照发放与企业征信资质相比,的确极为谨慎。截至2020年7月末,在央行分支行完成备案的企业征信机构已有133家,而目前仅百行征信、朴道征信两家机构获得个人征信业务经营许可。 在批准日当天举办的国务院政策例行吹风会上,央行副行长陈雨露还强调,征信经营的是信息,信息涉及到人民的信息权益维护问题,在监管上一定要把信息安全和权益保护放到首位。 而本次鹏元征信的处罚,也显示出央行对征信市场的信息安全和个人信息保护监管的强度不断加大。齐岩冰向 记者了解到,在市场规范下,曾经未通过试点验收的8家个人征信试点机构也开始转型服务于B端,如前海征信、中诚信征信、中智诚征信和华道征信主要提供企业征信产品。芝麻信用则在2019年末停止与金融机构合作,提供企业信用报告、企业风险监控,和面向C端的芝麻分服务。而拉卡拉(300773)旗下的考拉征信,已于2020年11月主动申请注销企业征信业务经营备案,团队疑似已经解散。腾讯征信则在近几年未对外披露信息,官网显示正在维护。 而鹏元征信,也有媒体报道称,其团队已经从巅峰时期的300多人到2020年11月初的100人左右。
—摘 要— 跨境打新已成为中国企业海外上市的焦点话题之一,头部服务机构更是以千亿交易量彰显热潮,与之相伴,个人信息以及一系列金融数据的跨境传输,也让合规风险日益突出 圣诞前后,由于承认二次销售,有着“盲盒第一股”之称的泡泡玛特(Pop Mart)失足跌入舆论漩涡,遭到了网络舆论乃至央媒的口诛笔伐,其市值甚至在一日内就蒸发了120亿港元。而半个月前,泡泡玛特正式在港交所主板挂牌上市,开盘涨幅即超100%。 冰火两重天之下,我们难以预测以泡泡玛特为代表的盲盒经济的未来,但其所折射的“跨境打新”现象却已然成为企业上市投资相关的焦点话题之一,易操作、风险低、收益高等特点迅速推动这股热潮风靡国内。 一段时间以来,国内创新型概念企业纷纷选择在境外的纽交所、港交所上市,再叠加国内适合个人投资优质资产的相对缺失,“跨境打新”也就逐渐成为投资者分享相关企业发展红利的重要路径。然而与监管的属地原则相适应,客户的美股和港股均需托管在境外第三方合作清算商,美股托管账户内客户资产受到美国证监会和美国金融管理局监管,港股托管账户内客户资产受到香港证监会监管。 因此,客户的姓名、身份证号、住址、邮箱、联系电话、婚姻状况、就业情况等个人信息,以及客户净流动资产、净资产、总资产、净年收入等金融数据按要求也就会由相应的券商跨境提供给境外清算商进行客户实名制审核、资产评估等,由此便产生了金融数据跨境传输的合规风险。 正所谓“窥一斑而见全豹”,本文以一些持有境外券商牌照和注册投顾牌照,却向中国居民提供跨境金融服务的新型金融服务提供商为例(此类公司通过网站、APP等向中国境内居民提供投资美股、港股等服务,包括股票交易下单与执行等),从主体、客体(数据)、行为等多个层面分析向境外传输金融数据的风险隐患,在此基础上结合本土实践和国际经验对其合规监管提出完善建议。 与信息匮乏的时代相比,人类社会跨入信息时代的重要标志之一便是数据在总量规模和增长速度上的显著提升,最终质变为重要的生产要素,进而促成数字经济的诞生。然而祸福相倚,由于理性的有限和欲求的诱惑,数据信息获取使用上的便利也就由福音异化为魔咒,人们往往迷失于眼前新闻的光怪陆离,而丧失了根本趋势的整体把握,势必会让个人乃至社会支付更加高昂的代价。 主体视角:是否构成CIIO 与很多业务开展类似,金融数据跨境传输关键需要回答“可不可以,如何能够”等问题,这从逻辑上首先要求判断从事行为的机构类型,并以此确认其权利义务的边界。 根据《网络安全法》第37条的规定,关键信息基础设施运营者(“CIIO”)在国内收集和产生的个人信息和重要数据有本地化存储的特殊要求,即使确需出境,也需向监管部门进行安全评估。因此,在数据出境过程中,主体是否构成CIIO将直接决定其是否需承担本地化存储和安全评估的强制性义务。 那什么是关键信息基础设施运营者呢?按照《关键信息基础设施安全保护条例(征求意见稿)》第18条的定义,所谓关键信息基础设施运营者是指运营、管理一旦遭到破坏、丧失功能或者数据泄露,可能危害国家安全、国计民生、公共利益的网络设施和信息系统的单位,包括政府机关、金融和互联网等行业领域的机构。 以某家依托国外券商牌照向中国居民提供港美股投资服务的头部公司为例,从业务开展方面看,其同时涉及金融和互联网领域,直接提供美港股投资申购和投资等金融服务;从规模增长方面看,其占全球华人互联网券商市场的份额接近60%,用户超过400万,年交易规模超过1000亿,在其服务机构中也不乏36氪、网易有道、理想汽车以及泡泡玛特等的身影。 不难看出,国内企业境外上市对这些公司的依赖已然达到前所未有的程度,巨额投资量和客户规模数决定了其信息设施安全与国计民生关联日渐紧密,而涉及跨境传输的数据亦包含了客户资产、年收入等敏感性极强的金融数据,对金融行业甚至更高层面的影响在加大。 有鉴于此,至少在理论推演层面,上述跨境金融服务商尤其是其头部机构被认定为CIIO的概率较大。同时,尽管该类公司大多提供美股、港股、澳股、期货、基金等境外金融服务,但其服务对象主要还是中国民众以及华人华侨,因此仍然满足“在国内收集和产生”的要件,故其处理的相关数据原则上应当进行本地化存储,即使确需跨境传输,也应当向相关部门进行安全评估。从这些公司的APP用户隐私政策条款(图1)来看,在其中也确实强调了上述义务,值得肯定。 图1/某跨境金融服务商App-隐私政策 数据视角: 是否构成重要数据 如前所述,中国法律制度对CIIO在国内收集和产生的个人信息和重要数据具有本地化存储和安全评估的要求。跨境金融服务商向境外清算商传输的金融数据中包含“个人信息”这一点并无疑义,但这些信息是否构成“重要数据”则需进一步分析。 然而目前中国现行法律制度中还没有对重要数据这一概念进行界定,相关定义均以“征求意见稿”的形式存在(如《个人信息和重要数据出境安全评估办法(征求意见稿)》(2017)第17条,《信息安全技术 数据出境安全评估指南(草案)》(2017)附录A,《数据安全管理办法(征求意见稿)》(2019)第38条等)。 在这些办法中,《数据安全管理办法(征求意见稿)》(2019)第38条对重要数据的定义较具参考意义:“重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”然而,仅凭借该定义仍难以确定互联网券商收集的金融数据是否已经达到重要数据的程度。 进一步考察,可发现《信息安全技术 数据出境安全评估指南(草案)》(2017)在附录A中还体系化归纳了28类重要数据,其中在A.19金融类中明确个人财产信息、账户信息和个人信用信息等可能会构成重要数据,并在总则部分以“如披露可能影响或危害国家经济秩序和金融安全”作为判断标准。 在实际操作中,上述跨境金融服务商在提供跨境打新服务时都收集了个人哪些数据?以某头部机构的业务开展为例,客户如需使用服务则必须进行开户,在开户过程中则会直接要求用户填写净流动资产、净资产、总资产、净年收入(图2),且每个用户均为实名制。因此,其收集的金融数据显然已经构成上述《指南》中的个人财产信息和账户信息。 再结合本文第一部分所述,这些跨境金融服务商近年在国内市场份额、用户数量和交易规模上均已在金融市场中占据举足轻重的地位,如上述相关信息被披露或经他人整合分析进而造成负面后果,理解为达到“影响或危害国家经济秩序和金融安全”的程度也不足为过。 因此,一则具备被认定为CIIO的客观条件,再者其收集并产生的相关金融数据已经构成重要数据,这些跨境金融服务商理应受到本地化存储和安全评估等方面的特殊监管要求。 图2/某跨境金融服务商App-开户页面 行为视角之一: 监管制度有待系统完善 由于被称为“个人”信息,更由于其产生源自个人行动及相关企业对个人行动信息的整合分析,数据姓“私”并进而接受私法领域宪章——《民法典》的规范也就显得理所当然。不过,虽然“在民法慈母般的眼神中,每个人就是整个国家”(孟德斯鸠语),虽然《民法典》也在人格权编第六章“隐私权和个人信息保护”中赋予个人信息和数据以前所未有的法律地位和保护力度,其第一千零三十五条更是规定了处理个人信息应当遵循合法、正当、必要的原则,并用几个条文从宏观上规定了信息处理者的安全保障义务、免责事由等。 然而民法的本质毕竟还是私法,调整的是平等主体间的民事法律关系,因此从理论架构上难以也不适宜涵盖政府监管层面的体系,尤其是在信息产权理论等有关数据权益保护的思潮尚未落实到一般公众思维中的现状下,发挥公法层面的指导和规范作用便具有必要性。在监管层面,由于金融数据同时涉及金融监管和网络安全两方面的合规风险,因此在对上述跨境金融服务商进行跨境数据传输的评估时也应同时考虑双重合规的义务。 在金融监管领域,中国目前涉及个人金融信息跨境传输监管的规定主要包括2011年人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》、2020年2月发布的《个人金融信息保护技术规范》(以下简称《规范)》、2020年9月颁布的《中国人民银行金融消费者权益保护实施办法》和《金融数据安全 数据安全分级指南》(以下简称《指南》)等。 在这些制度中,一方面,《规范》7.1.3条d)项规定,企业在中国境内提供金融产品或服务过程中收集和产生的个人金融信息应在境内存储、处理和分析;确需向境外提供的,有如下合规要求: (1)应取得个人金融信息主体的明示同意; (2)应依据国家、行业有关部门制定的办法与标准开展个人金融信息安全出境评估,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求; (3)应与境外机构签订协议、现场核查等方式,明确并监督境外机构有效履行个人金融信息保护保密、数据删除、案件协查等职责义务。 另一方面,《指南》也根据金融行业机构数据安全性遭受破坏后的影响对象及程度,将数据安全由高至低划分为五个级别。《指南》中还特别强调,金融行业机构应高度重视与个人金融信息相关的数据安全保护,并在5.3“定级规则”中特别提及重要数据,并指出重要数据的安全等级不可低于该标准所述5级。《指南》中增加重要数据的内容,是国家数据安全标准体系内的相互引用,体现了行业标准对国家标准的继承。 然而,对于安全评估义务,《规范》中虽然规定应依据“有关部门制定的办法与标准”,但目前行业监管机构并未进一步对金融数据跨境评估颁布相关标准,按照法理上“无特殊依一般”的原则,相关行为现阶段主要遵循网络安全层面的一般规定。但这样这实质上便可能导致金融监管层面的安全评估合规落空,而仅凭借网信部门也难以实现《指南》中分级管理的目标。 从现状来看,跨境金融服务商在跨境传输金融数据上,面临的本地化存储、数据主体同意、安全评估和签订协议等义务与网络安全监管层面的要求基本一致,因此,在行业监管层面对数据跨境合规暂不明确的现状下,跨境金融服务商向境外传输金融数据仍应主要落实网络安全层面的监管要求。但展望未来,相关政府部门应当对金融信息跨境传输的评估批准机构、流程进一步明确,同时也建议在监管体系内建立分级管理机制,从而在保护中国金融安全和经济秩序的同时,效益最大化地保障信息共享和传输。 行为视角之二: 安全评估谁来负责 紧接上述制度适用竞合方面的问题,根据《数据安全管理办法(征求意见稿)》第28条,作为网络运营者的境内券商向境外提供重要数据前应当“报经行业主管监管部门同意,行业主管监管部门不明确的,应经省级网信部门批准”,从逻辑上看,由于上述跨境金融服务商隶属金融领域,故相关数据出境应报金融监管部门同意。 具体到实践中,金融监管机构颁布的《个人金融信息保护技术规范》有可能导致将数据出境的安全评估职责指引到网信部门,而后者颁布的《数据安全管理办法(征求意见稿)》却又将安全评估的职责规定给前者,这便在立法层面对于数据出境的安全评估部门出现了模糊的情况。 笔者通过与监管机构多个部门沟通,得到的答复为相关评估工作不属于其管辖范围。因此,中国金融数据出境的现状是,尽管行业监管机构明确,但监管机构却没有具体设立相关部门以履行职责,此时是否应向省级网信部门报批便存在问题,因为《数据安全管理办法(征求意见稿)》明确规定由省级网信部门批准的前提是“行业主管监管部门不明确”,考虑到2020年监管部门刚刚印发了金融数据分级管理的指南,并且基于金融数据和专业性和敏感性也不宜由网信部门对金融数据进行安全评估,因此跨境金融服务商在金融数据跨境传输前向哪一机构申请完成安全评估以及安全评估的程度(例如是否进行分级评估)就存在较大障碍,但不经评估又存在合规风险。 这样,现有规则体系下相关机构进行金融数据跨境传输就较易陷入“评估无门”的困境。 行为视角之三: 个人主体权利保障 除行业监管和安全评估外,金融数据出境也理应得到个人信息主体的同意,然而对于具体情形下前者是否需后者同意却也存在两个方面的具体场景:一是传输方(跨境金融服务商)向境外接收方(如第三方清算商)的传输,二是境外接收方向境外第三方的传输。 对于传输方向境外接收方传输是否需经个人信息主体同意,立法层面发生了多次变化。2017年《个人信息和重要数据出境安全评估办法(征求意见稿)》第4条中要求数据出境须经个人信息主体单独同意,2019年《个人信息出境安全评估办法》第14条则以事先“告知”数据主体代替“同意”的要求,较大程度减轻了企业的负担。但在2020年公布的《个人信息保护法(草案)》第39条中,立法再次要求须单独征得个人信息主体的同意。从出台时间和法律效力层级来看,《个人信息保护法》未来是数据合规应遵循的基本法,且跨境金融服务商传输的数据同时涉及金融领域,2020年《个人金融信息保护技术规范》亦有征得个人单独同意的要求。因此尽管网络安全层面的规范性文件存在变化,跨境金融服务商未来有较大概率需在其APP中设置相关同意条款以满足上述合规要求。 对于境外接收方向第三方传输的情形,同样存在趋紧的情况。2019年《个人信息出境安全评估办法(征求意见稿)》第16条规定只有向第三方传输的数据中涉及个人敏感信息时,才须征得个人信息主体同意。但从最新《个人信息保护法(草案)》及网信部门的相关态度推测,未来在正式立法中包括个人敏感信息在内的所有个人信息向第三方传输时均可能纳入单独同意的范畴。 金融数据跨境传输的法律关系不仅局限于政府(行业监管部门、网信部门)、跨境金融服务商和投资者个人,还涉及到境内外的数据传输方与数据接收方,《个人信息出境安全评估办法(征求意见稿)》(以下简称《办法》)对此专门要求了签订协议的合规义务。对于这一模式,事实上是充分借鉴了国际上的先进经验和通行做法,主要是仿效欧盟实践多年的适用于个人数据出境的标准合同条款(“SCC”),通过合同条款界定个人信息主体的权利与信息传输方和信息接收方的责任与义务。 同时,为了提高可操作性和有效性,《办法》还将主要责任确定在位于境内的网络运营者上,新增了许多网络运营者对境外接收者的义务条款,如需关注接收者的网络安全要求和个人信息保护落实情况,代接收者先行赔付,加强对境外数据接收者行为的间接规制等等,这些规定都是国际上接受度较高,并且具有较好实践效果的通行做法,体现了中国积极践行与国际接轨,同时又具有中国特色的数据治理路径。不过,关于通过协议约束这一国际通行做法,中国在借鉴时也进行了一定取舍,至于此种取舍是否成功不无争议。 完善视角: 对接国际面向未来 事实上,对包括金融数据在内信息跨境传输的关注已不仅限于国内,国外更是蔚为大观。以2020年11月15日正式签署的《区域全面经济伙伴关系协定》(RCEP)为例,其第十二章(电子商务专章)不仅规定了促进电子贸易便利化的内容,还涵盖了网络安全、个人信息保护、信息跨境传输等方面的要求,考察RCEP第十二章第15条关于“电子方式跨境传输信息”的相关规定,其核心要旨仍是在保证网络安全和数据主体利益的前提下促进数据共享和传输。然而与其显赫地位与重要作用不相适应的是,目前金融数据出境的规范仍是局促在小圈子里的冷门话题,并且如前所述,在网络运营主体、传输数据类型和合规行为层面,理论和实践中都存在不少的的痛点和难点。展望未来,金融数据跨境传输规范至少可以从以下方面予以完善。 (一)明确部门职责 如本文之前关于安全评估义务的论述,目前,仅从行业监管部门和网信部门等发布的各类规定和文件中难以确定金融企业跨境传输数据时进行安全评估或报批的具体部门,而在实践中经考察也确实出现了安全评估职责不明确的情况。由于在2020年发布的《指南》中行业监管部门明确要求对金融数据进行分级管理,其中还特别提及网络安全领域的基础概念——“重要数据”,可见金融领域对数据出境将持更为谨慎的态度,也意味着敏感性较强的金融数据更需要专业化的机构集中进行安全评估。为实现金融安全和信息共享的平衡,促进企业合规与信息流动的良性循环,建议未来明确由相关行业监管部门的下属单位来承担该部分的安全评估,并履行分级管理的职责。 (二)履行个人同意要求 对于境外接收方向第三方传输信息是否须单独同意,前文已经论述目前未有明确的法律法规予以规范,唯一作出规定的是2019年《个人信息出境安全评估办法(征求意见稿)》,其要求仅在涉及个人敏感信息时才须征得个人信息主体同意,这种态度与该《评估办法》关于数据由境内主体向境外传输时仅须事先“告知”保持一致。但从2020年10月公布的《个人信息保护(草案)》对数据出境须单独同意的趋势来看,尽管其没有明确规定向第三方传输的情形,但不难想见其中待考量的风险与跨境传输较为相似,甚至更大。因为境外接收方与境内网络运营者往往基于协议或公司关联关系,故较易对其信息安全措施较进行把控和评估;但对于境外第三方而言,其往往与境内主体没有直接联系,因此更有对个人信息主体权益进行保护的必要,未来规定其须单独同意也是应有之意。 当然,这在操作层面可能存在较大困难,以某跨境金融服务商为例,在其将用户数据向境外运营者传输的情形中,是通过用户协议单独勾选或跳转对话框勾选的形式征得用户同意;但对于境外运营者需向第三方传输数据的情形,其与用户事实上并没有可以交互的渠道。未来可能解决的办法是,境内机构在前述向境外运营者传输并取得信息主体单独同意时,一并设置境外运营者向第三方传输的知情同意条款,以实现相关合规要求。 (三)细化协议规定 尽管中国目前仿效国际经验采取了协议约束的模式,从而进一步规制境内运营者和境外接收方,然而,《办法》和《个人信息保护法(草案)》在数据接收方主体的称谓上仅引入了“个人信息处理者”的定义,也就是说,其没有区分共同控制者和处理者,这个定义更类似于欧盟《通用数据保护条例》(“GDPR”)项下的数据控制者。对于数据处理者角色,草案则按照行为特征进行描述(共同处理、委托处理)。基于这种逻辑,《办法》在上述合同约束模式中便仅规定了一类协议,即境内的网络运营者与境外的数据接收方。 笔者认为,既然中国在数据出境上已有明显仿效欧盟SCC的趋势,且SCC在欧盟多年实践证明其优势确实明显,那么对其实质性内容进行借鉴便更具有必要性。 欧盟SCC事实上包含了两类数据跨境传输合同条款,一类是控制者向共同控制者传输(controller to controller),另一类则是控制者向处理者传输(controller to processor)。将境外主体细分为共同控制者和处理者两类的优势在于可将权利义务精细化。例如,在SCC的“to controller”条款中,规定了合同双方可约定由境外共同控制者响应数据主体和监管机构关于数据处理的询问,而在“to processor”条款中则未进行此种规定,原因在于processor事实上相当于境内数据控制者的机械手,一切处理活动须遵循控制者的指示,自然也没有单独响应询问的可能和必要。 展望未来对于金融数据这类专业性、敏感性强且须分级管理的数据类型,建议在以合同模式约束时可采用区分主体的方式以细分权利义务。这样,一方面可防止监管中可能发生的“一刀切”进而影响数据共享和利用,另一方面也为企业提供明确的合规路径,而非由企业低效率地自行探索法条中数据控制者和处理者的关系,导致其或者冒合规风险而侵害数据安全,或者放弃该业务而影响经营效益。
想装修、想创业,没资金怎么办?找家人、朋友又觉得不好意思,那就尝试一下个人借款吧。个人借款又称零售借款业务,经过长时间的发展,已成为一项重要的借款业务。个人借款是指银行或其他金融机构向符合借款条件的自然人发放的用于个人消费、生产经营等用途的本、外币借款。但是个人借款也是有门槛和限制的。要想申请贷款,需要满足以下基本条件:1、申请人信誉良好,征信报告无不良记录;2、申请人有稳定的工作和收入,具有按期偿还贷款本息的能力;3、申请人年满十八周岁,具有完全民事行为能力,提供有效身份证件和身份证明;4、若申请大额个人贷款,需提供抵押物;若申请信用贷款,要求申请人信用良好。总体而言,一般满足以上条件后,贷款就没什么问题了。但具体每个银行的贷款要求还是有所差别的,贷款人需要到具体的银行做相应的咨询,比如有的银行就需要贷款人提供贷款目的等。
相对于之前专栏分析的“公转私”洗钱风险,资金流向相反的“私转公”洗钱风险一样值得银行注意。 银行的私转公业务常涉及电信诈骗、非法集资、地下钱庄非法买卖外汇、虚开增值税发票及偷逃税款等洗钱上游犯罪,与公转私业务洗钱风险多来自资金流向的中间环节不同,银行私转公业务的洗钱风险,更多是涉及洗钱上游犯罪或被认定为洗钱行为的起点。 对公转私交易,不论是人民银行的规定或其他法律法规,都有较为严格的定义,但私转公业务在法律法规上几乎是一片空白,由于实务中私转公交易多是网银交易,使得银行就算要拦截也很难做到,因此银行必须对私转公业务的洗钱风险提高警觉。 银行面对“私转公”业务洗钱风险可从以下异常特征判断: 1、非法集资 如果公司账户收入大部分来自个人转账或现金存款等,与一般公司账户常见交易形态不符,或公司属于咨询公司等轻资产企业,再加上成立时间短、账户收入来自全国各地、收到的资金多为整数、资金交易规模与公司经营规模不符等可疑特征,银行就要注意是否为非法集资征兆。 实务中非法集资多为中老年人参与,如果银行发现中老年人个人账户出现定期存款或理财,在转出或出售后便立刻转汇至其他账户不在乎利息损失,或是汇款用途直接标注为投资,都要留意是否为非法集资前兆。 2、电信诈骗 利用公司账户收取电信诈骗款项,账户内资金会有快进快出、不留余额,或交易IP地址在境外等情况,这类公司多会有空壳公司特征,除了手法和非法集资类似外,电信诈骗的受害者也多以中老年人为主。 3、地下钱庄 地下钱庄从事非法买卖外汇时,由于需跨境转移资金,所涉公司多是以外贸公司为主,这类私转公交易常出现现金交易频繁,甚至会有之前专栏分析的“伪现金”交易现象,还可能有流入资金来自全国各地、公司无正常业务,或经营规模和办公面积及员工人数不符等异常特征。 4、虚开增值税发票 容易产生虚开增值税发票的行业多为医药、农产品、贵金属交易相关的贸易公司,虚开增值税发票由于要建构虚假的资金流,便会出现企业先付货款给虚开发票的公司,虚开发票的公司再将这些款项汇还给企业指定的个人账户,于是衍生出公转私的洗钱风险问题。 这类用于转移资金的个人账户,往往款项是从一家公司汇入个人账户后,便立即再汇入另一家公司,银行很容易发现个人账户只是过渡中间账户,而且个人账户资金转入的公司账户相对固定,至于转出的公司账户对象则非常多,再加上过渡的中间个人账户资金往来累计金额,往往超过一般正常个人账户,这些都是银行应该怀疑是否为虚开增值税发票的征兆。 5、偷逃税款 偷逃税款的公司常将销货收入改以个人账户收款,由于这部分收入不申报纳税,当公司需要资金时,再通过个人账户将款项汇入公司账户,形成个人借款给公司的私转公现象。类似偷逃税款的公司表面上看都是正常生产经营,但仔细核对员工人数、公司实际经营规模等,都超过会计报表上销售收入配比的规模,这也是银行可以合理怀疑私转公业务合理性的原因。 银行对私转公业务的洗钱风险防范,除了对有非法集资、电信诈骗及虚开增值税发票嫌疑的公司,须加强客户身份识别工作外,还要重点辨识该公司是否为空壳公司,对有偷逃税款嫌疑的公司,银行只能从业务或公司内部管理与营收规模比对,加强对企业日常业务的了解,关注私转公过程中的个人账户身份及这些个人账户与公司董监高间的关系。 最后,对于私转公业务中的个人账户,银行应针对部分特征人群限制网银交易金额及笔数,一旦在临柜转账交易过程中,发现该特征个人可疑,则须对交易背景进行全面了解,才能有效防范洗钱风险。 (本文作者系上海富拉凯会计师事务所主任会计师夏岚)