(三)金融數據保護和出境制度銜接較差
首先,在金融數據作為個人信息的範圍方面,內地《個人信息保護法》中的“個人信息”概念與香港《個人資料條例》和澳門《個人資料保護法》中的“個人資料”概念的範圍差別較大。大灣區內地九市依法認定的“個人信息”強調的是“已識別”和“可識別”信息,即包括個人具體身份信息和個人關聯信息,而對於敏感個人信息,依據內地《個人信息保護法》也有非常嚴格的保護要求。香港《個人資料條例》第2條規定的個人資料,是指直接或間接與在世個人有關,直接或間接地可確定有關個人身份,存在形式予以查閱及處理切實可行。澳門《個人資料保護法》規定的個人資料,則是指包括聲音、影像、識別編號及其他任何可反映資料當事人特徵,進而確定資料當事人的信息。
其次,在金融數據作為個人信息的保護義務方面,香港《個人資料條例》和澳門《個人資料保護法》均無內地《個人信息保護法》規定的“單獨同意”、“合規審計”、“影響評估”等要求,也未對指定個人信息保護負責人、處理行為等加以規定。
再次,在金融數據作為個人信息保護的法律責任方面,三地的行政處罰規定也不同。內地《個人信息保護法》規定的罰金最高,責任單位罰款可高達人民幣5000萬元或上年度營業額的5%,直接責任人可處10萬元以上100萬元以下罰款;香港《個人資料(私隱)條例》規定首次可判處第5級罰款(即罰款50000元港幣)及監禁2年,如屬持續犯罪則每日加罰1000元港幣,其後相同犯罪可處第6級罰款及監禁2年,屬持續犯罪則每日加罰2000元港幣;澳門《個人資料保護法》規定的處罰最輕,責任單位最高可處20萬澳門元罰款,但對具體責任人則無明確處罰的規定。
二、歐盟、美國金融數據流動共享的立法理念、監管模式及共性規則
(一)立法理念
1.歐盟:嚴格保護個人數據基礎上的流動與共享
歐盟於2016年頒佈、2018年生效的《通用數據保護條例》(General Data Protection Regulation,以下簡稱GDPR),是歐盟針對個人數據保護的全面性核心立法。據此,歐盟採用一部涵蓋各行業的通用法律的形式對數據開展保護,也就是說,個人金融數據與其他類型個人數據無異,同樣受到GDPR的約束。② |
