田翔宇

摘? ?要：金融數(shù)據(jù)作為特殊的數(shù)據(jù)類型，對(duì)其跨境流動(dòng)的監(jiān)管涉及數(shù)字經(jīng)濟(jì)發(fā)展、金融穩(wěn)定、國(guó)家安全、個(gè)人隱私與企業(yè)合法權(quán)益保護(hù)等諸多價(jià)值取向，其跨境流動(dòng)模式的選擇需要基于本國(guó)金融發(fā)展現(xiàn)狀和金融監(jiān)管實(shí)踐，要體現(xiàn)國(guó)家利益訴求、平衡多元價(jià)值取向。我國(guó)金融數(shù)據(jù)跨境流動(dòng)的監(jiān)管規(guī)則主要呈現(xiàn)出特殊規(guī)定與一般規(guī)定相結(jié)合、平衡多種價(jià)值的特點(diǎn)，同時(shí)存在對(duì)重要概念缺乏清晰界定、不同規(guī)則之間缺乏銜接、難以兼顧時(shí)效性的問題。在新的形勢(shì)下，我國(guó)應(yīng)當(dāng)制定統(tǒng)一協(xié)調(diào)的金融數(shù)據(jù)跨境規(guī)則，以利益平衡為導(dǎo)向進(jìn)行金融數(shù)據(jù)流動(dòng)分級(jí)分類監(jiān)管，并積極參與全球數(shù)據(jù)流動(dòng)規(guī)則制定，從而維護(hù)國(guó)家安全和利益。

關(guān)鍵詞：金融數(shù)據(jù);跨境流動(dòng);特殊規(guī)制

DOI：10.3969/j.issn.1003-9031.2021.04.007

中圖分類號(hào)：F832? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? 文章編號(hào)：1003-9031（2021）04-0051-08

一、引言

數(shù)據(jù)是一個(gè)十分寬泛的概念，由于不同行業(yè)、不同領(lǐng)域的數(shù)據(jù)治理具有極強(qiáng)的專業(yè)性，無論是國(guó)外還是國(guó)內(nèi)，對(duì)數(shù)據(jù)跨境流動(dòng)普遍采用分業(yè)監(jiān)管的模式。因金融數(shù)據(jù)的識(shí)別、分類、處理、評(píng)估都具有很強(qiáng)的專業(yè)性，我國(guó)2020年的《數(shù)據(jù)安全法（草案）》明確了金融業(yè)主管部門承擔(dān)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)，對(duì)金融數(shù)據(jù)的跨境傳輸采取特殊規(guī)制措施。信息流與資金流一樣，都是重要生產(chǎn)要素，無論是銀行、保險(xiǎn)、證券機(jī)構(gòu)，還是金融基礎(chǔ)設(shè)施，抑或是監(jiān)管機(jī)構(gòu)都有大量專業(yè)而復(fù)雜的數(shù)據(jù)流動(dòng)需求，金融數(shù)據(jù)跨境流動(dòng)監(jiān)管是金融監(jiān)管框架的一部分，由金融業(yè)主管部門制定專門規(guī)則進(jìn)行監(jiān)管，是必然的選擇。相比于大部分行業(yè)，金融行業(yè)對(duì)于數(shù)據(jù)跨境流動(dòng)的數(shù)量需求更大、速度要求更高。金融業(yè)是全球化特點(diǎn)極為突出的行業(yè)，金融機(jī)構(gòu)的全球布局和集團(tuán)化經(jīng)營(yíng)都決定了金融數(shù)據(jù)在幾乎所有經(jīng)營(yíng)場(chǎng)景下都可能涉及跨境流動(dòng)問題。對(duì)金融機(jī)構(gòu)而言，跨境支付清算、境外盡職調(diào)查、監(jiān)管信息報(bào)送、機(jī)構(gòu)風(fēng)險(xiǎn)管理、集團(tuán)數(shù)字化經(jīng)營(yíng)等場(chǎng)景都涉及海量數(shù)據(jù)的跨境問題，各國(guó)金融主管部門和監(jiān)管機(jī)構(gòu)同樣在執(zhí)法調(diào)查、反洗錢協(xié)作等領(lǐng)域存在數(shù)據(jù)傳輸?shù)男枨?。另外，金融?shù)據(jù)的跨境流動(dòng)需要平衡的利益較多。一是金融數(shù)據(jù)往往包含較多的個(gè)人和機(jī)構(gòu)客戶信息，敏感性較高、隱私性較強(qiáng)，其流動(dòng)必須保證在一國(guó)范圍內(nèi)充分保障信息的安全。二是金融機(jī)構(gòu)沉積了海量的客戶數(shù)據(jù)，網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等事件都可能會(huì)導(dǎo)致國(guó)家的金融安全和穩(wěn)定受到嚴(yán)重破壞。三是金融數(shù)據(jù)的跨境流動(dòng)又能夠創(chuàng)造巨大的經(jīng)濟(jì)價(jià)值，這對(duì)于數(shù)字經(jīng)濟(jì)的發(fā)展、經(jīng)濟(jì)全球化的推進(jìn)具有重要意義，數(shù)據(jù)流動(dòng)的規(guī)制應(yīng)明確，但不能沒有上限。四是金融機(jī)構(gòu)的經(jīng)營(yíng)單元呈現(xiàn)出全球配置的趨勢(shì)，資金流、信息流具有全球流動(dòng)的需要，合理規(guī)制金融數(shù)據(jù)跨境流動(dòng)，對(duì)于國(guó)外金融機(jī)構(gòu)參與中國(guó)金融市場(chǎng)建設(shè)，擴(kuò)大金融開放，具有重要意義。

二、金融數(shù)據(jù)跨境流動(dòng)的特殊規(guī)制思路

規(guī)制金融數(shù)據(jù)的跨境流動(dòng)，其價(jià)值基礎(chǔ)在于維護(hù)國(guó)家安全、維護(hù)金融穩(wěn)定、保護(hù)金融消費(fèi)者合法權(quán)益。在數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)本身對(duì)于金融機(jī)構(gòu)來講是極為重要的生產(chǎn)要素，數(shù)據(jù)的跨境流動(dòng)對(duì)于金融業(yè)而言創(chuàng)造的價(jià)值也是前所未有的。合理平衡多個(gè)價(jià)值訴求的手段就在于合理劃分金融數(shù)據(jù)跨境流動(dòng)的范圍、金融數(shù)據(jù)流動(dòng)的限度以及數(shù)據(jù)處理者的權(quán)利義務(wù)。

（一）美國(guó)模式：內(nèi)外二元化規(guī)制

美國(guó)作為全球信息技術(shù)和金融業(yè)最為發(fā)達(dá)的國(guó)家，對(duì)于金融數(shù)據(jù)跨境自由流動(dòng)的訴求最為強(qiáng)烈。在國(guó)際法層面，美國(guó)主導(dǎo)制定的一系列國(guó)際條約往往對(duì)金融數(shù)據(jù)的跨境流動(dòng)采取特別規(guī)定以及“原則+例外”模式，即確立締約方保障金融服務(wù)領(lǐng)域數(shù)據(jù)跨境自由流動(dòng)的義務(wù)，但也允許締約方基于一定的目的對(duì)數(shù)據(jù)的流動(dòng)進(jìn)行限制。如全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定（CPTPP）第11章金融服務(wù)章節(jié)就專門規(guī)定締約方可以基于公共政策目的，采取保護(hù)個(gè)人數(shù)據(jù)、個(gè)人隱私及個(gè)體記錄和賬戶機(jī)密的相關(guān)措施，并且可以出于審慎監(jiān)管的目的要求金融機(jī)構(gòu)指定企業(yè)作為數(shù)據(jù)接收方。

美國(guó)在國(guó)際條約和國(guó)內(nèi)立法的態(tài)度取向上呈現(xiàn)出二元化的現(xiàn)象，即內(nèi)部流動(dòng)強(qiáng)調(diào)隱私保護(hù)和主張跨境自由流動(dòng)并舉。一方面，美國(guó)在國(guó)際舞臺(tái)上持續(xù)發(fā)聲，反對(duì)嚴(yán)格規(guī)制數(shù)據(jù)的自由流動(dòng)。美國(guó)貿(mào)易代表辦公室多次在中國(guó)WTO合規(guī)報(bào)告中對(duì)中國(guó)跨境數(shù)據(jù)流動(dòng)監(jiān)管措施提出批評(píng)，指責(zé)中國(guó)對(duì)美國(guó)企業(yè)在內(nèi)的外國(guó)企業(yè)提出數(shù)據(jù)本地化要求，增加了美國(guó)企業(yè)進(jìn)入中國(guó)市場(chǎng)的難度。另一方面，美國(guó)對(duì)包括金融業(yè)在內(nèi)的重點(diǎn)行業(yè)的數(shù)據(jù)跨境流動(dòng)采取了嚴(yán)格的立法規(guī)制，限制美國(guó)本土的數(shù)據(jù)流出。但美國(guó)國(guó)內(nèi)立法的特點(diǎn)也或多或少體現(xiàn)了數(shù)據(jù)自由流動(dòng)的價(jià)值導(dǎo)向，在聯(lián)邦層面缺少針對(duì)數(shù)據(jù)跨境流動(dòng)的具體規(guī)制，而是側(cè)重于消費(fèi)者隱私保護(hù)，在各州層面進(jìn)行“精準(zhǔn)監(jiān)管”，這也進(jìn)一步凸顯了數(shù)字經(jīng)濟(jì)發(fā)展和消費(fèi)者隱私保護(hù)之間的博弈和聯(lián)動(dòng)。

在聯(lián)邦層面，美國(guó)法律對(duì)數(shù)據(jù)控制者的義務(wù)規(guī)定較為明確。《金融消費(fèi)者隱私權(quán)法》明確規(guī)定了金融機(jī)構(gòu)承擔(dān)保護(hù)消費(fèi)者隱私權(quán)的法定義務(wù)?！陡窭啄?里奇-比利雷法》（Gramm-Leach-Bliley Act，GLB Act）進(jìn)一步明確了金融機(jī)構(gòu)在處理消費(fèi)者金融信息時(shí)需要遵守的義務(wù)，包括通知、選擇、市場(chǎng)公開、安全和執(zhí)行。如金融機(jī)構(gòu)如果向第三人披露消費(fèi)者或客戶的非公開個(gè)人信息，必須通知消費(fèi)者或客戶，并且這一通知必須向消費(fèi)者告知隱私政策，賦予消費(fèi)者選擇退出的權(quán)利。2017年，紐約州的新金融條例明確規(guī)定紐約內(nèi)銀行針對(duì)任何可能危害數(shù)據(jù)的網(wǎng)絡(luò)事件需在72小時(shí)內(nèi)向金融服務(wù)部報(bào)告。此類網(wǎng)絡(luò)數(shù)據(jù)包含勒索軟件與拒絕服務(wù)攻擊在內(nèi)，銀行需有完備的網(wǎng)絡(luò)安全計(jì)劃，并雇傭首席信息安全官監(jiān)管安全程序與維護(hù)。

除了金融領(lǐng)域的立法之外，美國(guó)在外國(guó)投資國(guó)家安全審查法規(guī)中也對(duì)數(shù)據(jù)的跨境流動(dòng)做出了規(guī)定。美國(guó)《外國(guó)投資與國(guó)家安全法》（FINSA）和《外國(guó)投資風(fēng)險(xiǎn)審查現(xiàn)代化法案》（FIRRMA）賦予了美國(guó)外國(guó)投資委員會(huì)（CFIUS）審查收集美國(guó)公民個(gè)人敏感信息，并且以可能威脅美國(guó)國(guó)家安全的方式利用個(gè)人信息的投資。如果相關(guān)的投資可能涉及濫用美國(guó)公民個(gè)人信息的行為，則相關(guān)投資極有可能被CFIUS否決。

（二）歐盟模式：強(qiáng)隱私保護(hù)與接收地信息安全評(píng)估

與美國(guó)不同，歐盟將個(gè)人信息保護(hù)視為對(duì)基本權(quán)利的保護(hù)，采用人權(quán)與隱私保護(hù)先行的規(guī)制思路，在涉及歐盟公民個(gè)人信息向外部的流動(dòng)問題上，采用了接收地信息安全評(píng)估模式，從而平衡數(shù)據(jù)流動(dòng)和隱私保護(hù)的關(guān)系。接收地信息安全評(píng)估制度，也被稱為“第三國(guó)評(píng)估模式”，在允許數(shù)據(jù)向位于其他國(guó)家的個(gè)人或者組織進(jìn)行流動(dòng)之前，國(guó)家首先要對(duì)另一國(guó)的數(shù)據(jù)安全保護(hù)標(biāo)準(zhǔn)進(jìn)行評(píng)估。美國(guó)曾經(jīng)與歐盟簽訂《安全港》框架協(xié)議，使得美國(guó)公司有權(quán)通過協(xié)議接受歐盟個(gè)人信息保護(hù)法的約束，從而獲得歐盟成員方公民的個(gè)人信息數(shù)據(jù)。但安全港協(xié)議于2015年被歐洲法院宣告無效，原因就在于法院認(rèn)為美國(guó)政府對(duì)存儲(chǔ)在美國(guó)境內(nèi)服務(wù)器的數(shù)據(jù)進(jìn)行監(jiān)視和非法利用，從而使得美國(guó)無法證明自己對(duì)數(shù)據(jù)提供了充分保護(hù)。后來，美歐之間通過隱私盾協(xié)議達(dá)成了數(shù)據(jù)流動(dòng)規(guī)則的共識(shí)?！锻ㄓ脭?shù)據(jù)保護(hù)條例》（GDPR）同樣延續(xù)了歐盟以往的立法，第Ccb/234五條要求在數(shù)據(jù)傳輸中對(duì)數(shù)據(jù)接收國(guó)的數(shù)據(jù)安全保護(hù)水平進(jìn)行充分性的認(rèn)定，禁止個(gè)人數(shù)據(jù)向未確定的數(shù)據(jù)保護(hù)國(guó)家或組織進(jìn)行流動(dòng)。安全評(píng)估的內(nèi)容主要有：一是數(shù)據(jù)接收國(guó)或接收地的法治發(fā)展水平，如是否已經(jīng)制定個(gè)人數(shù)據(jù)保護(hù)的專門法規(guī)、是否有明晰的數(shù)據(jù)跨境流動(dòng)監(jiān)管規(guī)則;二是是否存在專門的數(shù)據(jù)保護(hù)機(jī)關(guān);三是該國(guó)所締結(jié)或參加的數(shù)據(jù)保護(hù)國(guó)際條約的情況。同時(shí)，GDPR第三章也專門規(guī)定了多項(xiàng)數(shù)據(jù)主體權(quán)利，并規(guī)定控制者應(yīng)當(dāng)按照規(guī)定幫助數(shù)據(jù)主體行使權(quán)利。數(shù)據(jù)主體權(quán)利主要細(xì)化為數(shù)據(jù)的訪問權(quán)、糾正權(quán)、擦除權(quán)（又稱“被遺忘權(quán)”）、限制處理權(quán)、拒絕權(quán)、自主決定權(quán)等。

在給予個(gè)人金融信息強(qiáng)保護(hù)的同時(shí)，歐盟也注重內(nèi)部生產(chǎn)要素的自由流動(dòng)，以此來推動(dòng)統(tǒng)一大市場(chǎng)的構(gòu)建。2015年，歐盟內(nèi)部批準(zhǔn)的《關(guān)于內(nèi)部市場(chǎng)的支付服務(wù)指令（第2015/2366號(hào)）》規(guī)定，銀行在客戶明示同意的情況下應(yīng)當(dāng)將客戶信息開放給第三方支付服務(wù)商，在審慎監(jiān)管的情況下，也允許由賬戶信息服務(wù)商跨境提供服務(wù)。

可見，美歐的金融數(shù)據(jù)流動(dòng)總體上呈現(xiàn)出開放和自由的趨勢(shì)，但這樣的自由并非無條件、無限度，也絲毫不會(huì)削弱其對(duì)公民個(gè)人隱私的保護(hù)。無論是美國(guó)在國(guó)際法上對(duì)數(shù)據(jù)自由流動(dòng)的主張還是歐盟對(duì)內(nèi)部金融信息流動(dòng)的保障，抑或是前者通過國(guó)家安全審查限制數(shù)據(jù)出境和后者對(duì)公民隱私權(quán)的強(qiáng)力保護(hù)，歸根結(jié)底，各國(guó)都是基于自身數(shù)據(jù)保護(hù)能力和數(shù)字經(jīng)濟(jì)發(fā)展的國(guó)家利益來設(shè)計(jì)數(shù)據(jù)流動(dòng)規(guī)則，從而確保自身所重視的價(jià)值利益被妥善平衡。

三、我國(guó)金融數(shù)據(jù)跨境流動(dòng)規(guī)制特征

（一）金融特別規(guī)定嵌入網(wǎng)絡(luò)安全一般規(guī)定

我國(guó)對(duì)于金融數(shù)據(jù)跨境流動(dòng)的特別規(guī)制采用的是“特殊規(guī)定+一般規(guī)定”的模式。一方面，金融數(shù)據(jù)的處理者必須遵守金融管理部門制定的數(shù)據(jù)流動(dòng)規(guī)則;另一方面，相關(guān)金融機(jī)構(gòu)也必須遵守網(wǎng)信部門關(guān)于數(shù)據(jù)跨境流動(dòng)的一般性規(guī)定。

我國(guó)金融管理部門對(duì)于個(gè)人金融數(shù)據(jù)最初采取較為嚴(yán)格的本地化存儲(chǔ)要求。2011年人民銀行《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》第六條規(guī)定，在中國(guó)境內(nèi)收集的個(gè)人金融信息的儲(chǔ)存、處理和分析應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行，除另有規(guī)定外，銀行業(yè)金融機(jī)構(gòu)不得向境外提供境內(nèi)個(gè)人金融信息。銀保監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)反洗錢和反恐怖融資管理辦法》規(guī)定，對(duì)依法履行反洗錢和反恐怖融資義務(wù)獲得的客戶身份資料和交易信息，非依法律、行政法規(guī)規(guī)定，銀行業(yè)金融機(jī)構(gòu)不得向境外提供。《征信業(yè)管理?xiàng)l例》也規(guī)定，征信機(jī)構(gòu)在中國(guó)境內(nèi)采集的信息的整理、保存和加工，應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行;向境外組織或個(gè)人提供信息，應(yīng)當(dāng)遵守法律及有關(guān)規(guī)定。因?yàn)檎餍乓矊儆谇拔慕缍ǖ膫€(gè)人金融信息的一種，我國(guó)法律對(duì)我國(guó)境內(nèi)收集的個(gè)人金融數(shù)據(jù)采用的是原則上進(jìn)行本地存儲(chǔ)和處理，例外情況下才能向境外提供。

2020年公開征求意見的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》是較為全面的金融數(shù)據(jù)跨境流動(dòng)規(guī)則，盡管其只是行業(yè)技術(shù)規(guī)范，但明確了個(gè)人金融信息本地化存儲(chǔ)的原則，并規(guī)定了跨境流動(dòng)的情形、接收方、數(shù)據(jù)主體權(quán)利、數(shù)據(jù)處理者義務(wù)、程序等事項(xiàng)。主要內(nèi)容如下：數(shù)據(jù)的傳輸要符合“因業(yè)務(wù)需要，確需向境外機(jī)構(gòu)傳輸”;數(shù)據(jù)接收方應(yīng)當(dāng)是總公司、母公司或分公司、子公司及其他為完成該業(yè)務(wù)所必需的關(guān)聯(lián)機(jī)構(gòu);符合國(guó)家法律法規(guī)及行業(yè)主管部門有關(guān)規(guī)定;獲得個(gè)人金融信息主體明示同意;應(yīng)依據(jù)國(guó)家、行業(yè)有關(guān)部門制定的辦法與標(biāo)準(zhǔn)進(jìn)行安全評(píng)估，確保境外機(jī)構(gòu)數(shù)據(jù)安全保護(hù)能力達(dá)到國(guó)家、行業(yè)有關(guān)部門與金融業(yè)機(jī)構(gòu)的安全要求;應(yīng)與境外機(jī)構(gòu)通過簽訂協(xié)議、現(xiàn)場(chǎng)核查等方式，明確并監(jiān)督境外機(jī)構(gòu)有效履行個(gè)人金融信息保密、數(shù)據(jù)刪除、案件協(xié)查等職責(zé)義務(wù)。

金融數(shù)據(jù)的跨境傳輸，除了要遵守金融行業(yè)規(guī)定，還必須遵守網(wǎng)信部門對(duì)于數(shù)據(jù)跨境流動(dòng)的一般規(guī)定，這也正是上述技術(shù)規(guī)范中所提到的“符合國(guó)家法律法規(guī)”。《網(wǎng)絡(luò)安全法》第三十七條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估。從該條規(guī)定我們至少可以看出，《網(wǎng)絡(luò)安全法》中的數(shù)據(jù)本地化存儲(chǔ)要求針對(duì)的是“關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營(yíng)者”。但《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》（以下簡(jiǎn)稱《辦法（征求意見稿）》）并沒有全部沿用《網(wǎng)絡(luò)安全法》的規(guī)定，而是將數(shù)據(jù)本地化及安全評(píng)估的責(zé)任主體從《網(wǎng)絡(luò)安全法》規(guī)定的“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者”擴(kuò)展為全部的網(wǎng)絡(luò)運(yùn)營(yíng)者。

對(duì)于“個(gè)人信息”的含義，《辦法（征求意見稿）》中規(guī)定，個(gè)人信息的內(nèi)涵有以下特點(diǎn)：以電子或其他方式記錄;單獨(dú)或與其他信息結(jié)合起來即可識(shí)別自然人的個(gè)人身份，并進(jìn)行了不完全列舉 。而對(duì)于“重要數(shù)據(jù)”，《網(wǎng)絡(luò)安全法》并未對(duì)其具體內(nèi)涵進(jìn)行界定，《辦法（征求意見稿）》也僅指出重要數(shù)據(jù)與國(guó)家安全、經(jīng)濟(jì)發(fā)展、社會(huì)公共利益密切相關(guān)。信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（“信安標(biāo)委”）發(fā)布的第二版《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南（征求意見稿）》（以下簡(jiǎn)稱《指南（征求意見稿）》）則進(jìn)一步對(duì)重要信息的含義進(jìn)行了解釋?！吨改希ㄕ髑笠庖姼澹分械摹爸匾獢?shù)據(jù)”有以下特征：不涉及國(guó)家秘密;與國(guó)家安全、經(jīng)濟(jì)發(fā)展和公共利益密切相關(guān);數(shù)據(jù)的濫用、篡改可能導(dǎo)致一系列嚴(yán)重后果 。金融領(lǐng)域“重要數(shù)據(jù)”的含義體現(xiàn)在該文件的附錄 A（規(guī)范性目錄）第（七）條，即數(shù)據(jù)的泄露足以“影響或危害國(guó)家經(jīng)濟(jì)秩序和金融安全”。但總的來說，對(duì)重要數(shù)據(jù)的規(guī)定目前還相對(duì)原則化，對(duì)數(shù)據(jù)處理者的預(yù)期保護(hù)并不足夠充分。

（二）體現(xiàn)價(jià)值平衡

正如《網(wǎng)絡(luò)安全法》第一條所言，數(shù)據(jù)立法的目的在于維護(hù)國(guó)家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，并促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展。無論是國(guó)際條約還是國(guó)內(nèi)立法，我國(guó)在金融數(shù)據(jù)領(lǐng)域的數(shù)據(jù)安全立法，體現(xiàn)了我國(guó)政府對(duì)于平衡國(guó)家安全、數(shù)據(jù)主權(quán)、金融穩(wěn)定、個(gè)人和企業(yè)權(quán)益保護(hù)并保障金融開放與發(fā)展的探索與努力。

我國(guó)參與締結(jié)的自由貿(mào)易協(xié)定和雙邊投資協(xié)定中，并無太多涉及金融數(shù)據(jù)流動(dòng)的規(guī)則條款。2020年簽署的《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（RCEP）第八章附件一規(guī)定，締約方不得采取措施阻止其領(lǐng)土內(nèi)的金融服務(wù)提供者為進(jìn)行日常營(yíng)運(yùn)所需的信息轉(zhuǎn)移，包括通過電子方式或其它方式進(jìn)行數(shù)據(jù)轉(zhuǎn)移，但并不阻礙締約方的監(jiān)管機(jī)構(gòu)出于監(jiān)管或?qū)徤髟蛞笃漕I(lǐng)土內(nèi)的金融服務(wù)提供者遵守與數(shù)據(jù)管理、存儲(chǔ)和系統(tǒng)維護(hù)、保留在其領(lǐng)土內(nèi)的記錄副本相關(guān)的法律和法規(guī)，也不妨礙締約方保護(hù)個(gè)人數(shù)據(jù)、個(gè)人隱私，以及個(gè)人記錄和帳戶機(jī)密性的權(quán)利，但條件是此類措施不是為了規(guī)避締約方在該條約項(xiàng)下的義務(wù)?？梢?，我國(guó)已經(jīng)逐步開始借鑒CPTPP中的數(shù)據(jù)流動(dòng)規(guī)制思路，即確保日常運(yùn)營(yíng)需要的數(shù)據(jù)自由流動(dòng)為原則，但又有條件地授予各國(guó)監(jiān)管機(jī)構(gòu)制定規(guī)則來限制數(shù)據(jù)流動(dòng)的權(quán)利。盡管這一條款的規(guī)定并不足夠具體，但這一規(guī)制模式將會(huì)對(duì)后續(xù)我國(guó)的國(guó)內(nèi)立法產(chǎn)生較大影響。

我國(guó)的立法模式總體上也體現(xiàn)出了對(duì)個(gè)人權(quán)利、國(guó)家安全與社會(huì)公共利益、數(shù)字經(jīng)濟(jì)發(fā)展的兼顧。《網(wǎng)絡(luò)安全法》第三十七條所針對(duì)的數(shù)據(jù)是在中國(guó)境內(nèi)收集和產(chǎn)生的“個(gè)人信息”和“重要數(shù)據(jù)”。因此，與某些僅關(guān)注個(gè)人信息跨境流動(dòng)的國(guó)際規(guī)則不同，《網(wǎng)絡(luò)安全法》第37條對(duì)數(shù)據(jù)的保護(hù)是一種“雙元保護(hù)”，不僅局限于“個(gè)人信息”，還包括其他的“重要數(shù)據(jù)”。此外，《網(wǎng)絡(luò)安全法》第三十一條明確了金融機(jī)構(gòu)屬于關(guān)鍵信息基礎(chǔ)設(shè)施，要進(jìn)行重點(diǎn)保護(hù)?！毒W(wǎng)絡(luò)安全法》第三十七條采用的數(shù)據(jù)流動(dòng)限制模式為“原則+例外”模式，即以個(gè)人信息和重要數(shù)據(jù)的本地化存儲(chǔ)為原則，安全評(píng)估為例外。原則上，滿足前述條件的個(gè)人信息和重要數(shù)據(jù)都應(yīng)當(dāng)在中國(guó)境內(nèi)存儲(chǔ)，但如果確實(shí)需要向境外進(jìn)行傳輸?shù)模瑧?yīng)當(dāng)按照規(guī)定進(jìn)行安全評(píng)估。安全評(píng)估的具體內(nèi)容和措施并未在該法中詳細(xì)規(guī)定，而是采用了“另行規(guī)定”的處理方式。2019年發(fā)布的《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》對(duì)個(gè)人信息出境的評(píng)估做出了更為細(xì)化的規(guī)定，審查的內(nèi)容既包括數(shù)據(jù)流動(dòng)過程中對(duì)私主體權(quán)利的保護(hù)情況，也包括對(duì)國(guó)家安全和社會(huì)公共利益是否會(huì)存在影響。

四、存在的問題

（一）缺乏對(duì)重要數(shù)據(jù)等關(guān)鍵概念的清晰界定

前文提到，我國(guó)數(shù)據(jù)跨境流動(dòng)監(jiān)管體系的基本特點(diǎn)之一是個(gè)人信息和重要數(shù)據(jù)的“雙元保護(hù)”，但在立法進(jìn)度上，對(duì)個(gè)人信息出境的規(guī)定明顯快于重要數(shù)據(jù)。如2017年有關(guān)部門已經(jīng)就《辦法（征求意見稿）》公開征求意見，后續(xù)雖未出臺(tái)正式規(guī)定，但在2019年出臺(tái)《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》并征求意見。盡管2017年《指南（征求意見稿）》并未正式公布生效，但卻是唯一一部數(shù)據(jù)出境的國(guó)家標(biāo)準(zhǔn)指南征求意見稿。該征求意見稿所體現(xiàn)出的對(duì)重要數(shù)據(jù)的定義取向值得注意，但其對(duì)于金融領(lǐng)域重要數(shù)據(jù)的定義過于寬泛，包括了個(gè)人財(cái)產(chǎn)信息、賬戶信息等。這與個(gè)人金融信息高度重疊，實(shí)質(zhì)上涵蓋了金融機(jī)構(gòu)運(yùn)營(yíng)中的絕大多數(shù)數(shù)據(jù)類型。此外，現(xiàn)有的規(guī)則確立了數(shù)據(jù)跨境流動(dòng)的“必要性”原則，但也沒有對(duì)何為“因業(yè)務(wù)需要確需向境外提供”的情形進(jìn)行具體類型化，不利于為數(shù)據(jù)處理者提供合理預(yù)期。

（二）不同規(guī)則之間尚未做到清晰、協(xié)調(diào)、統(tǒng)一

《辦法（征求意見稿）》提出所有網(wǎng)絡(luò)運(yùn)營(yíng)者在向境外提供個(gè)人信息和重要數(shù)據(jù)時(shí)都需要進(jìn)行安全評(píng)估，這實(shí)際上使得《網(wǎng)絡(luò)安全法》中“關(guān)鍵信息基礎(chǔ)設(shè)施”的概念已經(jīng)失去了應(yīng)有的意義?！秱€(gè)人信息保護(hù)法（草案）》明確了本人和個(gè)人信息處理者的權(quán)利義務(wù)、個(gè)人數(shù)據(jù)跨境提供的規(guī)則。首先，個(gè)人信息處理者應(yīng)當(dāng)具備以下四項(xiàng)條件之一才能進(jìn)行跨境傳輸：通過網(wǎng)信部門的安全評(píng)估;經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證;與境外接收方訂立合同并監(jiān)督其活動(dòng)達(dá)到中國(guó)法的保護(hù)標(biāo)準(zhǔn);法律、行政法規(guī)規(guī)定的其他條件。此外，數(shù)據(jù)處理者必須向個(gè)人告知境外接收方的身份、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使該法規(guī)定權(quán)利的方式等事項(xiàng)，并取得個(gè)人的單獨(dú)同意。這一草案提供的解決思路是值得借鑒的，即采用靈活的模式，讓在評(píng)估、認(rèn)證、合同保護(hù)等措施中滿足其一。但如果按照目前將金融機(jī)構(gòu)全部納入關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，那么就全部需要經(jīng)過網(wǎng)信部門的安全評(píng)估，這使得“四選一”的靈活模式不能發(fā)揮應(yīng)有的作用。因此，多個(gè)數(shù)據(jù)流動(dòng)規(guī)范之間的是何適用關(guān)系仍舊需要繼續(xù)明確。當(dāng)然，目前缺乏銜接和協(xié)調(diào)的規(guī)則大部分都是征求意見稿，并未真正執(zhí)行，仍有調(diào)整的空間，因此數(shù)據(jù)流動(dòng)立法既不能停滯不前，讓規(guī)則停留在宏觀的角度，也不能急于出臺(tái)而忽視了規(guī)范之間的協(xié)調(diào)統(tǒng)一。

（三）難以兼顧金融數(shù)據(jù)流動(dòng)對(duì)時(shí)效性的特殊需求

即便不對(duì)個(gè)人金融信息的出境安全評(píng)估做出特殊規(guī)定，金融數(shù)據(jù)的出境也必須符合個(gè)人信息出境的一般規(guī)定。2019年征求意見的《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》提出的方案是數(shù)據(jù)處理者向省級(jí)網(wǎng)信部門提交安全評(píng)估材料，安全評(píng)估應(yīng)當(dāng)在15個(gè)工作日內(nèi)完成，情況復(fù)雜的可以適當(dāng)延長(zhǎng)。這的確使得個(gè)人數(shù)據(jù)出境的程序變得清楚，但對(duì)于金融行業(yè)而言卻并不實(shí)用，因?yàn)榻鹑谑袌?chǎng)信息瞬息萬變，金融風(fēng)險(xiǎn)處置、經(jīng)營(yíng)管理等操作對(duì)于數(shù)據(jù)的時(shí)效性要求很強(qiáng)，15個(gè)工作日的評(píng)估期限并不能夠滿足要求。退一步講，在現(xiàn)有的制度下任何的個(gè)人金融數(shù)據(jù)都需要滿足安全評(píng)估要求，也使得評(píng)估缺乏針對(duì)性，一定程度上犧牲了效率，容易造成金融數(shù)字壁壘。對(duì)于個(gè)人數(shù)據(jù)而言，金融管理部門的邏輯傾向于壓實(shí)數(shù)據(jù)處理者的責(zé)任，嘗試兼顧數(shù)據(jù)流動(dòng)的便利性和安全性。網(wǎng)信部門的監(jiān)管思路則更應(yīng)將公共利益和個(gè)人保護(hù)放在一起，以安全為首要出發(fā)點(diǎn)制定規(guī)則，但不可避免地忽視了二者之間價(jià)值取向保護(hù)的不同，一定程度上難以兼顧效率。

五、金融數(shù)據(jù)跨境流動(dòng)規(guī)制模式的改進(jìn)建議

（一）制定統(tǒng)一的金融數(shù)據(jù)跨境流動(dòng)特殊規(guī)則

隨著數(shù)字金融的發(fā)展和金融機(jī)構(gòu)的全球布局，金融業(yè)數(shù)據(jù)的跨境流動(dòng)規(guī)模呈現(xiàn)出爆炸性增長(zhǎng)。對(duì)金融數(shù)據(jù)跨境流動(dòng)的規(guī)制，本質(zhì)上是公權(quán)力對(duì)金融經(jīng)濟(jì)活動(dòng)進(jìn)行監(jiān)管和干預(yù)，為了提升市場(chǎng)效率和透明度，這樣的干預(yù)應(yīng)當(dāng)力求做到協(xié)調(diào)統(tǒng)一。

一是注重不同部門規(guī)則之間的協(xié)調(diào)。我國(guó)網(wǎng)絡(luò)安全立法和金融數(shù)據(jù)立法起步較晚，目前已經(jīng)形成“一般規(guī)定+特殊規(guī)定”的模式。但總體而言，由于分業(yè)監(jiān)管的歷史原因，針對(duì)金融行業(yè)數(shù)據(jù)流動(dòng)的專門規(guī)定較為分散，且互相之間并未實(shí)現(xiàn)合理銜接。我國(guó)金融數(shù)據(jù)跨境流動(dòng)規(guī)則的構(gòu)建，應(yīng)當(dāng)在數(shù)據(jù)流動(dòng)整體框架之下賦予人民銀行、銀保監(jiān)會(huì)、外管局等機(jī)構(gòu)制定統(tǒng)一金融數(shù)據(jù)流動(dòng)規(guī)則的權(quán)限，構(gòu)建起清晰完整、層級(jí)分明的數(shù)據(jù)規(guī)則體系，并且做好與《網(wǎng)絡(luò)安全法》及其配套規(guī)則的銜接。如在《個(gè)人信息保護(hù)法（草案）》中就提到法律、行政法規(guī)和國(guó)家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評(píng)估的，從其規(guī)定，這實(shí)際上為金融業(yè)這類數(shù)據(jù)流動(dòng)時(shí)效性要求較高的行業(yè)提供了可能的便利條件。

二是加快完善金融領(lǐng)域“重要數(shù)據(jù)”跨境流動(dòng)規(guī)則。我國(guó)對(duì)重要數(shù)據(jù)的界定不夠明晰，與個(gè)人數(shù)據(jù)存在重疊情況且相關(guān)出境規(guī)則缺失。既然采用了個(gè)人信息和重要數(shù)據(jù)“雙元保護(hù)”的模式，那么就應(yīng)該在金融領(lǐng)域也將這一思路貫徹到底。要進(jìn)一步明確金融領(lǐng)域重要數(shù)據(jù)的流動(dòng)程序，合理界定重要數(shù)據(jù)的范圍。目前金融業(yè)重要數(shù)據(jù)的定義采用的是損害評(píng)估的方法，指的是泄露足以“影響或危害國(guó)家經(jīng)濟(jì)秩序和金融安全”的數(shù)據(jù)。因此，應(yīng)當(dāng)采取限縮解釋的方法，將重要數(shù)據(jù)嚴(yán)格限制在關(guān)乎保護(hù)公共利益、國(guó)家安全和金融安全的范圍內(nèi)。如交易場(chǎng)所、登記結(jié)算系統(tǒng)的數(shù)據(jù)及商業(yè)性金融機(jī)構(gòu)中足以影響系統(tǒng)性安全的數(shù)據(jù)庫等，避免將數(shù)量有限的、僅關(guān)乎個(gè)人利益、商業(yè)性利益的數(shù)據(jù)納入重要數(shù)據(jù)的范圍。在立法技術(shù)上，則可以沿用采用“部門規(guī)章+技術(shù)指南”方式，逐步細(xì)化，從而給數(shù)據(jù)處理者準(zhǔn)確的預(yù)期。

三是關(guān)注當(dāng)前數(shù)據(jù)處理者范圍擴(kuò)張的趨勢(shì)。由于我國(guó)金融數(shù)據(jù)跨境流動(dòng)既要接受金融業(yè)的特殊監(jiān)管，又要遵守網(wǎng)絡(luò)安全的一般規(guī)定，因此哪些機(jī)構(gòu)適用金融業(yè)特殊監(jiān)管就至關(guān)重要。除了持牌金融機(jī)構(gòu)以外，我國(guó)大量的金融科技公司和支付機(jī)構(gòu)也同樣從事著個(gè)人金融數(shù)據(jù)的收集、處理活動(dòng)。因此，本文認(rèn)為應(yīng)當(dāng)牢固把握數(shù)據(jù)處理的金融屬性，正如采用《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》中的思路，將所有從事金融信息處理的相關(guān)機(jī)構(gòu)全部納入監(jiān)管，從而合理識(shí)別數(shù)據(jù)處理者，實(shí)現(xiàn)從行業(yè)監(jiān)管到行為監(jiān)管。

（二）用利益平衡思維進(jìn)行分層分類監(jiān)管

要區(qū)分個(gè)人信息和重要數(shù)據(jù)的流動(dòng)規(guī)則，按照數(shù)據(jù)種類、數(shù)據(jù)用途進(jìn)行精細(xì)化評(píng)估。個(gè)人和企業(yè)客戶信息基于商業(yè)用途的流動(dòng)，強(qiáng)調(diào)數(shù)據(jù)主體權(quán)利和接收地信息安全狀況評(píng)估。對(duì)出于監(jiān)管原因以及重要數(shù)據(jù)的出境，則應(yīng)當(dāng)以國(guó)家間金融監(jiān)管協(xié)調(diào)機(jī)制為基礎(chǔ)進(jìn)行約定?！缎畔踩夹g(shù)個(gè)人信息安全規(guī)范》采用定義+列舉方式，明確了個(gè)人信息和個(gè)人敏感信息的區(qū)別。對(duì)個(gè)人敏感信息，要采取加密、分開存儲(chǔ)、摘要存儲(chǔ)等方式進(jìn)行存儲(chǔ)和傳輸。2020年央行發(fā)布的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》以信息遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更后所產(chǎn)生的影響和危害為標(biāo)準(zhǔn)，將個(gè)人金融信息按敏感程度從高到低分為C3、C2、C1三個(gè)類別，明確提到應(yīng)根據(jù)個(gè)人金融信息的不同類別，采用技術(shù)手段保證個(gè)人金融信息的存儲(chǔ)安全，但并未涉及數(shù)據(jù)在跨境傳輸?shù)膯栴}上有何不同。因此，在對(duì)個(gè)人信息和重要數(shù)據(jù)進(jìn)行評(píng)級(jí)的同時(shí)，也應(yīng)當(dāng)為不同層級(jí)數(shù)據(jù)設(shè)置不同出境程序，從而實(shí)現(xiàn)數(shù)據(jù)出境的精準(zhǔn)化監(jiān)管。

之所以對(duì)金融領(lǐng)域個(gè)人信息、重要數(shù)據(jù)進(jìn)行分級(jí)分類監(jiān)管，分別施策，正是因?yàn)閮深悢?shù)據(jù)所代表的利益價(jià)值不同，對(duì)于商業(yè)領(lǐng)域的私主體權(quán)利，很難斷言其直接影響金融安全與穩(wěn)定，自然不適合用維護(hù)社會(huì)公共利益、國(guó)家安全的方式來保護(hù)，而應(yīng)更多地采用強(qiáng)化數(shù)據(jù)主體權(quán)利、督促數(shù)據(jù)處理者完善自我監(jiān)督機(jī)制的方式進(jìn)行保護(hù)。此外，為了平衡安全與效率，我國(guó)也可以參照國(guó)際經(jīng)驗(yàn)，對(duì)安全港協(xié)議、白名單等工具進(jìn)行大膽嘗試。

（三）積極參與國(guó)際數(shù)據(jù)流動(dòng)規(guī)則構(gòu)建

國(guó)家利益的多樣性，導(dǎo)致了各國(guó)國(guó)內(nèi)金融數(shù)據(jù)立法的多元化和國(guó)際協(xié)調(diào)機(jī)制的碎片化。2020年我國(guó)政府提出的《全球數(shù)據(jù)安全倡議》呼吁各國(guó)應(yīng)要求企業(yè)嚴(yán)格遵守所在國(guó)法律，不得要求本國(guó)企業(yè)將境外產(chǎn)生、獲取的數(shù)據(jù)存儲(chǔ)在境內(nèi)。未經(jīng)他國(guó)法律允許不得直接向企業(yè)或個(gè)人調(diào)取位于他國(guó)的數(shù)據(jù)。各國(guó)如因打擊犯罪等執(zhí)法需要跨境調(diào)取數(shù)據(jù)，應(yīng)通過司法協(xié)助渠道或其他相關(guān)多雙邊協(xié)議解決。國(guó)家間締結(jié)跨境調(diào)取數(shù)據(jù)雙邊協(xié)議，不得侵犯第三國(guó)司法主權(quán)和數(shù)據(jù)安全，這也是我國(guó)近年來在國(guó)際層面上提出數(shù)據(jù)安全和流動(dòng)主張的典型。

我國(guó)實(shí)際上已經(jīng)初步嘗試將個(gè)人信息出境的目的按照業(yè)務(wù)需要和執(zhí)法司法原因進(jìn)行了區(qū)分。《個(gè)人信息保護(hù)法（草案）》第四十一條規(guī)定，因國(guó)際司法協(xié)助或行政執(zhí)法協(xié)助需要向境外提供個(gè)人信息的，應(yīng)當(dāng)經(jīng)過有關(guān)主管部門批準(zhǔn)。而因業(yè)務(wù)需要向境外提供的，則并不需要主管部門進(jìn)行批準(zhǔn)，這正是我國(guó)司法主權(quán)在數(shù)據(jù)流動(dòng)領(lǐng)域的體現(xiàn)。《數(shù)據(jù)安全法（草案）》第三十三條也提到，境外執(zhí)法機(jī)構(gòu)要求調(diào)取存儲(chǔ)于中華人民共和國(guó)境內(nèi)的數(shù)據(jù)的，有關(guān)組織、個(gè)人應(yīng)當(dāng)向有關(guān)主管機(jī)關(guān)報(bào)告，獲得批準(zhǔn)后方可提供。中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定對(duì)外國(guó)執(zhí)法機(jī)構(gòu)調(diào)取境內(nèi)數(shù)據(jù)有規(guī)定的，依照其規(guī)定。在跨境執(zhí)法與司法協(xié)助的事項(xiàng)上，需要保護(hù)的利益是國(guó)家主權(quán)和安全，因此應(yīng)當(dāng)主要在國(guó)際法層面上采用條約等方式來解決。當(dāng)前我國(guó)所締結(jié)的國(guó)際條約中，有關(guān)雙邊或多邊數(shù)據(jù)流動(dòng)的條款較少，金融合作機(jī)制之下有關(guān)金融數(shù)據(jù)流動(dòng)的特殊條款也較少，因此需要我國(guó)更加積極參與全球數(shù)據(jù)流動(dòng)規(guī)則的構(gòu)建，強(qiáng)化國(guó)際協(xié)調(diào)，維護(hù)國(guó)家數(shù)據(jù)主權(quán)和國(guó)家利益，促進(jìn)金融數(shù)據(jù)高效安全流動(dòng)。

（責(zé)任編輯：孟潔）

參考文獻(xiàn)：

[1]劉桂平.數(shù)字化經(jīng)營(yíng)：商業(yè)銀行的選擇[N].經(jīng)濟(jì)日?qǐng)?bào)，2020-10-13.

[2]馬蘭.金融數(shù)據(jù)跨境流動(dòng)規(guī)制的核心問題和中國(guó)因應(yīng)[J].國(guó)際法研究，2020（3）：82-101.

[3]李偉.我國(guó)金融數(shù)據(jù)跨境流動(dòng)規(guī)則建設(shè)的思考與建議[J].中國(guó)銀行業(yè)，2020（1）：41-44.

[4]王遠(yuǎn)志.我國(guó)銀行金融數(shù)據(jù)跨境流動(dòng)的法律規(guī)制[J].金融監(jiān)管研究，2020（1）：51-65.

[5]孫方江.跨境數(shù)據(jù)流動(dòng)：數(shù)字經(jīng)濟(jì)下的全球博弈與中國(guó)選擇[J].西南金融，2020（1）：3-13.

[6]馬其家，李曉楠.論我國(guó)數(shù)據(jù)跨境流動(dòng)監(jiān)管規(guī)則的構(gòu)建[J].法治研究，2021（1）：92-102.

[7]程紅星，王超.金融市場(chǎng)基礎(chǔ)設(shè)施數(shù)據(jù)跨境流動(dòng)法律問題研究[J].證券法律評(píng)論，2019（00）：180-190.

[8]姚前.數(shù)據(jù)跨境流動(dòng)的制度建設(shè)與技術(shù)支撐[J].中國(guó)金融，2020（22）：27-29.

[9]于春敏.金融隱私保護(hù)政策“標(biāo)準(zhǔn)化”：美國(guó)經(jīng)驗(yàn)及對(duì)我國(guó)的啟示[J].中共福建省委黨校學(xué)報(bào)，2017（8）：88-94.