我國個(gè)人金融信息跨境流動(dòng)的促進(jìn)與規(guī)制路徑

卓子寒 王一楠 全婉晴 呂欣潤

1(國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 北京 100096)

2(北京德恒律師事務(wù)所 北京 100033)

(zzh@cert.org.cn)

隨著數(shù)字經(jīng)濟(jì)的發(fā)展，互聯(lián)網(wǎng)技術(shù)和新興科技為金融行業(yè)注入新動(dòng)力，有效增加和完善金融產(chǎn)品供給，降低金融服務(wù)成本，促進(jìn)金融產(chǎn)品創(chuàng)新.依托互聯(lián)網(wǎng)金融大數(shù)據(jù)，國家可有效開展實(shí)時(shí)監(jiān)管，維護(hù)金融安全和穩(wěn)定.近年，我國金融監(jiān)管強(qiáng)化趨勢(shì)放緩[1]，表明我國在完善法律制度規(guī)范的同時(shí)，不斷加速金融領(lǐng)域市場(chǎng)化改革和改革開放的步伐.

當(dāng)前，全球互聯(lián)網(wǎng)金融服務(wù)和金融產(chǎn)品蓬勃發(fā)展，金融業(yè)務(wù)涉及的個(gè)人金融信息跨境流動(dòng)呈現(xiàn)場(chǎng)景多樣化、傳輸頻次高的特點(diǎn).相較于由銀行主導(dǎo)的傳統(tǒng)跨境場(chǎng)景，在新興場(chǎng)景中個(gè)人金融信息處理者范圍愈發(fā)廣泛，例如支付寶和微信等支付平臺(tái)的出現(xiàn)，占據(jù)了支付領(lǐng)域前臺(tái)位置，而將銀行置于后端，個(gè)人消費(fèi)記錄和支付信息率先被支付平臺(tái)獲得[2].境外數(shù)據(jù)接收方范圍也不斷擴(kuò)大，例如境外金融科技公司、數(shù)據(jù)服務(wù)商、大數(shù)據(jù)公司等，可通過合規(guī)方式接收境內(nèi)金融機(jī)構(gòu)或持有個(gè)人金融信息的公司的數(shù)據(jù).此外，在審慎監(jiān)管需求下，各國將要求數(shù)字貨幣全面配合反洗錢、反恐融資與客戶隱私監(jiān)管要求，新的個(gè)人金融信息跨境實(shí)踐不斷出現(xiàn).

隨著我國數(shù)字經(jīng)濟(jì)的快速發(fā)展和“走出去”發(fā)展戰(zhàn)略的深入實(shí)施，個(gè)人金融信息因其對(duì)個(gè)人、國家的特殊性而愈發(fā)凸顯其價(jià)值，如何統(tǒng)籌國際金融業(yè)務(wù)中數(shù)據(jù)跨境流動(dòng)的安全與發(fā)展，已成為網(wǎng)絡(luò)空間安全的前瞻研究領(lǐng)域，個(gè)人金融信息跨境流動(dòng)的保護(hù)與規(guī)制正在我國數(shù)據(jù)安全法律土壤中孕育與生長(zhǎng)[3-4].

1 個(gè)人金融信息跨境流動(dòng)規(guī)制需要

個(gè)人金融信息具有特殊性，既要保護(hù)又要共享，在跨越法域的流動(dòng)中需要進(jìn)行合理規(guī)制.

1.1 個(gè)人金融信息的特殊性

個(gè)人金融信息兼具私權(quán)益和公權(quán)益雙重屬性，私權(quán)益屬性可分為精神性權(quán)益屬性和財(cái)產(chǎn)性權(quán)益屬性.此外，為滿足國家監(jiān)管和金融業(yè)務(wù)開展，個(gè)人需讓渡一部分信息權(quán)利給國家，由此體現(xiàn)其公權(quán)益屬性.

1.1.1 私權(quán)益屬性

個(gè)人金融信息通常出現(xiàn)于個(gè)人向金融機(jī)構(gòu)提供信息時(shí)，或在金融活動(dòng)中產(chǎn)生.個(gè)人金融信息屬于個(gè)人信息，適用于我國對(duì)個(gè)人信息權(quán)益的界定.《中華人民共和國民法典》(簡(jiǎn)稱《民法典》)中將個(gè)人信息權(quán)益作為一項(xiàng)民事權(quán)益，屬于人格權(quán)，且為人格權(quán)中區(qū)別于生命權(quán)等物質(zhì)性權(quán)益的精神性權(quán)益.此外，個(gè)人金融信息一旦被侵害，如賬戶和密碼被泄露、信用報(bào)告被篡改等，可能導(dǎo)致個(gè)人的經(jīng)濟(jì)、財(cái)產(chǎn)損失等，因此個(gè)人金融信息具有鮮明的財(cái)產(chǎn)性權(quán)益屬性[5].上述精神性權(quán)益和財(cái)產(chǎn)性權(quán)益構(gòu)成了個(gè)人金融信息的私權(quán)益屬性.

1.1.2 公權(quán)益屬性

在市場(chǎng)機(jī)制下，個(gè)人金融信息流動(dòng)具有一定的自發(fā)性和盲目性，可能脫離個(gè)人知曉范圍，甚至脫離國家可對(duì)其保護(hù)的范圍和領(lǐng)域.例如，境內(nèi)互聯(lián)網(wǎng)公司與境外證券經(jīng)營機(jī)構(gòu)合作，通過境內(nèi)互聯(lián)網(wǎng)公司的平臺(tái)網(wǎng)站為境內(nèi)投資者開展境外證券投資提供交易渠道和服務(wù)，一旦發(fā)生糾紛或侵權(quán)事件，投資者權(quán)益將無法得到保障.我國明確設(shè)立金融牌照并對(duì)境內(nèi)金融活動(dòng)主體進(jìn)行監(jiān)管，該行為不僅違反和規(guī)避了相關(guān)監(jiān)管要求，還對(duì)我國金融穩(wěn)定造成威脅.又如，國家為打擊洗錢活動(dòng)和恐怖融資活動(dòng)，在特定情形下需將個(gè)人金融信息報(bào)告監(jiān)管機(jī)構(gòu)，包括可疑賬戶、重大可疑交易等，即個(gè)人將部分個(gè)人信息權(quán)益讓渡給國家授權(quán)機(jī)構(gòu).上述對(duì)個(gè)人金融信息的保護(hù)與掌控是國家維護(hù)金融健康穩(wěn)定、保障國家經(jīng)濟(jì)安全所需，體現(xiàn)了其公權(quán)益屬性，個(gè)人金融信息權(quán)益與國家、相關(guān)機(jī)構(gòu)的公法目的將被重新衡量.

1.2 個(gè)人金融信息跨境流動(dòng)合理規(guī)制需要

我國數(shù)字經(jīng)濟(jì)海外市場(chǎng)收入占比較低，在國內(nèi)市場(chǎng)漸趨飽和的情況下，國際市場(chǎng)潛能有待進(jìn)一步挖掘和釋放.當(dāng)前，金融領(lǐng)域數(shù)字化改革不斷深入，促進(jìn)個(gè)人金融信息的健康跨境流動(dòng)對(duì)優(yōu)化我國數(shù)字經(jīng)濟(jì)和金融服務(wù)結(jié)構(gòu)、推動(dòng)我國經(jīng)濟(jì)增長(zhǎng)具有重要意義.合理規(guī)制個(gè)人金融信息跨境流動(dòng)，有助于建立起國與國之間的個(gè)人金融信息跨境流動(dòng)信任，為外國企業(yè)“走進(jìn)來”、國內(nèi)企業(yè)“走出去”提供安全保障.

個(gè)人金融信息跨境流動(dòng)的促進(jìn)與規(guī)制同樣重要，一旦放任個(gè)人金融信息流動(dòng)，可能會(huì)加劇濫用、泄露或竊取的風(fēng)險(xiǎn)，侵害個(gè)人信息權(quán)益甚至國家金融安全.因此，個(gè)人金融信息的共享與保護(hù)應(yīng)從金融監(jiān)管要求、金融消費(fèi)者保護(hù)與數(shù)據(jù)保護(hù)等多個(gè)維度進(jìn)行設(shè)計(jì)，是個(gè)人信息保護(hù)與金融監(jiān)管的交叉研究領(lǐng)域[6-7].個(gè)人金融信息跨境傳輸規(guī)制需要考慮一國法律適用范圍、行政和司法管轄邊界、保護(hù)程度等，結(jié)合個(gè)人金融信息性質(zhì)和另一法域法律環(huán)境，明確傳輸方義務(wù)和接收方處理個(gè)人金融信息的合法合理性，并確保傳輸方式安全，進(jìn)而完成一次動(dòng)態(tài)的、跨越法域的信息流動(dòng).

如上所述，個(gè)人金融信息有序流動(dòng)的關(guān)鍵在于平衡個(gè)人信息權(quán)利與國家公共利益的沖突，個(gè)人金融信息跨境流動(dòng)進(jìn)一步增加了平衡國家間金融主權(quán)、信息主權(quán)以及司法主權(quán)沖突的需要.

2 我國個(gè)人金融信息跨境流動(dòng)規(guī)制難點(diǎn)

經(jīng)濟(jì)全球化帶來了更多的個(gè)人金融信息跨境流動(dòng)需求，然而其管理和技術(shù)方面存在安全風(fēng)險(xiǎn)，國家間金融信息主權(quán)存在沖突，構(gòu)建健康有序的數(shù)據(jù)跨境流動(dòng)環(huán)境面臨諸多困難，需要平衡多重沖突進(jìn)行合理規(guī)制.

2.1 個(gè)人金融信息范圍與界定不明確

我國早期法律法規(guī)是基于金融行業(yè)管理和個(gè)人財(cái)產(chǎn)權(quán)保護(hù)的目的規(guī)范金融信息使用，2011年《中國人民銀行關(guān)于金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》對(duì)“銀行業(yè)金融機(jī)構(gòu)”范圍的個(gè)人金融信息進(jìn)行了較全面定義.從獲取途徑上分為開展業(yè)務(wù)時(shí)收集和產(chǎn)生的、接入中國人民銀行相關(guān)系統(tǒng)獲取的、在以上收集和獲取信息基礎(chǔ)上加工獲取的；從類別上分為個(gè)人身份信息、個(gè)人財(cái)產(chǎn)信息、個(gè)人賬戶信息、個(gè)人信用信息、個(gè)人金融交易信息、衍生信息和其他信息等.2013年《征信業(yè)管理?xiàng)l例》對(duì)開展征信業(yè)務(wù)的征信機(jī)構(gòu)采集個(gè)人信息，及國家設(shè)立金融信用信息基礎(chǔ)數(shù)據(jù)庫接收和提供信貸信息進(jìn)行了規(guī)定.金融行業(yè)由于職權(quán)、職責(zé)及監(jiān)管所限，使得個(gè)人金融信息在不同語境下自成群落，更類似于一種集合.

隨著我國對(duì)個(gè)人信息保護(hù)和數(shù)據(jù)安全的重視，2016年《中華人民共和國網(wǎng)絡(luò)安全法》(簡(jiǎn)稱《網(wǎng)絡(luò)安全法》)出現(xiàn)個(gè)人信息和重要數(shù)據(jù)的分類，2017年《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(草案)》將金融機(jī)構(gòu)安全信息和自然人金融信息界定為重要數(shù)據(jù)，列舉了個(gè)人財(cái)產(chǎn)信息、賬戶信息、個(gè)人信用信息、金融交易信息、身份信息和衍生信息等[8].2020年中國人民銀行《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》提出個(gè)人金融信息的性質(zhì)“是金融業(yè)機(jī)構(gòu)在提供金融產(chǎn)品和服務(wù)的過程中積累的重要基礎(chǔ)數(shù)據(jù)，也是個(gè)人隱私的重要內(nèi)容”，將個(gè)人金融信息定義為“金融機(jī)構(gòu)通過開展業(yè)務(wù)或其他渠道獲取、加工和保存的個(gè)人信息.包括賬戶信息、鑒別信息、金融交易信息、個(gè)人身份信息、財(cái)產(chǎn)信息、借貸信息及其他反映特定個(gè)人某些情況的信息”.2020年《信息安全技術(shù) 個(gè)人信息安全規(guī)范》將銀行賬戶、征信信息、交易信息列舉為個(gè)人敏感信息[9].2021年《中華人民共和國個(gè)人信息保護(hù)法》(簡(jiǎn)稱《個(gè)人信息保護(hù)法》)在第28條將“金融賬戶”歸入敏感個(gè)人信息.

綜上，金融領(lǐng)域和數(shù)據(jù)安全領(lǐng)域均對(duì)金融行業(yè)信息保護(hù)提出要求，但落腳點(diǎn)與金融機(jī)構(gòu)、金融業(yè)務(wù)密不可分，個(gè)人金融信息的范圍也因此受限.目前金融業(yè)務(wù)不斷創(chuàng)新，致使個(gè)人金融信息范圍越發(fā)模糊.此外，相關(guān)法律法規(guī)暫未明確界定個(gè)人金融信息屬于重要數(shù)據(jù)、個(gè)人信息，還是個(gè)人敏感信息.個(gè)人金融信息范圍和性質(zhì)界定不明，加劇了對(duì)其進(jìn)行跨境流動(dòng)規(guī)制的困難.

2.2 個(gè)人金融信息面臨多維保護(hù)和監(jiān)管要求

《個(gè)人信息保護(hù)法》出臺(tái)后，個(gè)人金融信息面臨多維的保護(hù)和監(jiān)管要求，間接影響對(duì)其的跨境流動(dòng)規(guī)制.

2.2.1 個(gè)人信息權(quán)益保護(hù)

近年，網(wǎng)絡(luò)借貸和互聯(lián)網(wǎng)金融帶來了大量安全風(fēng)險(xiǎn)隱患，2016年銀監(jiān)會(huì)和國務(wù)院辦公廳分別發(fā)布風(fēng)險(xiǎn)專項(xiàng)整治工作實(shí)施方案，重點(diǎn)打擊“套路貸”和暴力催收的數(shù)據(jù)源頭.多家風(fēng)控?cái)?shù)據(jù)提供商因爬取個(gè)人金融數(shù)據(jù)為銀行和消費(fèi)金融公司提供服務(wù)而被查處.北京銀保監(jiān)會(huì)印發(fā)《關(guān)于規(guī)范銀行與金融科技公司合作類業(yè)務(wù)及互聯(lián)網(wǎng)保險(xiǎn)業(yè)務(wù)的通知》，要求銀行、保險(xiǎn)中介機(jī)構(gòu)等“嚴(yán)禁與以‘大數(shù)據(jù)’為名竊取、濫用、非法買賣或泄露客戶信息的企業(yè)開展合作”.2017年《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》，將“非法獲取、出售……征信信息、財(cái)產(chǎn)信息五十條以上的”和“非法獲取、出售……交易信息等其他可能影響人身、財(cái)產(chǎn)安全的公民個(gè)人信息五百條以上的”作為侵犯公民個(gè)人信息罪的情節(jié)嚴(yán)重情形.2020年《民法典》在民事權(quán)利章中明確自然人的個(gè)人信息與自然人的人身自由、人格尊嚴(yán)同樣受法律保護(hù).個(gè)人金融信息的共享與保護(hù)同樣在此路徑下展開.

2.2.2 金融消費(fèi)者權(quán)益保護(hù)

專業(yè)金融機(jī)構(gòu)與金融消費(fèi)者掌控的信息存在不對(duì)稱性，金融消費(fèi)者在交易中處于弱勢(shì)地位，容易遭受金融詐騙.相關(guān)立法逐漸從金融機(jī)構(gòu)承擔(dān)傳統(tǒng)保密義務(wù)延伸至保護(hù)金融消費(fèi)者的信息權(quán)益.2012年《中國人民銀行關(guān)于金融機(jī)構(gòu)進(jìn)一步做好客戶個(gè)人金融信息保護(hù)工作的通知》，從保護(hù)金融消費(fèi)者合法權(quán)益和維護(hù)金融穩(wěn)定角度強(qiáng)調(diào)了銀行業(yè)金融機(jī)構(gòu)對(duì)客戶個(gè)人金融信息的保護(hù)義務(wù).2020年《中國人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》提出“銀行、支付機(jī)構(gòu)應(yīng)當(dāng)建立以分級(jí)授權(quán)為核心的消費(fèi)者金融信息使用管理制度，根據(jù)消費(fèi)者金融信息的重要性、敏感度及業(yè)務(wù)開展需要，在不影響本機(jī)構(gòu)履行反洗錢等法定義務(wù)的前提下，合理確定本機(jī)構(gòu)工作人員調(diào)取信息的范圍、權(quán)限，嚴(yán)格落實(shí)信息使用授權(quán)審批程序”.

2.2.3 金融行業(yè)數(shù)據(jù)保護(hù)

個(gè)人金融信息的特殊性越來越受到數(shù)據(jù)安全領(lǐng)域重視，2011年《中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》，對(duì)銀行業(yè)金融機(jī)構(gòu)在中國境內(nèi)收集的個(gè)人金融信息提出了本地化要求，即必須在中國境內(nèi)存儲(chǔ)、處理和分析，并禁止向境外提供.《征信業(yè)管理?xiàng)l例》對(duì)征信機(jī)構(gòu)在中國境內(nèi)采集的信息提出本地化要求，若向境外組織或個(gè)人提供應(yīng)遵循有關(guān)規(guī)定. 2019年中國人民銀行下發(fā)《個(gè)人金融信息(數(shù)據(jù))保護(hù)試行辦法(初稿)》(簡(jiǎn)稱《試行辦法》)，規(guī)定在本地化存儲(chǔ)的前提下，境內(nèi)金融機(jī)構(gòu)需滿足5方面要求方可開展數(shù)據(jù)出境活動(dòng)：1)處理跨境業(yè)務(wù)所需；2)取得主體明確同意；3)進(jìn)行安全評(píng)估；4)出境前與境外接收方簽署協(xié)議；5)出境后保存記錄并履行監(jiān)督義務(wù).2020年中國人民銀行發(fā)布《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》再次確認(rèn)了《試行辦法》中的監(jiān)管框架，僅在文字上進(jìn)行部分調(diào)整.此外，2020年《中華人民共和國數(shù)據(jù)安全法》(簡(jiǎn)稱《數(shù)據(jù)安全法》)規(guī)定，除中央國家安全領(lǐng)導(dǎo)機(jī)構(gòu)統(tǒng)籌國家數(shù)據(jù)安全工作外，各地區(qū)、各部門對(duì)各自工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負(fù)責(zé)，工業(yè)、電信、交通、金融等主管部門承擔(dān)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé).

2.3 個(gè)人金融信息具有多重定位

《數(shù)據(jù)出境安全評(píng)估辦法》將數(shù)據(jù)出境描述為數(shù)據(jù)處理者向境外提供在我國境內(nèi)運(yùn)營中收集和產(chǎn)生的數(shù)據(jù).因此，數(shù)據(jù)跨境流動(dòng)框架中對(duì)個(gè)人金融信息的規(guī)制范圍超越了行業(yè)劃分或職權(quán)職責(zé)的限制.個(gè)人金融信息在我國現(xiàn)有數(shù)據(jù)跨境流動(dòng)框架中顯現(xiàn)出多重定位.

首先，個(gè)人金融信息可以成為個(gè)人信息的下屬概念，即個(gè)人信息中涉及開展金融業(yè)務(wù)所需的信息，如金融賬戶、金融交易信息等.在我國，金融賬戶等一旦泄露或非法使用，容易導(dǎo)致自然人財(cái)產(chǎn)安全受到危害的個(gè)人信息屬于敏感個(gè)人信息，應(yīng)遵循《個(gè)人信息保護(hù)法》中敏感個(gè)人信息的處理規(guī)則.其次，個(gè)人金融信息也可能因數(shù)量上的聚集成為重要數(shù)據(jù).此外，銀行、證券公司、保險(xiǎn)公司等運(yùn)營個(gè)人金融信息的機(jī)構(gòu)，越來越依賴信息通信技術(shù)基礎(chǔ)設(shè)施，保護(hù)金融機(jī)構(gòu)的信息安全成為與個(gè)人金融信息相關(guān)的又一重要內(nèi)容.

在個(gè)人信息出境方面，《個(gè)人信息保護(hù)法》第3章要求，個(gè)人信息處理者因業(yè)務(wù)等需要，確需向境外提供個(gè)人信息的，應(yīng)滿足以下條件之一：1)進(jìn)行國家網(wǎng)信部門組織的安全評(píng)估；2)進(jìn)行專業(yè)機(jī)構(gòu)組織的個(gè)人信息保護(hù)認(rèn)證；3)與境外接收方訂立標(biāo)準(zhǔn)合同；4)通過中國締結(jié)或參加的國際條約、協(xié)定.在關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者(簡(jiǎn)稱關(guān)基運(yùn)營者)和重要數(shù)據(jù)出境方面，結(jié)合《數(shù)據(jù)安全法》第31條、《網(wǎng)絡(luò)安全法》第37條規(guī)定，關(guān)基運(yùn)營者在境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)進(jìn)行安全評(píng)估；其他數(shù)據(jù)處理者在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定.再結(jié)合《網(wǎng)絡(luò)安全法》第37條和《個(gè)人信息保護(hù)法》第40條中數(shù)據(jù)本地化的要求，關(guān)基運(yùn)營者在境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)、處理個(gè)人信息達(dá)到網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者在境內(nèi)收集和產(chǎn)生的個(gè)人信息應(yīng)當(dāng)存儲(chǔ)在境內(nèi).我國多重出境規(guī)則的設(shè)計(jì)對(duì)個(gè)人金融信息的適配性需進(jìn)一步考量.

3 我國個(gè)人金融信息跨境流動(dòng)促進(jìn)與規(guī)制路徑

在進(jìn)行個(gè)人金融信息跨境流動(dòng)規(guī)制設(shè)計(jì)時(shí)，應(yīng)平衡不同維度法益沖突，協(xié)調(diào)不同規(guī)則與數(shù)據(jù)跨境流動(dòng)需求的適配性.

3.1 平衡不同維度法益沖突，促進(jìn)個(gè)人金融信息流動(dòng)

數(shù)據(jù)跨境流動(dòng)已成為統(tǒng)籌安全與發(fā)展的重要命題，隨著我國個(gè)人金融信息跨境流動(dòng)頻次的不斷增加，如何對(duì)其進(jìn)行張弛有度的數(shù)據(jù)跨境流動(dòng)規(guī)制，面臨前所未有的挑戰(zhàn).個(gè)人金融信息的雙重屬性和數(shù)據(jù)跨境流動(dòng)跨越不同法域的特點(diǎn)，引起多重法益沖突，平衡這些法益沖突是促進(jìn)個(gè)人金融信息流動(dòng)與規(guī)制的核心.

3.1.1 平衡私主體與金融機(jī)構(gòu)的權(quán)益

個(gè)人金融信息具有公益屬性，個(gè)人往往將其部分金融信息權(quán)利讓渡給金融及公權(quán)力機(jī)構(gòu)，包括個(gè)人提供給金融機(jī)構(gòu)的信息、個(gè)人參與金融活動(dòng)過程中產(chǎn)生的信息、金融機(jī)構(gòu)通過大數(shù)據(jù)分析生成的用戶畫像、增值數(shù)據(jù)等.而就衍生數(shù)據(jù)及增值數(shù)據(jù)是否進(jìn)入金融機(jī)構(gòu)使用權(quán)益范圍，是否可以不經(jīng)個(gè)人同意進(jìn)行數(shù)據(jù)分享有待更明確的規(guī)定[10].這將直接影響個(gè)人金融信息權(quán)利的實(shí)現(xiàn)和金融機(jī)構(gòu)個(gè)人金融信息共享的義務(wù)，并對(duì)跨境場(chǎng)景下金融機(jī)構(gòu)個(gè)人金融信息保護(hù)義務(wù)和信息主體權(quán)利的行使產(chǎn)生一定影響.因此，界定私主體與金融機(jī)構(gòu)關(guān)于個(gè)人金融信息處理的權(quán)利與義務(wù)尤為重要.

3.1.2 平衡金融機(jī)構(gòu)義務(wù)與其他國家管轄權(quán)的沖突

參考各國數(shù)據(jù)跨境流動(dòng)規(guī)制路徑，在跨境場(chǎng)景下，國家對(duì)個(gè)人金融信息的監(jiān)管要求與金融機(jī)構(gòu)對(duì)消費(fèi)者個(gè)人信息的保護(hù)義務(wù)時(shí)常發(fā)生沖突.對(duì)此，各國結(jié)合自身的數(shù)字經(jīng)濟(jì)規(guī)模、國際影響力和金融科技發(fā)展水平采取不同策略.例如，美國在互聯(lián)網(wǎng)技術(shù)和數(shù)字經(jīng)濟(jì)規(guī)模均居于領(lǐng)先地位，國內(nèi)市場(chǎng)對(duì)其他國家具有很大吸引力，因此推崇數(shù)據(jù)自由流動(dòng)理念，旨在降低其他國家數(shù)據(jù)進(jìn)入境內(nèi)的門檻以匯聚信息.為了更好地掌握數(shù)據(jù)資源，美國反對(duì)數(shù)據(jù)本地化存儲(chǔ)，雖然出于監(jiān)管需求在跨太平洋伙伴關(guān)系協(xié)定(trans-pacific partnership agreement, TPP)中并未禁止金融機(jī)構(gòu)數(shù)據(jù)本地化，但在此后的各類貿(mào)易談判中對(duì)金融數(shù)據(jù)本地化仍持反對(duì)態(tài)度[11].此外，美國采用外商投資審查方式審慎防范他國獲取其公民的個(gè)人金融信息，且通過《愛國者法案》確立對(duì)有關(guān)外國人和外國金融機(jī)構(gòu)的長(zhǎng)臂管轄，以獲取他國掌握的個(gè)人信息[12].中資銀行因在美國設(shè)有分行而收到傳票，被要求提供相關(guān)人員在中國境內(nèi)賬戶信息的情形時(shí)有發(fā)生，這引發(fā)了我國金融機(jī)構(gòu)保密義務(wù)與美國司法和執(zhí)法管轄的沖突[13].

3.1.3 平衡國家安全與數(shù)據(jù)自由流動(dòng)之間的法益沖突

數(shù)據(jù)要素市場(chǎng)中，數(shù)據(jù)的自由流動(dòng)和合理配置有助于市場(chǎng)開放透明、打破市場(chǎng)信息壟斷，使資源處于最佳配置狀態(tài)，給國家?guī)砭薮蟮慕?jīng)濟(jì)利益[14].個(gè)人金融信息對(duì)個(gè)人和對(duì)國家都具有重要價(jià)值，個(gè)人金融信息泄露不僅會(huì)造成個(gè)人財(cái)產(chǎn)損失，更可能因不當(dāng)開發(fā)和使用對(duì)國家金融穩(wěn)定和國家經(jīng)濟(jì)安全帶來威脅.個(gè)人金融信息的跨境流動(dòng)加劇了安全風(fēng)險(xiǎn)隱患：在跨境傳輸技術(shù)上，服務(wù)器之間的數(shù)據(jù)傳輸存在一定風(fēng)險(xiǎn)；在數(shù)據(jù)傳輸之后，數(shù)據(jù)的處理和存儲(chǔ)安全也面臨挑戰(zhàn).在國家安全與數(shù)據(jù)自由流動(dòng)的權(quán)衡中，一刀切的監(jiān)管與規(guī)制無法適應(yīng)個(gè)人金融信息跨境流動(dòng)需求.在對(duì)個(gè)人金融信息跨境流動(dòng)進(jìn)行規(guī)制時(shí)，應(yīng)將安全與發(fā)展并重，在保障國家安全和數(shù)據(jù)安全的前提下，發(fā)揮金融市場(chǎng)要素配置的自主性.

3.2 促進(jìn)個(gè)人金融信息監(jiān)管要求與數(shù)據(jù)跨境流動(dòng)規(guī)制銜接

3.2.1 細(xì)化跨境場(chǎng)景下個(gè)人金融信息界定

對(duì)個(gè)人金融信息的范圍和性質(zhì)進(jìn)行明確，是對(duì)其進(jìn)行監(jiān)管和跨境流動(dòng)規(guī)制的前提.但如前所述，監(jiān)管視角下的個(gè)人金融信息范圍受到“金融機(jī)構(gòu)”和“金融業(yè)務(wù)”的限制.只有明確個(gè)人金融信息的范圍、權(quán)屬才能將國家金融監(jiān)管要求與數(shù)據(jù)跨境流動(dòng)規(guī)制相結(jié)合，達(dá)到1+1>2的效果；只有細(xì)化個(gè)人金融信息在數(shù)據(jù)跨境流動(dòng)規(guī)制中的界定，才能更好地基于數(shù)據(jù)類型、敏感閾值和存儲(chǔ)需求展開規(guī)制設(shè)計(jì).

各國均面臨如何界定個(gè)人金融信息范圍和權(quán)屬的難點(diǎn).針對(duì)個(gè)人金融信息范圍，美國在《金融服務(wù)現(xiàn)代化法案》(Gram-Leach-Bliley Act, GLB)中定義“非公開個(gè)人信息”，美國國家信用合作社管理局(Nationwide Credit Union Association, NCUA)對(duì)此有2種不同解釋：一種為可識(shí)別個(gè)人身份的金融信息和任何列表、描述以及使用可識(shí)別個(gè)人身份的金融信息獲得的相關(guān)公開信息.這一規(guī)則將公開信息排除在非公開個(gè)人信息范圍之外，但如果某一可公開獲取的信息來自于消費(fèi)者向金融機(jī)構(gòu)提供的信息，則該公開信息將被視為非公開個(gè)人信息，如金融消費(fèi)者向金融機(jī)構(gòu)提供的地址信息等.另一種則允許金融機(jī)構(gòu)發(fā)布可公開獲取信息，但仍然禁止將此信息作為個(gè)人可識(shí)別信息衍生的消費(fèi)者列表、描述或者其他分組的一部分進(jìn)行公開[15].最新規(guī)則對(duì)此進(jìn)行折中，通過明確何為“可公開獲取的信息”以緩解金融機(jī)構(gòu)的證明困難，并規(guī)定可公開獲取的信息不屬于非公開個(gè)人信息.此外，GLB法案中將個(gè)人可識(shí)別金融信息定義為金融機(jī)構(gòu)在為消費(fèi)者提供金融服務(wù)和產(chǎn)品時(shí)獲取的信息.該定義引起較大爭(zhēng)議，學(xué)術(shù)界認(rèn)為個(gè)人可識(shí)別金融信息不應(yīng)當(dāng)包括非金融信息，因此NCUA和其他機(jī)構(gòu)在最新規(guī)則中對(duì)此增加舉例.針對(duì)個(gè)人金融信息的權(quán)屬，美國通過建立“通知”和消費(fèi)者“選擇退出”的機(jī)制，將金融消費(fèi)者個(gè)人金融信息的部分使用和共享權(quán)賦予金融機(jī)構(gòu).

我國在個(gè)人金融信息的范圍和權(quán)益上亟待完善[16]：首先，對(duì)于個(gè)人金融信息是否必須與金融相關(guān)需要更明確的規(guī)定，比如個(gè)人地址、電話、身體健康狀態(tài)可因金融業(yè)務(wù)需要被金融機(jī)構(gòu)收集、存儲(chǔ)，但在相關(guān)金融業(yè)務(wù)結(jié)束后是否仍屬于個(gè)人金融信息有待說明；其次，《個(gè)人信息保護(hù)法》以“知情-同意”為處理個(gè)人信息的核心合法性基礎(chǔ)，但在個(gè)人信息跨境傳輸設(shè)計(jì)中，取得個(gè)人同意為數(shù)據(jù)處理者義務(wù)，并非跨境傳輸?shù)暮诵暮戏ㄐ曰A(chǔ)，即在個(gè)人同意之外仍需其他合法基礎(chǔ).在該路徑下，境外金融機(jī)構(gòu)若需處理境內(nèi)個(gè)人金融信息，個(gè)人的授權(quán)只是基礎(chǔ)，個(gè)人對(duì)信息的使用權(quán)、攜帶權(quán)會(huì)遭受一定程度干預(yù).此外，在個(gè)人金融信息的性質(zhì)界定上，《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》認(rèn)為個(gè)人金融信息是個(gè)人隱私的重要內(nèi)容，并且“一旦泄露，不但會(huì)直接侵害個(gè)人金融信息主體的合法權(quán)益、影響金融機(jī)構(gòu)的正常運(yùn)營，甚至可能會(huì)帶來系統(tǒng)性金融風(fēng)險(xiǎn)”.其本意在強(qiáng)調(diào)個(gè)人金融信息的重要，但因個(gè)人金融信息范圍廣泛，其內(nèi)容敏感性不能從單一角度衡量，如個(gè)人賬戶信息與個(gè)人姓名的敏感性并不相同，籠統(tǒng)地將個(gè)人金融信息作為個(gè)人隱私或敏感個(gè)人信息不能反映其特點(diǎn)[17].從《數(shù)據(jù)安全法》規(guī)定國家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，到《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》根據(jù)金融數(shù)據(jù)的敏感程度分類，再到《網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)指引》進(jìn)一步指導(dǎo)網(wǎng)絡(luò)數(shù)據(jù)分類，我國個(gè)人金融信息跨境相關(guān)要求暫未與上述分類分級(jí)標(biāo)準(zhǔn)相結(jié)合，在規(guī)制時(shí)應(yīng)細(xì)化其范圍和性質(zhì)界定[18].

3.2.2 規(guī)范監(jiān)管域與非監(jiān)管域間的個(gè)人金融信息流動(dòng)

我國將個(gè)人金融信息作為一種特殊的個(gè)人信息進(jìn)行保護(hù)，在個(gè)人金融信息和金融機(jī)構(gòu)范圍不斷擴(kuò)張的趨勢(shì)下，傳統(tǒng)金融行業(yè)監(jiān)管存在滯后性和不足.因此，在銜接監(jiān)管場(chǎng)域與跨境場(chǎng)域下的個(gè)人金融信息規(guī)范時(shí)，應(yīng)注重 “監(jiān)管域”與“非監(jiān)管域”之間的個(gè)人金融信息流動(dòng).一方面，當(dāng)監(jiān)管域內(nèi)的金融機(jī)構(gòu)將信息提供給非監(jiān)管域的機(jī)構(gòu)時(shí)，應(yīng)要求其提供與自身同等水平的安全保護(hù)；另一方面，對(duì)于非監(jiān)管域下的信息流入，應(yīng)了解信息來源的合法性、準(zhǔn)確性和真實(shí)性，以防范風(fēng)險(xiǎn)[19].

3.2.3 促進(jìn)本地化要求與數(shù)據(jù)跨境流動(dòng)規(guī)制銜接

我國規(guī)定關(guān)基運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，在境內(nèi)收集和產(chǎn)生的個(gè)人信息應(yīng)當(dāng)存儲(chǔ)于境內(nèi).金融機(jī)構(gòu)大多掌握海量個(gè)人信息，依據(jù)規(guī)定應(yīng)存儲(chǔ)于境內(nèi)，這在金融機(jī)構(gòu)的相關(guān)規(guī)范性文件中也有體現(xiàn).但存儲(chǔ)于境內(nèi)并非禁止跨境傳輸，應(yīng)結(jié)合金融行業(yè)關(guān)聯(lián)機(jī)構(gòu)、關(guān)聯(lián)業(yè)務(wù)的特點(diǎn)，明確跨國銀行等關(guān)聯(lián)機(jī)構(gòu)、分支機(jī)構(gòu)內(nèi)部數(shù)據(jù)傳輸?shù)暮侠硇?，以及因業(yè)務(wù)需要進(jìn)行跨境傳輸?shù)谋匾樾蝃20].

3.3 促進(jìn)區(qū)域間條約和協(xié)定與數(shù)據(jù)跨境流動(dòng)規(guī)制銜接

根據(jù)《個(gè)人信息保護(hù)法》第38條，我國締結(jié)或者參加的國際條約、協(xié)定對(duì)向中華人民共和國境外提供個(gè)人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行.該條款為根據(jù)國際條約、協(xié)定進(jìn)行數(shù)據(jù)跨境傳輸提供了法律依據(jù).目前，我國已正式加入《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(Regional Comprehensive Economic Partnership, RCEP)，已申請(qǐng)加入 《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership, CPTPP)，準(zhǔn)備加入《數(shù)字經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(Digital Economy Partnership Agreement, DEPA).RCEP和CPTPP在電子數(shù)據(jù)傳輸方面具有廣泛的包容性和彈性，考慮到成員國不同情況，給予就數(shù)據(jù)跨境傳輸提供例外規(guī)范的空間.我國數(shù)據(jù)跨境流動(dòng)規(guī)制應(yīng)從國際合作視角出發(fā)，與區(qū)域間條約和協(xié)定相銜接，加強(qiáng)我國與其他國家和地區(qū)的國際交流合作，達(dá)到深化金融領(lǐng)域“改革開放”的目的[21].

與國際條約、協(xié)定相銜接，首先應(yīng)判斷個(gè)人金融信息在相關(guān)條約、協(xié)定中的位置，是否屬于電子商務(wù)章中以電子方式進(jìn)行跨境傳輸?shù)囊?guī)制范圍內(nèi)；其次應(yīng)考慮跨境傳輸規(guī)則的原則與例外，遵守原則規(guī)定，在例外情形下結(jié)合國家實(shí)際情況和需求進(jìn)行規(guī)制；最后，應(yīng)尊重其他國家的保留和例外條款.這樣才能建立起相互間信任關(guān)系，有效發(fā)揮條約與協(xié)定中個(gè)人信息跨境傳輸規(guī)則的作用.雖然RCEP規(guī)定的以電子方式進(jìn)行數(shù)據(jù)跨境傳輸并不適用于金融服務(wù)，但RCEP在第16條將金融服務(wù)的數(shù)據(jù)跨境流動(dòng)和計(jì)算設(shè)施位置納入電子商務(wù)對(duì)話，我國若能與其他國家和地區(qū)達(dá)成相互承諾，出于公共政策目的對(duì)個(gè)人金融信息監(jiān)管采取保護(hù)措施，將會(huì)促進(jìn)各方的個(gè)人金融信息跨境傳輸.

4 總 結(jié)

當(dāng)前，數(shù)據(jù)跨境流動(dòng)安全成為網(wǎng)絡(luò)空間安全的前瞻研究領(lǐng)域，個(gè)人金融信息跨境流動(dòng)在數(shù)字經(jīng)濟(jì)和金融科技發(fā)展中存在廣泛的現(xiàn)實(shí)需求，為統(tǒng)籌好國際間金融業(yè)務(wù)的安全與發(fā)展，需要對(duì)其進(jìn)行合理規(guī)制.個(gè)人金融信息兼具私權(quán)益屬性與公權(quán)益屬性，只有細(xì)化個(gè)人金融信息的范圍和數(shù)據(jù)性質(zhì)，才能劃分信息主體和相關(guān)機(jī)構(gòu)對(duì)個(gè)人金融信息享有的權(quán)益邊界，從而進(jìn)一步結(jié)合個(gè)人金融信息類別進(jìn)行跨境流動(dòng)規(guī)制.實(shí)踐中，金融業(yè)務(wù)創(chuàng)新促使金融活動(dòng)主體范圍擴(kuò)張，通過規(guī)范監(jiān)管域與非監(jiān)管域之間的個(gè)人金融信息流動(dòng)、協(xié)調(diào)本地化與金融機(jī)構(gòu)間業(yè)務(wù)需要的信息流動(dòng)，可以合理促進(jìn)我國個(gè)人金融信息跨境流動(dòng).此外，我國在設(shè)計(jì)規(guī)制路徑時(shí)還應(yīng)當(dāng)考慮與區(qū)域間條約、協(xié)定相銜接，以促進(jìn)區(qū)域間金融合作與發(fā)展，提升我國在信息領(lǐng)域的國際話語權(quán)和影響力.基于數(shù)據(jù)類型、敏感閾值和存儲(chǔ)需要進(jìn)行具體規(guī)則設(shè)計(jì)，并與區(qū)域間條約協(xié)定相契合，將成為促進(jìn)與規(guī)制我國個(gè)人金融數(shù)據(jù)跨境流動(dòng)的合理路徑.

致謝本課題研究過程中得到了北京理工大學(xué)洪延青教授、西安交通大學(xué)李金特聘研究員的幫助和指導(dǎo)，在此一并感謝.