郭子訸

（上海海事大學(xué) 法學(xué)院 上海201306）

金融體系是一個(gè)高度全球化的體系，金融機(jī)構(gòu)的跨境支付、清算及數(shù)據(jù)信息交換實(shí)屬必然。金融數(shù)據(jù)跨境流動(dòng)，不僅關(guān)乎個(gè)人信息及數(shù)據(jù)產(chǎn)權(quán)保護(hù)，也與國(guó)家安全密切關(guān)聯(lián)，同時(shí)還影響著國(guó)際競(jìng)爭(zhēng)與國(guó)際關(guān)系，推動(dòng)著國(guó)家和區(qū)域間合作新規(guī)則的演化。日益頻繁的金融數(shù)據(jù)跨境流通帶來了諸多新的法律規(guī)制挑戰(zhàn)，以美國(guó)、歐盟為代表的域外法律規(guī)制以區(qū)域性條例或協(xié)定為主，尚未形成統(tǒng)一的治理標(biāo)準(zhǔn)。[1]我國(guó)目前初步建立了零散的數(shù)據(jù)管理法律法規(guī)，而跨境流動(dòng)的相關(guān)立法尚處于較為滯后的狀態(tài)。在總體國(guó)家安全觀視域下，構(gòu)建有效的金融數(shù)據(jù)跨境流動(dòng)法律規(guī)制體系，對(duì)于保護(hù)用戶金融數(shù)據(jù)產(chǎn)權(quán)、維持網(wǎng)絡(luò)空間秩序、提高經(jīng)濟(jì)安全、增強(qiáng)國(guó)際經(jīng)貿(mào)合作等都具有深遠(yuǎn)的意義。

一、國(guó)家安全視角下的金融數(shù)據(jù)及其跨境流動(dòng)

黨的十九大報(bào)告明確提出“堅(jiān)持總體國(guó)家安全觀”，其中信息安全是當(dāng)今網(wǎng)絡(luò)時(shí)代信息技術(shù)發(fā)展潮流下必須關(guān)注的戰(zhàn)略關(guān)鍵問題。[2]網(wǎng)絡(luò)空間的開放性和透明性促進(jìn)了信息交換和溝通，但也帶來了用戶私權(quán)利、企業(yè)權(quán)益與國(guó)家公權(quán)力之間的沖突。根據(jù)國(guó)際標(biāo)準(zhǔn)化組織（ISO）的定義，信息安全（Information security）是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，以保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不受意外或惡意原因的更改、損壞和泄漏。[3]不難看出，數(shù)據(jù)安全是信息安全的核心，數(shù)據(jù)安全是對(duì)信息安全更為精準(zhǔn)且更符合技術(shù)發(fā)展方向的描述。盡管總體國(guó)家安全觀仍以“信息安全”來概括網(wǎng)絡(luò)空間的所有安全問題，但國(guó)家互聯(lián)網(wǎng)信息辦公室已經(jīng)于2019年開始對(duì)《數(shù)據(jù)安全管理辦法（征求意見稿）》公開征求意見，可見數(shù)據(jù)安全之于新時(shí)代國(guó)家安全的重要戰(zhàn)略意義。

在數(shù)據(jù)安全的細(xì)分領(lǐng)域，金融數(shù)據(jù)安全隨著金融電子化的發(fā)展而逐漸被關(guān)注，但對(duì)于金融數(shù)據(jù)（Financial data）的定義仍不明晰，各國(guó)更多選用個(gè)人金融信息（Personal financial information）作為法規(guī)措辭。所謂個(gè)人金融信息，即個(gè)人在金融交易活動(dòng)中產(chǎn)生的可以識(shí)別其經(jīng)濟(jì)與財(cái)產(chǎn)特征的信息。金融數(shù)據(jù)作為一個(gè)含義更加寬泛的概念，囊括了用戶個(gè)人信息、企業(yè)客戶信息與金融機(jī)構(gòu)自身的數(shù)據(jù)，既有收集的原始數(shù)據(jù)，也有經(jīng)過加工處理后的信息，這就使得其安全問題尤為復(fù)雜，需要對(duì)用戶和金融機(jī)構(gòu)進(jìn)行雙重規(guī)制。

跨境信息流動(dòng)的立法肇始于20世紀(jì)80年代。一般來說，金融數(shù)據(jù)的跨境流動(dòng)包括兩個(gè)層面的含義：一是金融數(shù)據(jù)跨越一國(guó)或地區(qū)的邊界傳輸?shù)搅硪粐?guó)或地區(qū)，通過數(shù)據(jù)處理手段使用和存儲(chǔ)；二是金融數(shù)據(jù)尚未傳輸?shù)絿?guó)外，但已被其他國(guó)家或地區(qū)的實(shí)體訪問并導(dǎo)致泄露，這就造成了跨境數(shù)據(jù)的法律沖突。[4]互聯(lián)網(wǎng)信息服務(wù)中的金融數(shù)據(jù)跨境流動(dòng)發(fā)生在多個(gè)領(lǐng)域，如跨境電子商務(wù)交易、國(guó)際應(yīng)用軟件使用過程、信息貨幣交易系統(tǒng)、數(shù)據(jù)分析活動(dòng)等。金融數(shù)據(jù)跨境流動(dòng)后可能發(fā)生數(shù)據(jù)泄露、不當(dāng)處理或惡意使用等情形，但由于數(shù)據(jù)已經(jīng)離開我國(guó)管轄范疇，無法對(duì)其行使網(wǎng)絡(luò)空間主權(quán)，會(huì)對(duì)我國(guó)國(guó)家安全造成威脅。因此，必須引入國(guó)家強(qiáng)制力對(duì)金融數(shù)據(jù)跨境流動(dòng)進(jìn)行規(guī)制。

二、金融數(shù)據(jù)跨境流動(dòng)的安全風(fēng)險(xiǎn)類型

（一）用戶自主使用跨境金融服務(wù)帶來的安全風(fēng)險(xiǎn)

在用戶自主使用跨境金融服務(wù)如數(shù)字貨幣交易、移動(dòng)支付時(shí)，個(gè)人身份、賬戶信息、交易IP地址等個(gè)人金融數(shù)據(jù)將會(huì)發(fā)生跨境流動(dòng)。根據(jù)用戶對(duì)于金融數(shù)據(jù)權(quán)利的主動(dòng)或被動(dòng)行使，可以將用戶個(gè)人金融數(shù)據(jù)流動(dòng)分為授權(quán)流出與未授權(quán)流出兩種類型，其分別對(duì)應(yīng)著不同的安全風(fēng)險(xiǎn)。

1.個(gè)人金融數(shù)據(jù)授權(quán)流出。所謂個(gè)人金融數(shù)據(jù)授權(quán)流出，是指用戶在使用跨境金融服務(wù)時(shí)，知悉并授權(quán)境外服務(wù)器獲取個(gè)人金融數(shù)據(jù)，用戶對(duì)于流出數(shù)據(jù)的信息內(nèi)容充分知悉且認(rèn)可。但其所流出數(shù)據(jù)是否危及國(guó)家安全無從得知，境外數(shù)據(jù)控制者能否妥善保管和使用我國(guó)用戶的金融數(shù)據(jù)也無法確定。

個(gè)人用戶在主動(dòng)使用跨境金融服務(wù)時(shí)，對(duì)于服務(wù)的效率和便捷性具有較高的需求，因而對(duì)于在金融數(shù)據(jù)流動(dòng)過程中可能影響其使用效率的法律規(guī)制和監(jiān)管行為持排斥態(tài)度。然而，從國(guó)家安全的角度來看，一方面，個(gè)人金融數(shù)據(jù)授權(quán)流出可能會(huì)因?yàn)樗綆У囊粐?guó)重要敏感信息，存在被不當(dāng)采集的風(fēng)險(xiǎn)，導(dǎo)致出境數(shù)據(jù)被惡意使用和非法泄露，使金融數(shù)據(jù)安全難以得到保障；另一方面，金融數(shù)據(jù)的跨境流動(dòng)必然會(huì)涉及多國(guó)利益和跨境法律沖突，數(shù)據(jù)管轄權(quán)競(jìng)爭(zhēng)、“數(shù)據(jù)霸權(quán)”等潛在問題會(huì)嚴(yán)重威脅一國(guó)的國(guó)家主權(quán)。[5]因此，必須防備個(gè)人金融數(shù)據(jù)授權(quán)流出可能對(duì)國(guó)家安全造成的負(fù)面影響。

2.個(gè)人金融數(shù)據(jù)未授權(quán)流出。所謂個(gè)人金融數(shù)據(jù)未授權(quán)流出，是指用戶在使用跨境金融服務(wù)時(shí)，不知曉其部分金融數(shù)據(jù)會(huì)被傳輸?shù)骄惩夥?wù)器，且沒有授權(quán)境外機(jī)構(gòu)儲(chǔ)存或再次使用該數(shù)據(jù)信息。在用戶確知在使用跨境金融服務(wù)、但對(duì)個(gè)人數(shù)據(jù)流出實(shí)際上無意識(shí)的情況下，無論境外金融數(shù)據(jù)控制者或其他數(shù)據(jù)取得者是出于何種動(dòng)機(jī)，實(shí)際上都是對(duì)個(gè)人數(shù)據(jù)權(quán)益的侵犯。與“授權(quán)流出”不同的是，“無授權(quán)流出”意味著用戶在跨境金融服務(wù)中并未與境外數(shù)據(jù)控制者達(dá)成獲取數(shù)據(jù)的相關(guān)合意，因此境外數(shù)據(jù)控制者對(duì)其個(gè)人金融數(shù)據(jù)不負(fù)有保護(hù)義務(wù)，其數(shù)據(jù)內(nèi)容更容易被隨意化使用和處理，被不法分子或機(jī)構(gòu)非法轉(zhuǎn)移、違規(guī)利用的風(fēng)險(xiǎn)極高，對(duì)國(guó)家安全的威脅也更為顯著。

（二）金融數(shù)據(jù)控制者進(jìn)行跨境業(yè)務(wù)帶來的安全風(fēng)險(xiǎn)

除了用戶個(gè)人使用跨境金融服務(wù)時(shí)產(chǎn)生的數(shù)據(jù)流動(dòng)，金融數(shù)據(jù)控制者①根據(jù)歐盟《一般數(shù)據(jù)保護(hù)法案》（GDPR）的定義，所謂“數(shù)據(jù)控制者”是指能單獨(dú)或聯(lián)合決定個(gè)人數(shù)據(jù)的處理目的和方式的自然人、法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或其他非法人組織。進(jìn)行跨境業(yè)務(wù)時(shí)也會(huì)發(fā)生金融數(shù)據(jù)的傳輸。在全球化背景下，金融數(shù)據(jù)控制者的范圍從金融機(jī)構(gòu)擴(kuò)展到互聯(lián)網(wǎng)領(lǐng)域，包括受國(guó)家金融監(jiān)管機(jī)構(gòu)監(jiān)管的持牌金融機(jī)構(gòu)、持牌非金融機(jī)構(gòu)以及為持牌金融機(jī)構(gòu)提供服務(wù)和支持的企業(yè)。金融數(shù)據(jù)控制者出于合法、特定的目的在收集個(gè)人數(shù)據(jù)的過程中，也會(huì)對(duì)國(guó)家安全構(gòu)成不同的風(fēng)險(xiǎn)。

1.集團(tuán)內(nèi)部的金融數(shù)據(jù)跨境傳輸。在運(yùn)營(yíng)過程中，金融數(shù)據(jù)提供者收集并積累了大量用戶的個(gè)人金融信息，于涉外業(yè)務(wù)中將收集到的數(shù)據(jù)傳輸?shù)郊瘓F(tuán)分公司、集團(tuán)總部，此即為集團(tuán)內(nèi)部的金融數(shù)據(jù)跨境傳輸。典型的例子是銀行業(yè)，如海外分行與總行開展跨境金融業(yè)務(wù)時(shí)，分支機(jī)構(gòu)根據(jù)總部的要求會(huì)提供客戶的金融信息。不同國(guó)家對(duì)金融數(shù)據(jù)的跨境傳輸有不同的要求，但基本上需要滿足以下四個(gè)條件：數(shù)據(jù)的法律依據(jù)、客戶同意、傳輸行為要履行法律義務(wù)、分支機(jī)構(gòu)與總部之間有數(shù)據(jù)保護(hù)協(xié)議?？梢钥闯?，金融數(shù)據(jù)控制者的跨境數(shù)據(jù)傳輸具有較高的準(zhǔn)入門檻，但是規(guī)定普遍比較籠統(tǒng)，沒有貫穿數(shù)據(jù)流動(dòng)的全過程。立法者的監(jiān)管思路主要是從源頭上控制不必要的金融數(shù)據(jù)的流出，忽略了傳輸過程中可能發(fā)生的安全風(fēng)險(xiǎn)。金融數(shù)據(jù)控制者僅能保證在境內(nèi)的金融數(shù)據(jù)流動(dòng)的合法性，但不能保證境外金融數(shù)據(jù)控制者對(duì)其使用的合理性與合法性。我國(guó)2019年發(fā)布的《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法（征求意見稿）》第34條第3款規(guī)定“信息接收方為完成該業(yè)務(wù)所必需的關(guān)聯(lián)機(jī)構(gòu)（含總公司、母公司或者分公司、子公司等）”，未考慮到同一份金融數(shù)據(jù)在集團(tuán)內(nèi)部的功能性差異，在我國(guó)境內(nèi)合法的金融數(shù)據(jù)傳輸?shù)骄惩怅P(guān)聯(lián)機(jī)構(gòu)后，可能超越或有悖于該機(jī)構(gòu)的處理范疇，從而產(chǎn)生金融數(shù)據(jù)的泄露風(fēng)險(xiǎn)，威脅國(guó)家安全。

2.集團(tuán)以外的金融數(shù)據(jù)跨境移送。除了集團(tuán)內(nèi)部相對(duì)可控的跨境數(shù)據(jù)傳輸外，金融數(shù)據(jù)控制者還會(huì)與集團(tuán)以外的第三方產(chǎn)生必要的金融數(shù)據(jù)跨境流動(dòng)。例如，跨國(guó)集團(tuán)的財(cái)務(wù)數(shù)據(jù)控制員在進(jìn)行年度或?qū)ｍ?xiàng)審計(jì)時(shí)，需要將其財(cái)務(wù)數(shù)據(jù)轉(zhuǎn)移給會(huì)計(jì)師事務(wù)所。但在國(guó)外，這類數(shù)據(jù)傳輸?shù)囊蟊热粘？缇硵?shù)據(jù)流動(dòng)的操作更為嚴(yán)格，如《美國(guó)金融隱私權(quán)法》規(guī)定，金融機(jī)構(gòu)不得直接或通過任何關(guān)聯(lián)公司向非關(guān)聯(lián)第三方披露非公開個(gè)人信息，除非銀行已通知消費(fèi)者，并為消費(fèi)者提供不允許披露的操作權(quán)利和方法。由于脫離了集團(tuán)內(nèi)部的數(shù)據(jù)控制架構(gòu)，第三方金融數(shù)據(jù)跨境移送安全風(fēng)險(xiǎn)更大，主要原因是第三方機(jī)構(gòu)難以對(duì)數(shù)據(jù)的使用和處理進(jìn)行監(jiān)控，無法通過監(jiān)管手段對(duì)安全風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)和預(yù)警。除了外部審計(jì)等非基于商業(yè)經(jīng)營(yíng)目的的必要理由，各國(guó)的立法實(shí)踐對(duì)金融數(shù)據(jù)控制者向第三方傳輸數(shù)據(jù)都持有十分保守的態(tài)度。但是，信息產(chǎn)業(yè)的發(fā)展不斷催生著更頻繁的金融數(shù)據(jù)跨境流動(dòng)，客觀上要求必須形成一個(gè)能夠保證國(guó)家安全同時(shí)也能促進(jìn)數(shù)據(jù)合理傳輸?shù)慕鹑跀?shù)據(jù)跨境流動(dòng)規(guī)制體系。然而傳統(tǒng)立法中的個(gè)人信息私權(quán)保護(hù)意識(shí)與總體國(guó)家安全觀下的公權(quán)限制理念相沖突，這就產(chǎn)生了如何規(guī)制的新問題。

三、金融數(shù)據(jù)跨境流動(dòng)的規(guī)制基礎(chǔ)

（一）規(guī)制機(jī)理：從自主控制到社會(huì)控制

1.信息自決。對(duì)于金融數(shù)據(jù)跨境流動(dòng)的規(guī)制，首先需厘清規(guī)制的主體與各自的義務(wù)。傳統(tǒng)的個(gè)人信息自主控制論認(rèn)為，信息處理需要得到信息主體的同意，意即個(gè)人享有對(duì)自己信息的支配權(quán)，如歐洲基于人格尊嚴(yán)、美國(guó)基于隱私保護(hù)的個(gè)人數(shù)據(jù)保護(hù)理論。從20世紀(jì)80年代開始，個(gè)人信息自主控制論開始在國(guó)際上占據(jù)主流，故而許多國(guó)際組織、國(guó)家或地區(qū)都將個(gè)人信息處理的合法性建立在用戶同意的基礎(chǔ)上。[6]具體到跨境金融服務(wù)的實(shí)踐中，用戶通常需要“同意”用戶協(xié)議或單獨(dú)的隱私條款來進(jìn)入“下一步”，以此來獲取更多的金融服務(wù)。該行為在很大程度上可以保證用戶使用服務(wù)的自主性，但是從服務(wù)提供者的設(shè)置初衷來看，其往往是為了減輕或免除己方可能承擔(dān)的責(zé)任。完全的個(gè)人信息自決權(quán)將會(huì)徹底導(dǎo)致服務(wù)者的責(zé)任缺位，遇到專業(yè)或復(fù)雜問題時(shí)，用戶很難保證自己對(duì)相關(guān)協(xié)議或條款的確知程度，極有可能導(dǎo)致安全問題。

2.信息自決權(quán)的理論缺陷。信息自決（權(quán)）被定義為對(duì)個(gè)人信息的支配性權(quán)利。個(gè)人信息只是一種可以識(shí)別的事實(shí)或記錄，雖與特定個(gè)人有聯(lián)系或有利益關(guān)聯(lián)，但絕對(duì)達(dá)不到依法賦予其支配權(quán)的境界。而且，這種將個(gè)人信息定位于支配權(quán)客體的認(rèn)識(shí)與私法上支配權(quán)的含義相背離。個(gè)人信息作為公共空間中自由流動(dòng)的事實(shí)或記錄，既不能完全屬于某一獨(dú)立個(gè)人，更不具備稀缺性，不應(yīng)該作為個(gè)人支配的對(duì)象。此外，同意不是也不應(yīng)該是個(gè)人信息處理的合法依據(jù)，因?yàn)橛脩敉膺^程耗時(shí)過長(zhǎng)，不符合經(jīng)濟(jì)利益的要求，大量例外的存在使得“同意條款”不能確定化、標(biāo)準(zhǔn)化而統(tǒng)一適用，這無疑削弱了同意的基本效力。

（二）規(guī)制本質(zhì)：公權(quán)力對(duì)金融市場(chǎng)和經(jīng)濟(jì)社會(huì)的法律限制

1.金融數(shù)據(jù)的公共屬性。作為信息的子分支，金融數(shù)據(jù)也具備一般信息的公開性和共享性特征，故而個(gè)人只能控制信息的聯(lián)接卻無法決定信息本身的產(chǎn)生與流動(dòng)。換言之，用戶產(chǎn)生的金融大數(shù)據(jù)實(shí)際上是社會(huì)公共基礎(chǔ)設(shè)施的一部分。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，世界進(jìn)入了以網(wǎng)絡(luò)化、智能化為特征的大數(shù)據(jù)時(shí)代，信息作為大數(shù)據(jù)技術(shù)發(fā)展的基礎(chǔ)資源，受到了廣泛關(guān)注。當(dāng)前，世界上許多國(guó)家都意識(shí)到大數(shù)據(jù)對(duì)促進(jìn)國(guó)家進(jìn)步和社會(huì)發(fā)展的重要性，從國(guó)家戰(zhàn)略層面加強(qiáng)信息數(shù)據(jù)的開發(fā)利用。金融數(shù)據(jù)的公開性和社會(huì)性決定了金融數(shù)據(jù)不應(yīng)完全由個(gè)人控制，而應(yīng)作為公共資源加以重新審視。2016年以來，歐美各國(guó)相繼推出了金融數(shù)據(jù)共享戰(zhàn)略。而在我國(guó)，中國(guó)人民銀行的征信系統(tǒng)也體現(xiàn)了國(guó)家監(jiān)管層面對(duì)個(gè)人金融數(shù)據(jù)歸屬利用的基本立場(chǎng)，將金融數(shù)據(jù)視為社會(huì)大數(shù)據(jù)的基礎(chǔ)組成部分，由國(guó)家機(jī)構(gòu)帶領(lǐng)全社會(huì)進(jìn)行數(shù)據(jù)資源共享，規(guī)制不誠(chéng)信行為的同時(shí)也能夠最大程度地保障個(gè)人權(quán)利。

2.金融數(shù)據(jù)的社會(huì)控制立場(chǎng)。面對(duì)多樣化、全息化的金融數(shù)據(jù)，國(guó)家安全風(fēng)險(xiǎn)隨著頻繁的數(shù)據(jù)采集、分析和應(yīng)用而顯著增加，在當(dāng)前立法中個(gè)人信息的私權(quán)保護(hù)理念無法滿足社會(huì)發(fā)展對(duì)金融數(shù)據(jù)公開性的要求。鑒于金融數(shù)據(jù)的公共性，對(duì)金融數(shù)據(jù)的使用、保護(hù)和監(jiān)管更應(yīng)該基于個(gè)人信息數(shù)據(jù)社會(huì)控制的理論，在社會(huì)控制、國(guó)家安全的優(yōu)先考量下，保護(hù)用戶個(gè)人、金融機(jī)構(gòu)等相關(guān)主體對(duì)個(gè)人金融數(shù)據(jù)信息的采集、存儲(chǔ)、交換、公開等應(yīng)用，構(gòu)建基于“社會(huì)控制”立場(chǎng)的金融數(shù)據(jù)跨境流動(dòng)監(jiān)管體系。對(duì)金融數(shù)據(jù)跨境流動(dòng)的監(jiān)管實(shí)質(zhì)上是國(guó)家公權(quán)力對(duì)金融市場(chǎng)管理和經(jīng)濟(jì)社會(huì)生活的一種法律限制。[7]（P10）如何在保障國(guó)家安全的前提下最大程度地滿足個(gè)人用戶的金融數(shù)據(jù)權(quán)利行使、鼓勵(lì)金融交易、促進(jìn)金融數(shù)據(jù)交流與國(guó)際合作，是當(dāng)前國(guó)家網(wǎng)絡(luò)與個(gè)人數(shù)據(jù)立法中最為關(guān)鍵的問題。

四、我國(guó)金融數(shù)據(jù)跨境流動(dòng)規(guī)制體系之構(gòu)想

（一）構(gòu)建國(guó)家安全與經(jīng)濟(jì)效率兼顧的多重監(jiān)管機(jī)制

1.監(jiān)管價(jià)值與原則。關(guān)于金融數(shù)據(jù)的流動(dòng)監(jiān)管，從比較法視野看，不同經(jīng)濟(jì)體立法價(jià)值取向有所差異。歐盟的立法以促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展為目標(biāo)，側(cè)重人權(quán)保護(hù)；美國(guó)奉行市場(chǎng)主導(dǎo)、行業(yè)自律；新加坡強(qiáng)調(diào)數(shù)據(jù)自由流動(dòng)，很少使用法律限制。數(shù)據(jù)自由流動(dòng)、數(shù)據(jù)產(chǎn)權(quán)保護(hù)、數(shù)據(jù)自主權(quán)以及數(shù)據(jù)的社會(huì)控制，是難以同時(shí)兼顧的，應(yīng)當(dāng)進(jìn)行選優(yōu)排序。我國(guó)的金融界是國(guó)家嚴(yán)格監(jiān)管的領(lǐng)域，在國(guó)家總體安全觀視角下，基于金融數(shù)據(jù)的社會(huì)公共產(chǎn)品屬性，依據(jù)數(shù)據(jù)流動(dòng)的社會(huì)控制理論與實(shí)踐，筆者認(rèn)為，應(yīng)當(dāng)以國(guó)家安全作為其核心價(jià)值，以國(guó)家對(duì)金融數(shù)據(jù)享有主權(quán)的國(guó)際法立場(chǎng)，構(gòu)建金融數(shù)據(jù)跨國(guó)流動(dòng)的監(jiān)管法律機(jī)制體系。與此同時(shí)，還應(yīng)當(dāng)通過動(dòng)態(tài)平衡的方式方法，在相關(guān)細(xì)則的確定中，堅(jiān)持?jǐn)?shù)字經(jīng)濟(jì)發(fā)展、用戶數(shù)據(jù)產(chǎn)權(quán)保護(hù)與國(guó)家金融安全相協(xié)調(diào)的規(guī)制原則。

2.監(jiān)管體系。在我國(guó)現(xiàn)有的金融監(jiān)管結(jié)構(gòu)下，要進(jìn)一步建構(gòu)國(guó)家行政監(jiān)管、行業(yè)自律監(jiān)管以及數(shù)據(jù)用戶自查相結(jié)合的法律規(guī)制體系。首先，在行政監(jiān)管方面，建立專門機(jī)構(gòu)統(tǒng)籌與相關(guān)部門協(xié)作的行政監(jiān)管機(jī)制。其次，在行業(yè)自律監(jiān)管方面，構(gòu)建行業(yè)協(xié)會(huì)和其他自律組織參與安全評(píng)估的合作機(jī)制，建立細(xì)化的數(shù)據(jù)流動(dòng)管理自律秩序。再次，在金融數(shù)據(jù)控制者的自覺監(jiān)管方面，應(yīng)當(dāng)在相關(guān)法律法規(guī)中明確金融數(shù)字控制主體在國(guó)家安全、數(shù)據(jù)保護(hù)等方面的自律自查責(zé)任。數(shù)據(jù)平臺(tái)公司要建立數(shù)據(jù)各周期環(huán)節(jié)的操作規(guī)范，內(nèi)化和落實(shí)國(guó)家監(jiān)管的要素及目標(biāo)。

3.監(jiān)管對(duì)象。金融數(shù)據(jù)跨境流動(dòng)的監(jiān)管對(duì)象應(yīng)當(dāng)是“全流域”的數(shù)據(jù)關(guān)涉主體，包括個(gè)人用戶、金融服務(wù)貿(mào)易與消費(fèi)的參與者、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者以及網(wǎng)絡(luò)運(yùn)營(yíng)者。鑒于我國(guó)相關(guān)立法已經(jīng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、網(wǎng)絡(luò)運(yùn)營(yíng)者作出了相關(guān)規(guī)定，筆者僅從個(gè)人用戶及金融數(shù)據(jù)控制者兩方面提出建議。一是個(gè)人用戶。盡管《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》已經(jīng)提出金融信息跨境流動(dòng)需“獲得個(gè)人金融信息主體明示同意”，但對(duì)于用戶的具體知情權(quán)、同意權(quán)或反對(duì)權(quán)、申訴權(quán)并未作細(xì)化規(guī)定。如前文所述，金融數(shù)據(jù)跨境流動(dòng)可能發(fā)生于用戶知情或不知情的情形下，并不能保證每次數(shù)據(jù)流動(dòng)都能獲得明確的用戶同意，這就需要為用戶建立相應(yīng)的申訴機(jī)制，保障其向監(jiān)管部門申訴并獲得補(bǔ)償?shù)臋?quán)利。監(jiān)管部門可聯(lián)合境外機(jī)構(gòu)，設(shè)立國(guó)際金融數(shù)據(jù)追蹤系統(tǒng)，及時(shí)向侵權(quán)者追償。以往的立法中較少?gòu)木S護(hù)金融安全、社會(huì)公共利益的視角對(duì)用戶加以監(jiān)管，導(dǎo)致個(gè)人用戶在使用跨境金融服務(wù)時(shí)的數(shù)據(jù)安全意識(shí)較淡薄，金融數(shù)據(jù)控制者在傳輸用戶數(shù)據(jù)時(shí)也主要關(guān)注業(yè)務(wù)的經(jīng)濟(jì)效益，較少考慮金融數(shù)據(jù)安全問題。對(duì)此，網(wǎng)信部門、金融監(jiān)管部門應(yīng)當(dāng)承擔(dān)起教育監(jiān)督的義務(wù)，做好跨境金融服務(wù)安全風(fēng)險(xiǎn)的普及工作，提醒用戶做好個(gè)人數(shù)據(jù)的保護(hù)，建立和完善用戶個(gè)人金融數(shù)據(jù)跨境流動(dòng)中的數(shù)據(jù)使用知情同意和授權(quán)制度。二是金融數(shù)據(jù)控制者。建議金融數(shù)據(jù)控制者成立信息安全保護(hù)自治組織，對(duì)于金融監(jiān)管范圍之內(nèi)的金融機(jī)構(gòu)，無論其持牌與否都需要強(qiáng)調(diào)金融屬性，金融數(shù)據(jù)跨境流動(dòng)時(shí)應(yīng)時(shí)刻以國(guó)家安全風(fēng)險(xiǎn)為規(guī)制重點(diǎn)，防止涉密或敏感信息流出境內(nèi)，同時(shí)在安全范疇內(nèi)盡可能促進(jìn)金融服務(wù)的多元化發(fā)展。金融數(shù)據(jù)控制者還可以設(shè)立內(nèi)容評(píng)定委員會(huì)，對(duì)于可能流出的金融數(shù)據(jù)是否威脅國(guó)家安全予以專業(yè)判定。[8]（P8）由于數(shù)據(jù)的在線性和保密性，其監(jiān)管的技術(shù)難度和成本都比較高，尤其難以在數(shù)據(jù)跨境流動(dòng)之后再進(jìn)行維護(hù)。在“谷歌訴岡薩雷斯”一案中，信息主體岡薩雷斯于2010年提出的谷歌侵犯其“被遺忘權(quán)”的主張，直到2014年歐洲聯(lián)盟法院才作出有利于岡薩雷斯的判決?？梢?，對(duì)金融數(shù)據(jù)控制者的監(jiān)管，主要依靠事前監(jiān)管，可以通過規(guī)定其金融數(shù)據(jù)流出前的審查、排查義務(wù)，保障重要信息數(shù)據(jù)排除在自由流動(dòng)的范疇之外。此外可借鑒歐盟與美國(guó)個(gè)人金融數(shù)據(jù)跨境流動(dòng)相關(guān)規(guī)則，明確商業(yè)機(jī)構(gòu)在金融數(shù)據(jù)跨境流動(dòng)中應(yīng)采取安全保障措施，并建立以金融數(shù)據(jù)發(fā)送方為核心的責(zé)任追究機(jī)制。

4.監(jiān)管的主客體。金融數(shù)據(jù)跨境監(jiān)管的主體包括國(guó)家和地區(qū)兩個(gè)層面。就國(guó)家行政監(jiān)管而言，對(duì)金融數(shù)據(jù)出境安全評(píng)估應(yīng)關(guān)注信息內(nèi)容和傳播渠道，確保其內(nèi)容符合國(guó)家法律法規(guī)和政策規(guī)定，確保網(wǎng)絡(luò)經(jīng)營(yíng)者獲取金融數(shù)據(jù)的渠道合法、合規(guī)。在地方監(jiān)管層面，省級(jí)網(wǎng)信部門要定期檢查網(wǎng)絡(luò)運(yùn)營(yíng)商的境外金融數(shù)據(jù)記錄等信息，重點(diǎn)檢查與金融數(shù)據(jù)流轉(zhuǎn)相關(guān)的合同義務(wù)履行情況，檢查是否存在損害金融數(shù)據(jù)主體合法權(quán)益的行為，以確保其在法律規(guī)定的范圍內(nèi)合理提供跨境網(wǎng)絡(luò)服務(wù)。

對(duì)于作為監(jiān)管客體的跨境金融數(shù)據(jù)，應(yīng)當(dāng)分層分類予以監(jiān)管，注意金融數(shù)據(jù)的出境安全評(píng)估，對(duì)可能造成我國(guó)網(wǎng)絡(luò)空間安全隱患的金融信息進(jìn)行有效識(shí)別和阻攔，限制相關(guān)數(shù)據(jù)的自由流動(dòng)?！秱€(gè)人金融信息保護(hù)技術(shù)規(guī)范》將個(gè)人金融信息按敏感程度從高到低分為C3、C2、C1三個(gè)類別，明確提到應(yīng)根據(jù)個(gè)人金融信息的不同類別，采用相應(yīng)的技術(shù)手段保證個(gè)人金融信息的存儲(chǔ)安全，但并未涉及數(shù)據(jù)在跨境傳輸中的分別監(jiān)管問題。對(duì)于金融數(shù)據(jù)，要根據(jù)不同情況明確傳輸條件，對(duì)不同風(fēng)險(xiǎn)的數(shù)據(jù)傳輸賦予不同的安全規(guī)制層級(jí)。對(duì)于集團(tuán)內(nèi)部財(cái)務(wù)數(shù)據(jù)的跨境傳輸，必須確保該行為發(fā)生在財(cái)務(wù)集團(tuán)的附屬機(jī)構(gòu)。在客戶明確得知數(shù)據(jù)傳輸是其履行的法律義務(wù)并同意的情況下，集團(tuán)內(nèi)部必須簽署包含數(shù)據(jù)保護(hù)條款的協(xié)議，且該協(xié)議要符合所涉國(guó)家或地區(qū)的法律標(biāo)準(zhǔn)。對(duì)于面向集團(tuán)外部的財(cái)務(wù)數(shù)據(jù)，應(yīng)認(rèn)真評(píng)估傳輸目的和接收機(jī)構(gòu)的數(shù)據(jù)保護(hù)能力，僅允許為外部審計(jì)目的向第三方跨境傳輸數(shù)據(jù)，以及根據(jù)監(jiān)管要求向金融監(jiān)管機(jī)構(gòu)跨境傳輸數(shù)據(jù)。

（二）加強(qiáng)金融數(shù)據(jù)流動(dòng)及其規(guī)制的國(guó)際合作

對(duì)跨境金融數(shù)據(jù)流動(dòng)的規(guī)制，在國(guó)際上主要通過區(qū)域性法律制度加以調(diào)整，如歐盟的《關(guān)于規(guī)范個(gè)人數(shù)據(jù)處理及其自由流動(dòng)的建議書（一般數(shù)據(jù)保護(hù)條例）》、亞太經(jīng)濟(jì)合作組織的《APEC跨境隱私規(guī)則機(jī)制——政策、規(guī)則和指南》、歐盟的BCR（Binding Corporate Rules）等。目前，我國(guó)尚未加入相關(guān)的國(guó)際合作組織，也未形成有效的金融數(shù)據(jù)治理體系。

以往我國(guó)網(wǎng)絡(luò)監(jiān)管部門主要關(guān)注網(wǎng)絡(luò)運(yùn)行環(huán)境和互聯(lián)網(wǎng)以外的非法攻擊，對(duì)金融數(shù)據(jù)的跨境流動(dòng)關(guān)注較少，這就使得金融數(shù)據(jù)流動(dòng)帶來的國(guó)家安全問題難以在國(guó)際視野下予以解決。[9]構(gòu)建我國(guó)的金融數(shù)據(jù)跨境流動(dòng)規(guī)則體系，必須通過國(guó)際監(jiān)管合作，以國(guó)家數(shù)字主權(quán)為核心價(jià)值，積極參與國(guó)際規(guī)則的制定，深化區(qū)域性國(guó)際合作，通過雙邊、多邊協(xié)作機(jī)制，選擇性借鑒金融數(shù)據(jù)流入國(guó)的監(jiān)管規(guī)則。

當(dāng)然，相關(guān)的嘗試已經(jīng)在進(jìn)行。2020年我國(guó)簽署的《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（RCEP）第八章附件一規(guī)定，締約方不得采取措施阻止其境內(nèi)的金融服務(wù)商傳輸日常業(yè)務(wù)所需的信息，但是金融服務(wù)提供商需要遵守與數(shù)據(jù)管理、存儲(chǔ)和系統(tǒng)維護(hù)以及在其境內(nèi)保存的記錄副本有關(guān)的法律法規(guī)，還需要維護(hù)個(gè)人數(shù)據(jù)、個(gè)人隱私以及個(gè)人記錄和賬戶保密的權(quán)利?？梢钥闯觯袊?guó)已經(jīng)逐漸開始借鑒《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》（CPTPP）中的數(shù)據(jù)流監(jiān)管思路，即以保證日常運(yùn)營(yíng)所需數(shù)據(jù)的自由流動(dòng)為原則，但有條件地賦予各監(jiān)管部門制定規(guī)則來限制數(shù)據(jù)流動(dòng)的權(quán)利。此外，筆者認(rèn)為還可以參考和接納《歐盟一般數(shù)據(jù)保護(hù)條例》（GDPR）和美國(guó)《加州消費(fèi)者隱私法案》（CCPA）等，制定具有國(guó)際視野和應(yīng)用空間的主體規(guī)制法則，這將是我國(guó)今后深入?yún)⑴c甚至主導(dǎo)國(guó)際數(shù)據(jù)信息規(guī)則和標(biāo)準(zhǔn)制定的法律基礎(chǔ)。[10]例如，GDPR禁止將國(guó)家管轄范圍內(nèi)的金融數(shù)據(jù)傳輸給沒有適當(dāng)數(shù)據(jù)保護(hù)的第三國(guó)或國(guó)際組織，以防止金融數(shù)據(jù)泄露到國(guó)外。我國(guó)也可以參考這一規(guī)定，出臺(tái)相關(guān)法律法規(guī)，提高跨境信息流動(dòng)和離岸接收的門檻，從源頭上遏制金融數(shù)據(jù)的非法流動(dòng)。

結(jié)語(yǔ)

金融數(shù)據(jù)的跨境流動(dòng)不僅僅是用戶自主行使的權(quán)利，更關(guān)乎網(wǎng)絡(luò)安全、金融安全與國(guó)家總體安全。未來我國(guó)金融數(shù)據(jù)規(guī)制體系要秉持“1+3”的原則：“1”是指金融數(shù)據(jù)跨境流動(dòng)的規(guī)制，要建立在國(guó)家數(shù)據(jù)主權(quán)之上，堅(jiān)定維護(hù)國(guó)家安全與金融穩(wěn)定這一核心價(jià)值；“3”即保護(hù)金融貿(mào)易服務(wù)與消費(fèi)者的數(shù)據(jù)權(quán)利、促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展、提高服務(wù)質(zhì)效。對(duì)金融數(shù)據(jù)跨境流動(dòng)的監(jiān)管，需要專門的高層級(jí)的立法，在國(guó)家金融監(jiān)管的結(jié)構(gòu)下，進(jìn)一步完善國(guó)家監(jiān)管、行業(yè)自律、用戶自覺多重監(jiān)管機(jī)制，區(qū)分金融數(shù)據(jù)跨境傳輸?shù)哪康?，?yán)格控制危害國(guó)家安全的數(shù)據(jù)流動(dòng)，要建立安全級(jí)別不同的評(píng)估機(jī)制以針對(duì)不同安全風(fēng)險(xiǎn)的金融數(shù)據(jù)控制者，既要最大限度激發(fā)金融市場(chǎng)活力，又要時(shí)刻牢記守住國(guó)家安全的最后防線。