張培培

摘 要：在概念法學的研究范式下，“數(shù)據(jù)跨境流動”基于其法律要素的組成，主要內(nèi)涵可概括為“內(nèi)容+行為”的模式。根據(jù)法律風險的類型化進路與數(shù)據(jù)跨境流動的多要素特征，數(shù)據(jù)跨境流動的主要風險是指在廣義的法律適用層面下可能產(chǎn)生的相關風險，可概括為違法風險、違規(guī)風險、違約風險與其他風險。應從金融行業(yè)與關鍵信息基礎設施、金融數(shù)據(jù)與個人信息利用保護、金融服務與金融配套服務機制等三個維度構(gòu)建網(wǎng)絡安全法語境下的金融安全。從美國于上世紀頒布的《海外反腐敗法案》（FCPA）至2018年歐盟發(fā)布的《通用數(shù)據(jù)保護條例》（GDPR），均反映出發(fā)達經(jīng)濟體在金融、數(shù)據(jù)領域構(gòu)建“長臂管轄”的訴求，目前我國亦已通過“政策-法律-法規(guī)”三位一體的管制體系推動我國金融數(shù)據(jù)跨境流動的他律與自律體系建設，相對應地，相關市場主體的合規(guī)路徑應至少包括以下三個方面：第一，信息合規(guī)治理進路;第二，數(shù)據(jù)資產(chǎn)治理進路;第三，人員設備治理進路。

關鍵詞：金融數(shù)據(jù);跨境流動;法律治理

一、數(shù)據(jù)跨境流動的相關法律風險

（一）數(shù)據(jù)跨境流動的主要內(nèi)涵

“數(shù)據(jù)跨境流動”（Transborder Flows of Data）一詞較早來源于經(jīng)濟發(fā)展與合作組織（OECD）頒布的《關于隱私保護和個人數(shù)據(jù)跨境流動的指南》。依照我國現(xiàn)行有效的法律、法規(guī)以及規(guī)范性文件，“數(shù)據(jù)跨境流動”一詞并未直接出現(xiàn)，這一概念在相關法律性文件中的相關表述為“個人信息和重要數(shù)據(jù)”“向境外提供”，在一些法律草案及征求意見稿中，涉及數(shù)據(jù)跨境流動的內(nèi)容則稍多一些，分別表述為“數(shù)據(jù)跨境安全、自由流動”“個人信息跨境提供的”“網(wǎng)絡運營者將在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，提供給位于境外的機構(gòu)、組織、個人”。

在概念法學的研究范式下，“數(shù)據(jù)跨境流動”基于其法律要素的組成，主要內(nèi)涵可概括為“內(nèi)容+行為”的模式?！皟?nèi)容”即為個人信息與重要數(shù)據(jù)，“行為”則涵蓋將前述“內(nèi)容”主動向境外主體提供、授權境外主體訪問相關“內(nèi)容”等形式，亦包含線上傳輸與線下提供。

（二）數(shù)據(jù)跨境流動的主要風險

筆者認為，根據(jù)法律風險的類型化進路與數(shù)據(jù)跨境流動的多要素特征，數(shù)據(jù)跨境流動的主要風險是指在廣義的法律適用層面下可能產(chǎn)生的相關風險，可概括為違法風險、違規(guī)風險、違約風險與其他風險。

違規(guī)風險主要是指在《網(wǎng)絡安全法》出臺背景下，相關法規(guī)以及規(guī)范性文件被違反所致的風險。就數(shù)據(jù)跨境流動而言，既包含內(nèi)容管理層面的信息管理安全規(guī)范，也涉及物理設備層面的技術管理安全規(guī)范。目前，《網(wǎng)絡產(chǎn)品和服務安全審查辦法（試行）》已經(jīng)頒行，《個人信息和重要數(shù)據(jù)出境安全評估辦法》的征求意見稿亦已出臺，在法規(guī)層面對數(shù)據(jù)跨境流動提供了相對細化的操作指引，若相關市場主體“選擇性忽視”，將會觸發(fā)違規(guī)風險。

違約風險主要是指就相關合同義務（數(shù)據(jù)提供服務）履行時出現(xiàn)瑕疵或因與公法規(guī)定相悖導致違約的風險。前述違法違規(guī)風險主要是在公法約束的語境下進行探討，而違約風險則是在私法層面進一步的明確法律風險。數(shù)據(jù)服務提供商在履行日常合約時應當在合法合規(guī)的前提下，做好保護商業(yè)秘密與合理利用數(shù)據(jù)的平衡，實現(xiàn)對供應方以及客戶方利益的兼顧，否則將面臨對某一方的違約風險。

其他風險主要是指政策或法律更新或更迭所致的風險以及法律域外管轄效力不足所致的風險等情況。僅在2000-2020年的二十年中，依據(jù)歐美對于數(shù)據(jù)跨境流動的監(jiān)管政策與態(tài)度的多次變化，可以大致劃分為四個階段：安全港協(xié)議階段、標準合同條款與約束性企業(yè)規(guī)則適用的過渡階段以及隱私盾協(xié)議與保護傘協(xié)議階段、體系性立法與監(jiān)管科技發(fā)展階段。目前網(wǎng)絡安全已經(jīng)愈發(fā)受到各國政府的重視，我國在網(wǎng)絡安全層面的政策強化以及法律優(yōu)化是大勢所趨，若相關市場主體沒有足夠的預見性，將會產(chǎn)生不必要的成本與風險。此外，一國法律無論是適用屬人原則抑或?qū)俚卦瓌t，依然在管轄時具有局限性，相關市場主體在數(shù)據(jù)跨境流動問題上，有可能面臨在適用境內(nèi)境外“雙重法律”時的更大壓力，導致相關法律風險。

二、網(wǎng)絡安全法語境下的金融安全

（一）金融行業(yè)與關鍵信息基礎設施

網(wǎng)絡安全法語境下的金融安全指向之一是金融行業(yè)以及與之相關聯(lián)的關鍵信息基礎設施?！毒W(wǎng)絡安全法》第31條明確，國家對公共通信與信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)與領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護。此外，2020年3月，中國人民銀行、發(fā)展改革委等六部門聯(lián)合印發(fā)《統(tǒng)籌監(jiān)管金融基礎設施工作方案》，進一步明確金融基礎設施對于金融市場秩序、金融創(chuàng)新發(fā)展的重要性?？傮w看來，金融安全向來與國家安全息息相關，隨著信息技術不斷發(fā)展，金融安全與網(wǎng)絡安全也密不可分，金融行業(yè)的特殊性以及關鍵信息基礎設施的重要性構(gòu)成了相關語境下金融安全的首要內(nèi)容。

（二）金融數(shù)據(jù)與個人信息利用保護

網(wǎng)絡安全法語境下的金融安全指向之二是金融數(shù)據(jù)與個人信息的利用與保護。金融數(shù)據(jù)中的相當部分來源于個人信息，而金融數(shù)據(jù)本身又屬于“重要數(shù)據(jù)”，故而金融數(shù)據(jù)屬于《網(wǎng)絡安全法》中“個人信息和重要數(shù)據(jù)”保護的重中之重。

（三）金融服務與金融配套服務機制

網(wǎng)絡安全法語境下的金融安全指向之三是金融服務與配套機制。在人們的慣常理解中，金融一詞的具象化往往對應了金融機構(gòu)，這是因為金融機構(gòu)承擔了金融資源配置這一金融領域的主要職能?？稍趯嵺`中，隨著金融服務的多元化以及信息技術的現(xiàn)代化，金融服務與金融配套服務的外延不斷擴大，越來越多的市場主體的規(guī)范被囊括到金融安全的范疇之中，例如一些金融數(shù)據(jù)的歸集、存儲等都離不開技術外協(xié)公司，一些金融產(chǎn)品的推出、增信等也離不開信用評估公司。諸如此類的金融服務與配套機制也構(gòu)成相關語境下金融安全的重要內(nèi)容。

三、金融數(shù)據(jù)跨境流動的管制體系與合規(guī)邏輯

（一）他律體系

金融數(shù)據(jù)跨境流動的他律體系主要包括政策推動與法律約束。隨后相關網(wǎng)絡安全政策逐步出臺。2016年11月，《網(wǎng)絡安全法》頒行，成為網(wǎng)絡安全領域的基本法?！毒W(wǎng)絡安全法》從關鍵信息基礎設施保護、個人信息權責分工明確、網(wǎng)絡安全等級保護制度等維度，對金融數(shù)據(jù)跨境流動作出了基本的規(guī)范。此外，最近國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》則勾勒了數(shù)據(jù)出境的基本監(jiān)管框架?？梢?，目前我國關于金融數(shù)據(jù)跨境流動的他律體系已經(jīng)形成“政策-法律-法規(guī)”三位一體的管制體系，已經(jīng)建成“專管部門-協(xié)管部門-司法部門”三位一體的裁斷機制。

隨著大數(shù)據(jù)技術及其制度環(huán)境的不斷發(fā)展，大規(guī)模與復雜的跨境數(shù)據(jù)流動成為常態(tài)，“走出去”與“引進來”的市場主體在數(shù)據(jù)跨境問題上均面臨必須滿足國內(nèi)外公權力機關依本國法所提出的數(shù)據(jù)收集、傳輸與使用等要求，即實現(xiàn)雙向合規(guī)。進一步地，由于金融數(shù)據(jù)既可能涉足境外立法或立法草案中的個人敏感信息，亦可能涉足金融市場秩序維護、金融效率提升、金融科技迭代的基本要素，因而，在金融數(shù)據(jù)語境下的金融與數(shù)據(jù)相結(jié)合的雙維強監(jiān)管已是勢所必至，相關市場主體應在立法趨嚴的“過渡期”中逐步適應他律體系的規(guī)范要求，實現(xiàn)雙向合規(guī)。

（二）自律體系

金融數(shù)據(jù)跨境流動的自律體系主要包括行業(yè)自律與企業(yè)自律。隨著國家對網(wǎng)絡安全的愈發(fā)重視，相關行業(yè)已經(jīng)在政府指導下組成了較為權威的自律組織。除了中國互聯(lián)網(wǎng)協(xié)會等與網(wǎng)絡相關的協(xié)會外，2016年3月中國網(wǎng)絡空間安全協(xié)會成立，成為網(wǎng)絡安全領域的首個全國性社會團體。中國網(wǎng)絡空間安全協(xié)會目前已對大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算等發(fā)布白皮書，對金融數(shù)據(jù)跨境流動形成了一定指導，為與金融服務技術相關的重點企業(yè)的運營規(guī)范提供了數(shù)據(jù)與參考。同時，中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《互聯(lián)網(wǎng)搜索引擎服務自律公約》與《互聯(lián)網(wǎng)終端軟件服務行業(yè)自律公約》等自律文件已具有相關參照意義。

此外，金融數(shù)據(jù)跨境流動的自律體系還包含市場主體的自律。與其他領域的自律管理相比，金融領域的自律管理與網(wǎng)安領域的自律管理具有更明確的法律依據(jù)。例如，《網(wǎng)絡安全法》第11條明確，網(wǎng)絡相關行業(yè)組織按照章程，加強行業(yè)自律，制定網(wǎng)絡安全行為規(guī)范，指導會員加強網(wǎng)絡安全保護，提高網(wǎng)絡安全保護水平，促進行業(yè)健康發(fā)展;《網(wǎng)絡產(chǎn)品和服務安全審查辦法（試行）》第3條明確，堅持市場主體承諾與社會整體監(jiān)督相結(jié)合，第三方評價與政府持續(xù)監(jiān)管相結(jié)合，實驗室檢測、現(xiàn)場檢查、在線監(jiān)測、背景調(diào)查相結(jié)合，對網(wǎng)絡產(chǎn)品、服務及其供應鏈進行網(wǎng)絡安全審查?？梢姡鹑跀?shù)據(jù)跨境流動的自律體系本身是基于法律原則規(guī)定與自律組織規(guī)范倡導基礎下的自律，具有較強的約束力與實踐力。

四、涉金融服務類企業(yè)的內(nèi)部約束與治理進路

相關市場主體的合規(guī)路徑應至少包括以下三個方面：第一，信息合規(guī)治理進路;第二，數(shù)據(jù)資產(chǎn)治理進路;第三，人員設備治理進路。

關于信息合規(guī)治理進路。就金融數(shù)據(jù)跨境流動而言，信息合規(guī)管理主要是指在響應外部監(jiān)管時，能及時判斷歸集、存儲的信息流動的合法合規(guī)性，并能較好的制定法律法規(guī)更迭時的應對機制。例如：《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》一旦獲得通過，市場主體應當對第11條提出的給國家經(jīng)濟安全帶來風險，可能影響國家安全、損害社會公共利益的數(shù)據(jù)不得出境的規(guī)定作出有效預判。

關于數(shù)據(jù)資產(chǎn)治理進路。就金融數(shù)據(jù)跨境流動而言，數(shù)據(jù)資產(chǎn)管理主要是指在信息合規(guī)管理的前提下，將數(shù)據(jù)作為有效資產(chǎn)進行合理運用與管理?！毒W(wǎng)絡安全法》以及相關規(guī)范性文件的出臺本身是為了管制相關數(shù)據(jù)跨境流動的行為并降低風險，而非為了刻意限制或者遏制數(shù)據(jù)的合理使用與有效利用?！毒W(wǎng)絡安全法》第12條明確規(guī)定，國家保護公民、法人與其他組織依法使用網(wǎng)絡的權利，促進網(wǎng)絡接入普及，提升網(wǎng)絡服務水平，為社會提供安全、便利的網(wǎng)絡服務，保障網(wǎng)絡信息依法有序自由流動。故而，相關市場主體應當辯證地看待網(wǎng)絡安全領域的法律法規(guī)，將其作為保護自身利益、保障行業(yè)秩序的利器，并在尋求信息合規(guī)管理的基礎上構(gòu)建“數(shù)據(jù)資產(chǎn)管理”的觀念，提供優(yōu)質(zhì)的金融信息服務。

關于人員設備治理進路。就金融數(shù)據(jù)跨境流動而言，人員設備管理主要是指在靜態(tài)的制度保障之外，還應當對人員、設備等動態(tài)事物進行有效管理。一如本文前述，金融數(shù)據(jù)跨境流動的管制體系包括他律體系與自律體系，靜態(tài)的制度保障（包括但不限于法律法規(guī)等）更多的傾向于他律體系，而人員設備的內(nèi)部管理則更多的側(cè)重于自律體系。盡管法律沒有明確規(guī)定相關市場主體的內(nèi)部治理，可相關市場主體仍應高度警惕因內(nèi)部人員失誤或設備問題導致的侵權責任。

金融服務是激活市場存量、優(yōu)化資源配置的重要手段，而金融數(shù)據(jù)是金融服務的重要載體，金融數(shù)據(jù)跨境流動在信息化時代下的規(guī)范對國家安全、網(wǎng)絡安全、金融安全已產(chǎn)生越來越重要的影響。誠然，市場主體響應外部制度約束并構(gòu)建內(nèi)部合規(guī)體系將面臨各類新工作量的發(fā)生，但以更好、安全地提供金融服務為導向的系統(tǒng)規(guī)劃、合規(guī)機制構(gòu)建已成為市場主體的當務之急。

參考文獻：

[1] See OECD， OECD Privacy Guidelines， http：//www.oecd.org/digital/ieconomy/privacy-guidelines.htm， last visited on March 3， 2021.

[2] 參見《中華人民共和國網(wǎng)絡安全法》第三十七條.

[3] 參見《中華人民共和國數(shù)據(jù)安全法（草案）》第十條.

[4] 參見《中華人民共和國個人信息保護法（草案）》第三章.

[5] 參見《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》第十七條.

[6] 參見漢斯-彼得·哈佛坎普等：《概念法學》，載《比較法研究》2012年第5期.

[7] 參見烏爾里?！へ惪酥?，張文杰等譯：《風險社會：新的現(xiàn)代性之路》，譯林出版社2018年版.

[8] 參見馬其家等：《論我國數(shù)據(jù)跨境流動監(jiān)管規(guī)則的構(gòu)建》，載《法治研究》2021年第1期.

[9] 參見葉開儒：《數(shù)據(jù)跨境流動規(guī)制中的“長臂管轄”——對歐盟GDPR的原旨主義考察》，載《法學評論》2020年第1期.

[10] 參見許多奇：《論跨境數(shù)據(jù)流動規(guī)制企業(yè)雙向合規(guī)的法治保障》，載《東方法學》2020年第2期.

[11] 參見楊東：《監(jiān)管科技：金融科技的監(jiān)管挑戰(zhàn)與維度建構(gòu)》，載《中國社會科學》2018年第5期.

[12] 參見陳巍等：“金融數(shù)據(jù)跨境流動的治理維度與合規(guī)路徑——以近期證券市場案例為視角”，網(wǎng)址鏈接：http：//www.acla.org.cn/article/page/detailById/20134，最后訪問時間：2021年3月3日.