田翔宇

摘? ?要：金融數(shù)據(jù)作為特殊的數(shù)據(jù)類型，對其跨境流動的監(jiān)管涉及數(shù)字經(jīng)濟發(fā)展、金融穩(wěn)定、國家安全、個人隱私與企業(yè)合法權(quán)益保護等諸多價值取向，其跨境流動模式的選擇需要基于本國金融發(fā)展現(xiàn)狀和金融監(jiān)管實踐，要體現(xiàn)國家利益訴求、平衡多元價值取向。我國金融數(shù)據(jù)跨境流動的監(jiān)管規(guī)則主要呈現(xiàn)出特殊規(guī)定與一般規(guī)定相結(jié)合、平衡多種價值的特點，同時存在對重要概念缺乏清晰界定、不同規(guī)則之間缺乏銜接、難以兼顧時效性的問題。在新的形勢下，我國應(yīng)當制定統(tǒng)一協(xié)調(diào)的金融數(shù)據(jù)跨境規(guī)則，以利益平衡為導(dǎo)向進行金融數(shù)據(jù)流動分級分類監(jiān)管，并積極參與全球數(shù)據(jù)流動規(guī)則制定，從而維護國家安全和利益。

關(guān)鍵詞：金融數(shù)據(jù);跨境流動;特殊規(guī)制

DOI：10.3969/j.issn.1003-9031.2021.04.007

中圖分類號：F832? ? ? ? ? ? ?文獻標識碼：A? ? ? ? 文章編號：1003-9031（2021）04-0051-08

一、引言

數(shù)據(jù)是一個十分寬泛的概念，由于不同行業(yè)、不同領(lǐng)域的數(shù)據(jù)治理具有極強的專業(yè)性，無論是國外還是國內(nèi)，對數(shù)據(jù)跨境流動普遍采用分業(yè)監(jiān)管的模式。因金融數(shù)據(jù)的識別、分類、處理、評估都具有很強的專業(yè)性，我國2020年的《數(shù)據(jù)安全法（草案）》明確了金融業(yè)主管部門承擔本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)，對金融數(shù)據(jù)的跨境傳輸采取特殊規(guī)制措施。信息流與資金流一樣，都是重要生產(chǎn)要素，無論是銀行、保險、證券機構(gòu)，還是金融基礎(chǔ)設(shè)施，抑或是監(jiān)管機構(gòu)都有大量專業(yè)而復(fù)雜的數(shù)據(jù)流動需求，金融數(shù)據(jù)跨境流動監(jiān)管是金融監(jiān)管框架的一部分，由金融業(yè)主管部門制定專門規(guī)則進行監(jiān)管，是必然的選擇。相比于大部分行業(yè)，金融行業(yè)對于數(shù)據(jù)跨境流動的數(shù)量需求更大、速度要求更高。金融業(yè)是全球化特點極為突出的行業(yè)，金融機構(gòu)的全球布局和集團化經(jīng)營都決定了金融數(shù)據(jù)在幾乎所有經(jīng)營場景下都可能涉及跨境流動問題。對金融機構(gòu)而言，跨境支付清算、境外盡職調(diào)查、監(jiān)管信息報送、機構(gòu)風(fēng)險管理、集團數(shù)字化經(jīng)營等場景都涉及海量數(shù)據(jù)的跨境問題，各國金融主管部門和監(jiān)管機構(gòu)同樣在執(zhí)法調(diào)查、反洗錢協(xié)作等領(lǐng)域存在數(shù)據(jù)傳輸?shù)男枨?。另外，金融?shù)據(jù)的跨境流動需要平衡的利益較多。一是金融數(shù)據(jù)往往包含較多的個人和機構(gòu)客戶信息，敏感性較高、隱私性較強，其流動必須保證在一國范圍內(nèi)充分保障信息的安全。二是金融機構(gòu)沉積了海量的客戶數(shù)據(jù)，網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等事件都可能會導(dǎo)致國家的金融安全和穩(wěn)定受到嚴重破壞。三是金融數(shù)據(jù)的跨境流動又能夠創(chuàng)造巨大的經(jīng)濟價值，這對于數(shù)字經(jīng)濟的發(fā)展、經(jīng)濟全球化的推進具有重要意義，數(shù)據(jù)流動的規(guī)制應(yīng)明確，但不能沒有上限。四是金融機構(gòu)的經(jīng)營單元呈現(xiàn)出全球配置的趨勢，資金流、信息流具有全球流動的需要，合理規(guī)制金融數(shù)據(jù)跨境流動，對于國外金融機構(gòu)參與中國金融市場建設(shè)，擴大金融開放，具有重要意義。

二、金融數(shù)據(jù)跨境流動的特殊規(guī)制思路

規(guī)制金融數(shù)據(jù)的跨境流動，其價值基礎(chǔ)在于維護國家安全、維護金融穩(wěn)定、保護金融消費者合法權(quán)益。在數(shù)字經(jīng)濟時代，數(shù)據(jù)本身對于金融機構(gòu)來講是極為重要的生產(chǎn)要素，數(shù)據(jù)的跨境流動對于金融業(yè)而言創(chuàng)造的價值也是前所未有的。合理平衡多個價值訴求的手段就在于合理劃分金融數(shù)據(jù)跨境流動的范圍、金融數(shù)據(jù)流動的限度以及數(shù)據(jù)處理者的權(quán)利義務(wù)。

（一）美國模式：內(nèi)外二元化規(guī)制

美國作為全球信息技術(shù)和金融業(yè)最為發(fā)達的國家，對于金融數(shù)據(jù)跨境自由流動的訴求最為強烈。在國際法層面，美國主導(dǎo)制定的一系列國際條約往往對金融數(shù)據(jù)的跨境流動采取特別規(guī)定以及“原則+例外”模式，即確立締約方保障金融服務(wù)領(lǐng)域數(shù)據(jù)跨境自由流動的義務(wù)，但也允許締約方基于一定的目的對數(shù)據(jù)的流動進行限制。如全面與進步跨太平洋伙伴關(guān)系協(xié)定（CPTPP）第11章金融服務(wù)章節(jié)就專門規(guī)定締約方可以基于公共政策目的，采取保護個人數(shù)據(jù)、個人隱私及個體記錄和賬戶機密的相關(guān)措施，并且可以出于審慎監(jiān)管的目的要求金融機構(gòu)指定企業(yè)作為數(shù)據(jù)接收方。

美國在國際條約和國內(nèi)立法的態(tài)度取向上呈現(xiàn)出二元化的現(xiàn)象，即內(nèi)部流動強調(diào)隱私保護和主張跨境自由流動并舉。一方面，美國在國際舞臺上持續(xù)發(fā)聲，反對嚴格規(guī)制數(shù)據(jù)的自由流動。美國貿(mào)易代表辦公室多次在中國WTO合規(guī)報告中對中國跨境數(shù)據(jù)流動監(jiān)管措施提出批評，指責(zé)中國對美國企業(yè)在內(nèi)的外國企業(yè)提出數(shù)據(jù)本地化要求，增加了美國企業(yè)進入中國市場的難度。另一方面，美國對包括金融業(yè)在內(nèi)的重點行業(yè)的數(shù)據(jù)跨境流動采取了嚴格的立法規(guī)制，限制美國本土的數(shù)據(jù)流出。但美國國內(nèi)立法的特點也或多或少體現(xiàn)了數(shù)據(jù)自由流動的價值導(dǎo)向，在聯(lián)邦層面缺少針對數(shù)據(jù)跨境流動的具體規(guī)制，而是側(cè)重于消費者隱私保護，在各州層面進行“精準監(jiān)管”，這也進一步凸顯了數(shù)字經(jīng)濟發(fā)展和消費者隱私保護之間的博弈和聯(lián)動。

在聯(lián)邦層面，美國法律對數(shù)據(jù)控制者的義務(wù)規(guī)定較為明確?！督鹑谙M者隱私權(quán)法》明確規(guī)定了金融機構(gòu)承擔保護消費者隱私權(quán)的法定義務(wù)。《格雷姆-里奇-比利雷法》（Gramm-Leach-Bliley Act，GLB Act）進一步明確了金融機構(gòu)在處理消費者金融信息時需要遵守的義務(wù)，包括通知、選擇、市場公開、安全和執(zhí)行。如金融機構(gòu)如果向第三人披露消費者或客戶的非公開個人信息，必須通知消費者或客戶，并且這一通知必須向消費者告知隱私政策，賦予消費者選擇退出的權(quán)利。2017年，紐約州的新金融條例明確規(guī)定紐約內(nèi)銀行針對任何可能危害數(shù)據(jù)的網(wǎng)絡(luò)事件需在72小時內(nèi)向金融服務(wù)部報告。此類網(wǎng)絡(luò)數(shù)據(jù)包含勒索軟件與拒絕服務(wù)攻擊在內(nèi)，銀行需有完備的網(wǎng)絡(luò)安全計劃，并雇傭首席信息安全官監(jiān)管安全程序與維護。

除了金融領(lǐng)域的立法之外，美國在外國投資國家安全審查法規(guī)中也對數(shù)據(jù)的跨境流動做出了規(guī)定。美國《外國投資與國家安全法》（FINSA）和《外國投資風(fēng)險審查現(xiàn)代化法案》（FIRRMA）賦予了美國外國投資委員會（CFIUS）審查收集美國公民個人敏感信息，并且以可能威脅美國國家安全的方式利用個人信息的投資。如果相關(guān)的投資可能涉及濫用美國公民個人信息的行為，則相關(guān)投資極有可能被CFIUS否決。

（二）歐盟模式：強隱私保護與接收地信息安全評估

與美國不同，歐盟將個人信息保護視為對基本權(quán)利的保護，采用人權(quán)與隱私保護先行的規(guī)制思路，在涉及歐盟公民個人信息向外部的流動問題上，采用了接收地信息安全評估模式，從而平衡數(shù)據(jù)流動和隱私保護的關(guān)系。接收地信息安全評估制度，也被稱為“第三國評估模式”，在允許數(shù)據(jù)向位于其他國家的個人或者組織進行流動之前，國家首先要對另一國的數(shù)據(jù)安全保護標準進行評估。美國曾經(jīng)與歐盟簽訂《安全港》框架協(xié)議，使得美國公司有權(quán)通過協(xié)議接受歐盟個人信息保護法的約束，從而獲得歐盟成員方公民的個人信息數(shù)據(jù)。但安全港協(xié)議于2015年被歐洲法院宣告無效，原因就在于法院認為美國政府對存儲在美國境內(nèi)服務(wù)器的數(shù)據(jù)進行監(jiān)視和非法利用，從而使得美國無法證明自己對數(shù)據(jù)提供了充分保護。后來，美歐之間通過隱私盾協(xié)議達成了數(shù)據(jù)流動規(guī)則的共識?！锻ㄓ脭?shù)據(jù)保護條例》（GDPR）同樣延續(xù)了歐盟以往的立法，第Ccb/234五條要求在數(shù)據(jù)傳輸中對數(shù)據(jù)接收國的數(shù)據(jù)安全保護水平進行充分性的認定，禁止個人數(shù)據(jù)向未確定的數(shù)據(jù)保護國家或組織進行流動。安全評估的內(nèi)容主要有：一是數(shù)據(jù)接收國或接收地的法治發(fā)展水平，如是否已經(jīng)制定個人數(shù)據(jù)保護的專門法規(guī)、是否有明晰的數(shù)據(jù)跨境流動監(jiān)管規(guī)則;二是是否存在專門的數(shù)據(jù)保護機關(guān);三是該國所締結(jié)或參加的數(shù)據(jù)保護國際條約的情況。同時，GDPR第三章也專門規(guī)定了多項數(shù)據(jù)主體權(quán)利，并規(guī)定控制者應(yīng)當按照規(guī)定幫助數(shù)據(jù)主體行使權(quán)利。數(shù)據(jù)主體權(quán)利主要細化為數(shù)據(jù)的訪問權(quán)、糾正權(quán)、擦除權(quán)（又稱“被遺忘權(quán)”）、限制處理權(quán)、拒絕權(quán)、自主決定權(quán)等。

在給予個人金融信息強保護的同時，歐盟也注重內(nèi)部生產(chǎn)要素的自由流動，以此來推動統(tǒng)一大市場的構(gòu)建。2015年，歐盟內(nèi)部批準的《關(guān)于內(nèi)部市場的支付服務(wù)指令（第2015/2366號）》規(guī)定，銀行在客戶明示同意的情況下應(yīng)當將客戶信息開放給第三方支付服務(wù)商，在審慎監(jiān)管的情況下，也允許由賬戶信息服務(wù)商跨境提供服務(wù)。

可見，美歐的金融數(shù)據(jù)流動總體上呈現(xiàn)出開放和自由的趨勢，但這樣的自由并非無條件、無限度，也絲毫不會削弱其對公民個人隱私的保護。無論是美國在國際法上對數(shù)據(jù)自由流動的主張還是歐盟對內(nèi)部金融信息流動的保障，抑或是前者通過國家安全審查限制數(shù)據(jù)出境和后者對公民隱私權(quán)的強力保護，歸根結(jié)底，各國都是基于自身數(shù)據(jù)保護能力和數(shù)字經(jīng)濟發(fā)展的國家利益來設(shè)計數(shù)據(jù)流動規(guī)則，從而確保自身所重視的價值利益被妥善平衡。

三、我國金融數(shù)據(jù)跨境流動規(guī)制特征

（一）金融特別規(guī)定嵌入網(wǎng)絡(luò)安全一般規(guī)定

我國對于金融數(shù)據(jù)跨境流動的特別規(guī)制采用的是“特殊規(guī)定+一般規(guī)定”的模式。一方面，金融數(shù)據(jù)的處理者必須遵守金融管理部門制定的數(shù)據(jù)流動規(guī)則;另一方面，相關(guān)金融機構(gòu)也必須遵守網(wǎng)信部門關(guān)于數(shù)據(jù)跨境流動的一般性規(guī)定。

我國金融管理部門對于個人金融數(shù)據(jù)最初采取較為嚴格的本地化存儲要求。2011年人民銀行《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》第六條規(guī)定，在中國境內(nèi)收集的個人金融信息的儲存、處理和分析應(yīng)當在中國境內(nèi)進行，除另有規(guī)定外，銀行業(yè)金融機構(gòu)不得向境外提供境內(nèi)個人金融信息。銀保監(jiān)會《銀行業(yè)金融機構(gòu)反洗錢和反恐怖融資管理辦法》規(guī)定，對依法履行反洗錢和反恐怖融資義務(wù)獲得的客戶身份資料和交易信息，非依法律、行政法規(guī)規(guī)定，銀行業(yè)金融機構(gòu)不得向境外提供?！墩餍艠I(yè)管理條例》也規(guī)定，征信機構(gòu)在中國境內(nèi)采集的信息的整理、保存和加工，應(yīng)當在中國境內(nèi)進行;向境外組織或個人提供信息，應(yīng)當遵守法律及有關(guān)規(guī)定。因為征信也屬于前文界定的個人金融信息的一種，我國法律對我國境內(nèi)收集的個人金融數(shù)據(jù)采用的是原則上進行本地存儲和處理，例外情況下才能向境外提供。

2020年公開征求意見的《個人金融信息保護技術(shù)規(guī)范》是較為全面的金融數(shù)據(jù)跨境流動規(guī)則，盡管其只是行業(yè)技術(shù)規(guī)范，但明確了個人金融信息本地化存儲的原則，并規(guī)定了跨境流動的情形、接收方、數(shù)據(jù)主體權(quán)利、數(shù)據(jù)處理者義務(wù)、程序等事項。主要內(nèi)容如下：數(shù)據(jù)的傳輸要符合“因業(yè)務(wù)需要，確需向境外機構(gòu)傳輸”;數(shù)據(jù)接收方應(yīng)當是總公司、母公司或分公司、子公司及其他為完成該業(yè)務(wù)所必需的關(guān)聯(lián)機構(gòu);符合國家法律法規(guī)及行業(yè)主管部門有關(guān)規(guī)定;獲得個人金融信息主體明示同意;應(yīng)依據(jù)國家、行業(yè)有關(guān)部門制定的辦法與標準進行安全評估，確保境外機構(gòu)數(shù)據(jù)安全保護能力達到國家、行業(yè)有關(guān)部門與金融業(yè)機構(gòu)的安全要求;應(yīng)與境外機構(gòu)通過簽訂協(xié)議、現(xiàn)場核查等方式，明確并監(jiān)督境外機構(gòu)有效履行個人金融信息保密、數(shù)據(jù)刪除、案件協(xié)查等職責(zé)義務(wù)。

金融數(shù)據(jù)的跨境傳輸，除了要遵守金融行業(yè)規(guī)定，還必須遵守網(wǎng)信部門對于數(shù)據(jù)跨境流動的一般規(guī)定，這也正是上述技術(shù)規(guī)范中所提到的“符合國家法律法規(guī)”。《網(wǎng)絡(luò)安全法》第三十七條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估。從該條規(guī)定我們至少可以看出，《網(wǎng)絡(luò)安全法》中的數(shù)據(jù)本地化存儲要求針對的是“關(guān)鍵基礎(chǔ)設(shè)施的運營者”。但《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》（以下簡稱《辦法（征求意見稿）》）并沒有全部沿用《網(wǎng)絡(luò)安全法》的規(guī)定，而是將數(shù)據(jù)本地化及安全評估的責(zé)任主體從《網(wǎng)絡(luò)安全法》規(guī)定的“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者”擴展為全部的網(wǎng)絡(luò)運營者。

對于“個人信息”的含義，《辦法（征求意見稿）》中規(guī)定，個人信息的內(nèi)涵有以下特點：以電子或其他方式記錄;單獨或與其他信息結(jié)合起來即可識別自然人的個人身份，并進行了不完全列舉 。而對于“重要數(shù)據(jù)”，《網(wǎng)絡(luò)安全法》并未對其具體內(nèi)涵進行界定，《辦法（征求意見稿）》也僅指出重要數(shù)據(jù)與國家安全、經(jīng)濟發(fā)展、社會公共利益密切相關(guān)。信息安全標準化技術(shù)委員會（“信安標委”）發(fā)布的第二版《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南（征求意見稿）》（以下簡稱《指南（征求意見稿）》）則進一步對重要信息的含義進行了解釋。《指南（征求意見稿）》中的“重要數(shù)據(jù)”有以下特征：不涉及國家秘密;與國家安全、經(jīng)濟發(fā)展和公共利益密切相關(guān);數(shù)據(jù)的濫用、篡改可能導(dǎo)致一系列嚴重后果 。金融領(lǐng)域“重要數(shù)據(jù)”的含義體現(xiàn)在該文件的附錄 A（規(guī)范性目錄）第（七）條，即數(shù)據(jù)的泄露足以“影響或危害國家經(jīng)濟秩序和金融安全”。但總的來說，對重要數(shù)據(jù)的規(guī)定目前還相對原則化，對數(shù)據(jù)處理者的預(yù)期保護并不足夠充分。

（二）體現(xiàn)價值平衡

正如《網(wǎng)絡(luò)安全法》第一條所言，數(shù)據(jù)立法的目的在于維護國家安全、社會公共利益，保護公民、法人和其他組織的合法權(quán)益，并促進經(jīng)濟社會信息化健康發(fā)展。無論是國際條約還是國內(nèi)立法，我國在金融數(shù)據(jù)領(lǐng)域的數(shù)據(jù)安全立法，體現(xiàn)了我國政府對于平衡國家安全、數(shù)據(jù)主權(quán)、金融穩(wěn)定、個人和企業(yè)權(quán)益保護并保障金融開放與發(fā)展的探索與努力。

我國參與締結(jié)的自由貿(mào)易協(xié)定和雙邊投資協(xié)定中，并無太多涉及金融數(shù)據(jù)流動的規(guī)則條款。2020年簽署的《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》（RCEP）第八章附件一規(guī)定，締約方不得采取措施阻止其領(lǐng)土內(nèi)的金融服務(wù)提供者為進行日常營運所需的信息轉(zhuǎn)移，包括通過電子方式或其它方式進行數(shù)據(jù)轉(zhuǎn)移，但并不阻礙締約方的監(jiān)管機構(gòu)出于監(jiān)管或?qū)徤髟蛞笃漕I(lǐng)土內(nèi)的金融服務(wù)提供者遵守與數(shù)據(jù)管理、存儲和系統(tǒng)維護、保留在其領(lǐng)土內(nèi)的記錄副本相關(guān)的法律和法規(guī)，也不妨礙締約方保護個人數(shù)據(jù)、個人隱私，以及個人記錄和帳戶機密性的權(quán)利，但條件是此類措施不是為了規(guī)避締約方在該條約項下的義務(wù)?？梢姡覈呀?jīng)逐步開始借鑒CPTPP中的數(shù)據(jù)流動規(guī)制思路，即確保日常運營需要的數(shù)據(jù)自由流動為原則，但又有條件地授予各國監(jiān)管機構(gòu)制定規(guī)則來限制數(shù)據(jù)流動的權(quán)利。盡管這一條款的規(guī)定并不足夠具體，但這一規(guī)制模式將會對后續(xù)我國的國內(nèi)立法產(chǎn)生較大影響。

我國的立法模式總體上也體現(xiàn)出了對個人權(quán)利、國家安全與社會公共利益、數(shù)字經(jīng)濟發(fā)展的兼顧?！毒W(wǎng)絡(luò)安全法》第三十七條所針對的數(shù)據(jù)是在中國境內(nèi)收集和產(chǎn)生的“個人信息”和“重要數(shù)據(jù)”。因此，與某些僅關(guān)注個人信息跨境流動的國際規(guī)則不同，《網(wǎng)絡(luò)安全法》第37條對數(shù)據(jù)的保護是一種“雙元保護”，不僅局限于“個人信息”，還包括其他的“重要數(shù)據(jù)”。此外，《網(wǎng)絡(luò)安全法》第三十一條明確了金融機構(gòu)屬于關(guān)鍵信息基礎(chǔ)設(shè)施，要進行重點保護。《網(wǎng)絡(luò)安全法》第三十七條采用的數(shù)據(jù)流動限制模式為“原則+例外”模式，即以個人信息和重要數(shù)據(jù)的本地化存儲為原則，安全評估為例外。原則上，滿足前述條件的個人信息和重要數(shù)據(jù)都應(yīng)當在中國境內(nèi)存儲，但如果確實需要向境外進行傳輸?shù)?，?yīng)當按照規(guī)定進行安全評估。安全評估的具體內(nèi)容和措施并未在該法中詳細規(guī)定，而是采用了“另行規(guī)定”的處理方式。2019年發(fā)布的《個人信息出境安全評估辦法（征求意見稿）》對個人信息出境的評估做出了更為細化的規(guī)定，審查的內(nèi)容既包括數(shù)據(jù)流動過程中對私主體權(quán)利的保護情況，也包括對國家安全和社會公共利益是否會存在影響。

四、存在的問題

（一）缺乏對重要數(shù)據(jù)等關(guān)鍵概念的清晰界定

前文提到，我國數(shù)據(jù)跨境流動監(jiān)管體系的基本特點之一是個人信息和重要數(shù)據(jù)的“雙元保護”，但在立法進度上，對個人信息出境的規(guī)定明顯快于重要數(shù)據(jù)。如2017年有關(guān)部門已經(jīng)就《辦法（征求意見稿）》公開征求意見，后續(xù)雖未出臺正式規(guī)定，但在2019年出臺《個人信息出境安全評估辦法（征求意見稿）》并征求意見。盡管2017年《指南（征求意見稿）》并未正式公布生效，但卻是唯一一部數(shù)據(jù)出境的國家標準指南征求意見稿。該征求意見稿所體現(xiàn)出的對重要數(shù)據(jù)的定義取向值得注意，但其對于金融領(lǐng)域重要數(shù)據(jù)的定義過于寬泛，包括了個人財產(chǎn)信息、賬戶信息等。這與個人金融信息高度重疊，實質(zhì)上涵蓋了金融機構(gòu)運營中的絕大多數(shù)數(shù)據(jù)類型。此外，現(xiàn)有的規(guī)則確立了數(shù)據(jù)跨境流動的“必要性”原則，但也沒有對何為“因業(yè)務(wù)需要確需向境外提供”的情形進行具體類型化，不利于為數(shù)據(jù)處理者提供合理預(yù)期。

（二）不同規(guī)則之間尚未做到清晰、協(xié)調(diào)、統(tǒng)一

《辦法（征求意見稿）》提出所有網(wǎng)絡(luò)運營者在向境外提供個人信息和重要數(shù)據(jù)時都需要進行安全評估，這實際上使得《網(wǎng)絡(luò)安全法》中“關(guān)鍵信息基礎(chǔ)設(shè)施”的概念已經(jīng)失去了應(yīng)有的意義?！秱€人信息保護法（草案）》明確了本人和個人信息處理者的權(quán)利義務(wù)、個人數(shù)據(jù)跨境提供的規(guī)則。首先，個人信息處理者應(yīng)當具備以下四項條件之一才能進行跨境傳輸：通過網(wǎng)信部門的安全評估;經(jīng)專業(yè)機構(gòu)進行個人信息保護認證;與境外接收方訂立合同并監(jiān)督其活動達到中國法的保護標準;法律、行政法規(guī)規(guī)定的其他條件。此外，數(shù)據(jù)處理者必須向個人告知境外接收方的身份、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使該法規(guī)定權(quán)利的方式等事項，并取得個人的單獨同意。這一草案提供的解決思路是值得借鑒的，即采用靈活的模式，讓在評估、認證、合同保護等措施中滿足其一。但如果按照目前將金融機構(gòu)全部納入關(guān)鍵信息基礎(chǔ)設(shè)施運營者，那么就全部需要經(jīng)過網(wǎng)信部門的安全評估，這使得“四選一”的靈活模式不能發(fā)揮應(yīng)有的作用。因此，多個數(shù)據(jù)流動規(guī)范之間的是何適用關(guān)系仍舊需要繼續(xù)明確。當然，目前缺乏銜接和協(xié)調(diào)的規(guī)則大部分都是征求意見稿，并未真正執(zhí)行，仍有調(diào)整的空間，因此數(shù)據(jù)流動立法既不能停滯不前，讓規(guī)則停留在宏觀的角度，也不能急于出臺而忽視了規(guī)范之間的協(xié)調(diào)統(tǒng)一。

（三）難以兼顧金融數(shù)據(jù)流動對時效性的特殊需求

即便不對個人金融信息的出境安全評估做出特殊規(guī)定，金融數(shù)據(jù)的出境也必須符合個人信息出境的一般規(guī)定。2019年征求意見的《個人信息出境安全評估辦法（征求意見稿）》提出的方案是數(shù)據(jù)處理者向省級網(wǎng)信部門提交安全評估材料，安全評估應(yīng)當在15個工作日內(nèi)完成，情況復(fù)雜的可以適當延長。這的確使得個人數(shù)據(jù)出境的程序變得清楚，但對于金融行業(yè)而言卻并不實用，因為金融市場信息瞬息萬變，金融風(fēng)險處置、經(jīng)營管理等操作對于數(shù)據(jù)的時效性要求很強，15個工作日的評估期限并不能夠滿足要求。退一步講，在現(xiàn)有的制度下任何的個人金融數(shù)據(jù)都需要滿足安全評估要求，也使得評估缺乏針對性，一定程度上犧牲了效率，容易造成金融數(shù)字壁壘。對于個人數(shù)據(jù)而言，金融管理部門的邏輯傾向于壓實數(shù)據(jù)處理者的責(zé)任，嘗試兼顧數(shù)據(jù)流動的便利性和安全性。網(wǎng)信部門的監(jiān)管思路則更應(yīng)將公共利益和個人保護放在一起，以安全為首要出發(fā)點制定規(guī)則，但不可避免地忽視了二者之間價值取向保護的不同，一定程度上難以兼顧效率。

五、金融數(shù)據(jù)跨境流動規(guī)制模式的改進建議

（一）制定統(tǒng)一的金融數(shù)據(jù)跨境流動特殊規(guī)則

隨著數(shù)字金融的發(fā)展和金融機構(gòu)的全球布局，金融業(yè)數(shù)據(jù)的跨境流動規(guī)模呈現(xiàn)出爆炸性增長。對金融數(shù)據(jù)跨境流動的規(guī)制，本質(zhì)上是公權(quán)力對金融經(jīng)濟活動進行監(jiān)管和干預(yù)，為了提升市場效率和透明度，這樣的干預(yù)應(yīng)當力求做到協(xié)調(diào)統(tǒng)一。

一是注重不同部門規(guī)則之間的協(xié)調(diào)。我國網(wǎng)絡(luò)安全立法和金融數(shù)據(jù)立法起步較晚，目前已經(jīng)形成“一般規(guī)定+特殊規(guī)定”的模式。但總體而言，由于分業(yè)監(jiān)管的歷史原因，針對金融行業(yè)數(shù)據(jù)流動的專門規(guī)定較為分散，且互相之間并未實現(xiàn)合理銜接。我國金融數(shù)據(jù)跨境流動規(guī)則的構(gòu)建，應(yīng)當在數(shù)據(jù)流動整體框架之下賦予人民銀行、銀保監(jiān)會、外管局等機構(gòu)制定統(tǒng)一金融數(shù)據(jù)流動規(guī)則的權(quán)限，構(gòu)建起清晰完整、層級分明的數(shù)據(jù)規(guī)則體系，并且做好與《網(wǎng)絡(luò)安全法》及其配套規(guī)則的銜接。如在《個人信息保護法（草案）》中就提到法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進行安全評估的，從其規(guī)定，這實際上為金融業(yè)這類數(shù)據(jù)流動時效性要求較高的行業(yè)提供了可能的便利條件。

二是加快完善金融領(lǐng)域“重要數(shù)據(jù)”跨境流動規(guī)則。我國對重要數(shù)據(jù)的界定不夠明晰，與個人數(shù)據(jù)存在重疊情況且相關(guān)出境規(guī)則缺失。既然采用了個人信息和重要數(shù)據(jù)“雙元保護”的模式，那么就應(yīng)該在金融領(lǐng)域也將這一思路貫徹到底。要進一步明確金融領(lǐng)域重要數(shù)據(jù)的流動程序，合理界定重要數(shù)據(jù)的范圍。目前金融業(yè)重要數(shù)據(jù)的定義采用的是損害評估的方法，指的是泄露足以“影響或危害國家經(jīng)濟秩序和金融安全”的數(shù)據(jù)。因此，應(yīng)當采取限縮解釋的方法，將重要數(shù)據(jù)嚴格限制在關(guān)乎保護公共利益、國家安全和金融安全的范圍內(nèi)。如交易場所、登記結(jié)算系統(tǒng)的數(shù)據(jù)及商業(yè)性金融機構(gòu)中足以影響系統(tǒng)性安全的數(shù)據(jù)庫等，避免將數(shù)量有限的、僅關(guān)乎個人利益、商業(yè)性利益的數(shù)據(jù)納入重要數(shù)據(jù)的范圍。在立法技術(shù)上，則可以沿用采用“部門規(guī)章+技術(shù)指南”方式，逐步細化，從而給數(shù)據(jù)處理者準確的預(yù)期。

三是關(guān)注當前數(shù)據(jù)處理者范圍擴張的趨勢。由于我國金融數(shù)據(jù)跨境流動既要接受金融業(yè)的特殊監(jiān)管，又要遵守網(wǎng)絡(luò)安全的一般規(guī)定，因此哪些機構(gòu)適用金融業(yè)特殊監(jiān)管就至關(guān)重要。除了持牌金融機構(gòu)以外，我國大量的金融科技公司和支付機構(gòu)也同樣從事著個人金融數(shù)據(jù)的收集、處理活動。因此，本文認為應(yīng)當牢固把握數(shù)據(jù)處理的金融屬性，正如采用《個人金融信息保護技術(shù)規(guī)范》中的思路，將所有從事金融信息處理的相關(guān)機構(gòu)全部納入監(jiān)管，從而合理識別數(shù)據(jù)處理者，實現(xiàn)從行業(yè)監(jiān)管到行為監(jiān)管。

（二）用利益平衡思維進行分層分類監(jiān)管

要區(qū)分個人信息和重要數(shù)據(jù)的流動規(guī)則，按照數(shù)據(jù)種類、數(shù)據(jù)用途進行精細化評估。個人和企業(yè)客戶信息基于商業(yè)用途的流動，強調(diào)數(shù)據(jù)主體權(quán)利和接收地信息安全狀況評估。對出于監(jiān)管原因以及重要數(shù)據(jù)的出境，則應(yīng)當以國家間金融監(jiān)管協(xié)調(diào)機制為基礎(chǔ)進行約定?！缎畔踩夹g(shù)個人信息安全規(guī)范》采用定義+列舉方式，明確了個人信息和個人敏感信息的區(qū)別。對個人敏感信息，要采取加密、分開存儲、摘要存儲等方式進行存儲和傳輸。2020年央行發(fā)布的《個人金融信息保護技術(shù)規(guī)范》以信息遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更后所產(chǎn)生的影響和危害為標準，將個人金融信息按敏感程度從高到低分為C3、C2、C1三個類別，明確提到應(yīng)根據(jù)個人金融信息的不同類別，采用技術(shù)手段保證個人金融信息的存儲安全，但并未涉及數(shù)據(jù)在跨境傳輸?shù)膯栴}上有何不同。因此，在對個人信息和重要數(shù)據(jù)進行評級的同時，也應(yīng)當為不同層級數(shù)據(jù)設(shè)置不同出境程序，從而實現(xiàn)數(shù)據(jù)出境的精準化監(jiān)管。

之所以對金融領(lǐng)域個人信息、重要數(shù)據(jù)進行分級分類監(jiān)管，分別施策，正是因為兩類數(shù)據(jù)所代表的利益價值不同，對于商業(yè)領(lǐng)域的私主體權(quán)利，很難斷言其直接影響金融安全與穩(wěn)定，自然不適合用維護社會公共利益、國家安全的方式來保護，而應(yīng)更多地采用強化數(shù)據(jù)主體權(quán)利、督促數(shù)據(jù)處理者完善自我監(jiān)督機制的方式進行保護。此外，為了平衡安全與效率，我國也可以參照國際經(jīng)驗，對安全港協(xié)議、白名單等工具進行大膽嘗試。

（三）積極參與國際數(shù)據(jù)流動規(guī)則構(gòu)建

國家利益的多樣性，導(dǎo)致了各國國內(nèi)金融數(shù)據(jù)立法的多元化和國際協(xié)調(diào)機制的碎片化。2020年我國政府提出的《全球數(shù)據(jù)安全倡議》呼吁各國應(yīng)要求企業(yè)嚴格遵守所在國法律，不得要求本國企業(yè)將境外產(chǎn)生、獲取的數(shù)據(jù)存儲在境內(nèi)。未經(jīng)他國法律允許不得直接向企業(yè)或個人調(diào)取位于他國的數(shù)據(jù)。各國如因打擊犯罪等執(zhí)法需要跨境調(diào)取數(shù)據(jù)，應(yīng)通過司法協(xié)助渠道或其他相關(guān)多雙邊協(xié)議解決。國家間締結(jié)跨境調(diào)取數(shù)據(jù)雙邊協(xié)議，不得侵犯第三國司法主權(quán)和數(shù)據(jù)安全，這也是我國近年來在國際層面上提出數(shù)據(jù)安全和流動主張的典型。

我國實際上已經(jīng)初步嘗試將個人信息出境的目的按照業(yè)務(wù)需要和執(zhí)法司法原因進行了區(qū)分?！秱€人信息保護法（草案）》第四十一條規(guī)定，因國際司法協(xié)助或行政執(zhí)法協(xié)助需要向境外提供個人信息的，應(yīng)當經(jīng)過有關(guān)主管部門批準。而因業(yè)務(wù)需要向境外提供的，則并不需要主管部門進行批準，這正是我國司法主權(quán)在數(shù)據(jù)流動領(lǐng)域的體現(xiàn)?！稊?shù)據(jù)安全法（草案）》第三十三條也提到，境外執(zhí)法機構(gòu)要求調(diào)取存儲于中華人民共和國境內(nèi)的數(shù)據(jù)的，有關(guān)組織、個人應(yīng)當向有關(guān)主管機關(guān)報告，獲得批準后方可提供。中華人民共和國締結(jié)或者參加的國際條約、協(xié)定對外國執(zhí)法機構(gòu)調(diào)取境內(nèi)數(shù)據(jù)有規(guī)定的，依照其規(guī)定。在跨境執(zhí)法與司法協(xié)助的事項上，需要保護的利益是國家主權(quán)和安全，因此應(yīng)當主要在國際法層面上采用條約等方式來解決。當前我國所締結(jié)的國際條約中，有關(guān)雙邊或多邊數(shù)據(jù)流動的條款較少，金融合作機制之下有關(guān)金融數(shù)據(jù)流動的特殊條款也較少，因此需要我國更加積極參與全球數(shù)據(jù)流動規(guī)則的構(gòu)建，強化國際協(xié)調(diào)，維護國家數(shù)據(jù)主權(quán)和國家利益，促進金融數(shù)據(jù)高效安全流動。

（責(zé)任編輯：孟潔）

參考文獻：

[1]劉桂平.數(shù)字化經(jīng)營：商業(yè)銀行的選擇[N].經(jīng)濟日報，2020-10-13.

[2]馬蘭.金融數(shù)據(jù)跨境流動規(guī)制的核心問題和中國因應(yīng)[J].國際法研究，2020（3）：82-101.

[3]李偉.我國金融數(shù)據(jù)跨境流動規(guī)則建設(shè)的思考與建議[J].中國銀行業(yè)，2020（1）：41-44.

[4]王遠志.我國銀行金融數(shù)據(jù)跨境流動的法律規(guī)制[J].金融監(jiān)管研究，2020（1）：51-65.

[5]孫方江.跨境數(shù)據(jù)流動：數(shù)字經(jīng)濟下的全球博弈與中國選擇[J].西南金融，2020（1）：3-13.

[6]馬其家，李曉楠.論我國數(shù)據(jù)跨境流動監(jiān)管規(guī)則的構(gòu)建[J].法治研究，2021（1）：92-102.

[7]程紅星，王超.金融市場基礎(chǔ)設(shè)施數(shù)據(jù)跨境流動法律問題研究[J].證券法律評論，2019（00）：180-190.

[8]姚前.數(shù)據(jù)跨境流動的制度建設(shè)與技術(shù)支撐[J].中國金融，2020（22）：27-29.

[9]于春敏.金融隱私保護政策“標準化”：美國經(jīng)驗及對我國的啟示[J].中共福建省委黨校學(xué)報，2017（8）：88-94.