◆鄭嬌嬌

金融數(shù)據(jù)跨境流轉(zhuǎn)的法律問(wèn)題研究

◆鄭嬌嬌

（北方工業(yè)大學(xué) 北京 100144）

金融科技的智能化發(fā)展，出現(xiàn)大量金融數(shù)據(jù)。數(shù)據(jù)的保護(hù)涉及隱私問(wèn)題，以及數(shù)據(jù)適用階段中，數(shù)據(jù)境外流轉(zhuǎn)中產(chǎn)生的新問(wèn)題。中國(guó)并未就金融數(shù)據(jù)形成統(tǒng)一完善的法律規(guī)定，建議以數(shù)據(jù)保護(hù)為主，促進(jìn)數(shù)據(jù)利用的立法目的，出臺(tái)金融數(shù)據(jù)法律規(guī)定，其內(nèi)容規(guī)定實(shí)施不同級(jí)別數(shù)據(jù)保護(hù)的差異化措施。最終促使平衡金融數(shù)據(jù)的保護(hù)與利用問(wèn)題。

隱私數(shù)據(jù)；數(shù)據(jù)跨境流轉(zhuǎn)

1 概述

大數(shù)據(jù)時(shí)代，技術(shù)驅(qū)動(dòng)發(fā)展到金融3.0時(shí)代，金融機(jī)構(gòu)逐步實(shí)現(xiàn)數(shù)據(jù)電子化、數(shù)據(jù)化。在該階段，大數(shù)據(jù)、區(qū)塊鏈、人工智能等新興科技引領(lǐng)金融業(yè)全方位變革，引發(fā)數(shù)據(jù)安全問(wèn)題的思考。數(shù)據(jù)安全有兩層含義，一是指數(shù)據(jù)不損壞、不丟失；二是數(shù)據(jù)不被盜用或偷走。在金融數(shù)據(jù)跨境流轉(zhuǎn)階段，法律制度層面上如何保障金融數(shù)據(jù)安全，成為亟待解決的問(wèn)題。本文并不詳細(xì)論述數(shù)據(jù)與信息的關(guān)聯(lián)，而將數(shù)據(jù)視為信息的擴(kuò)大化解釋。

金融數(shù)據(jù)安全的重要性主要體現(xiàn)在以下兩個(gè)方面：其一，金融數(shù)據(jù)廣泛存在于各個(gè)金融領(lǐng)域中，通過(guò)運(yùn)用金融數(shù)據(jù)進(jìn)行分析比較，節(jié)省了時(shí)間和金錢成本，為金融服務(wù)提供了更加高效的選擇。其二，有利于維護(hù)金融秩序穩(wěn)定。倘若金融數(shù)據(jù)一旦泄露或被篡改，直接威脅到金融客戶的個(gè)人信息數(shù)據(jù)，進(jìn)而影響著交易安全。

2 數(shù)據(jù)安全問(wèn)題的立法探討

2.1 各國(guó)關(guān)于數(shù)據(jù)安全問(wèn)題的法律規(guī)定

（1）歐盟：統(tǒng)一立法模式

在1981年，歐洲議會(huì)通過(guò)了有關(guān)個(gè)人數(shù)據(jù)保護(hù)的《保護(hù)自動(dòng)化處理個(gè)人數(shù)據(jù)公約》，這是世界上第一個(gè)有約束力的規(guī)范數(shù)據(jù)使用、保護(hù)個(gè)人隱私、促進(jìn)數(shù)據(jù)交流的國(guó)際公約。1995年，歐洲議會(huì)和歐盟理事會(huì)通過(guò)了《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類數(shù)據(jù)自由流動(dòng)的指令》。其立法目的定位為兩個(gè)方面，一是保護(hù)自然人的基本權(quán)利和自由，特別是保護(hù)數(shù)據(jù)處理過(guò)程中的個(gè)人隱私權(quán)；二是促進(jìn)數(shù)據(jù)在成員國(guó)之間的合法流通。2016年4月，歐洲議會(huì)和歐洲理事會(huì)通過(guò)了《通用數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱GDPR），取代了1995年數(shù)據(jù)保護(hù)指令的條例。隨著一系列法律文件相繼出臺(tái)，構(gòu)建一套比較完善的數(shù)據(jù)保護(hù)制度體系。

（2）美國(guó)：分散立法模式

數(shù)據(jù)的使用涉及隱私問(wèn)題，而美國(guó)是世界上最早提出并通過(guò)法規(guī)對(duì)隱私權(quán)予以保護(hù)的國(guó)家。在傳統(tǒng)法上也堅(jiān)持告知與許可原則，將包括隱私在內(nèi)的個(gè)人數(shù)據(jù)視為一項(xiàng)財(cái)產(chǎn)權(quán)。1970年公布的《聯(lián)邦公平信用報(bào)告法》被認(rèn)為是美國(guó)個(gè)人數(shù)據(jù)保護(hù)的開端；美國(guó)相繼制定了《隱私法案》、《電子通訊隱私法案》及《網(wǎng)上兒童隱私權(quán)保護(hù)法》。除了《隱私法案》，聯(lián)邦和各州就具體類型的個(gè)人信息進(jìn)行了分別立法，構(gòu)建起美國(guó)特色的分散立法模式。在金融法領(lǐng)域，美國(guó)制定了與個(gè)人信息保護(hù)相關(guān)的《公平信用報(bào)告法》、《金融隱私權(quán)法》、《金融服務(wù)現(xiàn)代化法案》等法律，也包括消費(fèi)者隱私權(quán)法案。1994年的《金融隱私權(quán)利法》、《電子轉(zhuǎn)賬法》等都對(duì)信息處理進(jìn)行了明確的規(guī)定。

（3）中國(guó)的相關(guān)規(guī)定

從法律規(guī)定來(lái)看，個(gè)人信息受到法律保護(hù)已成共識(shí)。根據(jù)《民法典人格權(quán)編》第一千零三十四條規(guī)定，自然人的個(gè)人信息受法律保護(hù)。2016年《中華人民共和國(guó)網(wǎng)絡(luò)安全法》針對(duì)網(wǎng)絡(luò)信息安全提出一系列的措施。《侵權(quán)責(zé)任法》對(duì)侵犯一般隱私權(quán)進(jìn)行了救濟(jì)上的規(guī)定。

在金融領(lǐng)域方面，2011年《人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》中第一次定義個(gè)人金融信息。《反洗錢法》、《商業(yè)銀行法》、《證券法》、《保險(xiǎn)法》、《銀行監(jiān)督管理法》等都要求金融機(jī)構(gòu)在違法時(shí)承擔(dān)法律責(zé)任。同時(shí)《數(shù)據(jù)安全管理辦法》、《個(gè)人信息出境安全評(píng)估辦法》以及2020年《信息安全技術(shù)個(gè)人信息安全規(guī)范》等規(guī)定陸續(xù)出臺(tái)，進(jìn)一步維護(hù)數(shù)據(jù)安全問(wèn)題。

2.2 數(shù)據(jù)跨境流轉(zhuǎn)問(wèn)題的法律規(guī)定

1995年，歐盟《95指令》第25條確立了“充分保護(hù)原則”，明確數(shù)據(jù)流向的目的國(guó)必須達(dá)到歐盟認(rèn)可的充分保護(hù)水平。該指令將人權(quán)保護(hù)放置在極高的位置上，通過(guò)數(shù)據(jù)跨境流動(dòng)的規(guī)則指引以充分保障歐洲公民的人權(quán)。GDPR對(duì)數(shù)據(jù)的跨境流動(dòng)做出了嚴(yán)格的限制，要求數(shù)據(jù)接收國(guó)或地區(qū)要確保達(dá)到充分水平的保護(hù)標(biāo)準(zhǔn)。

1999年美國(guó)《金融服務(wù)現(xiàn)代化法》第五章對(duì)公民隱私權(quán)的保護(hù)專門進(jìn)行了規(guī)制，明確了金融隱私保護(hù)的五項(xiàng)基本原則。2017年美國(guó)紐約州金融服務(wù)部率先通過(guò)了全美境內(nèi)首部針對(duì)金融機(jī)構(gòu)的網(wǎng)絡(luò)安全法規(guī)《23 NYCRR 500》，要求銀行、保險(xiǎn)公司和受金融服務(wù)部監(jiān)管的其他機(jī)構(gòu)實(shí)施保護(hù)消費(fèi)者數(shù)據(jù)的網(wǎng)絡(luò)安全計(jì)劃，定期評(píng)估相關(guān)風(fēng)險(xiǎn)，建構(gòu)了最低的安全要求框架。

中國(guó)《網(wǎng)絡(luò)安全法》首次明確了我國(guó)數(shù)據(jù)跨境流動(dòng)的管理政策，其中第三十七條要求個(gè)人信息要在我國(guó)境內(nèi)存儲(chǔ)。2019年6月13日，網(wǎng)信辦發(fā)布了《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》，對(duì)個(gè)人信息出境的評(píng)估做出了具體規(guī)定。第2條強(qiáng)調(diào)，經(jīng)安全評(píng)估認(rèn)定個(gè)人信息出境可能影響國(guó)家安全、損害公共利益，或者難以有效保障個(gè)人信息安全的，不得出境。

3 數(shù)據(jù)安全保護(hù)與利用的法律問(wèn)題

隨著大數(shù)據(jù)技術(shù)的發(fā)展，歐盟與美國(guó)關(guān)于金融數(shù)據(jù)的跨境流動(dòng)的立法模式是不同的，采取了近乎相反的法律對(duì)策。從立法上，歐盟（不包括英國(guó)）堅(jiān)持認(rèn)為，個(gè)人數(shù)據(jù)更具保護(hù)價(jià)值，將個(gè)人數(shù)據(jù)視為基本人權(quán)。因而內(nèi)容上更加關(guān)注對(duì)私人領(lǐng)域的個(gè)人信息保護(hù)。而各成員國(guó)中，通過(guò)國(guó)家綜合立法確立相關(guān)的個(gè)人信息保護(hù)的原則、具體制度和措施。然而，美國(guó)為充分利用大數(shù)據(jù)促進(jìn)社會(huì)經(jīng)濟(jì)發(fā)展的優(yōu)勢(shì)，美國(guó)政府更傾向于以改良的法律規(guī)則和政策框架保護(hù)隱私權(quán)的同時(shí)，促進(jìn)大數(shù)據(jù)技術(shù)的運(yùn)用。具體看，歐盟、美國(guó)關(guān)于金融數(shù)據(jù)的跨境流動(dòng)規(guī)則，如下：

歐盟針對(duì)銀行金融數(shù)據(jù)的跨境流動(dòng)規(guī)制，仍以GDPR主導(dǎo)下的個(gè)人數(shù)據(jù)保護(hù)規(guī)則為主，整體上推行“人權(quán)與隱私保護(hù)先行”與嚴(yán)格監(jiān)管框架下的銀行金融數(shù)據(jù)共享機(jī)制，并未突出對(duì)傳統(tǒng)金融監(jiān)管一般價(jià)值目標(biāo)的追求，并少有明確的特殊監(jiān)管規(guī)則。與歐盟不同，美國(guó)政府和業(yè)界反對(duì)嚴(yán)苛立法規(guī)范個(gè)人數(shù)據(jù)處理行為，認(rèn)為強(qiáng)硬的法律結(jié)構(gòu)會(huì)“不可避免地阻礙商業(yè)活動(dòng)”。美國(guó)在風(fēng)險(xiǎn)可控的前提下，仍希望最大程度地實(shí)現(xiàn)數(shù)據(jù)自由流動(dòng)。在雙邊或多邊協(xié)定中加入金融數(shù)據(jù)跨境流動(dòng)條款。

總而言之，歐盟機(jī)制過(guò)于側(cè)重?cái)?shù)據(jù)流動(dòng)過(guò)程中的個(gè)人隱私保護(hù)，與貿(mào)易全球化趨勢(shì)產(chǎn)生了沖突。與此相反，美國(guó)要求數(shù)據(jù)控制機(jī)構(gòu)應(yīng)遵守個(gè)人數(shù)據(jù)保護(hù)的規(guī)則，但容易出現(xiàn)監(jiān)管者對(duì)數(shù)據(jù)控制機(jī)構(gòu)管理不到位的情況。中國(guó)對(duì)于數(shù)據(jù)跨境流動(dòng)的規(guī)制起步較晚，尚未形成系統(tǒng)化的數(shù)據(jù)跨境流動(dòng)規(guī)則，部分關(guān)于數(shù)據(jù)和數(shù)據(jù)跨境流動(dòng)的規(guī)則散見于各規(guī)范性文件之中。

4 完善建議

新興技術(shù)沖擊原有的法律制度框架，“不破不立”，因而思考在法律層面上促進(jìn)金融數(shù)據(jù)安全。在金融創(chuàng)新的大趨勢(shì)背景下，技術(shù)的領(lǐng)先帶來(lái)法律制度的發(fā)展，中國(guó)應(yīng)堅(jiān)持采取自己的模式和規(guī)則，模仿其他國(guó)家的發(fā)展模式顯然是不夠完善的。對(duì)于金融數(shù)據(jù)安全問(wèn)題，堅(jiān)持?jǐn)?shù)據(jù)保護(hù)為主、促進(jìn)數(shù)據(jù)利用，統(tǒng)一于促進(jìn)金融活動(dòng)的模式。其次，分類統(tǒng)合金融數(shù)據(jù)，并在數(shù)據(jù)流轉(zhuǎn)階段提出差異化管理措施?；诓煌鹑跀?shù)據(jù)類別，采取不同嚴(yán)格程度的措施。

4.1 堅(jiān)持以數(shù)據(jù)保護(hù)為主、促進(jìn)數(shù)據(jù)利用的立法模式

上述各國(guó)相關(guān)規(guī)定中，歐盟采取強(qiáng)化人權(quán)保護(hù)、數(shù)據(jù)保護(hù)的模式，而美國(guó)則相對(duì)寬松，在許可數(shù)據(jù)使用的情況下，分散立法規(guī)定違反義務(wù)的情形。中國(guó)在充分借鑒其他國(guó)家的立法模式上，考慮本國(guó)的立法模式。雖然目前中國(guó)并未形成統(tǒng)一完備的金融數(shù)據(jù)法律規(guī)定，但就金融革新而言，中國(guó)處在創(chuàng)新的前端。技術(shù)的領(lǐng)先發(fā)展，帶來(lái)了法律制度的變更。目前，中國(guó)面對(duì)更加開放的金融環(huán)境，促使金融市場(chǎng)迅速發(fā)展。法律從來(lái)不應(yīng)該阻礙技術(shù)的發(fā)展，相反，而應(yīng)助力技術(shù)的發(fā)展。因而金融數(shù)據(jù)安全應(yīng)堅(jiān)持以數(shù)據(jù)保護(hù)為主，但并不做過(guò)多的限制，避免出現(xiàn)歐盟因?yàn)橄拗七^(guò)多而發(fā)展受阻的情形。倘若將數(shù)據(jù)推崇至人權(quán)的范圍內(nèi)，這是不可取的。另外，促進(jìn)數(shù)據(jù)利用，則是體現(xiàn)在上述差異化措施中，堅(jiān)持促進(jìn)金融活動(dòng)發(fā)展、金融交易高效運(yùn)轉(zhuǎn)。

4.2 分類統(tǒng)合金融數(shù)據(jù)

2020年《信息安全技術(shù)個(gè)人信息安全規(guī)范》對(duì)個(gè)人信息、個(gè)人敏感信息、個(gè)人生物識(shí)別信息、未滿14周歲未成年人的個(gè)人信息進(jìn)行了不同的規(guī)定。可以看出，將個(gè)人信息進(jìn)行分類化，最根本的底線在于維護(hù)國(guó)家的公共利益。因而在金融數(shù)據(jù)領(lǐng)域，參考借鑒此種做法，實(shí)現(xiàn)在大數(shù)據(jù)時(shí)代下的有效保護(hù)和監(jiān)管。數(shù)據(jù)流轉(zhuǎn)階段提出差異化管理措施，基于不同金融數(shù)據(jù)類別，采取不同嚴(yán)格程度的措施。將金融數(shù)據(jù)做出不同層別的分類，考慮因素包括使用主體、使用內(nèi)容、使用目的等等，按照金融數(shù)據(jù)的重要程度和敏感程度分別規(guī)定。

首先，將金融數(shù)據(jù)按照重要性和敏感性進(jìn)行劃分，從使用主體上，考慮不同金融機(jī)構(gòu)使用信息的授權(quán)范圍；從使用內(nèi)容上，明確數(shù)據(jù)授權(quán)方的授權(quán)范圍，超越權(quán)限范圍是否需要進(jìn)行再一次的同意許可，以及數(shù)據(jù)使用方處于數(shù)據(jù)授權(quán)方的監(jiān)督下；從使用目的上，明確數(shù)據(jù)收集利用的目的，同時(shí)按照風(fēng)險(xiǎn)路徑進(jìn)行分析。最重要的監(jiān)管措施就是透明化，數(shù)據(jù)使用方進(jìn)行流轉(zhuǎn)數(shù)據(jù)或存儲(chǔ)數(shù)據(jù)，涉及第三方，則明確列明所有的第三方信息，讓數(shù)據(jù)流轉(zhuǎn)階段更加清晰可見、有跡可循。

其次配套實(shí)施各項(xiàng)措施。基于金融數(shù)據(jù)的類型區(qū)別，按照不同的嚴(yán)格程度對(duì)金融數(shù)據(jù)進(jìn)行監(jiān)管。例如，對(duì)于個(gè)人信息與未滿14周歲的未成年人信息，規(guī)制是不一樣的。對(duì)于重要性和敏感性低的金融數(shù)據(jù)，在數(shù)據(jù)流轉(zhuǎn)階段采取較為寬松的規(guī)則，促進(jìn)金融交易的效率。對(duì)于重要性和敏感性高的金融數(shù)據(jù)，雙重許可或者超出使用權(quán)限后進(jìn)行重新許可等等。對(duì)于特別規(guī)定的金融數(shù)據(jù)，涉及國(guó)家公共安全和利益，對(duì)于金融數(shù)據(jù)的使用問(wèn)題做出差異的規(guī)定。

[1]楊松，張永亮.金融科技監(jiān)管的路徑轉(zhuǎn)換與中國(guó)選擇[J].法學(xué)，2017（08）：3-14.

[2]廖凡.論金融科技的包容審慎監(jiān)管[J].中外法學(xué)，2019，31（03）：797-816.

[3]吳沈括，李京北：歐盟理事會(huì)關(guān)于《一般數(shù)據(jù)保護(hù)條例》施行的最新立場(chǎng)[EB/OL]，（2020-06-06）[2020-08-06].https://mp.weixin.qq.com/s/m4B4XQjgxHIDhnb-5rRISg.

[4]何穎.數(shù)據(jù)共享背景下的金融隱私保護(hù)[J].東南大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2017，19（01）：85-91+144.

[5]吳沈括，霍文新.歐盟GDPR與數(shù)據(jù)跨境問(wèn)題分析[J].中國(guó)信息安全，2018（07）：31-33+37.

[6]王遠(yuǎn)志.我國(guó)銀行金融數(shù)據(jù)跨境流動(dòng)的法律規(guī)制[J].金融監(jiān)管研究，2020（01）：51-65.

[7]辜明安，王彥.大數(shù)據(jù)時(shí)代金融機(jī)構(gòu)的安全保障義務(wù)與金融數(shù)據(jù)的資源配置[J].社會(huì)科學(xué)研究，2016（03）：76-82.

[8]張繼紅.論我國(guó)金融消費(fèi)者信息權(quán)保護(hù)的立法完善——基于大數(shù)據(jù)時(shí)代金融信息流動(dòng)的負(fù)面風(fēng)險(xiǎn)分析[J].法學(xué)論壇，2016，31（06）：92-102.

[9]洪延青.透析金融數(shù)據(jù)保護(hù)的美歐中立法要點(diǎn)和趨勢(shì)[J].中國(guó)銀行業(yè)，2018（11）：39-42.

[10]劉紹新.全球化背景下的個(gè)人數(shù)據(jù)跨境流動(dòng)[J].中國(guó)金融，2019（23）：68-70.