■ 張旭光

（西北政法大學 陜西西安 710063）

互聯(lián)網(wǎng)、大數(shù)據(jù)、區(qū)塊鏈等數(shù)字信息技術的發(fā)展，推動了銀行業(yè)及其監(jiān)管的數(shù)字化轉型，數(shù)據(jù)也成為這一行業(yè)的關鍵性生產(chǎn)要素。在新冠肺炎疫情、地緣沖突等因素疊加影響下，銀行機構在跨境數(shù)據(jù)傳輸過程中不僅要受到本國監(jiān)管，還面臨著東道國基于業(yè)務需求、國家安全、反壟斷、反洗錢的監(jiān)管。完善本國銀行業(yè)監(jiān)管數(shù)據(jù)跨境流動規(guī)則，在多邊合作框架下建立起國家間銀行監(jiān)管數(shù)據(jù)交換與分享機制，實現(xiàn)跨國銀行數(shù)據(jù)雙邊合規(guī)、監(jiān)管當局透明合作、銀行數(shù)據(jù)自由流動三者之間的平衡，具有重要的理論與現(xiàn)實意義。

一、銀行監(jiān)管數(shù)據(jù)跨境流動的理論前提

（一）數(shù)據(jù)及相關概念的界定

研究和制定銀行監(jiān)管信息跨境流動的規(guī)則，首先必須厘清“信息”“數(shù)據(jù)”與“銀行監(jiān)管信息”等術語的基本含義和范疇。從理論上來看，數(shù)據(jù)是指對客觀事物的符號表示，是用于表示客觀事物的原始素材，如圖形、符號、數(shù)字、字母等。它不僅包括傳統(tǒng)媒介上數(shù)據(jù)內容的數(shù)字化呈現(xiàn)，還包括數(shù)字信息系統(tǒng)直接產(chǎn)生的數(shù)據(jù)元素。信息是一種經(jīng)過加工、分析和整合的特定化數(shù)據(jù)。數(shù)據(jù)是信息的來源和動力，信息是數(shù)據(jù)加工后系統(tǒng)化的產(chǎn)物。數(shù)據(jù)既包括原始的數(shù)據(jù)，也包括加工和處理后形成的信息，數(shù)據(jù)監(jiān)管比信息監(jiān)管范圍更大。在實際運用過程中，信息與數(shù)據(jù)區(qū)分并不嚴格。數(shù)據(jù)的傳播、分享和處理呈現(xiàn)出“多流程、交互式”特征。由于信息的遞歸現(xiàn)象，對于某些主體是有意義的信息，對另一些主體則是沒有直接利用價值的數(shù)據(jù)，用戶需要對數(shù)據(jù)再加工才能成為對他們有用的信息。在大多數(shù)情況下，“數(shù)據(jù)”和“信息”是可以相互替代的一對概念。

隨著我國金融業(yè)尤其是銀行業(yè)的逐漸發(fā)展壯大，涉及的跨境業(yè)務管理和信息數(shù)據(jù)交流極為頻繁，銀行機構在業(yè)務流程中收集、使用、處理和傳輸了大量金融數(shù)據(jù)，很多都是涉及國家金融安全和個人隱私的，在跨境傳輸中泄露和被違法使用的風險很大，金融數(shù)據(jù)也就成為銀行監(jiān)管的重點對象。銀行機構日常業(yè)務中不僅要收集個人的身份、信用等金融數(shù)據(jù)，還要處理企業(yè)以及自身業(yè)務經(jīng)營中產(chǎn)生的機構數(shù)據(jù)，所以從廣義上來講，監(jiān)管當局需要對“銀行境內外處理、使用和傳輸”上述幾類金融數(shù)據(jù)進行監(jiān)管。其中最值得關注的應是個人在銀行的金融數(shù)據(jù)，因為這不僅關乎個人的隱私權，還關系到一國金融市場的消費者的“投資畫像”和市場穩(wěn)定。如果消費者投資情緒不穩(wěn)定，造成群體非理性事件，對我國這種高儲蓄率、高貸款率的國家來講，銀行業(yè)發(fā)生系統(tǒng)性金融風險的概率也將提高。

（二）厘清銀行監(jiān)管數(shù)據(jù)的范圍

厘清銀行監(jiān)管數(shù)據(jù)及跨境流動的各種途徑，完善銀行等金融數(shù)據(jù)的分級分類制度，有助于制定有針對性的監(jiān)管方案，實現(xiàn)有效監(jiān)管目標。

就銀行監(jiān)管數(shù)據(jù)來講，既包括各類銀行機構在經(jīng)營中所產(chǎn)生和收集的相關數(shù)據(jù)，還包括各國銀行業(yè)監(jiān)管機構所掌握的金融數(shù)據(jù)。一是銀行機構的金融數(shù)據(jù)。各國目前基本認同以數(shù)據(jù)內容為標準的分類方式，即銀行機構數(shù)據(jù)主要包括個人身份信息、交易信息、信用信息和其他衍生信息。個人身份信息即有關個人的姓名、性別、身份證號、職業(yè)、聯(lián)系方式等區(qū)分與尋找特定個體的信息，這些信息事關個人隱私保護，一旦泄露或者濫用，會違反一國個人信息和數(shù)據(jù)安全等法律法規(guī)。個人的交易信息主要是銀行在辦理對私業(yè)務時所收集、使用和處理的數(shù)據(jù)。這兩種基本信息對銀行日常業(yè)務的開展十分重要。歐盟《通用數(shù)據(jù)保護條例》（以下簡稱GDPR）和美國的《格雷姆-里奇-比利雷法案》（以下簡稱GLB 法案）都允許集團向第三方提供這兩種個人信息。而我國《銀行業(yè)金融機構反洗錢和反恐怖融資管理辦法》第28條以例外規(guī)定禁止了相關數(shù)據(jù)的跨境提供。至于信用信息，則是對個人償還信貸能力的一個評價，美國2003年《公平和準確信貸交易法》（以下簡稱FACTA）規(guī)定，限制使用與個人信譽、信用狀況、一般信譽、個人特征或決定性信用、雇傭或保險資格相關的信息。我國于2013年頒布的《征信業(yè)管理條例》規(guī)定，中國公民的所有征信信息都須在境內處理和存儲。二是銀行監(jiān)管機構的有關數(shù)據(jù)。其主要是指各國央行和銀行監(jiān)管機構所獲取的關鍵信息，如各國央行的貨幣、信貸、征信、匯率、衍生品及反洗錢等宏、微觀統(tǒng)計和監(jiān)管數(shù)據(jù)，各國銀行監(jiān)管機構的統(tǒng)計和披露信息、資產(chǎn)狀況、監(jiān)管評級、機構治理和風險預警等監(jiān)管數(shù)據(jù)。監(jiān)管當局的上述信息事關國家安全、公共利益、個人隱私，對預警和處置金融風險，維護一國乃至國際金融市場穩(wěn)定具有重要作用。次貸危機以后，國際金融監(jiān)管趨緊，各國都開始意識到微觀個體監(jiān)管模式的弊端，轉而更加注重本國金融業(yè)宏觀審慎的系統(tǒng)性監(jiān)管模式。與此同時，開始加強國際金融監(jiān)管協(xié)調與合作，通過信息交換與共享，及時預警和處置相關風險，保持全球金融業(yè)穩(wěn)定。后疫情時期，金融業(yè)全面進行數(shù)字化轉型，倒逼監(jiān)管機構改革，建立行業(yè)內風險預警和監(jiān)管系統(tǒng)及數(shù)據(jù)處理中心，由此產(chǎn)生了大量的監(jiān)管信息。巴塞爾委員會指出，各國銀行監(jiān)管當局應加強合作，完善本國銀行監(jiān)管部門、母國與東道國監(jiān)管機構之間的合作機制，實現(xiàn)國內、國際銀行業(yè)安全、穩(wěn)健、透明與可持續(xù)發(fā)展目標。

（三）銀行監(jiān)管數(shù)據(jù)跨境流動的必要性

經(jīng)濟合作與發(fā)展組織（OECD）1980年發(fā)布《關于隱私保護與個人數(shù)據(jù)國際流動的指針的建議書》，將“數(shù)據(jù)跨境流動”定義為“點到點的跨越國家、政治疆界的數(shù)字化數(shù)據(jù)傳遞”，并提出了國內、國際跨境數(shù)據(jù)流通所適用的原則，大多數(shù)國家將其納入本國相關法律法規(guī)中。

一是維護國家安全的現(xiàn)實需要。數(shù)據(jù)作為數(shù)字經(jīng)濟時代的關鍵生產(chǎn)要素，不僅事關發(fā)展要素變革、經(jīng)濟效率提升和治理，還涉及到國際秘密、軍事安全等關鍵信息，事關一國的穩(wěn)定和安全大局，各國監(jiān)管機構基本都會實施嚴格的禁止、限制條件，以維護數(shù)據(jù)和網(wǎng)絡主權。美國一方面堅定支持數(shù)據(jù)跨境自由流動并將大量本國數(shù)據(jù)規(guī)則上傳至國際層面，另一方面，在軍事、科技、重要金融業(yè)實施“雙重標準”，既嚴格要求本國相關數(shù)據(jù)本地化并禁止跨境傳輸，又以國家安全、反洗錢和反壟斷等借口強行要求外國機構及其境外分支機構提供相關數(shù)據(jù)。歐盟也制定了一套嚴格、審慎的跨境數(shù)據(jù)流動監(jiān)管法規(guī)。為進一步控制數(shù)據(jù)流動風險，歐盟正在完善其金融數(shù)據(jù)分類分級和監(jiān)管標準。我國近兩年修訂、實施了諸多法律法規(guī)，以加強對個人金融信息的使用、流動和保護。

二是保護個人信息的內在要求。大多數(shù)國家的憲法和民法都規(guī)定了個人隱私和通信自由權，個人信息（數(shù)據(jù)）保護法和消費者權益保護法又規(guī)定了個人的相關權利。數(shù)字時代銀行在辦理個人業(yè)務時，會獲取諸多個人信息，既包括基本身份信息和交易信息，也包括個人資信和財務狀況的信用信息，這些信息不僅有利于銀行把握客戶群體走向、控制業(yè)務風險，還能在大數(shù)據(jù)分析基礎上形成“群體畫像”，進而針對不同群體進行智能投顧，達到精準金融服務和業(yè)務拓展的雙重目標。個人信息自身的“敏感、保密、易受侵害、不易維權”的特征，要求個人要有積極維護權利的意識，還要求機構數(shù)據(jù)控制者要嚴格遵守收集、使用、處理和傳輸個人信息的法定義務。

三是為了滿足各國銀行監(jiān)管的需要。數(shù)字信息技術的出現(xiàn)，為互聯(lián)網(wǎng)經(jīng)濟向數(shù)字經(jīng)濟轉型提供了動力和方向，龐大的數(shù)字經(jīng)濟體量所產(chǎn)生的量級數(shù)據(jù)，對各個監(jiān)管部門都提出了新的挑戰(zhàn)。一方面，銀行機構收集了大量個人信息并予以存儲和使用，有關監(jiān)管機構該如何對這些數(shù)據(jù)進行界定、分類分級，制定何種監(jiān)管法規(guī)才能有助于合法合理的收集、使用、處理、交易和流動這類數(shù)據(jù)，以及如何實現(xiàn)數(shù)據(jù)保護與數(shù)據(jù)價值最大化的平衡，成為監(jiān)管改革的重點。另一方面，按照巴塞爾委員會《核心原則評價方法》規(guī)定，為促進國際銀行業(yè)監(jiān)管安全、穩(wěn)定、透明和獨立，各國銀行監(jiān)管機構有必要建立國內部門間的合作與信息共享機制，構建與各國銀行監(jiān)管機構合作、信息交換、分享、保密的雙邊安排，確保國家間銀行監(jiān)管信息暢通、風險透明，為國際銀行業(yè)風險防范與健康發(fā)展營造穩(wěn)定環(huán)境。

四是國際銀行業(yè)發(fā)展的內在要求。國家間貿(mào)易往來日益密切，商業(yè)銀行分支機構遍布全球各地，大型跨國銀行機構基于業(yè)務和發(fā)展的需求，往往需要跨國傳輸相關金融數(shù)據(jù)。主要表現(xiàn)為以下幾種情況：一是集團總部基于內部管理和業(yè)務需求，需要對其全球業(yè)務等相關數(shù)據(jù)進行整合和管理。如果屬于日常業(yè)務交流中的商業(yè)性、非敏感信息，在符合監(jiān)管當局的各項要求，并且母公司與分支機構有數(shù)據(jù)傳輸協(xié)議時，監(jiān)管當局應當允許。二是基于金融集團財務審計的并表需要，各金融機構往往會按年或特定目的進行審計報告，這對銀行機構經(jīng)營、國家監(jiān)管都至關重要，國際上對此類數(shù)據(jù)傳輸持不同的態(tài)度。有些對總部集團和第三方機構附以相同的傳輸條件，有些對第三方機構提出更為嚴格的監(jiān)管要求，有些嚴格禁止向第三方機構提供金融數(shù)據(jù)。

二、各國銀行監(jiān)管數(shù)據(jù)跨境流動規(guī)則的博弈與合作

由于經(jīng)濟體量、發(fā)展模式和水平的不同，各經(jīng)濟體采用了不同的監(jiān)管模式，制定了特色鮮明的數(shù)據(jù)跨境流動監(jiān)管法規(guī)和制度。歐盟對數(shù)據(jù)收集、使用和傳輸持極為嚴格的監(jiān)管態(tài)度，而美國倡導在合法合規(guī)基礎下的數(shù)據(jù)流動和共享。我國則居于二者之間。近年來，發(fā)達經(jīng)濟體、發(fā)展中國家通過數(shù)據(jù)監(jiān)管和司法主權在利益讓渡中進行博弈，制定了大量本地區(qū)的數(shù)據(jù)監(jiān)管規(guī)則，并進行廣泛推廣，值得我國借鑒和學習。

（一）歐盟的“統(tǒng)一立法”模式

銀行業(yè)作為金融數(shù)據(jù)控制者中最有代表性的金融行業(yè)，其全球化經(jīng)營的特征也最為明顯，因此本文試圖通過分析歐盟對銀行跨境傳輸金融數(shù)據(jù)的有關規(guī)定，來探究歐盟模式下規(guī)制金融數(shù)據(jù)跨境流動的立場與邏輯。

歐盟長期以來都將“人權和隱私保護”作為其數(shù)據(jù)立法的重點。在相關法規(guī)沒有出臺前，各種原則性規(guī)定充當著保護個人信息權利的最高準則。例如《歐洲人權公約》第8條規(guī)定了個人隱私和通信自由，不受非法侵害的權利。1981年歐洲理事會通過了《關于自動處理的個人數(shù)據(jù)保護公約》，成為全球有關數(shù)據(jù)保護的第一份具有國際約束力的國際法律文書，比較全面地規(guī)定了數(shù)據(jù)流動的基本原則、跨境流動的特殊規(guī)定和國際協(xié)調機制。1995年歐盟委員會通過了95/46/EC指令，進一步促進了個人隱私保護與成員國數(shù)據(jù)的自由流動。2016年的《通用數(shù)據(jù)保護條例（GDPR）》基本替代了95/46/EC指令，增加了個人數(shù)據(jù)權利，對個人數(shù)據(jù)做了更為細致的分類和分級，提出了比較系統(tǒng)的跨境數(shù)據(jù)流動條件和程序。為了統(tǒng)一監(jiān)管，歐盟設立了歐盟數(shù)據(jù)保護委員會（以下稱EDPB）來解決成員國范圍內的數(shù)據(jù)傳輸和監(jiān)管爭議。歐盟《支付服務指令II》其中第94條明確規(guī)定，支付機構獲取和傳輸個人支付數(shù)據(jù)時必須以95/46/EC指令為依據(jù)，且需獲得個人的明確同意和授權。

（二）美國的“分散立法”模式

與歐盟不同，美國采用“分行業(yè)、分層級”的立法模式，聯(lián)邦在各細分行業(yè)法案中規(guī)定了專門的數(shù)據(jù)和隱私保護條款，各州也會根據(jù)本州實際情況制定一些綜合性或專門性的隱私數(shù)據(jù)保護法規(guī)。其中涉及銀行等金融數(shù)據(jù)的相關法規(guī)主要包括以下幾部法案：

1933年的《聯(lián)邦證券法》規(guī)定了公司數(shù)據(jù)保護與防止泄露的義務，成為金融消費者保護的重要法規(guī)之一。《公平信用報告法（2018年修訂）》規(guī)定了在信用報告機構報告消費者信用信息時需準確及免受錯誤信息影響的義務。1999年的《金融現(xiàn)代化法案》規(guī)定，非經(jīng)消費者同意不能將非公開的個人信息用于對外共享和營銷。2010年的《多德-弗蘭克華爾街改革和消費者保護法》禁止對金融消費者實施欺詐和不公平的交易行為，并設立了消費者金融保護局專門進行監(jiān)管和保護。2018年的《澄清海外合法使用數(shù)據(jù)法案》規(guī)定了域外數(shù)據(jù)管轄，通過雙邊協(xié)議和司法協(xié)助，用戶可直接訪問外國的電子數(shù)據(jù)。2019年的《國家安全與個人數(shù)據(jù)保護法提案》限制本國境內企業(yè)和個人數(shù)據(jù)跨境流向。美國對數(shù)據(jù)采取了一定的保護措施，但其并不排斥數(shù)據(jù)跨境流動，反而注重數(shù)據(jù)經(jīng)濟價值的最大化，為了實現(xiàn)這一目標，美國積極簽署諸多雙（多）邊貿(mào)易協(xié)定，以《美墨加協(xié)定》為例，其禁止數(shù)據(jù)存儲本地化，禁止限制合理范圍內的跨境數(shù)據(jù)傳輸。

（三）中國的“雙軌立法”模式

我國對于跨境數(shù)據(jù)傳輸一直持謹慎態(tài)度，相關立法明確規(guī)定了數(shù)據(jù)跨境傳輸及本地化的有關條款。近幾年，相關立法也在不斷完善，形成了“公法與私法并重”的雙軌立法模式，同時輔以行政法規(guī)、各行業(yè)部門規(guī)章及其他的規(guī)范性文件。

從上位法來看，我國《數(shù)據(jù)安全法》第21、31和36條將數(shù)據(jù)分級分類的具體權限下放至各行業(yè)部門，關鍵設施的數(shù)據(jù)存儲設備須位于我國境內，需要跨境傳輸?shù)臄?shù)據(jù)必須經(jīng)過國家有關部門的網(wǎng)絡和安全審查。至于基于國際司法協(xié)助產(chǎn)生的數(shù)據(jù)流動請求，我國依照管理會審查雙邊有無相關條約、協(xié)定或者互惠先例。《數(shù)據(jù)安全法》還強調了相關主體在數(shù)據(jù)“收集、使用、處理”方面的安全義務及責任。此外，我國《個人信息保護法》詳細規(guī)定了有關信息收集、使用處理的基本原則、禁止性規(guī)定和補救措施。

中國人民銀行、銀保監(jiān)會和證監(jiān)會等部門出臺了大量的金融監(jiān)管規(guī)定。如《征信業(yè)管理條例》第24條規(guī)定了有關境內征信信息本地化存儲和加工的基本原則，還提出了有關信息跨境提供時需滿足我國法律、行政法規(guī)和行業(yè)規(guī)定的基本要求，即符合必要性、合理性、合法性的要求?！吨袊嗣胥y行金融消費者權益保護實施辦法》明確規(guī)定了個人金融信息的范圍，即身份信息、財產(chǎn)信息、賬戶信息、信用信息、交易信息及其他相關信息，第29條要求有關機構在處理相關金融信息時應當遵循上述三個要求，給予消費者相關信息收集、處理和使用的同意和知情權，明確了有關機構收集方式的透明性與合法性限度。

（四）各國銀行監(jiān)管數(shù)據(jù)跨境流動規(guī)則的博弈與合作

1.歐美監(jiān)管規(guī)則的博弈與合作。歐美在參與國際經(jīng)貿(mào)合作的同時，也在積極推行自己的相關規(guī)則，爭奪國際數(shù)據(jù)治理話語權。歐盟自GDPR頒布實施以來，一改其嚴格的數(shù)據(jù)流動規(guī)制，轉而積極向全球推廣“歐盟模式”，通過GDPR中數(shù)據(jù)傳輸?shù)摹俺浞中哉J定原則”，給加拿大、日本等12個國家以“充分性”認定，為這些經(jīng)濟體在實施同等數(shù)據(jù)保護水平基礎上與歐盟成員國進行跨境數(shù)據(jù)傳輸?shù)於嘶A。美國在2011年推出“跨境數(shù)據(jù)自由流動”模式，并將《跨境隱私規(guī)則》《全球跨境隱私規(guī)則宣言》成功上傳至APEC系統(tǒng)內部，相較于GDPR，其數(shù)據(jù)保護門檻較低，執(zhí)行機制更富有彈性，作為推動亞太地區(qū)數(shù)據(jù)流動的區(qū)域性制度安排，成為許多國家參與國際數(shù)據(jù)治理的首選，這對歐洲模式進入亞太地區(qū)帶來極大的挑戰(zhàn)。這兩種模式并非完全對立，它們在很多方面都有借鑒和融合。歐盟過去的跨境數(shù)據(jù)流動規(guī)則過于嚴格，不利于跨境數(shù)據(jù)流動及其經(jīng)濟價值的發(fā)揮，在這一點上GDPR借鑒了美國模式的一些做法。而美國在跨境數(shù)據(jù)自由流動的基礎上也制定了諸多關于個人隱私、國家安全的法規(guī)，為有效降低數(shù)據(jù)跨境流動風險提供保障。歐美通過談判簽署《歐美隱私盾協(xié)議》，旨在數(shù)據(jù)安全的前提下促進兩地區(qū)數(shù)據(jù)跨境流動。2020年7月，由于美國有關監(jiān)視制度不尊重歐盟公民權利，并將其國家利益置于歐盟公民個人利益之上，歐盟法院判決歐美之間簽署的“隱私盾”協(xié)議無效。所以歐盟和美國的新一輪談判還需對雙方的權利義務進行重大修改。

表1 歐、美、印、中金融數(shù)據(jù)相關立法比較

2.發(fā)展中國家監(jiān)管規(guī)則的博弈與合作。雖然歐美等發(fā)達經(jīng)濟體具有國際數(shù)據(jù)監(jiān)管規(guī)則的主要話語權，但發(fā)展中國家數(shù)字經(jīng)濟發(fā)展?jié)摿ψ恪Ⅲw量大，后發(fā)制度和規(guī)則優(yōu)勢明顯，能夠形成符合自身發(fā)展狀況的數(shù)據(jù)法規(guī)。由于發(fā)展水平不同，數(shù)據(jù)對不同國家的敏感和重要程度不同，發(fā)展中國家之間及與發(fā)達國家之間容易產(chǎn)生數(shù)據(jù)監(jiān)管沖突。但單就發(fā)達經(jīng)濟體的高標準規(guī)則而言，其又可成為發(fā)展中國家立法的藍本，有助于減少發(fā)展中國家的學習和試錯成本。印度近年來先后推出大量有關個人數(shù)據(jù)保護及數(shù)據(jù)存儲本地化的法規(guī)，并呈現(xiàn)“嚴格限制”的特點。2018年7月，印度監(jiān)管當局發(fā)布了《個人數(shù)據(jù)保護法提案（2019）》，其在很大程度上借鑒GDPR中有關域外管轄權、敏感個人數(shù)據(jù)及個人可攜帶權、被遺忘權的規(guī)定。在數(shù)據(jù)監(jiān)管方面，印度和歐盟類似，但較歐盟更為嚴格，這在一定程度上有了與歐盟數(shù)據(jù)監(jiān)管當局合作的基礎。但是對美國、中國和其他發(fā)展中國家而言則意味著更高更嚴的數(shù)據(jù)壁壘和合作成本。而且，印度相繼缺席APEC、RCEP、CPTPP等區(qū)域性貿(mào)易協(xié)定，不認可有關自由貿(mào)易與數(shù)據(jù)跨境流動的主張，無論是基于國內產(chǎn)業(yè)保護還是國家安全、數(shù)據(jù)安全的考量，都無益于國家間的開放與發(fā)展。近兩年我國加大了對跨境數(shù)據(jù)的國家安全和個人隱私等方面的審查，在APEC跨境隱私規(guī)則框架下，我國又積極參與了亞太地區(qū)國家間“基于可信的數(shù)據(jù)流通”。

3.各國銀行監(jiān)管當局的博弈與合作。在制定和實施數(shù)據(jù)流動相關規(guī)則時，各國金融監(jiān)管機構都是基于本國的金融安全和穩(wěn)定來考量，而要維護全球銀行業(yè)穩(wěn)定，避免發(fā)生系統(tǒng)性金融風險，則需要各國的共同努力。首先，為保護金融消費者權益和本國的金融安全，各國不得不制定相關金融消費者權益保護、數(shù)據(jù)安全法和反洗錢等方面的法規(guī)。其次，銀行機構的跨國經(jīng)營和國際監(jiān)管需要使各國監(jiān)管當局合作和信息共享成為必然，巴塞爾協(xié)議對各國銀行監(jiān)管當局提出了基本要求，即要積極推進本國各部門之間合作與信息共享的恰當安排，東道國與母國金融監(jiān)管當局通過實行信息交換與分享的雙（多）邊安排，提高國際銀行業(yè)監(jiān)管的透明度，從而達到國際金融監(jiān)管合作與相關數(shù)據(jù)合規(guī)、安全跨境流動的目的。

三、跨境銀行監(jiān)管數(shù)據(jù)流動與中國的法律因應

作為貿(mào)易與經(jīng)濟大國，中國制定本國的數(shù)據(jù)監(jiān)管法律法規(guī)，積極參與國際規(guī)則的制定與國際合作，在維護本國數(shù)據(jù)主權的基礎上，釋放數(shù)據(jù)的內在價值具有重要意義。

（一）統(tǒng)一立法體系，細化相關條款

我國雖有金融數(shù)據(jù)保護的基本法律和行業(yè)法規(guī)、規(guī)章，但是如何在具體運用中將二者無縫銜接則是關鍵。第一，銀行金融數(shù)據(jù)分級分類應與上位法保持一致，行業(yè)內、企業(yè)間也應該保持相關標準的相對一致性，按照《個人金融信息保護技術規(guī)范》中有關個人信息分級分類標準，采取不同的跨境傳輸要求，明確個人數(shù)據(jù)權利屬性，使公民個人維權路徑多元化。第二，金融機構在跨境金融數(shù)據(jù)傳輸過程中遵守法定義務及完善追責機制，能有效監(jiān)管數(shù)據(jù)控制、使用者的行為，保護數(shù)據(jù)安全。第三，在上位法的指引下，通過具體規(guī)則來補充金融機構客戶信息和機構數(shù)據(jù)跨境流動監(jiān)管細則，實現(xiàn)銀行等金融機構數(shù)據(jù)監(jiān)管的全覆蓋。第四，細化數(shù)據(jù)跨境流動規(guī)則具體條文。我國相關法律法規(guī)對個人數(shù)據(jù)與其跨境傳輸?shù)囊?guī)定基本類似，即滿足“合法性、合理性、必要性”且不涉及國家安全，經(jīng)過審查后就可以跨境傳輸，但我國境內收集的數(shù)據(jù)必須存儲在中國境內。我國現(xiàn)行法律對“合法性”的規(guī)定較為詳細，“合理性與必要性”方面則需要中國人民銀行和銀保監(jiān)會等部門，在考慮用途、目的、傳輸手段、業(yè)務類型、影響程度等要素的基礎上制定有針對性的審查標準。最后，明確數(shù)據(jù)法權屬性。我國有關法律規(guī)定中并沒有明確提出“個人數(shù)據(jù)權利屬性”，不利于個人數(shù)據(jù)的權利保護。我國可借鑒歐美等國的做法，明確個人數(shù)據(jù)權利的屬性，以便于確定其對應的救濟途徑，被侵害主體最終應以“人身權”糾紛來維護自身的數(shù)據(jù)權益，還是以“財產(chǎn)權”糾紛來得到應有的救濟。

（二）統(tǒng)一監(jiān)管主體，明確監(jiān)管權限

目前，我國數(shù)據(jù)監(jiān)管主體呈現(xiàn)“分散式、多層級”的特征，銀行數(shù)據(jù)安全和跨境傳輸監(jiān)管的機構眾多，既包括國家互聯(lián)網(wǎng)信息辦公室、國家安全領導機構，又包括中國人民銀行、銀保監(jiān)會等部門，再加上金融行業(yè)本身的分業(yè)特點，形成了數(shù)據(jù)監(jiān)管主體之間權力交叉、重疊甚至沖突的監(jiān)管局面。

首先，為實現(xiàn)我國銀行業(yè)的統(tǒng)一、有序監(jiān)管，可以在人民銀行、銀保監(jiān)會、國家安全和其他有關部門合作的基礎上，通過各部門數(shù)據(jù)權利的讓渡，將金融數(shù)據(jù)權利集中到某個機構統(tǒng)一監(jiān)管，其他銀行業(yè)務監(jiān)管則由原管轄機關負責，由讓渡機關負責涉及本部門的監(jiān)管數(shù)據(jù)的備案、審核和監(jiān)督。

一方面各部門之間建立信息共享機制。銀行業(yè)務數(shù)據(jù)、機構自身數(shù)據(jù)以及監(jiān)管部門的貨幣政策、宏觀微觀審慎監(jiān)管數(shù)據(jù)需要相互流動和共享才能破除信息不對稱，實現(xiàn)監(jiān)管透明、一體的目標。中國人民銀行、銀保監(jiān)會等監(jiān)管部門之間需要建立數(shù)據(jù)監(jiān)管合作與共享的便利化安排，簽訂相應的共享協(xié)議，明確劃分各自的權利與義務，按照數(shù)據(jù)類型和級別采取不同的衡量標準來共享數(shù)據(jù)。各部門可以在合作的基礎上，建立銀行監(jiān)管數(shù)據(jù)中心，納入統(tǒng)一監(jiān)管框架，所涉部門間可以通過相互授權使用數(shù)據(jù)，銀行機構則可以通過申請審查使用相關數(shù)據(jù)。

（三）回應外國制裁，維護數(shù)據(jù)主權

作為全球第二大經(jīng)濟體和貿(mào)易大國，我國銀行分支機構遍布全球，基于業(yè)務、母國和東道國的監(jiān)管要求，其數(shù)據(jù)跨境傳輸需求量十分龐大，其中有些是基于正常業(yè)務需要，有些是監(jiān)管當局的要求，這些數(shù)據(jù)在符合有關法律法規(guī)的基礎上是可以正常傳輸?shù)?。但是美國以國際政治、安全等理由對我國有關銀行機構頻頻采用不合理的審查手段和制裁措施，嚴重制約我國銀行業(yè)國際化經(jīng)營。2019年，美國對三家中資銀行分支機構進行調查，認為三家機構違反了《愛國者法案》，從而直接判決中資銀行向其提供本地存儲的相關客戶數(shù)據(jù)。這無疑侵害了我國的司法主權、數(shù)據(jù)主權和企業(yè)利益。我國應以《中華人民共和國反洗錢法》《中華人民共和國反外國制裁法》《數(shù)據(jù)安全法》為支撐積極維護數(shù)據(jù)主權。首先，要積極回應外國對我國的無端金融制裁和數(shù)據(jù)強制獲取，必要情況下可基于本國法律對外國機構予以同等制裁，但要審慎使用，以防止引發(fā)一系列的金融風險。其次，通過金融、外交等官方部門與制裁國當局進行交涉，表明我國立場，必要時可協(xié)助調查，堅決維護中方金融機構的合法權益和中國司法主權、數(shù)據(jù)主權完整與外國監(jiān)管機構的合作與數(shù)據(jù)交換安排協(xié)議。最后，我國應在放寬外資銀行準入，推動中國銀行機構在境外設置分支機構的同時，做好國家安全、數(shù)據(jù)安全審查和反洗錢、反壟斷調查，營造寬嚴相濟的金融和跨境數(shù)據(jù)流動環(huán)境。

（四）合規(guī)治理，加強風險控制

做好數(shù)據(jù)合規(guī)管理和風險控制，對促進銀行高效監(jiān)管、推動跨境數(shù)據(jù)合法、合理、必要的流動和抵制外國政府不當制裁具有重要意義。

一是加強數(shù)據(jù)合規(guī)治理。銀行作為數(shù)據(jù)控制者，要遵守國內網(wǎng)絡安全、數(shù)據(jù)安全、個人信息保護、反洗錢等法律法規(guī)的相關義務。在此基礎上，制定集團內數(shù)據(jù)分類手冊、數(shù)據(jù)治理合規(guī)框架和操作標準，定期開展數(shù)據(jù)合規(guī)審查。在跨國經(jīng)營和數(shù)據(jù)傳輸過程中，做好東道國盡職調查工作，熟悉監(jiān)管當局關于銀行合規(guī)經(jīng)營和數(shù)據(jù)流動的相關法規(guī)，確保數(shù)據(jù)境內外存儲和傳輸?shù)陌踩?、保密、合法、合?guī)。

二是完善風險控制機制。在合規(guī)經(jīng)營的基礎上，銀行機構還應做好數(shù)據(jù)跨境流動的風險預警與控制。要采取適當?shù)募夹g保證數(shù)據(jù)存儲和使用的安全，在跨境傳輸過程中要確保其滿足“合法、合理、必要和目的正當”的要求，接收方要做好數(shù)據(jù)保密和處理工作。應做好風險隔離和業(yè)務審查，確保境內外業(yè)務沒有涉及與東道國政治或經(jīng)濟利益沖突的制裁方；如果有，應盡早與本國監(jiān)管當局溝通，做好風險隔離，必要時應做好被制裁準備，如數(shù)據(jù)備份、替代性業(yè)務、機構轉移、風險資金啟用，尋求替代性合作機構等。

三是數(shù)據(jù)跨境要審慎傳輸。銀行數(shù)據(jù)跨境傳輸不能有求必應。機構首先應審查其目的和用途是否正當，如果是日常業(yè)務需求或是母國監(jiān)管的需要，則符合母國和東道國的基本條件就可以進行相關傳輸。如果屬于第三方審計機構或東道國監(jiān)管的要求，則應進行審慎選擇，基于第三方審計傳輸需要母國與東道國的審查，對此應是持附條件準許的態(tài)度。對于東道國的監(jiān)管要求，如果是基于合理審查要求且符合母國相關數(shù)據(jù)保護法規(guī)，則可以分享相關數(shù)據(jù)。如果是基于制裁或是涉及母國國家安全、個人隱私等關鍵數(shù)據(jù)，則可以在拒絕的基礎上請求母國相關監(jiān)管機構出面協(xié)商，最終不予傳輸或通過篩選和脫敏后予以傳輸。

（五）參與國際合作，構建國際規(guī)則

數(shù)據(jù)作為各國經(jīng)濟發(fā)展的關鍵生產(chǎn)要素，具有不可估量的價值。銀行業(yè)作為一國戰(zhàn)略產(chǎn)業(yè)，其數(shù)據(jù)更關乎國家安全與金融穩(wěn)定。我國應在學習和借鑒歐美等國數(shù)字監(jiān)管規(guī)則的基礎上，制定符合本國國情的數(shù)據(jù)監(jiān)管法規(guī)，積極利用雙（多）邊平臺，倡導國際銀行監(jiān)管數(shù)據(jù)跨境流動的中國方案。首先，我國可利用巴塞爾協(xié)議委員會平臺，在“一帶一路”倡議下，與沿線國家銀行監(jiān)管當局積極簽署雙邊監(jiān)管合作諒解備忘錄和監(jiān)管合作協(xié)議，細化銀行監(jiān)管數(shù)據(jù)交換、分享和保密條款。在此基礎上，可以試圖建立“一帶一路”框架下的區(qū)域性銀行監(jiān)管合作規(guī)則，在符合條件的情形下上傳相關規(guī)則至國際規(guī)則框架之中，形成跨境銀行監(jiān)管數(shù)據(jù)流動的“區(qū)域樣板”。其次，各監(jiān)管當局可以借鑒G20和APEC組織模式，確定正式或非正式會談形式的區(qū)域銀行業(yè)監(jiān)管組織框架，在維護本國數(shù)據(jù)主權和利益的前提下，與各國在銀行數(shù)據(jù)監(jiān)管和數(shù)據(jù)流動方面達成共識。最后，我國在RCEP、CPTPP等多邊數(shù)字貿(mào)易協(xié)定與雙邊數(shù)字貿(mào)易協(xié)定的談判和修訂中，應積極維護以中國為代表的發(fā)展中國家的利益，在銀行監(jiān)管和相關數(shù)據(jù)流動條款中體現(xiàn)中國的主張和立場，為包括銀行業(yè)在內的數(shù)字服務業(yè)國際化發(fā)展奠定基礎。