姜立文，姜 歡

（上海師范大學(xué)法政學(xué)院，上海 200234）

一、引言

企業(yè)跨境上市及其跨境數(shù)據(jù)流動提高了金融業(yè)的開放程度，也對數(shù)據(jù)安全提出了挑戰(zhàn)。以“滴滴事件”為代表的中概股跨境監(jiān)管問題凸顯了跨境證券監(jiān)管中的數(shù)據(jù)安全問題，該問題屬于跨國上市企業(yè)母國與東道國之間的證券監(jiān)管法律沖突。中概股赴海外上市企業(yè)中多采用紅籌上市架構(gòu)，其中可變利益實(shí)體（Variable Interest Entity，以下簡稱VIE架構(gòu)）是最常見的方式，即將境外上市主體與境內(nèi)業(yè)務(wù)實(shí)體分離的同時(shí)，用協(xié)議構(gòu)建前者對后者的控制，二者之間不是股權(quán)關(guān)系，而是合同關(guān)系（劉燕，2012）。VIE架構(gòu)能幫助外資有效規(guī)避政府管制和證券監(jiān)管，以實(shí)現(xiàn)規(guī)避我國監(jiān)管機(jī)構(gòu)審查和境內(nèi)業(yè)務(wù)境外上市之目的。VIE架構(gòu)合法性一直存在爭議，而且中美兩國在中概股財(cái)務(wù)數(shù)據(jù)審計(jì)方面的沖突難以化解（黃凱，2021）。近期隨著我國對境內(nèi)企業(yè)境外上市的數(shù)據(jù)安全監(jiān)管的加強(qiáng)，跨國證券監(jiān)管中的數(shù)據(jù)安全問題值得深入探討。

二、數(shù)據(jù)安全對跨國證券監(jiān)管的法律挑戰(zhàn)

（一）數(shù)字經(jīng)濟(jì)的快速發(fā)展對數(shù)據(jù)安全提出了挑戰(zhàn)

隨著數(shù)字經(jīng)濟(jì)的不斷發(fā)展變化，數(shù)據(jù)安全不再是傳統(tǒng)的對數(shù)據(jù)信息的簡單儲存和保密，也不僅限于單純的財(cái)務(wù)數(shù)據(jù)，而是被賦予更為復(fù)雜的涵義。依據(jù)我國《數(shù)據(jù)安全法》的規(guī)定，數(shù)據(jù)安全是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力?？鐕C券監(jiān)管中的數(shù)據(jù)安全，是指金融監(jiān)管機(jī)構(gòu)基于使數(shù)據(jù)使用更安全的核心目標(biāo)，從數(shù)據(jù)保護(hù)、合規(guī)、管理層面，對數(shù)據(jù)完整性、保密性、可用性、合法性提出嚴(yán)格要求，以有效規(guī)范數(shù)據(jù)資產(chǎn)的訪問、運(yùn)營、傳輸、存儲、刪除等各個(gè)環(huán)節(jié)。例如，跨國公司內(nèi)部業(yè)務(wù)數(shù)據(jù)傳輸與對外服務(wù)數(shù)據(jù)傳輸，商業(yè)數(shù)據(jù)跨境共享與傳輸，個(gè)人瀏覽網(wǎng)頁記錄，設(shè)備識別碼與IP地址的錄入，跨境運(yùn)輸?shù)某丝托彰涗浥c地理位置數(shù)據(jù)，網(wǎng)絡(luò)郵件、社交網(wǎng)絡(luò)和其他電子通信的云儲存與訪問，國家政務(wù)信息數(shù)據(jù)共享與保密，cookie的發(fā)送與存放等。即使不包含個(gè)人數(shù)據(jù)的數(shù)據(jù)集，基于應(yīng)用數(shù)據(jù)的方法，也可能對隱私政策產(chǎn)生潛在威脅。數(shù)據(jù)安全已滲透到人們生產(chǎn)生活的方方面面，同國家安全、個(gè)人信息安全、商業(yè)數(shù)據(jù)保護(hù)密切相關(guān)，而不僅局限于商業(yè)秘密、財(cái)務(wù)數(shù)據(jù)范疇。金融數(shù)據(jù)的爆炸式增長超出傳統(tǒng)數(shù)據(jù)監(jiān)管范疇，部分企業(yè)和個(gè)人利用法律的滯后性謀取商業(yè)利益，造成金融市場數(shù)據(jù)使用的混亂（鐘紅，2021）。

以“滴滴事件”為例，滴滴出行是一家提供出行服務(wù)的企業(yè)，其崛起改變了傳統(tǒng)的線下打車的市場格局，利用大數(shù)據(jù)構(gòu)建了線上與線下相融合的出行方式，推動服務(wù)C端消費(fèi)者實(shí)現(xiàn)消費(fèi)升級，同時(shí)掌握了海量用戶的個(gè)人信息、網(wǎng)絡(luò)身份識別信息、移動支付信息、個(gè)人位置信息、生物識別信息、車輛GPS信息以及我國高精度地圖數(shù)據(jù)等重要數(shù)據(jù)。從媒體相關(guān)報(bào)道來看，滴滴出行被網(wǎng)絡(luò)安全審查的表面原因在于其跨境數(shù)據(jù)流動問題以及用戶數(shù)據(jù)過度搜集問題，但究其本質(zhì)或許在于國家對滴滴的潛在技術(shù)漏洞和數(shù)據(jù)泄露、濫用、損毀等風(fēng)險(xiǎn)的擔(dān)憂。正是基于數(shù)據(jù)安全保護(hù)的考量，同樣掌握高精度地圖和地理測繪信息，宣稱汽車智能化的特斯拉（Tesla）為實(shí)現(xiàn)數(shù)據(jù)存儲本地化，針對中國市場在我國境內(nèi)建立了數(shù)據(jù)中心①資料來源：特斯拉：已在中國建立數(shù)據(jù)中心[EB/OL].騰訊網(wǎng)，2021-09-26.。2021年8月20日，我國國家互聯(lián)網(wǎng)信息辦公室等部門聯(lián)合發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》，對數(shù)據(jù)處理者提出汽車運(yùn)行所產(chǎn)生的數(shù)據(jù)要進(jìn)行車內(nèi)處理、脫敏處理、精度范圍適用等要求，以防止數(shù)據(jù)的違法收集和違規(guī)濫用。

（二）各國對跨境數(shù)據(jù)流動的不同主張形成了新的貿(mào)易壁壘

跨境數(shù)據(jù)流動不僅推動了國際經(jīng)濟(jì)貿(mào)易的發(fā)展，也衍生了新的貿(mào)易壁壘，各國評估跨境數(shù)據(jù)傳輸、隱私政策、經(jīng)濟(jì)成本之間的關(guān)系越來越復(fù)雜。數(shù)據(jù)共享是實(shí)現(xiàn)數(shù)據(jù)價(jià)值最大化的重要路徑，也是金融數(shù)據(jù)監(jiān)管的重要方面，但國際層面并沒有形成統(tǒng)一的數(shù)據(jù)共享標(biāo)準(zhǔn)。不論是數(shù)據(jù)寡頭企業(yè)對數(shù)據(jù)共享的變相限制和壟斷，抑或金融監(jiān)管機(jī)構(gòu)間有效數(shù)據(jù)共享和協(xié)調(diào)的缺失，均使得跨境數(shù)據(jù)流動和監(jiān)管形成了較高的貿(mào)易壁壘，為監(jiān)管套利和投機(jī)主義創(chuàng)造了機(jī)會。

數(shù)字貿(mào)易壁壘主要體現(xiàn)在強(qiáng)制本地化義務(wù)、市場進(jìn)入限制、數(shù)據(jù)及個(gè)人隱私保護(hù)措施、消費(fèi)者權(quán)益維護(hù)、知識產(chǎn)權(quán)保護(hù)、平臺從業(yè)者法律責(zé)任不明確、內(nèi)容審查以及數(shù)字貿(mào)易環(huán)境不健全等幾大主要障礙（USTR，2017），其中對數(shù)據(jù)本地化的探討尤為激烈，諸多國際貿(mào)易協(xié)定都對此展開討論。世界貿(mào)易組織（WTO）的談判文本包含了禁止數(shù)據(jù)本地化的規(guī)定，認(rèn)為數(shù)據(jù)本地化屬于“不合理的歧視或變相限制的手段，或超出實(shí)際目標(biāo)所需要的程度”之列。《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》（CPTPP）要求簽署國允許數(shù)據(jù)跨境自由流動，鼓勵數(shù)據(jù)保護(hù)制度之間的互操作性，認(rèn)為各國都應(yīng)允許開展業(yè)務(wù)的數(shù)據(jù)跨境傳輸?！睹绹鞲纭幽么髤f(xié)議》（USMCA）不允許締約方以“合法的公共政策目標(biāo)”為由，對其他締約第三方提出數(shù)據(jù)本地化的要求。但《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（RCEP）允許成員國實(shí)施任何他們希望的國家監(jiān)管限制，只要這些限制是以非歧視的方式實(shí)施的。據(jù)不完全統(tǒng)計(jì)，目前全球已有62個(gè)國家實(shí)施了144項(xiàng)數(shù)據(jù)本地化要求。

以美國為代表的反對者則鼎力支持跨境數(shù)據(jù)流動的自由化，極力反對數(shù)據(jù)本地化，主張降低數(shù)字貿(mào)易障礙。而數(shù)據(jù)本地化的支持者認(rèn)為，數(shù)據(jù)本地化能從源頭阻止第三國政府給供應(yīng)商施壓以實(shí)現(xiàn)跨境數(shù)據(jù)的政治訪問。歐盟始終強(qiáng)調(diào)對個(gè)人信息的保護(hù)，青睞于數(shù)據(jù)本地化措施，大力推崇間接和事實(shí)上的本地化，強(qiáng)調(diào)達(dá)成高標(biāo)準(zhǔn)規(guī)則和承諾以增加規(guī)制的可預(yù)見性。以中國為代表的諸多發(fā)展中國家在數(shù)據(jù)領(lǐng)域立法，傾向于屬地管轄原則和數(shù)據(jù)本地化原則，重視對跨境數(shù)據(jù)傳輸自由流動的限制。不難發(fā)現(xiàn)，美國、歐盟、中國三大國際貿(mào)易巨頭對跨境數(shù)據(jù)流動監(jiān)管有著不同的主張和碎片化處理方式。

（三）各國不同的數(shù)據(jù)監(jiān)管規(guī)則產(chǎn)生了國際法律沖突

諸多國家已經(jīng)將數(shù)據(jù)跨境流動問題定位為國家安全層面的重要戰(zhàn)略，各國積極制定相關(guān)的數(shù)據(jù)監(jiān)管法律規(guī)則，以避免跨境數(shù)據(jù)流動標(biāo)準(zhǔn)方面不完全的互操作性所造成的潛在威脅。但由于各國在數(shù)字市場與需求方面的差異，各國在數(shù)據(jù)監(jiān)管措施的選擇上，不可避免地存在差異化選擇現(xiàn)象，使得該議題在多邊層面陷入僵局。國際組織的多樣性、各法域法規(guī)間的不一致和不確定性，增加了數(shù)據(jù)跨境轉(zhuǎn)移的復(fù)雜性，導(dǎo)致數(shù)據(jù)跨境自由流動難以確定適用性。由于數(shù)據(jù)天然具有流動便利性，一國僅在本國范圍內(nèi)進(jìn)行數(shù)據(jù)治理效果并不明顯，規(guī)則的域外適用擴(kuò)張變成必然趨勢（孔慶江和于華溢，2020）。

以中美之間法律沖突為例，2018年3月23日，美國國會通過了《清澄境外數(shù)據(jù)的合法使用法案》（以下簡稱CLOUD法案），更新了美國執(zhí)法機(jī)構(gòu)請求通信服務(wù)提供商所保管數(shù)據(jù)的法律框架，賦予美國政府調(diào)取美國企業(yè)在境外存儲的數(shù)據(jù)信息的執(zhí)法權(quán)，明確了數(shù)據(jù)控制者應(yīng)依據(jù)法案提供數(shù)據(jù)的義務(wù)。值得注意的是，美國執(zhí)法跨境調(diào)取數(shù)據(jù)采用“數(shù)據(jù)控制者標(biāo)準(zhǔn)”，顯然無視了數(shù)據(jù)存儲所在國的法律機(jī)制。本質(zhì)上，美國借由CLOUD法案對跨境數(shù)據(jù)流動治理施加域外長臂管轄，為其實(shí)施數(shù)據(jù)霸權(quán)鋪設(shè)了法理基礎(chǔ)，擴(kuò)張了美國數(shù)據(jù)主權(quán)管轄的范圍，強(qiáng)化了美國對跨境數(shù)據(jù)流動的控制力。然而，我國傾向于屬地管轄原則和數(shù)據(jù)本地化原則，重視數(shù)字貿(mào)易的屬性，重點(diǎn)強(qiáng)調(diào)對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者提出數(shù)據(jù)本地化及出境數(shù)據(jù)安全評估的要求，主張個(gè)人信息和重要數(shù)據(jù)的跨境流動需要經(jīng)過母國評估。不難發(fā)現(xiàn)，同美國數(shù)字霸權(quán)主義不同，我國對跨境數(shù)據(jù)流動的態(tài)度是，既支持跨境數(shù)據(jù)流動自由化，又強(qiáng)調(diào)數(shù)據(jù)安全系先決條件。

中美之間愈演愈烈的法律沖突更直觀體現(xiàn)在兩國對跨國證券發(fā)行者首次公開募股（IPO）相關(guān)文件和資料管理的不同。一方面，美國2020年通過的《外國公司問責(zé)法案》將矛頭直指中概股企業(yè)，對在美上市的中概股公司提出了不合理的監(jiān)管要求，明確要求外國赴美上市企業(yè)必須提供審計(jì)工作底稿，披露其是否由外國政府持有或控制，并規(guī)定在美上市的證券發(fā)行者若連續(xù)三年未接受美國上市公司會計(jì)監(jiān)督委員會的審查，將被禁止在美國任何交易所上市，面臨退市風(fēng)險(xiǎn)。另一方面，我國新《證券法》不僅嚴(yán)格限制境外證券監(jiān)督機(jī)構(gòu)的調(diào)查取證活動，且明確任何單位或個(gè)人若要向境外提供與證券業(yè)務(wù)活動有關(guān)的文件和資料，必須經(jīng)過國務(wù)院證券監(jiān)督管理機(jī)構(gòu)和國務(wù)院有關(guān)主管部門的同意。因此，赴美上市的中概股公司如果按照美國法律提交含審計(jì)底稿、用戶數(shù)據(jù)等在內(nèi)的IPO材料，將直接與我國新《證券法》的有關(guān)規(guī)定相抵觸。

（四）我國現(xiàn)行法律體系在數(shù)據(jù)跨境監(jiān)管方面存在立法空白

隨著經(jīng)濟(jì)全球化的進(jìn)程曲折反復(fù)，跨國證券監(jiān)管日趨復(fù)雜，而始終處于灰色地帶的中概股VIE架構(gòu)則是歷史遺留的關(guān)鍵問題。顯然，我國對中概股監(jiān)管的模糊態(tài)度以及對VIE架構(gòu)的曖昧態(tài)度，是造成通過VIE架構(gòu)遠(yuǎn)赴海外上市的證券發(fā)行企業(yè)陷入法律不確定性的重要因素。面對2021年以來我國對互聯(lián)網(wǎng)企業(yè)、校外輔導(dǎo)行業(yè)實(shí)施的監(jiān)管，美國證券交易委員會（SEC）主席詹斯勒（Gensler）于2021年7月30日表示，將對中概股企業(yè)信息披露作出更加嚴(yán)格的要求，明確中國企業(yè)赴美上市需獲得中國政府許可的前提，并要求中概股證券發(fā)行者必須明確告知投資者其所發(fā)行股票系離岸殼公司股票，以提醒投資者中概股所面對的“中國政府采取行動而造成重大不確定性的風(fēng)險(xiǎn)”。在國際稅收改革制度引發(fā)的經(jīng)濟(jì)數(shù)字化稅收挑戰(zhàn)下，中概股企業(yè)對數(shù)據(jù)跨境傳輸?shù)臐撛谕{愈發(fā)強(qiáng)烈。但客觀而言，目前中國不可能完全否認(rèn)VIE架構(gòu)的法律效力，也不可能完全禁止中國企業(yè)繼續(xù)利用VIE架構(gòu)赴美上市，也不可能要求在美國上市的中概股全部退市而回歸國內(nèi)上市（姜立文和楊克慧，2020）。

我國《數(shù)據(jù)安全法》著眼于數(shù)據(jù)處理與數(shù)據(jù)安全兩個(gè)板塊，明確了我國對數(shù)據(jù)安全保護(hù)的政策要求，積極回應(yīng)了國內(nèi)外數(shù)據(jù)競爭和保護(hù)的關(guān)鍵問題，擴(kuò)大了審批制度的適用范圍，在一定程度上填補(bǔ)了我國由來已久的數(shù)據(jù)安全監(jiān)管領(lǐng)域的立法空白。雖然《數(shù)據(jù)安全法》提出了數(shù)據(jù)自由流動原則，但也嚴(yán)格規(guī)定非經(jīng)我國主管機(jī)關(guān)批準(zhǔn)，境內(nèi)的組織、個(gè)人不得向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲于我國境內(nèi)的數(shù)據(jù)，彰顯了我國既堅(jiān)持對外開放又堅(jiān)守?cái)?shù)據(jù)主權(quán)的底線思維。然而，《數(shù)據(jù)安全法》對跨境數(shù)據(jù)的監(jiān)管仍呈現(xiàn)籠統(tǒng)、原則之態(tài)，在實(shí)際監(jiān)管層面仍留有空白，不具有切實(shí)可操作性。2021年8月17日國務(wù)院印發(fā)的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，通過具體列舉的方式對關(guān)鍵信息基礎(chǔ)設(shè)施做了邊界性的認(rèn)定，但也僅對運(yùn)營者提出原則性的責(zé)任義務(wù)要求，并未明確關(guān)鍵信息的保護(hù)目標(biāo)、具體要求、細(xì)致措施。雖然國家網(wǎng)信辦在滴滴風(fēng)波后有針對性地發(fā)布了《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見）》，在跨境數(shù)據(jù)流動監(jiān)管層面進(jìn)行了部分修訂，但仍舊屬于原則性的規(guī)制，并沒有對各行業(yè)數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)作出明確要求或限制，僅僅強(qiáng)調(diào)了我國確?！皵?shù)據(jù)主權(quán)”、“嚴(yán)格限制跨境數(shù)據(jù)流動”的立場。一言以蔽之，我國現(xiàn)行法律體系缺乏對跨境數(shù)據(jù)流動相關(guān)申請審批的細(xì)則，給跨境證券發(fā)行企業(yè)合規(guī)帶來了不確定性，亟需完善進(jìn)一步的實(shí)施細(xì)則，以更好填補(bǔ)數(shù)據(jù)跨境監(jiān)管立法空白。

三、完善跨國證券監(jiān)管協(xié)調(diào)以應(yīng)對數(shù)據(jù)安全問題的構(gòu)想

（一）明確企業(yè)境外上市的母國數(shù)據(jù)安全標(biāo)準(zhǔn)

1.明確證券領(lǐng)域的信息數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)

證券領(lǐng)域數(shù)據(jù)保護(hù)的需求來源于國家安全、商業(yè)產(chǎn)業(yè)競爭、個(gè)人隱私保護(hù)等多維度。中國人民銀行2020年9月發(fā)布的《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》（JR/T 0197—2020），根據(jù)金融業(yè)機(jī)構(gòu)數(shù)據(jù)安全性遭受破壞后的影響對象和所造成的影響程度，將數(shù)據(jù)安全級別劃分為5個(gè)等級。數(shù)據(jù)傳輸規(guī)則的構(gòu)建應(yīng)與數(shù)據(jù)分級分類制度相銜接，將數(shù)據(jù)分類分級制度貫穿于數(shù)據(jù)傳輸?shù)母鱾€(gè)流程，對不同級別的金融數(shù)據(jù)采取不同的金融監(jiān)管措施。面對數(shù)據(jù)傳輸途徑與場景的多樣化，《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見）》增加了第六條，明確規(guī)定掌握超過100萬用戶個(gè)人信息的運(yùn)營者赴境外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。100萬用戶的門檻對互聯(lián)網(wǎng)企業(yè)而言只是基礎(chǔ)門檻，這就意味著許多中概股企業(yè)遠(yuǎn)赴境外上市前，都將面臨網(wǎng)絡(luò)安全審查這一事前審查。

《數(shù)據(jù)安全法》強(qiáng)調(diào)了對重要數(shù)據(jù)目錄的監(jiān)管，但數(shù)據(jù)應(yīng)用場景的劃分卻并不明確。對此可以借鑒歐盟的相關(guān)經(jīng)驗(yàn)。歐盟于2021年6月更新的標(biāo)準(zhǔn)合同條款（Standard Contractual Clauses，以下簡稱SCC）將通用條款與模塊化方法有機(jī)結(jié)合，通過劃分復(fù)雜的數(shù)據(jù)場景進(jìn)行處理，以更好地滿足現(xiàn)代數(shù)據(jù)處理需求，明確了數(shù)據(jù)傳輸?shù)乃姆N場景，增強(qiáng)了合同模板的靈活性，積極回應(yīng)了各方間數(shù)據(jù)流動的現(xiàn)實(shí)需求。

總之，在跨境證券發(fā)行企業(yè)的數(shù)據(jù)合規(guī)處理上，應(yīng)明確跨境數(shù)據(jù)處理者應(yīng)主動實(shí)施的具體合法性措施，提高金融數(shù)據(jù)監(jiān)管的透明度，為監(jiān)管實(shí)體提供可預(yù)測性，促進(jìn)其他利益相關(guān)者間的有效溝通。

2.明確數(shù)據(jù)出境的評估審批要求

加快數(shù)據(jù)監(jiān)管評估審批流程，縮短審批周期，是對合規(guī)成本的節(jié)約，這就必然要求對立法層面評估審批制度的細(xì)化。我國《數(shù)據(jù)安全法》提出了對跨境數(shù)據(jù)傳輸進(jìn)行評估的要求，但并沒有明確數(shù)據(jù)安全評估的具體審批要求，鮮有的幾條涉及金融信息共享評估規(guī)則散見于未生效的征求意見稿、試行辦法之列，在立法層面并未落實(shí)，在實(shí)踐層面也難以落實(shí)明確的監(jiān)管要求?！秱€(gè)人信息保護(hù)法》雖明確要求基于業(yè)務(wù)需要的個(gè)人信息跨境提供，應(yīng)當(dāng)滿足通過安全評估、個(gè)人信息保護(hù)認(rèn)證或簽訂標(biāo)準(zhǔn)合同等條件，也明確了個(gè)人信息處理者事前進(jìn)行個(gè)人信息保護(hù)影響評估的五種情形以及個(gè)人信息保護(hù)影響評估應(yīng)當(dāng)包含的內(nèi)容，但仍未涉及相關(guān)主管部門審批的實(shí)施細(xì)則，評估的具體認(rèn)定標(biāo)準(zhǔn)以及程序要求有待進(jìn)一步論證和細(xì)化。由此，針對哪些數(shù)據(jù)允許出境、哪些不允許出境，哪些數(shù)據(jù)不需要進(jìn)行安全評估，如何申請審批，哪個(gè)機(jī)構(gòu)作出審批以及如何審批，如何處理境外執(zhí)法部門傳輸數(shù)據(jù)的清算請求等問題，現(xiàn)行條例只是閃爍其詞，并沒有制定可行的規(guī)范細(xì)則。法律的模糊語言或許可以使政府能夠追溯管轄某些數(shù)據(jù)傳輸范圍，但必然導(dǎo)致制度利益和合規(guī)成本間的失衡。

為應(yīng)對上述問題，一方面，在數(shù)據(jù)評估規(guī)則的制定中可以舉例式明確不允許數(shù)據(jù)出境的具體場景，包括數(shù)據(jù)類型、數(shù)據(jù)處理目的、保存時(shí)限的界限等；另一方面，為節(jié)約監(jiān)管部門的行政成本和提高評估審批的效率，可以從程序上著手對企業(yè)內(nèi)部不涉及敏感信息的數(shù)據(jù)傳輸予以一定的審批減免，并具體公布程序減免的范圍。

同時(shí)，涉及重要數(shù)據(jù)時(shí)，監(jiān)管機(jī)構(gòu)應(yīng)對境外數(shù)據(jù)接收方的網(wǎng)絡(luò)安全狀態(tài)進(jìn)行評估。評估其連接信息技術(shù)系統(tǒng)和網(wǎng)絡(luò)運(yùn)行的安全性，以及評估接收方在應(yīng)對違規(guī)行為時(shí)是否設(shè)置自動保護(hù)措施；要有適當(dāng)?shù)某绦騺肀O(jiān)控異常登錄或敏感信息訪問并及時(shí)報(bào)告異常事件，健全數(shù)據(jù)安全預(yù)警機(jī)制。

3.明確數(shù)據(jù)保護(hù)監(jiān)管的行政主體

同歐盟建立專門信息數(shù)據(jù)保護(hù)監(jiān)管部門不同，在我國金融業(yè)分業(yè)監(jiān)管的格局下，我國在金融數(shù)據(jù)保護(hù)監(jiān)管設(shè)置上分別設(shè)有網(wǎng)信部門和金融監(jiān)管部門。兩個(gè)監(jiān)管部門之間的監(jiān)管規(guī)定銜接不緊密，甚至在內(nèi)容上有所沖突，如兩個(gè)監(jiān)管部門對數(shù)據(jù)出境的基礎(chǔ)立場就呈現(xiàn)一定差異，網(wǎng)信部門強(qiáng)調(diào)數(shù)據(jù)傳輸?shù)某鼍骋园踩u估為例外，而金融監(jiān)管部門則以“例外情形”籠統(tǒng)概之。監(jiān)管部門立場的不一致，必然造成監(jiān)管落實(shí)困境，難以避免監(jiān)管沖突、套利和法律規(guī)避等情形發(fā)生。在關(guān)鍵信息基礎(chǔ)設(shè)施的監(jiān)督上，僅在《數(shù)據(jù)安全法》條例中指明由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)，公安部門落實(shí)監(jiān)督，其他相關(guān)部門配合工作，并未明確各部門具體的工作義務(wù)、要求。同樣，《個(gè)人信息保護(hù)法》雖然設(shè)立了專章以規(guī)定履行個(gè)人信息保護(hù)職責(zé)的部門，明確了國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)的地位及職責(zé)，但其他監(jiān)管部門的職責(zé)和部門間的配合機(jī)制仍缺乏可行性的規(guī)定。明確專門的數(shù)據(jù)保護(hù)監(jiān)管行政主體，不僅要明確各監(jiān)管部門職責(zé)所在，也要明確建立事前審批、事中監(jiān)督、事后監(jiān)管的全流程監(jiān)管要求（喻文光，2021），以及各監(jiān)管機(jī)構(gòu)、部門之間的合作、互助問題。

監(jiān)管機(jī)構(gòu)被授權(quán)人員對監(jiān)管應(yīng)用程序、網(wǎng)絡(luò)工作平臺、安全敏感信息的訪問權(quán)限應(yīng)當(dāng)遵循最小夠用原則加以嚴(yán)格控制，確保數(shù)據(jù)專事專用，明確監(jiān)管者的責(zé)任，并針對越權(quán)訪問、濫用職權(quán)、失職等行為制定清晰的問責(zé)機(jī)制。一個(gè)權(quán)責(zé)分明的數(shù)據(jù)監(jiān)管制度化框架，有利于提升數(shù)據(jù)監(jiān)管的透明度，更好落實(shí)良好的監(jiān)管實(shí)踐要求。為加快推動監(jiān)管流程提速，可在發(fā)展數(shù)據(jù)分析技術(shù)的基礎(chǔ)上，建立相對獨(dú)立安全的監(jiān)管系統(tǒng)，并有限度地在國內(nèi)重點(diǎn)數(shù)據(jù)中心擴(kuò)大數(shù)據(jù)在線檢測試點(diǎn)范圍，以實(shí)現(xiàn)重點(diǎn)、核心數(shù)據(jù)傳輸、訪問、共享的監(jiān)測。

（二）明確東道國數(shù)據(jù)安全標(biāo)準(zhǔn)

1.降低各法域間跨境數(shù)據(jù)流動的限制

由于跨境數(shù)據(jù)傳輸在實(shí)踐中的應(yīng)用受到限制，諸多國家紛紛對國內(nèi)法律進(jìn)行修訂，國家間也多選擇締結(jié)跨境調(diào)取數(shù)據(jù)雙邊協(xié)議以規(guī)制數(shù)據(jù)安全，但地緣政治及大國博弈等挑戰(zhàn)不斷沖擊國際體系的脆弱性。國與國之間的法律適用差異明顯，不僅增加了赴境外上市企業(yè)的合規(guī)難度，也提高了合規(guī)成本。例如，2021年3月SEC通過《外國公司問責(zé)法案》最終修正案，要求外國證券發(fā)行人披露企業(yè)注冊人或經(jīng)營實(shí)體的高管成員中中國共產(chǎn)黨員名單以及是否由外國政府擁有或?qū)嶋H控制，該要求既模糊不清，也體現(xiàn)出明顯的證券監(jiān)管政治化。如何界定所謂的外國政府“擁有”和“實(shí)際控制”、高管中黨員的人數(shù)對“實(shí)際控制”的界定影響如何、發(fā)行人如何實(shí)施披露、披露黨員哪些信息、披露信息如何存儲等都存有巨大的不確定性。SEC或公眾公司會計(jì)監(jiān)督委員會（PCAOB）對外國證券發(fā)行人所采取的審計(jì)檢查同樣缺乏透明度，而這也是我國擔(dān)憂證券數(shù)據(jù)安全的主要因素之一。

東道國不僅應(yīng)明確其審計(jì)監(jiān)管的各項(xiàng)披露要求，也應(yīng)更多披露其對外國證券發(fā)行人采取的檢查措施。此外，東道國也應(yīng)提高第三國政府?dāng)?shù)據(jù)訪問請求和流程控制的透明度，在有需要的情況下，開放咨詢平臺，以有序引導(dǎo)數(shù)據(jù)跨境監(jiān)管的行進(jìn)，站穩(wěn)國際層面互操作性的總體立場。尤其是，各國應(yīng)明確重要數(shù)據(jù)可訪問、轉(zhuǎn)讓的界限和標(biāo)準(zhǔn)，及時(shí)以透明的方式披露第三國政府請求數(shù)據(jù)訪問的流程信息，維系各法域之間透明的、可信賴的數(shù)據(jù)流動，以實(shí)現(xiàn)跨境數(shù)據(jù)流動間的穿透式監(jiān)管。實(shí)際上，在跨國證券數(shù)據(jù)監(jiān)管層面，數(shù)據(jù)的安全并不單純?nèi)Q于數(shù)據(jù)的存儲位置，數(shù)據(jù)本地化不僅難以阻擋數(shù)據(jù)的惡意訪問，還會增加數(shù)據(jù)合規(guī)的復(fù)雜性，甚至反而會降低企業(yè)的數(shù)據(jù)保護(hù)能力，并遭致更多的網(wǎng)絡(luò)攻擊。數(shù)據(jù)傳輸?shù)倪^分限制不僅是數(shù)據(jù)保護(hù)目標(biāo)的落空，實(shí)際上也可能會導(dǎo)致對數(shù)據(jù)監(jiān)管的限制。正如《關(guān)于WTO電子商務(wù)談判中跨境數(shù)據(jù)傳輸和數(shù)據(jù)本地化紀(jì)律的多行業(yè)聲明》所倡議，為了提高數(shù)字經(jīng)濟(jì)的確定性和效益，任何協(xié)議的制定都應(yīng)該約束不必要的或歧視性的數(shù)據(jù)本地化任務(wù)和數(shù)據(jù)傳輸限制。同時(shí)，東道國可考慮設(shè)置數(shù)據(jù)共享白名單機(jī)制，或借助數(shù)據(jù)中介服務(wù)，通過信任機(jī)制下信息技術(shù)和數(shù)據(jù)監(jiān)管方式的共享，實(shí)現(xiàn)金融機(jī)構(gòu)間重要數(shù)據(jù)的及時(shí)傳達(dá)、有效溝通和合理協(xié)調(diào)，增強(qiáng)各法域框架間的互操作性，減少國際貿(mào)易壁壘的障礙。

2.明確東道國對跨境數(shù)據(jù)的評估標(biāo)準(zhǔn)

各國數(shù)據(jù)保護(hù)的法律制度差異是數(shù)據(jù)跨境流動的主要阻礙。以中概股為例，跨境數(shù)據(jù)的傳輸必然承載著大量敏感性的金融數(shù)據(jù)，數(shù)據(jù)出口國只有厘清不同進(jìn)口國該種數(shù)據(jù)的訪問、傳輸、存儲、脫敏等標(biāo)準(zhǔn)，才能在不同法域間落實(shí)數(shù)據(jù)的友好傳輸。由此，東道國應(yīng)同企業(yè)母國建立溝通渠道以確?？缇硵?shù)據(jù)評估流程的透明度。

實(shí)踐中，以歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡稱GDPR）“充分認(rèn)定性機(jī)制”（白名單）為代表的設(shè)置受諸多國家青睞，即以特定國家、地區(qū)、國際組織為評估對象，綜合評估其數(shù)據(jù)保護(hù)立法狀況、數(shù)據(jù)監(jiān)管機(jī)構(gòu)規(guī)制狀況、參與數(shù)據(jù)安全國際條約狀況等，允許同滿足評估條件對象的IP地址進(jìn)行跨境數(shù)據(jù)自由流動，而不需要特別授權(quán)或?qū)彶椤８鲊鵀橥瑪?shù)字經(jīng)濟(jì)全球化接軌，均想成為主要數(shù)字大國“白名單”之列。明確數(shù)據(jù)跨境流動?xùn)|道國評估標(biāo)準(zhǔn)，不僅能大力推動數(shù)據(jù)處理者的行業(yè)自律，降低審核成本，也能有效落實(shí)數(shù)據(jù)跨境監(jiān)管。具言之，數(shù)據(jù)安全評估標(biāo)準(zhǔn)不應(yīng)局限于第三國數(shù)據(jù)立法保護(hù)水平的劃分，而應(yīng)輻射不同具體情況進(jìn)行多維度綜合評估，如數(shù)據(jù)傳輸?shù)男再|(zhì)、數(shù)據(jù)接收者類型、數(shù)據(jù)訪問的目的、數(shù)據(jù)接收國的本國法和政策、數(shù)據(jù)接收國的跨境數(shù)據(jù)流動限制等多種因素?！锻鈬締栘?zé)法案》授權(quán)PCAOB對會計(jì)師事務(wù)所的注冊享有檢查權(quán)，以評估其是否符合東道國審計(jì)標(biāo)準(zhǔn)，但在最終修正案中仍未明確該審計(jì)標(biāo)準(zhǔn)。會計(jì)師事務(wù)所在首次檢查不通過后達(dá)到了標(biāo)準(zhǔn)該如何操作、被檢查對象如何提交相關(guān)審計(jì)信息、SEC以怎樣的形式公布審計(jì)結(jié)果、相關(guān)企業(yè)在審計(jì)員被除名后的規(guī)則制定等都懸而未決。SEC應(yīng)盡快以實(shí)施準(zhǔn)則、指導(dǎo)說明等補(bǔ)充文件對實(shí)務(wù)操作問題加以明確，且考慮到數(shù)據(jù)安全，應(yīng)對外國證券發(fā)行企業(yè)所提交的跨境數(shù)據(jù)信息有選擇性地進(jìn)行保密處理。

此外，東道國可借鑒美歐《安全港協(xié)議》的法律邏輯，制定“安全港規(guī)則”，對數(shù)據(jù)安全認(rèn)證細(xì)則以及復(fù)核程序達(dá)成共識后，對相關(guān)意思表示真實(shí)、謹(jǐn)慎遵守東道國守則的相關(guān)企業(yè)予以數(shù)據(jù)跨境自由傳輸?shù)男湃?，并提供合理保障?/p>

（三）協(xié)調(diào)金融數(shù)據(jù)跨境流動中的司法管轄權(quán)

數(shù)字市場競爭在全球范圍內(nèi)愈演愈烈，為占領(lǐng)數(shù)字法治高地、擴(kuò)張本國數(shù)字市場，各國紛紛展開數(shù)據(jù)監(jiān)管、數(shù)字反壟斷等措施。尤其是，隨著美國發(fā)動長臂管轄的動機(jī)日益泛化，司法管轄權(quán)的爭奪越發(fā)激烈。本國法律的域外適用可以視為一種單邊措施，單邊措施的本質(zhì)是一國對外行使管轄權(quán)（孔慶江和于華溢，2020）。在不可避免的數(shù)據(jù)跨境流動中的侵權(quán)與違約等事件中，明確金融數(shù)據(jù)跨境流動中的司法管轄權(quán)是解決爭端的關(guān)鍵問題，有助于在跨境監(jiān)管上實(shí)現(xiàn)高度的協(xié)調(diào)。為提高跨境數(shù)據(jù)監(jiān)管在不同法域之間的互操作性，各國應(yīng)尊重他國數(shù)據(jù)主權(quán)和司法管轄權(quán)，未經(jīng)法律允許，不得擅自訪問、傳輸在他國采集、生成的數(shù)據(jù)，也不得將上市企業(yè)在東道國產(chǎn)生的數(shù)據(jù)傳輸、存儲在境內(nèi)。以美國為例，《外國公司問責(zé)法案》并未談及同PCAOB所要求識別審計(jì)員的外國司法管轄區(qū)的政府機(jī)構(gòu)間的司法協(xié)調(diào)，僅片面以己方立場約定PCAOB享有域外長臂管轄權(quán)顯然是不恰當(dāng)?shù)摹?/p>

當(dāng)然，司法管轄權(quán)的明確既不能由著各國各自為政，也不能過度強(qiáng)調(diào)東道國數(shù)據(jù)監(jiān)管法律的適用，而是要在雙邊協(xié)議、多邊協(xié)議的基礎(chǔ)上，基于共同目標(biāo)，友好協(xié)商，盡量避免跨境數(shù)據(jù)流動間馬太效應(yīng)的發(fā)生。對此，歐盟新SCC部分模板中所引入的“選擇準(zhǔn)據(jù)法和爭議解決”條款，既明確了司法管轄權(quán)，又尊重了當(dāng)事人的意思自治，且有利于實(shí)體爭議的高效解決，提升裁決結(jié)果的可預(yù)測性，不失為一個(gè)好的選擇。

（四）協(xié)調(diào)國家間數(shù)據(jù)安全監(jiān)管規(guī)則

面對各法域間日益復(fù)雜的數(shù)據(jù)安全監(jiān)管規(guī)則，學(xué)者常提出建設(shè)一種處理數(shù)字平臺的制度構(gòu)想。Fay（2020）建議從金融穩(wěn)定委員會（Financial Stability Board）中汲取靈感，設(shè)置數(shù)字穩(wěn)定委員會（Digital Stability Board），協(xié)調(diào)數(shù)據(jù)價(jià)值鏈上的標(biāo)準(zhǔn)、法規(guī)和政策，監(jiān)控國際數(shù)據(jù)監(jiān)管發(fā)展，在數(shù)據(jù)領(lǐng)域構(gòu)建一套國際通用的規(guī)則和標(biāo)準(zhǔn)。Knake（2020）主張創(chuàng)建數(shù)字貿(mào)易區(qū)以促進(jìn)在線自由和網(wǎng)絡(luò)安全，建立一個(gè)條約組織來協(xié)調(diào)網(wǎng)絡(luò)安全和執(zhí)法工作。Leblond和Aaronson（2019）認(rèn)為，在數(shù)據(jù)驅(qū)動的市場中，獲得自由跨境數(shù)據(jù)流動和消費(fèi)者、企業(yè)和政府之間的高信任度的最佳方法是創(chuàng)建一個(gè)單一的數(shù)據(jù)領(lǐng)域，有自己的制定標(biāo)準(zhǔn)和監(jiān)督機(jī)構(gòu)，其認(rèn)為可以稱之為國際數(shù)據(jù)標(biāo)準(zhǔn)委員會。數(shù)據(jù)規(guī)制涉及國家規(guī)制主權(quán)，各國只有在讓渡或自我限制主權(quán)的基礎(chǔ)之上才能就規(guī)制協(xié)調(diào)和合作達(dá)成一致，這就給數(shù)據(jù)規(guī)制的國際協(xié)調(diào)或合作設(shè)置了幾乎難以逾越的制度難題（彭岳，2021）。顯然，目前在國際層面制定一個(gè)統(tǒng)一的數(shù)據(jù)傳輸標(biāo)準(zhǔn)幾乎不可能，只能更大范圍內(nèi)謀求國際合作意識，盡量協(xié)調(diào)國家間數(shù)據(jù)安全監(jiān)管規(guī)則。

1.加強(qiáng)國家間的溝通與合作

為防止數(shù)據(jù)傳輸限制成為新的貿(mào)易壁壘，各國應(yīng)理性對待數(shù)據(jù)本地化要求，合理劃分適宜數(shù)據(jù)本地化的數(shù)據(jù)類別，謹(jǐn)慎實(shí)施數(shù)據(jù)本地化限制。各國負(fù)責(zé)跨國證券監(jiān)管的機(jī)構(gòu)應(yīng)基于共同利益，采取合作立場，共同研究數(shù)據(jù)本地化可行的建設(shè)性替代方案。同樣，關(guān)于數(shù)據(jù)處理者行業(yè)自律的規(guī)范，也需各國跨境證券監(jiān)管機(jī)構(gòu)不同環(huán)節(jié)的共同監(jiān)督與協(xié)調(diào)。總之，金融數(shù)據(jù)跨境監(jiān)管要高效和成功，母國和東道國監(jiān)管機(jī)構(gòu)間跨境合作與協(xié)調(diào)是必要的。

但從中美監(jiān)管當(dāng)局互動過程可見，美國向我國監(jiān)管部門提出監(jiān)管合作請求無法滿足監(jiān)管的實(shí)際需要（沈偉，2021）。立足于互操作性的總體概念和互惠的對等原則，各國應(yīng)通過雙邊、多邊形式構(gòu)建合作機(jī)制，加強(qiáng)司法領(lǐng)域的國際合作，建立政治互信，共同溝通、友好協(xié)調(diào)國家間數(shù)據(jù)安全監(jiān)管規(guī)則，消除數(shù)據(jù)跨境流動服務(wù)方面的歧視性待遇，對外國企業(yè)提供國民待遇。各國監(jiān)管機(jī)構(gòu)也應(yīng)積極配合彼此的跨境證券數(shù)據(jù)調(diào)查工作，國家間可簽署證券監(jiān)管合作諒解備忘錄，通過構(gòu)建有效的溝通渠道達(dá)成數(shù)據(jù)共享、聯(lián)合監(jiān)測的協(xié)議，在必要時(shí)采取聯(lián)合行動（如審計(jì)檢查中可跨境共同檢查）。針對中美間跨境證券監(jiān)管問題，2021年8月20日我國證監(jiān)會表示，要創(chuàng)造條件推動中美審計(jì)監(jiān)管合作，以推動對外開放、對內(nèi)融合的監(jiān)管系統(tǒng)升級。

國際層面則可借鑒歐盟發(fā)布的個(gè)人數(shù)據(jù)傳輸?shù)淖钚耂CC，在兼顧參加國不同訴求的前提下，謀求最大利益共識，共同制定證券領(lǐng)域數(shù)據(jù)傳輸?shù)臉?biāo)準(zhǔn)合同條款，搭建多種場景模板，推動各法域間數(shù)據(jù)信息保護(hù)規(guī)則、標(biāo)準(zhǔn)的互認(rèn)，提高法律框架的互操作性。同時(shí)，為有效使用數(shù)據(jù)、提高數(shù)據(jù)質(zhì)量，實(shí)現(xiàn)數(shù)據(jù)驅(qū)動經(jīng)濟(jì)，必要數(shù)據(jù)的傳輸豁免在特定場景下也是尤為重要，國家間可經(jīng)友好協(xié)商后按需制定數(shù)據(jù)傳輸豁免、共同監(jiān)管控制的方法。

2.加強(qiáng)各國間的技術(shù)合作與支持

證券層面的數(shù)字技術(shù)支持是指包括數(shù)據(jù)屏蔽、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)替換、數(shù)據(jù)分析、數(shù)據(jù)追蹤等在內(nèi)的保護(hù)數(shù)據(jù)安全方法，旨在防止對金融敏感信息的未授權(quán)訪問、防止惡意軟件的攻擊，為審計(jì)評估提供審計(jì)跟蹤，并防止信息的泄露與系統(tǒng)的篡改。例如，區(qū)塊鏈技術(shù)基于其去中心化、匿名性的特征，在金融數(shù)據(jù)加密、數(shù)據(jù)脫敏等方面具有重要價(jià)值；云計(jì)算基于其可擴(kuò)展性、靈活性的特征，在金融數(shù)據(jù)計(jì)算、風(fēng)險(xiǎn)分析等方面發(fā)揮重要作用。

鑒于部分國家數(shù)字技術(shù)較弱，難以有效、持續(xù)地同數(shù)字技術(shù)高超的國家維系跨境數(shù)據(jù)的自由流動，需要有效落實(shí)互助共發(fā)展理念，對數(shù)字技術(shù)薄弱國家，提供必要數(shù)據(jù)技術(shù)支持和援助，推廣數(shù)據(jù)安全培訓(xùn)，培育金融監(jiān)管專業(yè)人才。