王永杰 馮佳龍

收稿日期：2023-07-22

基金項目：國家社會科學基金青年項目（18CFX048）；

作者簡介：王永杰（1972－??），男，安徽淮南人，浙江理工大學法政學院副教授，博士，主要從事國際經(jīng)濟法研究。

DOI：10.13685/j.cnki.abc. 000722

摘要：近年來，我國數(shù)據(jù)領域立法進程明顯加快，初步構建了金融數(shù)據(jù)跨境流動規(guī)制基本框架。但現(xiàn)有金融數(shù)據(jù)跨境流動法律規(guī)制尚不完善，表現(xiàn)在立法不夠明確、缺乏可操作性、與區(qū)域協(xié)定不夠兼容等方面，難以滿足跨境流動的現(xiàn)實需要。域外，歐美等國通過簽訂雙邊或區(qū)域協(xié)定的方式爭奪金融數(shù)據(jù)跨境流動規(guī)制主導權。我國有必要進一步完善金融數(shù)據(jù)跨境流動規(guī)制措施，提高立法明確性和可操作性，為實現(xiàn)對接國際規(guī)則、提高國際話語權打下堅實基礎。

關鍵詞：金融數(shù)據(jù)；跨境流動；安全評估；數(shù)據(jù)本地化；法律規(guī)制

中圖分類號：F49；D922.16；F832.6? ? ? 文獻標識碼：A? ? ? ? 文章編號：1671-9255（2023）04-0051-07

一、引言

2022年，全球47個主要經(jīng)濟體數(shù)字經(jīng)濟規(guī)模達到38.71萬億元，較上一年增長5.1萬億元，同比增長15.6%；第三產(chǎn)業(yè)數(shù)字經(jīng)濟增加值占行業(yè)增加值比重為45.3%。伴隨著跨境貿(mào)易、跨境金融服務等經(jīng)濟活動的不斷擴張，金融數(shù)據(jù)跨境流動的需求日益增加，大幅提高了全球貨物貿(mào)易，以及金融服務效率，在金融行業(yè)已成為常態(tài)化業(yè)務需求。而大數(shù)據(jù)、5G通信、區(qū)塊鏈和云計算等新技術的發(fā)展帶來傳統(tǒng)金融數(shù)據(jù)的數(shù)字化和信息化，使得以往的監(jiān)管措施已難以滿足現(xiàn)實需要，加上金融數(shù)據(jù)涉及的信息敏感，在進行數(shù)據(jù)收集、傳輸、處理、使用時，帶來的風險也隨之提高。一旦出現(xiàn)數(shù)據(jù)泄露、丟失、被盜等情況，不僅會對個人隱私安全構成隱患，甚至會威脅國家安全，造成難以挽回的損失。“棱鏡門”事件的揭露使得各國不得不考慮如何保護金融數(shù)據(jù)跨境流動帶來的安全問題。而目前全球統(tǒng)一的數(shù)據(jù)跨境流動規(guī)則尚未形成，各國都在按照自身利益需要制定金融數(shù)據(jù)跨境流動規(guī)則。因此，完善我國對金融數(shù)據(jù)跨境流動的規(guī)制體系具有積極意義。

二、我國金融數(shù)據(jù)跨境流動規(guī)制的立法現(xiàn)狀

隨著《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》（以下簡稱《網(wǎng)絡安全法》《數(shù)據(jù)安全法》

《個人信息保護法》）的施行，我國逐步形成以上述三大法律為主體，以《數(shù)據(jù)出境安全評估辦法》（以下簡稱《評估辦法》）、《數(shù)據(jù)安全管理辦法》等行政法規(guī)和部門規(guī)章為補充的數(shù)據(jù)跨境流動規(guī)制體系。[1]《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》（《數(shù)據(jù)安全分級指南》）、《個人金融信息保護技術規(guī)范》《金融消費者權益保護實施辦法》等行業(yè)規(guī)范對金融數(shù)據(jù)跨境流動及數(shù)據(jù)本地化做出了更為詳盡的規(guī)定。

（一）數(shù)據(jù)本地化的規(guī)制

我國實行數(shù)據(jù)本地化主要以個人信息安全和國家安全為考量，強制部分數(shù)據(jù)在境內(nèi)存儲?！毒W(wǎng)絡安全法》第37條要求關鍵信息基礎設施（以下簡稱“關基”）的經(jīng)營者在收集和生成個人數(shù)據(jù)和重要數(shù)據(jù)時，必須將其存儲在境內(nèi)。這項規(guī)定的對象是“關基”的運營者。[2]《數(shù)據(jù)安全法》對數(shù)據(jù)跨境流動做出了更加明確的分類規(guī)定，該法第31條規(guī)定，“關基”運營者收集和產(chǎn)生的重要數(shù)據(jù)出境應遵守《網(wǎng)絡安全法》相關要求；其他數(shù)據(jù)處理者收集和產(chǎn)生的重要數(shù)據(jù)出境安全管理辦法，則由國家網(wǎng)信部門會同國務院有關部門制定。[3]《個人信息保護法》第36條規(guī)定，國家機關處理的個人信息應當在境內(nèi)存儲；第40條要求“關基”運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者必須將個人信息存儲在境內(nèi)?？傮w而言，我國數(shù)據(jù)本地化要求對象主要是“關基”產(chǎn)生或收集的數(shù)據(jù)、特定行業(yè)數(shù)

據(jù)，以及個人信息數(shù)據(jù)。

針對金融數(shù)據(jù)本地化，2011年中國人民銀行《關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》第6條規(guī)定，銀行業(yè)金融機構在處理個人金融信息時必須在中國境內(nèi)進行，除法律法規(guī)或中國人民銀行另有規(guī)定外，不得將境內(nèi)個人金融信息提供給境外機構。[4]2011年中國人民銀行上海分行發(fā)布的《關于銀行業(yè)金融機構做好個人金融信息保護工作有關問題的通知》也對個人金融信息的處理和保護進行了規(guī)定，在例外情況下，比如為客戶辦理業(yè)務目的并得到客戶授權或同意的情況下，可以向海外總行、母行或分行提供個人金融數(shù)據(jù)。2019年中國銀保監(jiān)會《銀行業(yè)金融機構反洗錢和反恐怖融資管理辦法》規(guī)定，銀行業(yè)金融機構在履行反洗錢和反恐怖融資義務時，獲得的客戶身份資料和交易信息不得非法提供給境外機構，除非法律法規(guī)另有規(guī)定。2020年中國人民銀行《個人金融信息保護技術規(guī)范》延續(xù)了中國對金融數(shù)據(jù)出境的管理措施，要求在提供金融產(chǎn)品或金融服務過程中，收集和產(chǎn)生的個人金融信息應在中國境內(nèi)儲存、處理和分析。[4]2021年中國人民銀行《JR/T0223-2021金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》的7.3“數(shù)據(jù)存儲”規(guī)定，我國境內(nèi)產(chǎn)生和收集的金融數(shù)據(jù)應當在本地進行存儲和處理，以確保國家安全和個人信息安全。在我國境內(nèi)產(chǎn)生的5級數(shù)據(jù)應僅在我國境內(nèi)存儲，國家及行業(yè)主管部門另有規(guī)定除外。

（二）數(shù)據(jù)出境安全評估的規(guī)制

金融數(shù)據(jù)與個人信息安全、公共利益、國家安全等密切相關，原則上要求在境內(nèi)儲存，但我國也規(guī)定了允許金融數(shù)據(jù)跨境流動的情形，即在對金融數(shù)據(jù)依法進行安全評估后可以出境。數(shù)據(jù)出境安全評估制度是防范流動風險的關鍵一環(huán)，多部法律法規(guī)、技術規(guī)范都規(guī)定了須經(jīng)安全評估的情形。我國《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等法律在一般法律層面上規(guī)定了數(shù)據(jù)跨境流動的安全評估要求。例如，《網(wǎng)絡安全法》第37條規(guī)定：“因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關機關制定的辦法進行安全評估。”《個人信息保護法》規(guī)定個人信息處理者向境外傳輸個人信息的條件，包括：（1）通過網(wǎng)信部門組織的安全評估；（2）按照網(wǎng)信部門的規(guī)定進行個人信息保護認證；（3）按照網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務。[5]因此，需要向境外提供數(shù)據(jù)的企業(yè)或機構，必須遵守相關法律法規(guī)，進行安全評估和認證，確保數(shù)據(jù)傳輸?shù)陌踩院秃戏ㄐ浴?/p>

在行業(yè)技術規(guī)范層面，2020年中國人民銀行《個人金融信息保護技術規(guī)范》規(guī)定，金融數(shù)據(jù)僅可以在“滿足法律法規(guī)、獲得個人同意、開展安全評估、實現(xiàn)有效監(jiān)督”的基礎上允許向境外傳輸。這體現(xiàn)出我國對于金融數(shù)據(jù)跨境流動的慎重態(tài)度。

基于數(shù)據(jù)出境安全評估的需要，2022年《評估辦法》全面系統(tǒng)地規(guī)定了具體要求?！对u估辦法》適用對象為“在境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和依法應當進行評估的個人信息”?！对u估辦法》第4條規(guī)定了需要申報出境安全評估的具體情形，分別是：（1）向境外提供重要數(shù)據(jù)；（2）“關基”運營者或者處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息；（3）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息。

《評估辦法》規(guī)定評估方式為“數(shù)據(jù)處理者風險自評估和安全評估相結合”，即數(shù)據(jù)處理者先進行自我風險評估，再由國家網(wǎng)信部門對數(shù)據(jù)跨境流動進行評估。對于數(shù)據(jù)處理者自我風險評估，《評估辦法》要求審查以下事項：（1）數(shù)據(jù)出境的目的、規(guī)模、敏感程度，以及可能帶來的風險（包括但不限于篡改、破壞、丟失、非法利用等風險；（2）數(shù)據(jù)接收方是否具備相應能力保障數(shù)據(jù)安全；（3）數(shù)據(jù)處理者和接收方相關責任義務承擔是否明確。對于國家網(wǎng)信部門的安全評估，《評估辦法》規(guī)定主要考量因素為：（1）數(shù)據(jù)出境的目的、方式和范圍；（2）境外接收方的數(shù)據(jù)安全保護政策、網(wǎng)絡安全環(huán)境，以及數(shù)據(jù)保護水平是否達到我國要求，個人信息權益能否得到充分有效保障；（3）數(shù)據(jù)出境的數(shù)量、種類、敏感程度，以及出境后可能帶來的風險；（4）數(shù)據(jù)處理者和接收方相關責任義務承擔是否明確。[6]

金融數(shù)據(jù)對國家安全、公共利益具有舉足輕重的地位，因此，金融數(shù)據(jù)（包括個人金融信息和消費者金融信息）既屬于《網(wǎng)絡安全法》所稱的“關鍵基礎設施”產(chǎn)生的數(shù)據(jù)，也屬于“重要數(shù)據(jù)”，因此上述數(shù)據(jù)出境安全評估制度同樣適用于金融數(shù)據(jù)。

三、我國金融數(shù)據(jù)跨境流動規(guī)制存在的問題

金融領域數(shù)字化和全球化快速發(fā)展給金融數(shù)據(jù)跨境流動的監(jiān)管帶來了挑戰(zhàn)。雖然我國已經(jīng)出臺了一系列法律規(guī)范，但隨著金融領域的不斷演進創(chuàng)新和互聯(lián)網(wǎng)科技的不斷更迭，現(xiàn)有法律框架顯得不甚完善，難以適應實際需求。立法不夠明確、缺乏可操作性，以及在對接區(qū)域協(xié)定存在兼容性障礙等已經(jīng)成為亟待解決的重要問題。

（一）金融數(shù)據(jù)跨境流動規(guī)制立法不夠明確

我國《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》規(guī)定重要數(shù)據(jù)需要經(jīng)安全評估才能出境，但上述三部法律皆沒有對重要數(shù)據(jù)進行界定?！对u估辦法》規(guī)定重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等的數(shù)據(jù)，但此抽象的定義不足以滿足安全評估工作的實際需要?？鐕髽I(yè)的數(shù)據(jù)流動包括個人消費數(shù)據(jù)、產(chǎn)品信息數(shù)據(jù)和業(yè)務信息數(shù)據(jù)等不同敏感程度的數(shù)據(jù)?！稊?shù)據(jù)安全法》旨在建立一套完善的數(shù)據(jù)分級分類保護機制，但未能有效地將個人信息與重要信息，以及其他商業(yè)信息區(qū)分開來。

我國多部法律法規(guī)規(guī)定“確因業(yè)務需要，經(jīng)過安全評估后方可準予出境”，但是對“確因業(yè)務需要”的具體情形并沒有予以詳細說明。目前，僅有《個人金融信息保護技術規(guī)范》及《金融消費者權益保護實施辦法》對“因業(yè)務需要”進行了解釋，但也不夠詳盡。含糊不清的規(guī)定使得金融機構難以獲得正常業(yè)務需要的金融數(shù)據(jù)。另外，不同規(guī)范對評估的適用條件不一致導致實踐操作容易出現(xiàn)混亂。例如，《個人金融信息保護技術規(guī)范》只規(guī)定一種情形需要開展數(shù)據(jù)出境安全評估，即向集團關聯(lián)機構之間跨境傳輸金融數(shù)據(jù)；而《評估辦法》則將所有金融數(shù)據(jù)跨境傳輸都納入出境評估范疇。

在實踐中，金融數(shù)據(jù)控制者一般可以分為三類，分別是：（1）銀行、證券公司、保險公司等傳統(tǒng)持牌金融機構；（2）第三方支付機構、外包金融服務機構等持牌的非金融機構；（3）信息技術提供商、風控服務解決方案提供商等為持牌金融機構提供基礎支持服務的企業(yè)。2020年《個人金融信息保護技術規(guī)范》規(guī)定，“金融業(yè)機構”包括兩類機構：一類是由國家金融監(jiān)管部門監(jiān)督管理的持牌金融機構，另一類是涉及個人金融信息處理的相關機構。前述第三類金融數(shù)據(jù)控制者被排除在規(guī)范之外。另外，金融數(shù)據(jù)控制者應當在金融信息收集、處理、跨境傳輸?shù)拳h(huán)節(jié)承擔并嚴格履行數(shù)據(jù)安全保護義務，降低金融數(shù)據(jù)不當使用的風險?！秱€人金融信息保護技術規(guī)范》較為具體地規(guī)定了金融數(shù)據(jù)控制者在數(shù)據(jù)收集、處理和銷毀方面的安全保護義務，但該技術規(guī)范未能詳細規(guī)定金融數(shù)據(jù)控制者在跨境傳輸方面的安全保護義務。

2023年，國家網(wǎng)信辦出臺了《個人信息出境標準合同辦法》，并制訂了個人信息出境標準合同。該標準合同約定了個人信息處理者的義務、境外接收方的義務、個人信息主體的權利、救濟方法、合同解除及違約責任等條款。該標準合同是針對一般意義上的個人信息跨境流動而制訂的。金融數(shù)據(jù)跨境流動具有自身的特殊性，該標準合同不一定完全適用，金融管理部門應盡快出臺“金融數(shù)據(jù)出境標準合同”。

（二）金融數(shù)據(jù)跨境流動規(guī)制立法缺乏可操作性

我國從國家安全、公共利益、個人信息保護等層面構建了金融數(shù)據(jù)安全保障體系，但我國對金融數(shù)據(jù)跨境流動規(guī)制依然存在著可操作性不強的問題。

我國金融數(shù)據(jù)跨境流動規(guī)制立法過于概括，執(zhí)法機構和企業(yè)難以準確理解與規(guī)范操作，增加了實施的不確定性。如《評估辦法》要求重要數(shù)據(jù)、達到評估要求的敏感信息出境須經(jīng)安全評估，但目前對于重要數(shù)據(jù)、敏感信息的識別仍不明確。實施細則的缺乏使得執(zhí)法機構對違規(guī)行為處罰更為隨意，增加了執(zhí)法的主觀性。

金融數(shù)據(jù)跨境流動涉及復雜的技術，現(xiàn)行法律規(guī)范滯后于快速發(fā)展的金融科技，無法監(jiān)管新生的金融業(yè)務模式。例如，虛擬貨幣交易所具有復雜的技術架構和業(yè)務模式涉及資金安全、反洗錢、客戶隱私等重要問題。許多國家的法律尚未明確對虛擬貨幣交易所進行規(guī)范，導致監(jiān)管滯后和法律適應性不足。在這種情況下，監(jiān)管機構往往只能依靠現(xiàn)有的法律去處理虛擬貨幣交易所的問題，使得監(jiān)管機構在保護投資者利益、防范金融風險和維護金融穩(wěn)定變得更為困難。

由于金融業(yè)務的全球化，各國之間需要數(shù)據(jù)共享。我國金融數(shù)據(jù)跨境流動規(guī)制立法尚未完全整合到國際標準和框架中，這給跨境合作帶來了阻礙。我國金融機構需要與其他國家的金融機構進行數(shù)據(jù)共享，以便開展合規(guī)性審查、反洗錢監(jiān)管等合作。實踐中數(shù)據(jù)共享遭遇較大阻礙。一方面，某些國家可能要求根據(jù)其國家法律提供特定類型的金融數(shù)據(jù)，但這與中國現(xiàn)行法律規(guī)定的數(shù)據(jù)保護要求存在差異。另一方面，不同國家之間的數(shù)據(jù)安全要求也可能存在差異，這些差異阻礙了數(shù)據(jù)跨境流動，影響了中國金融機構與其他國家金融機構之間的數(shù)據(jù)共享和跨境合作。

我國金融數(shù)據(jù)跨境流動的有關規(guī)定分散在不同效力等級的法律規(guī)范中。不同法律規(guī)范之間不能有效銜接甚至相互沖突時，該法律規(guī)范難以執(zhí)行或遵守。例如，《網(wǎng)絡安全法》規(guī)定了個人信息和重要數(shù)據(jù)的概念，《評估辦法》將金融行業(yè)的“重要數(shù)據(jù)”定義為包括但不限于自然人、法人和其他組織收集和產(chǎn)生的金融信息。這兩個法律規(guī)范對重要數(shù)據(jù)的界定不完全相同，《評估辦法》難以有效承接《網(wǎng)絡安全法》的規(guī)定。[6]此外，現(xiàn)行法律規(guī)范對金融數(shù)據(jù)進行分級分類的方法有兩種：一是《網(wǎng)絡安全法》將數(shù)據(jù)分為三類，即重要數(shù)據(jù)、敏感數(shù)據(jù)和一般數(shù)據(jù)。重要數(shù)據(jù)是指與國家安全和公共利益密切相關的數(shù)據(jù)；敏感數(shù)據(jù)是指如果泄露可能會對數(shù)據(jù)主體造成不良影響的數(shù)據(jù)。二是《數(shù)據(jù)安全分級指南》根據(jù)金融數(shù)據(jù)遭受破壞后的影響對象和所造成的影響程度，將數(shù)據(jù)安全級別從高到低劃分為5級、4級、3級、2級、1級。這兩種不同的數(shù)據(jù)分類無法銜接，使得安全評估工作難以開展。

（三）我國立法與區(qū)域協(xié)定對接的兼容性不足

我國正在申請加入《全面與進步跨太平洋伙伴關系協(xié)定》（CPTPP）和《數(shù)字經(jīng)濟伙伴關系協(xié)定》（DEPA）。我國金融數(shù)據(jù)跨境流動規(guī)則與上述區(qū)域協(xié)定相關規(guī)則存在沖突。CPTPP中有關金融數(shù)據(jù)跨境流動規(guī)制的內(nèi)容主要規(guī)定在第十一章“金融服務”章節(jié)的“信息傳輸”條款中。該章節(jié)要求各締約方允許境內(nèi)的外資金融機構出于日常業(yè)務經(jīng)營活動所需進行跨境數(shù)據(jù)傳輸。DEPA第4.3.2條規(guī)定不得以在其領土內(nèi)使用或設置計算設施為條件限制在該締約方開展業(yè)務[8]，第4.3.3條規(guī)定任何一方為實現(xiàn)合法公共政策目標而采取或維持的措施不得構成任意或不合理歧視或對貿(mào)易構成變相限制，也不得對信息傳輸施加超出實現(xiàn)目標所需限度的限制。無論DEPA還是CPTPP都要求盡可能允許數(shù)據(jù)跨境自由流動，不得加以限制，各締約方應當允許出于商業(yè)目的的數(shù)據(jù)跨境傳輸，僅允許有條件和有限度的例外。我國對數(shù)據(jù)跨境流動的規(guī)定主要采取限制性措施為主。根據(jù)我國相關法律法規(guī)，“關基”運營者向境外提供個人信息和重要數(shù)據(jù)，必須進行數(shù)據(jù)出境安全評估?！稊?shù)據(jù)安全法》規(guī)定其他數(shù)據(jù)處理者在境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)也需要數(shù)據(jù)出境安全評估?！秱€人信息保護法》規(guī)定個人信息處理者在向境外提供個人信息時應當遵守的特定約束條件。[9]這樣的規(guī)定有助于保障數(shù)據(jù)安全，避免個人信息和重要數(shù)據(jù)泄露，維護公共利益和國家安全。但這些規(guī)定與區(qū)域協(xié)定鼓勵數(shù)據(jù)跨境自由流動的原則相沖突，也難以適用CPTPP與DEPA的例外條款。

DEPA第4.4.3條規(guī)定禁止將計算設施作為在另一締約方內(nèi)開展業(yè)務的前提條件。我國為了保障國家安全和個人信息安全，規(guī)定重要數(shù)據(jù)必須存儲在境內(nèi)。《網(wǎng)絡安全法》規(guī)定收集和生成的個人信息和重要數(shù)據(jù)應存儲在境內(nèi)?！秱€人信息保護法》規(guī)定個人信息處理量達到規(guī)定數(shù)量的個人信息處理者應將個人信息存儲在境內(nèi)，國家機關處理的個人信息也應存儲在境內(nèi)。我國數(shù)據(jù)本地化的要求主要適用于關鍵基礎設施、特定行業(yè)和個人數(shù)據(jù)。DEPA第4.4.3條強調(diào)不得對任一締約方實現(xiàn)合法公共政策目標構成妨礙，即使該締約方采取了與數(shù)據(jù)本地化規(guī)則不一致的措施，除非該措施不構成歧視、限制貿(mào)易或對計算設施使用或位置設置施加不合理限制。[10]DEPA認同數(shù)據(jù)存儲非強制本地化，但DEPA對例外條款的設置嚴格，不僅要求基于合法公共政策目標而且要求必須在合理限度內(nèi)才能適用。我國個人信息本地化要求在必要性上可能無法滿足DEPA的要求。

在一些具體標準方面，我國立法與區(qū)域協(xié)定也存在一定差距。以CPTPP為例，CPTPP第11.13.10規(guī)定另一締約方的金融機構（包括金融機構的投資者、金融服務提供者）提出的與提供金融服務相關的申請，監(jiān)管機構應當在120天內(nèi)作出決定。關于在我國，外資銀行、保險公司或證券公司設立分支機構的申請周期，最常見的申請批準時間分別為8個月和6個月，兩者均長于 CPTPP 的規(guī)定。我國金融數(shù)據(jù)跨境流動規(guī)制與上述兩個區(qū)域協(xié)定還存在一定差距，為我國加入該兩個區(qū)域協(xié)定增加了難度。

四、金融數(shù)據(jù)跨境流動規(guī)制的域外經(jīng)驗

目前，國際社會尚未形成統(tǒng)一的金融數(shù)據(jù)跨境流動規(guī)制體系。相較于其他國家，美國和歐盟的規(guī)則更為完善，在全球范圍內(nèi)具有更大影響力和話語權。

（一）美國金融數(shù)據(jù)跨境流動的規(guī)制

美國數(shù)字產(chǎn)業(yè)發(fā)展迅速，在全球具有極大的優(yōu)勢和話語權。為了能夠更好地實現(xiàn)金融數(shù)據(jù)跨境流動帶來的經(jīng)濟價值，美國更加重視自由開放的跨境金融數(shù)據(jù)流動環(huán)境。

美國的法律體系由聯(lián)邦法律和州法律兩個層面組成。在聯(lián)邦立法層面，美國沒有制定統(tǒng)一的金融數(shù)據(jù)保護法，而是分行業(yè)、分領域立法，通過行業(yè)自律的方式規(guī)制金融數(shù)據(jù)跨境流動。在金融消費領域，1978年《金融消費者隱私權法》規(guī)定了金融消費者隱私權保障措施，明確金融機構保障金融消費者隱私的法律義務。1999年《金融服務現(xiàn)代法案》詳細規(guī)定了金融機構如何收集、保護和處理金融消費者個人信息。在此基礎上，2000年《消費者金融信息隱私法》更強調(diào)了《金融服務現(xiàn)代化法案》對金融機構的要求。

在州法律層面，2017年紐約州《23 NYCRR 500》要求受其監(jiān)管的金融機構制定并實施保護消費者金融數(shù)據(jù)的網(wǎng)絡安全計劃，定期評估安全風險，根據(jù)評估結果制定相應的安全保護策略。2018年加州《消費者隱私保護法》（CCPA）規(guī)定了消費者享有對其個人數(shù)據(jù)的訪問權、刪除權和知情權等權利，金融機構不得隨意泄露、披露收集到的數(shù)據(jù)。

此外，美國通過訂立雙邊、多邊自由貿(mào)易協(xié)定的方式向其他國家和地區(qū)推行金融數(shù)據(jù)跨境自由流動理念。2012年，《美韓自由貿(mào)易協(xié)定》規(guī)定：為滿足金融機構日常業(yè)務數(shù)據(jù)處理需要，雙方應允許對方金融機構跨境傳輸數(shù)據(jù)。2015年，由美國主導的《跨太平洋戰(zhàn)略經(jīng)濟伙伴關系協(xié)定》（TPP）首次將限制數(shù)據(jù)本地化寫入?yún)f(xié)議文本。2018年，美國與墨西哥、加拿大簽署的《美墨加協(xié)定》（USMCA）第19.12條明確禁止計算機設備本地化。

（二）歐盟金融數(shù)據(jù)跨境流動的規(guī)制

由于歷史傳統(tǒng)的影響，歐盟極其重視個人隱私保護。1980年，OECD發(fā)布了《隱私保護與個人數(shù)據(jù)跨境流動準則》（OECD準則），旨在保護個人隱私和數(shù)據(jù)安全。1995年歐盟頒布了《個人數(shù)據(jù)的處理與自由流動指令》（“95指令”），確立了“充分保護原則”，規(guī)定成員國只有在第三國能夠提供充分保護的前提下才能傳輸個人數(shù)據(jù)?！俺浞直Ｗo原則”要求數(shù)據(jù)流向的目的國必須達到歐盟認可的充分保護水平。2016年歐盟通過了《一般數(shù)據(jù)保護條例》（GDPR）?？傮w而言，GDPR繼承了“95指令”確立的“充分保護原則”，規(guī)定歐盟成員國之間數(shù)據(jù)可以自由流動，數(shù)據(jù)流向非歐盟成員國需要滿足更加嚴格的標準。除了“充分保護”標準之外，GDPR為作出適當保障措施的國家提供了兩種數(shù)據(jù)跨境流動的方案，分別是標準合同條款（SCCs）和約束性公司規(guī)則（BCPs）。此外，GDPR還規(guī)定了在獲得用戶明確同意或者為了公共利益考量等情形下，允許歐盟將個人數(shù)據(jù)傳輸出境。

金融數(shù)據(jù)極其重要，理應另立法律進行特殊規(guī)制，歐盟并未對其進行單獨立法，原因包括以下兩點：（1）歐盟制定的以GDPR為基礎的高標準個人數(shù)據(jù)保護體系能夠全面、高標準地規(guī)制金融數(shù)據(jù)的跨境流動；（2）在偏重個人隱私保護之外，歐盟仍然期望借助數(shù)據(jù)跨境流動的開放舉措實現(xiàn)內(nèi)部數(shù)據(jù)自由流動以充分發(fā)揮其經(jīng)濟價值。

綜上所述，美國和歐盟在對待金融數(shù)據(jù)上各有其特點。主要包括：（1）金融數(shù)據(jù)監(jiān)管模式：美國和歐盟的金融數(shù)據(jù)監(jiān)管模式存在明顯的差異。美國國內(nèi)金融數(shù)據(jù)保護立法和監(jiān)管雖然在一定程度上受到各州法律的差異影響，但總體而言更加注重市場導向、行業(yè)自律和事后追責等，要求金融機構采取各種措施限制金融數(shù)據(jù)的廣泛流動，以降低金融隱私權受到侵害的風險；而歐盟則以全面、統(tǒng)一的GDPR為框架，更加注重保護個人數(shù)據(jù)的權利保護，尤其是隱私權。（2）跨境數(shù)據(jù)流動。美國對金融數(shù)據(jù)跨境流動的限制相對寬松，而歐盟對金融數(shù)據(jù)跨境流動有更嚴格的限制。歐盟要求金融機構必須將數(shù)據(jù)存儲在歐盟境內(nèi)，并且必須遵守GDPR的規(guī)定，而美國則更加傾向于促進數(shù)據(jù)的跨境流動，以更好地利用數(shù)據(jù)的經(jīng)濟價值。（3）數(shù)據(jù)流動范圍。如前文所述，美國已經(jīng)與其他國家和地區(qū)簽署了多項跨境數(shù)據(jù)流動協(xié)議，并且逐步放開數(shù)據(jù)的跨境自由傳輸限制，盡可能減少數(shù)據(jù)的本地存儲。相比之下，美國的數(shù)據(jù)流動范圍更廣，傾向于在全球范圍內(nèi)進行數(shù)據(jù)流動，以獲得更多的商業(yè)機會。而歐盟則更加注重數(shù)據(jù)的安全和隱私，因此對數(shù)據(jù)流動范圍進行了嚴格的限制。根據(jù)GDPR的規(guī)定，只有在滿足一系列條件的情況下，個人數(shù)據(jù)才能被傳輸?shù)綒W盟以外的第三國。這些條件主要涉及第三國能夠達到適當?shù)碾[私保護水平，目前只有少數(shù)幾個國家如加拿大、新西蘭和瑞士等得到了歐盟的認可。

總之，美國和歐盟在對待金融數(shù)據(jù)上有不同的監(jiān)管模式、法律制度、流動范圍及安全和隱私保護。這些差異反映了兩個地區(qū)不同的政治、經(jīng)濟和文化背景，也體現(xiàn)了在全球化和數(shù)字化時代，金融數(shù)據(jù)跨境流動與保護所面臨的復雜挑戰(zhàn)和機遇。

五、完善我國金融數(shù)據(jù)跨境流動規(guī)制的建議

與美歐等發(fā)達國家或地區(qū)相比，我國數(shù)據(jù)跨境流動的法律規(guī)制相對滯后。為了適應快速增長的數(shù)據(jù)跨境流動需求和滿足數(shù)據(jù)跨境流動的現(xiàn)實需要，并有效應對可能帶來的潛在金融風險，我國有必要進一步加強和完善金融數(shù)據(jù)跨境流動的規(guī)則體系。

（一）明確重要概念和數(shù)據(jù)控制者保護義務

我國需要進一步明確金融領域重要數(shù)據(jù)的范圍，合理制定與之相應的跨境流動細則。目前，我國主要采用損害評估的方法對重要數(shù)據(jù)進行分類，即評估如果發(fā)生泄漏是否會對國家金融安全和正常的經(jīng)濟秩序。[11]因此，可以通過限制解釋將重要數(shù)據(jù)限制在公共利益、國家安全和金融安全領域。

尚未明確“確因業(yè)務需要”的具體定義使得金融數(shù)據(jù)跨境流動的“例外情形”變得模糊不清。我國需要完善金融數(shù)據(jù)跨境流動的評估機制，使“例外許可”在實踐中更易推廣。具體而言，我國應當明確金融數(shù)據(jù)跨境流動的前提條件，并針對不同類型的跨境流動情形予以歸類和審慎評估。我們可將金融數(shù)據(jù)的常見流動情形歸為三類：（1）基于日常商業(yè)運營的需要，向集團總部跨境傳輸數(shù)據(jù)；（2）基于外部審計等需求，向第三方轉移數(shù)據(jù)；（3）基于境外監(jiān)管要求，向金融監(jiān)管部門轉移數(shù)據(jù)。[6]根據(jù)不同的流動目的，設置相應的評估條件，以提高跨境實踐的可操作性。

我國應當明確金融數(shù)據(jù)控制者的范圍及其數(shù)據(jù)跨境傳輸安全保護義務。數(shù)據(jù)安全保護義務來源于個人隱私保護，但又與之不同。通常情況下，個人隱私受到侵犯主要集中在數(shù)據(jù)的收集方式和利用方式，數(shù)據(jù)保護規(guī)則適用于整個數(shù)據(jù)處理過程，數(shù)據(jù)保護范圍比個人隱私保護范圍更廣。從數(shù)據(jù)生命全周期（數(shù)據(jù)采集、存儲、傳輸與交換到銷毀）來看，金融數(shù)據(jù)跨境傳輸處于周期的中端。要實現(xiàn)金融數(shù)據(jù)的安全跨境流動，需要前端的數(shù)據(jù)收集、中端的數(shù)據(jù)跨境流動以及后端的數(shù)據(jù)應用三部分密切合作。在前端，金融機構應該有一個完整和有效的數(shù)據(jù)治理架構；在后端，數(shù)據(jù)控制者應確保數(shù)據(jù)接收者有足夠的數(shù)據(jù)保護水平。在進行數(shù)據(jù)跨境傳輸時，金融數(shù)據(jù)控制者既要承擔自身數(shù)據(jù)的安全保護義務，也要承擔客戶信息安全保護義務。我國應當學習美國紐約州《金融服務公司網(wǎng)絡安全要求》和歐盟GDPR要求數(shù)據(jù)控制者“以風險為導向”，在跨境傳輸金融數(shù)據(jù)時承擔數(shù)據(jù)安全保護義務，定期評估自身網(wǎng)絡和信息安全以及客戶信息安全存在的潛在風險，并提交合規(guī)證書。數(shù)據(jù)控制者必須嚴格遵守通知客戶的義務，GDPR要求數(shù)據(jù)控制者在出現(xiàn)可能對數(shù)據(jù)主體權利造成危害的跨境傳輸行為時通知監(jiān)管機構以進行“事先檢查”。

（二）統(tǒng)一監(jiān)管以優(yōu)化安全審查

由于歷史原因和分行業(yè)監(jiān)管的影響，我國金融數(shù)據(jù)跨境流動的監(jiān)管主體分散，且未能實現(xiàn)有效的職能劃分，亟待建立一個能統(tǒng)籌金融數(shù)據(jù)跨境流動全局、協(xié)調(diào)各監(jiān)管主體職責的機構?；诖?，國家數(shù)據(jù)局的組建是應有之義。

我國可以制定金融數(shù)據(jù)跨境流動的標準合同優(yōu)化審查制度。標準化合同是指將金融數(shù)據(jù)保護義務通過合同化的形式轉化為私法上的義務。例如，在管理個人信息跨境流動方面，網(wǎng)信部制定的標準合同被規(guī)定為個人信息出境的法律依據(jù)。金融領域的數(shù)據(jù)跨境流動可借鑒該做法，制定對應的標準合同以簡化出境評估流程。根據(jù)我國《評估辦法》的規(guī)定，在進行出境安全評估時，評估機構特別重視境內(nèi)金融機構與境外接收者簽訂的合同，重點審查合同中金融數(shù)據(jù)保護的相關條款，包括雙方的權利義務和責任、金融數(shù)據(jù)主體保護能力以及權利救濟方式等。通過整合相關數(shù)據(jù)保護要求和主管部門對金融數(shù)據(jù)的特別監(jiān)管要求，我國可以制定金融數(shù)據(jù)出境標準合同。這樣既能為金融機構提供合規(guī)指導，又可以分散對出境安全評估的壓力，從而進一步優(yōu)化評估流程。

（三）積極參與國際數(shù)據(jù)流動規(guī)則以增進國際話語權

目前我國嚴格限制金融數(shù)據(jù)跨境流動的理念并不符合全球化的發(fā)展趨勢，不利于我國融入?yún)^(qū)域體系。應適當放寬對金融數(shù)據(jù)跨境流動的限制以應對數(shù)字經(jīng)濟全球化。實行更加開放的金融數(shù)據(jù)跨境流動需要相關的配套措施，如完善金融數(shù)據(jù)有效監(jiān)管、確定金融數(shù)據(jù)跨境傳輸?shù)哪康呐c條件、細化數(shù)據(jù)控制者保護義務等。我國應明確金融數(shù)據(jù)跨境流動基本原則，審慎制定金融數(shù)據(jù)本地化規(guī)則，實現(xiàn)更加開放的金融數(shù)據(jù)跨境流動規(guī)制體系，減少對接區(qū)域協(xié)定的障礙。

強調(diào)金融數(shù)據(jù)跨境自由流動并不意味著我國放棄采取限制金融數(shù)據(jù)跨境流動的措施，我國可以援引CPTPP、DEPA的例外條款。理解和援引區(qū)域協(xié)定中的例外條款對維護我國數(shù)據(jù)主權、平衡利益與風險有著重要意義。我國數(shù)據(jù)出境安全評估制度需要滿足區(qū)域協(xié)定對數(shù)據(jù)跨境自由流動的高標準要求或者需要滿足合法公共政策例外、安全例外、不構成歧視等例外條款。因此，我國要加強限制措施的透明度和可預測性。我國應建立明確的標準和程序，使金融數(shù)據(jù)出境安全評估制度的實施更加透明、可預測。我國應確保司法監(jiān)督和審查機制的有效性。我國應建立獨立的司法審查程序，以便對數(shù)據(jù)出境安全評估制度的決定進行監(jiān)督和審查，確保評估機構的評估工作符合法律要求，同時為數(shù)據(jù)主體提供保護其權益的救濟途徑。

歐盟和美國能夠在全球數(shù)字貿(mào)易規(guī)則中享有主導權，與其完善的內(nèi)部數(shù)字貿(mào)易治理體系密不可分。我國數(shù)字經(jīng)濟規(guī)模僅次于美國，但是無論是話語權還是國際規(guī)則制定參與度都與歐美有著不小的差距。我國對接區(qū)域協(xié)定雖是挑戰(zhàn)，更是機遇。我國應當向區(qū)域協(xié)定看齊，加快數(shù)字貿(mào)易治理體系構建進程，這不僅是我國加入CPTPP與DEPA的必然要求，也是我國深度參與全球數(shù)據(jù)跨境流動規(guī)則制定、掌握國際話語權的必要舉措。

六、結語

金融數(shù)據(jù)跨境流動在推動全球金融業(yè)、經(jīng)濟貿(mào)易發(fā)展的同時，也會對國家安全、金融安全和個人隱私保護等權益形成威脅?；跉v史傳統(tǒng)、規(guī)制理念的不同，各國采取了不同的數(shù)據(jù)跨境流動的規(guī)制措施。歐盟以維護公民個人隱私為導向，采取“充分性保護”的規(guī)制方式，對個人數(shù)據(jù)和信息保護要求較高；美國以經(jīng)濟發(fā)展為價值取向，主張數(shù)據(jù)跨境自由流動。目前我們正處于數(shù)字經(jīng)濟時代，金融數(shù)據(jù)全球融通是大勢所趨。雖然各國對金融數(shù)據(jù)跨境流動規(guī)制方式存在差異，但在全球化的浪潮下也不得不選擇相互合作，而在WTO談判受阻、國際上難以形成統(tǒng)一的金融數(shù)據(jù)跨境流動規(guī)則的情況下，通過達成雙邊協(xié)定或者區(qū)域協(xié)定的方式來完成部分地區(qū)規(guī)則的統(tǒng)一是目前較為可行的選擇。對我國而言，金融數(shù)據(jù)跨境流動同樣帶來了機遇和挑戰(zhàn)，把握好國家安全、經(jīng)濟發(fā)展、個人隱私保護之間的平衡對我國金融數(shù)據(jù)跨境流動規(guī)制未來發(fā)展、參與全球規(guī)則構建、提升國際話語權有著重要意義。在國內(nèi)層面，我國應當積極完善金融數(shù)據(jù)跨境流動規(guī)制體系；在國際層面，我國應當對標CPTPP和DEPA等區(qū)域協(xié)定，提高自身話語權，為將來構建統(tǒng)一的全球金融數(shù)據(jù)跨境流動規(guī)則貢獻中國力量。

參考文獻：

[1]王婷.我國金融數(shù)據(jù)跨境流動機制現(xiàn)狀與因應之策[J].對外經(jīng)貿(mào)，2022（11）：74-77+105.

[2]彭德雷，張子琳. 數(shù)字時代金融數(shù)據(jù)跨境流動的風險與規(guī)制研究[J].國際商務研究，2022（1）：14-25.

[3]洪延青.國家安全視野中的數(shù)據(jù)分類分級保護[J].中國法律評論，2021（5）：71-78.

[4]王遠志.我國銀行金融數(shù)據(jù)跨境流動的法律規(guī)制[J].金融監(jiān)管研究，2020（1）：51-65.

[5]藺捷，田晨.個人金融數(shù)據(jù)跨境流動規(guī)制研究[J].上海大學學報，2021（6）：95-107.

[6]王春暉.數(shù)據(jù)安全出境評估規(guī)則與適用——《數(shù)據(jù)出境安全評估辦法》解讀[J].南京郵電大學學報，2022（4）：1-10.

[7]馬蘭.金融數(shù)據(jù)跨境流動規(guī)制的核心問題和中國因應[J].國際法研究，2020（3）：82-101.

[8]孫南翔.CPTPP數(shù)字貿(mào)易規(guī)則：制度博弈、規(guī)范差異與中國因應[J].學術論壇，2022（5）：44-53.

[9]文洋，王霞.中國申請加入DEPA的焦點問題與政策研究[J].開放導報，2022（4）：101-111.

[10]張曉君，屈曉濛.RCEP數(shù)據(jù)跨境流動例外條款與中國因應[J].政法論叢，2022（3）：109-119.

[11]田翔宇.金融數(shù)據(jù)跨境流動的特殊規(guī)制[J].海南金融，2021（4）：51-58+87.

Research on regulation of cross-border flow of financial data in China

Wang Yongjie，F(xiàn)eng Jialong

（ School of Law and Politics，Zhejiang Sci-Tech University，Hangzhou 310018）

Abstract：In recent years， the legislative process of our country's data field has been accelerated obviously， and the basic regulatory framework of cross-border flow of financial data has been preliminarily constructed. However， the existing legal regulation on cross-border flow of financial data is not perfect， which is manifested in the lack of clear legislation， lack of operability and incompatibility with regional agreements. Abroad， Europe and the United States and other countries through the signing of bilateral or regional agreements to fight for financial data cross-border flow of regulatory leadership. It is necessary for our country to further improve the regulatory measures for the cross-border flow of financial data， enhance the clarity and Operability of legislation， and lay a solid foundation for aligning international rules and enhancing the international voice.

Keywords： Financial data; Cross-border flows; Safety Assessment; Data Localization; Regulation by law