郭子訸

（上海海事大学 法学院 上海201306）

金融体系是一个高度全球化的体系，金融机构的跨境支付、清算及数据信息交换实属必然。金融数据跨境流动，不仅关乎个人信息及数据产权保护，也与国家安全密切关联，同时还影响着国际竞争与国际关系，推动着国家和区域间合作新规则的演化。日益频繁的金融数据跨境流通带来了诸多新的法律规制挑战，以美国、欧盟为代表的域外法律规制以区域性条例或协定为主，尚未形成统一的治理标准。[1]我国目前初步建立了零散的数据管理法律法规，而跨境流动的相关立法尚处于较为滞后的状态。在总体国家安全观视域下，构建有效的金融数据跨境流动法律规制体系，对于保护用户金融数据产权、维持网络空间秩序、提高经济安全、增强国际经贸合作等都具有深远的意义。

一、国家安全视角下的金融数据及其跨境流动

党的十九大报告明确提出“坚持总体国家安全观”，其中信息安全是当今网络时代信息技术发展潮流下必须关注的战略关键问题。[2]网络空间的开放性和透明性促进了信息交换和沟通，但也带来了用户私权利、企业权益与国家公权力之间的冲突。根据国际标准化组织（ISO）的定义，信息安全（Information security）是为数据处理系统建立和采用的技术和管理的安全保护，以保护计算机硬件、软件和数据不受意外或恶意原因的更改、损坏和泄漏。[3]不难看出，数据安全是信息安全的核心，数据安全是对信息安全更为精准且更符合技术发展方向的描述。尽管总体国家安全观仍以“信息安全”来概括网络空间的所有安全问题，但国家互联网信息办公室已经于2019年开始对《数据安全管理办法（征求意见稿）》公开征求意见，可见数据安全之于新时代国家安全的重要战略意义。

在数据安全的细分领域，金融数据安全随着金融电子化的发展而逐渐被关注，但对于金融数据（Financial data）的定义仍不明晰，各国更多选用个人金融信息（Personal financial information）作为法规措辞。所谓个人金融信息，即个人在金融交易活动中产生的可以识别其经济与财产特征的信息。金融数据作为一个含义更加宽泛的概念，囊括了用户个人信息、企业客户信息与金融机构自身的数据，既有收集的原始数据，也有经过加工处理后的信息，这就使得其安全问题尤为复杂，需要对用户和金融机构进行双重规制。

跨境信息流动的立法肇始于20世纪80年代。一般来说，金融数据的跨境流动包括两个层面的含义：一是金融数据跨越一国或地区的边界传输到另一国或地区，通过数据处理手段使用和存储；二是金融数据尚未传输到国外，但已被其他国家或地区的实体访问并导致泄露，这就造成了跨境数据的法律冲突。[4]互联网信息服务中的金融数据跨境流动发生在多个领域，如跨境电子商务交易、国际应用软件使用过程、信息货币交易系统、数据分析活动等。金融数据跨境流动后可能发生数据泄露、不当处理或恶意使用等情形，但由于数据已经离开我国管辖范畴，无法对其行使网络空间主权，会对我国国家安全造成威胁。因此，必须引入国家强制力对金融数据跨境流动进行规制。

二、金融数据跨境流动的安全风险类型

（一）用户自主使用跨境金融服务带来的安全风险

在用户自主使用跨境金融服务如数字货币交易、移动支付时，个人身份、账户信息、交易IP地址等个人金融数据将会发生跨境流动。根据用户对于金融数据权利的主动或被动行使，可以将用户个人金融数据流动分为授权流出与未授权流出两种类型，其分别对应着不同的安全风险。

1.个人金融数据授权流出。所谓个人金融数据授权流出，是指用户在使用跨境金融服务时，知悉并授权境外服务器获取个人金融数据，用户对于流出数据的信息内容充分知悉且认可。但其所流出数据是否危及国家安全无从得知，境外数据控制者能否妥善保管和使用我国用户的金融数据也无法确定。

个人用户在主动使用跨境金融服务时，对于服务的效率和便捷性具有较高的需求，因而对于在金融数据流动过程中可能影响其使用效率的法律规制和监管行为持排斥态度。然而，从国家安全的角度来看，一方面，个人金融数据授权流出可能会因为所附带的一国重要敏感信息，存在被不当采集的风险，导致出境数据被恶意使用和非法泄露，使金融数据安全难以得到保障；另一方面，金融数据的跨境流动必然会涉及多国利益和跨境法律冲突，数据管辖权竞争、“数据霸权”等潜在问题会严重威胁一国的国家主权。[5]因此，必须防备个人金融数据授权流出可能对国家安全造成的负面影响。

2.个人金融数据未授权流出。所谓个人金融数据未授权流出，是指用户在使用跨境金融服务时，不知晓其部分金融数据会被传输到境外服务器，且没有授权境外机构储存或再次使用该数据信息。在用户确知在使用跨境金融服务、但对个人数据流出实际上无意识的情况下，无论境外金融数据控制者或其他数据取得者是出于何种动机，实际上都是对个人数据权益的侵犯。与“授权流出”不同的是，“无授权流出”意味着用户在跨境金融服务中并未与境外数据控制者达成获取数据的相关合意，因此境外数据控制者对其个人金融数据不负有保护义务，其数据内容更容易被随意化使用和处理，被不法分子或机构非法转移、违规利用的风险极高，对国家安全的威胁也更为显著。

（二）金融数据控制者进行跨境业务带来的安全风险

除了用户个人使用跨境金融服务时产生的数据流动，金融数据控制者①根据欧盟《一般数据保护法案》（GDPR）的定义，所谓“数据控制者”是指能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。进行跨境业务时也会发生金融数据的传输。在全球化背景下，金融数据控制者的范围从金融机构扩展到互联网领域，包括受国家金融监管机构监管的持牌金融机构、持牌非金融机构以及为持牌金融机构提供服务和支持的企业。金融数据控制者出于合法、特定的目的在收集个人数据的过程中，也会对国家安全构成不同的风险。

1.集团内部的金融数据跨境传输。在运营过程中，金融数据提供者收集并积累了大量用户的个人金融信息，于涉外业务中将收集到的数据传输到集团分公司、集团总部，此即为集团内部的金融数据跨境传输。典型的例子是银行业，如海外分行与总行开展跨境金融业务时，分支机构根据总部的要求会提供客户的金融信息。不同国家对金融数据的跨境传输有不同的要求，但基本上需要满足以下四个条件：数据的法律依据、客户同意、传输行为要履行法律义务、分支机构与总部之间有数据保护协议。可以看出，金融数据控制者的跨境数据传输具有较高的准入门槛，但是规定普遍比较笼统，没有贯穿数据流动的全过程。立法者的监管思路主要是从源头上控制不必要的金融数据的流出，忽略了传输过程中可能发生的安全风险。金融数据控制者仅能保证在境内的金融数据流动的合法性，但不能保证境外金融数据控制者对其使用的合理性与合法性。我国2019年发布的《中国人民银行金融消费者权益保护实施办法（征求意见稿）》第34条第3款规定“信息接收方为完成该业务所必需的关联机构（含总公司、母公司或者分公司、子公司等）”，未考虑到同一份金融数据在集团内部的功能性差异，在我国境内合法的金融数据传输到境外关联机构后，可能超越或有悖于该机构的处理范畴，从而产生金融数据的泄露风险，威胁国家安全。

2.集团以外的金融数据跨境移送。除了集团内部相对可控的跨境数据传输外，金融数据控制者还会与集团以外的第三方产生必要的金融数据跨境流动。例如，跨国集团的财务数据控制员在进行年度或专项审计时，需要将其财务数据转移给会计师事务所。但在国外，这类数据传输的要求比日常跨境数据流动的操作更为严格，如《美国金融隐私权法》规定，金融机构不得直接或通过任何关联公司向非关联第三方披露非公开个人信息，除非银行已通知消费者，并为消费者提供不允许披露的操作权利和方法。由于脱离了集团内部的数据控制架构，第三方金融数据跨境移送安全风险更大，主要原因是第三方机构难以对数据的使用和处理进行监控，无法通过监管手段对安全风险进行预测和预警。除了外部审计等非基于商业经营目的的必要理由，各国的立法实践对金融数据控制者向第三方传输数据都持有十分保守的态度。但是，信息产业的发展不断催生着更频繁的金融数据跨境流动，客观上要求必须形成一个能够保证国家安全同时也能促进数据合理传输的金融数据跨境流动规制体系。然而传统立法中的个人信息私权保护意识与总体国家安全观下的公权限制理念相冲突，这就产生了如何规制的新问题。

三、金融数据跨境流动的规制基础

（一）规制机理：从自主控制到社会控制

1.信息自决。对于金融数据跨境流动的规制，首先需厘清规制的主体与各自的义务。传统的个人信息自主控制论认为，信息处理需要得到信息主体的同意，意即个人享有对自己信息的支配权，如欧洲基于人格尊严、美国基于隐私保护的个人数据保护理论。从20世纪80年代开始，个人信息自主控制论开始在国际上占据主流，故而许多国际组织、国家或地区都将个人信息处理的合法性建立在用户同意的基础上。[6]具体到跨境金融服务的实践中，用户通常需要“同意”用户协议或单独的隐私条款来进入“下一步”，以此来获取更多的金融服务。该行为在很大程度上可以保证用户使用服务的自主性，但是从服务提供者的设置初衷来看，其往往是为了减轻或免除己方可能承担的责任。完全的个人信息自决权将会彻底导致服务者的责任缺位，遇到专业或复杂问题时，用户很难保证自己对相关协议或条款的确知程度，极有可能导致安全问题。

2.信息自决权的理论缺陷。信息自决（权）被定义为对个人信息的支配性权利。个人信息只是一种可以识别的事实或记录，虽与特定个人有联系或有利益关联，但绝对达不到依法赋予其支配权的境界。而且，这种将个人信息定位于支配权客体的认识与私法上支配权的含义相背离。个人信息作为公共空间中自由流动的事实或记录，既不能完全属于某一独立个人，更不具备稀缺性，不应该作为个人支配的对象。此外，同意不是也不应该是个人信息处理的合法依据，因为用户同意过程耗时过长，不符合经济利益的要求，大量例外的存在使得“同意条款”不能确定化、标准化而统一适用，这无疑削弱了同意的基本效力。

（二）规制本质：公权力对金融市场和经济社会的法律限制

1.金融数据的公共属性。作为信息的子分支，金融数据也具备一般信息的公开性和共享性特征，故而个人只能控制信息的联接却无法决定信息本身的产生与流动。换言之，用户产生的金融大数据实际上是社会公共基础设施的一部分。随着互联网技术的发展，世界进入了以网络化、智能化为特征的大数据时代，信息作为大数据技术发展的基础资源，受到了广泛关注。当前，世界上许多国家都意识到大数据对促进国家进步和社会发展的重要性，从国家战略层面加强信息数据的开发利用。金融数据的公开性和社会性决定了金融数据不应完全由个人控制，而应作为公共资源加以重新审视。2016年以来，欧美各国相继推出了金融数据共享战略。而在我国，中国人民银行的征信系统也体现了国家监管层面对个人金融数据归属利用的基本立场，将金融数据视为社会大数据的基础组成部分，由国家机构带领全社会进行数据资源共享，规制不诚信行为的同时也能够最大程度地保障个人权利。

2.金融数据的社会控制立场。面对多样化、全息化的金融数据，国家安全风险随着频繁的数据采集、分析和应用而显著增加，在当前立法中个人信息的私权保护理念无法满足社会发展对金融数据公开性的要求。鉴于金融数据的公共性，对金融数据的使用、保护和监管更应该基于个人信息数据社会控制的理论，在社会控制、国家安全的优先考量下，保护用户个人、金融机构等相关主体对个人金融数据信息的采集、存储、交换、公开等应用，构建基于“社会控制”立场的金融数据跨境流动监管体系。对金融数据跨境流动的监管实质上是国家公权力对金融市场管理和经济社会生活的一种法律限制。[7]（P10）如何在保障国家安全的前提下最大程度地满足个人用户的金融数据权利行使、鼓励金融交易、促进金融数据交流与国际合作，是当前国家网络与个人数据立法中最为关键的问题。

四、我国金融数据跨境流动规制体系之构想

（一）构建国家安全与经济效率兼顾的多重监管机制

1.监管价值与原则。关于金融数据的流动监管，从比较法视野看，不同经济体立法价值取向有所差异。欧盟的立法以促进数字经济发展为目标，侧重人权保护；美国奉行市场主导、行业自律；新加坡强调数据自由流动，很少使用法律限制。数据自由流动、数据产权保护、数据自主权以及数据的社会控制，是难以同时兼顾的，应当进行选优排序。我国的金融界是国家严格监管的领域，在国家总体安全观视角下，基于金融数据的社会公共产品属性，依据数据流动的社会控制理论与实践，笔者认为，应当以国家安全作为其核心价值，以国家对金融数据享有主权的国际法立场，构建金融数据跨国流动的监管法律机制体系。与此同时，还应当通过动态平衡的方式方法，在相关细则的确定中，坚持数字经济发展、用户数据产权保护与国家金融安全相协调的规制原则。

2.监管体系。在我国现有的金融监管结构下，要进一步建构国家行政监管、行业自律监管以及数据用户自查相结合的法律规制体系。首先，在行政监管方面，建立专门机构统筹与相关部门协作的行政监管机制。其次，在行业自律监管方面，构建行业协会和其他自律组织参与安全评估的合作机制，建立细化的数据流动管理自律秩序。再次，在金融数据控制者的自觉监管方面，应当在相关法律法规中明确金融数字控制主体在国家安全、数据保护等方面的自律自查责任。数据平台公司要建立数据各周期环节的操作规范，内化和落实国家监管的要素及目标。

3.监管对象。金融数据跨境流动的监管对象应当是“全流域”的数据关涉主体，包括个人用户、金融服务贸易与消费的参与者、关键信息基础设施运营者以及网络运营者。鉴于我国相关立法已经对关键信息基础设施运营者、网络运营者作出了相关规定，笔者仅从个人用户及金融数据控制者两方面提出建议。一是个人用户。尽管《个人金融信息保护技术规范》已经提出金融信息跨境流动需“获得个人金融信息主体明示同意”，但对于用户的具体知情权、同意权或反对权、申诉权并未作细化规定。如前文所述，金融数据跨境流动可能发生于用户知情或不知情的情形下，并不能保证每次数据流动都能获得明确的用户同意，这就需要为用户建立相应的申诉机制，保障其向监管部门申诉并获得补偿的权利。监管部门可联合境外机构，设立国际金融数据追踪系统，及时向侵权者追偿。以往的立法中较少从维护金融安全、社会公共利益的视角对用户加以监管，导致个人用户在使用跨境金融服务时的数据安全意识较淡薄，金融数据控制者在传输用户数据时也主要关注业务的经济效益，较少考虑金融数据安全问题。对此，网信部门、金融监管部门应当承担起教育监督的义务，做好跨境金融服务安全风险的普及工作，提醒用户做好个人数据的保护，建立和完善用户个人金融数据跨境流动中的数据使用知情同意和授权制度。二是金融数据控制者。建议金融数据控制者成立信息安全保护自治组织，对于金融监管范围之内的金融机构，无论其持牌与否都需要强调金融属性，金融数据跨境流动时应时刻以国家安全风险为规制重点，防止涉密或敏感信息流出境内，同时在安全范畴内尽可能促进金融服务的多元化发展。金融数据控制者还可以设立内容评定委员会，对于可能流出的金融数据是否威胁国家安全予以专业判定。[8]（P8）由于数据的在线性和保密性，其监管的技术难度和成本都比较高，尤其难以在数据跨境流动之后再进行维护。在“谷歌诉冈萨雷斯”一案中，信息主体冈萨雷斯于2010年提出的谷歌侵犯其“被遗忘权”的主张，直到2014年欧洲联盟法院才作出有利于冈萨雷斯的判决。可见，对金融数据控制者的监管，主要依靠事前监管，可以通过规定其金融数据流出前的审查、排查义务，保障重要信息数据排除在自由流动的范畴之外。此外可借鉴欧盟与美国个人金融数据跨境流动相关规则，明确商业机构在金融数据跨境流动中应采取安全保障措施，并建立以金融数据发送方为核心的责任追究机制。

4.监管的主客体。金融数据跨境监管的主体包括国家和地区两个层面。就国家行政监管而言，对金融数据出境安全评估应关注信息内容和传播渠道，确保其内容符合国家法律法规和政策规定，确保网络经营者获取金融数据的渠道合法、合规。在地方监管层面，省级网信部门要定期检查网络运营商的境外金融数据记录等信息，重点检查与金融数据流转相关的合同义务履行情况，检查是否存在损害金融数据主体合法权益的行为，以确保其在法律规定的范围内合理提供跨境网络服务。

对于作为监管客体的跨境金融数据，应当分层分类予以监管，注意金融数据的出境安全评估，对可能造成我国网络空间安全隐患的金融信息进行有效识别和阻拦，限制相关数据的自由流动。《个人金融信息保护技术规范》将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别，明确提到应根据个人金融信息的不同类别，采用相应的技术手段保证个人金融信息的存储安全，但并未涉及数据在跨境传输中的分别监管问题。对于金融数据，要根据不同情况明确传输条件，对不同风险的数据传输赋予不同的安全规制层级。对于集团内部财务数据的跨境传输，必须确保该行为发生在财务集团的附属机构。在客户明确得知数据传输是其履行的法律义务并同意的情况下，集团内部必须签署包含数据保护条款的协议，且该协议要符合所涉国家或地区的法律标准。对于面向集团外部的财务数据，应认真评估传输目的和接收机构的数据保护能力，仅允许为外部审计目的向第三方跨境传输数据，以及根据监管要求向金融监管机构跨境传输数据。

（二）加强金融数据流动及其规制的国际合作

对跨境金融数据流动的规制，在国际上主要通过区域性法律制度加以调整，如欧盟的《关于规范个人数据处理及其自由流动的建议书（一般数据保护条例）》、亚太经济合作组织的《APEC跨境隐私规则机制——政策、规则和指南》、欧盟的BCR（Binding Corporate Rules）等。目前，我国尚未加入相关的国际合作组织，也未形成有效的金融数据治理体系。

以往我国网络监管部门主要关注网络运行环境和互联网以外的非法攻击，对金融数据的跨境流动关注较少，这就使得金融数据流动带来的国家安全问题难以在国际视野下予以解决。[9]构建我国的金融数据跨境流动规则体系，必须通过国际监管合作，以国家数字主权为核心价值，积极参与国际规则的制定，深化区域性国际合作，通过双边、多边协作机制，选择性借鉴金融数据流入国的监管规则。

当然，相关的尝试已经在进行。2020年我国签署的《区域全面经济伙伴关系协定》（RCEP）第八章附件一规定，缔约方不得采取措施阻止其境内的金融服务商传输日常业务所需的信息，但是金融服务提供商需要遵守与数据管理、存储和系统维护以及在其境内保存的记录副本有关的法律法规，还需要维护个人数据、个人隐私以及个人记录和账户保密的权利。可以看出，中国已经逐渐开始借鉴《全面与进步跨太平洋伙伴关系协定》（CPTPP）中的数据流监管思路，即以保证日常运营所需数据的自由流动为原则，但有条件地赋予各监管部门制定规则来限制数据流动的权利。此外，笔者认为还可以参考和接纳《欧盟一般数据保护条例》（GDPR）和美国《加州消费者隐私法案》（CCPA）等，制定具有国际视野和应用空间的主体规制法则，这将是我国今后深入参与甚至主导国际数据信息规则和标准制定的法律基础。[10]例如，GDPR禁止将国家管辖范围内的金融数据传输给没有适当数据保护的第三国或国际组织，以防止金融数据泄露到国外。我国也可以参考这一规定，出台相关法律法规，提高跨境信息流动和离岸接收的门槛，从源头上遏制金融数据的非法流动。

结语

金融数据的跨境流动不仅仅是用户自主行使的权利，更关乎网络安全、金融安全与国家总体安全。未来我国金融数据规制体系要秉持“1+3”的原则：“1”是指金融数据跨境流动的规制，要建立在国家数据主权之上，坚定维护国家安全与金融稳定这一核心价值；“3”即保护金融贸易服务与消费者的数据权利、促进数字经济发展、提高服务质效。对金融数据跨境流动的监管，需要专门的高层级的立法，在国家金融监管的结构下，进一步完善国家监管、行业自律、用户自觉多重监管机制，区分金融数据跨境传输的目的，严格控制危害国家安全的数据流动，要建立安全级别不同的评估机制以针对不同安全风险的金融数据控制者，既要最大限度激发金融市场活力，又要时刻牢记守住国家安全的最后防线。