张培培

摘 要：在概念法学的研究范式下，“数据跨境流动”基于其法律要素的组成，主要内涵可概括为“内容+行为”的模式。根据法律风险的类型化进路与数据跨境流动的多要素特征，数据跨境流动的主要风险是指在广义的法律适用层面下可能产生的相关风险，可概括为违法风险、违规风险、违约风险与其他风险。应从金融行业与关键信息基础设施、金融数据与个人信息利用保护、金融服務与金融配套服务机制等三个维度构建网络安全法语境下的金融安全。从美国于上世纪颁布的《海外反腐败法案》（FCPA）至2018年欧盟发布的《通用数据保护条例》（GDPR），均反映出发达经济体在金融、数据领域构建“长臂管辖”的诉求，目前我国亦已通过“政策-法律-法规”三位一体的管制体系推动我国金融数据跨境流动的他律与自律体系建设，相对应地，相关市场主体的合规路径应至少包括以下三个方面：第一，信息合规治理进路;第二，数据资产治理进路;第三，人员设备治理进路。

关键词：金融数据;跨境流动;法律治理

一、数据跨境流动的相关法律风险

（一）数据跨境流动的主要内涵

“数据跨境流动”（Transborder Flows of Data）一词较早来源于经济发展与合作组织（OECD）颁布的《关于隐私保护和个人数据跨境流动的指南》。依照我国现行有效的法律、法规以及规范性文件，“数据跨境流动”一词并未直接出现，这一概念在相关法律性文件中的相关表述为“个人信息和重要数据”“向境外提供”，在一些法律草案及征求意见稿中，涉及数据跨境流动的内容则稍多一些，分别表述为“数据跨境安全、自由流动”“个人信息跨境提供的”“网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据，提供给位于境外的机构、组织、个人”。

在概念法学的研究范式下，“数据跨境流动”基于其法律要素的组成，主要内涵可概括为“内容+行为”的模式。“内容”即为个人信息与重要数据，“行为”则涵盖将前述“内容”主动向境外主体提供、授权境外主体访问相关“内容”等形式，亦包含线上传输与线下提供。

（二）数据跨境流动的主要风险

笔者认为，根据法律风险的类型化进路与数据跨境流动的多要素特征，数据跨境流动的主要风险是指在广义的法律适用层面下可能产生的相关风险，可概括为违法风险、违规风险、违约风险与其他风险。

违规风险主要是指在《网络安全法》出台背景下，相关法规以及规范性文件被违反所致的风险。就数据跨境流动而言，既包含内容管理层面的信息管理安全规范，也涉及物理设备层面的技术管理安全规范。目前，《网络产品和服务安全审查办法（试行）》已经颁行，《个人信息和重要数据出境安全评估办法》的征求意见稿亦已出台，在法规层面对数据跨境流动提供了相对细化的操作指引，若相关市场主体“选择性忽视”，将会触发违规风险。

违约风险主要是指就相关合同义务（数据提供服务）履行时出现瑕疵或因与公法规定相悖导致违约的风险。前述违法违规风险主要是在公法约束的语境下进行探讨，而违约风险则是在私法层面进一步的明确法律风险。数据服务提供商在履行日常合约时应当在合法合规的前提下，做好保护商业秘密与合理利用数据的平衡，实现对供应方以及客户方利益的兼顾，否则将面临对某一方的违约风险。

其他风险主要是指政策或法律更新或更迭所致的风险以及法律域外管辖效力不足所致的风险等情况。仅在2000-2020年的二十年中，依据欧美对于数据跨境流动的监管政策与态度的多次变化，可以大致划分为四个阶段：安全港协议阶段、标准合同条款与约束性企业规则适用的过渡阶段以及隐私盾协议与保护伞协议阶段、体系性立法与监管科技发展阶段。目前网络安全已经愈发受到各国政府的重视，我国在网络安全层面的政策强化以及法律优化是大势所趋，若相关市场主体没有足够的预见性，将会产生不必要的成本与风险。此外，一国法律无论是适用属人原则抑或属地原则，依然在管辖时具有局限性，相关市场主体在数据跨境流动问题上，有可能面临在适用境内境外“双重法律”时的更大压力，导致相关法律风险。

二、网络安全法语境下的金融安全

（一）金融行业与关键信息基础设施

网络安全法语境下的金融安全指向之一是金融行业以及与之相关联的关键信息基础设施。《网络安全法》第31条明确，国家对公共通信与信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业与领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。此外，2020年3月，中国人民银行、发展改革委等六部门联合印发《统筹监管金融基础设施工作方案》，进一步明确金融基础设施对于金融市场秩序、金融创新发展的重要性。总体看来，金融安全向来与国家安全息息相关，随着信息技术不断发展，金融安全与网络安全也密不可分，金融行业的特殊性以及关键信息基础设施的重要性构成了相关语境下金融安全的首要内容。

（二）金融数据与个人信息利用保护

网络安全法语境下的金融安全指向之二是金融数据与个人信息的利用与保护。金融数据中的相当部分来源于个人信息，而金融数据本身又属于“重要数据”，故而金融数据属于《网络安全法》中“个人信息和重要数据”保护的重中之重。

（三）金融服务与金融配套服务机制

网络安全法语境下的金融安全指向之三是金融服务与配套机制。在人们的惯常理解中，金融一词的具象化往往对应了金融机构，这是因为金融机构承担了金融资源配置这一金融领域的主要职能。可在实践中，随着金融服务的多元化以及信息技术的现代化，金融服务与金融配套服务的外延不断扩大，越来越多的市场主体的规范被囊括到金融安全的范畴之中，例如一些金融数据的归集、存储等都离不开技术外协公司，一些金融产品的推出、增信等也离不开信用评估公司。诸如此类的金融服务与配套机制也构成相关语境下金融安全的重要内容。

三、金融数据跨境流动的管制体系与合规逻辑

（一）他律体系

金融数据跨境流动的他律体系主要包括政策推动与法律约束。随后相关网络安全政策逐步出台。2016年11月，《网络安全法》颁行，成为网络安全领域的基本法。《网络安全法》从关键信息基础设施保护、个人信息权责分工明确、网络安全等级保护制度等维度，对金融数据跨境流动作出了基本的规范。此外，最近国家互联网信息办公室发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》则勾勒了数据出境的基本监管框架。可见，目前我国关于金融数据跨境流动的他律体系已经形成“政策-法律-法规”三位一体的管制体系，已经建成“专管部门-协管部门-司法部门”三位一体的裁断机制。

随着大数据技术及其制度环境的不断发展，大规模与复杂的跨境数据流动成为常态，“走出去”与“引进来”的市场主体在数据跨境问题上均面临必须满足国内外公权力机关依本国法所提出的数据收集、传输与使用等要求，即实现双向合规。进一步地，由于金融数据既可能涉足境外立法或立法草案中的个人敏感信息，亦可能涉足金融市场秩序维护、金融效率提升、金融科技迭代的基本要素，因而，在金融数据语境下的金融与数据相结合的双维强监管已是势所必至，相关市场主体应在立法趋严的“过渡期”中逐步适应他律体系的规范要求，实现双向合规。

（二）自律体系

金融数据跨境流动的自律体系主要包括行业自律与企业自律。随着国家对网络安全的愈发重视，相关行业已经在政府指导下组成了较为权威的自律组织。除了中国互联网协会等与网络相关的协会外，2016年3月中国网络空间安全协会成立，成为网络安全领域的首个全国性社会团体。中国网络空间安全协会目前已对大数据、物联网、云计算等发布白皮书，对金融数据跨境流动形成了一定指导，为与金融服务技术相关的重点企业的运营规范提供了数据与参考。同时，中国互联网协会发布的《互联网搜索引擎服务自律公约》与《互联网终端软件服务行业自律公约》等自律文件已具有相关参照意义。

此外，金融数据跨境流动的自律体系还包含市场主体的自律。与其他领域的自律管理相比，金融领域的自律管理与网安领域的自律管理具有更明确的法律依据。例如，《网络安全法》第11条明确，网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展;《网络产品和服务安全审查办法（试行）》第3条明确，坚持市场主体承诺与社会整体监督相结合，第三方评价与政府持续监管相结合，实验室检测、现场检查、在线监测、背景调查相结合，对网络产品、服务及其供应链进行网络安全审查。可见，金融数据跨境流动的自律体系本身是基于法律原则规定与自律组织规范倡导基础下的自律，具有较强的约束力与实践力。

四、涉金融服务类企业的内部约束与治理进路

相关市场主体的合规路径应至少包括以下三个方面：第一，信息合规治理进路;第二，数据资产治理進路;第三，人员设备治理进路。

关于信息合规治理进路。就金融数据跨境流动而言，信息合规管理主要是指在响应外部监管时，能及时判断归集、存储的信息流动的合法合规性，并能较好的制定法律法规更迭时的应对机制。例如：《个人信息和重要数据出境安全评估办法（征求意见稿）》一旦获得通过，市场主体应当对第11条提出的给国家经济安全带来风险，可能影响国家安全、损害社会公共利益的数据不得出境的规定作出有效预判。

关于数据资产治理进路。就金融数据跨境流动而言，数据资产管理主要是指在信息合规管理的前提下，将数据作为有效资产进行合理运用与管理。《网络安全法》以及相关规范性文件的出台本身是为了管制相关数据跨境流动的行为并降低风险，而非为了刻意限制或者遏制数据的合理使用与有效利用。《网络安全法》第12条明确规定，国家保护公民、法人与其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。故而，相关市场主体应当辩证地看待网络安全领域的法律法规，将其作为保护自身利益、保障行业秩序的利器，并在寻求信息合规管理的基础上构建“数据资产管理”的观念，提供优质的金融信息服务。

关于人员设备治理进路。就金融数据跨境流动而言，人员设备管理主要是指在静态的制度保障之外，还应当对人员、设备等动态事物进行有效管理。一如本文前述，金融数据跨境流动的管制体系包括他律体系与自律体系，静态的制度保障（包括但不限于法律法规等）更多的倾向于他律体系，而人员设备的内部管理则更多的侧重于自律体系。尽管法律没有明确规定相关市场主体的内部治理，可相关市场主体仍应高度警惕因内部人员失误或设备问题导致的侵权责任。

金融服务是激活市场存量、优化资源配置的重要手段，而金融数据是金融服务的重要载体，金融数据跨境流动在信息化时代下的规范对国家安全、网络安全、金融安全已产生越来越重要的影响。诚然，市场主体响应外部制度约束并构建内部合规体系将面临各类新工作量的发生，但以更好、安全地提供金融服务为导向的系统规划、合规机制构建已成为市场主体的当务之急。

参考文献：

[1] See OECD， OECD Privacy Guidelines， http：//www.oecd.org/digital/ieconomy/privacy-guidelines.htm， last visited on March 3， 2021.

[2] 参见《中华人民共和国网络安全法》第三十七条.

[3] 参见《中华人民共和国数据安全法（草案）》第十条.

[4] 参见《中华人民共和国个人信息保护法（草案）》第三章.

[5] 参见《个人信息和重要数据出境安全评估办法（征求意见稿）》第十七条.

[6] 参见汉斯-彼得·哈佛坎普等：《概念法学》，载《比较法研究》2012年第5期.

[7] 参见乌尔里希·贝克著，张文杰等译：《风险社会：新的现代性之路》，译林出版社2018年版.

[8] 参见马其家等：《论我国数据跨境流动监管规则的构建》，载《法治研究》2021年第1期.

[9] 参见叶开儒：《数据跨境流动规制中的“长臂管辖”——对欧盟GDPR的原旨主义考察》，载《法学评论》2020年第1期.

[10] 参见许多奇：《论跨境数据流动规制企业双向合规的法治保障》，载《东方法学》2020年第2期.

[11] 参见杨东：《监管科技：金融科技的监管挑战与维度建构》，载《中国社会科学》2018年第5期.

[12] 参见陈巍等：“金融数据跨境流动的治理维度与合规路径——以近期证券市场案例为视角”，网址链接：http：//www.acla.org.cn/article/page/detailById/20134，最后访问时间：2021年3月3日.