文/孙祁 谢坤潮

数字信息技术一日千里，数字金融发展迅捷，金融数据由于蕴含巨大价值很容易成为网络攻击的重要目标。今年，著名的云基础架构厂商VMware对全球130名金融部门首席信息安全官和安全领导者进行的调查显示，过去的一年中，66%的金融机构经历过以商业机密窃取为目的的攻击；74%的受访金融机构在过去一年中至少经历过一次勒索软件攻击；30%的机构经历了多次勒索攻击，其中超过六成选择支付赎金。

当前，全球金融数字化转型已经进入关键阶段，银行业金融机构的业务数据已成为本质、核心、关键的生产要素。银行业金融机构正通过对业务数据的汇集、分析与挖掘，不断提高经营效率，提升客户服务水平，实现业务创新、产品创新和服务创新。银行业金融机构的数据安全关系到金融行业的资金安全以及大数据时代为数据的增值分析、利用而带来的衍生价值。数据安全是银行当前业务稳定运行和创新发展的迫切需要。当前，金融数据安全已不再是行业内部的自律性要求，而是全方位、多层次、立体化的数据安全建设体系。金融数据安全也不再是金融机构个体单独发展防御风险的保障，它正在成为地域经济、国际经济是否呈现良性健康态势与转型的关键因素之一。

然而，从全球范围看，金融数据安全的维护与监管呈现出多种模式，除美国的内外二元化规制模式外，欧盟强隐私保护与接收地信息安全评估模式，以及新兴经济体注重数据主权安全，采用普遍限制路径模式值得深入研究。

欧盟模式：强隐私保护与接收地信息安全评估

在历史传统影响下，与经济发展相比，欧盟更强调保护个人数据权利，认为不能以牺牲公民隐私权为代价促进经济发展。因此，欧盟在数据跨境流动规制方面，把保护个人权利作为首要原则。欧盟金融数据跨境流动规制模式主要表现在两个方面：

第一，欧盟内部法案涉及金融数据跨境流动规制。目前，欧盟数字监管政策主要涵盖《一般数据保护条例》（GDPR）、《欧盟非个人数据自由流动条例》《欧盟电子隐私保护条例》和《欧盟电子身份框架》等。对个人金融数据的跨境流动规制，欧盟仍以GDPR的个人数据保护规则为主。根据2019年度《GDPR执法案例精选白皮书》，自GDPR生效以来，欧盟已经对超过22个国家和地区作出处罚，其中有6起就发生在金融领域。这些处罚多与个人金融数据相关，充分体现了GDPR对个人权利保护的重视。

第二，欧盟签署的自贸协定涉及金融数据跨境流动规制。无论是《欧盟—智利自贸协定》(2005)，还是《欧盟—韩国自贸协定》（2015）、《欧盟—加拿大自贸协定》（2016）、《欧盟—新加坡自贸协定》（2019）、《欧盟—日本经济伙伴关系协定》（2019）以及《欧盟—越南自贸协定》（2020），在金融数据跨境流动条款中均包含两方面内容：金融机构日常经营数据可跨境流动、缔约方需保护个人隐私。欧盟希望在保障个人隐私的前提下实现金融数据跨境自由流动。对于涉及个人隐私的金融数据，欧盟希望给予充分保护；对于不涉及个人隐私的金融数据，根据《欧盟非个人数据自由流动条例》的相关规定，其限制性相对较少。

可见，美欧的金融数据流动总体上呈现出开放和自由的趋势，但这样的自由并非无条件、无限度，也丝毫不会削弱其对公民个人隐私的保护。无论是美国在国际法上对数据自由流动的主张还是欧盟对内部金融信息流动的保障，抑或是前者通过国家安全审查限制数据出境和后者对公民隐私权的强力保护；归根结底，各国都是基于自身数据保护能力和数字经济发展的国家利益来设计数据流动规则，从而确保自身所重视的价值利益被妥善平衡。

当前，域外数据立法试图以规制的方式寻求“金融数据跨境自由流动”同“金融数据保护”两者之间的平衡。

新兴经济体模式：注重数据主权安全，采用普遍限制路径

值得注意的是，俄罗斯、印度尼西亚、越南等新兴经济体国家对金融数据跨境流动采取“普遍限制”的规制路径,要求金融机构核心系统本地化和金融数据在本地存储。

根据俄罗斯金融数据本地化存留制度的规定，将数据转出俄罗斯之前，金融数据处理人必须确保接收国对个人数据提供足够的保护，金融数据接收人所在国应为《个人数据自动化处理中的个人保护公约》（以下简称“公约”）缔约国。

2018年，俄罗斯更新了被官方认可为“确保充分保护”的国家名单，除公约成员国以外，截至目前还有26个国家被列入“白名单”。但如果处理人向无法提供同等保护的境外主体转移个人资料，必须满足以下条件之一：（1）取得数据主体的书面同意；（2）俄罗斯联邦参加的国际条约关于签证事宜另有规定的，以及国际条约中涉及提供民事、家庭和刑事案件司法协助事宜另有规定的；（3）基于保护俄罗斯联邦宪法制度、保障国家安全目的所需；（4）履行数据主体作为一方当事人的合同要求；（5）在不能取得个人数据主体的书面形式同意时，为保护其或者他人的生命、健康、其他重大生存利益……

因此，俄罗斯以维护金融数据安全为着眼点，确立了以金融数据本地化作为数据跨境流动的监管措施，其目的是保障数据主权与信息安全。

俄罗斯推行严格的金融数据存储本地化措施，要求在俄罗斯产生的金融数据只能在俄罗斯境内存储与使用，禁止向境外传输和从境外访问，拒绝数据国际共享，一定程度上限制了金融数据跨境流动。俄罗斯虽然通过极端的保护措施维护了国家利益，但也制约了金融数据跨境流动所带来的经济和社会利益。

尽管美欧一直对新兴经济体采取的上述政策多加指责，但金融核心系统本地化和金融数据本地存储是两个性质不同的问题，必须分别探讨规制限度的合理性：首先，金融核心系统本地化的规制措施与这些国家的金融市场发展状况、对外资金融机构的监管手段和监管科技发展程度息息相关，属于一国金融规制的自主权利。金融机构的核心系统在物理上体现为存储或处理金融数据的计算机基础设施，也即通常所说的数据中心。要求核心系统本地化是对外资金融机构的业务连续性和风险防范进行监管的首要方式，同时也是金融机构安全稳健运营的前提基础，不规制的代价相比规制的成本而言要高昂得多。其次,对于要求金融机构在境内存储金融数据的规制措施，则是国际上通常从服务贸易角度探讨的数据跨境流动问题。若禁止基于业务需求跨境传输金融数据，确实会对金融机构为客户提供金融服务产生影响甚至降低其竞争力。此外，由于数据并不是稀缺资源，要求核心系统本地化并不妨碍在一定条件下允许金融机构跨境传输开展业务所必需的金融数据。

综上，随着全球数字科技与金融服务的深度融合，金融数据跨境流动已形成不可逆趋势。当前，域外数据立法试图以规制的方式寻求“金融数据跨境自由流动”同“金融数据保护”两者之间的平衡。世界各国金融数据经历了从“绝对本地化要求”到“有条件跨境流动”的过程，但金融数据跨境流动规制面临多重困境。金融数据的跨境流动需要平衡的利益较多：一是金融数据往往包含较多的个人和机构客户信息，敏感性较高、隐私性较强，其流动必须保证在一国范围内充分保障信息的安全。二是金融机构沉积了海量的客户数据，网络攻击、数据泄露等事件都可能会导致国家的金融安全和稳定受到严重破坏。三是金融数据的跨境流动能够创造巨大的经济价值，这对于数字经济的发展、经济全球化的推进具有重要意义，数据流动的规制应明确，但不能没有上限。四是金融机构的经营单元呈现出全球配置的趋势，资金流、信息流具有全球流动的需要，合理规制金融数据跨境流动，对于国外金融机构参与金融市场建设，扩大金融开放，具有重要意义。因此，需要以金融数据跨境流动规则为突破口，树立动态的金融数据价值观, 并不断细化金融数据跨境流动具体规制措施，在现行法律体系框架下积极寻求和探索综合且多元的金融数据保护路径。