我国金融数据跨境流动规制研究
2023-03-01王永杰冯佳龙
王永杰 冯佳龙
收稿日期:2023-07-22
基金项目:国家社会科学基金青年项目(18CFX048);
作者简介:王永杰(1972- ),男,安徽淮南人,浙江理工大学法政学院副教授,博士,主要从事国际经济法研究。
DOI:10.13685/j.cnki.abc. 000722
摘要:近年来,我国数据领域立法进程明显加快,初步构建了金融数据跨境流动规制基本框架。但现有金融数据跨境流动法律规制尚不完善,表现在立法不够明确、缺乏可操作性、与区域协定不够兼容等方面,难以满足跨境流动的现实需要。域外,欧美等国通过签订双边或区域协定的方式争夺金融数据跨境流动规制主导权。我国有必要进一步完善金融数据跨境流动规制措施,提高立法明确性和可操作性,为实现对接国际规则、提高国际话语权打下坚实基础。
关键词:金融数据;跨境流动;安全评估;数据本地化;法律规制
中图分类号:F49;D922.16;F832.6 文献标识码:A 文章编号:1671-9255(2023)04-0051-07
一、引言
2022年,全球47个主要经济体数字经济规模达到38.71万亿元,较上一年增长5.1万亿元,同比增长15.6%;第三产业数字经济增加值占行业增加值比重为45.3%。伴随着跨境贸易、跨境金融服务等经济活动的不断扩张,金融数据跨境流动的需求日益增加,大幅提高了全球货物贸易,以及金融服务效率,在金融行业已成为常态化业务需求。而大数据、5G通信、区块链和云计算等新技术的发展带来传统金融数据的数字化和信息化,使得以往的监管措施已难以满足现实需要,加上金融数据涉及的信息敏感,在进行数据收集、传输、处理、使用时,带来的风险也随之提高。一旦出现数据泄露、丢失、被盗等情况,不仅会对个人隐私安全构成隐患,甚至会威胁国家安全,造成难以挽回的损失。“棱镜门”事件的揭露使得各国不得不考虑如何保护金融数据跨境流动带来的安全问题。而目前全球统一的数据跨境流动规则尚未形成,各国都在按照自身利益需要制定金融数据跨境流动规则。因此,完善我国对金融数据跨境流动的规制体系具有积极意义。
二、我国金融数据跨境流动规制的立法现状
随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》(以下简称《网络安全法》《数据安全法》
《个人信息保护法》)的施行,我国逐步形成以上述三大法律为主体,以《数据出境安全评估办法》(以下简称《评估办法》)、《数据安全管理办法》等行政法规和部门规章为补充的数据跨境流动规制体系。[1]《金融数据安全 数据安全分级指南》(《数据安全分级指南》)、《个人金融信息保护技术规范》《金融消费者权益保护实施办法》等行业规范对金融数据跨境流动及数据本地化做出了更为详尽的规定。
(一)数据本地化的规制
我国实行数据本地化主要以个人信息安全和国家安全为考量,强制部分数据在境内存储。《网络安全法》第37条要求关键信息基础设施(以下简称“关基”)的经营者在收集和生成个人数据和重要数据时,必须将其存储在境内。这项规定的对象是“关基”的运营者。[2]《数据安全法》对数据跨境流动做出了更加明确的分类规定,该法第31条规定,“关基”运营者收集和产生的重要数据出境应遵守《网络安全法》相关要求;其他数据处理者收集和产生的重要数据出境安全管理办法,则由国家网信部门会同国务院有关部门制定。[3]《个人信息保护法》第36条规定,国家机关处理的个人信息应当在境内存储;第40条要求“关基”运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者必须将个人信息存储在境内。总体而言,我国数据本地化要求对象主要是“关基”产生或收集的数据、特定行业数
据,以及个人信息数据。
针对金融数据本地化,2011年中国人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》第6条规定,银行业金融机构在处理个人金融信息时必须在中国境内进行,除法律法规或中国人民银行另有规定外,不得将境内个人金融信息提供给境外机构。[4]2011年中国人民银行上海分行发布的《关于银行业金融机构做好个人金融信息保护工作有关问题的通知》也对个人金融信息的处理和保护进行了规定,在例外情况下,比如为客户办理业务目的并得到客户授权或同意的情况下,可以向海外总行、母行或分行提供个人金融数据。2019年中国银保监会《银行业金融机构反洗钱和反恐怖融资管理办法》规定,银行业金融机构在履行反洗钱和反恐怖融资义务时,获得的客户身份资料和交易信息不得非法提供给境外机构,除非法律法规另有规定。2020年中国人民银行《个人金融信息保护技术规范》延续了中国对金融数据出境的管理措施,要求在提供金融产品或金融服务过程中,收集和产生的个人金融信息应在中国境内储存、处理和分析。[4]2021年中国人民银行《JR/T0223-2021金融数据安全 数据生命周期安全规范》的7.3“数据存储”规定,我国境内产生和收集的金融数据应当在本地进行存储和处理,以确保国家安全和个人信息安全。在我国境内产生的5级数据应仅在我国境内存储,国家及行业主管部门另有规定除外。
(二)数据出境安全评估的规制
金融数据与个人信息安全、公共利益、国家安全等密切相关,原则上要求在境内储存,但我国也规定了允许金融数据跨境流动的情形,即在对金融数据依法进行安全评估后可以出境。数据出境安全评估制度是防范流动风险的关键一环,多部法律法规、技术规范都规定了须经安全评估的情形。我国《网络安全法》《数据安全法》《个人信息保护法》等法律在一般法律层面上规定了数据跨境流动的安全评估要求。例如,《网络安全法》第37条规定:“因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关机关制定的办法进行安全评估。”《个人信息保护法》规定个人信息处理者向境外传输个人信息的条件,包括:(1)通过网信部门组织的安全评估;(2)按照网信部门的规定进行个人信息保护认证;(3)按照网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和義务。[5]因此,需要向境外提供数据的企业或机构,必须遵守相关法律法规,进行安全评估和认证,确保数据传输的安全性和合法性。
在行业技术规范层面,2020年中国人民银行《个人金融信息保护技术规范》规定,金融数据仅可以在“满足法律法规、获得个人同意、开展安全评估、实现有效监督”的基础上允许向境外传输。这体现出我国对于金融数据跨境流动的慎重态度。
基于数据出境安全评估的需要,2022年《评估办法》全面系统地规定了具体要求。《评估办法》适用对象为“在境内收集和产生的重要数据和依法应当进行评估的个人信息”。《评估办法》第4条规定了需要申报出境安全评估的具体情形,分别是:(1)向境外提供重要数据;(2)“关基”运营者或者处理100万人以上个人信息的数据处理者向境外提供个人信息;(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。
《评估办法》规定评估方式为“数据处理者风险自评估和安全评估相结合”,即数据处理者先进行自我风险评估,再由国家网信部门对数据跨境流动进行评估。对于数据处理者自我风险评估,《评估办法》要求审查以下事项:(1)数据出境的目的、规模、敏感程度,以及可能带来的风险(包括但不限于篡改、破坏、丢失、非法利用等风险;(2)数据接收方是否具备相应能力保障数据安全;(3)数据处理者和接收方相关责任义务承担是否明确。对于国家网信部门的安全评估,《评估办法》规定主要考量因素为:(1)数据出境的目的、方式和范围;(2)境外接收方的数据安全保护政策、网络安全环境,以及数据保护水平是否达到我国要求,个人信息权益能否得到充分有效保障;(3)数据出境的数量、种类、敏感程度,以及出境后可能带来的风险;(4)数据处理者和接收方相关责任义务承担是否明确。[6]
金融数据对国家安全、公共利益具有举足轻重的地位,因此,金融数据(包括个人金融信息和消费者金融信息)既属于《网络安全法》所称的“关键基础设施”产生的数据,也属于“重要数据”,因此上述数据出境安全评估制度同样适用于金融数据。
三、我国金融数据跨境流动规制存在的问题
金融领域数字化和全球化快速发展给金融数据跨境流动的监管带来了挑战。虽然我国已经出台了一系列法律规范,但随着金融领域的不断演进创新和互联网科技的不断更迭,现有法律框架显得不甚完善,难以适应实际需求。立法不够明确、缺乏可操作性,以及在对接区域协定存在兼容性障碍等已经成为亟待解决的重要问题。
(一)金融数据跨境流动规制立法不够明确
我国《网络安全法》《数据安全法》《个人信息保护法》规定重要数据需要经安全评估才能出境,但上述三部法律皆没有对重要数据进行界定。《评估办法》规定重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据,但此抽象的定义不足以满足安全评估工作的实际需要。跨国企业的数据流动包括个人消费数据、产品信息数据和业务信息数据等不同敏感程度的数据。《数据安全法》旨在建立一套完善的数据分级分类保护机制,但未能有效地将个人信息与重要信息,以及其他商业信息区分开来。
我国多部法律法规规定“确因业务需要,经过安全评估后方可准予出境”,但是对“确因业务需要”的具体情形并没有予以详细说明。目前,仅有《个人金融信息保护技术规范》及《金融消费者权益保护实施办法》对“因业务需要”进行了解释,但也不够详尽。含糊不清的规定使得金融机构难以获得正常业务需要的金融数据。另外,不同规范对评估的适用条件不一致导致实践操作容易出现混乱。例如,《个人金融信息保护技术规范》只规定一种情形需要开展数据出境安全评估,即向集团关联机构之间跨境传输金融数据;而《评估办法》则将所有金融数据跨境传输都纳入出境评估范畴。
在实践中,金融数据控制者一般可以分为三类,分别是:(1)银行、证券公司、保险公司等传统持牌金融机构;(2)第三方支付机构、外包金融服务机构等持牌的非金融机构;(3)信息技术提供商、风控服务解决方案提供商等为持牌金融机构提供基础支持服务的企业。2020年《个人金融信息保护技术规范》规定,“金融业机构”包括两类机构:一类是由国家金融监管部门监督管理的持牌金融机构,另一类是涉及个人金融信息处理的相关机构。前述第三类金融数据控制者被排除在规范之外。另外,金融数据控制者应当在金融信息收集、处理、跨境传输等环节承担并严格履行数据安全保护义务,降低金融数据不当使用的风险。《个人金融信息保护技术规范》较为具体地规定了金融数据控制者在数据收集、处理和销毁方面的安全保护义务,但该技术规范未能详细规定金融数据控制者在跨境传输方面的安全保护义务。
2023年,国家网信办出台了《个人信息出境标准合同办法》,并制订了个人信息出境标准合同。该标准合同约定了个人信息处理者的义务、境外接收方的义务、个人信息主体的权利、救济方法、合同解除及违约责任等条款。该标准合同是针对一般意义上的个人信息跨境流动而制订的。金融数据跨境流动具有自身的特殊性,该标准合同不一定完全适用,金融管理部门应盡快出台“金融数据出境标准合同”。
(二)金融数据跨境流动规制立法缺乏可操作性
我国从国家安全、公共利益、个人信息保护等层面构建了金融数据安全保障体系,但我国对金融数据跨境流动规制依然存在着可操作性不强的问题。
我国金融数据跨境流动规制立法过于概括,执法机构和企业难以准确理解与规范操作,增加了实施的不确定性。如《评估办法》要求重要数据、达到评估要求的敏感信息出境须经安全评估,但目前对于重要数据、敏感信息的识别仍不明确。实施细则的缺乏使得执法机构对违规行为处罚更为随意,增加了执法的主观性。
金融数据跨境流动涉及复杂的技术,现行法律规范滞后于快速发展的金融科技,无法监管新生的金融业务模式。例如,虚拟货币交易所具有复杂的技术架构和业务模式涉及资金安全、反洗钱、客户隐私等重要问题。许多国家的法律尚未明确对虚拟货币交易所进行规范,导致监管滞后和法律适应性不足。在这种情况下,监管机构往往只能依靠现有的法律去处理虚拟货币交易所的问题,使得监管机构在保护投资者利益、防范金融风险和维护金融稳定变得更为困难。
由于金融业务的全球化,各国之间需要数据共享。我国金融数据跨境流动规制立法尚未完全整合到国际标准和框架中,这给跨境合作带来了阻碍。我国金融机构需要与其他国家的金融机构进行数据共享,以便开展合规性审查、反洗钱监管等合作。实践中数据共享遭遇较大阻碍。一方面,某些国家可能要求根据其国家法律提供特定类型的金融数据,但这与中国现行法律规定的数据保护要求存在差异。另一方面,不同国家之间的数据安全要求也可能存在差异,这些差异阻碍了数据跨境流动,影响了中国金融机构与其他国家金融机构之间的数据共享和跨境合作。
我国金融数据跨境流动的有关规定分散在不同效力等级的法律规范中。不同法律规范之间不能有效衔接甚至相互冲突时,该法律规范难以执行或遵守。例如,《网络安全法》规定了个人信息和重要数据的概念,《评估办法》将金融行业的“重要数据”定义为包括但不限于自然人、法人和其他组织收集和产生的金融信息。这两个法律规范对重要数据的界定不完全相同,《评估办法》难以有效承接《网络安全法》的规定。[6]此外,现行法律规范对金融数据进行分级分类的方法有两种:一是《网络安全法》将数据分为三类,即重要数据、敏感数据和一般数据。重要数据是指与国家安全和公共利益密切相关的数据;敏感数据是指如果泄露可能会对数据主体造成不良影响的数据。二是《数据安全分级指南》根据金融数据遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级。这两种不同的数据分类无法衔接,使得安全评估工作难以开展。
(三)我国立法与区域协定对接的兼容性不足
我国正在申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)和《数字经济伙伴关系协定》(DEPA)。我国金融数据跨境流动规则与上述区域协定相关规则存在冲突。CPTPP中有关金融数据跨境流动规制的内容主要规定在第十一章“金融服务”章节的“信息传输”条款中。该章节要求各缔约方允许境内的外资金融机构出于日常业务经营活动所需进行跨境数据传输。DEPA第4.3.2条规定不得以在其领土内使用或设置计算设施为条件限制在该缔约方开展业务[8],第4.3.3条规定任何一方为实现合法公共政策目标而采取或维持的措施不得构成任意或不合理歧视或对贸易构成变相限制,也不得对信息传输施加超出实现目标所需限度的限制。无论DEPA还是CPTPP都要求尽可能允许数据跨境自由流动,不得加以限制,各缔约方应当允许出于商业目的的数据跨境传输,仅允许有条件和有限度的例外。我国对数据跨境流动的规定主要采取限制性措施为主。根据我国相关法律法规,“关基”运营者向境外提供个人信息和重要数据,必须进行数据出境安全评估。《数据安全法》规定其他数据处理者在境内收集和产生的重要数据也需要数据出境安全评估。《个人信息保护法》规定个人信息处理者在向境外提供个人信息时应当遵守的特定约束条件。[9]这样的规定有助于保障数据安全,避免个人信息和重要数据泄露,维护公共利益和国家安全。但这些规定与区域协定鼓励数据跨境自由流动的原则相冲突,也难以适用CPTPP与DEPA的例外条款。
DEPA第4.4.3条规定禁止将计算设施作为在另一缔约方内开展业务的前提条件。我国为了保障国家安全和个人信息安全,规定重要数据必须存储在境内。《网络安全法》规定收集和生成的个人信息和重要数据应存储在境内。《个人信息保护法》规定个人信息处理量达到规定数量的个人信息处理者应将个人信息存储在境内,国家机关处理的个人信息也应存储在境内。我国数据本地化的要求主要适用于关键基础设施、特定行业和个人数据。DEPA第4.4.3条强调不得对任一缔约方实现合法公共政策目标构成妨碍,即使该缔约方采取了与数据本地化规则不一致的措施,除非该措施不构成歧视、限制贸易或对计算设施使用或位置设置施加不合理限制。[10]DEPA认同数据存储非强制本地化,但DEPA对例外条款的设置严格,不仅要求基于合法公共政策目标而且要求必须在合理限度内才能适用。我国个人信息本地化要求在必要性上可能无法满足DEPA的要求。
在一些具体标准方面,我国立法与区域协定也存在一定差距。以CPTPP为例,CPTPP第11.13.10规定另一缔约方的金融机构(包括金融机构的投资者、金融服务提供者)提出的与提供金融服务相关的申请,监管机构应当在120天内作出决定。关于在我国,外资银行、保险公司或证券公司设立分支机构的申请周期,最常见的申请批准时间分别为8个月和6个月,两者均长于 CPTPP 的规定。我国金融数据跨境流动规制与上述两个区域协定还存在一定差距,为我国加入该两个区域协定增加了难度。
四、金融数据跨境流动规制的域外经验
目前,国际社会尚未形成统一的金融数据跨境流动规制体系。相较于其他国家,美国和欧盟的规则更为完善,在全球范围内具有更大影响力和话语权。
(一)美国金融数据跨境流动的规制
美国数字产业发展迅速,在全球具有極大的优势和话语权。为了能够更好地实现金融数据跨境流动带来的经济价值,美国更加重视自由开放的跨境金融数据流动环境。
美国的法律体系由联邦法律和州法律两个层面组成。在联邦立法层面,美国没有制定统一的金融数据保护法,而是分行业、分领域立法,通过行业自律的方式规制金融数据跨境流动。在金融消费领域,1978年《金融消费者隐私权法》规定了金融消费者隐私权保障措施,明确金融机构保障金融消费者隐私的法律义务。1999年《金融服务现代法案》详细规定了金融机构如何收集、保护和处理金融消费者个人信息。在此基础上,2000年《消费者金融信息隐私法》更强调了《金融服务现代化法案》对金融机构的要求。
在州法律层面,2017年纽约州《23 NYCRR 500》要求受其监管的金融机构制定并实施保护消费者金融数据的网络安全计划,定期评估安全风险,根据评估结果制定相应的安全保护策略。2018年加州《消费者隐私保护法》(CCPA)规定了消费者享有对其个人数据的访问权、删除权和知情权等权利,金融机构不得随意泄露、披露收集到的数据。
此外,美国通过订立双边、多边自由贸易协定的方式向其他国家和地区推行金融数据跨境自由流动理念。2012年,《美韩自由贸易协定》规定:为满足金融机构日常业务数据处理需要,双方应允许对方金融机构跨境传输数据。2015年,由美国主导的《跨太平洋战略经济伙伴关系协定》(TPP)首次将限制数据本地化写入协议文本。2018年,美国与墨西哥、加拿大签署的《美墨加协定》(USMCA)第19.12条明确禁止计算机设备本地化。
(二)欧盟金融数据跨境流动的规制
由于历史传统的影响,欧盟极其重视个人隐私保护。1980年,OECD发布了《隐私保护与个人数据跨境流动准则》(OECD准则),旨在保护个人隐私和数据安全。1995年欧盟颁布了《个人数据的处理与自由流动指令》(“95指令”),确立了“充分保护原则”,规定成员国只有在第三国能够提供充分保护的前提下才能传输个人数据。“充分保护原则”要求数据流向的目的国必须达到欧盟认可的充分保护水平。2016年欧盟通过了《一般数据保護条例》(GDPR)。总体而言,GDPR继承了“95指令”确立的“充分保护原则”,规定欧盟成员国之间数据可以自由流动,数据流向非欧盟成员国需要满足更加严格的标准。除了“充分保护”标准之外,GDPR为作出适当保障措施的国家提供了两种数据跨境流动的方案,分别是标准合同条款(SCCs)和约束性公司规则(BCPs)。此外,GDPR还规定了在获得用户明确同意或者为了公共利益考量等情形下,允许欧盟将个人数据传输出境。
金融数据极其重要,理应另立法律进行特殊规制,欧盟并未对其进行单独立法,原因包括以下两点:(1)欧盟制定的以GDPR为基础的高标准个人数据保护体系能够全面、高标准地规制金融数据的跨境流动;(2)在偏重个人隐私保护之外,欧盟仍然期望借助数据跨境流动的开放举措实现内部数据自由流动以充分发挥其经济价值。
综上所述,美国和欧盟在对待金融数据上各有其特点。主要包括:(1)金融数据监管模式:美国和欧盟的金融数据监管模式存在明显的差异。美国国内金融数据保护立法和监管虽然在一定程度上受到各州法律的差异影响,但总体而言更加注重市场导向、行业自律和事后追责等,要求金融机构采取各种措施限制金融数据的广泛流动,以降低金融隐私权受到侵害的风险;而欧盟则以全面、统一的GDPR为框架,更加注重保护个人数据的权利保护,尤其是隐私权。(2)跨境数据流动。美国对金融数据跨境流动的限制相对宽松,而欧盟对金融数据跨境流动有更严格的限制。欧盟要求金融机构必须将数据存储在欧盟境内,并且必须遵守GDPR的规定,而美国则更加倾向于促进数据的跨境流动,以更好地利用数据的经济价值。(3)数据流动范围。如前文所述,美国已经与其他国家和地区签署了多项跨境数据流动协议,并且逐步放开数据的跨境自由传输限制,尽可能减少数据的本地存储。相比之下,美国的数据流动范围更广,倾向于在全球范围内进行数据流动,以获得更多的商业机会。而欧盟则更加注重数据的安全和隐私,因此对数据流动范围进行了严格的限制。根据GDPR的规定,只有在满足一系列条件的情况下,个人数据才能被传输到欧盟以外的第三国。这些条件主要涉及第三国能够达到适当的隐私保护水平,目前只有少数几个国家如加拿大、新西兰和瑞士等得到了欧盟的认可。
总之,美国和欧盟在对待金融数据上有不同的监管模式、法律制度、流动范围及安全和隐私保护。这些差异反映了两个地区不同的政治、经济和文化背景,也体现了在全球化和数字化时代,金融数据跨境流动与保护所面临的复杂挑战和机遇。
五、完善我国金融数据跨境流动规制的建议
与美欧等发达国家或地区相比,我国数据跨境流动的法律规制相对滞后。为了适应快速增长的数据跨境流动需求和满足数据跨境流动的现实需要,并有效应对可能带来的潜在金融风险,我国有必要进一步加强和完善金融数据跨境流动的规则体系。
(一)明确重要概念和数据控制者保护义务
我国需要进一步明确金融领域重要数据的范围,合理制定与之相应的跨境流动细则。目前,我国主要采用损害评估的方法对重要数据进行分类,即评估如果发生泄漏是否会对国家金融安全和正常的经济秩序。[11]因此,可以通过限制解释将重要数据限制在公共利益、国家安全和金融安全领域。
尚未明确“确因业务需要”的具体定义使得金融数据跨境流动的“例外情形”变得模糊不清。我国需要完善金融数据跨境流动的评估机制,使“例外许可”在实践中更易推广。具体而言,我国应当明确金融数据跨境流动的前提条件,并针对不同类型的跨境流动情形予以归类和审慎评估。我们可将金融数据的常见流动情形归为三类:(1)基于日常商业运营的需要,向集团总部跨境传输数据;(2)基于外部审计等需求,向第三方转移数据;(3)基于境外监管要求,向金融监管部门转移数据。[6]根据不同的流动目的,设置相应的评估条件,以提高跨境实践的可操作性。
我国应当明确金融数据控制者的范围及其数据跨境传输安全保护义务。数据安全保护义务来源于个人隐私保护,但又与之不同。通常情况下,个人隐私受到侵犯主要集中在数据的收集方式和利用方式,数据保护规则适用于整个数据处理过程,数据保护范围比个人隐私保护范围更广。从数据生命全周期(数据采集、存储、传输与交换到销毁)来看,金融数据跨境传输处于周期的中端。要实现金融数据的安全跨境流动,需要前端的数据收集、中端的数据跨境流动以及后端的数据应用三部分密切合作。在前端,金融机构应该有一个完整和有效的数据治理架构;在后端,数据控制者应确保数据接收者有足够的数据保护水平。在进行数据跨境传输时,金融数据控制者既要承担自身数据的安全保护义务,也要承担客户信息安全保护义务。我国应当学习美国纽约州《金融服务公司网络安全要求》和欧盟GDPR要求数据控制者“以风险为导向”,在跨境传输金融数据时承担数据安全保护义务,定期评估自身网络和信息安全以及客户信息安全存在的潜在风险,并提交合规证书。数据控制者必须严格遵守通知客户的义务,GDPR要求数据控制者在出现可能对数据主体权利造成危害的跨境传输行为时通知监管机构以进行“事先检查”。
(二)统一监管以优化安全审查
由于历史原因和分行业监管的影响,我国金融数据跨境流动的监管主体分散,且未能实现有效的职能划分,亟待建立一个能统筹金融数据跨境流动全局、协调各监管主体职责的机构。基于此,国家数据局的组建是应有之义。
我国可以制定金融数据跨境流动的标准合同优化审查制度。标准化合同是指将金融数据保护义务通过合同化的形式转化为私法上的义务。例如,在管理个人信息跨境流动方面,网信部制定的标准合同被规定为个人信息出境的法律依据。金融领域的数据跨境流动可借鉴该做法,制定对应的标准合同以简化出境评估流程。根据我国《评估办法》的规定,在进行出境安全评估时,评估机构特别重视境内金融机构与境外接收者签订的合同,重点审查合同中金融数据保护的相关条款,包括双方的权利义务和责任、金融数据主体保护能力以及权利救济方式等。通过整合相关数据保护要求和主管部门对金融数据的特别监管要求,我国可以制定金融数据出境标准合同。这样既能为金融机构提供合規指导,又可以分散对出境安全评估的压力,从而进一步优化评估流程。
(三)积极参与国际数据流动规则以增进国际话语权
目前我国严格限制金融数据跨境流动的理念并不符合全球化的发展趋势,不利于我国融入区域体系。应适当放宽对金融数据跨境流动的限制以应对数字经济全球化。实行更加开放的金融数据跨境流动需要相关的配套措施,如完善金融数据有效监管、确定金融数据跨境传输的目的与条件、细化数据控制者保护义务等。我国应明确金融数据跨境流动基本原则,审慎制定金融数据本地化规则,实现更加开放的金融数据跨境流动规制体系,减少对接区域协定的障碍。
强调金融数据跨境自由流动并不意味着我国放弃采取限制金融数据跨境流动的措施,我国可以援引CPTPP、DEPA的例外条款。理解和援引区域协定中的例外条款对维护我国数据主权、平衡利益与风险有着重要意义。我国数据出境安全评估制度需要满足区域协定对数据跨境自由流动的高标准要求或者需要满足合法公共政策例外、安全例外、不构成歧视等例外条款。因此,我国要加强限制措施的透明度和可预测性。我国应建立明确的标准和程序,使金融数据出境安全评估制度的实施更加透明、可预测。我国应确保司法监督和审查机制的有效性。我国应建立独立的司法审查程序,以便对数据出境安全评估制度的决定进行监督和审查,确保评估机构的评估工作符合法律要求,同时为数据主体提供保护其权益的救济途径。
欧盟和美国能够在全球数字贸易规则中享有主导权,与其完善的内部数字贸易治理体系密不可分。我国数字经济规模仅次于美国,但是无论是话语权还是国际规则制定参与度都与欧美有着不小的差距。我国对接区域协定虽是挑战,更是机遇。我国应当向区域协定看齐,加快数字贸易治理体系构建进程,这不仅是我国加入CPTPP与DEPA的必然要求,也是我国深度参与全球数据跨境流动规则制定、掌握国际话语权的必要举措。
六、结语
金融数据跨境流动在推动全球金融业、经济贸易发展的同时,也会对国家安全、金融安全和个人隐私保护等权益形成威胁。基于历史传统、规制理念的不同,各国采取了不同的数据跨境流动的规制措施。欧盟以维护公民个人隐私为导向,采取“充分性保护”的规制方式,对个人数据和信息保护要求较高;美国以经济发展为价值取向,主张数据跨境自由流动。目前我们正处于数字经济时代,金融数据全球融通是大势所趋。虽然各国对金融数据跨境流动规制方式存在差异,但在全球化的浪潮下也不得不选择相互合作,而在WTO谈判受阻、国际上难以形成统一的金融数据跨境流动规则的情况下,通过达成双边协定或者区域协定的方式来完成部分地区规则的统一是目前较为可行的选择。对我国而言,金融数据跨境流动同样带来了机遇和挑战,把握好国家安全、经济发展、个人隐私保护之间的平衡对我国金融数据跨境流动规制未来发展、参与全球规则构建、提升国际话语权有着重要意义。在国内层面,我国应当积极完善金融数据跨境流动规制体系;在国际层面,我国应当对标CPTPP和DEPA等区域协定,提高自身话语权,为将来构建统一的全球金融数据跨境流动规则贡献中国力量。
参考文献:
[1]王婷.我国金融数据跨境流动机制现状与因应之策[J].对外经贸,2022(11):74-77+105.
[2]彭德雷,张子琳. 数字时代金融数据跨境流动的风险与规制研究[J].国际商务研究,2022(1):14-25.
[3]洪延青.国家安全视野中的数据分类分级保护[J].中国法律评论,2021(5):71-78.
[4]王远志.我国银行金融数据跨境流动的法律规制[J].金融监管研究,2020(1):51-65.
[5]蔺捷,田晨.个人金融数据跨境流动规制研究[J].上海大学学报,2021(6):95-107.
[6]王春晖.数据安全出境评估规则与适用——《数据出境安全评估办法》解读[J].南京邮电大学学报,2022(4):1-10.
[7]马兰.金融数据跨境流动规制的核心问题和中国因应[J].国际法研究,2020(3):82-101.
[8]孙南翔.CPTPP数字贸易规则:制度博弈、规范差异与中国因应[J].学术论坛,2022(5):44-53.
[9]文洋,王霞.中国申请加入DEPA的焦点问题与政策研究[J].开放导报,2022(4):101-111.
[10]张晓君,屈晓濛.RCEP数据跨境流动例外条款与中国因应[J].政法论丛,2022(3):109-119.
[11]田翔宇.金融数据跨境流动的特殊规制[J].海南金融,2021(4):51-58+87.
Research on regulation of cross-border flow of financial data in China
Wang Yongjie,Feng Jialong
( School of Law and Politics,Zhejiang Sci-Tech University,Hangzhou 310018)
Abstract:In recent years, the legislative process of our country's data field has been accelerated obviously, and the basic regulatory framework of cross-border flow of financial data has been preliminarily constructed. However, the existing legal regulation on cross-border flow of financial data is not perfect, which is manifested in the lack of clear legislation, lack of operability and incompatibility with regional agreements. Abroad, Europe and the United States and other countries through the signing of bilateral or regional agreements to fight for financial data cross-border flow of regulatory leadership. It is necessary for our country to further improve the regulatory measures for the cross-border flow of financial data, enhance the clarity and Operability of legislation, and lay a solid foundation for aligning international rules and enhancing the international voice.
Keywords: Financial data; Cross-border flows; Safety Assessment; Data Localization; Regulation by law