粤港澳大湾区金融数据跨境流动:现实问题与法治进路
2024-06-26冯泽华刘志辉
冯泽华 刘志辉
摘 要:金融是现代经济的重要组成部分。在数字要素高速流动的大数据时代,金融数据是关乎粤港澳大湾区高质量发展的重要战略资源。当前,粤港澳三地的金融数据跨境流动需求日益增长,借助“数字湾区”建设之机,推动粤港澳大湾区金融数据跨境流动有助于加快“两个市场一类规则的三种演化”。运用“事前—事中—事后”全过程思维进行分析,发现粤港澳大湾区金融数据跨境流动面临规则衔接、组织监管、权利保障等困境。粤港澳三地宜形塑“立法+组织+权利”的三维法治路径,通过点面结合的立法规制、上下贯通的组织监管以及共殊相融的权利保障实现粤港澳大湾区金融数据安全有序的跨境流动。
关键词:金融数据;粤港澳大湾区;数据跨境流动;数字经济
中图分类号:F830 文献标识码:B 文章编号:1674-2265(2024)05-0067-10
DOI:10.19647/j.cnki.37-1462/f.2024.05.007
金融发展与国家安全、社会经济和民生福祉息息相关,是国家发展的重要一环。在中国金融体制机制改革走向纵深化、精细化的过程中,传统金融市场与新兴金融市场规模总量不均衡的结构性问题愈发明显(吴腾华和胡耀元,2022)[1]。截至2022年底,我国数据存储量达724.5EB,全球占比达14.4%①。金融数据是囊括金融行业所有数据的大的集合概念,既包括金融机构收集的原始数据,也包括其处理加工后的信息(王婷,2022)[2]。我国是数据大国,如何充分发挥数据存量优势,保障金融数据跨境流动安全有序,是促进数字经济与新兴金融业态发展面临的重大挑战。粤港澳大湾区作为改革开放的前沿之地,经济发展呈现出明显的金融化特征。截至2021年6月,落户香港地区的金融科技实验室、虚拟银行、虚拟保险公司、虚拟资产交易平台等金融科技企业超600家(中央人民政府驻香港特别行政区联络办公室,2021)[3]。2022年3月,粤澳跨境数据验证平台的金融信息板块在粤澳两地上线试运行,探索跨境数字服务融合的创新路径。据估计,珠三角九市有300万家中小微企业,2021年珠三角九市GDP占广东省GDP的55%(Hang Seng Bank,2023)[4]。金融数据跨境流动可以方便企业进行跨境贷款和投融资活动,对跨境金融数据进行技术性分析后,还可以掌握消费者偏好、企业生产经营情况和湾区经济发展状况,提供极为重要的信息资源和经济情报。在经济贸易全球化、金融市场国际化和数字湾区建设的背景下,保护个人信息、规制金融数据跨境流动、维护国家数据主权是推动大湾区经济社会持续健康发展的内在要求。当前,与金融数据跨境流动有关的研究颇丰,但多数研究将金融数据跨境流动的语境限于中国与其他国家之间,较少在“一国两制三法系”的特殊法秩序下进行讨论。本文以大湾区金融数据跨境流动的制度理性为切入点,分析大湾区金融数据跨境流动对大湾区、国家和世界的重要作用,并结合事前、事中和事后的过程视角审视大湾区金融数据跨境面临的现实困境,探索实现大湾区金融数据安全有序跨境流动之法治进路。
一、粤港澳大湾区金融数据跨境流动的制度理性
在大数据时代,人工智能、云计算、区块链、大模型等新兴技术的发展使得金融数据突破了地域空间和物理存储的限制,为实现金融数据异地存取和跨境流动提供了有力的技术支撑。粤港澳大湾区金融数据跨境流动将有助于推动“两个市场一类规则的三种演化”。从大湾区层面来看,金融数据跨境流动应结合实际情况,推动跨境规则的制度化发展。
(一)金融市场全球化:金融数据跨境流动的世界格局
金融数据是国际金融市场的关键变量和重要因素,其跨境流动关系到金融市场的全球化发展。面对涉及国家安全与数据主权的金融数据跨境流动问题,不同国家的政策态度和监管要求并不相同。从全球发展格局来看,发达国家与发展中国家对数据的跨境规制表现出明显分歧,分为自由流动与本土化两种立法思路(孙方江,2021)[5],对应两类监管模式:一类是发达国家或地区倡导数据自由流动的开放监管模式,如美国、欧盟等;另一类是发展中国家维护国家数据主权的严格规制模式,如中国、俄罗斯、印度等。随着治理能力的提高和治理体系的完善,中国不断强化数据跨境流动的规制。然而,无论粤港澳大湾区采取何种监管模式对待金融数据跨境流动问题,最终都将以殊途同归的方式推动国际金融市场的深层次交融发展,构筑金融市场全球化之世界格局。
开放监管模式具有双重意蕴:一是数据跨境的开放,象征着数据自由流动;二是数据跨境流动的开放监管,意味着宽松和异质性较强的数据跨境监管政策及措施。美国为实现金融数据跨境自由流动,签订了《北美自由贸易协议》(NAFTA)、《美墨加三国协议》(USMCA)、《美韩自由贸易协定》、《跨境隐私规则体系》(CBPR)、《跨太平洋战略经济伙伴关系协定》(TPP)、《隐私盾协议》等一系列高标准国际经贸规则。以美国为代表的发达国家基于其在国际金融市场的主导地位,提倡金融数据自由流动并实行“长臂管辖”,目的是促使金融数据最大程度地向本国聚拢,以挖掘金融数据背后的市场价值。如2015年的《跨太平洋战略经济伙伴关系协定》,美国第一次将限制数据本地化写入其中,规定成员国应当允许个人数据跨境流动(范思博,2024)[6]。尽管美国已于2017年退出该协定,但依然可以从中看出其对金融数据自由跨境流动的态度。发达国家依托跨境金融数据产生巨大经济效益的背后,是发展中国家面临的国家安全与数据主权上的严重风险。鉴于粤港澳大湾区的重要战略定位以及金融数据对经济社会的基础性意义,大湾区可以参考发达国家对金融数据跨境监管的做法,区分金融数据的国内“跨境”与国际跨境情形,形成“内松外严”的金融数据跨境监管政策体系。换言之,大湾区对内地与港澳间的金融数据跨境流动,可以采取宽松的开放监管措施,保障数据要素在粤港澳三地的互联互通,以便充分挖掘并发挥金融数据背后的经济价值,推动大湾区经济社会的高质量发展;而对于国际间金融数据跨境流动,则需采取严格的限制性监管举措,在确保国家安全的前提下,提高金融市场的国际化水平。
严格规制金融数据跨境流动,实施数据本地化存储策略是发展中国家在数字经济时代维护国家安全与数据主权的必要举措。一些发展中国家关键数据处理的配套基础设施不完善,大数据、云计算、人工智能等数据存储与流转技术不发达,加之对数据的引流能力不强,倘若完全放开管制,或将导致关键数据向发达国家倾向性大规模输出,削弱国家数据存量优势和数字经济竞争力,甚至威胁国家安全。整体而言,中国在金融数据跨境治理上采取的是数据本地化存储策略。严格的数据本地化要求会增加金融机构的经营成本,但其并未完全限制数据跨境流动,在安全可控原则下,满足数据本地化的要求和相应条件,部分数据跨境仍是可行的(李万强和吴佳芮,2023)[7]。金融市场是数字时代下大湾区经济发展的新场域,激发金融数据的流动活力与市场价值对粤港澳大湾区经济高质量发展意义重大。大湾区在坚定不移维护国家安全与数据主权、严格规制金融数据跨境流动的同时,也要充分发挥金融数据对湾区经济的助推作用,积极打造国内金融市场“新高地”。当前,横琴粤澳深度合作区、前海深港现代服务业合作区和南沙自贸片区的金融改革不断取得新突破,我国香港交易所、广州期货交易所、深圳证券交易所等重要金融基础设施不断完善,“深港通”、债券通和“跨境理财通”的范围进一步扩大,持续深化了大湾区金融市场与国际金融市场的共融共通。
(二)数据市场统一化:金融数据跨境流动的国家导向
近年来,数字中国建设成效显著。截至2022年底,全国已成立48家数据交易机构。不仅数据安全管理制度体系加快构筑,数据出境安全评估、数据安全管理认证等配套制度也加快建立。如《个人信息出境标准合同规定(征求意见稿)》公开征求意见,力求规范个人信息出境活动,保护个人信息权益①。数据生产要素的供给、创新开发利用和市场化流通是数据要素统一市场建设不可或缺的组成部分。《关于加快建设全国统一大市场的意见》指出,要加快培育统一的技术和数据市场。
诚然,金融数据跨境流动之灵活性与数据要素市场建设之统一性要求并行不悖。统一数据要素市场建设并不意味着全国各地的数据要素市场发展步调一致,而象征着各地在宏观制度框架内,结合实际情况对数据要素市场进行整体规划与具体建设。金融数据跨境流动在数据要素开发利用、市场畅通、产业升级、区域协调发展等方面具有重要作用,是促进全国统一大市场建设的新动能。大湾区拥有一国两制、三个关税区、三个法域的独特优势,可以成为我国数据跨境治理的“试验田”,通过探索数据跨境规则衔接和机制对接,有助于破除区域间数据壁垒,激发数据要素赋能统一大市场建设,为实现全国统一大市场提供经验(广东外语外贸大学粤港澳大湾区研究院课题组,2022)[8]。粤港澳大湾区在探索建立金融数据跨境安全有序流动新机制的过程中,可通过结合自身特殊区情和数据跨境流动规律,从宏观角度整体谋划和通盘考虑金融数据跨境流动问题,赋能全国统一数据要素市场的形成和完善。
我国对金融数据跨境流动持谨慎态度,出台了一系列法律规范,约束金融数据跨境流动,为形成全国统一的数据要素大市场提供了制度依据(见表1)。《网络安全法》整体上奠定了数据本地化存储的底色,强调网络安全等级保护制度和对关键信息基础设施的重点保护,规定金融行业和领域的关键信息基础设施运营者收集与产生的个人信息和重要数据应境内存储②。《数据安全法》延续了数据本地化存储策略,适用《网络安全法》对关键信息基础设施运营者收集和产生的个人信息和重要数据的相关规定,明确了金融数据安全监管主体,弥补了我国数据保护规则缺乏域外效力的缺陷③。《个人信息保护法》从严规制金融账户等敏感个人信息的处理,规定向境外提供个人信息时应满足“开展评估、进行信息保护认证、订立合同”三个条件之一,确立了具有附款条件的“个人信息转移权”④。
(三)跨境规则制度化:金融数据跨境流动的大湾区要求
在金融市场全球化与数据市场统一化的浪潮中,中国对金融数据跨境流动所采取的谨慎态度在维护数据安全的同时,也在一定程度上抑制了海量金融数据在粤港澳大湾区便捷流动中的价值释放。现阶段,粤港澳大湾区应牢牢把握新发展机遇,通过促进数据跨境流动建构国内国际市场交互机制,推动形成国内国际市场双循环新发展格局。鉴于金融数据蕴含的丰富经济价值以及大湾区的重大发展战略定位,对数据流动的规制更应审慎处理。一方面,金融数据不同于一般数据,其在粤港澳大湾区的跨境流动应受到更严格的制度约束;另一方面,基于“一国两制”基本国策和三个司法管辖区的特殊区情,金融数据在珠三角九市、香港地区和澳门地区之间的互联互通,应结合自身情况,为金融数据跨境流动制定更合理的政策制度并采取更科学的监管措施,推动金融数据跨境流动的规范化、制度化发展。
数字湾区建设需要制度先行,制度保障是实现金融数据跨境流动安全有序的前提,而金融数据跨境流动的规范化发展是制度发挥效用的结果。建立粤港澳大湾区金融数据跨境流动规则,不仅可以促进金融数据有序跨境流动,还有利于实现维护国家安全与促进数字经济发展的动态平衡。在国家数据跨境安全管理的顶层设计下,基于大湾区实际探寻制度弹性与发展空间成为大湾区金融数据跨境流动的内在要求。近年来,为更好回应金融数据跨境流动的大湾区要求,金融数据跨境流动的相关政策制度相继出台(见表2),为数字湾区建设与金融数据跨境流动提供了行动指南,促使数据跨境规则朝着制度化的方向发展。
二、粤港澳大湾区金融数据跨境流动的现实困境
在坚决维护国家主权、安全、发展利益的语境下,金融数据跨境流动面临更为复杂的发展形势。现阶段,传统与非传统国家安全问题交织频发,数据跨境流动、数字主权、金融监管等领域的安全问题日益凸显。运用“事前—事中—事后”的过程思维检视金融数据跨境流动,不难发现规则衔接不畅、监管控制不力、权利保障不足是当前大湾区金融数据跨境流动面临的现实问题。
(一)事前规制:金融数据跨境流动规则衔接不畅
粤港澳大湾区“一国两制三法域”的特殊法秩序在赋予金融数据流动跨境性质的同时,也带来了金融数据跨境规则的衔接问题。整体而言,粤港澳三地关于金融数据跨境流动的规范体系存在一定差异(见表3),亟待推动相关规则衔接、机制对接。如《个人信息出境标准合同办法》规定个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应满足其为非关键基础信息运营者的条件⑤。而《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》并未对个人信息处理者的范围作出限定。此外,对于内地与澳门地区之间的个人信息跨境流动,当前尚无政策文件对个人信息跨境流动标准合同等事项作出规定和指引。
大湾区金融数据跨境规则衔接不畅的问题主要表现为相关法律规范对金融数据的针对性和数据跨境的统一性规定不足(见表4)。其一,金融数据的针对性规定欠缺。一方面,内地相关法律规范对金融数据概念的界定不清晰。《网络安全法》《数据安全法》对“金融等重要行业和领域”的抽象概括并未准确定义该关键信息基础设施涉及的数据类型。此外,我国数据分类分级保护制度和重要数据目录尚未完全建立⑥,金融数据是否属于“关键信息基础设施的运营者收集和产生的个人信息和重要数据”未得到明确。仅规定“重点保护领域”而非数据类型的做法虽然给予了数据保护更广阔的制度发展空间,但也应意识到,内地相关法律缺乏对金融数据的针对性规定,金融数据的法律定位模糊。对于金融数据跨境流动的具体问题,还需诉诸金融监管部门制定的金融数据管理规则⑦。另一方面,香港和澳门地区的法律规范缺少对金融数据跨境流动的专门性规定,根据香港地区的《个人资料(私隐)条例》,个人资料的范围十分广泛,个人金融数据与在世人相关,通过个人金融数据可以间接确定个人身份,因而“个人金融信息”当属个人资料之列。然而,基于个人金融信息的重要性和特殊性,其却未在《个人资料(私隐)条例》中受到特别规定,仅作为个人资料适用本条例的一般规定。澳门地区的《个人资料保护法》对个人资料的定义与香港类似,并且同样未对作为个人资料之一的个人金融数据作出特别规定。
其二,数据跨境的统一性规定不足。香港地区的《个人资料(私隐)条例》第三十三条体现了严格的数据跨境流动规制与个人隐私保护要求,然而,该条目前尚未实施,为实现大湾区金融数据跨境自由流动留下了丰富的实践空间。澳门地区的《个人资料保护法》第十九条确立了个人资料跨境的附条件原则和“把关者”原则。内地基于保障数据主权和维护国家安全的要求,重点保护关键信息基础设施运营者收集和产生的个人信息和重要数据,明确该类数据应本土化存储,不过并非完全禁止数据出境,只要满足数据出境安全管理的相关条件,如通过安全评估等,金融数据仍可跨境流动⑧。《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》《数据出境安全评估办法》等法律文件和政策文件的出台,将促进数据出境和推动大湾区金融数据跨境流动安全有序的实现。
(二)事中控制:金融数据跨境流动监管存在缺陷
各行业数据的跨界联通与深层次交融在为数字经济的现代化提供了必要条件的同时也对数据保护和数据跨境监管提出了更高要求。当前,大湾区数字经济发展日新月异,数据要素市场不断扩大,金融数据跨境流动持续加快。如何达成维护国家安全与促进经济高质量发展的动态平衡,是大湾区金融数据跨境监管面临的重要课题。与新时代数据监管标准相比,当前大湾区的金融数据跨境监管水平仍有较大提升空间。第一,金融数据跨境监管主体不明、监管权限不清。从监管主体来看,首先,由于香港地区和澳门地区的数据跨境规则偏重原则性规定,仅从宏观上规定了相关组织和人员保护个人资料的职责,未明确与金融数据跨境监管相关的事宜。例如,香港地区个人资料隐私专员须就个人资料保护条例的遵守情况进行监管⑨,澳门地区公共当局承担个人资料处理预先监控的职责⑩。其次,尽管《数据安全法》明确规定内地金融主管部门承担本行业、本领域的数据安全监管职责?,但金融数据跨境监管与日常金融数据安全监管不同,其通常涉及跨区域、跨部门的行政事务,而“金融主管部门”的规定太过宽泛,未明确内地的金融数据跨境监管主体。从监管权限来看,在金融数据跨境监管主体不明确的情景下,遑论金融数据跨境监管权限。但整体而言,内地现行法律规范既没有明确金融主管部门在履行数据安全监管职责过程中享有的权利,也没有为其权利行使制定可行性细则。香港地区个人资料隐私专员可以雇用符合相关条件的人士,协助其履行职能及行使权利,个人资料(隐私)咨询委员会可以就任何与个人资料私隐相关的事宜向个人资料隐私专员提出意见?。澳门地区亦未明确规定公共当局实行预先监控时所享有的权限及应承担的职责。最后,金融数据跨境流动涉及各类复杂法律问题,如果仅依靠原则性法律规制金融数据跨境流动,将会导致监管权限不足、监管部门权限重叠、监管执行尺度不一等问题(钟红和杨欣雨,2022)[9]。随着粤港澳三地跨域合作的深入,前海、横琴、南沙等重大合作平台的建设将对金融科技监管和创新要素流动提出更高要求,粤港澳三地缺乏对金融数据跨境监管的明确规定是金融数据跨境规则体系尚未完全建立的直接体现。
第二,缺少金融数据跨境监管合作。粤港澳三地金融监管资源配置不均衡,特别是在证券、保险、互联网金融等领域,由于监管能力、手段以及尺度不一,极易形成“金融洼地”,吸引大量资金流入,导致金融风险(李莉莎和彭子盈,2023)[10]。从监管合作体系来看,尚未建立统一的大湾区金融数据跨境流动主管部门。金融数据跨境政务分属三地不同部门各自管理,有关部门遵循不同的金融数据跨境监管规则,金融数据跨境监管容易陷入地方保护主义,挫伤三地金融数据跨境流动的积极性。从监管合作机制来看,尚未建立金融数据跨境监管合作机制。尽管金融数据跨境监管面临监管主体不明确和监管权限不清晰等困境,但大湾区仍然可以在现有组织框架下,通过厘清相关部门的监管职责和权力结构、加强金融数据跨境政务信息的互联互通、共同制定适用于粤港澳的标准化监管方案等方式,探索建立有效的金融数据跨境监管合作机制,回应金融数据跨境的最新监管需求。例如,在金融科技创新监管方面,中国人民银行、香港金融管理局和澳门金融管理局签署了《关于在粤港澳大湾区深化金融科技创新监管合作的谅解备忘录》,将中国人民银行金融科技创新监管工具、香港金融管理局金融科技监管沙盒和澳门金融管理局创新金融科技试行项目的监管要求进行联网对接,深化粤港澳三地的金融科技创新交流合作。《河套深港科技创新合作区深圳园区发展规划》亦指出,要推动两地相关机构利用内地金融科技创新监管工具与香港金融管理局金融科技监管沙盒的联网对接,以便利其依托一站式平台在香港地区和内地分别测试跨境金融科技项目。此外,河套深港科技创新合作区积极探索大数据、云计算等技术在金融领域的规范运用,深化数据要素市场化配置改革,加快金融业务范式创新。如此一来,不仅可以促进大湾区数字金融的发展,提升金融服务质效,还可以更好地带动金融支持大湾区建设。
(三)事后保障:金融数据跨境流动中个人信息权利救济困难
近年来,我国个人隐私保护、数据安全管理、数据跨境流动规制的力度不断增强。然而,由于当前粤港澳金融数据跨境规则尚未实现有效衔接,加之金融数据跨境的统一主管部门尚未建立,一旦发生个人金融信息泄露,个人信息权益或得不到切实保障。
第一,粤港澳三地对个人信息权利的界定不一。内地《网络安全法》与《数据安全法》并未明确规定个人在关键信息基础设施运行中所享有的权利,《个人信息保护法》基于对个人信息的严格保护,明确了个人在个人信息处理活动中享有知情权、决定权、查阅权、附条件的“个人信息转移权”等权利?。对于澳门地区和香港地区而言,澳门地区的《个人资料保护法》专章规定资料当事人享有信息权、查询权、反对权、不受自动化决定约束的权利、损害赔偿权?。香港地区的《个人资料(私隐)条例》仅对相关调查及执法权力作出规定?,未明确资料当事人享有的权利。由于粤港澳三地缺乏对个人信息权利的统一性规定,面对三个司法管辖区的特殊区情,难免会产生法律适用的障碍,在受到非法侵害时,个人信息权利的维护或面临困境。
第二,缺乏个人信息权利救济机制。个人信息处理者通过某些手段得到处理个人信息的机会,人们或许意识到自己的个人信息被收集,但他们并不清楚信息会被怎样处理、最终用在何处。个人信息处理者利用信息和技术不对称的优势,最大程度吸取个人信息在数字市场中的经济价值,而处于信息技术劣势地位的用户无法防范应对,逐步失去对个人信息的掌控权(冯泽华和王依菲,2022)[11]。个人信息权利包括救济权,用以救济被侵害的原权利。整体而言,当前针对金融数据跨境的个人信息权利救济机制尚未建立,内地数据安全管理规则仅对相关主体的违法责任予以明确?,如警告、罚款、没收违法所得等,呈现出明显的安全本位和责任导向。然而,消极地由相关部门进行事后处罚并不能充分保障个人信息权益,公民在个人信息权利受到侵犯或个人信息处理者因行政机关的违法行为致使相关权益受损时,应享有法律救济的权利。此外,虽然澳门地区的《个人资料保护法》规定资料当事人享有损害赔偿权,有权向负责处理资料的实体要求获得所受损失的赔偿?,但并未进一步规定资料处理实体拒绝赔偿时,资料当事人可选择的救济举措。综而观之,当前亟须构建个人信息权利救济机制,细化个人信息权利救济规则,推动粤港澳三地个人信息权利救济规则的有效衔接、机制对接。
三、粤港澳大湾区金融数据跨境流动的法治路径
法律是治国之重器,良法是善治之前提。粤港澳三地在积极构建完善的数据安全保护制度的同时,也须加快制定有助于数据要素便利流动和优化配置的跨境规则,探寻国家安全和经济社会发展的最佳平衡点。“立法+组织+权利”的三维法治路径可为大湾区金融数据跨境安全有序的流动提供坚实保障。
(一)点面结合的立法规制:推进金融数据跨境流动的立法协同
从立法实践来看,针对当前金融数据跨境流动法律体系不完善的问题,需要在加强数据安全、个人信息保护的同时,进一步明确和细化金融数据跨境的相关规定,实现由面到点的立法规制。首先,国家要重视公民个人隐私的保护,完善数据安全管理的顶层设计,建构具有中国特色、彰显中国智慧的数据跨境流动规则体系。其次,内地要推动相关主管部门组织制定本行业、领域的数据分类分级管理制度与重要数据目录,为实现金融数据的针对性保护提供制度依据。可通过制定金融数据跨境评估标准、技术规范、监管方案等方式,弥补现行法律对金融数据跨境适用性不强的暂时性问题。最后,香港地区和澳门地区不仅要推动金融数据跨境规则与内地的衔接,如两地个人资料(隐私)的范围应与内地个人信息的规定趋同化,还要积极出台规范金融数据跨境的政策制度,进一步打牢金融数据跨境流动的规范基础。
从立法模式来看,针对当前粤港澳三地金融数据跨境规则不一致的问题,需要加强金融数据安全管理的法治协同,倡导试行区域示范法,实现由点到面的立法协调。大湾区金融数据跨境规则的立法协同分为中央主导协调、单方协调、自主联合协调模式。由于大湾区具有多元制度差异,统一立法将面临重重困难。数据立法不涉及《立法法》规定的法律保留事项,地方立法机关可以自行立法,通过构建区域示范法机制实现金融数据跨境规则的自主联合协调,是可行的路径选择。区域示范法是指复合法域国家的部分区域为促进法治协调而制定的供该区域内不同法域作为立法指南的法律文本,具有区际适用性的特点,有助于促进不同法域的法律协同化发展,彰显区域政府间立法协调的自主性(冯泽华和杜承铭,2021)[12]。可以采取先易后难的策略,在粤港澳三地相关政府部门的指导下,由相关法律专家学者以及金融、数据行业协会的实务工作者联合组成起草课题组,负责起草金融数据跨境规则的区域示范法。借助区域示范法调适大湾区金融数据跨境规则的立法差异,有利于打通统一立法过程中可能出现的堵点问题,形成制度合力。同时,粤港澳三地可根据区域示范法的相关规定,及时转化立法或者作出其他契合本地具体情况的规则衔接安排。
(二)上下贯通的组织监管:构建金融数据跨境流动统筹监管体系
大湾区金融数据跨境统筹监管体系的构建,可以从“无缝隙政府理论”的组织形式与流程再造中得到启发。“无缝隙政府”的组织形式再造是指对科层制组织形式进行合理改造,如建立由不同职能部门人员组成的跨职能团队和通才团队,精简政府部门人员数量,消除部门之间的壁垒。组织流程再造是指以最大限度满足公众服务需求为出发点,运用信息技术等将各方面系统整合起来,塑造出完整、优化的工作流程和服务价值增加流程。在此过程中,并联工序代替了串联工序,串联工序代替了不同部门的工作环节(尚虎平和韩清颖,2014)[13]。大湾区可以在组织流程再造的前提下,通过确保“主要序列的流动”,将以职能为导向的传统金融管理机构调整为以过程为导向的无缝隙金融数据跨境统筹监管机构。
第一,创新大湾区金融数据跨境监管体系,构建三级组织架构,实现从上到下的金融数据跨境流动统筹监管。对于跨区域协调监管而言,可以在明确相关部门职能范围和权力结构的基础上,通过粤港澳三地分别派遣主要官员等方式,组建“粤港澳大湾区数据安全委员会”作为金融数据跨境流动的协同治理机构。对于跨部门监管合作而言,实践中由于大湾区金融数据跨境流动涉及国家网信办、国家数据局、国家金融监督管理总局等机构的职责分工与深层次运作机理,加之大湾区金融数据跨境监管部门仍未明确,如果由上述部门分别管理金融数据跨境事务,很可能出现“多头管理”等低效率现象。因此,可以探索建立“国家金融监督管理总局领导、国家网信办和国家数据局指导、以协同治理机构为核心、地方金融监管部门为抓手”的三级金融数据跨境统筹监管组织体系。其中,地方金融监管部门包括广东省地方金融管理局、香港金融管理局、澳门金融管理局(见图1)。
第二,建立数据跨境监管合作机制,自下而上激活金融数据跨境监管合作的内生动力。实际上,地方熟悉本地区金融运作情况,通过地方自主联合的方式推动金融数据跨境监管合作,或许比中央主导的效果更好。粤港澳三地相关部门可以在确保金融数据安全的前提下,积极开展跨域合作,推动金融数据跨境自由流动,充分释放金融数据的市场价值与经济活力。需要注意的是,香港地区和澳门地区实行独立的税收制度,自行制定货币金融政策,保障金融市场和各类金融机构的经营自由,并依法进行管理和监督?。金融数据跨境管理事务属于香港地区和澳门地区高度自治的范围,两地享有较大自主权。相对而言,珠三角九市的金融事务管理自主权较小。比如,广州市地方金融管理局要接受广州市人民政府和广东省地方金融管理局的领导。因此,为深化地方金融数据跨境监管合作,可由地方请求中央授权,促进相关规则衔接。
(三)共殊相融的权利保障:保障金融数据跨境流动的个人权益
《一般数据保护条例》采取两种方式定义个人数据权利内容,一种是明确定义个人数据权利,另一种是对个人数据权利进行简要描述而不定义名称。与此对应,我国个人信息权利分为明确定义的访问权、修正权、删除权、限制处理权、数据可携权、反对权等显性的个人信息权利以及相关的模糊隐性个人信息权利(盛小平和唐筠杰,2022)[14]。虽然我国法律对个人信息概念的界定均采用列举式,但保护范围并不一致。此外,尽管公民的个人信息保护意识不断增强,但主动维权实践较少,维权难度大的情况仍然存在(王颖,2021)[15]。
对于金融数据跨境流动中的个人信息权利保障而言,个人信息权利为共相,个人信息权利的救济是个人信息权利的重要内容,是事物的一个方面,为殊相。既要明确个人信息权利的共相认识,也要进一步提高对个人信息权利救济之殊相认识。可以通过协同立法、制定区域示范法与技术规范等方式,明确个人信息权利的内涵、外延,规定个人信息权利救济的途径、方式与条件。如《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》对个人信息主体、接收方接受个人信息主体维护权利的形式作出规定,个人信息权利主体可以依法向内地或者香港有管辖权的法院提起诉讼;接收方接受个人信息主体不仅可以向国家互联网信息办公室、广东省互联网信息办公室、香港特别行政区政府创新科技及工业局、政府资讯科技总监办公室、香港个人资料私隐专员公署等相关监管机构投诉,还可以向内地或者香港有管辖权的法院提起诉讼?。个人信息权利保障对大湾区金融数据跨境流动具有重要意义:一方面,依法保障个人信息权利可以激发公民参与数据跨境流动的积极性,从而间接促进金融数据的跨境自由流动;另一方面,建立个人信息权利救济机制的过程,亦是保护公民个人隐私、维护国家数据主权与安全的过程。大湾区作为新时代改革开放的“先行示范区”,有必要也有条件先行先试,以金融数据跨境流动为试验样本,探索保障公民个人信息权益之法治进路。
四、结语
在数字经济时代,金融数据愈发成为数字中国与数字湾区建设的“助推器”。不同于一般的数据跨境流动,粤港澳大湾区金融数据跨境流动因其特殊的地理区位和数据类型,应受到更为广泛的关注。当前,国家层面对大湾区金融数据跨境流动展开了初步探索,出台了一系列法律规范,但尚未深度破除金融数据跨境规则衔接、机制对接的制度性壁垒,导致大湾区金融数据跨境流动面临立法规制、组织监管、权利保障等层面的现实问题。横琴、前海、南沙、河套深港合作区等重大合作平台可以成为探索大湾区金融数据跨境流动法治路径的理想沙盒,在结合大湾区实际,借鉴吸收数据跨境治理有益域外经验的前提下,可通过点面结合的立法规制、上下贯通的组织监管以及共殊相融的权利保障为合作区的金融数据跨境流动提供多维度的法治保障。同时,总结并推广合作区金融数据跨境治理的先行经验,可以为大湾区金融数据跨境流动的安全有序和国家数据跨境治理能力的现代化打牢基础。
注:
①详见《数字中国发展报告(2022年)》。
②详见《网络安全法》第三十一条、第三十七条。
③详见《数据安全法》第二条、第六条、第三十一条。
④详见《个人信息保护法》第二十八条、第三十八条、第四十五条。
⑤详见《个人信息出境标准合同办法》第四条。
⑥《数据安全法》第二十一条,明确国家建立数据分类分级保护制度,对数据实行分类分级保护,同时国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。但目前我国数据分类分级保护制度和重要数据目录尚未完全建立。
⑦如中国人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》将个人金融信息划分为个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息等七类。《个人金融信息保护技术规范》则将个人金融信息按照敏感程度由高到低分为C3、C2、C1三个类别。《中国人民银行金融消费者权益保护实施办法》在界定消费者金融信息范围的前提下,明确消费者金融信息的处理包括消费者金融信息的收集、存储、使用、加工、传输、提供、公开等。
⑧如《个人信息保护法》第三十八条规定,个人信息处理者向境外提供个人信息的,应满足三个条件之一:一是通过国家网信部门组织的安全评估;二是按照国家网信部门的规定经专业机构认证个人信息保护;三是按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。
⑨详见《个人资料(私隐)条例》第八条。
⑩详见《个人资料保护法》第二十二条。
?详见《数据安全法》第六条。
?详见《个人资料(私隐)条例》第九条、第十一条。
?详见《个人信息保护法》第四十四条、第四十五条。
?详见《个人资料保护法》第三章。
?详见《个人资料(私隐)条例》第9A部。
?详见《网络安全法》第六章、《数据安全法》第六章。
?详见《个人资料保护法》第十四条。
?详见《香港特别行政区基本法》第二条、第一百零六条、第一百零八条、第一百一十条;《澳门特别行政区基本法》第二条、第一百零四条、第一百零六条、第一百零七条。
?详见《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》第四条、第五条。
参考文献:
[1]吴腾华,胡耀元.中美金融市场结构比较及其对中国的启示 [J].国际商务研究,2022,43(05).
[2]王婷.我国金融数据跨境流动机制现状与因应之策 [J].对外经贸,2022,(11).
[3]中央人民政府驻香港特别行政区联络办公室.“金融科技2025”策略公布 香港金融科技产业发展添翼[EB/OL].(2021-06-10).http://www.locpg.gov.cn/jsdt/2021-06/16/c_1211202683.htm.
[4]Hang Seng Bank.Greater Bay Area SME Report: A Story of Resilience and Opportunity[R/OL].(2023-01-10).https://www.bain.com/globalassets/noindex/2023/bain_brief
_greater_bay_area_sme_report_a_story_of_resilience_and_opportunity.pdf.
[5]孙方江.跨境数据流动:数字经济下的全球博弈与中国选择 [J].西南金融,2021,(01).
[6]范思博.个人金融数据跨境流动的治理研究 [J/OL].重庆大学学报(社会科学版),2024-01-27.
[7]李万强,吴佳芮.金融数据跨境流动的法律规制与中国方案 [J].南通大学学报(社会科学版),2023,39(05).
[8]广东外语外贸大学粤港澳大湾区研究院课题组,申明浩,申幺等.数据跨境有序流动何以赋能统一大市场建设——基于粤港澳大湾区建设视角分析 [J].国际经贸探索,2022,38(11).
[9]钟红,杨欣雨.金融数据跨境流动安全与监管研究 [J].新金融,2022,(09).
[10]李莉莎,彭子盈.论粤港澳大湾区金融数据跨境流动治理机制 [J].城市观察,2023,(05).
[11]冯泽华,王依菲.个人信息转移权的确立动因与生成条件[J].青年记者,2022,(11).
[12]冯泽华,杜承铭.粤港澳大湾区行政法治协调的立法进路 [J].法治论坛,2021,(01).
[13]尚虎平,韩清颖.我国“无缝隙政府”建设的成就与未来——以无缝隙政府工具为标准的评估 [J].中国行政管理,2014,(09).
[14]盛小平,唐筠杰.我国个人信息权利与欧盟个人数据权利的比较分析:基于《个人信息保护法》与GDPR[J].图书情报工作,2022,66(06).
[15]王颖.个人信息权利保护的法律困境与完善措施[J].青年记者,2021,(21).
