数字经济时代跨境金融服务的数据风险及治理路径
2024-09-18郑丁灏
关键词:跨境金融服务;金融服务数据;金融监管
中图分类号:F832.2 文献标识码:A 文章编号:1000-176X(2024)08-0064-11
一、引言
由数字技术与商业模式创新融合而成的数字经济正深度赋能跨境金融服务,重塑以商业实体为基础的传统经济形态。云计算、人工智能、区块链技术的应用将数字货币、平台金融、跨境互联网券商等概念嵌入跨境金融服务之中,为全球服务增长提供高能引擎[1]。作为承载跨境金融服务商业信息的载体,数据跨境流动伴随着跨境金融服务的迅猛发展而日渐频繁。与此同时,信息科技在金融服务领域的革新也带来技术驱动式(Technology⁃Driven) 的数据风险,其强势侵入体量庞大的国际数字贸易市场,既扰乱跨境金融服务的正常秩序、威胁跨境业务安全[2],又对现有国际贸易规则和国际金融监管规则带来严峻挑战,引起理论界与实务界的高度关注。
2023年10月的中央金融工作会议指出,着力推进金融高水平开放,确保国家金融和经济安全。坚持“引进来”和“走出去”并重,稳步扩大金融领域制度型开放。同年12月,《“数据要素×”三年行动计划(2024—2026年)》(国数政策〔2023〕11号) 提出,提高金融抗风险能力,推进数字金融发展。这都突出强调了金融服务数据风险治理的重要性。当前,中国跨境金融服务涵盖以跨境交付、境外消费和自然人流动等多种形式提供的跨境银行、证券及保险业务,主要参与主体包括跨境金融机构、跨境金融投资者和新型的跨国技术服务公司等。根据商务部数据,中国2023年跨境金融服务进出口总量已达570. 3亿元,近五年平均同比增长率高达10%。跨境金融服务的增长使其数据风险随之增加,最为典型的是在“跨境打新”的热潮下,中国金融投资者的个人数据经由跨境券商传输至境外,导致中国个人金融服务数据的批量泄露。然而,中国现阶段的跨境金融服务监管依然停留在传统的资本项目控制、牌照准入和负面清单设置等阶段,金融监管规范的境外适用范围模糊不清,对跨境金融服务缺乏专项性的执法行动。目前,一部分学者对跨境金融服务的贸易规则展开研究,探讨金融服务数字化对贸易规则的影响[3],另一部分学者聚焦金融服务数据跨境流动的法律规制,指出应增加自由协定中有关金融服务数据跨境流动的规则[4]。但是,上述研究未能深入剖析跨境金融服务数据风险类型及其带来的挑战,也忽视了国际金融监管规则与国内金融监管规则对于跨境金融服务数据风险治理的重要作用。
鉴于此,本文聚焦跨境金融服务数据风险,揭示跨境金融服务数据风险的类型及生成机理,探讨国际数字贸易规则、国际金融监管规则和国内治理机制在应对跨境金融服务数据风险时面临的挑战。从国际数字贸易规则与国际金融监管规则视角,提出跨境金融服务数据风险的全球治理框架,并探求保障中国金融市场安全的路径。本文的学术贡献如下:其一,深度剖析数字经济对跨境金融服务的具体影响,是对当前跨境金融服务数据风险治理研究的补充。其二,将国际数字贸易规则与国际金融监管规则相结合,为推动中国金融涉外法治建设、保障国家金融服务数据安全提供决策参考。
二、跨境金融服务数据风险的类型化审视
(一) 个人金融信息泄露风险
在数字经济时代,跨境金融服务的载体普遍以数据的形式进行跨境流动,由此在个人与机构层面诱致数据风险。对于社会公众,个人金融信息的泄露是首要的数据风险。当前,许多跨境金融服务业务是以金融消费者向跨境金融机构留存本人身份信息形式开展的。在“强实名制”认证的金融服务业务中,金融机构留存个人身份信息的行为将更加正当,从而增加个人金融信息被泄露的范围与频率。据报道,富途控股、老虎证券等跨境互联网券商和资金清算商曾将中国境内客户提交的个人金融信息泄露给境外金融服务供应商[5]。
在跨境金融服务市场,个人金融信息泄露风险的发生场景更加隐蔽。可能在未授权的情景下,跨境金融服务供应商以屏幕抓取式(Screen⁃Scrapping) 手段非法收集跨境金融消费者的身份、账户甚至财务信息。跨境金融服务供应商可使用金融消费者的登录凭证,访问其财务信息账户,然后手动或通过专门的软件获取相关信息,进而处理数据请求或执行交易。由于执行操作的地点往往在不受司法管辖的境外,不同于国内金融服务,这类个人金融信息的泄露行为难以确定。除此之外,个人金融信息被篡改或盗窃也是金融服务数据风险的表现之一。当前,跨境金融服务数据流动导致金融服务数据的处理主体增多,金融服务数据泄露风险增大,传统的数据管理技术和措施难以降低跨境金融服务数据泄露风险。
对于金融机构,数据风险同样源于个人金融信息的非法使用。传统金融机构往往遵守严格的客户信息内部存储规定。但是,在开放银行(Open Banking) 业务模式下,为提供多样化的金融服务以形成竞争优势,金融机构选择扩充其收集的个人金融服务数据,并尝试通过API端口与境外金融服务供应商进行数据共享,跨境金融服务供应商可接入金融机构的数据库并与之共享数据。虽然在开放银行业务模式下,金融服务数据的跨境流动可提供广泛的金融服务共享、访问和再利用,从而为消费者和企业带来创新金融产品和优质金融服务[6],但是,由于跨境金融服务供应商与金融机构并不处于同一司法管辖区,金融机构的个人金融信息可能被跨境贩卖或超出同意范围被跨境金融服务供应商滥用,增加合规风险[7]。在跨境金融服务场景下,金融信息的滥用与贩卖已超出单一国家的监管范围,在信息技术的支持下,增强犯罪分子的跨境作案能力。
(二) 金融机构业务运营风险
金融机构是跨境金融服务数据的使用者,遍布于全球的跨境金融机构在从事金融服务时需遵守国际协定或不同国家(地区) 的法律法规,从而增加了金融机构跨境业务的数据合规风险。利用QFII和QDII进行跨境金融投资的金融机构,应按照法律法规的要求向东道国或母国的监管机构提交投资数据报告,以确保其跨境投资行为符合相关国家(地区) 的法律法规。但是,由于不同国家(地区) 对于包含跨境投资在内的跨境金融服务的法律法规不同,特定国家(地区) 的报告模式难以在其他国家(地区) 适用,导致金融机构在处理跨境金融服务数据业务时需满足不同国家(地区) 的合规要求[8]。不同国家(地区) 间因法律法规差异造成的合规风险使得跨境金融服务数据风险区别于国内金融服务数据风险,而在数字经济时代,由于立法滞后和观念差异,不同国家(地区) 法律法规不一致的情况更为普遍。
除了跨境金融服务数据的合规风险,跨境金融服务数据的准确性风险也是较为普遍的业务运营风险。在数字经济时代,跨境金融服务数据的传输手段多种多样,随之衍生的准确性风险不容忽视。鉴于跨境金融服务多涉及其他国家(地区) 的市场经济数据,若金融机构的海外分支机构或跨境金融服务的交易方所提供的数据来源缺失、精准度不高或存在错误,将影响跨境金融服务决策的准确性。跨境金融机构会选择境外金融服务供应商的数据中心作为跨境金融服务数据传输的节点,数据可能遭到盗窃或篡改,进而造成跨境金融服务数据的部分丢失或错误,降低跨境金融服务数据的准确性[9]。金融业对数据实时性、完整性和连续性有较高的要求,跨境金融服务数据的存储与保护需要金融机构具备最终保全的能力,否则可能威胁其业务运营安全。相较于国内金融服务数据,跨境金融服务数据对准确性的要求更高,跨境金融服务供应商位于境外,各国数据管理机构无法像对待国内金融服务数据一样检查境外金融服务数据的准确性。在数字经济时代,金融服务数据种类及传输路径的多样化更加剧了跨境金融服务数据的准确性风险。
(三) 金融服务数据垄断风险
基于低成本性和非竞争性,数据在生产和使用上极易产生递增的价值回报,以大型科技公司(简称“Bigtech”) 为首的新型金融服务主体应运而生。Bigtech拥有全球范围内活跃的金融客户群,对内与对外的跨境金融服务数据流动愈加频繁。特定行业内的金融服务数据伴随业务集中而不断聚集于同一主体,Bigtech利用数据、网络和业务优势加剧数据集约化。同时,Bigtech利用技术优势,开发相同软件或应用程序下的金融产品。金融产品的高度兼容性使跨境金融消费者付出更低的使用成本,对同一个境外金融服务供应商形成黏性。这不仅为境外金融服务供应商实现规模经济创造便利条件,而且使其与金融业务相关的各种金融服务数据相互聚合,提高数据垄断程度。当前,Bigtech日益增长的跨境金融服务加快了数据要素累积的速率,信息技术的应用突破了原有仅能在国内收集数据的地域限制,摆脱了国内反垄断规制的束缚,使得对不同国家(地区) 的数据收集更加直接和便利。依托高垄断性数据,Bigtech可在价格设置、流量入口、服务对象等领域占据显著优势,并通过协议等形式与跨境金融科技企业操纵更为隐蔽的共谋。例如,Bigtech利用垄断地位调整自身定价并在跨境金融服务市场遏制竞争对手进入。同时,Bigtech还可通过技术手段,将数据资源转换为更高级别的应用系统,提高操作等级,或直接设定特定门槛,拒绝其他跨境金融服务机构接入,对跨境金融服务市场的其他机构展开持续性的扼杀并购,逐步增加跨境金融服务数据的用户来源[10]。此外,具有垄断优势的大型金融机构可进一步掩盖个人金融信息泄露风险、金融机构业务运营风险,降低金融服务数据垄断风险在外部被识别的可能性。
(四) 国家宏观经济安全风险
在国家宏观安全方面,由于金融服务数据夹杂着个人、企业和社会的多类型化信息,相较于一般数据而言,其更具涉众性和价值性,跨境金融服务数据对于国家宏观经济安全具有重要意义。但是,在信息技术应用背景下,区块链、人工智能等应用拓宽了跨境金融服务供给渠道,增加了金融服务数据被暴露于危险网络环境下的可能性,而数据处理主体又处于高度垄断状态,使单一机构遭受金融服务数据垄断风险的损失可能拓展至国家宏观经济层面。从数据的信息内容来看,金融服务数据涵盖的社会公众流动、资金流动等信息可能积聚形成重要数据,从而间接造成信息安全隐患。境外金融机构或数据分析机构可通过采集、挖掘跨境金融服务数据,对境内金融交易及金融消费者进行画像,据此推测中国金融市场整体运行态势,深度分析金融各子行业、各地区的发展情况,对金融稳定和国家宏观经济安全造成严重威胁。此前,美欧等发达国家出台多项数据法案及其否决的中资金融企业海外并购项目,均反映出其对跨境金融服务数据的担忧。
三、数字经济时代跨境金融服务数据风险的挑战
(一) 对国际数字贸易规则的挑战
由于各国数字经济发展水平的不同、数字技术的地缘化倾向,国际数字贸易规则呈现碎片化、零散化的特征。作为服务的重要组成部分,跨境金融服务数据风险使国际数字贸易规则碎片化与金融服务主体集合化之间的矛盾愈加凸显。在金融服务数据的跨境规则领域,以《全面与进步跨太平洋伙伴关系协定》(简称“CPTPP”) 和《美墨加协定》(简称“USMCA”) 为代表的美式规则注重信息的自由流动且涵盖的主体更加宽泛,以欧盟与加拿大签署的《综合性经济贸易协议》(简称“CETA”) 为代表的欧式规则强调金融服务数据的隐私保护权利,中式规则从国家安全角度出发,允许成员国监管机构要求金融服务提供者遵守数据本地化要求。在不同的跨境数据规则下,平台化的跨境金融机构具备充足的动机选择对业务发展最为有利的司法管辖区开展业务,如将数据密集型服务企业布局在美式规则的成员国领土内。这进一步滋生跨境金融监管套利现象,并引导不同区域之间数字贸易规则的“标准逐底”[11],以降低本地区金融机构的准入条件。
基于碎片化的国际数字贸易规则,跨境金融服务数据风险在国际贸易市场上被逐步放大。其一,跨境金融机构可利用不同贸易协定标准的差异,规避个人金融信息传输保护的严格本地化要求,从而以“绕道”的形式将个人金融信息转移至数据保护水平较低的国家[12]。其二,由于数字贸易规则存在于各缔约方对跨境数据流动等事项的原则性缔约文件之中。因此,数字贸易规则无法详细规定跨境金融服务的数据流动保护条款。同时,金融服务数据的多样性和动态性也可能超出数字贸易规则下的原则性保护范围,造成某一缔约方的境内金融服务机构权益受损。其三,金融领域内生成式人工智能的应用、去中心化金融等使数字贸易规则下数据例外以及相关审慎条款的界限更加模糊。在生成式人工智能应用于跨境金融服务的场景下,金融机构业务运营数据的泄露可能并不是由特定主体造成的,而是生成式人工智能基于多方整合的信息流形成的。其造成行为主体与法律责任主体的分离,即数字贸易规则中的跨境金融服务供应商、授权主体等与金融服务数据风险的实际制造者并不相同,这降低了数字贸易规则应用的可预期性。
(二) 对国内审慎监管机制的挑战
各国金融市场的高度开放致使跨境金融服务数据风险由境外向境内迅速传导,给国内的金融审慎监管机制带来严峻挑战。一方面,由于数字金融平台的业务并非总是属于金融服务的市场准入标准范围内,并且服务类型的认定难题加大市场准入条件的选择。因此,诸多新金融服务(New Financial Services) 本身仍处于“无证驾驶”状态。同时,个别机构依托所在平台在境外金融市场以“宽准入”的资格条件获取金融业务牌照,进而利用网络渠道向他国提供金融服务。例如,外汇保证金业务在中国属于非法金融活动,但个别机构通过在境外设立外汇保证金业务平台,再向中国境内提供外汇保证金服务,绕过市场准入限制。新金融服务条款在数字贸易规则中的应用,使新金融服务得以规避缔约方的市场准入审查或外资安全审查而直接进入境内,增加境外金融服务机构收集金融服务数据的渠道,由此产生的跨境金融服务数据风险也考验该国的内部监管[13]。另一方面,微观审慎监管是以金融机构为主体,并基于此建立监管部门,然而,信息技术正实现各金融业务的平台融合,这使得单一监管机构难以应对综合化且超出机构监管范畴的跨境金融服务数据收集者。在中国,2023年新组建的国家金融监督管理总局(简称“金融监管总局”) 旨在统一除证券业之外的金融业监管,但依然难以解决监管对象错配问题。与之相应,跨境数字金融服务平台所产生的数据垄断风险还给各国的反垄断法及反不正当竞争法的规制带来挑战[14]Hoe0VkzfcutfSB2gh7GGZpm2QpjYiJjm2JK/RVGyRkg=,数据垄断行为与跨境金融消费者保护、跨境市场界定等问题相互交织,既考验国内金融监管与反垄断执法的协同性,也对各国境外执法能力提出严格要求。
(三) 对国际金融监管规则的挑战
跨境金融服务虽然以跨境贸易的形式存在,但其所生成的风险在本质上依旧是金融风险,对国际金融监管规则的冲击十分明显。
第一,各国金融市场的结构性差异给制定跨境金融服务数据监管标准带来巨大挑战。因为各国金融市场中的传统金融机构受金融科技的影响程度不尽相同,以金融科技驱动的支付手段对中国、新加坡、印度等新兴国家的影响远大于持续依赖“华尔街”的美国。这将增加制定全球可接受并能够广泛实施的跨境金融服务数据监管标准的难度。即使最终出台统一的跨境金融服务数据监管标准,但国际金融监管规则却多以“国际软法”的形式存在,且该形式并不代表成员国受到国际法的约束,降低跨境金融服务数据风险治理条款的合法性。
第二,国际金融监管的协调成本上升。“次贷危机”后建立的国际金融监管格局是由美欧等发达国家依赖其强大的金融资本所主导的。但是,随着金融科技业务在新兴经济体中迅猛发展,发展中国家在与之相关的国际金融监管规则制定中的重要程度日益增加。在数字金融服务标准制定中,需要考虑更为全面的公共政策问题。国际金融权力的离散化趋势提高了国际金融服务数据监管规则制定的协调成本,必须考虑新兴经济体在跨境金融服务领域中的利益分配问题,使其在国际金融服务数据监管规则的制定过程中发挥重要作用[15]。
第三,当前以共享模式和通行证模式为主的国际金融监管模式无法有效应对金融服务的数字化转型及其数据风险[16]。共享模式是由东道国和母国共同监管,如《巴塞尔协议Ⅲ》下的跨国银行监管。但是,鉴于数字化跨境金融服务已无须通过东道国的分支机构、子公司或合资企业进行,金融服务行为及其所包含的金融服务数据收集行为难以被界定为发生在东道国或母国的管辖区内。在通行证模式下,获得特定国家授权的金融机构可在任何其他参与国内提供相同的服务而无需额外许可,如欧盟即采用此种模式,但该种监管模式建立在各国之间具有高度统一的金融监管合作的前提下,而目前各国跨境数字金融服务监管的严格程度却存在显著差异,该种模式极易造成金融服务数据监管标准的“逐底竞争”。
四、跨境金融服务数据风险的全球治理
跨境金融服务复杂的数据风险及其对国内、国际规则的挑战迫使跨境金融服务数据风险的治理应置于全球治理与国内规制的双向场景之内[17]。鉴于跨境金融服务数据风险在国际数字贸易与国际金融监管领域的交叉,应改变传统单向性的治理思维,采取“贸易+监管”的融合治理模式。在治理层级与治理进路的双重维度形成“国际+国内”“贸易+监管”的动态融合。同时,借鉴国外金融监管机构在应对跨境金融服务数据风险的监管经验,既因应当前中国“双循环”新发展格局下防范国际与国内的金融服务数据风险传染,亦可协调多样化的治理手段,从国际数字贸易与国际金融监管领域有效防范跨境金融服务数据风险。
(一) 国际协同治理跨境金融服务数据风险
无论是从国际数字贸易视角,还是从国际金融监管维度,跨境金融服务数据风险治理都要形成协同型的合作治理机制。
第一,在合作形式层面,WTO框架是全球最大且最为成熟的多边贸易框架[18],跨境金融服务数据风险治理需依托WTO框架进行数字贸易规则谈判,避免区域贸易协定的碎片化难题。同时,尝试在WTO框架之外共同创设规则作为传统服务贸易的补充,以廓清金融服务贸易的范围。自2017年采取联合声明行动(Joint Statement Initiatives,JSI) 以来,WTO成员已取得《电子商务联合声明》《服务贸易国内规制参考文件》等多项合作成果。可见,在WTO框架下开展跨境金融服务数据风险治理合作具备可行性。
第二,在合作规范层面,数字贸易协定可尝试引入跨境金融服务数据风险的合作治理条款。虽然各国金融服务的数字风险程度不尽相同,但各国在治理金融服务数据风险的目标上具有一致性。在数字贸易协定中可将原则性的合作条款纳入其中,并探索从信息交换、磋商等程序性条款切入,避免僵化的实体性标准对各缔约方增加执行的约束条件,争取化解各国在市场准入、国民待遇等条款上的分歧[19]。对于国际金融监管,金融稳定理事会(Financial Stability Board,FSB)、国际货币基金组织、巴塞尔银行监管委员会等国际金融监管组织应在前期调研的基础上,在特定领域内满足不同类型国家的数据风险监管需求,从而为跨境金融服务数据风险治理制定监管目标与原则,促使各国金融监管机构形成有效的合作治理框架。
第三,在合作领域层面,跨境金融服务数据风险治理应选取跨境支付作为试点领域。数据风险的蔓延途径之一是跨境支付的扩张。跨境支付涉及资本转移、数据跨境流动、机构市场准入等[20],且数字货币的支付媒介变革也增加了数据风险的复杂性,因而数字贸易规则的各缔约方可在跨境支付领域开展深入合作,协调与金融服务数据风险相关的数字贸易规则。在该领域内,国际金融监管机构也已发布多项监管原则和路径指引。例如,FSB于2021年10月发布的《G20关于加强跨境支付的路线图——第一份综合进展报告》。因此,各国金融监管机构可在上述框架下,共同研议、制定跨境支付的数据传输标准,在法定数字货币的数据治理规则方面达成较为统一的指导性合作协议。
(二) 明晰跨境金融服务数据的监管原则
金融服务创新的迭代速率和各国不同的风险状况决定了金融服务数据风险的国际监管应以监管原则为主导,使金融服务的监管者与被监管者具有更高的灵活性。
第一,明确混合性监管原则。母国监管机构用实体监管(Entity⁃Based) 原则,东道国监管机构则用业务监管(Activity⁃Based) 原则,共同对跨境金融服务供应商进行监管。混合性监管原则能够结合实体监管和业务监管的优势,在避免跨境监管套利的前提下,帮助各国监管部门实现金融监管目标。
第二,采纳动态性监管原则。国际金融监管组织及各国金融监管机构定期检视与数字金融服务相关的法律法规,通过反思和迭代,适时改变监管政策。反思和迭代路径既包括对数据风险政策的执行成效开展调研或总结,也包含对金融科技创新中心、监管沙盒、跨境监管网络等智能化的政策反馈平台的监控。例如, 国际金融监管机构于2019 年初设立的全球金融创新网络(Global Financial Innovation Network) 平台。相较于传统的金融监管,该平台更加注重加强监管者与被监管者之间的互动与交流,为增强信息技术在数据监管领域的应用提供空间。同时,还可提供跨境金融服务产品,提高数字金融的普惠程度。
第三,以自主性原则搭建监管职权分配模式。该原则主要以单边承认制度决定国内监管规则,即一国可根据跨境金融服务供应商母国的监管制度与本国监管制度的相似性,自主决定是否单方面豁免跨境金融服务供应商适用其规则,在实践中,通常变为替代合规制度[21]。单边承认制度可依托各国跨境金融服务数据监管规则的相似性克服共享模式下的业务地域认定难题和通行证模式下的监管“逐底竞争”弊端。而且,单边承认制度在赋予各国金融监管机构自主权后,通过监督、促进与交流,共同推动跨境金融服务数据监管规则的变更,以应对跨境金融服务的革新,最终有助于在区域范围内形成规则趋同。
(三) 硬化跨境金融服务的数据软法规则
单纯依靠监管原则难以约束各成员国家(地区) 有效实施防范数字金融服务数据风险。因此,应通过国际金融软法的“事实硬化”督促成员国家(地区) 履行。作为“次贷危机”后全球金融治理的核心,FSB需在充分吸纳发展中成员国家(地区) 意见的基础上,联合专业性国际金融监管组织,讨论跨境个人金融信息保护和跨境金融服务数据垄断等方面的监管原则和技术标准[22]。各成员国家(地区) 虽然可对软法部分自行选择实施,但在提出保留意见的情况下,成员国家(地区) 内部的实施标准不得低于FSB的最低金融监管标准[23]。在具体实施层面,FSB可根据监管标准及各成员国家(地区) 金融市场的差异,为各成员国家(地区) 设置差异化的不遵守就解释(Comply or Explain) 半强制性义务,规定不遵从上述标准的成员国家(地区) 应履行合理且充分解释的法定义务[24]。倘若该成员国家(地区) 拒绝解释或解释无法通过FSB的审查,则可将其列入不合作国家(地区)(Non⁃Cooperative Jurisdiction,NCJ),并对该成员国家(地区) 的金融机构施行更为严格的监管标准[25]。
除对成员国家(地区) 增加义务外,国际金融监管组织亦可设置功能与地域的分类分级标准,将同时满足特定标准的跨境金融服务供应商,如在特定区域内开展数字货币支付业务的机构,或从事垄断性金融信息服务的跨国机构,直接列为风险治理对象。国际金融监管组织可要求其在跨境服务运营中针对业务程序及相关的信息安全搭建适当的跨境金融服务数据风险评估管理系统,并指导其定期发布数据风险评估的结果。同时,可在信息披露中突出显著的跨境金融服务数据风险和本机构为防范跨境金融服务数据风险计划采取的补救措施。若特定跨境金融服务供应商不履行或怠于履行此项披露义务,则可将其注册地或主要经营地列为NCJ,从国家层面倒逼其履行相关义务。
五、跨境金融服务数据风险规制的中国因应
(一) 积极参与跨境数字贸易规则的制定
为了应对复杂多变的跨境金融服务数据风险,作为数字金融服务蓬勃发展的新兴经济体,中国应积极参与数字贸易规则条款的谈判。
第一,中国应主动参与涉及跨境金融服务领域的国际规则研议。在规则制定时,中国应立足于新兴经济体的金融服务创新与风险防范需求,坚持以实现国家金融安全与服务贸易自由化之间的平衡为出发点,深入参与金融服务贸易的规则谈判,与美欧等发达国家开展数字贸易规则对话。在规则议定过程中,中国可参考新加坡数字贸易规则,增加非约束性条款的使用比例。在数据本地化条款下为各国预留安全例外的内容,强调双边分歧应尽量通过双边友好协商的形式解决,利用数字贸易规则领域的例外条款为数据风险的管辖权划分等事宜提供多边协作的平台。同时,新加坡在数字金融服务协定中也强调运用监管科技。例如,在新加坡与澳大利亚的数字贸易协定中将金融科技拓展至监管科技,共同提出使用简化的许可证程序和监管沙盒[26]。此外,中国应成立包含金融监管机构、金融服务贸易专家和金融风险管理实务专家的数字贸易规则专家组,不定期召开协商会议,通过集体讨论的形式向数字贸易规则制定者提交意见。
第二,中国可尝试在区域层面,尤其是在亚太地区构建数字贸易规则。具体有两条路径:一是借鉴新加坡的数字贸易规则,通过制定数字贸易规则并将规则条款或其升级版内嵌于双边贸易协定之中,再与其他国家(地区) 签定贸易协定从而扩大适用范围[27]。二是基于中国现有的贸易合作区域、组织和区域,如“一带一路”、亚太经合组织、中国—东盟自由贸易区等,率先制定数字金融服务规则。由于这些国家(地区) 与中国具备长期的贸易合作关系,且在数字金融服务应用上与中国具有较高的相似性,与这些国家(地区) 合作制定数字贸易规则的可行性更大。
(二) 重塑跨境金融服务数据的监管机制
目前,外资金融机构的市场准入逐渐放开,增加了跨境金融服务数据风险的传染渠道。虽然中国已构建了外资准入审查制度,但仅以准入行业和持股比例作为审查标准已无法匹配金融市场的开放程度,更难以排除跨境金融服务数据风险隐患。因此,中国需在国民待遇原则与最惠国待遇原则的基础上,构建金融安全审查机制。事实上,国家金融安全问题早已引起国家决策层的高度重视。在党的十八大之后,中共中央政治局已就国家金融安全开展首次集体学习,“坚持统筹金融开放和安全”也被2023年中央金融工作会议列为金融市场开放的基本要求。在数据安全审查领域,金融安全审查机制的重点审查对象应包括并购发起人为外资的Bigtech,以及被并购者为中国金融基础设施和第三方支付机构的并购行为。重点审查内容涵盖上述主体的数据传输身份识别、数据传输安全保障等。既应避免掌握中国金融服务数据的第三方支付机构被并购为外国金融机构的子公司,也需对主体业务项下的数据安全风险进行有效的评估与检测。中国可参考美国联邦金融机构审查委员会(Federal Financial Institutions Examination Council,FFIEC) 的规则,对所有访问金融机构信息系统和数据的用户进行严格的身份识别,并加强高风险用户的身份信息识别。关注影响金融机构信息系统、数据、用户账户的跨境服务威胁。基于风险偏好和金融机构容忍度的内部标准,制定接受风险或采取额外补救措施的决定。除在准入、身份识别环节设置审查门槛外,金融安全审查机制还需关注重要金融服务数据目录的制定、敏感或超过特定数量的金融服务数据跨境传输、跨境贩卖等行为。
在风险处置阶段,中国应加强金融监管的境外执法权建设。正在修订的《中华人民共和国银行业监督管理法》、新组建的国家金融监督管理总局为统合跨境金融服务的境外执法权提供规范与主体层面的条件。中国可尝试在国家金融监督管理总局内部增设信息技术监管司与国际监管司,以法律法规的形式赋予其必要的跨境执法权,使其能够在跨境金融服务数据风险处置过程中收集必要的证明材料。同时,在具备跨境执法权的基础上,中国金融监管机构可在职权范围内与国外贸易机构、金融监管机构合作,通过签署数字贸易协议、金融监管合作备忘录,或参与FSB、国际货币基金组织、巴塞尔银行监管委员会等国际金融监管组织的集体性会议,相互交换金融监管信息并请求有效的跨境执法协助,减少跨境金融服务数据风险。
(三) 完善金融服务数据风险的跨境监管手段
第一,中国应将数字化的金融科技企业和金融服务纳入金融审慎监管框架。对于金融科技企业,应根据其资本特征、业务模式、风险集聚效应等要素,搭建与之相匹配的审慎监管框架。金融监管应重点关注金融科技企业的内部数据风险管理,包括个人金融信息采集与保存情况、金融服务数据跨境审批、金融服务数据库网络安全保护实施情况等。在数据有效性层面,英国金融审慎监管局(Prudential Regulation Authority,PRA) 将金融服务数据的风险管控分为定量数据(监管汇报)、临时数据和管理信息,其中,管理信息是针对大型金融机构或金融科技企业的风险数据,此类数据的搜集正是为了弥补个别机构在标准化数据(定量数据) 上的缺陷。对于数字化更高、专业性更强的跨境金融服务,中国目前则可通过修订《商业银行资本管理办法(征求意见稿)》等金融规范性文件,将数据、网络安全等信息技术指标逐渐融入金融机构的资本管理标准之中,最终将其纳入金融审慎监管框架之内。
第二,在金融服务数据安全保护领域,中国应尽快制定金融服务领域的重要数据目录,并且在自由贸易试验区推行金融服务数据跨境流通的正、负面清单制度。目前,中国在金融领域的重要数据目录尚未出台。中共中央、国务院已下发的纲领性文件,赋予上海浦东新区开展对重要数据目录的先行先试工作。例如,《中共中央 国务院关于支持浦东新区高水平改革开放打造社会主义现代化建设引领区的意见》等。上海浦东新区的金融监管机构可把握重要金融服务数据目录出台的契机,制定本地区内的重要金融服务数据目录,并推广至全国,防范境外金融机构准入后的数据风险扩散。《上海市落实〈全面对接国际高标准经贸规则推进中国(上海) 自由贸易试验区高水平制度型开放总体方案〉的实施方案》指出,在国家数据跨境传输安全管理制度框架下,金融机构可以向境外传输日常经营所需的数据,中国(上海) 自由贸易试验区临港新片区也已针对公募基金跨境场景下的一般数据制定清单和目录。在制定清单和目录时,国家数据局应联合中国人民银行、国家金融监督管理总局、中国证券业监督管理委员会,将跨境金融服务中采集量较大、敏感性较强或涉及国家金融安全的数据列入重要数据目录,并细化重要数据目录内的金融服务数据跨境流动。上述目录的制定应充分考量中国跨境金融服务市场的现实需求和国家金融服务数据安全目标,确保跨境金融服务处在合理的跨境数据流动范围内。应妥善处理自由贸易试验区授权、各地规则不统一等细节问题,避免为实现金融服务数据安全目标而阻碍跨境金融机构业务的正常开展。
第三,在国内宏观审慎监管政策框架下,为了防范系统性金融风险,对跨境金融服务数据的监管还应进一步加强监管科技(Regtech) 的应用。特别在跨境金融服务数据风险预警、度量和监测等领域,Regtech可实时报送金融监管所需的风险信息。同时,Regtech还可基于所收集数据生成智能化报告,由此协助监管机构实现追踪监管对象变化和监管数据整合的双重目标,提高审慎监管效率。在生成式人工智能不断发展的背景下,中国也可尝试将金融监管工具与生成式人工智能相结合,解决跨境金融服务数据风险治理难题。例如,英国金融审慎监管局近期正在尝试创建ChatPRA,通过有效的人工智能协调,依托可视化数据(包括建模输出) 实现跨境金融服务数据风险的有效防控。
(四) 增强中国金融市场制度型开放的法治保障
加强涉外法治建设既是以中国式现代化全面推进强国建设、民族复兴伟业的长远所需,也是推进高水平对外开放、应对外部风险挑战的当务之急。坚持在法治基础上推进高水平对外开放,是数字经济时代防范金融服务数据风险跨境传染的必然选择。当前,全球化的金融市场由各国开放的金融市场构成,开放的各国金融市场是国际金融市场的一部分。由于各国金融市场相互开放连接成为全球金融市场,一国市场所生风险易于传染到境外。特定国家金融市场的风险通常构成风险跨境传播的土壤,而跨境传染又转而成为境外风险输入国内的渠道。通过连接国际金融法与国内金融法的路径以探寻规避跨境金融服务内外数据风险治理路径。在跨境金融市场,国际规则通常需要借助国内规则予以实施,而一国特别是拥有国际规则制定话语权的国家的国内规则会影响国际规则的制定。中国制定有效治理跨境金融服务数据风险的国内法律制度,既可为中国参与金融服务治理国际规则的制定提供基础,也是打造跨境金融服务数字化法律治理制度中不可或缺的重要组成部分。
六、结语
在数字经济时代,跨境金融服务的数字化转型加剧数据风险的发生概率,个人金融信息泄露风险、金融机构业务运营风险、金融服务数据垄断风险和国家宏观经济安全风险已成为跨境金融服务的新式风险。由于各国金融市场间的联系日益紧密,“便捷”跨境金融服务数据风险的传播,给国际数字贸易规则与国际金融监管规则的适用带来挑战。这不仅凸显了数字贸易规则碎片化与金融服务主体集合化之间的矛盾,而且突破各国国内金融监管的传统治理范围,增加了国际金融监管规则的适用难度和协调成本。为因应跨境金融服务数据风险及其挑战,本文提出搭建“国际+国内”“贸易+监管”双层复合型治理路径。在国际层面,国际协同治理跨境金融服务数据风险,明晰跨境金融服务数据的监管原则并硬化跨境金融服务数据的软法规则。对于中国而言,应积极参与国际数字贸易规则制定,重塑跨境金融服务数据的监管机制,完善金融服务数据风险的跨境监管手段、增强中国金融市场制度型开放的法治保障。
