江翔宇 上海市法学会金融法研究会理事,上海金融业联合会金融法治研究会理事,上海市协力律师事务所资深顾问,法学博士;

富晓行 上海市法学会金融法研究会会员,上海交通大学金融MBA,原中海信托风险控制经理。

一、问题的背景

近年来随着“棱镜门事件”、Google爱尔兰案、“汇丰银行案”等网络与数据安全事件的频繁发生,各国对数据出境安全高度重视,不断加强立法保护数据出境安全管控。目前以欧盟、美国、亚太经合组织为代表的世界主流国家和国际组织已经形成较为完备的数据出境管理制度体系。

随着中国金融市场国际化进程的推进,越来越多的国际金融机构在中国利用母国的信息基础设施开展业务,中国的金融机构也在金融开放过程中不断走出去,个人数据出境与入境成为常态。传统的以保护本国范围内个人信息权利为重点的金融数据立法,必然面对金融全球化时代个人数据跨境流动的考验。2017年《网络安全法》的颁布实施首次提出数据出境安全管理要求,之后中国又起草了多部相关立法。金融监管部门的理念也在迅速变化,2020年3月23日中国证监会在发给美国高盛集团子公司的《关于核准高盛高华证券有限责任公司变更控股股东的批复》中罕见地指出“你公司应当严格落实《网络安全法》《证券法》有关规定,加强对证券业务数据及投资者个人信息跨境流动的合规管理,切实保护投资者合法权益,保障重要信息系统及网络安全稳定运行”,明确了金融机构在个人信息保护方面不再像以往主要依据金融法律执行客户信息保护要求,而是要把国家关于数据和个人信息保护的专门立法作为合规依据。金融市场也经常遇到交易数据和客户数据能否以及如何出境的问题,因为立法的缺乏,监管部门基本上都持有非常谨慎的态度,避免给出明确的意见。

按照数据监管的关注点,金融数据可以分为个人金融数据、金融重要数据与其他金融数据三个部分,其中个人金融数据和重要金融数据受特别立法规制,适用特别的监管要求,其他金融数据则主要适用一般性的数据监管法律规定。金融行业对于数据保护有天然的重视,与其他领域相比,金融行业对数据的保护无论是理念还是措施可以说都早于并强于其他领域。因为涉及个人的资产安全,金融行业形成之初就对金融机构的保密义务提出了较高要求(金融数据基本上都可以纳入“敏感信息”范围),金融监管部门亦一直将保密义务作为金融监管的重点。这一点在大数据时代之前就已经形成,例如,金融机构被要求对客户的身份资料、账户信息、交易信息等予以保密,除法规另有规定外,不得对外提供或允许查询。中国人民银行也从金融消费者权益保护的角度强调个人信息/数据保护。

但是这些对金融机构客户资料的保密传统以及金融消费者的权益保护安排,与大数据时代对客户信息和数据的保护处于不同的维度。传统金融服务下客户资料保密要求是基于非大数据时代的客户隐私和商业秘密保护理念,更多是静态化。进入大数据时代以后,客户资料普遍要实现信息化和数字化,对客户资料的保密传统和对金融消费者的保护也必然延伸到对客户金融信息和数据的保护层面。在进行数据传统安全保障的同时,大数据时代金融数据的共享和使用对于金融业的业务开展、风险控制等具有越来越大的意义,即数据驱动的人工智能将发挥越来越大的商业价值,只有融入大数据和人工智能时代下的数据保护理念,落实个人金融信息的保护,才能进一步合规使用、共享数据,实现数据的生产要素作用。金融数据的跨境流通以及保护不再仅仅是金融机构的对于消费者信息保护以及合规要求,也是基于上海作为国际金融中心竞争力以及我国国家安全和公众权益的保护需求。

本文对于金融数据的定义如下:金融数据是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。

本文对于跨境流动的定义如下:是指网络运营者将在一个国家或地区运营中收集和产生的个人信息和重要数据,提供给位于另一法域国家或地区的机构、组织、个人。

二、国际组织对于跨境金融数据流动的相关政策规定

(一)联合国

早在1990年的时候,联合国在《计算机处理的个人数据文档规范指南》(《Guidelines for the Regulation of Computerized Personal Data Files》)中第9条即规定:“当两个或更多国家关于跨境数据流通的立法提供了互惠的隐私保护措施时,应当确保信息能够以在一国境内流通的状态在不同国家之间自由流通。如果没有相应的互惠保障,对国境之间流转的限制应当合理,且仅限于隐私保护的需要。”

联合国对于数据跨境流通秉持较为开放的态度,支持两国或多国的立法提供了互惠保护的前提下开展数据跨境流通,而即使没有相关的立互惠保障,对于数据跨境流通也只能基于隐私保护的需要进行合理限制。但该指南本身仅为原则性的指导,并未提出有操作性的原则与框架。

(二)经济合作与发展组织

1980年,经济合作与发展组织(以下简称“OECD”)出台了《隐私保护和个人数据跨境流通指南》(《OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 1980》,以下简称“OECD1980年指南”),将个人数据跨境流通定义为“个人数据跨越国家边境流动”,并明确个人数据的跨境流动有利于经济和社会发展,应促进数据在成员国之间的自由流动。

其中第三部分为数据自由流通和合法限制的原则(第15-18条),主要包括四项:

(1)成员国应当考虑对其他国家的国内数据处理和个人数据再出口的影响。

(2)成员国应当采取合理和适当的措施确保个人数据跨境(包括成员国之间)流通的通畅和安全。

(3)除非其他成员国没有实质性的遵守本指南或者再出口个人数据将违反国内隐私立法,成员国对于成员国与其他成员国之间的个人数据跨境流通的限制应当采取克制态度。成员国可以基于国内隐私立法(包括特殊条例)对某些个人数据的性质和其他国家没有提供对等保护的规定,对某些类型的个人数据的跨境流通施以限制。

(4)成员国不得以保护隐私和个人自由的名义制定可能会超出其保护要求的妨碍个人数据跨境流通的法律、政策和操作准则。

2007年6月,OECD在OECD1980年指南的基础上,通过了《隐私保护及跨境合作执行建议》(Recommendation on Cross-border Co-operation in the Enforcement of Laws Protecting Privacy)。该建议要求成员国执行跨境合作执行隐私保护相关法律时,应采取以下适当措施:(1)改善国内隐私法规执行架构,以便于本国主管机关与外国相应机关的合作;(2)建构有利于执行跨国合作隐私保护法规的有效国际机制;(3)在执行上述法规时,应相互提供协助,包括通知、申诉、协助调查以及在适当安全保护措施基础上共享信息;(4)与利害相关方进行有利于上述法规执行的讨论及交流。

2013年,OECD对OECD1980年指南进行了一次全面修订,形成了《隐私保护和个人数据跨境流通指南》(《OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 2013》,以下简称“OECD2013年指南”)。其中,原第三部分数据自由流通和合法限制的原则调整为第四部分,其内容更新主要强调了三点:(1)进一步强调数据控制在对其控制的个人数据的管理与保护责任,无论数据储存于何处。(2)进一步放宽对于个人数据跨境流通的限制,要求各成员国对于限制个人数据跨境流通保持克制态度。(3)要求对于个人数据跨境流通的限制应当考虑数据的敏感度、流通目的和处理环境,以确保与可能的风险成比例。

OECD对于成员国内部的数据跨境流通总体持较为开放的态度,在最初的OECD1980年指南重即要求各国对成员国之间的个人数据跨境流通限制采取克制态度,在后期的修改中更是要求进一步放宽限制,但同时也要求数据控制人对于数据的管理保护责任,并确立了数据跨境流通的限制与风险成比例原则。

(三)亚太经济合作组织

2013年,亚太经济合作组织(以下简称“APEC”)通过了《跨境隐私规则体系》(《Cross Border Privacy Rules System》,以下简称“CBPR”)。CBPR旨在“确保个人信息跨国界自由流动的同时,为个人信息的隐私与安全建立有意义的保护”,要求“各国政府应确保跨境数据传输不存在不合理的障碍,同时应在国内以及与外国政府合作在国际上保护其公民个人信息的隐私和安全。”

从APEC的成立情况以及历史沿革来看,美国在APEC内部始终处于主导地位。因此,APEC关于数据跨境流通的要求与美国鼓励个人数据自由流动的思路是一致的,要求各成员国确保跨境数据传输不存在不合理的障碍。

(四)欧洲委员会

欧洲委员会(Council of Europe)在1981年于斯特拉斯堡通过了《个人数据自动化处理中的个人保护公约》(《Convention for the Protection of Individuals With Regard to Automatic Processing of Personal Data》,以下简称“108号公约”)。1999年,欧洲理事会针对108号公约进行了首次修订;2001年,欧洲委员会对这一公约进行了补充,加入了《有关监管机构和跨境数据流通的附加协定》;2012年,欧洲理事会进一步针对公约进行修订,去掉了针对“个人数据处理”中的“自动化”限定,扩大了《公约》的适用范围;2018年,乌拉圭与20个欧洲理事会成员国签署了一项欧洲理事会条约,作为《公约》的修订议定书。在最初版的108号公约中,要求缔约国不能仅仅因为隐私保护的目的而禁止个人数据跨境流通或增设审批程序,但基于特定类型的个人数据国内立法要求或经缔约国中介流向非缔约国的情况例外。而在最新版本的108号公约中,排除了原本的两种例外情况,缔约国仅在受到区域性国际组织统一保护规则的情况下例外,并增加了在保证数据接受者对个人数据保护水平适当性的前提下,缔约国可以向非缔约国传输数据的规定,且对于个人数据保护水平的要求做出了具体规定。

(五)欧洲联盟

1995年,欧洲联盟(以下简称“欧盟”)发布了《关于涉及个人数据处理的个人保护以及此类数据自由流通的第95/46/EC号指令》(《Directive 95/46/EC of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data》,以下简称“数据保护指令”)。数据保护指令的第四章规定了向第三国转移个人数据的相关要求,即不影响依照数据保护指令指定的国内法,以及数据接受国能够提供“充分的保护水平”。而即使在为满足上述前提的条件下,成员国依旧可以通过数据主体明确同意、为重大公共利益必须等例外情形进行转移。

在数据保护指令的基础上,2016年欧洲联盟通过了《统一数据保护条例》(《General Data Protection Regulation》,以下简称“GDPR”)。GDPR在第1条中,即明确了个人数据在欧盟境内的自由流通不得因为保护自然人而被限制和禁止。而针对数据控制者向欧盟以外的第三国或国际组织,或者再次将数据转移至另一个第三国或国际组织,GDPR规定了三种情形:

1.如果转移目的国或国际组织经欧盟委员会认定达到充分标准,则进入了白名单,向该国或国际组织进行数据转移无需特别授权。

2.数据控制者已采取了适当的保障措施,且数据主体能够行使权利和获得司法救济。具体包括具有约束力的集团企业规则(Binding Corporate Rules,以下简称“BCR”)、符合欧盟颁布的标准合同条款(Standard Contractual Clauses,以下简称“SCC”)、符合欧盟批准的行为准则(CSA Code of Conduct)以及经批准的认证机制(certification mechanism)、封印或者标识。

3.其他特殊情况,例如数据主体明确知情并同意,是履行数据主体与数据控制者间合同所必需的特殊情况,或非重复进行、只涉及有限数据主体、为数据控制者追求合法法益并且提供了适当的措施。

108号公约和GDPR对于数据跨境流通的相关规定存在明显的承继关系。一方面,欧盟也倡导个人数据在欧盟境内的自由跨境流通,要求不得增设相关的限制和禁止;另一方面,欧盟对于欧盟内部个人数据的对外(即第三国或国际组织)转移保持着非常克制的态度,并建立了白名单+标准合同+内部准则+例外的合规框架。这是目前世界上唯一一个规范成员国对外数据跨境流转的合规框架。该框架目前被世界各国所广泛承认,各国家及地区采取积极的立法行动,以谋求加入欧盟白名单,例如美国的安全港/隐私盾协议、英国的《数据保护法案》、新加波的《个人数据保护法》、迪拜的《迪拜国际金融中心数据保护法》等,都采用了这个框架。

总体来看,国际组织对于成员国间的跨境金融数据均持开放态度,希望通过畅通的数据跨境渠道进一步加强数据的流通效率,但对于数据对外跨境则较为谨慎。欧盟的GDPR提供了目前唯一的对外跨境合规框架并大力推广,对多个国家和地区的立法产生了显著影响。

三、国家与地区对于跨境金融数据流动的相关政策规定

(一)美国

美国在个人数据保护方面,采取了分行业的保护模式,对于金融数据保护立法相对完善。从立法来看,最早的是1970年颁布的《银行保密法》(《Bank Secrecy Act》)和《公平信用报告法》(《Fair Credit Reporting Act》,以下简称“FCRA”),之后是1999年颁布的《金融服务现代化法案》(《Gramm-Leach-Bliley Act The regulation》,以下简称“GLBA”),2003年美国在FCRA的基础上修订颁布了《公平正确信用交易法》(《Fair and Accurate Credit Transactions Act》,以下简称“FACTA”),2010年又颁布的《多德-弗兰克法案》(《Dodd-Frank Wall Street Reform and Consumer Protection Act》)和《金融消费者保护法》(《Consumer Financial Protection ACT》,以下简称“CFPA”)。总体来说,目前美国的金融数据的管理监管主要依托于GLBA、FACTA和多德-弗兰克法案。对于境内个人金融信息流动的监管,美国采取了“形式监管”的原则,即通过定义个人金融信息流动的法律边界,从而理清个人金融信息得以合法流动的范围,而超出该边界与范围的个人金融信息流动取决于信息主体的选择,即用户对此具有“否决权”(Opt-Out)。GLBA 规定,金融机构与其关联机构之间可以自由、无碍地开展个人金融信息的流动,而与非关联机构之间的个人金融信息的流动则需要取得用户的同意,并向其提供“否决”个人金融信息流动的机会。

美国对于跨境个人金融信息的流动持有颇为矛盾的态度。一方面,美国基于其经济与政治方面的考虑,一直鼓励个人金融信息在全球范围内自由流动。另一方面,出于维护国家安全和美国公民个人权益的考量,美国也限制美国公民个人金融信息的跨境流出。但这一行为显然有悖于其鼓励个人金融信息在全球范围内自由流动的立场,因此美国通过外商投资安全审查,来贯彻其限制个人金融信息跨境流动的政策。

2007年,美国颁布了《外国投资与国家安全法》(《the Foreign Investment and National Security Act》,以下简称“FINSA”)。而2018年美国出台了《外国投资风险审查现代化法案》(《Foreign Investment Risk Review Modernization Act》,以下简称“FIRRMA”)。通过FINSA和FIRRMA,美国外国投资委员会(the Committee on Foreign Investment in the United States,以下简称“CFIUS”)有权审查对于“任何拥有、运营、生产或提供关键基础设施或为该等设施提供服务”的投资,以及对于“维护和收集美国公民个人敏感信息,且可能以威胁美国国家安全的方式利用该等个人信息”的投资,即便前述投资未达到控制的标准。其中,该等投资是否有可能导致外国政府拥有对美国开展滥用公民个人信息等“恶意的网络活动”(malicious cyber-enabled activities)的能力则是重点审查内容。

在限制美国公民个人金融信息的跨境流出的同时,美国通过双边/多边机制与其他国家、地区或国际组织达成关于个人金融信息跨境流通的协议,同时也在其主导的国际组织中推行其个人金融信息跨境流通的标准,其目的系推广其个人金融信息自由跨境流动以及以企业自律主导的立场。其中,最具有代表性的就是美国与欧盟达成的《安全港协议》(U.S.-EU Safe Harbor Framework)、《隐私盾协议》(EU-U.S. Privacy Shield Framework),以及其主导建立的APEC的CBPR(详见第二章第三节亚太经济合作组织部分)。

欧盟在数据保护指令GDPR中,要求成员国向第三国或国际组织进行个人数据跨境流通,需要确保数据接受国能够提供“充分的保护水平”。基于美国与欧盟间的密切商业往来需求,美国与欧盟于2000年达成了《安全港协议》(U.S.-EU Safe Harbor Framework)。安全港协议本质上是一项自律机制,美国的商业机构可以自愿申请加入并承诺遵守七项原则(通知原则、选择原则、责任移转原则、安全原则、数据完整与目的限制原则、访问原则以及追索、救济与执行原则),接受美国联邦贸易委员会 (Federal Trade Commission) 的监督,即被视为具备欧盟认定的“充分的保护水准”。然而在2013年“棱镜门事件”后,美国被暴露出其情报机构存在监控和窃取全球网络信息的行为,打破了《安全港协议》为两地个人信息跨境流动所暂时达成的妥协方案。2015 年,欧盟法院以《安全港协议》无法为个人信息提供“充分性保护”为由,裁定该协议无效。

此后,为了保障跨大西洋两岸的个人信息流转与经贸往来的正常化,欧盟与美国就个人信息跨境流动的保护展开紧急切磋与商谈,于 2016年达成了《隐私盾协议》(《EU-U.S. Privacy Shield Framework》)。隐私盾协议基于安全港协议的基础,但进一步强化了美国商业机构对于欧盟个人信息及信息主体保护的义务与责任,要求美国商业机构对该等个人信息提供更多的承诺,并增加了对于违反承诺的商业机构施以惩罚性制裁的条款。2017 年,欧盟数据保护机构向美国政府提出《隐私盾协议》在执行过程中出现了诸多问题,并称如果在限定的时间内,美国政府未改进相关问题,则欧盟将采取必要的行动,包括将欧盟给予《隐私盾协议》的“充分性保护认定”提交至欧盟法院予以审查。

美国关于金融数据跨境流通的立法主要包括三个部分。其一,美国通过其主导的区域性国际组织APEC,大力推动区域性的数据跨境流通。其二,美国通过和欧盟的双边协议,部分达到欧盟的白名单要求,以融入国际间的数据跨境流通框架,取得数据入境的资质。其三,通过外商投资领域的立法(FINSA与FIRRMA),来限制其国内数据的跨境流出。此外,美国还利用其在电信网络基础服务的垄断地位,大力推动“长臂管辖”,以达到干涉境外信息数据的目的。总体来说,是一种宽进严出的数据流通管理原则。

(二)英国

英国于1984年通过了第一部数据保护立法《数据保护法》(《Data Protection ACT》)。在1995年欧盟发布了数据保护指令之后,英国据此对数据立法进行了修改,1998年出台了新的《数据保护法》。之后2016年,英国进行了脱欧公投,但2017年英国仍然为了配合GDPR而公布新的《数据保护法案》(《Data Protection Bill》),但迄今为止,该法案尚未经过国会批准,仍未正式生效。

英国也采用了集中立法模式,没有就不同行业及部门进行专门的信息保护立法,金融行业总体仍遵循《数据保护法》的一般性规定。但在数据监管机构方面,英国除了信息保护专员(UK Information Commissioner)外,在金融领域还存在另一个监管机构,即英国金融服务管理局(UK Financial Services Authority)。当金融信息权纠纷有可能导致某个金融机构或整个金融市场系统性危机时,英国金融服务管理局就有权介入。此外,英国在金融各个细分领域也通过行业自律等方式对客户信息进行保护,例如银行领域的《借贷守则》(《the Lending Code》)和《银行守则》(《Notice and Consent》)、征信领域的《数据保护技术指引:信用评级机构分类》(《Data Protection Technical Guidance: Filing defaults with credit reference agencies》)、保险领域的《数据保护(敏感个人数据处理)令》(the Data Protection (Processing of Sensitive Personal Date) Order)等。

而在金融数据跨境流通领域,英国仍然遵循GDPR和《数据保护法》的一般性规定。

英国目前对于数据保护与跨境流转的法律跨境较不清晰,其《数据保护法》的最近一次修订已经是1998年。而2017年《数据保护法案》虽然较好地衔接了GDPR,但目前仍未经过审批生效,且尚未有具体的计划时间节点。因此,目前真正实现个人数据保护,依然是在大量的二级立法和判例法中。而英国脱欧公投的重大影响,导致英国的数据跨境流通未来形势不太明朗。

(三)日本

日本的个人信息保护体制,同时参考了美国模式与欧盟立法,采用了政府立法与行业自律相结合的方式。日本在个人信息保护领域的基本法是2003年推出的《个人信息保护法》(《個人情報の保護に関する法律》),并在2015年通过《个人信息保护法实施条例》(《個人情報の保護に関する法律施行令》进行了大幅度的修正,于2017年5月30日起正式生效。之后,又于2016年通过了《个人信息保护法实施细则》(《個人情報の保護に関する法律施行規則》),并于2019年7月1日起正式生效。

日本在金融领域也推出了《金融领域个人信息保护准则》(《金融分野における個人情報保護に関するガイドライン》)和《金融领域个人信息保护准则之安全管理措施实务指南》(《金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針》),以及征信领域的《经济产业领域之征信领域个人信息保护指南》(《経済産業分野のうち信用分野における個人情報保護ガイドライン》)。

根据《个人信息保护法》第24条规定,个人信息处理业者将个人数据提供给处于外国(指处于本国之域外的国家或地区)应当事先经过数据主体的同意,除非是被认为在保护个人的权利或利益上处于与日本同等水平的、已建立个人信息保护制度的国家或地区。金融信息的跨境流通也据此实施。

日本《个人信息保护法》要求数据跨境移出的目的国具有与日本同等水平的个人信息保护制度的国家。

(四)新加坡

新加波的数据保护一直走在亚洲的前沿,其对于数据本地化没有明确的要求,2012年通过的《个人数据保护法》(《Singapore’s Personal Data Protection Act 2012》,以下简称“PDPA”)对个人数据跨境流动做了相应限制,一般情况数据禁止跨境传输,除非接收国可以提供充分性保护。此外符合以下情形的也可进行数据跨境传输:

1.集体企业规则;

2.数据主体同意;

3.履行合同义务必要;

4.关乎生命、健康的重大情形;

5.公开的个人数据;

6.数据中转。

新加坡对于金融数据的跨境流通暂时也没有特殊规定,PDPA对于个人数据跨境流动的口径与GDPR基本一致。

(五)迪拜

迪拜于2020年发布了新的《迪拜国际金融中心数据保护法》(《Dubai International Financial Centre Data Protection Law》,以下简称“数据保护法”),并将于7月1日生效。其中,第四章“数据跨境与共享”中,对数据出境要求转移目的国或国际组织经认定达到“充分的保护水平”。而如果未达到“充分的保护水平”,则要求符合如下条件:

1.要求数据控制者已采取了适当的保障措施,且数据主体能够行使权利和获得司法救济数据。

2.主体明确知情并同意。

3.是履行数据主体与数据控制者间合同所必需的特殊情况。

4.非重复进行、只涉及有限数据主体、为数据控制者追求合法法益并且提供了适当的措施。

总体来说,迪拜本次发布的新《数据保护法》,主要目的是为了契合GDPR、CCPA以及其他各国的数据立法,支持其申请欧盟及其他国际组织、国家和地区的充分性认可,为数据(特别是金融数据)的自由跨境流动创造条件,提升其作为金融中心吸引力。因此,在数据跨境流通的规定上,基本与GDPR的相关规定一致。

(六)香港地区

1995年,我国香港地区制定并通过了《个人资料(私隐)条例》,该条例设立了香港个人资料私隐专员公署,专门负责监督该条例的执行。从个人资料(私隐)条例内容上看,其受到英国数据立法以及同年欧盟发布的数据保护指令影响很大。2012年,香港立法会修订了个人资料(私隐)条例。此外,香港为个人数据跨境流转的相关规定(个人资料(私隐)条例》第33条),专门制定了《跨境资料转移指引》。

同时,香港个人资料私隐专员公署制定了具体的行业指引,具体到金融领域包括2013年的《个人信贷资料实务守则》以及2014年的《银行业界妥善处理客户个人资料指引》,但上述行业指引均未就金融数据的跨境流通做出规定。

因此,香港金融数据跨境流通领域依然遵循个人资料(私隐)条例的一般性规定(第33条):原则上禁止个人资料对外跨境流转,除非转移目的地是香港个人资料私隐专员公署指明的地区(即白名单)、数据控制者有合理理由相信转移目的地具备相同或相似数据保护法律、数据主体明确知情并书面同意、为避免或减轻对数据主体的不利行动或影响、数据发送接收均在香港但经境外中转的情形。

总体来看,数据跨境流入对于各个国家与地区均较为有利,因此对于数据跨境流通的流入均未进行规定,持开放的态度。但境内数据流出不仅要考虑对于境内数据的保护情况,一定程度上也关系本国的国家安全与社会利益,因此大部分国家与地区对于境内数据流出的接收国水平均有所要求,一般通过白名单的方式,部分国家还有例外情形。而美国较为特殊,其通过外商投资领域的立法(FINSA与FIRRMA),来限制其国内数据的跨境流出,从而达到“数据净流入”的目的。从上述立法来看,各个国家和地区均希望匹配GDPR的白名单,从而提升数据跨境流入的效率,但并不希望境内数据大量流出,因此对于数据流出的规定较为严格。

四、我国对于跨境金融数据流动的现有规定

金融数据的跨境问题与一国金融业开放息息相关,也是营商环境中较为关注的问题。很多在中国开展业务的跨国金融机构在接受金融监管过程中都提出金融数据出境的合理范围问题,金融数据跨境的具体原因一般包括以下几种类型:

1.跨国金融集团开展跨境业务过程中对特定客户的展业需求;

2.跨国金融集团基于客户全球风险统一管理的需求;

3.跨国金融机构母国监管机关或母行出于当地反洗钱监管或合规管理的目的要求提供金融数据;

4.跨国金融机构对数据的跨境处理需求。

我国现在金融数据出境问题的主要焦点是个人金融数据、金融业重要数据的范围和具体的出境要求和流程。

(一)个人金融数据出境的监管

相关的监管要求主要来自金融监管部门和网信部门的规定,但是二者有一定差异:

1.金融监管部门的监管要求

2011年1月,中国人民银行发布《关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号,以下简称“17号文”),其中第6条规定:“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。”17号文首次提出了金融机构对个人金融信息的存储、处理和分析原则上禁止出境,只在例外情形允许出境。但对于何种“例外情形”可以允许出境,17号文仅规定“除法律法规及中国人民银行另有规定”,未详细说明,这在实务中对国内众多的跨国金融机构业务的开展带来了很多现实难题。

2011年5月,中国人民银行上海分行紧急发布《关于银行业金融机构做好个人金融信息保护工作有关问题的通知》(上海银发〔2011〕110号,以下简称“110号文”)。110号文指出,17号文所称的“例外情形”是指“为客户办理业务所必需,且经客户书面授权或同意,境内银行业金融机构向境外总行、母行或分行、子行提供境内个人金融信息的,可不认为违规。银行业金融机构应当保证其境外总行、母行或分行、子行为所获得的个人金融信息保密”。也就是说,满足“业务必需+客户同意+关联机构+保密”四要件,可允许金融机构数据出境。

2016年,中国人民银行发布的《中国人民银行金融消费者权益保护实施办法》第33条对110号文的精神予以了确认,并将适用范围扩大到银行业金融数据以外的金融数据,规定:“在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,金融机构不得向境外提供境内个人金融信息。境内金融机构为处理跨境业务且经当事人授权,向境外机构(含总公司、母公司或者分公司、子公司及其他为完成该业务所必需的关联机构)传输境内收集的相关个人金融信息的,应当符合法律、行政法规和相关监管部门的规定,并通过签订协议、现场核查等有效措施,要求境外机构为所获得的个人金融信息保密。”该办法发布之后,中国人民银行对金融机构数据出境的监管模式正式定为“原则禁止,以业务必需+客户同意+关联机构+保密为例外”。

2020年2月13日中国人民银行发布的《个人金融信息保护技术规范》基本沿袭了其之前规定的要求,同时增加了应依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求,并要求明确监督境外机构有效履行个人金融信息保密、数据删除、案件协査等职责义务。

2.网信部门的监管要求

国家互联网信息办公室(以下简称“网信办”)对于金融机构数据出境的监管模式与中国人民银行的监管模式具有显著区别。《网络安全法》第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”可以看出,网信办对于数据出境的监管主要采用“原则禁止,以经安全评估为例外”的监管模式。2019年发布的《个人信息出境安全评估办法(征求意见稿)》第2条规定:“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。国家关于个人信息出境另有规定的,从其规定。”

2019年,中国人民银行起草的《个人金融信息(数据)保护试行办法(初稿)》第20条(个人金融信息跨境流动的要求)规定:“在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律、法规、规章及有关主管部门另有规定外,金融机构不得向境外提供境内个人金融信息。境内金融机构为处理跨境业务向境外机构(含总公司、母公司或者分公司、子公司以及其他为完成该业务所必需的关联机构)提供境内收集的个人金融信息的,应当事先取得信息主体的明示同意,并依法开展个人金融信息出境安全评估,未经评估或者经评估存在显著风险隐患的,境内金融机构不得向境外机构提供个人金融信息。境内金融机构向境外机构提供境内收集的个人金融信息的,应当与境外机构签订协议明确对方的职责和义务,个人金融信息出境后,境内金融机构应当建立个人金融信息出境记录并且至少保存5年,并通过现场核查等必要措施,监督境外机构有效履行保护个人金融信息安全的职责和义务,持续保障个人金融信息安全。”从上述规定可以看出,央行这个办法的初稿实质上是按照网信部门的相关要求并结合金融行业的具体实际作出的监管规定。

(二)重要数据出境问题

根据2017年的《个人信息和重要数据出境安全评估办法(征求意见稿)》,《网络安全法》第37条提到的“重要数据”是指“与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南”。2019年,网信办征求意见的《数据安全管理办法》规定:“重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”然而,两个办法对重要数据并未作出明确可操作的范围界定,金融监管部门也未出台具体规范,后续需要对此加以明确。另外,2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》第9条规定,对符合一定标准的重要数据,网络运营者应报请行业主管或监管部门组织安全评估。

(三)金融数据出境的评估和审批

《网络安全法》第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”也就是说,个人信息和重要数据需向境外提供的,应当经过评估。金融数据也应适用这一要求。2019年12月修订的《证券法》第177条新增规定:“国务院证券监督管理机构可以和其他国家或者地区的证券监督管理机构建立监督管理合作机制,实施跨境监督管理。境外证券监督管理机构不得在中华人民共和国境内直接进行调查取证等活动。未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。”即对数据出境,《证券法》也作出了严格规定。

2019年,国家网信办发布的《数据安全管理办法(征求意见稿)》第28条规定:“网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。向境外提供个人信息按有关规定执行。”2019年,国家网信办发布的《个人信息出境安全评估办法(征求意见稿)》第2条规定:“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。国家关于个人信息出境另有规定的,从其规定。”第3条第1款规定:“个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。”

总体而言,目前的金融数据出境监管规定和要求较为严格,但也有较多不明确之处,使得金融数据出境的实际操作面临很多问题,需要后续立法和监管规定作出更加合理的规定。例如,能否建立“白名单”制度,能否就需要评估的场景对零星数据和非个人敏感数据、非重要数据作出差异化规定等。

五、境外金融数据跨境流动监管经验的借鉴

(一)确立金融数据流动的平衡理念

金融数据的跨境流动虽然可能会带来潜在的金融隐私和金融安全风险,但由于数据流动可带来巨大的经济效益,在风险可控的前提下,金融强国仍希望最大程度地实现数据自由流动。例如美国在数据跨境流动的规制问题上秉持加强国际合作以促进数据自由流动的思路,在双边或多边协定中加入金融数据跨境流动条款,成为美国贯彻以上思路的主要路径,典型的如《美韩自由贸易协定》和《美墨加协定》。

金融数据跨境流动的规制主要围绕两个方面展开:一方面,基于对传统金融客户保密义务与金融隐私的考量,通过各种措施限制银行金融数据的广泛流动,以降低金融隐私被侵犯的可能性;另一方面,出于立足自身的信息优势,充分发挥金融数据经济价值的目的,在实现安全的前提下力求最大限度的跨境自由流动。这个过程我们认为是一个动态的过程,随着中国金融业实力的增加和人民币国际化的进程,数据跨境的监管力度可以逐步调整放松。

还需要指出的是目前中国金融业开放的速度在加快,上海国际金融中心建设的目标是2020基本建成,而吸引外资金融机构进入中国以及上海建设国际金融中心的一个重要评估点就是数据跨境监管问题。无论是商业银行业务还是投资银行业务,全球化的金融机构都有数据跨境的合理业务理由,完全禁止跨境数据转移并不现实,也无法操作。应该强调在对数据进行合理分级的基础上建立明确的规制,提升营商环境。

(二)完善金融数据法律体系,确保数据流动有法可依

通过对其他国家的信息数据保护立法考察可以发现,各个国家的立法轨迹基本遵循了基本法权利保护→民法框架保护→专门法律保护→分领域具体权利保护的基本路径。

从我国目前的立法现状来看,《宪法》并未规定个人的信息数据权利;《民法典》中对于个人隐私权、个人信息、国家机构与医疗机构的保密义务等均有所体现,《网络安全法》提出数据出境安全管理要求,《个人信息保护法》和《数据安全法》也已经列入了全国人大常委会的下一步主要工作安排;而具体到金融领域,目前《个人金融信息保护技术规范》已经正式发布,《金融数据安全数据安全分级指南》也已经形成了正式的送审稿。此外,中国人民银行、国家互联网信息办公室等也出台了一系列的部门规章、行业标准等。

总体来看,我国已经意识到信息数据保护的重要性,并开展了一系列的立法活动,但相关法律法规的覆盖面不够,条款设置缺乏操作性,法律之间的衔接不紧密,我国对于信息数据保护的立法体系仍不完备。例如,我国没有在宪法层面上明确个人信息数据的权利基础。在专门法律方面,对于个人信息数据的规定仍然较为原则性,对于收集、传输、储存、使用、删除、销毁、共享、跨境等具体规范不足。

具体到金融数据的跨境流动方面(主要指跨境流出方面),首先要从源头上对金融数据的收集、传输和储存予以规范,确保跨境流出数据的合法性,明确数据控制者和数据主体的权利与职责;其次,应当做好金融数据的分级规范,明确金融数据的定级要素、级别判别;其三,应当对于不同级别金融数据跨境流出设立不同的流通审批,明确哪些数据可以出境?怎么出境?如果涉及安全评估的,谁来评估?评估标准是什么?对于涉及国家安全、公众权益的金融数据,应当形成完善的监管和保护机制;最后,对于金融数据跨境流出操作予以规范,解决“谁申请?谁审批?谁监督?谁处罚?”的问题,确保数据跨境具有操作性以及可监管性。

(三)明确金融数据主管部门,落实金融数据管理主体

我国目前对于金融数据出境的相关监管规定分别来自于网信部门和金融监管部门,且具体的规定内容有一定差异。中国人民银行主要采用“原则上禁止出境,只在例外情形允许出境”的监管模式,但对于例外情形并未明确。而网信办主要采用“原则禁止,以经安全评估为例外”的监管模式。在实践中,具体采用哪种监管口径、谁来督促、谁来落实成为一个难题。

从实践中看,各国均设立了独立的部门来负责信息数据的实施,具有独立的管理、监督、处罚权限,或由各个细分领域的监管部门专项的信息数据保护机构。从世界范围来看,目前信息数据保护监管部门的设置主要有两种模式:

一是以欧盟为代表的统一监管模式,即成立一个专门的信息数据保护监管部门,对全部的信息数据保护实施集中监管。例如,欧盟设立了欧盟数据保护委员会(European Data Protection Board)以作为独立的监管机构。我国香港地区也设立了香港个人资料私隐专员公署,以专门负责监督《个人资料(私隐)条例》的执行。

二是以美国为代表的分业监管模式,即不设立专门的信息数据保护监管部门,而由各个职能部门根据各自的权限进行监管。例如,美国在金融领域由消费者金融保护局(以下简称“CFPB”)负责监管GLBA、FACTA、CFPA等,并且在涉及到对应领域时联邦贸易委员会与联邦银行也一并参与监管。

但从目前来说,上述两种监管模式存在兼容并包、并行不悖的趋势。美国近期有提案建议制定《数据保护法(Data Protection Act),并设立专门的联邦数据保护局( Data Protection Agency,以下简称“DPA”)作为独立的执行机构,负责保护个人隐私并限制“个人数据的收集,披露,处理和滥用”。而英国除了设立了信息保护专员(UK Information Commissioner)进行统一的信息数据保护监管外,在金融领域也由英国金融服务管理局(UK Financial Services Authority)共同监管。

因此,我国当务之急应当从法律层面明确专门的数据保护监管行政主体,行使对于数据保护、流通的总体管理职责。而在金融领域,则应在法律层面明确由现有的金融监管部门,履行对于金融领域金融数据保护及流通的专项管理职责,主要原因是金融监管部门对金融业务和数据跨境的场景以及更为熟悉,从而更有利于保障相关法律法规以及制度的有效实施。

(四)建立数据跨境接收国标准和白名单制度,提升金融数据跨境效率

中国和美国是世界上数字产业规模最大的两个国家,且中国在电子商务和金融科技的细分领域的数字产业规模更是世界第一。金融数据跨境将是我国建立世界金融中心、金融服务对外辐射的重要竞争力,因此对于所有的跨境金融数据逐一进行评估无法满足时效性的要求。对此,各国通常采用数据跨境接收国“白名单”模式,即经过数据流动的出口国评估,确认特定国家和地区能够提供“充分的保护水平”的,将其列入“白名单”中,对将“白名单”中的国家和地区作为数据接收国的,且转移的金融数据不具有敏感性的,即可自由流动,以满足金融机构的效率要求。此外,美国也通过双边及多边协议的形式,建立数据流动认证,以确保数据跨境的时效性。而数据接收国未被列入我国“白名单”、也未和我国通过协议达成数据流动认证的,对该国家或地区的金融数据跨境则需要符合法律法规的相关规定,并经过一定的审批。对于敏感性的金融数据,或者可能影响我国国家安全或公众利益的,则应当经过充分地安全评估。

(五)把握金融数据跨境的司法管辖权,维护国家数据主权

数据在跨境流转的过程中,不可避免的会存在违约与侵权的情形,且存在对我国国家安全和公众利益造成重大威胁的可能性。美国历来通过“长臂管辖”来扩展其国际执法权,而欧盟在数据方面也加入了“长臂管辖”的相关条款(GDPR的第3条“地域范围”)。因此,基于维护我国数据、保护我国企业与个人的合法权益角度,我国应当坚持把握司法管辖权,可以借鉴新证券法的立法,加入数据跨境的“长臂管辖”条款。

声明:本文来自上海市法学会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。