數字時代金融數據跨境流動的法律規制研究

摘 要：數字經濟背景下，金融數據跨境流動已成為金融服務全球化的推動力，不同的國家和地區對金融數據跨境流動呈現出不同的規制模式。美國對金融數據跨境流動持開放態度，歐盟在金融數據跨境流動規制中著重保護個人權利。中國在金融數據跨境流動方面將國家安全放在首位。本文認為，為了更好地激發金融市場活力，有必要調整規制思路，并在金融數據控制者范圍、金融數據分級監管等方面進行完善，逐步實現金融數據跨境流動規則的有序化。

關鍵詞：金融數據；數據跨境流動；金融服務；數字經濟

本文索引：劉鑫培.<變量 2>[J].中國商論，2024（01）：-081.

中圖分類號：F832.5 文獻標識碼：A 文章編號：2096-0298（2024）01（a）--04

1 金融數據跨境流動的國際規制及走向

1.1 WTO法律框架下金融數據跨境流動規則

GATS模式對金融數據跨境流動規制主要是以附件的形式在金融服務中做出規定，分別出現在《金融服務附件》與《金融服務第二附件》?！督鹑诜崭郊分袑⒔鹑跀祿缇沉鲃幼鳛橐豁棯毩⒎找怨┏蓡T進行選擇承諾。然而，發達國家對金融服務自由度程度要求極高，因此這些成員國或地區加入了《關于金融服務承諾的諒解》，其中對金融數據跨境流動的規定主要體現在第8條，規則結構為“原則上金融數據傳送自由，但存在個人數據、個人隱私、個人記錄和賬戶機密性例外”?？傮w而言，GATS模式下的金融數據跨境流動規則缺少統一規制，僅就各成員承諾的部分進行約束。

1.2 代表性自由貿易協定中金融數據跨境流動的規制

1.2.1 USMCA模式

USMCA中對于金融數據規定主要在金融服務專章并且將金融數據跨境流動條款單獨列出，集中體現在USMCA第17.17條中。與之前TPP排除禁止計算機設備存儲本地條款相比，USMCA通過以下兩個方面來提升金融數據跨境流動的自由化。第一，擴大金融數據控制者的范圍。USMCA規定金融數據控制者既包括傳統金融機構，還包括取得該締約方金融監管機構監管、監督、許可、授權或注冊的跨境金融機構。第二，USMCA含有軟化版的禁止金融數據本地化條款，具體體現在USMCA“金融服務”章節中“計算設備所在地”條款。首先，該條第2款規定金融監管機構必須基于監管目的而獲取金融數據。此外只要不影響金融監管機構從境外立即、直接、完整、持續地獲取相關金融數據，就可以禁止要求金融數據本地化。其次，禁止本地化條款也給予受影響企業合理機會，金融監管機構在實施數據本地化要求之前要與受影響的企業接洽，為其提供解決監管問題的機會。最后該條還強調，個人數據的保護可以構成該條的合法例外。很多國家及地區在其簽訂FTA時對金融數據采用USMCA型的規制模式，如《韓國-澳大利亞FTA》。

1.2.2 GDPR模式

在體例上，歐盟主導下的FTA通常不會設立金融服務專章，而是將其作為其他章節的子章節。在規制理念上，歐盟始終堅持人權先行的態度，并以此作為歐盟規制各類具體數據跨境流動的基礎。歐盟在GDPR中將基本人權置于跨境數據傳輸規定的首位。一方面歐盟在GDPR中要求不得對個人數據施加額外的限制或禁令，主張個人數據在其境內自由跨境流動；另一方面，歐盟制定了一套嚴格的規定，以限制其內部個人數據的外部轉移，建立了白名單+標準合同+內部準則+例外的合規框架，體現出其對內部個人數據對外轉移呈現十分克制的態度。在歐盟簽訂的FTA中涉及金融數據跨境流動的條款基本包括兩個內容：為日常經營所需要的金融數據可以自由跨境流動+涉及個人隱私的數據給予充分保護。如《歐盟—加拿大綜合經濟與貿易協定》規定：“各方應有充分的保障措施以保護個人隱私，尤其是在個人數據傳送方面。如果涉及個人金融數據的傳送，則此類傳送應符合傳送發起方所在地區的個人數據保護立法?！?。

1.2.3 RCEP模式

RCEP對金融數據跨境流動主要規定在金融服務附件，在金融服務附件第9條第2款第1項中規定“締約方不得阻止其境內的金融數據控制者以電子或者其他方式，為開展其日?；顒佣D讓必要的數據。其第3款和第4款分別規定了審慎例外和個人信息保護例外”。（RCEP 第8章服務貿易附件1金融服務第9條）可見，締約方針對金融數據實施限制措施的空間較一般數據更大，同時也體現出對個人金融數據保護的重視。RCEP總體上對金融數據跨境流動持審慎態度，主要原因是對力圖保障區域內金融安全利益，以及對締約方金融審慎監管主權的尊重。除此之外，由于RCEP各締約方大都是發展中國家，不但在經濟發展水平上存在差異，而且網絡安全技術水平也各不相同。因此，在規定金融跨境流動的規則時需要秉持保守的態度，這也是RCEP充分考慮各締約方實際情況的表現。

綜上，新一代的自由貿易協定以《關于金融服務承諾的諒解》為基礎，對金融數據跨境流動規則不斷進行優化。USMCA模式大力推動金融數據跨境自由流動，降低數字貿易壁壘，以此促進國內經濟發展。歐盟模式的突出特點是保護個人數據，其在嚴格監管框架下共享金融數據。RCEP模式更為尊重與包容締約方對于金融數據保護水平的差異性，其為逐步適應發達國家主導的更高標準的自貿協定提供了過渡。

1.3 金融數據跨境流動規制的發展走向

1.3.1 允許金融數據跨境流動成為主流

就對金融數據的出境要求而言，允許金融數據跨境流動已經成為主流趨勢。USMCA、KORUS、CPTPP、和RCEP等自貿協定均提出，成員應允許金融機構出于“日常經營所需數據”的目的跨境轉移數據，即原則上對金融數據出境不做限制。由于數字經濟發展以及金融機構全球化經營需求不斷上升，各國日益意識到金融數據跨境流動的必要性。部分對金融數據跨境流動自由度要求更高的自貿協定包含了不得將金融數據本地存儲的要求。如美國主導的USMCA等部分高水平自貿協定中包含了締約方不得強行要求將金融部門數據存儲在本地的規定。美國主導的自貿協定較為注重確保金融數據能夠自由跨境流動，而歐洲參加的自貿協定則更為強調在保護個人數據安全和隱私基礎上的自由流動。就亞洲國家居多的RCEP而言，因15個締約方的發展水平差異較大，對于金融部門數據跨境流動也規定了較多的例外情形，導致RCEP在該領域的規則約束力相對較低。

1.3.2 愈發重視個人金融數據的保護

個人金融數據跨境流動中的數據泄露或濫用等違規行為會對社會穩定造成巨大的負面影響，并導致數據主體權利保護成本高昂，訴訟和判決執行困難等問題。因此，金融數據跨境自由流動的同時，兼顧個人金融數據的保護成為常見的規定。歐盟以保護自然人的基本權利為數據立法的目的，對個人金融數據的保護始終貫穿歐盟個人數據保護法的體系。僅在個人金融數據跨境流動符合GDPR禁止性規定的例外情形時，個人金融數據才得以向境外流動。美國在《外國投資風險審查現代化法案》中通過采取國家安全控制措施限制外國資本對本國金融行業的投資，以此達到對個人金融數據的外流進行監管的目的，以維護國家安全。

1.3.3 金融數據控制者范圍逐漸擴大

由于受到金融科技的影響，金融數據控制者的范圍從基礎的金融機構，即提供金融服務的銀行、證券公司等，開始擴大到持牌的非金融機構以及為金融機構提供金融數據處理服務的企業。金融數據控制者概念強調納入金融監管范圍內的企業。同時這也意味著，應當允許納入金融監管范圍內的企業有權基于日常商業經營活動跨境傳輸金融數據。隨著金融數據控制者范圍的擴大，明確其應該在傳輸金融數據時的法定義務也是十分重要的。歐盟在GDPR中要求金融數據控制者必須定時評估自身數據安全與客戶數據安全所面臨的風險，并且有對客戶進行告知的義務。就其作用而言，明確金融數據跨境流動中金融數據控制者的法定義務可以提升金融監管部門對跨境數據風險評估的效率。

2 我國應對金融數據跨境流動的規制建議

2.1 我國金融數據跨境流動規制的相關規定

數字經濟的飛速發展使得金融數據跨境流動成為金融服務全球化的重要推動力，但完全放開金融數據跨境流動也對國家、經濟安全帶來風險。故此我國對金融數據跨境流動的規制堅持總體國家安全觀，對于《數據安全法》中規定的重要數據、核心數據實行數據本地化的措施。

國內層面對金融數據跨境流動的規制以國家層面立法+規范性文件組成，《網絡安全法》第37條規定關鍵數據必須在本地進行存儲成為規則的基礎。關鍵數據包括涉及關鍵信息基礎設施的運營者所收集的數據，但若因為業務需要跨境傳輸數據，則須在進行安全評估后方可進行傳輸?！稊祿踩ā泛汀秱€人信息保護法》總體上延續了《網絡安全法》的做法，堅持以數據本地化策略為基礎，如需數據出境就要接受安全評估。金融領域主要包括《中國人民銀行金融消費者權益保護實施辦法》《個人金融信息保護技術規范》（以下簡稱《規范》）以及《金融數據安全 數據安全分級指南》（以下簡稱《指南》）等行業規范。

國際法層面，我國已經簽署RCEP并申請加入CPTPP等更高規格的自由貿易協定，從RCEP中金融服務附件的第九條項下第二款來看，我國傳達出支持金融數據跨境流動的傾向并附有審慎例外和個人數據保護例外，規制模式上整體偏向于USMCA型。然而，RCEP雖沿用了現行自貿協定中對金融數據跨境流動較為自由化的規定，但RCEP與現行更高規格的自貿協定相比仍存在差距?？傮w而言，我國對于金融數據跨境流動規制的實踐仍處于初級階段。

2.2 我國金融數據跨境流動規制中的不足之處

首先，中國已簽約的自貿協定下的金融數據跨境流動規制規則影響范圍較小，尚未形成自己的金融數據跨境流動規制體系。國際上對于金融數據跨境流動規則呈碎片化，在缺乏統一國際規則的情況下，各國對金融數據跨境流動采取不同的方式規制，這種差異不利于對金融數據監管，無法充分發揮金融數據的價值。

其次，對于金融數據在跨境流動的范圍和情形并沒有明確的界定。我國在《數據安全法》和《網絡安全法》中規定，金融數據實行本地化存儲，金融數據跨境流動需要以安全評估為前提。但是，這些法律并沒有明確什么可以被視為基于“業務所需”，何種金融數據可以在海外使用，這意味著金融機構在實踐中缺乏明確有效的指導。

最后，需要轉變金融數據跨境流動的規制思路。我國目前的國內數據立法以及其他涉及金融數據的法律規定，還是以金融數據本地化存儲為導向。對金融數據采取審慎的態度雖可以保護金融消費者的合法權益也可以防范金融風險，但卻忽略了金融市場的需求，難以徹底激發金融市場活力，甚至迫使金融機構暗自將數據轉移，從而產生更大的隱形風險。

3 對我國金融數據跨境流動規制路徑的建議

首先構建更為合理的金融數據分級分類保護制度?？偟膩碚f，金融數據相關的法律法規比較混亂，條款的設置不夠具體可操作，不同法律之間的銜接關系不夠緊密。通過定期對金融數據進行評估，更新金融數據的分級分類方式等舉措進一步構建金融數據分級分類制度。對于分類而言，目前國內立法中主要是由《數據安全法》中規定，將數據分為核心數據、重要數據、一般數據。我國可以參考重要數據的類型對金融數據中的重要數據進行歸納，對于此類重要金融數據加強審查的力度，并且進一步明確金融數據發送者和接收者的責任。根據個人金融數據的敏感程度，《規范》將個人金融數據分為三個級別：C3（敏感程度最高的用戶鑒別數據）、C2（可識別特定個人的金融數據）、C1（供金融機構使用的內部個人金融數據）。這三類級別在制定時未能充分考慮數據的生命周期，如低敏感金融數據在數據處理的不同階段可能組合產生更為敏感的金融數據，由此需要提高金融數據分級的靈活性，將可能發生的數據敏感級別變化盡可能地囊括。

其次，進一步細化金融數據控制者的范圍以及區分金融數據跨境流動的傳輸目的。第一，將持牌金融機構以及非金融機構都納入金融數據控制者的范圍。同時，為了避免金融數據控制者的歧義，需要對此加以限制，可以借鑒USMCA中的規定，將金融數據控制者限定為受金融監管機構監管、許可、授權、注冊。第二，可以通過區分金融數據跨境流動的傳輸目的開展金融監管。如將金融數據跨境流動的傳輸目的分為商業目的和監管目的兩類，商業目的主要包括金融機構因日常業務所需的金融數據跨境流動；監管目的主要是國外監管機構要求金融機構披露金融數據。筆者認為，基于商業目的的金融數據可以在安全可控的范圍內自由流動，中國人民銀行在《關于加強跨境金融網絡與信息服務管理的通知》中規定在境外金融服務提供者和境內相關用戶履行合規義務的前提下，可以提供跨境金融服務?；诖丝梢院汀吨改稀分邪踩墑e劃分的五級金融數據進行結合（ 《金融數據安全 數據安全分級指南》根據金融機構數據安全遭受破壞后的影響對象和所造成的影響程度，將數據安全級別從高到低劃分為5級、4級、3級、2級、1級，其中5級數據為對國家安全造成影響或對公眾權益造成嚴重影響的數據），如第五級別的數據為影響國家安全的數據，如果基于商業目的需要跨境的金融數據屬于第五級別，那就需予以限制?？紤]到跨境金融數據監管的需要，為了避免對他國數據主權構成威脅，我國應積極與其他國家合作，特別是在簽署多邊或區域自由貿易協定時，應考慮納入相關監管條款。

再次，建立金融數據流動的快速通道。借鑒歐盟在GDPR中 “充分性保護”規則，即只有在某一國家、地區以及特定行業部門或者國際組織對個人數據及數據處理具有相當于歐盟法程度的保護水平時歐盟委員會將會納入其“白名單”，金融數據才可自由的由歐盟向其他地區或國家流動。我國可以借鑒GDPR的此項規則，由網信辦建立“數據白名單”，在進入白名單機制內的數據接收者，可以簡化安全審查的過程，使金融數據跨境流動更加便利。

最后，加強金融數據跨境流動規則的多邊和區域合作。金融服務在國際上高速發展以及發達國家推出了更為高標準的數據保護規則，對此我國金融機構必須考慮如何與國際上高標準的數據保護標準對接，以減少金融數據跨境流動中帶來的摩擦和沖突，確保金融數據跨境流動合規，進一步激發金融市場的活力。

參考文獻

馬光，卜小翠.自由貿易協定金融信息傳送規則構建[J].財經法學，2022（06）：111-124.

彭德雷，張子琳.數字時代金融數據跨境流動的風險與規制研究[J].國際商務研究，2022，13（1）：14-25.

Voss， W. （2020）. Cross-border data flows， the gdpr， and data governance. Washington International Law Journal， 2022，29（3）： 485-532.）

王遠志.我國銀行金融數據跨境流動的法律規制[J].金融監管研究，2020（1）：51-65.

謝卓君，楊署東.全球治理中的跨境數據流動規制與中國參與：基于WTO、CPTPP和RCEP的比較分析[J].國際觀察，2021（5）：98-126.

冀志芳.個人金融信息跨境流動的法律規制研究[J].華北金融，2015（8）：43-46.

洪延青.透析金融數據保護的美歐中立法要點和趨勢[J].中國銀行業，2018（11）：39-42.

李萬強，吳佳芮.金融數據跨境流動的法律規制與中國方案[J].南通大學學報（社會科學版），2023，39（5）：80-88.

鄧建鵬，張夏明.區塊鏈金融司法治理的困境及其化解：以穩定幣相關司法文書為視角[J].武漢大學學報（哲學社會科學版），2023，76（2）：140-151.

范思博.個人金融數據跨境流動的治理研究[J].重慶大學學報（社會科學版），2023（4）：1-17.

郭德香，李曉豫.我國個人金融數據跨境流動的法治保障[J].河南財經政法大學學報，2022，37（6）：80-88.

劉金瑞.邁向數據跨境流動的全球規制：基本關切與中國方案[J].行政法學研究，2022（4）：73-88.

藺捷，田晨.個人金融數據跨境流動規制研究[J].上海大學學報（社會科學版），2021，38（6）：95-107.

蔣昊禹.金融數據出境行為的合法性認定研究[J].征信，2022，40（2）：28-35.

姜立文，姜歡.數據安全對跨國證券監管的法律挑戰與對策[J].南方金融，2021（11）：83-92.

洪延青.“法律戰”旋渦中的執法跨境調取數據：以美國、歐盟和中國為例[J].環球法律評論，2021，43（1）：38-51.

馬光，卜小翠.自由貿易協定金融信息傳送規則構建[J].財經法學，2022（6）：111-124.

唐巧盈，楊嶸均.跨境數據流動治理的雙重悖論、運演邏輯及其趨勢[J].東南學術，2022（2）：72-83.

王倩，劉楊鉞，牛昊.歐盟跨境數據流動規制模式分析與啟示[J].經濟與社會發展，2022，20（1）：14-22

鐘紅，楊欣雨.金融數據跨境流動安全與監管研究[J].新金融，2022（9）：38-44.

Si Chen， Research on Data Sovereignty Rules in Cross-Border Data Flow and Chinese Solution， Journal of WTO and China， Vol. 50，2021.

Wang， Heng， The Future of Deep Free Trade Agreements： The Convergence of TPP （and CPTPP） and CETA， Journal of World Trade， Vol. 53，2019.