國家安全視角下的金融數據跨境流動規制*

郭子訸

（上海海事大學 法學院 上海201306）

金融體系是一個高度全球化的體系，金融機構的跨境支付、清算及數據信息交換實屬必然。金融數據跨境流動，不僅關乎個人信息及數據產權保護，也與國家安全密切關聯，同時還影響著國際競爭與國際關系，推動著國家和區域間合作新規則的演化。日益頻繁的金融數據跨境流通帶來了諸多新的法律規制挑戰，以美國、歐盟為代表的域外法律規制以區域性條例或協定為主，尚未形成統一的治理標準。[1]我國目前初步建立了零散的數據管理法律法規，而跨境流動的相關立法尚處于較為滯后的狀態。在總體國家安全觀視域下，構建有效的金融數據跨境流動法律規制體系，對于保護用戶金融數據產權、維持網絡空間秩序、提高經濟安全、增強國際經貿合作等都具有深遠的意義。

一、國家安全視角下的金融數據及其跨境流動

黨的十九大報告明確提出“堅持總體國家安全觀”，其中信息安全是當今網絡時代信息技術發展潮流下必須關注的戰略關鍵問題。[2]網絡空間的開放性和透明性促進了信息交換和溝通，但也帶來了用戶私權利、企業權益與國家公權力之間的沖突。根據國際標準化組織（ISO）的定義，信息安全（Information security）是為數據處理系統建立和采用的技術和管理的安全保護，以保護計算機硬件、軟件和數據不受意外或惡意原因的更改、損壞和泄漏。[3]不難看出，數據安全是信息安全的核心，數據安全是對信息安全更為精準且更符合技術發展方向的描述。盡管總體國家安全觀仍以“信息安全”來概括網絡空間的所有安全問題，但國家互聯網信息辦公室已經于2019年開始對《數據安全管理辦法（征求意見稿）》公開征求意見，可見數據安全之于新時代國家安全的重要戰略意義。

在數據安全的細分領域，金融數據安全隨著金融電子化的發展而逐漸被關注，但對于金融數據（Financial data）的定義仍不明晰，各國更多選用個人金融信息（Personal financial information）作為法規措辭。所謂個人金融信息，即個人在金融交易活動中產生的可以識別其經濟與財產特征的信息。金融數據作為一個含義更加寬泛的概念，囊括了用戶個人信息、企業客戶信息與金融機構自身的數據，既有收集的原始數據，也有經過加工處理后的信息，這就使得其安全問題尤為復雜，需要對用戶和金融機構進行雙重規制。

跨境信息流動的立法肇始于20世紀80年代。一般來說，金融數據的跨境流動包括兩個層面的含義：一是金融數據跨越一國或地區的邊界傳輸到另一國或地區，通過數據處理手段使用和存儲；二是金融數據尚未傳輸到國外，但已被其他國家或地區的實體訪問并導致泄露，這就造成了跨境數據的法律沖突。[4]互聯網信息服務中的金融數據跨境流動發生在多個領域，如跨境電子商務交易、國際應用軟件使用過程、信息貨幣交易系統、數據分析活動等。金融數據跨境流動后可能發生數據泄露、不當處理或惡意使用等情形，但由于數據已經離開我國管轄范疇，無法對其行使網絡空間主權，會對我國國家安全造成威脅。因此，必須引入國家強制力對金融數據跨境流動進行規制。

二、金融數據跨境流動的安全風險類型

（一）用戶自主使用跨境金融服務帶來的安全風險

在用戶自主使用跨境金融服務如數字貨幣交易、移動支付時，個人身份、賬戶信息、交易IP地址等個人金融數據將會發生跨境流動。根據用戶對于金融數據權利的主動或被動行使，可以將用戶個人金融數據流動分為授權流出與未授權流出兩種類型，其分別對應著不同的安全風險。

1.個人金融數據授權流出。所謂個人金融數據授權流出，是指用戶在使用跨境金融服務時，知悉并授權境外服務器獲取個人金融數據，用戶對于流出數據的信息內容充分知悉且認可。但其所流出數據是否危及國家安全無從得知，境外數據控制者能否妥善保管和使用我國用戶的金融數據也無法確定。

個人用戶在主動使用跨境金融服務時，對于服務的效率和便捷性具有較高的需求，因而對于在金融數據流動過程中可能影響其使用效率的法律規制和監管行為持排斥態度。然而，從國家安全的角度來看，一方面，個人金融數據授權流出可能會因為所附帶的一國重要敏感信息，存在被不當采集的風險，導致出境數據被惡意使用和非法泄露，使金融數據安全難以得到保障；另一方面，金融數據的跨境流動必然會涉及多國利益和跨境法律沖突，數據管轄權競爭、“數據霸權”等潛在問題會嚴重威脅一國的國家主權。[5]因此，必須防備個人金融數據授權流出可能對國家安全造成的負面影響。

2.個人金融數據未授權流出。所謂個人金融數據未授權流出，是指用戶在使用跨境金融服務時，不知曉其部分金融數據會被傳輸到境外服務器，且沒有授權境外機構儲存或再次使用該數據信息。在用戶確知在使用跨境金融服務、但對個人數據流出實際上無意識的情況下，無論境外金融數據控制者或其他數據取得者是出于何種動機，實際上都是對個人數據權益的侵犯。與“授權流出”不同的是，“無授權流出”意味著用戶在跨境金融服務中并未與境外數據控制者達成獲取數據的相關合意，因此境外數據控制者對其個人金融數據不負有保護義務，其數據內容更容易被隨意化使用和處理，被不法分子或機構非法轉移、違規利用的風險極高，對國家安全的威脅也更為顯著。

（二）金融數據控制者進行跨境業務帶來的安全風險

除了用戶個人使用跨境金融服務時產生的數據流動，金融數據控制者①根據歐盟《一般數據保護法案》（GDPR）的定義，所謂“數據控制者”是指能單獨或聯合決定個人數據的處理目的和方式的自然人、法人、公共機構、行政機關或其他非法人組織。進行跨境業務時也會發生金融數據的傳輸。在全球化背景下，金融數據控制者的范圍從金融機構擴展到互聯網領域，包括受國家金融監管機構監管的持牌金融機構、持牌非金融機構以及為持牌金融機構提供服務和支持的企業。金融數據控制者出于合法、特定的目的在收集個人數據的過程中，也會對國家安全構成不同的風險。

1.集團內部的金融數據跨境傳輸。在運營過程中，金融數據提供者收集并積累了大量用戶的個人金融信息，于涉外業務中將收集到的數據傳輸到集團分公司、集團總部，此即為集團內部的金融數據跨境傳輸。典型的例子是銀行業，如海外分行與總行開展跨境金融業務時，分支機構根據總部的要求會提供客戶的金融信息。不同國家對金融數據的跨境傳輸有不同的要求，但基本上需要滿足以下四個條件：數據的法律依據、客戶同意、傳輸行為要履行法律義務、分支機構與總部之間有數據保護協議。可以看出，金融數據控制者的跨境數據傳輸具有較高的準入門檻，但是規定普遍比較籠統，沒有貫穿數據流動的全過程。立法者的監管思路主要是從源頭上控制不必要的金融數據的流出，忽略了傳輸過程中可能發生的安全風險。金融數據控制者僅能保證在境內的金融數據流動的合法性，但不能保證境外金融數據控制者對其使用的合理性與合法性。我國2019年發布的《中國人民銀行金融消費者權益保護實施辦法（征求意見稿）》第34條第3款規定“信息接收方為完成該業務所必需的關聯機構（含總公司、母公司或者分公司、子公司等）”，未考慮到同一份金融數據在集團內部的功能性差異，在我國境內合法的金融數據傳輸到境外關聯機構后，可能超越或有悖于該機構的處理范疇，從而產生金融數據的泄露風險，威脅國家安全。

2.集團以外的金融數據跨境移送。除了集團內部相對可控的跨境數據傳輸外，金融數據控制者還會與集團以外的第三方產生必要的金融數據跨境流動。例如，跨國集團的財務數據控制員在進行年度或專項審計時，需要將其財務數據轉移給會計師事務所。但在國外，這類數據傳輸的要求比日常跨境數據流動的操作更為嚴格，如《美國金融隱私權法》規定，金融機構不得直接或通過任何關聯公司向非關聯第三方披露非公開個人信息，除非銀行已通知消費者，并為消費者提供不允許披露的操作權利和方法。由于脫離了集團內部的數據控制架構，第三方金融數據跨境移送安全風險更大，主要原因是第三方機構難以對數據的使用和處理進行監控，無法通過監管手段對安全風險進行預測和預警。除了外部審計等非基于商業經營目的的必要理由，各國的立法實踐對金融數據控制者向第三方傳輸數據都持有十分保守的態度。但是，信息產業的發展不斷催生著更頻繁的金融數據跨境流動，客觀上要求必須形成一個能夠保證國家安全同時也能促進數據合理傳輸的金融數據跨境流動規制體系。然而傳統立法中的個人信息私權保護意識與總體國家安全觀下的公權限制理念相沖突，這就產生了如何規制的新問題。

三、金融數據跨境流動的規制基礎

（一）規制機理：從自主控制到社會控制

1.信息自決。對于金融數據跨境流動的規制，首先需厘清規制的主體與各自的義務。傳統的個人信息自主控制論認為，信息處理需要得到信息主體的同意，意即個人享有對自己信息的支配權，如歐洲基于人格尊嚴、美國基于隱私保護的個人數據保護理論。從20世紀80年代開始，個人信息自主控制論開始在國際上占據主流，故而許多國際組織、國家或地區都將個人信息處理的合法性建立在用戶同意的基礎上。[6]具體到跨境金融服務的實踐中，用戶通常需要“同意”用戶協議或單獨的隱私條款來進入“下一步”，以此來獲取更多的金融服務。該行為在很大程度上可以保證用戶使用服務的自主性，但是從服務提供者的設置初衷來看，其往往是為了減輕或免除己方可能承擔的責任。完全的個人信息自決權將會徹底導致服務者的責任缺位，遇到專業或復雜問題時，用戶很難保證自己對相關協議或條款的確知程度，極有可能導致安全問題。

2.信息自決權的理論缺陷。信息自決（權）被定義為對個人信息的支配性權利。個人信息只是一種可以識別的事實或記錄，雖與特定個人有聯系或有利益關聯，但絕對達不到依法賦予其支配權的境界。而且，這種將個人信息定位于支配權客體的認識與私法上支配權的含義相背離。個人信息作為公共空間中自由流動的事實或記錄，既不能完全屬于某一獨立個人，更不具備稀缺性，不應該作為個人支配的對象。此外，同意不是也不應該是個人信息處理的合法依據，因為用戶同意過程耗時過長，不符合經濟利益的要求，大量例外的存在使得“同意條款”不能確定化、標準化而統一適用，這無疑削弱了同意的基本效力。

（二）規制本質：公權力對金融市場和經濟社會的法律限制

1.金融數據的公共屬性。作為信息的子分支，金融數據也具備一般信息的公開性和共享性特征，故而個人只能控制信息的聯接卻無法決定信息本身的產生與流動。換言之，用戶產生的金融大數據實際上是社會公共基礎設施的一部分。隨著互聯網技術的發展，世界進入了以網絡化、智能化為特征的大數據時代，信息作為大數據技術發展的基礎資源，受到了廣泛關注。當前，世界上許多國家都意識到大數據對促進國家進步和社會發展的重要性，從國家戰略層面加強信息數據的開發利用。金融數據的公開性和社會性決定了金融數據不應完全由個人控制，而應作為公共資源加以重新審視。2016年以來，歐美各國相繼推出了金融數據共享戰略。而在我國，中國人民銀行的征信系統也體現了國家監管層面對個人金融數據歸屬利用的基本立場，將金融數據視為社會大數據的基礎組成部分，由國家機構帶領全社會進行數據資源共享，規制不誠信行為的同時也能夠最大程度地保障個人權利。

2.金融數據的社會控制立場。面對多樣化、全息化的金融數據，國家安全風險隨著頻繁的數據采集、分析和應用而顯著增加，在當前立法中個人信息的私權保護理念無法滿足社會發展對金融數據公開性的要求。鑒于金融數據的公共性，對金融數據的使用、保護和監管更應該基于個人信息數據社會控制的理論，在社會控制、國家安全的優先考量下，保護用戶個人、金融機構等相關主體對個人金融數據信息的采集、存儲、交換、公開等應用，構建基于“社會控制”立場的金融數據跨境流動監管體系。對金融數據跨境流動的監管實質上是國家公權力對金融市場管理和經濟社會生活的一種法律限制。[7]（P10）如何在保障國家安全的前提下最大程度地滿足個人用戶的金融數據權利行使、鼓勵金融交易、促進金融數據交流與國際合作，是當前國家網絡與個人數據立法中最為關鍵的問題。

四、我國金融數據跨境流動規制體系之構想

（一）構建國家安全與經濟效率兼顧的多重監管機制

1.監管價值與原則。關于金融數據的流動監管，從比較法視野看，不同經濟體立法價值取向有所差異。歐盟的立法以促進數字經濟發展為目標，側重人權保護；美國奉行市場主導、行業自律；新加坡強調數據自由流動，很少使用法律限制。數據自由流動、數據產權保護、數據自主權以及數據的社會控制，是難以同時兼顧的，應當進行選優排序。我國的金融界是國家嚴格監管的領域，在國家總體安全觀視角下，基于金融數據的社會公共產品屬性，依據數據流動的社會控制理論與實踐，筆者認為，應當以國家安全作為其核心價值，以國家對金融數據享有主權的國際法立場，構建金融數據跨國流動的監管法律機制體系。與此同時，還應當通過動態平衡的方式方法，在相關細則的確定中，堅持數字經濟發展、用戶數據產權保護與國家金融安全相協調的規制原則。

2.監管體系。在我國現有的金融監管結構下，要進一步建構國家行政監管、行業自律監管以及數據用戶自查相結合的法律規制體系。首先，在行政監管方面，建立專門機構統籌與相關部門協作的行政監管機制。其次，在行業自律監管方面，構建行業協會和其他自律組織參與安全評估的合作機制，建立細化的數據流動管理自律秩序。再次，在金融數據控制者的自覺監管方面，應當在相關法律法規中明確金融數字控制主體在國家安全、數據保護等方面的自律自查責任。數據平臺公司要建立數據各周期環節的操作規范，內化和落實國家監管的要素及目標。

3.監管對象。金融數據跨境流動的監管對象應當是“全流域”的數據關涉主體，包括個人用戶、金融服務貿易與消費的參與者、關鍵信息基礎設施運營者以及網絡運營者。鑒于我國相關立法已經對關鍵信息基礎設施運營者、網絡運營者作出了相關規定，筆者僅從個人用戶及金融數據控制者兩方面提出建議。一是個人用戶。盡管《個人金融信息保護技術規范》已經提出金融信息跨境流動需“獲得個人金融信息主體明示同意”，但對于用戶的具體知情權、同意權或反對權、申訴權并未作細化規定。如前文所述，金融數據跨境流動可能發生于用戶知情或不知情的情形下，并不能保證每次數據流動都能獲得明確的用戶同意，這就需要為用戶建立相應的申訴機制，保障其向監管部門申訴并獲得補償的權利。監管部門可聯合境外機構，設立國際金融數據追蹤系統，及時向侵權者追償。以往的立法中較少從維護金融安全、社會公共利益的視角對用戶加以監管，導致個人用戶在使用跨境金融服務時的數據安全意識較淡薄，金融數據控制者在傳輸用戶數據時也主要關注業務的經濟效益，較少考慮金融數據安全問題。對此，網信部門、金融監管部門應當承擔起教育監督的義務，做好跨境金融服務安全風險的普及工作，提醒用戶做好個人數據的保護，建立和完善用戶個人金融數據跨境流動中的數據使用知情同意和授權制度。二是金融數據控制者。建議金融數據控制者成立信息安全保護自治組織，對于金融監管范圍之內的金融機構，無論其持牌與否都需要強調金融屬性，金融數據跨境流動時應時刻以國家安全風險為規制重點，防止涉密或敏感信息流出境內，同時在安全范疇內盡可能促進金融服務的多元化發展。金融數據控制者還可以設立內容評定委員會，對于可能流出的金融數據是否威脅國家安全予以專業判定。[8]（P8）由于數據的在線性和保密性，其監管的技術難度和成本都比較高，尤其難以在數據跨境流動之后再進行維護。在“谷歌訴岡薩雷斯”一案中，信息主體岡薩雷斯于2010年提出的谷歌侵犯其“被遺忘權”的主張，直到2014年歐洲聯盟法院才作出有利于岡薩雷斯的判決。可見，對金融數據控制者的監管，主要依靠事前監管，可以通過規定其金融數據流出前的審查、排查義務，保障重要信息數據排除在自由流動的范疇之外。此外可借鑒歐盟與美國個人金融數據跨境流動相關規則，明確商業機構在金融數據跨境流動中應采取安全保障措施，并建立以金融數據發送方為核心的責任追究機制。

4.監管的主客體。金融數據跨境監管的主體包括國家和地區兩個層面。就國家行政監管而言，對金融數據出境安全評估應關注信息內容和傳播渠道，確保其內容符合國家法律法規和政策規定，確保網絡經營者獲取金融數據的渠道合法、合規。在地方監管層面，省級網信部門要定期檢查網絡運營商的境外金融數據記錄等信息，重點檢查與金融數據流轉相關的合同義務履行情況，檢查是否存在損害金融數據主體合法權益的行為，以確保其在法律規定的范圍內合理提供跨境網絡服務。

對于作為監管客體的跨境金融數據，應當分層分類予以監管，注意金融數據的出境安全評估，對可能造成我國網絡空間安全隱患的金融信息進行有效識別和阻攔，限制相關數據的自由流動。《個人金融信息保護技術規范》將個人金融信息按敏感程度從高到低分為C3、C2、C1三個類別，明確提到應根據個人金融信息的不同類別，采用相應的技術手段保證個人金融信息的存儲安全，但并未涉及數據在跨境傳輸中的分別監管問題。對于金融數據，要根據不同情況明確傳輸條件，對不同風險的數據傳輸賦予不同的安全規制層級。對于集團內部財務數據的跨境傳輸，必須確保該行為發生在財務集團的附屬機構。在客戶明確得知數據傳輸是其履行的法律義務并同意的情況下，集團內部必須簽署包含數據保護條款的協議，且該協議要符合所涉國家或地區的法律標準。對于面向集團外部的財務數據，應認真評估傳輸目的和接收機構的數據保護能力，僅允許為外部審計目的向第三方跨境傳輸數據，以及根據監管要求向金融監管機構跨境傳輸數據。

（二）加強金融數據流動及其規制的國際合作

對跨境金融數據流動的規制，在國際上主要通過區域性法律制度加以調整，如歐盟的《關于規范個人數據處理及其自由流動的建議書（一般數據保護條例）》、亞太經濟合作組織的《APEC跨境隱私規則機制——政策、規則和指南》、歐盟的BCR（Binding Corporate Rules）等。目前，我國尚未加入相關的國際合作組織，也未形成有效的金融數據治理體系。

以往我國網絡監管部門主要關注網絡運行環境和互聯網以外的非法攻擊，對金融數據的跨境流動關注較少，這就使得金融數據流動帶來的國家安全問題難以在國際視野下予以解決。[9]構建我國的金融數據跨境流動規則體系，必須通過國際監管合作，以國家數字主權為核心價值，積極參與國際規則的制定，深化區域性國際合作，通過雙邊、多邊協作機制，選擇性借鑒金融數據流入國的監管規則。

當然，相關的嘗試已經在進行。2020年我國簽署的《區域全面經濟伙伴關系協定》（RCEP）第八章附件一規定，締約方不得采取措施阻止其境內的金融服務商傳輸日常業務所需的信息，但是金融服務提供商需要遵守與數據管理、存儲和系統維護以及在其境內保存的記錄副本有關的法律法規，還需要維護個人數據、個人隱私以及個人記錄和賬戶保密的權利。可以看出，中國已經逐漸開始借鑒《全面與進步跨太平洋伙伴關系協定》（CPTPP）中的數據流監管思路，即以保證日常運營所需數據的自由流動為原則，但有條件地賦予各監管部門制定規則來限制數據流動的權利。此外，筆者認為還可以參考和接納《歐盟一般數據保護條例》（GDPR）和美國《加州消費者隱私法案》（CCPA）等，制定具有國際視野和應用空間的主體規制法則，這將是我國今后深入參與甚至主導國際數據信息規則和標準制定的法律基礎。[10]例如，GDPR禁止將國家管轄范圍內的金融數據傳輸給沒有適當數據保護的第三國或國際組織，以防止金融數據泄露到國外。我國也可以參考這一規定，出臺相關法律法規，提高跨境信息流動和離岸接收的門檻，從源頭上遏制金融數據的非法流動。

結語

金融數據的跨境流動不僅僅是用戶自主行使的權利，更關乎網絡安全、金融安全與國家總體安全。未來我國金融數據規制體系要秉持“1+3”的原則：“1”是指金融數據跨境流動的規制，要建立在國家數據主權之上，堅定維護國家安全與金融穩定這一核心價值；“3”即保護金融貿易服務與消費者的數據權利、促進數字經濟發展、提高服務質效。對金融數據跨境流動的監管，需要專門的高層級的立法，在國家金融監管的結構下，進一步完善國家監管、行業自律、用戶自覺多重監管機制，區分金融數據跨境傳輸的目的，嚴格控制危害國家安全的數據流動，要建立安全級別不同的評估機制以針對不同安全風險的金融數據控制者，既要最大限度激發金融市場活力，又要時刻牢記守住國家安全的最后防線。