論我國金融數據跨境流動的法律規制

劉 輝，敬若男

（湖南大學法學院，湖南長沙，410082）

疫情影響下的世界經濟，傳統產業發展動能下降，但以數據驅動的產業保持較高增速。[1]數據跨境流動是國際貿易的重要組成部分，也是數字服務模式的一大要素，被描述為商業化的“21世紀全球化標志”[2]和“全球經濟結締組織”[3]。顧名思義，數據跨境流動即數據跨越國家邊境流動，按照“流動方向”和“處理主體”的不同，可分為私權利主體處理下數據的入境和出境以及公權力處理下數據的境內外調取。[4]在數據跨境流動的場域下，由于規制理念的不同、數據技術水平與法律保護程度的差異等原因，加之發達國家在金融數據競爭中的強勢壟斷地位，必將導致數據跨境流動風險更大地向發展中國家傾斜，數據跨境流動治理面臨著極為復雜的現實難題。[5]

金融與數據相伴相生。于金融行業而言，數據及算法與算力的加持，使得當代的金融業態呈現出更加復雜的應用場景，大數據征信、人工智能投顧、智能資管與精準營銷等一系列新興應用的產生，正給金融行業帶來更多的機遇和挑戰。所謂金融數據，指金融機構針對金融消費者的原始數據進行收集與加工而形成的一種經濟數據。[6]良好的交易生態需要制度加以維系，當下我國企業在國際貿易中所面臨的形勢頗為復雜，面對數據跨境日益頻繁的國際新形勢和國內對貿易體量增長的新需求，需盡快完善我國金融數據跨境流動法律規制，同時積極參與世界金融數據跨境流動規制框架合理搭建。

一、金融數據跨境流動的典型風險

金融數據交換天然伴隨著風險，而跨境流動使得數據交換對國家的安全、民族、文化、人權政策等都帶來了前所未有的挑戰。[7]金融數據在跨境流動中所暴露的風險即具有金融數據交換的共性，也有數據跨境流動下的特性。

（一）數據主權風險

數據主權是大數據時代下國家主權內涵的擴充與更新。所謂主權，可描述為“共同體所有的絕對且永久的權力”[8]。數據主權是國家主權項下聚焦數據領域的分支，是國家主權在網絡空間的核心體現[9]，表現為國家對本國數據與本國國民數據的所有、控制、管轄與使用的權利[10]。值得指出的是，我國的數據主權問題是放在國家主權范疇下討論的，其主體是“國家”而不是個人，但歐洲討論的數據主權，則主要是數據主體，即“個人”對數據的權利。[11]數據主權可分為數據管理權和數據控制權兩個維度，數據管理權強調對本國數據產生、使用、流動等方面的管理權以及司法管轄權，數據控制權則強調國家對本國數據具有采取保護措施的權利。[12]

數據主權風險是數據跨境流動較于數據國內流動具有的新興風險類型，其特殊性在于沒有物理空間、地理邊界可言。這意味著，數據跨境流動場景中，侵權主體、時空均超脫出本國疆域，加之全球網絡空間目前基本處于事實上的無政府狀態[13]、各國數據跨境流動的法律規制不一，以及各國大數據金融發展水平不一，導致我國國內法律規制就本國數據在境外可能遭受的危險以及已然產生的糾紛無法實現有效救濟。具言之，主要可分為私權利主體處理下的數據出境和公權力主體的數據調取兩方面討論。私主體處理下的數據出境場景中，因地制宜的出境管制下形成了紛繁蕪雜的管制模式[14]，數據出境后恐面臨二次利用風險。而全球管轄制度殊異下，我國對境外發生的數據糾紛依照國內司法機制處理成本高、勝訴幾率低，而國際法領域又存在規制不明或空白[15]，因此難以實現有效救濟。在公權力主體的數據調取場景中，涉及到相關重要金融數據，我國一直以來對境外數據調取的態度始終堅持自由流動原則，盡量避免單邊權力。[4]但觀國際上以立法優勢維護數據主權的歐盟，通過立法擴張域內管轄權，并依恃于雄厚的數據立法基礎和實踐基礎，推動“歐盟標準”變為“國際標準”，實現了對域外數據的長臂管轄。因此，我國國內法域外適用存在困難，在數據調取上沒有法理支持而居于劣勢。

另一方面，部分強國依恃于技術優勢形成事實上的數據霸權，對我國政治、軍事、經濟等方面形成巨大威脅。從“棱鏡門”“怒角計劃”“星風計劃”，再到“電幕行動”“蜂巢”平臺和量子攻擊系統[16]，美國依恃于其技術優勢肆無忌憚地對全球數據進行攫取，使得全球都陷入數據跨境無序流動招致的國家安全威脅之中。歐盟國家通常采用私權益保護措施來對抗美國的數據霸權“侵襲”，這與歐盟數據主權討論中主體為“個人”的思路具有一致性。但事實上，個人數據權利在沒有國家數據主權的保障下很難得到有效救濟。[9]換言之，目前實踐應對數據霸權行為所采用的傳統法律應對機制力度不夠，應構建數據主權體系，用國家公權力加以應對。

金融數據作為全球公認的重要數據，對其控制、處理和使用是鞏固數據主權的戰略性舉措，但各國大數據金融發展水平不一，優勢國家以數字技術為支撐，并憑借自身搭建的最利本國規制框架對其他國家進行長臂管轄，從而實現對各國重要金融數據的控制、使用、所有。長此以往，金融數據就會呈現出向發達國家無序流入的樣態。

（二）金融數據安全風險

數據安全通常指數據的可用性、機密性和完整性，即依靠設置一些技術上或制度上的障礙防止個人或組織未經授權而使用或訪問數據。[17]因此，傳統的數據安全風險表現為利用技術或制度漏洞破壞數據“三性”，局限于數據本身的安全。如今的智能化時代，大規模的數據流動通過算法產生融合計算的結果[18]，使得數據安全風險內涵與外延不斷擴張，突破了數據本身安全層面的風險，延伸至數據主體權益風險，具體可細分為主體尊嚴權利（隱私權）受侵風險、數據主體自主自治受阻風險等，以及國家安全、公共利益、經濟安全等方面的風險。[19]

“棱鏡門”后，全球各國紛紛將數據跨境規制提上日程，數據安全風險擴張中的國家安全、公共利益、經濟安全層面的風險尤其突出。實踐中，部分西方發達國家充分顯露“保護主義”思維，并在全球數字領域實施“戰略圍剿”，進而引發“數字失序”現象。[19]由于信息技術的飛速發展，數據跨境流動在速度上愈加頻繁、在體量上不斷累加，加之各國圍繞數據不斷演變的規范，確保數據安全并不容易。

展開而言，其一，數據跨境使得數據來源存在權利瑕疵風險威脅交易穩定。數據在交易過程中具有財產屬性[20]，跨境流動中突出的數據非法收集風險會導致數據本身具有權利瑕疵風險，加之金融數據較一般數據附加的財產性價值更高，對金融數據的挖掘具有更大利益趨向性，因此，金融數據跨境流動會給后續交易帶來更大法律風險，嚴重威脅市場交易秩序。其二，數據跨境中個人金融數據泄露風險威脅社會治安。金融數據是個人金融活動中產生的系列數據，因此，金融數據可用于個體活動軌跡跟蹤、個體財富價值判斷等關乎個體身份識別的事項?？缇沉鲃又型怀龅慕鹑跀祿孤讹L險使得個體隱私權、財產權均面臨極大威脅，由此導致社會安定難以維系。其三，數據跨境數據本身自帶的價值威脅國家安全?！霸S多看似無關的多維異構數據在比對、關聯和有效融合后，仍可以推斷出具有穿透力、威懾力的致命信息，嚴重威脅國家安全和社會穩定?！盵21]跨境數據流動若不加以合理限制，一國的安保措施可能會被輕易攻陷而引發政治、軍事等領域的安全風險。[22]

（三）個人金融數據濫用風險

“濫用”一詞經常出現在我國規范性法律文件中，指在有正當權力或權利存在的基礎上，主觀意圖和客觀結果上行使權力或權利超越了原有權力或權利邊界，主要可劃分為“濫用權利”“濫用權力”以及“濫用地位”三類。[23]對于個人金融數據的濫用風險探討主要歸于私權利主體“濫用權利”的范疇，這里的私權利主體指向金融機構等數據管控者。

個人金融數據濫用行為具體類型可以按照數據流動的全流程按階段劃分，跨境流動下的典型濫用行為主要表現為數據的非法收集行為、算法歧視和非法泄露行為。其一，數據的非法收集行為。金融機構應基于用戶“通知+同意”規則進行數據收集，這說明機構實際上具有收集一定數據的權利基礎。但實踐中，機構通過將用戶必須簽署數據收集相關授權協議作為前置條件來提供服務，同時在授權協議中運用模糊性表達在用戶沒有實質同意的情況下進行數據收集。另外，數據可以通過創新的數據分析方法，在多次使用中產生新的價值[24]，因此，機構往往對已經收集到的數據進行統一整合，實現機構內部平臺間共享甚至跨平臺共享，而這種數據的進一步挖掘和共享行為遠遠超出用戶的原始授權。其二，數據分析處理階段的算法歧視。大數據與人工智能時代，算法開始在越來越多的應用場景中被用于決策或輔助決策。[4]算法本身作為一種數據分析技術不具有可非難性，但由于算法決策過程難以為普通人所理解和洞悉，導致被挖掘數據的用戶根本無從知道自己何時何地就已經被算法解構，并被精準畫像。被精準畫像后，一方面，用戶接收到的信息在很長一段時間內都將同質化，更甚者，用戶所能看到的信息往往只是機構想要讓其看到的信息，長此以往，用戶將深陷算法所打造出的“信息繭房”；另一方面，機構利用客戶畫像和信息不對稱實現差別對待，侵害用戶作為消費者的合法權利，“大數據殺熟”就是典型應用場景。其三，數據的非法泄露行為?；跈嗬x務對等原則，機構基于用戶授權或法律賦權擁有用戶數據使用權的同時，具有保護附著在數據上用戶個人相關權益的義務。機構自身要在用戶授權范圍內收集使用信息，又要采取一定措施保護用戶數據免遭泄露。但實踐中，Facebook、Google等均被指控未經用戶授權收集與主動泄露用戶數據，數據泄露事件頻發。

數據跨境流動中，個人金融數據濫用風險主要表現為個人信息權和個人隱私權被侵害的風險。首先，應當明確個人信息保護和隱私保護機理存在本質不同，傳統隱私側重保護“私密、獨處”，個人信息保護突破了此類目的，更加偏重保護個人對數據的自主自治。[25]有學者將二者分別稱為尊嚴隱私（Dignitary Privacy）和數據隱私（Data Privacy）。[26]因此，個人信息保護和隱私權保護應分別討論。但囿于二者在保護客體、侵害方式等方面均存在高度重合，數據跨境下個人金融數據濫用風險的探討聚焦于“金融數據”這一客體和“濫用”行為帶來的風險，而金融數據既是個人敏感信息，也可歸于私密隱私，加之數據跨境下的濫用行為主要包括數據的非法收集、分析、泄露等形式，為二者共有的侵害方式[27]，故二者所面臨的風險亦具有一致性，此處予以統一分析。第一，數據跨境流動中，個人金融數據面臨更易泄露的危險。相較于國內流動中的泄露風險，跨境流動具有技術上的超越、觀念上的松懈以及方式上的隱蔽。具言之，全球各國對先進通信技術的開發使得數據流動存在更多途徑，以先進技術為基礎，國外金融機構將數據獲取非法意圖掩蓋于合理正當的商業合作之下，往往造成我國國內金融數據被無形攫取的后果。第二，數據跨境流動從物理形態上脫離了本國疆域，我國對附著在金融數據上的個人相關權益難以實現有效救濟?；ヂ摼W的全球性質意味著數據可以迅速并容易地轉移到第三方司法管轄區，當無法對這些流向其他司法管轄區的數據提供可靠隱私保護時，這種轉移可能會破壞國內隱私目標。[28]

二、我國金融數據跨境流動法律規制現狀

（一）我國數據跨境流動規制總體思路

我國數據跨境流動規制起步晚，與此相關的立法大多數借鑒國外先進立法思路，再遵循本國國情不斷進行修改完善。當前，歐盟和美國分別構建了自成體系的的兩大規制模式，歐盟通過頒布《一般數據保護條例》（General Data Protection Regulation，通稱為GDPR）①譯本參考《歐盟〈一般數據保護條例〉GDPR：漢英對照》，瑞柏律師事務所譯，北京：法律出版社，2018年版。下文引用均為此版本，譯文略有改動。，形成了一個強力的法律框架，主張個人數據高標準保護，形成了以數據本地化為核心的數據跨境流動規制模式；美國則以商業利益為導向，倡導數據自由流動。我國在選擇數據跨境流動規制方案時，采用了偏向于歐盟的審慎思路，但又有所不同。

我國通過先后頒布實行《網絡安全法》《數據安全法》和《個人信息保護法》，搭建起我國數據主權、數據安全與個人信息保護整體框架。《網絡安全法》首次提出網絡空間主權概念和網絡安全維護，搭建了我國網絡主權保護的基礎框架，對數據主權與安全有所涉及但不夠充分。后續《數據安全法》聚焦數據安全，通過域外管轄、對等措施等規定維護數據主權，并從數據安全監管主體、數據安全標準評估檢測、數據分類分級保護等方面打造數據安全保護制度框架。從管理客體上看，既管理中國公民的個人數據，又管理與中國國家安全利益攸關的重要數據，客觀來看比GDPR有更嚴格的數據傳輸限制。[29]前述法律雖對數據跨境流動均有涉獵，但其中較成清晰體系的是《個人信息保護法》，從信息出境具體限制性規則、信息流動“黑名單”制度、對等措施以及加大違法罰款力度等方面實現信息跨境中個人信息保護。值得指出的是，《個人信息保護法》規制對象為“個人信息”，即“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”。與之有所不同，根據《數據安全法》，“數據”指“任何以電子或者其他方式對信息的記錄”，從定義上可以看出，“數據”較“個人信息”含義更加寬泛。但實踐中，二者在具體內容上存在較大程度的重疊，且在有些法規中存在將二者混同規定的情況。因此，圍繞《個人信息保護法》并結合其他具體監管規則，探討數據跨境流動的規制具有合理性。

就我國數據跨境流動規制中管理的客體具體范圍界定，《個人信息保護法》將適用客體從境內處理個人信息擴展到了符合一定條件的境外處理境內個人信息。后國家網信辦發布《數據出境安全評估辦法》（以下簡稱《數據出境評估》），并就該辦法相關問題回答了記者提問，明確該辦法所稱數據出境活動主要包括兩種：一是數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外；二是數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以訪問或者調用。概況而言，我國對于數據出境的管制，可執行具體規則保護標的限于我國境內產生并由境內轉移至境外的數據。與我國不同，GDPR中的數據跨境既包括向第三國或國際組織轉移個人數據，也包括從第三國或國際組織轉移到另一個第三國或國際組織，在數據保護的地理空間上更為延伸，這意味著任何向歐盟居民提供商品或服務的企業都將受制于GDPR，不管該企業是否位于歐盟境內，是否使用境內設備。[30]

關于數據跨境具體規則，《個人信息保護法》專設“個人信息跨境提供的規則”章節，在強調本地化存儲的前提下，細化了數據跨境中的合規細則。明確規定個人信息跨境條件，一方面，需要滿足“安全評估”“個人信息保護認證”“簽訂標準合同”等條件之一；另一方面，需要向個人告知境外接收方的相關信息和信息處理事項，并取得個人的單獨同意，即“通知+同意”原則。就此形成了我國較為清晰的個人信息出境標準。與我國相比，GDPR規定的數據出境條件分為3個層次：首先，實行“充分性決議”（Adequacy Decision）標準，通過設置數據跨境流動國家“白名單”，授權白名單國家之間數據自由傳輸；其次，對于“非白名單”國家，若該國采取了“適當性的保障措施”（Appropriate Safeguards），比如標準合同、約束性公司規則等多樣化手段，符合歐盟認定的充分保護標準，也可參與數據跨境流動；最后，即使還有國家不符合前述兩種標準，GDPR還設了例外規定，允許在一些特殊情況下實現數據跨境流動。細究之，GDPR的條件與我國存在部分一致性，如我國數據出境要求就個人信息跨境處理活動進行專門認證，或者要求與境外接收者訂立標準合同，對標GDPR，認證機制和標準合同簽訂都歸屬于其“適當性的保障措施”。但差異性更為明顯：其一，我國將“通知+同意”作為必須條件，而GDPR將此情況歸入例外規定，即個人的“通知+同意”只是其數據出境的條件之一；其二，我國設定有“安全評估”規則，而GDPR中沒有相關安全評估規則；其三，GDPR的“白名單”國家自由流通規則也是我國所不具有的。

“安全評估”規則是我國數據出境的特色規則。與《個人信息保護法》中個人信息出境條件之一的“安全評估”思路相配套，國家網信辦發布過《個人信息出境安全評估辦法（征求意見稿）》（以下簡稱《個信評估（征）》），進一步細化了信息出境前的安全評估流程，規定由省級網信部門全程負責評估相關事宜，雖然一直沒有生效推行，但其精神可以在實踐中予以一定參考。后國家網信辦發布的《數據出境評估》，形成了我國目前數據出境安全評估的主要框架。該辦法明確了4種應當申報數據出境安全評估的情形，概括而言，我國的安全評估聚焦于保護“重要數據”，并非所有數據都需要進行安全評估。該辦法以列舉的方式明確了3種評估情形，但第一類中“重要數據”的界定依舊是實踐中需要解決的一大重點。根據《關鍵基礎設施安全保護條例》規定，金融領域的網絡設施、信息系統屬于關鍵基礎設施，因此，金融數據出境歸屬于應對安全評估的范疇。另外，《數據安全法》就重要數據保護規定指出：“各地區、各部門應確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。”可見，我國將重要數據保護的權利下放到各具體行業進行相應管理。

我國在“數據保護元年”2019年共發布了18部與個人信息保護相關的法律法規和標準，并且在之后的幾年保持著一定密集趨勢持續發布相關法律法規，以進一步完善個人信息和隱私權保護及監管。[31]從我國立法沿革來看，對于個人信息和數據的保護不斷加強，對于數據跨境流動秉持著審慎態度，強調從國家層面宏觀監管數據安全。早前立法思路更傾向于歐盟的規制模式，即以本地化存儲為原則，相較于促進數據跨境流動更加重視對個人數據的保護。但《數據安全法》所確立的“數據安全自由流動原則”，昭示著我國已經從根源上轉變了規制思路，嘗試追求自由與安全并行。

（二）我國聚焦金融領域的數據跨境流動規制現狀

《數據安全法》第6條規定，金融這一行業的數據監管職責歸于本行業主管部門。由此可以窺見，我國在金融領域的數據跨境流動立法，是在依托數據跨境流動總體規制框架前提下，由金融行業自身把脈制定相應規則。就目前規制現狀而言，銀行業通過頒布部門規章、部門規范性文件等，對于數據跨境流動規制走在前面，其他行業則明顯呈現規則缺位狀態。

央行2011年發布《關于銀行業金融機構做好個人金融信息保護工作的通知》（銀發〔2011〕17號，以下簡稱《銀行金融信息保護通知》），確立了個人銀行金融信息本地化存儲的要求，以及原則上禁止個人銀行金融信息出境。后中國人民銀行上海分行發布的《關于銀行業金融機構做好個人金融信息保護工作有關問題的通知》（上海銀發〔2011〕110號），對《銀行金融信息保護通知》第6條作了進一步解釋，明確“業務需要”“經授權或同意”情況下銀行金融數據可以跨境流動，為原則上禁止跨境流動打開了缺口。央行2018年發布《中國人民銀行關于加強跨境金融網絡與信息服務管理的通知》（銀發〔2018〕176號），雖然該規范性文件的適用場景只限于境外提供人為境內使用人提供跨境金融信息傳輸等服務，但從整體規制思路而言，其規定境內使用人和境外提供人都負有報告義務，同時雙方應加入中國支付清算協會，接受行業自律管理，由中國人民銀行進行宏觀監管，初具我國金融數據跨境流動規制模式，并開始向國際靠攏。

新《證券法》第177條第2款規定，境外不得直接調取我國境內文件資料，境內也不得未經批準擅自向境外提供，是國家主權原則在證券跨境執法領域中的體現，有力維護了我國數據主權。承接我國重要數據出境保護的總體理念，2020年2月央行發布《個人金融信息保護技術規范》（JR/T 0171-2020）（以下簡稱《規范》），規定了個人金融信息全生命周期安全防護要求。明晰金融信息類別劃分具體標準，根據不同敏感程度，將個人金融信息分為三大類，由高到低依次為C3、C2、C1，還將適用主體延伸至獲取個人金融信息的非金融機構。同年9月，央行發布《中國人民銀行金融消費者權益保護實施辦法》（銀發〔2016〕314號，以下簡稱《金融消費者保護辦法》），聚焦保護金融消費者信息安全，規定建立以分級授權為核心的金融信息使用管理制度，并明確收集、使用信息貫徹“通知+同意”原則。隨后，央行正式發布《金融數據安全 數據安全分級指南》（JR/T 0197-2020）（以下簡稱《指南》）金融行業標準，與前述《規范》關聯，將個人金融信息C1、C2、C3三個類別信息分別對應到了2級數據、3級數據和4級數據，在一定程度上直接明確了個人金融信息等字段級的定級指標。2020年頒布的這1個部門規章和2個部門規范性文件，為我國金融數據跨境流動提供了更加完善的金融數據分類分級保護機制，為進一步完善我國金融數據安全制度體系建設添磚加瓦。

除此之外，2022年國家發改委、商務部發布《關于深圳建設中國特色社會主義先行示范區放寬市場準入若干特別措施的意見》（發改體改〔2022〕135號）指出，重點圍繞金融等領域積極參與數據跨境流動國際規則制定，并圍繞數據跨境安全管理開展本土試點，積極探索我國數據跨境管理機制?？梢钥闯?，國家把對于金融領域數據跨境流動的規制擺在了極為重要的位置。通過不斷完善金融數據分類分級保護規制，確保金融數據安全的前提下，正積極探索與世界接軌，為我國與世界實現順暢的金融數據跨境流動掃清障礙。但也可以看出，目前我國對于金融領域數據跨境流動的相關法律不足，還處于依托我國數據跨境流動總體框架進行努力試點，再通過試點來推動立法的階段。

三、我國金融數據跨境流動法律規制存在的主要問題

（一）法律規制理念具有時代局限性

價值問題是法律科學所不能回避的，即使是最粗糙或最反復無常的關系調整或行為安排背后，總有對各種互相沖突或重疊的利益進行評價的某種準則。[32]金融數據跨境流動是后疫情時代世界經濟的聚焦點，如何在保障數據安全流動的同時促進金融數據價值最大化，就要找準限制流動的界點，而界點問題便是自由與安全兩種價值觀如何在規制中得以平衡的問題。

對于數據跨境，各國都采取了一定的限制手段，可以說問題不在于“是否限制”，而是“限制”的范圍與程度。[33]就我國現有規制而言，注重強調數據的流動限制和對數據安全的保護，這是立法理念局限于當時所處時代的原因：前互聯網時代，出現過很多行業亂象，國家以強制管控手段維護金融秩序確屬時代選擇。具言之，一方面，數據出境限制程度高。根據我國數據出境標準，在滿足“安全評估”“個人信息保護認證”“簽訂標準合同”等條件之一的基礎上，還需要“個人單獨同意”，對數據出境設置了雙重限制。同時，在設置需要安全評估的對象條件時，《數據出境評估》第4條中所設“100萬人”“10萬人”“1萬人”標準面對我國14億人口總體量實際上趨于微小，因此評估門檻實際上是較低的，也就意味著安全評估在運用中會存在泛濫。另一方面，金融機構運營成本高。我國在規定數據出境安全評估時，將評估主體擴大到了數據處理者、運營者，且數據處理者在申報評估前還應開展風險自評估。同時，承接《網絡安全法》《數據安全法》《個人信息保護法》中數據本地化存儲的要求，金融等細分領域紛紛規定數據本地化存儲，并引申出“服務器設在境內”“在境內設立數據中心”等要求，使得細分領域的數據本地化要求過于寬泛。[11]加之需要滿足數據收集時“個人同意”的前置條件，機構運營成本顯著增加，這意味著數據出境體量會隨著出境成本的增加而縮減影響自由流動。

總體而言，我國現有規制“限制”的范圍與程度過高。高標準的嚴格限制有利于控制我國在數據跨境流動制度乍起時的一些動亂，但長遠來看并不利于制度更好發展，過多強調數據本地化存儲會阻礙數據要素的市場分配，不足以支撐我國金融數據跨境在世界范圍內實現高效互通互流。

（二）國內數據法的域外適用問題

國內法域外適用和域外效力的前提便是域外管轄，域外適用和效力是域外管轄的實施過程和結果。[15]一般而言，一國管轄權的行使以領土、領海、領空為邊界，國內法只統攝于該國內人事物。但隨著國際社會中出現的越來越多國內法域外適用實踐，其中尤其以數據保護領先的歐美為代表，通過立法與司法途徑實現對本國領土范圍之外的數據行為的管制，域外管轄由此而生。一方面，信息技術發展下數據跨境流動，使得原來以地理為邊界確定法律效力的傳統管轄模式存在適用的現實困境，加之數據流動中所涉的多重利益及風險，國內數據法的域外適用就成為保護國內主體數據權益的關鍵，這是國內數據法域外適用的現實需要。另一方面，雖然數據保護法律的基本原則在不同地區和法律體系中是相似的，但諸法律的細節有很大的不同[34]，國際公約或判例對于主權國家法律的效力范圍也沒有劃定任何外部限制[35]，這是國內數據法域外適用的國際法正當性基礎。

“世界各國之間秩序的形成與維持從來都不是依賴于道德和權利，其真正內核是權力法則?！盵36]我國金融數據跨境流動中的主權風險、數據安全風險以及個人信息和隱私權風險都面臨數據出境后的救濟問題，而域外管轄是實現有效救濟的前提。但我國現有規制中，一方面，可執行性出境規則適用對象僅限于“我國境內產生并由境內轉移至境外的數據”，《個人信息保護法》雖將適用客體擴展到了境外處理（提供服務、分析、評估）境內個人信息的行為，但未涵蓋數據出境后在境外無序流動的行為。與我國不同，歐盟GDPR規定歐盟公民的個人數據不得轉移到達不到歐盟認可的保護水平的國家，既包括不能從歐盟轉移，也包括不能從第三國轉移，同時，通過“長臂管轄”和巨額罰款制度維護歐盟數據主權。從最基礎的適用客體范圍選擇上，我國在域外管轄中就失去了相當一部分話語權。另一方面，我國數據跨境流動規制總體防御性特征明顯，獲取境外數據路徑不明。我國《個人信息保護法》單獨一章規定我國個人信息跨境提供規則，但規定焦點在于境內信息出境如何規制，對于境內機構如何獲取境外數據缺乏規定，同時，我國公權力主體調取境外金融數據也有待國內立法拓寬域外管轄權力邊界。與我國不同，美國通過頒布《澄清域外合法使用數據法案》（Clarify Lawful Overseas Use of Data Act，通稱CLOUD法案），提出“數據控制者標準”，明確授權行政機關可以美國機構所在地為標準實現數據抓取，依托于信息技術方面的全球優勢實現全球范圍內的長臂管轄。事實上，各國都試圖通過建立各種連接點，以實現掌控和管轄域外數據，數據治理管轄權擴張已然是一種全球趨勢。[37]

（三）個人金融數據跨境保護體系有待完善

我國關于個人金融數據安全保護的規定散見于《個人信息保護法》《征信業管理條例》《征信業務管理辦法》《個人金融信息保護工作通知》《金融消費者保護辦法》等法律法規中?？傮w而言，都強調對個人金融數據進行“重點保護”，基于“特定目的和必要性”，經“個人單獨同意”及有必要時“經書面同意”，才可采集、加工、使用。涉及到出境流動，還需要經過“安全評估”“個人信息保護認證”，或是“簽訂標準合同”，但立法較為零散不成體系。

另外，我國實踐中個人金融數據跨境運作監管薄弱。第一，監管主體分散。金融業被明確劃歸為關鍵基礎設施，根據《關鍵信息基礎設施安全保護條例》第2條、第3條和第8條規定，國家網信部門統籌協調，國務院公安部門負責指導監督，國務院電信主管部門和其他有關部門在各自職責范圍內負責，省級人民政府有關部門也就自己的職責范圍實施安全保護和監督管理。另外，被劃歸為關鍵基礎設施的行業領域內主管部門、監督管理部門為保護工作部門，為本行業領域關鍵基礎設施的認定制定規制并組織認定?？偟膩碚f，關鍵基礎設施所涉行業眾多，從上至下負責單位部門眾多，“有關部門”定義不明，因此監管主體多而分散。在此基礎上，不同監管機構在實踐中往往難以統一監管標準，且易形成多頭監管或監管空白。[1]第二，對監管主體監督力度不夠。實踐中，缺乏監管部門對金融機構單方面擬定的用戶授權協議的實質性審查，也缺乏對監管部門執法情況的實質性監督。根本原因在于現有法律規制對于公權力機關監管群體的法律問責機制缺失。對國家機關或工作人員監督不到位、未履行監督職責時，法律規定的法律責任都以“對直接負責的主管人員和其他直接責任人員依法給予處分”類似表達帶過，規定籠統只會導致違法成本低。此外，政府對數據安全的保障無論是資金、技術還是人才方面的投入都遠低于發達國家。[17]第三，行業自我監管能力不強。我國一直缺少良好的市場自律機制，金融行業作為特殊行業，國家公權力監管一直占主流。但無論是出于市場運作客觀需要，還是國家大力推行市場化改革下的簡政放權，行業自律監管需求越來越大、空間也越來越大。

以上這些問題共同導致我國公民數據權益受侵后難以實現有效救濟。實踐中，已經實施侵權行為的企業往往并未被處以任何實質性懲罰措施[38]，維權者的窘境在于信息泄露的源頭難以查明和取證。[39]數據跨境流動下，各國數據保護標準不同，加之我國數據法域外適用問題、侵權主體確定問題、取證問題、定損問題等都使得我國公民難能實現有效救濟。與我國相比，2016年歐盟在通過GDPR后，在其基礎上又頒布了第2018/1725號條例進一步約束處理個人數據的行為。隨著GDPR及第2018/1725號條例的頒布實行，歐盟對個人數據跨境流動的監管達到史上之最。[40]2019年《GDPR執法案例精選白皮書》顯示，自GDPR生效以來，歐盟已經對超過22個國家和地區作出處罰，這些處罰多與個人金融數據相關，充分體現了GDPR對個人金融數據保護的重視。歐盟對于個人金融數據跨境的保護模式，對我國的個人金融數據跨境保護具有重要的借鑒意義。

（四）我國金融機構數據合規體系無法與國際接軌

在國際上，歐盟和美國已經率先形成各自關于金融數據跨境流動的規制模式。歐盟在個人數據保護高標準下謀求金融數據跨境流動，自20世紀60年代就出臺過一系列關注個人隱私保護的法規，隨著數據跨境流動，歐盟以GDPR為核心的規制模式對于個人數據保護越發嚴格。但同時通過設置國家“白名單”以及豐富數據合規的具體形式，促進數據跨境自由流動。美國強調全球范圍內的數據自由流動，但對國內金融數據予以嚴格保護。美國2017年出臺《23NYCRR500》，作為全美境內首部針對金融機構的網絡安全法規，要求金融機構實施保護消費者數據的網絡安全計劃、定期評估風險、制定網絡安全保護策略，構建了最低安全要求框架。[41]同時，美國通過亞太合作組織（APEC）積極推進《APEC跨境隱私規則體系》（Cross-Border Privacy Rules）（通稱為CBPR），規定通過CBPR認證的企業，可以在APEC區域內實現自由跨境數據傳輸。[42]

歐盟和美國的規制模式存在本質不同，導致兩邊市場交易存在很大阻礙。為促進數據跨境流動，歐美之間進行了妥協合作。從《安全港協定》到《隱私盾協定》，體現了歐盟和美國兩大全球最有影響力的經濟體之間的博弈，主要表現為美國對歐盟嚴格的個人數據保護標準的妥協。雖然兩協定最終分別在SchremsⅠ案和SchremsⅡ案中被裁定失效，但仍體現了國際大國間為了爭取全球數據資源而進行的積極努力。

基于我國國家戰略，我國近年來日益重視金融數據安全，積極對標國際嚴格保護個人金融數據標準，但還未能實現真正接軌。一方面，在歐盟市場，我國目前還沒有被歐盟數據跨境流動納入“白名單”，未滿足歐盟“充分性”認定標準，與歐盟對金融數據安全的保護標準還有一定差距，與歐盟成員國無法實現自由順暢的金融數據跨境流動。而這些問題也將在其他效仿歐盟建立數據跨境流動機制的國家出現，我國金融機構需要對此提前做好合規路徑儲備。另一方面，在美國以及APEC國家市場，我國未加入CBPR，這些國家與歐盟成員國奉行不一樣的合規標準，我國金融機構需要根據該組織內各國不同的標準提前做好合規路徑儲備，以便實現這邊市場的金融數據跨境流動。[5]

四、我國金融數據跨境流動法律規制的完善

（一）重塑數據安全動態平衡的法律規制理念

我國目前關于數據主權、隱私保護討論較多，成果較多，尤其在個人信息保護方面推進較快。對個人信息保護的重視及研究成果，為我國后續數據跨境流動規制打下了良好基礎，但總體而言與數據跨境相關的其他版塊仍有待推進。另外，我國目前雖然推出了一系列可以服務于數據跨境流動的法規、部門規章等，并著力于指引數據跨境具體操作，但因為規則尚不成熟且大多數未正式生效，仍處于漫漫落地過程中。面對如此形勢，我國需要把握關鍵理念，將數據跨境流動規制上升到國家層面，積極推動數據跨境領域國家層面立法，并針對不同版塊推出具有實質性內容的下位法，只有上位法搭好扎實基礎，下位法才好順利推進，從而打造數據跨境流動規制體系。[43]

在總體規制理念上，要認清數據“安全流動”與“自由流動”是一體兩面的關系。當今金融科技視野下，我國應當兼顧開放與審慎態度，以更為包容的目光去看待金融數據跨境流動，樹立數據要素化與數據安全動態平衡的規制理念。目前，我國金融數據跨境規制限制過多，一方面參考數據分類分級后的重要性，可以對“個人單獨同意”手續進行精簡。嘗試基于科學的數據分類標準，法律法規預先設定一定時間段內金融機構在數據收集、傳輸中禁止實施的行為類型，即動態的“負面清單”，當金融機構需要對海量客戶數據進行抓取、使用時，機構自身應當主動避開禁止事項，從而保證自身沒有越過用戶授權，變“授權制”為“負責制”[44]，以此降低機構運營成本的同時促進數據流動效率。另一方面，可以根據數據重要等級、數據使用具體場景等因素，對數據出境安全評估進行靈活性選擇適用。安全評估既要求機構自評估，又要求上報申請國家網信部門評估；既加大金融機構運營成本，又加大國家財政壓力。建議可以允許基于商業目的使用的一般金融數據跨境，在滿足“數據保護認證”或“簽訂標準合同”條件下，僅需要機構自評估，進行事后報送評估；對于業務所必需的向集團關聯機構跨境傳輸金融數據的情形，可以結合金融業非現場監管在每年報送機構數據時進行報告，無需進行事前個案評估。[45]

（二）加強我國數據主權的立法表達

“國際社會在數據保護法領域尚未形成共同規則，從單邊思路為本土數據保護規則的適用開通域外適用路徑，將有利于中國在積累本國數據立法經驗的同時，與全球數據治理建立內外聯動模式，推動數據保護國際規則的形成?！盵35]面對我國現有規制的域外適用問題，第一，建議從立法上創新管轄權模式，明確域外效力條款。首先，在立法上擴大適用對象范圍，將我國目前出境規則中適用對象僅限于“我國境內產生并由境內轉移至境外的數據”，拓寬至“我國境內產生的數據轉移至境外以及數據境外后續發生的其他流動”。另外，可以參考國際強權國家立法經驗，美國通過CLOUD法案以“數據控制者標準”確立管轄權，歐盟通過GDPR確立“設立機構標準”和“目標意圖標準”，總的來說，都是盡可能在不違背國際規則的前提下積極采取單邊立法，確立“長臂管轄”、擴張本國法域外效力為核心的“主權擴張”模式。[14]第二，可以通過立法強化我國對跨境數據的控制力，當他國威脅我國的國家安全時，使主權可以突破有形疆域，實現更靈活有效的調取權力。[4]第三，基于現有《個人信息保護法》第38條的立法基礎，適時引入充分性評估機制或類似機制。歐盟代表性的“充分性決議”數據安全評估機制的主體是歐盟，評估對象是其他國家或地區，本質上是以一個超主權組織的力量參與博弈。而美國始終將跨國企業作為參與全球數據利益博弈的重要主體，國家輔以立法、國際多邊合作的支撐，通過企業的不斷實踐實現“長臂”效果以擴展域外管轄。很顯然，大國博弈中，作為私權利主體的跨國企業的力量是有限的，因此，具體國情下建議我國借鑒歐盟經驗，以主權國家身份與其他國家和地區進行博弈，為我國跨國企業獲取境外數據提供國家支持。[11]

（三）加強個人金融數據跨境安全的系統保護

國家權力是以公民的權利為中介對經濟社會關系的集中反映。[46]因此，數據跨境流動風險討論中，個人層面的風險始終是我們需要應對的重點。

加強監管是應對個人金融數據跨境風險的關鍵措施。一方面，建議確立央行在我國金融監管機構中的主導地位。目前，我國專門的金融監管機構為央行、銀保監會和網信辦，幾個部門通過分別出臺規范性文件、規章形成各自監管機制，監管職責往往重疊，實踐中易出現“多頭監管”或是“監管真空”。[47]這樣的監管局勢下，應當在具體領域中規定相應主導的監管主體，以集中權力統籌監管。此外，央行發布的《指南》中規定“金融業包括貨幣金融服務，資本市場服務、保險業等”，沒有進行如證券、保險、銀行等行業細分。雖然《指南》只是規定金融數據分類分級具體如何操作的一部行業規范，但作為目前我國金融數據治理不斷完善進程中的一部最新的行業數據分類分級標準，這樣的定義或許意味著金融行業開始尋求整合并嘗試探索一套統一適用標準的行業發展路徑。在這樣的整合發展思路下，加之央行在金融數據安全保護、跨境流動規制等方面業已取得較多成果，具有成為主導金融監管機構的前期基礎和現實需要。另一方面，應加強行業自律監管建設。國家引導行業協會、企業制定較為細致的數據安全自查制度，設計具體的激勵約束機制，打造行業良好的自我約束風氣。具體而言，可以從企業是否按時按質進行員工數據安全培訓，是否設置了數據跨境風險預警和應對措施，是否有相應技術設備保障數據存儲安全，對于數據的收集、處理、使用是否合規等方面進行定期自查和協會抽查。[47]

與此同時，應當疏通金融用戶權益受侵的救濟通道。個人金融數據跨境流動可能涉及到的個人信息權和隱私權風險存在本質上不同，“為解決體系解釋上的矛盾和評價上的不統一，隱私權和個人信息保護分立也許是最為便捷和有效的途徑”[25]。就個人信息保護而言，可以側重消費者法保護和公法保護兩條路徑，將個人信息保護納入消費者法框架。[48]就目前實踐中企業通過設置授權前置程序使得用戶形式化，未來立法應打破個人敏感信息與一般信息分別適用“知情+同意”原則的二元結構，規定對個人信息的獲取都應當獲得信息主體清晰的、明示的授權。[49]同時，還可以通過法律明確要求信息處理者制定不同場景下個人信息保護的具體機制，以此促使數字企業積極開發信息技術減少對知情同意原則的過度依賴。[25]就隱私權保護而言，可以制定獨立的個人隱私保護法律法規，與時俱進明確大數據時代下個人隱私定義和適用范圍，并確立相應的隱私侵權救濟制度?！昂戏ㄐ耘c司法之間的親緣關系在于，一項得到明確表述并獲得公開的規則使得公眾能夠得以判斷其公正性。”[50]只有法律法規體系明確，權利主體才能尋求到有效的法律救濟。

（四）積極參與國際金融數據治理合作

目前，全球范圍內尚未形成統一的數據跨境流動規制模式。[40]就金融數據出境而言，我國以安全評估作為主要合規機制，與歐盟多樣化合規機制相比較為單一，在國際數據跨境流動中劣勢明顯。促進金融數據跨境流動應當是所有合規手段的目的，故積極尋求在國際上數據合規應當是我國目前主要面向。

數據跨境流動治理基本呈現3個階段：國內單邊規制階段、區域治理階段、全球治理階段。就目前發展狀況來看，當今世界各國還處于第一階段的完善和第二階段的萌芽階段。我國可以基于區域合作，效仿歐盟設置流動“白名單”，打造區域內金融數據自由流動?！耙粠б宦贰?、上海經濟合作組織、亞太經合組織、G20、RCEP等成功的區域合作實踐，為我國尋求國際金融數據跨境流動的區域合作奠定了較為堅實的基礎。目前，RCEP在中國所簽署多邊國際貿易協定中屬于最高標準，一定程度上代表了中國服務業開放立場。RCEP第八章服務貿易附件一《金融服務》第9條“信息轉移與信息處理”，是我國數據跨境流動在區域合作中達成的有效成果。承接其相關經驗，我國可以在已經達成的其他區域合作基礎上，在會員國合作涵蓋金融領域的前提下，依托于已經形成的會議機制和合作宗旨，以會員國身份倡議在組織平臺內進行金融數據跨境流動試水。相較于與組織外國家間金融數據流動的嚴格限制，組織內成員國之間可以放低限制，在試水中摸索限制能夠降低的最大值，并以此平臺為出發點，以點帶面實現面向更多國家的金融數據跨境流動。

結語

加強數據安全保護、保障數據自由流通和爭取國際數據話語權已經成為我國未來數據法治建設的重要任務。在保障數據跨境安全流動的前提下，如何把數據作為一種生產要素，通過大數據和人工智能尤其是算法技術的運用，發揮金融數據在金融創新和推動金融發展中的作用，是我國大數據金融立法的重中之重。數據要素化大背景下，數據治理應被擺在國家戰略層面。隨著貿易全球化和信通技術高速發展，數據跨境流動無法避免，我們應達成的共識是：數據治理應當服務于促進而非限制數據跨境流動。