銀行機構金融數據跨境流動的合規性研究

張凱

數字經濟時代，銀行機構的業務拓展高度依賴數據。在依法合規的前提下，金融數據的跨境流動可以有效降低銀行機構的跨境經營成本，提高其核心競爭力。本文認為在當前已經出臺《數據出境評估辦法》的情況下，應盡快完善金融領域數據跨境流動監管規則，健全金融數據出境管理框架，審慎協同推進金融數據出境試點，從而最大化發揮金融數據跨境流動的價值。

一、引言

隨著中國金融市場對外開放進程不斷推進，境內外資銀行的業務范圍不斷擴大，數量穩步增長。截至2021年末，共有來自51個國家和地區的銀行在華設立了分支機構，外資銀行營業性機構總數已達929家。與此同時，在“一帶一路”政策的支持下，中資銀行國際化經營逐步擴大，工行、農行、中行、建行、交行五家大型商業銀行的海外機構數量從2012年底的1085家增長至1286家，基本形成了遍布全球主要國家和地區的服務網絡。

2022年9月，國家網信辦出臺的《數據出境安全評估辦法》正式實施，我國對于數據跨境流動合規性管理日趨完善。金融行業作為數據密集型行業，金融數據的跨境流動需求天然存在，同時在數字經濟發展的背景下，中國境內的外資銀行和境外的中資銀行在拓展金融業務時，出于降低運營成本的目的，迫切希望可以復用母行業務系統和信息資源，這樣就涉及到了金融數據跨境流動的合規性問題。本文在對主要國家金融數據跨境流動監管規則剖析的基礎上，深入分析我國境內外資銀行金融數據出境情況和境外中資銀行數據本地化情況，提出我國推動金融數據跨境數據流動的應對策略，以期為金融數據跨境數據流動合規性提供借鑒與啟發。

二、主要國家金融數據跨境流動的監管規則

目前國際上對于金融數據跨境流動的“依法依規監管”共識已全面形成，各國基于自身經濟發展和價值取向的差異化，對于跨境數據的流動采取了不同的管理模式。在此本文以美國、歐盟、中國的三種監管模式進行說明。

（一）美國“寬進嚴出”的監管模式

在美國國內的一般性立法中，難以發現禁止或限制數據跨境傳輸的明確要求，但是美國并未放開國內重要數據的管控，諸如《外國投資風險評估現代化法案》《出口管制條例》等法案通過外商投資安全審查、出口管制等手段對關鍵領域數據采取相關的跨境限制措施。美國對于跨境數據流動的法律監管主要體現在：一是通過賦予其國內金融監管制度的域外效力來實現，即以“長臂管轄”擴張其跨境數據執法權。例如2018年通過的《澄清境外數據的合法使用法案》規定，無論數據是否存儲在美國境內或境外，都賦予美國政府調取他國存儲于境內數據的法律權限；二是多體現于國際合作而共同制定的規則中，例如APEC的跨境隱私規則體系，跨大西洋數據隱私框架等。值得注意的是2022年4月，美國商務部發布《全球跨境隱私規則聲明》，強調彌合數據監管規則的差異，強化美國在數據跨境流動領域話語權，鞏固美國數據跨境流動監管協調的主導權，在國際社會中組建以美國為中心的小型“數據跨境流動監管圈”。

（二）歐盟“內松外緊”的監管模式

2018年歐盟出臺了《一般數據保護條例》（GDPR），該法案主要側重個人權利和個人信息數據保護。對內，歐盟成員國施行統一的單一法令，消除成員國數據保護規則的差異性，消除非個人數據在儲存和處理方面的地域限制，推動歐盟范圍內數據資源的自由流動；對外，歐盟對數據傳輸進行嚴格的管控，需要達成“充分性協議”，將經過充分性認定的國家納入數據跨境自由流動白名單，對簽署協議的“白名單”國家采取跨境數據自由流動的策略，呈現出“內松外嚴”的態勢。

（三）中國以數據安全為導向的監管模式

中國對跨境數據流動的管控是基于《網絡安全法》《數據安全法》《個人信息保護法》組成的國家層面數據安全領域基礎性法律體系，并配套《數據出境安全評估辦法》《網絡安全審查辦法》等監管規則。2017年之前我國對銀行機構數據跨境管控主要由金融監管部門負責，之后隨著跨境數據流動立法的完善，相關職責將統一由國家網信部門牽頭承擔。我國對金融機構和個人信息數據出境的監管主要以自身安全和隱私保護為主，目的在于保護隱私和個人信息、公共政策和國家安全，監管重點是監督在我國境內的數據提供者是否履行我國法律所要求的法律責任，而不是擴展我國法律的域外效力。

三、我國銀行機構金融數據跨境流動情況分析

中國經濟當前正處于轉型升級的關鍵期，實體經濟發展需要強有力的金融支持，我國境內的外資銀行和境外的中資銀行作為金融市場“引進來”和“走出去”的重要手段，可以提高國內金融資源配置效率和金融服務水平，增強國際金融規則制定的話語權。然而上述兩類銀行機構在跨境經營時普遍遇到了金融數據本地化管控和金融數據出境管控的問題。

金融數據本地化管控和金融數據出境管控兩者并不矛盾。金融數據本地化管控強調在滿足數據有境內存儲副本前提下，若符合數據出境的各種約束條件，數據可自由出境；金融數據出境管控即對數據出境提出各種約束條件，但只要滿足約束條件數據即可出境，不必要求數據必須存儲在境內。銀行機構金融數據跨境流動的目的，是為了復用母行業務系統和信息資源等資源，減少因重復開發系統或購買設備產生的運營成本，所以這里從我國境內外資銀行金融數據出境情況和境外中資銀行數據本地化情況分別展開分析。

（一）境內外資銀行數據出境情況

近年來，我國金融業開放步伐不斷加快，先后推出50多項銀行保險開放政策，境內外資銀行數量持續增加，金融數據出境事實已普遍存在。由于我國對于個人信息出境的法律限制，這些跨境流動的金融數據中個人信息出境量級較少，主要為境內外資銀行復用母行系統或內部合規檢查使用，出境的數據類型敏感程度相對較低，出境目的總體合理但蘊藏風險。存在的風險主要有：一是出境依據不統一。目前涉及我國金融領域數據安全相關文件約有40余個，外資銀行在選擇出境依據時往往無所適從，或僅選擇管理口徑寬松的文件執行；二是合規意識待提升。金融數據出境后雖主要提供給母行，但是部分存在提供給外部服務商或母行所在國監管機構使用的情況；三是傳輸方式待優化。大多數的金融數據跨境傳輸方式為郵件，而不是采用更為安全的系統報文交互方式；四是技術安全管控待加強。大多數金融數據在傳輸前未進行脫敏、身份認證或抗抵賴處理，需要從技術手段加以強化。

（二）境外中資銀行數據本地化情況

各國現在對數據保護非常重視，不同國家對于銀行賬戶交易信息的傳輸有著不同的要求，比如有的國家盡管允許當地外資行分支行將賬戶交易信息傳輸回母行集中處理，但要求賬戶信息進行一定程度的加密；有的國家則不允許當地的賬戶交易信息傳回母行處理。它們的管控手段較趨同，監管強度不同。如表1所示：

在此前提下，境外中資銀行信息回傳需求基本滿足，僅少數國家數據未能回傳。主要存在的問題：一是監管差異化較大。海外市場面臨比國內更嚴苛、更復雜的監管環境，而且各國或地區監管要求繁雜不一，在監管遵從、協調溝通方面面臨較大挑戰；二是長臂管轄數據調取客觀存在。以美歐為主的西方國家，其司法或金融監管部門均制定有長臂管轄數據調取相關的制度，中資銀行在處理這方面案例時需特別注意；三是傳輸專線運營保障存在潛在風險。例如境外中資銀行與母行的數據傳輸大都通過中國電信運營商海外公司專線傳輸，2021年美國以“國家安全”為由，吊銷了中國最大電信公司在美國的運營執照。

四、我國金融數據跨境流動監管的建議

從經濟發展和金融行業發展的趨勢來看，金融數據跨境具有平等互惠合作的基礎，但是需要各國在制度設計和執行方面做出針對性的優化提升。我國作為數字經濟強國和數據跨境流動大國，應充分利用在數字經濟和數據產業中不同的優勢地位，根據不同情況靈活制定金融數據跨境流動監管規則，科學把握監管協調的力度和節奏。對此本文提出三點建議：

（一）引導有序開放金融數據出境意義重大

銀行機構跨境展業受效率與成本驅動，對金融數據出境存在天然需求，難以完全割斷，因此應在審慎控制數據出境損害國家安全風險前提下，持續推進包括外資銀行在內各類外資金融機構數據出境的有序開放。

（二）健全金融數據出境管理框架事不宜遲

在金融數據出境監管具體模式、參與主體和配套保障機制等關鍵問題尚待解決過程中，金融數據出境行為已實際普遍存在，危害國家主權安全、金融穩定或者公民、法人和其他組織利益的風險亦日益凸顯。首先應從法律法規協同方面出發，優化金融數據跨境流動管理模式，明確“管什么”；其次從監管手段出發，強化金融數據跨境流動的事中監督和事后監督，確保“管得住”；最后從宣傳教育方面出發，落實金融數據跨境流動專業服務指導，力求“管得好”。

（三）審慎協同推進金融數據出境試點切實可行

復用母行系統或信息資源確是銀行機構最迫切的金融數據出境需求，且大部分有金融數據出境需求的外資銀行其境內數據持有規模實際較小，可以先制定試點方案，依據“法規為先，業務驅動，技術支撐”思路，各相關方協力推進完成金融數據出境試點。

參考文獻：

［1］數據跨境流動監管協調的中國路徑［J］. 陳思，馬其家. 經濟與管理科學. 2022［09］.

［2］商業銀行數據跨境流動的合規管理對策［J］. 羅麗軍，陶勇，蘇如飛. 現代金融導刊. 2022［02］.

［3］金融數據跨境流動的特殊規制［J］. 田翔宇. 海南金融. 2021［04］.

［4］金融數據跨境流動的核心問題和中國因應［J］. 馬蘭. 國際法研究. 2020［05］.

作者單位：中國人民銀行運城市中心支行