我国金融数据跨境流动安全的问题审视及应对

刘媛

［摘 要］金融数据的跨境流动对提升金融服务效率，推动金融全球化向纵深方向发展具有积极作用。文章从我国金融数据跨境流动规制现状、我国金融数据跨境流动安全的问题审视、我国金融数据跨境流动的规制进路3个方面进行分析研究。研究结论显示：我国应在保护国家安全、经济利益和个人隐私的前提下，通过建立金融数据跨境流动的常态化机制，统一金融数据的分级分类标准，以及加强对金融数据入境的监管等举措，促进金融数据安全、有序流动。

［关键词］金融数据；跨境流动；数据安全

doi：10.3969/j.issn.1673 - 0194.2024.06.048

［中图分类号］F832；F125［文献标识码］A［文章编号］1673-0194（2024）06-0150-03

0     引 言

随着金融业务的不断创新和数字化转型的加速，金融行业需要更加高效、灵活的数据流通机制来支撑其业务发展。由此，金融数据跨境流动成为国际社会的重要议题，各国纷纷加强对金融数据跨境流动的监管。

学术界对于金融数据跨境流通的研究主要集中于金融数据跨境流动所引发的风险及其法律规制的国际经验。其中，彭德雷、张子琳认为金融数据在数据传输、存储与处理过程中发生的数据泄露和非法与第三方共享数据等行为必然会威胁个人隐私、金融机构自身利益和国家金融安全［1］。李万强、吴佳芮从多边、区域、单边3个维度对金融数据跨境流动规则进行了考察［2］。然而，已有研究对我国现有金融数据跨境流动制度，特别是我国现有金融数据跨境流动制度现存问题的总结和分析存在不足，这也导致现有研究缺乏针对金融数据跨境流动国际经验的借鉴。基于此，本文在总结我国金融数据跨境流动规制现状和问题的基础上，结合其他国家金融数据跨境流动的制度框架，探索我国金融数据跨境流动规制进路。

1     我国金融数据跨境流动规制现状

我国金融数据跨境流动受到网络信息一般法律规则和金融行业数据跨境专门规则的“双重管理”［3］。一方面，金融数据跨境流动必须严守我国相关法规，以《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）、《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）为核心，以《数据出境安全评估办法》等行政法规、部门规范文件和行业指南为配套的数据跨境流通基本框架。另一方面，我国自2011年起陆续颁布了《个人金融信息保护技术规范》等规范性文件，以解决金融数据跨境流动问题［4］。综合来看，我国金融数据跨境流动的规制内容主要包括金融数据存储和处理本地化、金融数据分类分级保护、严格管控金融数据出境3个方面。

1.1   金融数据存储和处理本地化

随着金融行业的不断发展，金融数据存储和处理的需求也在不断增加。考虑到金融数据的重要性和敏感性，我国对金融数据的存储和处理提出明确的本地化要求，以确保数据的安全性和可靠性。例如，《网络借贷信息中介机构业务活动管理暂行办法》等规范性文件均规定，在中国境内收集的个人金融信息应当在中国境内进行储存、处理和分析。《网络安全法》和《个人信息保护法》明确规定，关键信息基础设施运营者和处理个人信息达到规定数量的个人信息处理者应确保在境内收集和产生的重要数据与个人信息存储在境内。

1.2   建立数据分类分级保护制度

建立数据分类分级保护制度是保护个人信息安全的重要措施之一。分类分级存储数据和管理不同类型、不同级别的数据，可以更好地控制数据的安全性和保密性，防止数据泄露和滥用。目前，我国已出台《金融数据安全 数据安全分级指南》《证券期货业数据分类分级指引》《个人金融信息保护技术规范》等行业标准。上述行业标准根据数据在经济社会发展中的重要程度，以及一旦遭到窜改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护［5］。其中，《网络数据安全管理条例（征求意见稿）》将数据分为一般、重要、核心3个级别，并规定一般数据允许自由流动，重要数据需要通过数据出境安全评估后自由流动，核心数据限制流动。根据《金融数据安全 数据安全分级指南》，金融数据被划分为5个等级。《证券期货业数据分类分级指引》则根据数据影响对象、影响范围、影响程度，将数据从低到高划分为4个等级。这些标准的差异化影响了金融数据等级的精确限定，从而模糊了可以出境的金融数据范围。

1.3   严格管控金融数据出境

随着金融行业的快速发展，金融数据在国家经济运行、金融监管、社会治理等方面发挥着越来越重要的作用。然而，金融数据一旦泄露或被非法获取，可能会给国家安全、社会稳定和个人隐私带来严重威胁。为了加强金融数据出境的管理，早在2011年，中国人民银行上海分行就要求，在出现客户办理业务所必需，且经客户书面授权或同意的情况时，境内银行业金融机构向境外总行、母行或分行、子行提供境内个人金融信息，即我国金融数据出境需要满足“业务必需+客户同意+机构关联+确保保密”4个要件要求。近年来，我国发布的规范性文件延续了上述管理思路，并对金融数据出境作出更为严格的限制。《中华人民共和国证券法》《中华人民共和国银行业监督管理法（修订草案征求意见稿）》都明确规定，银行业、证券业金融机构不得擅自向境外提供与业务有关的文件、资料、数据。

2     我国金融数据跨境流动安全的问题审视随着数字经济的快速发展，我国在金融数据跨境流动方面积累了一定经验，但也存在一些不足。

2.1   金融数据流动的“快速通道”并未建立

我国金融监管部门对金融机构的数据出境管理秉持“本地化为原则，出境为例外”的监管思路，极大地限制了金融数据的跨境流动。而金融机构需要在达到满足数据出境安全评估、网络安全认证要求或签订个人信息出境标准合同等诸多监管要求后方可进行数据出境，这阻碍了金融服务提供者日常运营所需信息的正常流动。与此同时，现有数据出境合规要求存在重叠，如《个人信息出境标准合同办法》《数据出境安全评估办法》均规定数据处理者应在数据出境前进行自我评估，且设置了不同的自我评估要求。基于企业运营和数据流动的不确定性，极有可能出现企业预期数据出境量为《个人信息出境标准合同办法》所规定的标准，而其实際运营中数据出境量达到《数据出境安全评估办法》要求的情况。此种情形下，企业则需要分别满足《个人信息出境标准合同办法》《数据出境安全评估办法》的自评要求。这无疑增加了金融机构的合规成本。

2.2   金融数据分级分类制度与金融数据跨境流动的衔接不畅

理论上数据分级与数据跨境流動密切相关，不同级别数据所受到的跨境流动限制理应有所差别。我国虽已尝试通过设立行业标准的方式对金融数据进行分级分类，但各规范和标准的数据分类依据、要素和标准存在明显差异。金融领域数据分级标准的差异化极易导致各规范与标准间缺乏对应联系和互操作性，增加数据分级制度整体落实的难度。虽然出于安全监管效果与立法技术的考虑，可能不宜通过数据分级对数据跨境传输的具体方式和监管标准进行详细区分，但从便利金融数据跨境流动的角度来看，如果不统一金融数据分级分类标准，将会增加数据流动过程中国内外义务主体有关义务内容和履行标准的困惑。

2.3   金融数据的入境监管存在不足

随着经济全球化和金融市场的不断发展，金融数据的跨境流动变得越来越频繁。在这一过程中，包括我国在内的很多国家过于重视金融数据的出境监管，而忽视了金融数据的入境监管。目前，我国仅有《网络数据安全管理条例（征求意见稿）》涉及境外数据审查事项，对来源于我国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。该规定的本质是通过设置数据跨境安全网关，使境内互联网用户访问境外违法信息的请求无法获得正常域名解析，进而达到对网页上的特定内容进行过滤的目的［6］。上述规定虽不完全契合对境外回流至我国的金融数据的审查和监管需要，但也在一定程度上说明了对入境数据进行审查的必要性。忽视金融数据入境后的风险控制和监督管理会导致金融数据被恶意操纵或滥用，从而影响金融市场的正常秩序和稳定。

3     我国金融数据跨境流动的规制进路

为了保护国家安全、经济利益和个人隐私，我国应通过建立金融数据跨境流动常态化机制、统一金融数据分级分类标准、加强金融数据入境的监管等举措促进我国金融数据有序流动。

3.1   建立金融数据跨境流动常态化机制

在当今经济全球化的时代，数据已经成为全球生产要素中不可或缺的一部分。然而，当前各国对数据跨境流动的监管却存在着诸多限制，与经济全球化背景下数据作为生产要素在全球范围内流动的趋势相违背。故此，我国应考虑建立金融数据跨境流通的常态化机制，简化数据出境审批流程。例如，我国可借鉴欧盟的充分性认定机制（又称白名单），金融机构在向经过充分性认定机制验证的国家、地区或国际组织传输数据时，可以不经过进一步评估。或参照欧美间签订《跨大西洋数据隐私框架》（Trans-Atlantic Data Privacy Framework）的方式，与重要贸易伙伴签订基于共认互信的双边、多边数据流动协议，畅通金融数据出入境通道。

3.2   统一金融数据分级分类标准

制定数据分类分级保护制度的目的是对不同重要性和风险等级的数据实施差异化管控措施，以应对数字经济背景下数据要素所面临的多元化流通处理需求和复杂的数据安全风险［7］。对于金融数据而言，由于其涉及的经济利益和造成的社会影响非常大，我国更加需要建立科学、合理的分类分级制度。在制定金融数据分类分级标准时，应该充分考虑金融服务自身的特点和《数据安全法》等法律的要求，以金融数据在经济社会发展中的重要程度，以及遭到窜改、破坏、泄露或者非法获取、非法利用后对国家安全、公共利益或者个人、组织合法权益造成的危害程度等为标准进行统一分级。

在建立以重要数据管控为核心的数据流通规则方面，要明确不同类型和等级的金融数据的流通范围、处理方式、存储和传输等方面的要求。对于重要数据的流通和处理，应加强监管和审批，确保其安全性和合规性。同时，还需要建立完善的数据备份和恢复机制，以防止数据泄露或损坏带来的风险。

此外，在金融数据的分类分级保护中，还需要重视对第三方服务商的监管和管理。金融数据的处理和存储大多依赖第三方服务商，因此需要对这些服务商进行严格的筛选和管理，确保其服务质量和安全性。同时，也要建立完善的服务商退出机制，以防止不良服务商对金融数据安全造成威胁。

3.3   重视金融数据入境的风险控制和监督管理

数字化时代，金融数据的入境风险控制和监督管理显得尤为重要。我国可以从以下两个方面加强对金融数据入境的监管。

一方面，我国应完善相关法律法规，明确金融数据入境的标准和程序，并制定相应的违规处罚措施，从源头上规范金融数据入境行为。例如，建立金融数据入境后抽检制度。通过不定时抽查的方式，对入境金融数据的内容进行复核，及时发现与弥补前序数字化审查可能存在的不足和漏洞。同时，对入境后金融数据的存储和使用进行必要监管，防止出现数据滥用的情况。

另一方面，金融机构应加强内部管理和风险控制，建立完善的金融数据入境审核机制和备案制度，严格把控数据入境的各个环节，并对入境数据的用途、存储地点、存储方式等作出说明。如果出现违规情形，也便于监管机构事后调查与处理。同时，加强金融机构员工培训，增强员工对金融数据安全的意识和防范能力，防止内部泄露或外部攻击。监管机构应采取辅助监管措施，运用监管科技对入境金融数据进行监管。为此，监管机构应积极运用云计算、大数据等新兴技术，构建数字化入境数据审查通道或平台，以提高审查效率。同时，实时监测和防止含有禁止发布或传输的信息流入我国，一旦发现禁止发布或传输的信息，系统应立即阻断信息的传输，并对相关金融机构进行处罚，以示警告。

主要参考文献

［1］彭德雷，张子琳.数字时代金融数据跨境流动的风险与规制研究［J］.国际商务研究，2022（1）：14-25.

［2］李万强，吴佳芮.金融数据跨境流动的法律规制与中国方案［J］.南通大学学报（社会科学版），2023（5）：80-88.

［3］钟红，杨欣雨.金融数据跨境流动安全与监管研究［J］.新金融，2022（9）：38-44.

［4］王远志.我国银行金融数据跨境流动的法律规制［J］.金融监管研究，2020（1）：51-65.

［5］王春晖.构建数据基础制度需确立现代数据产权制度［J］.中国电信业，2022（8）：33-35.

［6］徐程锦.中国跨境数据流动规制体系的CPTPP合规性研究［J］.国际经贸探索，2023（2）：69-87.

［7］袁康，鄢浩宇.数据分类分级保护的逻辑厘定与制度构建：以重要数据识别和管控为中心［J］.中国科技论坛，2022（7）：167-177.