我国金融数据跨境流动机制现状与因应之策

王 婷

（上海政法学院 国际法学院，上海 201701）

当前，我国正处于转变经济发展方式、优化经济机构的关键阶段，国务院印发的《“十四五”数字经济发展规划》提出构建数据要素市场体系，以数据要素驱动产业转型升级和变革，推动我国数字经济的发展。数据要素市场化是形成由市场配置的数据资源体系的动态过程，这个过程中不可忽视的便是关于数据安全和数据红利的平衡。数据资源作为基础性的战略资源，本身具有复杂性和多样性，为保障本国的数字经济和国民利益，各国和地区采取相应措施规制数据的市场化流动。考虑到金融行业的特殊性以及其对国家经济发展的重要性，我国对金融行业的监管力度一直较为大。跨境金融业务数字化的迅速发展下，金融数据的跨境流动需求愈发增加，相关金融监管部门和国家网信部门近年来一直致力于完善金融数据的市场监管体系，为金融业机构提供具有操作价值的合规指引。

一、金融数据跨境流动的内涵

1980 年OECD 颁布的《关于隐私保护和个人数据跨境流动的指南》首次提出了数据跨境流动（Crossborder Data Flow）的概念，不过目前各国对于跨境的界定尚未形成统一的认识。一般普遍理解为数据以点到点的方式，跨越国家或地区、进行数字化传递。[1]其中以境外实体的接触作为跨境的标准，可表现为三种方式：第一种是数据真实直接地从一国或地区转移到境外，接收者在境外获取数据，包括跨境传输以及直接跨境进行数据采集；第二种是以跨境访问的方式进行间接转移，即境外的组织、机构或个人等主体能够直接访问储存于境内的数据；第三种方式是直接向在本国或本地区境内，但不属于其司法管辖范围或并没有在境内注册的主体转移数据。数据性质的不同使得数据跨境流动的监管合规要求存在差异，故探讨金融数据的跨境流动，首先应当厘定金融数据的内涵，以便对标专门的监管合规要求。

金融数据是全面概述金融行业所有数据的大的集合概念，既包括金融机构收集的原始数据，也包括其处理加工后的信息。[2]其跨境流动的监管起源于保护个人隐私的需求，因为个人金融信息不仅具有须监管的金融属性，而且兼具个人属性。但随着各国深度挖掘数据背后的潜在价值，金融数据在国际经贸中成为极具竞争力的优势资源，金融数据跨境流动保护的内涵已超过仅就个人金融信息进行保护的内涵。根据相关法律规定以及国家金融行业标准，目前我国将金融数据定义为：金融业机构在开展金融业务、提供金融服务以及日常经营管理时所需或产生的各类数据。监管对象为包括银行业金融机构在内的所有受监督管理的持牌金融机构，诸如保险机构、金融租赁机构以及信托机构等，此外，诸如提供基础技术服务的信息技术服务商、支付机构等接受委托的第三方，在金融数据保护领域，也被视为产生金融数据的金融机构。

二、金融数据跨境流动的典型场景

金融数据跨境流动的需求主要是基于金融业机构业务经营和境外法律监管两个方面。在经济全球化趋势下，金融业迅速拓展海外业务，并转向混业经营模式，各金融企业纷纷在海外设立子公司、分支机构和分公司等，金融控股公司的数量逐年增加，这类公司在集团的统一筹划下开展跨境投融资业务，建立囊括保险、信贷、融资租赁等多种业务领域的集团业务网络，形成跨国金融集团或涉及金融展业的跨国综合性集团，诸如具有代表性的银行业机构，我国的工商银行、中国银行农业银行、中国平安集团等，以及保时捷、梅赛德斯奔驰等为代表的汽车集团布局下的汽车金融行业。从业务经营管理的角度来看，金融数据跨境流动主要表现为以下四类场景：

第一，针对特定客户的展业需求。一国的子公司或分公司在开展跨境业务时，因业务办理的必要，将数据传输至母公司和总公司。诸如境内公司参与投资并购等业务时，将相关交易数据向境外公司传输。

第二，基于全球业务的风险管理与评估，以及用户画像和服务改进等客观需求，金融数据的跨境共享和流通成为必要，主要包括包括母公司和子公司之间、各子公司之间以及各关联公司之间的共享和流通。金融业务的本质和关键在于进行全面的风险管控，数据的共享不仅有利于防范金融风险，而且能够优化交易程序和结构。以金融控股的汽车融资租赁公司为例，随着智能移动出行的流行，各类车企纷纷抢占汽车融资租赁市场。融资租赁业务中的风险防控的核心要点之一是对承租人的资格审查，其中涉及承租人的信用和财务状况等金融信息。融资租赁公司往往会通过共享其集团公司收集、储存的关于客户的金融信息，对承租人进行风险等级评估，用以设计和调整交易结构，降低交易风险，尤其是在提供B2B 产品的过程中。

第三，与境外独立第三方服务机构的合作，主要是指境内金融机构委托非关联的第三方机构对其数据进行处理、分析，诸如审计。

第四，基于境外民事诉讼或仲裁等争议解决的需求，金融数据作为民事证据的传向境外。如在境内交易中，境外一方参与者因内幕交易等遭受损失，其在境外提起诉讼或仲裁，境内公司可能需要将相关金融数据作为民事证据在境外提交。

配合境外监管部门对金融行业的特别监管是金融数据的第二类出境需求。境外的监管部门出于审计、反恐怖融资与反洗钱监管、打击金融犯罪等司法目的，通常会要求上市公司提交其跨境经营的金融控股公司的相关金融数据，包括交易记录、资金流进流出、关联交易信息，以及披露相关财务信息等。

三、我国金融数据跨境流动的规制体系

我国对于金融数据的跨境流动采取双轨制的方式进行监管。金融数据的跨境流动既要遵守法律法规对于数据跨境流动的一般性规定，也要符合金融监管部门作出的专门性规定。

（一）金融数据跨境流动的一般规定

2017 年起施行的《网络安全法》，2021 年9 月起施行的《数据安全法》，以及2021 年11 月起施行的《个人信息保护法》，共同构成了我国数据保护的“三架马车”，对数据跨境流动作出最基本的要求。

《网络安全法》重视保护关键信息基础设施产生的数据，金融行业作为此类基础设施，原则上要求其运营者在我国境内收集、产生的个人信息和重要数据实现本地化存储，不得向境外传输。例外的，基于业务的需求，可在通过安全评估后进行跨境流动。《数据安全法》沿用了《网络安全法》关于金融业数据跨境流动的规定，并进一步丰富了数据跨境流动的规制框架。

其次，《数据安全法》要求对影响或可能影响国家安全的特定数据处理行为开展安全审查，而金融数据的跨境流动属于须审查的范畴。再者，该法还从出口管制的角度限制金融数据的跨境流动，类似于有些国家对于科技数据的出口管制，主要也是为了维护国家安全和利益。

《个人信息保护法》设专章规定了个人信息跨境流动的基本规则，除前述两个法案规定以安全评估形式实现数据跨境流动外，增设了另外两个合法性基础，一是境内数据传输方取得专门的个人信息保护认证；二是与境外接收方订立标准合同。在此基础之上，该法对境内数据传输方提出了数据出境的四个具体要求：1.取得相关个人的单独同意，并向其披露数据跨境流动的必要信息，包括境外接收者的主体信息和相关信息跨境目的、处理方式等；2.确保境外接收者处理相关信息达到该法的同等保护标准；3.开展事前个人信息保护影响评估，包括从合法性、正当性和必要性三方面评估信息处理目的和方式，分析对当事人个人权益的影响等；4.对于金融业等有特殊监管要求的数据，还应符合相关的特别规定。

上述都是关于数据保护普遍适用的规定，并没有单独就金融数据的跨境流动作出特别要求。金融监管部门和网信部门以上述法律规定为基本内核，制定专门规制金融数据跨境流动的法律体系。

（二）金融数据跨境流动的特别性规定

金融数据跨境流动的规制始于金融监管部门的特别性规定，其监管从严格的本地化存储逐渐转变为当前的附条件的跨境转移。[3]

中国人民银行（以下简称“央行”）在2011 年发布的《关于银行业金融机构做好个人金融信息保护工作的通知》（以下简称“17 号文件”）是我国关于金融数据跨境流动的第一个规范性文件。2011 年5 月，央行上海分行发文就17 号文件规定例外情形作出解释，在银行业金融机构以办理业务的为目的需跨境传输个人金融信息的情形下，取得客户的书面授权或同意，接收对象仅为银行机构的总行、分行或母行，且接收对象对相关信息保密等四大条件均满足时，允许完成跨境转移的动作。这也是金融数据严格本地化要求到附条件跨境转变的开始。

2016 年，央行发布了《金融消费者权益保护实施办法》（第314 号文件），该办法扩大了产生金融数据的金融机构的范围，除银行业机构以外，将征信机构以及提供金融产品和服务的其他金融机构、非银行类支付机构，都作为受约束的金融机构。在坚持个人金融信息原则上不出境的要求上，进一步明确了允许出境的例外条件：1.业务所需；2.经当事人授权；3.境外接收者应当是办理业务所必需的关联机构，包括母子公司、总公司和分公司等；4.以协议和现场检查等措施约束接收对象予以保密。但央行2020 年9 月发布的修订版删除对例外情形的描述。2020 年修订版与原办法关于金融数据的来源主体的规定有所区别，修订版本主要是规制银行业金融机构以及支付类机构，但在附则部分列举了其他应参照适用该办法的金融相关机构，包括信托公司、汽车金融公司等，对与金融机构的类型更明确，但其实际范围小于原文件的金融数据来源主体范围。

（三）推荐性国家标准

在“一般性规定+特别规制”的双轨法律基础上，我国实际上形成了“法律+法规+国家标准”的三位一体数据保护和监管模式。法律法规关于金融数据跨境流动的规定是原则性的规定，国家网信部门联合其他单位和机构制定了数据保护的国家标准。实践中，监管部门和网信部门主要还是以这类标准作为监管和保护数据的重要参考和依据。这类推荐性国家标准兼具可操作性和可预测性，也是金融业机构用以设计企业数据合规制度的重要指引。

2020 年2 月，央行发布了《个人金融信息保护技术规范》（JR/T 0171-2020），该国家标准沿用前文第314 号文件对境外接收者的限制性要求，允许个人金融信息在集团内部进行跨境流动。《数据安全分级指南》则以数据安全性遭遇破坏后的所影响的对象，以及相应造成的影响程度为定级依据，将金融数据划分为5 个安全级别。其中，5 级数据主要是指其安全性破坏后，对国家或公众权益造成重大影响的重要数据。而2021年4 月发布的《金融数据安全数据生命周期安全规范》（JR/T 0223-2021）（以下简称《数据生命周期安全规范》）规定，在我国境内产生的5 级数据仅可在我国境内存储。不过，关于数据出境安全评估以及个人信息保护影响评估的规范性文件目前仍处于征求意见稿阶段，有待相干部门进一步研究发布。

（四）金融数据跨境流动的具体路径

我国目前允许附条件出境的金融数据为个人金融信息和重要金融数据两类。综合来看，个人金融信息的出境需满足以下条件：1.完成业务所必需；2.境外接收对象限于总分公司、母子公司以及完成业务所必需的关联机构；3.获得个人信息主体的明示同意，并向其披露必要信息，包括境外接收者基本信息、跨境处理目的以及方式等；4.通过出境安全评估；5.开展事前个人信息保护影响评估；6.采取一定措施，确保境外接收者达到与我国同等的数据保护水平。重要金融数据出境的条件则规定得比较简单，仅明确要求两点，一是基于业务的必需，二是须通过安全评估。

四、我国金融数据跨境流动机制之完善建议

金融数据的跨境流动是为了更好的利用数据价值，规制金融数据的跨境流动则是为了驱动数据跨境流动向善，平衡金融效益和数据安全。基于现有监管模式，笔者提出如下建议：

（一）定义业务需求，划定数据出境场景

“业务需求”当前金融数据出境的前提性条件，而具化金融数据跨境转移中“业务需求”的认定条件，对金融数据跨境流动场景进行定义和划分，有助于增加数据跨境合规的条件或情形。[4]可将金融数据在集团内部以及向第三方机构的跨境转移的客观需求作为合规的场景，并根据不同业务需求下跨境流动的风险度和安全性，调整数据转移方和接收方具体的权利和保护义务。

（二）分类分级管理金融数据跨境流动

分类分级管理是我国数据保护的基本思路和理念。金融市场的核心竞争力之一是捕获变化的金融信息，金融机构通过信息数据的流通和共享及时调整金融风险处置方案和业务经营管理，其对金融数据时效性的要求高于一般行业。[5]规制金融数据的跨境流动影响着金融数据的时效性。正当、合理的规制机制应当是通过规制手段避免的潜在损失或因此取得的利益，大于监管规制所投入的成本。[6]为平衡金融效益和数据安全，应将分类分级的数据管理理念贯彻到金融数据的跨境流动规制中。《个人金融信息保护技术规范》以信息敏感度为划分标准，将个人金融信息划分为C3，C2，C1 三个类别，《数据安全分级指南》则以数据破坏后所影响的对象，以及其造成的影响结果作为依据，划分为1 到5 共五个等级，并将个人金融信息的划分标准与其5 个等级标准一一对应。

在此基础上，监管部门可将《数据安全分级指南》的分级标准和分级结果与金融数据的跨境流动联动，对标数据安全等级具化出境安全评估的要求，构建合理高效、差异化的审查评估机制。一方面，针对安全等级和风险等级均较小的金融数据，可以监管部门日常监管状况作为出境安全评估的参考要素，对于日常监管状况良好的金融业机构，可简化评估流程和内容。另一方面，对于安全等级较高的金融数据，严格执行现有监管要求，但可允许其通过数据脱敏或其他安全加工处理等方式降低安全等级，使得出境安全评估更具层次化。

利于金融业机构对标建立合规体系，相关监管部门评估工作也更层次化。

（三）制定金融数据跨境流动的标准合同

数据保护义务原本主要是公法层面的义务，而标准化合同则是通过合同的方式将其转化为私法层面的义务，将数据保护的方式标准化。[7]在个人信息的跨境流动规制中，我国法律已规定以网信部门制定的标准合同作为个人信息出境的合法性基础，金融数据的跨境流动可参考该做法，制定对应的标准合同以简化出境评估内容。关于数据出境的安全评估办法，我国先后公布了四份征求意见稿。尽管各版本在规制的数据对象、以及评估内容和评估时间上存在差异，但其均要求评估时重点审查与境外接收者订立的合同，关注对境内外双方关于金融数据保护的权利义务和责任的规定，以及合同条款对金融数据主体的保护状况和权利救济方式等。故可分类整合出境安全评估的内容，将可通过合同条款规制的数据保护要求，结合主管部门对金融数据的特别监管要求，制定兼具风险可控和金融效率的金融数据出境标准合同。既可为金融业机构提供规范性的合规指导，也有利于分散出境安全评估阶段的审查压力，进一步优化评估流程和时长。

（四）建立出境评估白名单

金融监管部门采取日常监管为主，出境备案为辅的跨境合规模式，减少金融数据跨境流动的壁垒。鼓励在内部建立有完善的数据跨境流动合规体系的企业或组织，向监管部门申请白名单认证，尤其是集团内的金融控股公司。因为集团内部一般拥有非常完善成熟的数据保护机制，部分跨国集团可能还符合欧盟GDPR 中所指的有约束力的企业规则（BCRs）。其次，从数据安全的角度来看，集团内部跨境传输金融数据时，其风险暴露程度和安全等级远小于对非关联第三方的跨境流动。目前，欧盟的GDPR，美国、韩国等国家和地区的法律规定，对于以集团内部主体为境外接收对象的金融数据跨境流动，如有获数据保护机关批准的BCRs，则可直接在集团内实现数据的跨境流通。

监管部门可就申请企业内部的合规体系及其具体执行情况进行审查，包括数据的日常基本保护状况以及数据安全事件的频次等，并结合现场检查和访谈等方式核定企业是否达到我国关于金融数据安全跨境流动的要求。此外，借鉴金融局开展年度监管评级的基本模式，在金融数据跨境流动领域，同样以“非现场监管+现场检查”的思路监测调整出境评估企业，保障金融数据跨境流动的可控性和安全性。