我国个人金融信息跨境流动的促进与规制路径

卓子寒 王一楠 全婉晴 吕欣润

1(国家计算机网络应急技术处理协调中心 北京 100096)

2(北京德恒律师事务所 北京 100033)

(zzh@cert.org.cn)

随着数字经济的发展，互联网技术和新兴科技为金融行业注入新动力，有效增加和完善金融产品供给，降低金融服务成本，促进金融产品创新.依托互联网金融大数据，国家可有效开展实时监管，维护金融安全和稳定.近年，我国金融监管强化趋势放缓[1]，表明我国在完善法律制度规范的同时，不断加速金融领域市场化改革和改革开放的步伐.

当前，全球互联网金融服务和金融产品蓬勃发展，金融业务涉及的个人金融信息跨境流动呈现场景多样化、传输频次高的特点.相较于由银行主导的传统跨境场景，在新兴场景中个人金融信息处理者范围愈发广泛，例如支付宝和微信等支付平台的出现，占据了支付领域前台位置，而将银行置于后端，个人消费记录和支付信息率先被支付平台获得[2].境外数据接收方范围也不断扩大，例如境外金融科技公司、数据服务商、大数据公司等，可通过合规方式接收境内金融机构或持有个人金融信息的公司的数据.此外，在审慎监管需求下，各国将要求数字货币全面配合反洗钱、反恐融资与客户隐私监管要求，新的个人金融信息跨境实践不断出现.

随着我国数字经济的快速发展和“走出去”发展战略的深入实施，个人金融信息因其对个人、国家的特殊性而愈发凸显其价值，如何统筹国际金融业务中数据跨境流动的安全与发展，已成为网络空间安全的前瞻研究领域，个人金融信息跨境流动的保护与规制正在我国数据安全法律土壤中孕育与生长[3-4].

1 个人金融信息跨境流动规制需要

个人金融信息具有特殊性，既要保护又要共享，在跨越法域的流动中需要进行合理规制.

1.1 个人金融信息的特殊性

个人金融信息兼具私权益和公权益双重属性，私权益属性可分为精神性权益属性和财产性权益属性.此外，为满足国家监管和金融业务开展，个人需让渡一部分信息权利给国家，由此体现其公权益属性.

1.1.1 私权益属性

个人金融信息通常出现于个人向金融机构提供信息时，或在金融活动中产生.个人金融信息属于个人信息，适用于我国对个人信息权益的界定.《中华人民共和国民法典》(简称《民法典》)中将个人信息权益作为一项民事权益，属于人格权，且为人格权中区别于生命权等物质性权益的精神性权益.此外，个人金融信息一旦被侵害，如账户和密码被泄露、信用报告被篡改等，可能导致个人的经济、财产损失等，因此个人金融信息具有鲜明的财产性权益属性[5].上述精神性权益和财产性权益构成了个人金融信息的私权益属性.

1.1.2 公权益属性

在市场机制下，个人金融信息流动具有一定的自发性和盲目性，可能脱离个人知晓范围，甚至脱离国家可对其保护的范围和领域.例如，境内互联网公司与境外证券经营机构合作，通过境内互联网公司的平台网站为境内投资者开展境外证券投资提供交易渠道和服务，一旦发生纠纷或侵权事件，投资者权益将无法得到保障.我国明确设立金融牌照并对境内金融活动主体进行监管，该行为不仅违反和规避了相关监管要求，还对我国金融稳定造成威胁.又如，国家为打击洗钱活动和恐怖融资活动，在特定情形下需将个人金融信息报告监管机构，包括可疑账户、重大可疑交易等，即个人将部分个人信息权益让渡给国家授权机构.上述对个人金融信息的保护与掌控是国家维护金融健康稳定、保障国家经济安全所需，体现了其公权益属性，个人金融信息权益与国家、相关机构的公法目的将被重新衡量.

1.2 个人金融信息跨境流动合理规制需要

我国数字经济海外市场收入占比较低，在国内市场渐趋饱和的情况下，国际市场潜能有待进一步挖掘和释放.当前，金融领域数字化改革不断深入，促进个人金融信息的健康跨境流动对优化我国数字经济和金融服务结构、推动我国经济增长具有重要意义.合理规制个人金融信息跨境流动，有助于建立起国与国之间的个人金融信息跨境流动信任，为外国企业“走进来”、国内企业“走出去”提供安全保障.

个人金融信息跨境流动的促进与规制同样重要，一旦放任个人金融信息流动，可能会加剧滥用、泄露或窃取的风险，侵害个人信息权益甚至国家金融安全.因此，个人金融信息的共享与保护应从金融监管要求、金融消费者保护与数据保护等多个维度进行设计，是个人信息保护与金融监管的交叉研究领域[6-7].个人金融信息跨境传输规制需要考虑一国法律适用范围、行政和司法管辖边界、保护程度等，结合个人金融信息性质和另一法域法律环境，明确传输方义务和接收方处理个人金融信息的合法合理性，并确保传输方式安全，进而完成一次动态的、跨越法域的信息流动.

如上所述，个人金融信息有序流动的关键在于平衡个人信息权利与国家公共利益的冲突，个人金融信息跨境流动进一步增加了平衡国家间金融主权、信息主权以及司法主权冲突的需要.

2 我国个人金融信息跨境流动规制难点

经济全球化带来了更多的个人金融信息跨境流动需求，然而其管理和技术方面存在安全风险，国家间金融信息主权存在冲突，构建健康有序的数据跨境流动环境面临诸多困难，需要平衡多重冲突进行合理规制.

2.1 个人金融信息范围与界定不明确

我国早期法律法规是基于金融行业管理和个人财产权保护的目的规范金融信息使用，2011年《中国人民银行关于金融机构做好个人金融信息保护工作的通知》对“银行业金融机构”范围的个人金融信息进行了较全面定义.从获取途径上分为开展业务时收集和产生的、接入中国人民银行相关系统获取的、在以上收集和获取信息基础上加工获取的；从类别上分为个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息、衍生信息和其他信息等.2013年《征信业管理条例》对开展征信业务的征信机构采集个人信息，及国家设立金融信用信息基础数据库接收和提供信贷信息进行了规定.金融行业由于职权、职责及监管所限，使得个人金融信息在不同语境下自成群落，更类似于一种集合.

随着我国对个人信息保护和数据安全的重视，2016年《中华人民共和国网络安全法》(简称《网络安全法》)出现个人信息和重要数据的分类，2017年《信息安全技术 数据出境安全评估指南(草案)》将金融机构安全信息和自然人金融信息界定为重要数据，列举了个人财产信息、账户信息、个人信用信息、金融交易信息、身份信息和衍生信息等[8].2020年中国人民银行《个人金融信息保护技术规范》提出个人金融信息的性质“是金融业机构在提供金融产品和服务的过程中积累的重要基础数据，也是个人隐私的重要内容”，将个人金融信息定义为“金融机构通过开展业务或其他渠道获取、加工和保存的个人信息.包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息”.2020年《信息安全技术 个人信息安全规范》将银行账户、征信信息、交易信息列举为个人敏感信息[9].2021年《中华人民共和国个人信息保护法》(简称《个人信息保护法》)在第28条将“金融账户”归入敏感个人信息.

综上，金融领域和数据安全领域均对金融行业信息保护提出要求，但落脚点与金融机构、金融业务密不可分，个人金融信息的范围也因此受限.目前金融业务不断创新，致使个人金融信息范围越发模糊.此外，相关法律法规暂未明确界定个人金融信息属于重要数据、个人信息，还是个人敏感信息.个人金融信息范围和性质界定不明，加剧了对其进行跨境流动规制的困难.

2.2 个人金融信息面临多维保护和监管要求

《个人信息保护法》出台后，个人金融信息面临多维的保护和监管要求，间接影响对其的跨境流动规制.

2.2.1 个人信息权益保护

近年，网络借贷和互联网金融带来了大量安全风险隐患，2016年银监会和国务院办公厅分别发布风险专项整治工作实施方案，重点打击“套路贷”和暴力催收的数据源头.多家风控数据提供商因爬取个人金融数据为银行和消费金融公司提供服务而被查处.北京银保监会印发《关于规范银行与金融科技公司合作类业务及互联网保险业务的通知》，要求银行、保险中介机构等“严禁与以‘大数据’为名窃取、滥用、非法买卖或泄露客户信息的企业开展合作”.2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，将“非法获取、出售……征信信息、财产信息五十条以上的”和“非法获取、出售……交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的”作为侵犯公民个人信息罪的情节严重情形.2020年《民法典》在民事权利章中明确自然人的个人信息与自然人的人身自由、人格尊严同样受法律保护.个人金融信息的共享与保护同样在此路径下展开.

2.2.2 金融消费者权益保护

专业金融机构与金融消费者掌控的信息存在不对称性，金融消费者在交易中处于弱势地位，容易遭受金融诈骗.相关立法逐渐从金融机构承担传统保密义务延伸至保护金融消费者的信息权益.2012年《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》，从保护金融消费者合法权益和维护金融稳定角度强调了银行业金融机构对客户个人金融信息的保护义务.2020年《中国人民银行金融消费者权益保护实施办法》提出“银行、支付机构应当建立以分级授权为核心的消费者金融信息使用管理制度，根据消费者金融信息的重要性、敏感度及业务开展需要，在不影响本机构履行反洗钱等法定义务的前提下，合理确定本机构工作人员调取信息的范围、权限，严格落实信息使用授权审批程序”.

2.2.3 金融行业数据保护

个人金融信息的特殊性越来越受到数据安全领域重视，2011年《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》，对银行业金融机构在中国境内收集的个人金融信息提出了本地化要求，即必须在中国境内存储、处理和分析，并禁止向境外提供.《征信业管理条例》对征信机构在中国境内采集的信息提出本地化要求，若向境外组织或个人提供应遵循有关规定. 2019年中国人民银行下发《个人金融信息(数据)保护试行办法(初稿)》(简称《试行办法》)，规定在本地化存储的前提下，境内金融机构需满足5方面要求方可开展数据出境活动：1)处理跨境业务所需；2)取得主体明确同意；3)进行安全评估；4)出境前与境外接收方签署协议；5)出境后保存记录并履行监督义务.2020年中国人民银行发布《个人金融信息保护技术规范》再次确认了《试行办法》中的监管框架，仅在文字上进行部分调整.此外，2020年《中华人民共和国数据安全法》(简称《数据安全法》)规定，除中央国家安全领导机构统筹国家数据安全工作外，各地区、各部门对各自工作中收集和产生的数据及数据安全负责，工业、电信、交通、金融等主管部门承担本行业、本领域数据安全监管职责.

2.3 个人金融信息具有多重定位

《数据出境安全评估办法》将数据出境描述为数据处理者向境外提供在我国境内运营中收集和产生的数据.因此，数据跨境流动框架中对个人金融信息的规制范围超越了行业划分或职权职责的限制.个人金融信息在我国现有数据跨境流动框架中显现出多重定位.

首先，个人金融信息可以成为个人信息的下属概念，即个人信息中涉及开展金融业务所需的信息，如金融账户、金融交易信息等.在我国，金融账户等一旦泄露或非法使用，容易导致自然人财产安全受到危害的个人信息属于敏感个人信息，应遵循《个人信息保护法》中敏感个人信息的处理规则.其次，个人金融信息也可能因数量上的聚集成为重要数据.此外，银行、证券公司、保险公司等运营个人金融信息的机构，越来越依赖信息通信技术基础设施，保护金融机构的信息安全成为与个人金融信息相关的又一重要内容.

在个人信息出境方面，《个人信息保护法》第3章要求，个人信息处理者因业务等需要，确需向境外提供个人信息的，应满足以下条件之一：1)进行国家网信部门组织的安全评估；2)进行专业机构组织的个人信息保护认证；3)与境外接收方订立标准合同；4)通过中国缔结或参加的国际条约、协定.在关键信息基础设施运营者(简称关基运营者)和重要数据出境方面，结合《数据安全法》第31条、《网络安全法》第37条规定，关基运营者在境内运营中收集和产生的个人信息和重要数据因业务需要，确需向境外提供的，应当进行安全评估；其他数据处理者在中国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定.再结合《网络安全法》第37条和《个人信息保护法》第40条中数据本地化的要求，关基运营者在境内运营中收集和产生的个人信息和重要数据、处理个人信息达到网信部门规定数量的个人信息处理者在境内收集和产生的个人信息应当存储在境内.我国多重出境规则的设计对个人金融信息的适配性需进一步考量.

3 我国个人金融信息跨境流动促进与规制路径

在进行个人金融信息跨境流动规制设计时，应平衡不同维度法益冲突，协调不同规则与数据跨境流动需求的适配性.

3.1 平衡不同维度法益冲突，促进个人金融信息流动

数据跨境流动已成为统筹安全与发展的重要命题，随着我国个人金融信息跨境流动频次的不断增加，如何对其进行张弛有度的数据跨境流动规制，面临前所未有的挑战.个人金融信息的双重属性和数据跨境流动跨越不同法域的特点，引起多重法益冲突，平衡这些法益冲突是促进个人金融信息流动与规制的核心.

3.1.1 平衡私主体与金融机构的权益

个人金融信息具有公益属性，个人往往将其部分金融信息权利让渡给金融及公权力机构，包括个人提供给金融机构的信息、个人参与金融活动过程中产生的信息、金融机构通过大数据分析生成的用户画像、增值数据等.而就衍生数据及增值数据是否进入金融机构使用权益范围，是否可以不经个人同意进行数据分享有待更明确的规定[10].这将直接影响个人金融信息权利的实现和金融机构个人金融信息共享的义务，并对跨境场景下金融机构个人金融信息保护义务和信息主体权利的行使产生一定影响.因此，界定私主体与金融机构关于个人金融信息处理的权利与义务尤为重要.

3.1.2 平衡金融机构义务与其他国家管辖权的冲突

参考各国数据跨境流动规制路径，在跨境场景下，国家对个人金融信息的监管要求与金融机构对消费者个人信息的保护义务时常发生冲突.对此，各国结合自身的数字经济规模、国际影响力和金融科技发展水平采取不同策略.例如，美国在互联网技术和数字经济规模均居于领先地位，国内市场对其他国家具有很大吸引力，因此推崇数据自由流动理念，旨在降低其他国家数据进入境内的门槛以汇聚信息.为了更好地掌握数据资源，美国反对数据本地化存储，虽然出于监管需求在跨太平洋伙伴关系协定(trans-pacific partnership agreement, TPP)中并未禁止金融机构数据本地化，但在此后的各类贸易谈判中对金融数据本地化仍持反对态度[11].此外，美国采用外商投资审查方式审慎防范他国获取其公民的个人金融信息，且通过《爱国者法案》确立对有关外国人和外国金融机构的长臂管辖，以获取他国掌握的个人信息[12].中资银行因在美国设有分行而收到传票，被要求提供相关人员在中国境内账户信息的情形时有发生，这引发了我国金融机构保密义务与美国司法和执法管辖的冲突[13].

3.1.3 平衡国家安全与数据自由流动之间的法益冲突

数据要素市场中，数据的自由流动和合理配置有助于市场开放透明、打破市场信息垄断，使资源处于最佳配置状态，给国家带来巨大的经济利益[14].个人金融信息对个人和对国家都具有重要价值，个人金融信息泄露不仅会造成个人财产损失，更可能因不当开发和使用对国家金融稳定和国家经济安全带来威胁.个人金融信息的跨境流动加剧了安全风险隐患：在跨境传输技术上，服务器之间的数据传输存在一定风险；在数据传输之后，数据的处理和存储安全也面临挑战.在国家安全与数据自由流动的权衡中，一刀切的监管与规制无法适应个人金融信息跨境流动需求.在对个人金融信息跨境流动进行规制时，应将安全与发展并重，在保障国家安全和数据安全的前提下，发挥金融市场要素配置的自主性.

3.2 促进个人金融信息监管要求与数据跨境流动规制衔接

3.2.1 细化跨境场景下个人金融信息界定

对个人金融信息的范围和性质进行明确，是对其进行监管和跨境流动规制的前提.但如前所述，监管视角下的个人金融信息范围受到“金融机构”和“金融业务”的限制.只有明确个人金融信息的范围、权属才能将国家金融监管要求与数据跨境流动规制相结合，达到1+1>2的效果；只有细化个人金融信息在数据跨境流动规制中的界定，才能更好地基于数据类型、敏感阈值和存储需求展开规制设计.

各国均面临如何界定个人金融信息范围和权属的难点.针对个人金融信息范围，美国在《金融服务现代化法案》(Gram-Leach-Bliley Act, GLB)中定义“非公开个人信息”，美国国家信用合作社管理局(Nationwide Credit Union Association, NCUA)对此有2种不同解释：一种为可识别个人身份的金融信息和任何列表、描述以及使用可识别个人身份的金融信息获得的相关公开信息.这一规则将公开信息排除在非公开个人信息范围之外，但如果某一可公开获取的信息来自于消费者向金融机构提供的信息，则该公开信息将被视为非公开个人信息，如金融消费者向金融机构提供的地址信息等.另一种则允许金融机构发布可公开获取信息，但仍然禁止将此信息作为个人可识别信息衍生的消费者列表、描述或者其他分组的一部分进行公开[15].最新规则对此进行折中，通过明确何为“可公开获取的信息”以缓解金融机构的证明困难，并规定可公开获取的信息不属于非公开个人信息.此外，GLB法案中将个人可识别金融信息定义为金融机构在为消费者提供金融服务和产品时获取的信息.该定义引起较大争议，学术界认为个人可识别金融信息不应当包括非金融信息，因此NCUA和其他机构在最新规则中对此增加举例.针对个人金融信息的权属，美国通过建立“通知”和消费者“选择退出”的机制，将金融消费者个人金融信息的部分使用和共享权赋予金融机构.

我国在个人金融信息的范围和权益上亟待完善[16]：首先，对于个人金融信息是否必须与金融相关需要更明确的规定，比如个人地址、电话、身体健康状态可因金融业务需要被金融机构收集、存储，但在相关金融业务结束后是否仍属于个人金融信息有待说明；其次，《个人信息保护法》以“知情-同意”为处理个人信息的核心合法性基础，但在个人信息跨境传输设计中，取得个人同意为数据处理者义务，并非跨境传输的核心合法性基础，即在个人同意之外仍需其他合法基础.在该路径下，境外金融机构若需处理境内个人金融信息，个人的授权只是基础，个人对信息的使用权、携带权会遭受一定程度干预.此外，在个人金融信息的性质界定上，《个人金融信息保护技术规范》认为个人金融信息是个人隐私的重要内容，并且“一旦泄露，不但会直接侵害个人金融信息主体的合法权益、影响金融机构的正常运营，甚至可能会带来系统性金融风险”.其本意在强调个人金融信息的重要，但因个人金融信息范围广泛，其内容敏感性不能从单一角度衡量，如个人账户信息与个人姓名的敏感性并不相同，笼统地将个人金融信息作为个人隐私或敏感个人信息不能反映其特点[17].从《数据安全法》规定国家建立数据分类分级保护制度，到《金融数据安全数据安全分级指南》根据金融数据的敏感程度分类，再到《网络数据分类分级指引》进一步指导网络数据分类，我国个人金融信息跨境相关要求暂未与上述分类分级标准相结合，在规制时应细化其范围和性质界定[18].

3.2.2 规范监管域与非监管域间的个人金融信息流动

我国将个人金融信息作为一种特殊的个人信息进行保护，在个人金融信息和金融机构范围不断扩张的趋势下，传统金融行业监管存在滞后性和不足.因此，在衔接监管场域与跨境场域下的个人金融信息规范时，应注重 “监管域”与“非监管域”之间的个人金融信息流动.一方面，当监管域内的金融机构将信息提供给非监管域的机构时，应要求其提供与自身同等水平的安全保护；另一方面，对于非监管域下的信息流入，应了解信息来源的合法性、准确性和真实性，以防范风险[19].

3.2.3 促进本地化要求与数据跨境流动规制衔接

我国规定关基运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，在境内收集和产生的个人信息应当存储于境内.金融机构大多掌握海量个人信息，依据规定应存储于境内，这在金融机构的相关规范性文件中也有体现.但存储于境内并非禁止跨境传输，应结合金融行业关联机构、关联业务的特点，明确跨国银行等关联机构、分支机构内部数据传输的合理性，以及因业务需要进行跨境传输的必要情形[20].

3.3 促进区域间条约和协定与数据跨境流动规制衔接

根据《个人信息保护法》第38条，我国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行.该条款为根据国际条约、协定进行数据跨境传输提供了法律依据.目前，我国已正式加入《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership, RCEP)，已申请加入 《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership, CPTPP)，准备加入《数字经济伙伴关系协定》(Digital Economy Partnership Agreement, DEPA).RCEP和CPTPP在电子数据传输方面具有广泛的包容性和弹性，考虑到成员国不同情况，给予就数据跨境传输提供例外规范的空间.我国数据跨境流动规制应从国际合作视角出发，与区域间条约和协定相衔接，加强我国与其他国家和地区的国际交流合作，达到深化金融领域“改革开放”的目的[21].

与国际条约、协定相衔接，首先应判断个人金融信息在相关条约、协定中的位置，是否属于电子商务章中以电子方式进行跨境传输的规制范围内；其次应考虑跨境传输规则的原则与例外，遵守原则规定，在例外情形下结合国家实际情况和需求进行规制；最后，应尊重其他国家的保留和例外条款.这样才能建立起相互间信任关系，有效发挥条约与协定中个人信息跨境传输规则的作用.虽然RCEP规定的以电子方式进行数据跨境传输并不适用于金融服务，但RCEP在第16条将金融服务的数据跨境流动和计算设施位置纳入电子商务对话，我国若能与其他国家和地区达成相互承诺，出于公共政策目的对个人金融信息监管采取保护措施，将会促进各方的个人金融信息跨境传输.

4 总 结

当前，数据跨境流动安全成为网络空间安全的前瞻研究领域，个人金融信息跨境流动在数字经济和金融科技发展中存在广泛的现实需求，为统筹好国际间金融业务的安全与发展，需要对其进行合理规制.个人金融信息兼具私权益属性与公权益属性，只有细化个人金融信息的范围和数据性质，才能划分信息主体和相关机构对个人金融信息享有的权益边界，从而进一步结合个人金融信息类别进行跨境流动规制.实践中，金融业务创新促使金融活动主体范围扩张，通过规范监管域与非监管域之间的个人金融信息流动、协调本地化与金融机构间业务需要的信息流动，可以合理促进我国个人金融信息跨境流动.此外，我国在设计规制路径时还应当考虑与区域间条约、协定相衔接，以促进区域间金融合作与发展，提升我国在信息领域的国际话语权和影响力.基于数据类型、敏感阈值和存储需要进行具体规则设计，并与区域间条约协定相契合，将成为促进与规制我国个人金融数据跨境流动的合理路径.

致谢本课题研究过程中得到了北京理工大学洪延青教授、西安交通大学李金特聘研究员的帮助和指导，在此一并感谢.