张凯
数字经济时代,银行机构的业务拓展高度依赖数据。在依法合规的前提下,金融数据的跨境流动可以有效降低银行机构的跨境经营成本,提高其核心竞争力。本文认为在当前已经出台《数据出境评估办法》的情况下,应尽快完善金融领域数据跨境流动监管规则,健全金融数据出境管理框架,审慎协同推进金融数据出境试点,从而最大化发挥金融数据跨境流动的价值。
一、引言
随着中国金融市场对外开放进程不断推进,境内外资银行的业务范围不断扩大,数量稳步增长。截至2021年末,共有来自51个国家和地区的银行在华设立了分支机构,外资银行营业性机构总数已达929家。与此同时,在“一带一路”政策的支持下,中资银行国际化经营逐步扩大,工行、农行、中行、建行、交行五家大型商业银行的海外机构数量从2012年底的1085家增长至1286家,基本形成了遍布全球主要国家和地区的服务网络。
2022年9月,国家网信办出台的《数据出境安全评估办法》正式实施,我国对于数据跨境流动合规性管理日趋完善。金融行业作为数据密集型行业,金融数据的跨境流动需求天然存在,同时在数字经济发展的背景下,中国境内的外资银行和境外的中资银行在拓展金融业务时,出于降低运营成本的目的,迫切希望可以复用母行业务系统和信息资源,这样就涉及到了金融数据跨境流动的合规性问题。本文在对主要国家金融数据跨境流动监管规则剖析的基础上,深入分析我国境内外资银行金融数据出境情况和境外中资银行数据本地化情况,提出我国推动金融数据跨境数据流动的应对策略,以期为金融数据跨境数据流动合规性提供借鉴与启发。
二、主要国家金融数据跨境流动的监管规则
目前国际上对于金融数据跨境流動的“依法依规监管”共识已全面形成,各国基于自身经济发展和价值取向的差异化,对于跨境数据的流动采取了不同的管理模式。在此本文以美国、欧盟、中国的三种监管模式进行说明。
(一)美国“宽进严出”的监管模式
在美国国内的一般性立法中,难以发现禁止或限制数据跨境传输的明确要求,但是美国并未放开国内重要数据的管控,诸如《外国投资风险评估现代化法案》《出口管制条例》等法案通过外商投资安全审查、出口管制等手段对关键领域数据采取相关的跨境限制措施。美国对于跨境数据流动的法律监管主要体现在:一是通过赋予其国内金融监管制度的域外效力来实现,即以“长臂管辖”扩张其跨境数据执法权。例如2018年通过的《澄清境外数据的合法使用法案》规定,无论数据是否存储在美国境内或境外,都赋予美国政府调取他国存储于境内数据的法律权限;二是多体现于国际合作而共同制定的规则中,例如APEC的跨境隐私规则体系,跨大西洋数据隐私框架等。值得注意的是2022年4月,美国商务部发布《全球跨境隐私规则声明》,强调弥合数据监管规则的差异,强化美国在数据跨境流动领域话语权,巩固美国数据跨境流动监管协调的主导权,在国际社会中组建以美国为中心的小型“数据跨境流动监管圈”。
(二)欧盟“内松外紧”的监管模式
2018年欧盟出台了《一般数据保护条例》(GDPR),该法案主要侧重个人权利和个人信息数据保护。对内,欧盟成员国施行统一的单一法令,消除成员国数据保护规则的差异性,消除非个人数据在储存和处理方面的地域限制,推动欧盟范围内数据资源的自由流动;对外,欧盟对数据传输进行严格的管控,需要达成“充分性协议”,将经过充分性认定的国家纳入数据跨境自由流动白名单,对签署协议的“白名单”国家采取跨境数据自由流动的策略,呈现出“内松外严”的态势。
(三)中国以数据安全为导向的监管模式
中国对跨境数据流动的管控是基于《网络安全法》《数据安全法》《个人信息保护法》组成的国家层面数据安全领域基础性法律体系,并配套《数据出境安全评估办法》《网络安全审查办法》等监管规则。2017年之前我国对银行机构数据跨境管控主要由金融监管部门负责,之后随着跨境数据流动立法的完善,相关职责将统一由国家网信部门牵头承担。我国对金融机构和个人信息数据出境的监管主要以自身安全和隐私保护为主,目的在于保护隐私和个人信息、公共政策和国家安全,监管重点是监督在我国境内的数据提供者是否履行我国法律所要求的法律责任,而不是扩展我国法律的域外效力。
三、我国银行机构金融数据跨境流动情况分析
中国经济当前正处于转型升级的关键期,实体经济发展需要强有力的金融支持,我国境内的外资银行和境外的中资银行作为金融市场“引进来”和“走出去”的重要手段,可以提高国内金融资源配置效率和金融服务水平,增强国际金融规则制定的话语权。然而上述两类银行机构在跨境经营时普遍遇到了金融数据本地化管控和金融数据出境管控的问题。
金融数据本地化管控和金融数据出境管控两者并不矛盾。金融数据本地化管控强调在满足数据有境内存储副本前提下,若符合数据出境的各种约束条件,数据可自由出境;金融数据出境管控即对数据出境提出各种约束条件,但只要满足约束条件数据即可出境,不必要求数据必须存储在境内。银行机构金融数据跨境流动的目的,是为了复用母行业务系统和信息资源等资源,减少因重复开发系统或购买设备产生的运营成本,所以这里从我国境内外资银行金融数据出境情况和境外中资银行数据本地化情况分别展开分析。
(一)境内外资银行数据出境情况
近年来,我国金融业开放步伐不断加快,先后推出50多项银行保险开放政策,境内外资银行数量持续增加,金融数据出境事实已普遍存在。由于我国对于个人信息出境的法律限制,这些跨境流动的金融数据中个人信息出境量级较少,主要为境内外资银行复用母行系统或内部合规检查使用,出境的数据类型敏感程度相对较低,出境目的总体合理但蕴藏风险。存在的风险主要有:一是出境依据不统一。目前涉及我国金融领域数据安全相关文件约有40余个,外资银行在选择出境依据时往往无所适从,或仅选择管理口径宽松的文件执行;二是合规意识待提升。金融数据出境后虽主要提供给母行,但是部分存在提供给外部服务商或母行所在国监管机构使用的情况;三是传输方式待优化。大多数的金融数据跨境传输方式为邮件,而不是采用更为安全的系统报文交互方式;四是技术安全管控待加强。大多数金融数据在传输前未进行脱敏、身份认证或抗抵赖处理,需要从技术手段加以强化。
(二)境外中资银行数据本地化情况
各国现在对数据保护非常重视,不同国家对于银行账户交易信息的传输有着不同的要求,比如有的国家尽管允许当地外资行分支行将账户交易信息传输回母行集中处理,但要求账户信息进行一定程度的加密;有的国家则不允许当地的账户交易信息传回母行处理。它们的管控手段较趋同,监管强度不同。如表1所示:
在此前提下,境外中资银行信息回传需求基本满足,仅少数国家数据未能回传。主要存在的问题:一是监管差异化较大。海外市场面临比国内更严苛、更复杂的监管环境,而且各国或地区监管要求繁杂不一,在监管遵从、协调沟通方面面临较大挑战;二是长臂管辖数据调取客观存在。以美欧为主的西方国家,其司法或金融监管部门均制定有长臂管辖数据调取相关的制度,中资银行在处理这方面案例时需特别注意;三是传输专线运营保障存在潜在风险。例如境外中资银行与母行的数据传输大都通過中国电信运营商海外公司专线传输,2021年美国以“国家安全”为由,吊销了中国最大电信公司在美国的运营执照。
四、我国金融数据跨境流动监管的建议
从经济发展和金融行业发展的趋势来看,金融数据跨境具有平等互惠合作的基础,但是需要各国在制度设计和执行方面做出针对性的优化提升。我国作为数字经济强国和数据跨境流动大国,应充分利用在数字经济和数据产业中不同的优势地位,根据不同情况灵活制定金融数据跨境流动监管规则,科学把握监管协调的力度和节奏。对此本文提出三点建议:
(一)引导有序开放金融数据出境意义重大
银行机构跨境展业受效率与成本驱动,对金融数据出境存在天然需求,难以完全割断,因此应在审慎控制数据出境损害国家安全风险前提下,持续推进包括外资银行在内各类外资金融机构数据出境的有序开放。
(二)健全金融数据出境管理框架事不宜迟
在金融数据出境监管具体模式、参与主体和配套保障机制等关键问题尚待解决过程中,金融数据出境行为已实际普遍存在,危害国家主权安全、金融稳定或者公民、法人和其他组织利益的风险亦日益凸显。首先应从法律法规协同方面出发,优化金融数据跨境流动管理模式,明确“管什么”;其次从监管手段出发,强化金融数据跨境流动的事中监督和事后监督,确保“管得住”;最后从宣传教育方面出发,落实金融数据跨境流动专业服务指导,力求“管得好”。
(三)审慎协同推进金融数据出境试点切实可行
复用母行系统或信息资源确是银行机构最迫切的金融数据出境需求,且大部分有金融数据出境需求的外资银行其境内数据持有规模实际较小,可以先制定试点方案,依据“法规为先,业务驱动,技术支撑”思路,各相关方协力推进完成金融数据出境试点。
参考文献:
[1]数据跨境流动监管协调的中国路径[J]. 陈思,马其家. 经济与管理科学. 2022[09].
[2]商业银行数据跨境流动的合规管理对策[J]. 罗丽军,陶勇,苏如飞. 现代金融导刊. 2022[02].
[3]金融数据跨境流动的特殊规制[J]. 田翔宇. 海南金融. 2021[04].
[4]金融数据跨境流动的核心问题和中国因应[J]. 马兰. 国际法研究. 2020[05].
作者单位:中国人民银行运城市中心支行