数字时代金融数据跨境流动的法律规制研究

摘 要：数字经济背景下，金融数据跨境流动已成为金融服务全球化的推动力，不同的国家和地区对金融数据跨境流动呈现出不同的规制模式。美国对金融数据跨境流动持开放态度，欧盟在金融数据跨境流动规制中着重保护个人权利。中国在金融数据跨境流动方面将国家安全放在首位。本文认为，为了更好地激发金融市场活力，有必要调整规制思路，并在金融数据控制者范围、金融数据分级监管等方面进行完善，逐步实现金融数据跨境流动规则的有序化。

关键词：金融数据；数据跨境流动；金融服务；数字经济

本文索引：刘鑫培.<变量 2>[J].中国商论，2024（01）：-081.

中图分类号：F832.5 文献标识码：A 文章编号：2096-0298（2024）01（a）--04

1 金融数据跨境流动的国际规制及走向

1.1 WTO法律框架下金融数据跨境流动规则

GATS模式对金融数据跨境流动规制主要是以附件的形式在金融服务中做出规定，分别出现在《金融服务附件》与《金融服务第二附件》。《金融服务附件》中将金融数据跨境流动作为一项独立服务以供成员进行选择承诺。然而，发达国家对金融服务自由度程度要求极高，因此这些成员国或地区加入了《关于金融服务承诺的谅解》，其中对金融数据跨境流动的规定主要体现在第8条，规则结构为“原则上金融数据传送自由，但存在个人数据、个人隐私、个人记录和账户机密性例外”。总体而言，GATS模式下的金融数据跨境流动规则缺少统一规制，仅就各成员承诺的部分进行约束。

1.2 代表性自由贸易协定中金融数据跨境流动的规制

1.2.1 USMCA模式

USMCA中对于金融数据规定主要在金融服务专章并且将金融数据跨境流动条款单独列出，集中体现在USMCA第17.17条中。与之前TPP排除禁止计算机设备存储本地条款相比，USMCA通过以下两个方面来提升金融数据跨境流动的自由化。第一，扩大金融数据控制者的范围。USMCA规定金融数据控制者既包括传统金融机构，还包括取得该缔约方金融监管机构监管、监督、许可、授权或注册的跨境金融机构。第二，USMCA含有软化版的禁止金融数据本地化条款，具体体现在USMCA“金融服务”章节中“计算设備所在地”条款。首先，该条第2款规定金融监管机构必须基于监管目的而获取金融数据。此外只要不影响金融监管机构从境外立即、直接、完整、持续地获取相关金融数据，就可以禁止要求金融数据本地化。其次，禁止本地化条款也给予受影响企业合理机会，金融监管机构在实施数据本地化要求之前要与受影响的企业接洽，为其提供解决监管问题的机会。最后该条还强调，个人数据的保护可以构成该条的合法例外。很多国家及地区在其签订FTA时对金融数据采用USMCA型的规制模式，如《韩国-澳大利亚FTA》。

1.2.2 GDPR模式

在体例上，欧盟主导下的FTA通常不会设立金融服务专章，而是将其作为其他章节的子章节。在规制理念上，欧盟始终坚持人权先行的态度，并以此作为欧盟规制各类具体数据跨境流动的基础。欧盟在GDPR中将基本人权置于跨境数据传输规定的首位。一方面欧盟在GDPR中要求不得对个人数据施加额外的限制或禁令，主张个人数据在其境内自由跨境流动；另一方面，欧盟制定了一套严格的规定，以限制其内部个人数据的外部转移，建立了白名单+标准合同+内部准则+例外的合规框架，体现出其对内部个人数据对外转移呈现十分克制的态度。在欧盟签订的FTA中涉及金融数据跨境流动的条款基本包括两个内容：为日常经营所需要的金融数据可以自由跨境流动+涉及个人隐私的数据给予充分保护。如《欧盟—加拿大综合经济与贸易协定》规定：“各方应有充分的保障措施以保护个人隐私，尤其是在个人数据传送方面。如果涉及个人金融数据的传送，则此类传送应符合传送发起方所在地区的个人数据保护立法。”。

1.2.3 RCEP模式

RCEP对金融数据跨境流动主要规定在金融服务附件，在金融服务附件第9条第2款第1项中规定“缔约方不得阻止其境内的金融数据控制者以电子或者其他方式，为开展其日常活动而转让必要的数据。其第3款和第4款分别规定了审慎例外和个人信息保护例外”。（RCEP 第8章服务贸易附件1金融服务第9条）可见，缔约方针对金融数据实施限制措施的空间较一般数据更大，同时也体现出对个人金融数据保护的重视。RCEP总体上对金融数据跨境流动持审慎态度，主要原因是对力图保障区域内金融安全利益，以及对缔约方金融审慎监管主权的尊重。除此之外，由于RCEP各缔约方大都是发展中国家，不但在经济发展水平上存在差异，而且网络安全技术水平也各不相同。因此，在规定金融跨境流动的规则时需要秉持保守的态度，这也是RCEP充分考虑各缔约方实际情况的表现。

综上，新一代的自由贸易协定以《关于金融服务承诺的谅解》为基础，对金融数据跨境流动规则不断进行优化。USMCA模式大力推动金融数据跨境自由流动，降低数字贸易壁垒，以此促进国内经济发展。欧盟模式的突出特点是保护个人数据，其在严格监管框架下共享金融数据。RCEP模式更为尊重与包容缔约方对于金融数据保护水平的差异性，其为逐步适应发达国家主导的更高标准的自贸协定提供了过渡。

1.3 金融数据跨境流动规制的发展走向

1.3.1 允许金融数据跨境流动成为主流

就对金融数据的出境要求而言，允许金融数据跨境流动已经成为主流趋势。USMCA、KORUS、CPTPP、和RCEP等自贸协定均提出，成员应允许金融机构出于“日常经营所需数据”的目的跨境转移数据，即原则上对金融数据出境不做限制。由于数字经济发展以及金融机构全球化经营需求不断上升，各国日益意识到金融数据跨境流动的必要性。部分对金融数据跨境流动自由度要求更高的自贸协定包含了不得将金融数据本地存储的要求。如美国主导的USMCA等部分高水平自贸协定中包含了缔约方不得强行要求将金融部门数据存储在本地的规定。美国主导的自贸协定较为注重确保金融数据能够自由跨境流动，而欧洲参加的自贸协定则更为强调在保护个人数据安全和隐私基础上的自由流动。就亚洲国家居多的RCEP而言，因15个缔约方的发展水平差异较大，对于金融部门数据跨境流动也规定了较多的例外情形，导致RCEP在该领域的规则约束力相对较低。

1.3.2 愈发重视个人金融数据的保护

个人金融数据跨境流动中的数据泄露或滥用等违规行为会对社会稳定造成巨大的负面影响，并导致数据主体权利保护成本高昂，诉讼和判决执行困难等问题。因此，金融数据跨境自由流动的同时，兼顾个人金融数据的保护成为常见的规定。欧盟以保护自然人的基本权利为数据立法的目的，对个人金融数据的保护始终贯穿欧盟个人数据保护法的体系。仅在个人金融数据跨境流动符合GDPR禁止性规定的例外情形时，个人金融数据才得以向境外流动。美国在《外国投资风险审查现代化法案》中通过采取国家安全控制措施限制外国资本对本国金融行业的投资，以此达到对个人金融数据的外流进行监管的目的，以维护国家安全。

1.3.3 金融数据控制者范围逐渐扩大

由于受到金融科技的影响，金融数据控制者的范围从基础的金融机构，即提供金融服务的银行、证券公司等，开始扩大到持牌的非金融机构以及为金融机构提供金融数据处理服务的企业。金融数据控制者概念强调纳入金融监管范围内的企业。同时这也意味着，应当允许纳入金融监管范围内的企业有权基于日常商业经营活动跨境传输金融数据。随着金融数据控制者范围的扩大，明确其应该在传输金融数据时的法定义务也是十分重要的。欧盟在GDPR中要求金融数据控制者必须定时评估自身数据安全与客户数据安全所面临的风险，并且有对客户进行告知的义务。就其作用而言，明确金融数据跨境流动中金融数据控制者的法定义务可以提升金融监管部门对跨境数据风险评估的效率。

2 我国应对金融数据跨境流动的规制建议

2.1 我国金融数据跨境流动规制的相关规定

数字经济的飞速发展使得金融数据跨境流动成为金融服务全球化的重要推动力，但完全放开金融数据跨境流动也对国家、经济安全带来风险。故此我国对金融数据跨境流动的规制坚持总体国家安全观，对于《数据安全法》中规定的重要数据、核心数据实行数据本地化的措施。

国内层面对金融数据跨境流动的规制以国家层面立法+规范性文件组成，《网络安全法》第37条规定关键数据必须在本地进行存储成为规则的基础。关键数据包括涉及关键信息基础设施的运营者所收集的数据，但若因为业务需要跨境传输数据，则须在进行安全评估后方可进行传输。《数据安全法》和《个人信息保护法》总体上延续了《网络安全法》的做法，坚持以数据本地化策略为基础，如需数据出境就要接受安全评估。金融领域主要包括《中国人民银行金融消费者权益保护实施办法》《个人金融信息保護技术规范》（以下简称《规范》）以及《金融数据安全 数据安全分级指南》（以下简称《指南》）等行业规范。

国际法层面，我国已经签署RCEP并申请加入CPTPP等更高规格的自由贸易协定，从RCEP中金融服务附件的第九条项下第二款来看，我国传达出支持金融数据跨境流动的倾向并附有审慎例外和个人数据保护例外，规制模式上整体偏向于USMCA型。然而，RCEP虽沿用了现行自贸协定中对金融数据跨境流动较为自由化的规定，但RCEP与现行更高规格的自贸协定相比仍存在差距。总体而言，我国对于金融数据跨境流动规制的实践仍处于初级阶段。

2.2 我国金融数据跨境流动规制中的不足之处

首先，中国已签约的自贸协定下的金融数据跨境流动规制规则影响范围较小，尚未形成自己的金融数据跨境流动规制体系。国际上对于金融数据跨境流动规则呈碎片化，在缺乏统一国际规则的情况下，各国对金融数据跨境流动采取不同的方式规制，这种差异不利于对金融数据监管，无法充分发挥金融数据的价值。

其次，对于金融数据在跨境流动的范围和情形并没有明确的界定。我国在《数据安全法》和《网络安全法》中规定，金融数据实行本地化存储，金融数据跨境流动需要以安全评估为前提。但是，这些法律并没有明确什么可以被视为基于“业务所需”，何种金融数据可以在海外使用，这意味着金融机构在实践中缺乏明确有效的指导。

最后，需要转变金融数据跨境流动的规制思路。我国目前的国内数据立法以及其他涉及金融数据的法律规定，还是以金融数据本地化存储为导向。对金融数据采取审慎的态度虽可以保护金融消费者的合法权益也可以防范金融风险，但却忽略了金融市场的需求，难以彻底激发金融市场活力，甚至迫使金融机构暗自将数据转移，从而产生更大的隐形风险。

3 对我国金融数据跨境流动规制路径的建议

首先构建更为合理的金融数据分级分类保护制度。总的来说，金融数据相关的法律法规比较混乱，条款的设置不够具体可操作，不同法律之间的衔接关系不够紧密。通过定期对金融数据进行评估，更新金融数据的分级分类方式等举措进一步构建金融数据分级分类制度。对于分类而言，目前国内立法中主要是由《数据安全法》中规定，将数据分为核心数据、重要数据、一般数据。我国可以参考重要数据的类型对金融数据中的重要数据进行归纳，对于此类重要金融数据加强审查的力度，并且进一步明确金融数据发送者和接收者的责任。根据个人金融数据的敏感程度，《规范》将个人金融数据分为三个级别：C3（敏感程度最高的用户鉴别数据）、C2（可识别特定个人的金融数据）、C1（供金融机构使用的内部个人金融数据）。这三类级别在制定时未能充分考虑数据的生命周期，如低敏感金融数据在数据处理的不同阶段可能组合产生更为敏感的金融数据，由此需要提高金融数据分级的灵活性，将可能发生的数据敏感级别变化尽可能地囊括。

其次，进一步细化金融数据控制者的范围以及区分金融数据跨境流动的传输目的。第一，将持牌金融机构以及非金融机构都纳入金融数据控制者的范围。同时，为了避免金融数据控制者的歧义，需要对此加以限制，可以借鉴USMCA中的规定，将金融数据控制者限定为受金融监管机构监管、许可、授权、注册。第二，可以通过区分金融数据跨境流动的传输目的开展金融监管。如将金融数据跨境流动的传输目的分为商业目的和监管目的两类，商业目的主要包括金融机构因日常业务所需的金融数据跨境流动；监管目的主要是国外监管机构要求金融机构披露金融数据。笔者认为，基于商业目的的金融数据可以在安全可控的范围内自由流动，中国人民银行在《关于加强跨境金融网络与信息服务管理的通知》中规定在境外金融服务提供者和境内相关用户履行合规义务的前提下，可以提供跨境金融服务。基于此可以和《指南》中安全级别划分的五级金融数据进行结合（ 《金融数据安全 数据安全分级指南》根据金融机构数据安全遭受破坏后的影响对象和所造成的影响程度，将数据安全级别从高到低划分为5级、4级、3级、2级、1级，其中5级数据为对国家安全造成影响或对公众权益造成严重影响的数据），如第五级别的数据为影响国家安全的数据，如果基于商业目的需要跨境的金融数据属于第五级别，那就需予以限制。考虑到跨境金融数据监管的需要，为了避免对他国数据主权构成威胁，我国应积极与其他国家合作，特别是在签署多边或区域自由贸易协定时，应考虑纳入相关监管条款。

再次，建立金融数据流动的快速通道。借鉴欧盟在GDPR中 “充分性保护”规则，即只有在某一国家、地区以及特定行业部门或者国际组织对个人数据及数据处理具有相当于欧盟法程度的保护水平时欧盟委员会将会纳入其“白名单”，金融数据才可自由的由欧盟向其他地区或国家流动。我国可以借鉴GDPR的此项规则，由网信办建立“数据白名单”，在进入白名单机制内的数据接收者，可以简化安全审查的过程，使金融数据跨境流动更加便利。

最后，加强金融数据跨境流动规则的多边和区域合作。金融服务在国际上高速发展以及发达国家推出了更为高标准的数据保护规则，对此我国金融机构必须考虑如何与国际上高标准的数据保护标准对接，以减少金融数据跨境流动中带来的摩擦和冲突，确保金融数据跨境流动合规，进一步激发金融市场的活力。

参考文献

马光，卜小翠.自由贸易协定金融信息传送规则构建[J].财经法学，2022（06）：111-124.

彭德雷，张子琳.数字时代金融数据跨境流动的风险与规制研究[J].国际商务研究，2022，13（1）：14-25.

Voss， W. （2020）. Cross-border data flows， the gdpr， and data governance. Washington International Law Journal， 2022，29（3）： 485-532.）

王远志.我国银行金融数据跨境流动的法律规制[J].金融监管研究，2020（1）：51-65.

谢卓君，杨署东.全球治理中的跨境数据流动规制与中国参与：基于WTO、CPTPP和RCEP的比较分析[J].国际观察，2021（5）：98-126.

冀志芳.个人金融信息跨境流动的法律规制研究[J].华北金融，2015（8）：43-46.

洪延青.透析金融数据保护的美欧中立法要点和趋势[J].中国银行业，2018（11）：39-42.

李万强，吴佳芮.金融数据跨境流动的法律规制与中国方案[J].南通大学学报（社会科学版），2023，39（5）：80-88.

邓建鹏，张夏明.区块链金融司法治理的困境及其化解：以稳定币相关司法文书为视角[J].武汉大学学报（哲学社会科学版），2023，76（2）：140-151.

范思博.个人金融数据跨境流动的治理研究[J].重庆大学学报（社会科学版），2023（4）：1-17.

郭德香，李晓豫.我国个人金融数据跨境流动的法治保障[J].河南财经政法大学学报，2022，37（6）：80-88.

刘金瑞.迈向数据跨境流动的全球规制：基本关切与中国方案[J].行政法学研究，2022（4）：73-88.

蔺捷，田晨.个人金融数据跨境流动规制研究[J].上海大学学报（社会科学版），2021，38（6）：95-107.

蒋昊禹.金融数据出境行为的合法性认定研究[J].征信，2022，40（2）：28-35.

姜立文，姜欢.数据安全对跨国证券监管的法律挑战与对策[J].南方金融，2021（11）：83-92.

洪延青.“法律战”旋涡中的执法跨境调取数据：以美国、欧盟和中国为例[J].環球法律评论，2021，43（1）：38-51.

马光，卜小翠.自由贸易协定金融信息传送规则构建[J].财经法学，2022（6）：111-124.

唐巧盈，杨嵘均.跨境数据流动治理的双重悖论、运演逻辑及其趋势[J].东南学术，2022（2）：72-83.

王倩，刘杨钺，牛昊.欧盟跨境数据流动规制模式分析与启示[J].经济与社会发展，2022，20（1）：14-22

钟红，杨欣雨.金融数据跨境流动安全与监管研究[J].新金融，2022（9）：38-44.

Si Chen， Research on Data Sovereignty Rules in Cross-Border Data Flow and Chinese Solution， Journal of WTO and China， Vol. 50，2021.

Wang， Heng， The Future of Deep Free Trade Agreements： The Convergence of TPP （and CPTPP） and CETA， Journal of World Trade， Vol. 53，2019.