张墨洋
近年来,随着我国资本市场高水平双向开放程度不断加深,我国证券公司(1)本文所讨论的“我国证券公司”仅指内资证券公司,不包括境外证券公司在华设立的子公司等外资证券公司。“走出去”步伐不断加快,海外业务布局逐步推进,境外融资财务顾问服务、境外资产管理、境外经纪、境外做市、境外自营、跨境场外衍生品等各项跨境业务发展迅猛。我国证券公司跨境展业,不可避免会涉及数据出境活动(2)根据《数据出境安全评估申报指南(第一版)》的定义,本文所讨论的证券公司数据出境活动主要指以下两种情形:(1)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;(2)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。。数据出境伴随着国家安全、个人信息保护等方面的风险,需要遵守国家数据跨境流动相关法律法规规定。在此方面,我国已围绕“重要数据”(3)根据《数据出境安全评估办法》第19条规定,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。及“个人信息”两方面建立了“多层规制”的数据出境监管制度(4)刘金瑞:《迈向数据跨境流动的全球规制:基本关切与中国方案》,《行政法学研究》2022年第4期。,初步形成了以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律为基础,以《数据出境安全评估办法》《网络安全审查办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》等配套规章规范性文件为主体,以《个人信息跨境处理活动安全认证规范》等行业标准为补充的制度体系。根据这些规定,我国数据出境的合规路径主要有三条:一是经数据出境风险自评估并申报通过数据出境安全评估后出境,二是经个人信息保护认证后出境,三是与境外主体订立个人信息出境标准合同并经个人信息保护影响评估后出境。具体见表1。实践中,已有个别证券公司宣布其数据出境活动通过了国家网信部门的数据出境安全评估(5)2023年8月,国泰君安证券宣布,其按照《数据出境安全评估办法》相关规定将某涉及数据出境事项的系统进行了申报,在行业内率先通过了国家网信办审核。参见国泰君安证券官方网站,2023-08-01,https://ftz.gtja.com/content/events/news/data-export-230810.html,访问日期:2023-09-27。,但我国证券公司数据合规出境的其他公开案例仍然较少(6)从公开渠道检索的信息来看,目前仅有国泰君安证券对外公开宣布其已通过了国家网信部门的数据出境安全评估。其他证券公司数据出境的案例情况,目前可获取的公开信息较少。。这反映出我国证券公司数据出境监管尚在起步阶段,有关制度需要在实践中进一步探索和检验。因此,有必要对我国证券公司数据出境的合规与监管问题进行深入研究。
表1 我国数据出境的合规路径
纵观现有研究,数据出境的监管问题作为数据跨境流动的重要议题,已被众多学者关注。相关论著持续涌现,研究成果主要集中在三个方面:一是关注数据出境的基本概念,对数据出境监管的基本原则等进行分析(7)魏远山:《论跨境数据流动的内涵与原理》,《政法学刊》2021年第1期;张凌寒:《论数据出境安全评估的法律性质与救济路径》,《行政法学研究》2023年第1期;丁晓东:《数据跨境流动的法理反思与制度重构——兼评〈数据出境安全评估办法〉》,《行政法学研究》2023年第1期;蔡宇姬:《数据出境的界定及监管制度》,《中国政法大学学报》2023年第3期。;二是介绍境外数据出境监管模式,分析相关制度对我国的借鉴意义(8)马其家、李晓楠:《论我国数据跨境流动监管规则的构建》,《法治研究》2021年第1期;魏宁:《美国数据出境管理体制及中国因应》,《国际经济法学刊》2022年第4期;马光、毛启扬:《数字经济协定视角下中国数据跨境规则衔接研究》,《国际经济法学刊》2022年第4期。;三是聚焦我国数据出境监管规则建设现状,对相关制度进行评析,提出完善建议。(9)马光:《论我国数据出境安全评估制度构建》,《上海政法学院学报(法治论丛)》2023年第3期;梅傲、李淮俊:《论〈数据出境安全评估办法〉与DEPA中数据跨境流动规则的衔接》,《上海对外经贸大学学报》2023年第2期;熊光清、张素敏:《总体国家安全观视角下我国数据出境安全管理制度的完善》,《哈尔滨工业大学学报(社会科学版)》2023年第5期。现有研究成果主要在金融数据跨境流动的主题下,关注金融数据出境监管的相关问题,提出了一些建议。例如,有学者建议,在网信部门的组织指导下,由金融监管部门负责行业数据出境具体措施的制定实施、评估检查等相关工作。(10)李伟:《我国金融数据跨境流动规则建设的思考与建议》,《中国银行业》2020年第1期。有学者主张,金融数据跨境流动模式的选择需要基于本国金融发展现状和金融监管实践,要体现国家利益诉求、平衡多元价值取向。(11)田翔宇:《金融数据跨境流动的特殊规制》,《海南金融》2021年第4期。有学者指出,我国有必要进一步完善金融数据跨境流动的规制措施,形成金融数据跨境流动分级监管的规制思路,同时加强对个人金融信息的保护和金融机构自身数据合规体系的建设。(12)彭德雷、张子琳:《数字时代金融数据跨境流动的风险与规制研究》,《国际商务研究》2022年第1期。现有成果中,没有专门对证券公司数据出境进行针对性研究的。笔者认为,证券业相对于银行、保险等其他金融业具有一定特殊性,有必要对证券公司数据出境监管问题进行专门研究。为此,本文拟对我国证券公司跨境展业具体场景下的数据出境合规问题进行分析,并对现行制度是否能满足证券公司合理的数据出境需求、是否能有效防范数据出境的安全风险、是否会使证券公司面临不必要的合规难题等问题进行考察,进而提出有关监管对策建议。
实践中,我国证券公司跨境展业主要涉及投行、资产管理、经纪以及自营四类业务。(13)国泰君安证券股份有限公司课题组:《证券公司跨境业务制度完善研究》,《创新与发展:中国证券业2020年论文集》,第556—564页。开展这些业务均可能涉及数据出境活动,以下识别了其中几个主要场景,具体分析相关合规路径的适用情况。
出于集团一体化管理等方面的考虑,我国证券公司的境外子公司通常会直接使用境内集团化电子办公系统。从而,境外子公司人员可以跨境访问境内电子办公系统中的数据,可访问的数据类型通常包括通讯录模块,而通讯录中包含了个人信息,如姓名、联系方式、通讯地址、岗位信息等,由此构成了证券公司员工个人信息出境。
根据《数据出境安全评估办法》第4条第2项规定,若相关证券公司年处理个人信息达到100万人以上,或者该证券公司被认定为关键信息基础设施运营者,应按规定申报数据出境安全评估。实践中,大多数证券公司的个人客户数量超过100万,较易达到处理100万人个人信息的标准,须履行数据出境安全评估义务。而在关键信息基础设施运营者认定方面,根据《关键信息基础设施安全保护条例》第2条规定,“关键信息基础设施”是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。考虑到证券公司所运营的交易系统如果遭到破坏,将对我国证券市场的稳定造成重大影响,并严重影响投资者权益,因此证券公司被认定为关键信息基础设施运营者存有一定可能。不过,前述条例第9条同时规定,关键信息基础设施认定具体规则由保护工作部门结合本行业、本领域实际制定。而中国证监会目前暂未制定具体适用于证券行业的关键信息基础设施认定规则。因此,证券公司能否被认定为关键信息基础设施运营者尚需在实践中验证。
需要说明的是,只要证券公司处理100万人以上个人信息或者被认定为关键信息基础设施运营者,其个人信息出境活动就会触发数据出境安全评估义务。这在本文下述的运营外包服务、场外衍生品跨境交易、境内企业境外发行和上市、“跨境理财通”等业务场景中均适用。
我国证券公司可为外资资产机构提供基金份额登记、估值核算等运营外包服务。在此类业务中,部分外资资产管理人可能会直接将其在证券公司运营外包平台中的账户等数据提供给境外机构的工作人员。营运外包服务平台中的基金持仓信息、投资人信息等可被境外机构直接访问,事实上构成了数据出境。
在此情形下,就基金持仓信息而言,其对国家安全、经济运行、社会稳定、公共健康和安全的影响相对较小,被认定为“重要数据”的可能性不大。就投资人信息而言,其包含个人信息,在证券公司被认定为关键基础设施或者个人客户数量达100万人以上的情况下,将触及数据出境安全评估申报义务。
我国证券公司开展场外衍生品等跨境交易业务,需要向境外机构发送委托指令、成交回报等信息,属于数据出境的情形。
其中,委托指令、成交回报等数据是否被认定为“重要数据”,是判断是否需要履行数据出境安全评估申报义务的关键。但我国目前关于“重要数据”的认定标准仅有《数据出境安全评估办法》第19条所作的原则性规定,委托指令、成交回报数据达到何种频次、包含何种具体内容才被认定为“重要数据”则有待在实践中明晰。
我国证券公司作为财务顾问服务境内企业的境外发行和上市业务时,会进行大量的尽职调查,形成有关底稿数据。这些底稿数据可能作为发行上市申请文件被提交给境外证券交易所或证券监管机构,构成数据出境。此外,基于投行业务一体化的考虑,证券公司的境内团队也会参与尽职调查或者提供协助,境内团队将有关尽职调查结果发送给境外团队,也属于数据出境。
根据中国证监会《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》,证券公司应将有关底稿材料存储在境内,经有关部门事先批准后才可向境外传输信息。且在向境外有关主管部门提供文件资料前,应当事先报告有关主管部门同意。(14)《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》第九条、第十一条。
“跨境理财通”是近年来我国金融对外开放的重大创新业务,该业务允许粤港澳大湾区居民个人跨境投资粤港澳大湾区银行销售的合资格投资产品,按投资者主体身份分为“南向通”和“北向通”,目前仅限银行机构参与。(15)参见《粤港澳大湾区“跨境理财通”业务试点正式启动》,2021-09-10,https://www.gov.cn/xinwen/2021-09/10/content_5636676.htm,访问日期:2023-10-01。2023年9月28日,有关部门宣布决定进一步优化“跨境理财通”业务试点,未来将新增符合要求的证券公司作为参与主体,为“南向通”和“北向通”个人客户提供投资产品及相关服务。(16)参见《优化粤港澳大湾区“跨境理财通”业务试点 进一步推进大湾区金融市场互联互通》,2023-09-28,http://www.pbc.gov.cn/goutongjiaoliu/113456/113469/5082402/index.html,访问日期:2023-10-01。我国证券公司若有机会参与到相关业务中,在提供“南向通”服务时,可能将境内投资者的个人信息、认购信息等提供给港澳相关机构;在提供“北向通”服务时,可能将境内有关投资产品的信息发送给港澳投资者,这些信息都属于数据出境范畴。
在此情形下,境内投资者的认购指令、境内投资产品的相关信息等数据是否需要履行安全评估义务,取决于其是否被认定为“重要数据”,而有关个人信息的出境要求也同上述几类场景类似,取决于获得业务试点资格的证券公司掌握的客户数量及其是否被认定为关键信息基础设施运营者。
如前所述,我国证券公司在几类数据出境的主要场景中,所适用的合规路径不同,应履行的合规义务也不同。从现行规定来看,我国证券公司履行相关合规义务还存在不同程度的困境与障碍。
1. “重要数据”认定缺乏明确标准
出境数据是否属于“重要数据”是触发数据出境安全评估申报义务的关键,但我国目前对“重要数据”的认定标准仅作了原则性规定。实践中,这可能引发两方面不利影响。一方面,为了规避合规风险,我国部分证券公司对“重要数据”的认定可能采取较为谨慎的态度,倾向于扩大“重要数据”的范围,甚至将所有拟向境外传输的数据均提交网信部门进行数据出境安全评估审查,以避免被监管机构追责或者处罚。这无疑将增加我国证券公司跨境展业的合规成本,并将对具体业务的开展产生负面影响。(17)例如,在前述基金运营外包服务场景中,委托指令、成交回报等数据是否构成“重要数据”往往需要结合具体情景判断,但证券公司可能为了避免合规风险,不考虑具体情况而一概将所有数据认定为“重要数据”,提交网信部门进行数据出境安全评估。另一方面,也不排除部分证券公司为了扩大业务规模或者获取更多客户,在数据出境问题上采取较为宽松的态度,未经安全评估即向境外传输部门关键信息,而在监管追责时,以“重要数据”认定并无清晰标准进行抗辩,以此规避监管处罚,造成潜在的数据安全风险。
2. 数据出境安全评估耗时较长
根据《数据出境安全评估办法》规定,我国证券公司履行数据出境安全评估义务涉及两个重点环节:一是在申报前进行数据出境风险自评估,二是向网信部门提交材料,正式申请数据出境安全评估。实践中,这两个环节往往需要耗费较长时间。例如,在自评估环节中,证券公司需要组织专门力量开展政策法规梳理、数据跨境场景识别、业务及信息系统内部调研、安全风险识别、风险处置方案研究、编制自评估报告等一系列工作。这些工作专业性极强,通常涉及证券公司内部各部门间的协调,需要耗费大量时间。而在国家网信部门安全评估过程中,由于需组织其他行业主管部门和专门机构进行专家评审,也要耗费一定时间。
3. 个人信息出境缺乏安全评估豁免机制
根据《数据出境安全评估办法》要求,处理100万人以上个人信息的数据处理者向境外传输个人信息应履行数据出境安全评估申报义务。如前所述,我国证券公司客户数量庞大,较易就达到处理100万人个人信息的标准。因此,我国证券公司向境外传输个人信息将受到严格限制。然而,从数据安全风险角度考虑,证券公司开展跨境衍生品、跨境投资顾问等具体业务,有的只是将部分经个人同意的数据向境外传输,有关合同也会对个人信息保护进行具体约定,这种情况下还需要履行数据出境安全评估申报义务,则显得要求较高。
1. 全球数据跨境流动规则博弈激烈,我国制度建设尚在起步阶段
数据出境监管规则作为数据跨境流动规则的重要方面,体现了主权国家对数据跨境流动的基本态度。总体来看,目前全球各国家和地区在数据跨境流动监管方面博弈激烈,有关规则具有碎片化特征。(18)黄琳琳:《FTA跨境金融服务贸易规制研究》,北京大学出版社,2023年,第177—182页。各国家和地区在国家主权、数据主权、人权保护、地缘政治、贸易模式等因素影响下,制定了侧重点不同的金融数据本地化政策和出境审查标准。(19)刘妍、冉从敬:《金融数据跨境监管的国际策略与中国进路》,《金融评论》2023年第4期。在此背景下,我国数据出境监管规则建设仍处于探索起步阶段,规则的体系性、完备性需要不断提升(20)有观点认为,我国现有规定虽然对数据出境有一定程度的规范,但对于具体的数据出境安全管理和审查机制、跨境数据传输要求等方面还存在许多不明确之处,完备的数据出境管理法律法规体系尚未形成。参见熊光清、张素敏:《总体国家安全观视角下我国数据出境安全管理制度的完善》,《哈尔滨工业大学学报(社会科学版)》2023年第5期。,部分规则也还存在一定的不确定性。例如,2023年9月28日,国家网信办发布了《规范和促进数据跨境流动规定(征求意见稿)》并向社会公开征求意见(21)《国家互联网信息办公室关于〈规范和促进数据跨境流动规定(征求意见稿)〉公开征求意见的通知》,2023-09-28,http://www.cac.gov.cn/2023-09/28/c_1697558914242877.htm,访问日期:2023-10-02。,该规定通过创设白名单制度、将数据预期出境量作为合规路径适用的唯一考量因素、明确合规义务数量层次、进一步放宽自贸区数据跨境传输规则等减免了部分情形下的合规要求,反映出监管思路的重大变化。(22)参见汉坤律师事务所:《守得云开见月明:〈规范和促进数据跨境流动规定 (征求意见稿)〉速览》,2023-09-29,https://www.secrss.com/articles/59335,访问日期:2023-10-08。由此可见,我国数据出境监管规则仍在不断优化和调整之中。规则的变化和不确定性使得规则细化存有一定难度,导致了规则适用不明确等一系列问题。
2.事前监督压力过大,事中事后监管不足
在现行制度框架下,数据出境监管的基本思路是严格控制重要数据及个人敏感信息出境,并强调境外接收方应达到我国规定的数据安全保护水平。在这种数据出境监管的思路下,数据出境监管的重心是事前控制。(23)有观点将我国现行的监管模式称之为“家长式监管”。参见洪延青:《准确认识〈规范和促进数据跨境流动规定(征求意见稿)〉的重大转变》,2023-10-08,https://law.bit.edu.cn/ztjj/26112e5fece84cbcbb3b710c1d3cc1be.htm,访问日期:2023-10-10。然而,数据出境的实际风险往往暴露在出境之后,事前判断可能无法规制所有风险。因此,即使数据处理者通过本文前述三种合规路径完成数据出境活动,并不意味着数据出境后就再无风险。正因如此,我国数据出境监管主体在对三种合规路径进行判断时也尤为谨慎,从而进一步加重了事前监管的压力。与之相对,我国现行监管规则对数据出境事中事后的监管较为不足,数据处理者在数据出境后受到的约束较少,发生风险事件的应急处理机制也不清晰。事实上,若能增强对数据出境的事中事后监管,既能更加充分保障数据安全,也能在一定程度上减轻事前监管压力,从而促进数据安全有序跨境流动。
3.行业数据分级分类制度建设尚需加强
对不同类型数据采取不同的管理措施是国际数据监管的普遍经验。(24)梁正、张栋、于洋:《数据出境安全治理国际经验比较与启示》,《中国信息安全》2022年第3期。我国《数据安全法》第21条已提出,国家要建立数据分级分类保护制度,并要求各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。就证券行业数据分级分类而言,现行国家标准《证券期货业数据安全风险防控 数据分级分类指引(GB/T 42775-2023)》为证券公司开展数据分级分类工作提供了指引性参考。具体而言,数据分类上,根据该指引,证券数据可依据不同业务条线及其细分业务环节进行具体归类。例如,证券交易业务条线包括交易管理和投资者管理两大细分业务环节,交易管理环节包括成交信息、委托信息、交易日志信息等数据,投资者管理环节包括投资者基本信息、开户信息等数据。数据分级上,该指引综合影响范围、影响对象、影响程度等因素,将数据分为极高、高、中、低这四个等级。但是,该指引主要侧重在数据分级分类的方法论上。针对具体数据而言,证券公司依据该指引判断相关数据是否属于重要数据,仍然存在一定困难。
4.规则理解适用缺乏具体指引和案例
在适用数据出境安全评估路径时,国家网信办《数据出境安全评估申报指南(第一版)》对数据出境安全评估的适用范围、申报方式和流程、申报材料格式等作出了说明,并提供了部分申报材料的模板文件。但该指引所规定内容仍然较为原则,所提供模板也只涉及文件格式要求,难以解决数据处理者在申报数据出境时遇到的具体困惑。实践中,对于有关申报材料的具体内容如何把握,数据处理者仍然需要与网信办等监管部门单独进行沟通。例如,关于数据出境评估中的“数据出境的目的、范围、方式等的合法性、正当性、必要性”要求,数据处理者要具体论证数据出境具有必要性存在一定难度,也没有相关的案例对此类问题进行说明。
5.监管职责划分与监管资源能力配置有待优化
在现行监管制度安排中,网信部门是数据出境的主要监管部门,但规则同时要求网信部门视情况组织其他行业监管部门和专业机构进行评审。就证券公司数据出境而言,网信部门对证券公司的数据出境申请一般会征求行业主管部门证监会的意见。证监会是证券公司的主要监管机构,掌握着证券公司分级分类评价、现场监管检查等监管权限,对证券公司业务中的数据安全风险认识较深,其意见对网信部门作出决定的意义重大。目前,证券公司数据出境的监管职责主要归于网信部门,但证监会在监管证券公司数据方面,资源和能力优势更为突出。由此来看,就证券公司数据出境监管而言,现有监管职责划分尚有优化空间。
现阶段,我国证券公司数据出境监管尚在探索起步阶段,但我国证券公司的数据出境需求却会与日俱增。从现实需求出发,有必要不断完善监管安排、优化监管措施、创新监管手段,以解决我国证券公司数据出境活动面临的合规压力和难题。同时,从数字强国建设的宏观背景出发,我国数据出境跨境流动规则的建设也在起步阶段,对证券公司数据出境活动进行规范,试点开展有关创新性监管安排,也能够进一步丰富和完善我国数据跨境流动的治理体系,探索我国数据跨境流动的优化方案,有利于我国在国际数据跨境流动规则制定的博弈中占据有利地位。基于这些考虑,本文拟从前述分析的困境成因出发,结合证券行业和证券业务的具体特征,提出解决困境的一些建议。
如前所述,数据分级分类制度是对数据出境活动实施类别化、差异化监管的基础。目前,现行国家标准《证券期货业数据安全风险防控 数据分级分类指引(GB/T 42775-2023)》可为证券公司进行数据安全管理提供指引参考。但考虑到该指引并非强制实施,仅是推荐性标准,且主要规定的是分级分类的方法和原则,实践中具体数据属于何种类别、是否属于重要数据仍然存在标准不够明晰等问题。值得注意的是,《规范和促进数据跨境流动规定(征求意见稿)》在重要数据认定上,明确未被公开为重要数据的,数据处理者不需要按照重要数据申报数据出境安全评估。(25)《规范和促进数据跨境流动规定(征求意见稿)》第2条规定,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。若该规定正式出台,而证券行业重要数据目录未向社会公开公布,则证券公司部分数据可能处于监管真空。为此,有必要进一步加强证券行业数据分级分类制度建设,尽快明确证券行业重要数据的识别标准。当务之急是优先保障证券行业重要数据目录出台,与正式出台的《规范和促进数据跨境流动规定》做好衔接。
我国证券公司数据出境面临的合规难题与规则制定中只规定了原则而无细化措施有较大关系,有必要细化数据出境各项监管的配套指引。具体而言:一是完善《数据出境安全评估申报指南(第一版)》等规则配套指引。应细化指引内容,增强指引的可操作性。指引内容应在文件申报模板外,关注更加实质的内容。例如,对于数据出境安全评估的各项考虑因素,指引应对如何论证才能达到监管要求给出具体标准。二是借鉴股票发行审核的有益经验,由证监会定期编制证券数据出境常见问题解答,发布相关典型案例,并定期组织行业交流和培训会,邀请网信部门、主要中介机构专家交流经验,加强对证券公司出境活动的合规培训。
目前,国家网信部门仍然是证券公司数据出境的主要监管机构。如前所述,证监会在监管证券公司方面的手段更丰富、经验积累更多,对证券行业的数据安全及风险也有更深刻的认识。例如,通过在证券公司分类评价中纳入对数据出境问题的考量,可以对证券公司数据出境进行更加有效的监管。因此,有必要针对证券行业重新划分数据出境的监管职责安排,建立以证监会为主体的新的监管框架。具体而言:一是建立由证监会对数据出境进行统筹管理、各派出机构负责辖区内具体落实与管理工作的监管机制。在具体的制度设计上,证券公司申请数据出境,应向所在地证监会派出机构提交材料,由派出机构进行材料完备性等形式审核后,提交证监会进行实质审核。证监会在具体审核中,应征求国家网信部门的意见。为避免征求意见程序效率较低,可考虑在证监会与国家网信部门之间建立处室对处室的沟通机制。二是发挥证券行业自律组织的优势,建立证券业协会、证券交易所、中国证券登记结算有限公司等自律组织参与安全评估的合作机制,发挥这些自律组织更加贴近证券公司业务的优势,提升证券公司数据监管的人力资源储备。
作为数据密集型行业,证券公司只要开展跨境业务,就必然涉及数据跨境活动。对证券公司数据出境进行过多事前限制,无异于限制其跨境展业。为此,可在短期内先维持目前相对严格的事前监管安排,但应尽快加强事中事后监管的制度建设。待事中事后监管的相关制度经过实践检验后,再逐步放宽事前监管的相关安排。具体而言:一是完善应急处置制度建设。制定证券公司数据出境后发生风险事件的应急处置方案。具体来看,应加强证券行业的数据安全技术系统建设,各证券公司开展跨境业务的系统应具备数据追踪功能,能够确保数据在有限的范围内被合理使用,同时防止数据被不当利用后,相关风险进一步扩大。二是完善责任追究制度建设。应加强对证券公司数据合规管理的要求,进一步明确证券违规进行数据出境活动的法律后果。例如,可考虑要求证券公司在内部建立数据出境合规审批机制,对于没有建立相关机制的,可通过采取监管警示等手段进行约束。责任追究压力将迫使证券公司主动加强对数据出境的合规管理,为缓解事前监管压力提供基础。
“监管沙盒”是通过在限定条件和范围对新产品、新技术、新应用及新服务进行测试,发现阻碍创新的约束制度条件,从而进行及时调整,制定应对措施的监管创新模式。(26)中国银河证券数据跨境课题组:《“监管沙箱”在证券期货业数据跨境领域的实施路径研究与探索》,2023-08-15,https://mp.weixin.qq.com/s?__biz=MjM5MzA3MzAzOQ==&mid=2655547350&idx=3&sn=c142be2d287d981b3ed78a6141395487&chksm=bd205d368a57d42073693c58f058dee4d70508d3821d6f30c86d1462e1724e39bbc4b88777c5&scene=27,访问日期:2023-10-12。在数据跨境流动的监管方面,目前已涌现出了多项新技术,具备纳入“监管沙盒”的可能。例如,区块链技术可以解决数据出境中的传输安全可控问题,防止数据泄露。又如,隐私计算技术可以有效解决数据出境的合规问题,实现数据流动性与安全性的平衡。再如,AI技术可以解决数据出境过程中的多样性和复杂性问题,对数据出境活动进行深度分析,为构建证券行业的跨境数据安全监测模式提供基础。从国际上看,我国正在申请加入的《数字经济伙伴关系协定》(DEPA)第9.4条已明确提出,企业在数据监管沙盒机制下,根据缔约方各自的法律法规之规定共享包括个人信息在内的数据,可以进一步增强创新。由此可见,在国际规则层面,已允许处于数据监管沙盒的企业享有一定的监管豁免权。(27)李爱君、王艺:《数据出境法学:原理与实务》,法律出版社,2023年,第74—75页。然而,我国现行制度框架内,并无“监管沙盒”的制度空间。因此,可考虑在部门规章或者规范性文件层面,由证监会对“监管沙盒”相关制度出台试点办法,允许参与相关技术测试的证券公司在试点办法允许的范围内,探索数据出境的合规新模式。
支持我国证券期货经营机构“走出去”,拓展跨境业务范围、增强参与国际竞争的能力,是我国资本市场高水平双向开放的重要举措。(28)方星海:《扩大开放 促进资本市场高质量发展——方星海副主席在第五届虹桥国际经济论坛“中国资本市场高质量对外开放”分论坛上的致辞》,2022-11-05,http://www.csrc.gov.cn/csrc/c100028/c6300949/content.shtml,访问日期:2023-08-11。作为我国资本市场的中坚力量,证券公司在推动我国证券业务与世界接轨、助推资本市场双向开放方面扮演着重要角色。我国证券公司“走出去”开展跨境业务必然伴随着数据跨境活动。然而从实践需求来看,在现行规则下,我国证券公司数据出境仍面临着重要数据认定标准不明确、数据出境安全评估耗时较长、个人信息出境缺乏豁免机制等困境。这反映出我国数据出境监管存在事前监管压力过大、缺乏监管规则适用细节指引、行业数据分级分类建设有待加强、监管职责划分不尽合理等因素有关。未来,需要进一步加强行业数据分级分类建设、完善细化数据出境监管规则指引文件、明确证监会在证券公司数据出境监管方面的主体地位、加强对数据出境的事中事后监管,并探索跨境监管合作、“监管沙盒”等创新监管安排。