我國金融數據跨境流動規制研究

王永杰，馮佳龍

我國金融數據跨境流動規制研究

王永杰，馮佳龍

（浙江理工大學 法政學院，杭州 310018）

近年來，我國數據領域立法進程明顯加快，初步構建了金融數據跨境流動規制基本框架。但現有金融數據跨境流動法律規制尚不完善，表現在立法不夠明確、缺乏可操作性、與區域協定不夠兼容等方面，難以滿足跨境流動的現實需要。域外，歐美等國通過簽訂雙邊或區域協定的方式爭奪金融數據跨境流動規制主導權。我國有必要進一步完善金融數據跨境流動規制措施，提高立法明確性和可操作性，為實現對接國際規則、提高國際話語權打下堅實基礎。

金融數據；跨境流動；安全評估；數據本地化；法律規制

一、引言

2022年，全球47個主要經濟體數字經濟規模達到38.71萬億元，較上一年增長5.1萬億元，同比增長15.6%；第三產業數字經濟增加值占行業增加值比重為45.3%。伴隨著跨境貿易、跨境金融服務等經濟活動的不斷擴張，金融數據跨境流動的需求日益增加，大幅提高了全球貨物貿易，以及金融服務效率，在金融行業已成為常態化業務需求。而大數據、5G通信、區塊鏈和云計算等新技術的發展帶來傳統金融數據的數字化和信息化，使得以往的監管措施已難以滿足現實需要，加上金融數據涉及的信息敏感，在進行數據收集、傳輸、處理、使用時，帶來的風險也隨之提高。一旦出現數據泄露、丟失、被盜等情況，不僅會對個人隱私安全構成隱患，甚至會威脅國家安全，造成難以挽回的損失?！袄忡R門”事件的揭露使得各國不得不考慮如何保護金融數據跨境流動帶來的安全問題。而目前全球統一的數據跨境流動規則尚未形成，各國都在按照自身利益需要制定金融數據跨境流動規則。因此，完善我國對金融數據跨境流動的規制體系具有積極意義。

二、我國金融數據跨境流動規制的立法現狀

隨著《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》（以下簡稱《網絡安全法》《數據安全法》《個人信息保護法》）的施行，我國逐步形成以上述三大法律為主體，以《數據出境安全評估辦法》（以下簡稱《評估辦法》）、《數據安全管理辦法》等行政法規和部門規章為補充的數據跨境流動規制體系。[1]《金融數據安全 數據安全分級指南》（《數據安全分級指南》）、《個人金融信息保護技術規范》《金融消費者權益保護實施辦法》等行業規范對金融數據跨境流動及數據本地化做出了更為詳盡的規定。

（一）數據本地化的規制

我國實行數據本地化主要以個人信息安全和國家安全為考量，強制部分數據在境內存儲?！毒W絡安全法》第37條要求關鍵信息基礎設施（以下簡稱“關基”）的經營者在收集和生成個人數據和重要數據時，必須將其存儲在境內。這項規定的對象是“關基”的運營者。[2]《數據安全法》對數據跨境流動做出了更加明確的分類規定，該法第31條規定，“關基”運營者收集和產生的重要數據出境應遵守《網絡安全法》相關要求；其他數據處理者收集和產生的重要數據出境安全管理辦法，則由國家網信部門會同國務院有關部門制定。[3]《個人信息保護法》第36條規定，國家機關處理的個人信息應當在境內存儲；第40條要求“關基”運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者必須將個人信息存儲在境內?？傮w而言，我國數據本地化要求對象主要是“關基”產生或收集的數據、特定行業數據，以及個人信息數據。

針對金融數據本地化，2011年中國人民銀行《關于銀行業金融機構做好個人金融信息保護工作的通知》第6條規定，銀行業金融機構在處理個人金融信息時必須在中國境內進行，除法律法規或中國人民銀行另有規定外，不得將境內個人金融信息提供給境外機構。[4]2011年中國人民銀行上海分行發布的《關于銀行業金融機構做好個人金融信息保護工作有關問題的通知》也對個人金融信息的處理和保護進行了規定，在例外情況下，比如為客戶辦理業務目的并得到客戶授權或同意的情況下，可以向海外總行、母行或分行提供個人金融數據。2019年中國銀保監會《銀行業金融機構反洗錢和反恐怖融資管理辦法》規定，銀行業金融機構在履行反洗錢和反恐怖融資義務時，獲得的客戶身份資料和交易信息不得非法提供給境外機構，除非法律法規另有規定。2020年中國人民銀行《個人金融信息保護技術規范》延續了中國對金融數據出境的管理措施，要求在提供金融產品或金融服務過程中，收集和產生的個人金融信息應在中國境內儲存、處理和分析。[4]2021年中國人民銀行《JR/T0223-2021金融數據安全 數據生命周期安全規范》的7.3“數據存儲”規定，我國境內產生和收集的金融數據應當在本地進行存儲和處理，以確保國家安全和個人信息安全。在我國境內產生的5級數據應僅在我國境內存儲，國家及行業主管部門另有規定除外。

（二）數據出境安全評估的規制

金融數據與個人信息安全、公共利益、國家安全等密切相關，原則上要求在境內儲存，但我國也規定了允許金融數據跨境流動的情形，即在對金融數據依法進行安全評估后可以出境。數據出境安全評估制度是防范流動風險的關鍵一環，多部法律法規、技術規范都規定了須經安全評估的情形。我國《網絡安全法》《數據安全法》《個人信息保護法》等法律在一般法律層面上規定了數據跨境流動的安全評估要求。例如，《網絡安全法》第37條規定：“因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關機關制定的辦法進行安全評估?！薄秱€人信息保護法》規定個人信息處理者向境外傳輸個人信息的條件，包括：（1）通過網信部門組織的安全評估；（2）按照網信部門的規定進行個人信息保護認證；（3）按照網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務。[5]因此，需要向境外提供數據的企業或機構，必須遵守相關法律法規，進行安全評估和認證，確保數據傳輸的安全性和合法性。

在行業技術規范層面，2020年中國人民銀行《個人金融信息保護技術規范》規定，金融數據僅可以在“滿足法律法規、獲得個人同意、開展安全評估、實現有效監督”的基礎上允許向境外傳輸。這體現出我國對于金融數據跨境流動的慎重態度。

基于數據出境安全評估的需要，2022年《評估辦法》全面系統地規定了具體要求?！对u估辦法》適用對象為“在境內收集和產生的重要數據和依法應當進行評估的個人信息”?！对u估辦法》第4條規定了需要申報出境安全評估的具體情形，分別是：（1）向境外提供重要數據；（2）“關基”運營者或者處理100萬人以上個人信息的數據處理者向境外提供個人信息；（3）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息。

《評估辦法》規定評估方式為“數據處理者風險自評估和安全評估相結合”，即數據處理者先進行自我風險評估，再由國家網信部門對數據跨境流動進行評估。對于數據處理者自我風險評估，《評估辦法》要求審查以下事項：（1）數據出境的目的、規模、敏感程度，以及可能帶來的風險（包括但不限于篡改、破壞、丟失、非法利用等風險；（2）數據接收方是否具備相應能力保障數據安全；（3）數據處理者和接收方相關責任義務承擔是否明確。對于國家網信部門的安全評估，《評估辦法》規定主要考量因素為：（1）數據出境的目的、方式和范圍；（2）境外接收方的數據安全保護政策、網絡安全環境，以及數據保護水平是否達到我國要求，個人信息權益能否得到充分有效保障；（3）數據出境的數量、種類、敏感程度，以及出境后可能帶來的風險；（4）數據處理者和接收方相關責任義務承擔是否明確。[6]

金融數據對國家安全、公共利益具有舉足輕重的地位，因此，金融數據（包括個人金融信息和消費者金融信息）既屬于《網絡安全法》所稱的“關鍵基礎設施”產生的數據，也屬于“重要數據”，因此上述數據出境安全評估制度同樣適用于金融數據。

三、我國金融數據跨境流動規制存在的問題

金融領域數字化和全球化快速發展給金融數據跨境流動的監管帶來了挑戰。雖然我國已經出臺了一系列法律規范，但隨著金融領域的不斷演進創新和互聯網科技的不斷更迭，現有法律框架顯得不甚完善，難以適應實際需求。立法不夠明確、缺乏可操作性，以及在對接區域協定存在兼容性障礙等已經成為亟待解決的重要問題。

（一）金融數據跨境流動規制立法不夠明確

我國《網絡安全法》《數據安全法》《個人信息保護法》規定重要數據需要經安全評估才能出境，但上述三部法律皆沒有對重要數據進行界定?！对u估辦法》規定重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據，但此抽象的定義不足以滿足安全評估工作的實際需要?？鐕髽I的數據流動包括個人消費數據、產品信息數據和業務信息數據等不同敏感程度的數據?！稊祿踩ā分荚诮⒁惶淄晟频臄祿旨壏诸惐Ｗo機制，但未能有效地將個人信息與重要信息，以及其他商業信息區分開來。

我國多部法律法規規定“確因業務需要，經過安全評估后方可準予出境”，但是對“確因業務需要”的具體情形并沒有予以詳細說明。目前，僅有《個人金融信息保護技術規范》及《金融消費者權益保護實施辦法》對“因業務需要”進行了解釋，但也不夠詳盡。含糊不清的規定使得金融機構難以獲得正常業務需要的金融數據。另外，不同規范對評估的適用條件不一致導致實踐操作容易出現混亂。例如，《個人金融信息保護技術規范》只規定一種情形需要開展數據出境安全評估，即向集團關聯機構之間跨境傳輸金融數據；而《評估辦法》則將所有金融數據跨境傳輸都納入出境評估范疇。

在實踐中，金融數據控制者一般可以分為三類，分別是：（1）銀行、證券公司、保險公司等傳統持牌金融機構；（2）第三方支付機構、外包金融服務機構等持牌的非金融機構；（3）信息技術提供商、風控服務解決方案提供商等為持牌金融機構提供基礎支持服務的企業。2020年《個人金融信息保護技術規范》規定，“金融業機構”包括兩類機構：一類是由國家金融監管部門監督管理的持牌金融機構，另一類是涉及個人金融信息處理的相關機構。前述第三類金融數據控制者被排除在規范之外。另外，金融數據控制者應當在金融信息收集、處理、跨境傳輸等環節承擔并嚴格履行數據安全保護義務，降低金融數據不當使用的風險?！秱€人金融信息保護技術規范》較為具體地規定了金融數據控制者在數據收集、處理和銷毀方面的安全保護義務，但該技術規范未能詳細規定金融數據控制者在跨境傳輸方面的安全保護義務。

2023年，國家網信辦出臺了《個人信息出境標準合同辦法》，并制訂了個人信息出境標準合同。該標準合同約定了個人信息處理者的義務、境外接收方的義務、個人信息主體的權利、救濟方法、合同解除及違約責任等條款。該標準合同是針對一般意義上的個人信息跨境流動而制訂的。金融數據跨境流動具有自身的特殊性，該標準合同不一定完全適用，金融管理部門應盡快出臺“金融數據出境標準合同”。

（二）金融數據跨境流動規制立法缺乏可操作性

我國從國家安全、公共利益、個人信息保護等層面構建了金融數據安全保障體系，但我國對金融數據跨境流動規制依然存在著可操作性不強的問題。

我國金融數據跨境流動規制立法過于概括，執法機構和企業難以準確理解與規范操作，增加了實施的不確定性。如《評估辦法》要求重要數據、達到評估要求的敏感信息出境須經安全評估，但目前對于重要數據、敏感信息的識別仍不明確。實施細則的缺乏使得執法機構對違規行為處罰更為隨意，增加了執法的主觀性。

金融數據跨境流動涉及復雜的技術，現行法律規范滯后于快速發展的金融科技，無法監管新生的金融業務模式。例如，虛擬貨幣交易所具有復雜的技術架構和業務模式涉及資金安全、反洗錢、客戶隱私等重要問題。許多國家的法律尚未明確對虛擬貨幣交易所進行規范，導致監管滯后和法律適應性不足。在這種情況下，監管機構往往只能依靠現有的法律去處理虛擬貨幣交易所的問題，使得監管機構在保護投資者利益、防范金融風險和維護金融穩定變得更為困難。

由于金融業務的全球化，各國之間需要數據共享。我國金融數據跨境流動規制立法尚未完全整合到國際標準和框架中，這給跨境合作帶來了阻礙。我國金融機構需要與其他國家的金融機構進行數據共享，以便開展合規性審查、反洗錢監管等合作。實踐中數據共享遭遇較大阻礙。一方面，某些國家可能要求根據其國家法律提供特定類型的金融數據，但這與中國現行法律規定的數據保護要求存在差異。另一方面，不同國家之間的數據安全要求也可能存在差異，這些差異阻礙了數據跨境流動，影響了中國金融機構與其他國家金融機構之間的數據共享和跨境合作。

我國金融數據跨境流動的有關規定分散在不同效力等級的法律規范中。不同法律規范之間不能有效銜接甚至相互沖突時，該法律規范難以執行或遵守。例如，《網絡安全法》規定了個人信息和重要數據的概念，《評估辦法》將金融行業的“重要數據”定義為包括但不限于自然人、法人和其他組織收集和產生的金融信息。這兩個法律規范對重要數據的界定不完全相同，《評估辦法》難以有效承接《網絡安全法》的規定。[6]此外，現行法律規范對金融數據進行分級分類的方法有兩種：一是《網絡安全法》將數據分為三類，即重要數據、敏感數據和一般數據。重要數據是指與國家安全和公共利益密切相關的數據；敏感數據是指如果泄露可能會對數據主體造成不良影響的數據。二是《數據安全分級指南》根據金融數據遭受破壞后的影響對象和所造成的影響程度，將數據安全級別從高到低劃分為5級、4級、3級、2級、1級。這兩種不同的數據分類無法銜接，使得安全評估工作難以開展。

（三）我國立法與區域協定對接的兼容性不足

我國正在申請加入《全面與進步跨太平洋伙伴關系協定》（CPTPP）和《數字經濟伙伴關系協定》（DEPA）。我國金融數據跨境流動規則與上述區域協定相關規則存在沖突。CPTPP中有關金融數據跨境流動規制的內容主要規定在第十一章“金融服務”章節的“信息傳輸”條款中。該章節要求各締約方允許境內的外資金融機構出于日常業務經營活動所需進行跨境數據傳輸。DEPA第4.3.2條規定不得以在其領土內使用或設置計算設施為條件限制在該締約方開展業務[8]，第4.3.3條規定任何一方為實現合法公共政策目標而采取或維持的措施不得構成任意或不合理歧視或對貿易構成變相限制，也不得對信息傳輸施加超出實現目標所需限度的限制。無論DEPA還是CPTPP都要求盡可能允許數據跨境自由流動，不得加以限制，各締約方應當允許出于商業目的的數據跨境傳輸，僅允許有條件和有限度的例外。我國對數據跨境流動的規定主要采取限制性措施為主。根據我國相關法律法規，“關基”運營者向境外提供個人信息和重要數據，必須進行數據出境安全評估?！稊祿踩ā芬幎ㄆ渌麛祿幚碚咴诰硟仁占彤a生的重要數據也需要數據出境安全評估?！秱€人信息保護法》規定個人信息處理者在向境外提供個人信息時應當遵守的特定約束條件。[9]這樣的規定有助于保障數據安全，避免個人信息和重要數據泄露，維護公共利益和國家安全。但這些規定與區域協定鼓勵數據跨境自由流動的原則相沖突，也難以適用CPTPP與DEPA的例外條款。

DEPA第4.4.3條規定禁止將計算設施作為在另一締約方內開展業務的前提條件。我國為了保障國家安全和個人信息安全，規定重要數據必須存儲在境內?！毒W絡安全法》規定收集和生成的個人信息和重要數據應存儲在境內?！秱€人信息保護法》規定個人信息處理量達到規定數量的個人信息處理者應將個人信息存儲在境內，國家機關處理的個人信息也應存儲在境內。我國數據本地化的要求主要適用于關鍵基礎設施、特定行業和個人數據。DEPA第4.4.3條強調不得對任一締約方實現合法公共政策目標構成妨礙，即使該締約方采取了與數據本地化規則不一致的措施，除非該措施不構成歧視、限制貿易或對計算設施使用或位置設置施加不合理限制。[10]DEPA認同數據存儲非強制本地化，但DEPA對例外條款的設置嚴格，不僅要求基于合法公共政策目標而且要求必須在合理限度內才能適用。我國個人信息本地化要求在必要性上可能無法滿足DEPA的要求。

在一些具體標準方面，我國立法與區域協定也存在一定差距。以CPTPP為例，CPTPP第11.13.10規定另一締約方的金融機構（包括金融機構的投資者、金融服務提供者）提出的與提供金融服務相關的申請，監管機構應當在120天內作出決定。關于在我國，外資銀行、保險公司或證券公司設立分支機構的申請周期，最常見的申請批準時間分別為8個月和6個月，兩者均長于 CPTPP 的規定。我國金融數據跨境流動規制與上述兩個區域協定還存在一定差距，為我國加入該兩個區域協定增加了難度。

四、金融數據跨境流動規制的域外經驗

目前，國際社會尚未形成統一的金融數據跨境流動規制體系。相較于其他國家，美國和歐盟的規則更為完善，在全球范圍內具有更大影響力和話語權。

（一）美國金融數據跨境流動的規制

美國數字產業發展迅速，在全球具有極大的優勢和話語權。為了能夠更好地實現金融數據跨境流動帶來的經濟價值，美國更加重視自由開放的跨境金融數據流動環境。

美國的法律體系由聯邦法律和州法律兩個層面組成。在聯邦立法層面，美國沒有制定統一的金融數據保護法，而是分行業、分領域立法，通過行業自律的方式規制金融數據跨境流動。在金融消費領域，1978年《金融消費者隱私權法》規定了金融消費者隱私權保障措施，明確金融機構保障金融消費者隱私的法律義務。1999年《金融服務現代法案》詳細規定了金融機構如何收集、保護和處理金融消費者個人信息。在此基礎上，2000年《消費者金融信息隱私法》更強調了《金融服務現代化法案》對金融機構的要求。

在州法律層面，2017年紐約州《23 NYCRR 500》要求受其監管的金融機構制定并實施保護消費者金融數據的網絡安全計劃，定期評估安全風險，根據評估結果制定相應的安全保護策略。2018年加州《消費者隱私保護法》（CCPA）規定了消費者享有對其個人數據的訪問權、刪除權和知情權等權利，金融機構不得隨意泄露、披露收集到的數據。

此外，美國通過訂立雙邊、多邊自由貿易協定的方式向其他國家和地區推行金融數據跨境自由流動理念。2012年，《美韓自由貿易協定》規定：為滿足金融機構日常業務數據處理需要，雙方應允許對方金融機構跨境傳輸數據。2015年，由美國主導的《跨太平洋戰略經濟伙伴關系協定》（TPP）首次將限制數據本地化寫入協議文本。2018年，美國與墨西哥、加拿大簽署的《美墨加協定》（USMCA）第19.12條明確禁止計算機設備本地化。

（二）歐盟金融數據跨境流動的規制

由于歷史傳統的影響，歐盟極其重視個人隱私保護。1980年，OECD發布了《隱私保護與個人數據跨境流動準則》（OECD準則），旨在保護個人隱私和數據安全。1995年歐盟頒布了《個人數據的處理與自由流動指令》（“95指令”），確立了“充分保護原則”，規定成員國只有在第三國能夠提供充分保護的前提下才能傳輸個人數據?！俺浞直Ｗo原則”要求數據流向的目的國必須達到歐盟認可的充分保護水平。2016年歐盟通過了《一般數據保護條例》（GDPR）?？傮w而言，GDPR繼承了“95指令”確立的“充分保護原則”，規定歐盟成員國之間數據可以自由流動，數據流向非歐盟成員國需要滿足更加嚴格的標準。除了“充分保護”標準之外，GDPR為作出適當保障措施的國家提供了兩種數據跨境流動的方案，分別是標準合同條款（SCCs）和約束性公司規則（BCPs）。此外，GDPR還規定了在獲得用戶明確同意或者為了公共利益考量等情形下，允許歐盟將個人數據傳輸出境。

金融數據極其重要，理應另立法律進行特殊規制，歐盟并未對其進行單獨立法，原因包括以下兩點：（1）歐盟制定的以GDPR為基礎的高標準個人數據保護體系能夠全面、高標準地規制金融數據的跨境流動；（2）在偏重個人隱私保護之外，歐盟仍然期望借助數據跨境流動的開放舉措實現內部數據自由流動以充分發揮其經濟價值。

綜上所述，美國和歐盟在對待金融數據上各有其特點。主要包括：（1）金融數據監管模式：美國和歐盟的金融數據監管模式存在明顯的差異。美國國內金融數據保護立法和監管雖然在一定程度上受到各州法律的差異影響，但總體而言更加注重市場導向、行業自律和事后追責等，要求金融機構采取各種措施限制金融數據的廣泛流動，以降低金融隱私權受到侵害的風險；而歐盟則以全面、統一的GDPR為框架，更加注重保護個人數據的權利保護，尤其是隱私權。（2）跨境數據流動。美國對金融數據跨境流動的限制相對寬松，而歐盟對金融數據跨境流動有更嚴格的限制。歐盟要求金融機構必須將數據存儲在歐盟境內，并且必須遵守GDPR的規定，而美國則更加傾向于促進數據的跨境流動，以更好地利用數據的經濟價值。（3）數據流動范圍。如前文所述，美國已經與其他國家和地區簽署了多項跨境數據流動協議，并且逐步放開數據的跨境自由傳輸限制，盡可能減少數據的本地存儲。相比之下，美國的數據流動范圍更廣，傾向于在全球范圍內進行數據流動，以獲得更多的商業機會。而歐盟則更加注重數據的安全和隱私，因此對數據流動范圍進行了嚴格的限制。根據GDPR的規定，只有在滿足一系列條件的情況下，個人數據才能被傳輸到歐盟以外的第三國。這些條件主要涉及第三國能夠達到適當的隱私保護水平，目前只有少數幾個國家如加拿大、新西蘭和瑞士等得到了歐盟的認可。

總之，美國和歐盟在對待金融數據上有不同的監管模式、法律制度、流動范圍及安全和隱私保護。這些差異反映了兩個地區不同的政治、經濟和文化背景，也體現了在全球化和數字化時代，金融數據跨境流動與保護所面臨的復雜挑戰和機遇。

五、完善我國金融數據跨境流動規制的建議

與美歐等發達國家或地區相比，我國數據跨境流動的法律規制相對滯后。為了適應快速增長的數據跨境流動需求和滿足數據跨境流動的現實需要，并有效應對可能帶來的潛在金融風險，我國有必要進一步加強和完善金融數據跨境流動的規則體系。

（一）明確重要概念和數據控制者保護義務

我國需要進一步明確金融領域重要數據的范圍，合理制定與之相應的跨境流動細則。目前，我國主要采用損害評估的方法對重要數據進行分類，即評估如果發生泄漏是否會對國家金融安全和正常的經濟秩序。[11]因此，可以通過限制解釋將重要數據限制在公共利益、國家安全和金融安全領域。

尚未明確“確因業務需要”的具體定義使得金融數據跨境流動的“例外情形”變得模糊不清。我國需要完善金融數據跨境流動的評估機制，使“例外許可”在實踐中更易推廣。具體而言，我國應當明確金融數據跨境流動的前提條件，并針對不同類型的跨境流動情形予以歸類和審慎評估。我們可將金融數據的常見流動情形歸為三類：（1）基于日常商業運營的需要，向集團總部跨境傳輸數據；（2）基于外部審計等需求，向第三方轉移數據；（3）基于境外監管要求，向金融監管部門轉移數據。[6]根據不同的流動目的，設置相應的評估條件，以提高跨境實踐的可操作性。

我國應當明確金融數據控制者的范圍及其數據跨境傳輸安全保護義務。數據安全保護義務來源于個人隱私保護，但又與之不同。通常情況下，個人隱私受到侵犯主要集中在數據的收集方式和利用方式，數據保護規則適用于整個數據處理過程，數據保護范圍比個人隱私保護范圍更廣。從數據生命全周期（數據采集、存儲、傳輸與交換到銷毀）來看，金融數據跨境傳輸處于周期的中端。要實現金融數據的安全跨境流動，需要前端的數據收集、中端的數據跨境流動以及后端的數據應用三部分密切合作。在前端，金融機構應該有一個完整和有效的數據治理架構；在后端，數據控制者應確保數據接收者有足夠的數據保護水平。在進行數據跨境傳輸時，金融數據控制者既要承擔自身數據的安全保護義務，也要承擔客戶信息安全保護義務。我國應當學習美國紐約州《金融服務公司網絡安全要求》和歐盟GDPR要求數據控制者“以風險為導向”，在跨境傳輸金融數據時承擔數據安全保護義務，定期評估自身網絡和信息安全以及客戶信息安全存在的潛在風險，并提交合規證書。數據控制者必須嚴格遵守通知客戶的義務，GDPR要求數據控制者在出現可能對數據主體權利造成危害的跨境傳輸行為時通知監管機構以進行“事先檢查”。

（二）統一監管以優化安全審查

由于歷史原因和分行業監管的影響，我國金融數據跨境流動的監管主體分散，且未能實現有效的職能劃分，亟待建立一個能統籌金融數據跨境流動全局、協調各監管主體職責的機構?；诖?，國家數據局的組建是應有之義。

我國可以制定金融數據跨境流動的標準合同優化審查制度。標準化合同是指將金融數據保護義務通過合同化的形式轉化為私法上的義務。例如，在管理個人信息跨境流動方面，網信部制定的標準合同被規定為個人信息出境的法律依據。金融領域的數據跨境流動可借鑒該做法，制定對應的標準合同以簡化出境評估流程。根據我國《評估辦法》的規定，在進行出境安全評估時，評估機構特別重視境內金融機構與境外接收者簽訂的合同，重點審查合同中金融數據保護的相關條款，包括雙方的權利義務和責任、金融數據主體保護能力以及權利救濟方式等。通過整合相關數據保護要求和主管部門對金融數據的特別監管要求，我國可以制定金融數據出境標準合同。這樣既能為金融機構提供合規指導，又可以分散對出境安全評估的壓力，從而進一步優化評估流程。

（三）積極參與國際數據流動規則以增進國際話語權

目前我國嚴格限制金融數據跨境流動的理念并不符合全球化的發展趨勢，不利于我國融入區域體系。應適當放寬對金融數據跨境流動的限制以應對數字經濟全球化。實行更加開放的金融數據跨境流動需要相關的配套措施，如完善金融數據有效監管、確定金融數據跨境傳輸的目的與條件、細化數據控制者保護義務等。我國應明確金融數據跨境流動基本原則，審慎制定金融數據本地化規則，實現更加開放的金融數據跨境流動規制體系，減少對接區域協定的障礙。

強調金融數據跨境自由流動并不意味著我國放棄采取限制金融數據跨境流動的措施，我國可以援引CPTPP、DEPA的例外條款。理解和援引區域協定中的例外條款對維護我國數據主權、平衡利益與風險有著重要意義。我國數據出境安全評估制度需要滿足區域協定對數據跨境自由流動的高標準要求或者需要滿足合法公共政策例外、安全例外、不構成歧視等例外條款。因此，我國要加強限制措施的透明度和可預測性。我國應建立明確的標準和程序，使金融數據出境安全評估制度的實施更加透明、可預測。我國應確保司法監督和審查機制的有效性。我國應建立獨立的司法審查程序，以便對數據出境安全評估制度的決定進行監督和審查，確保評估機構的評估工作符合法律要求，同時為數據主體提供保護其權益的救濟途徑。

歐盟和美國能夠在全球數字貿易規則中享有主導權，與其完善的內部數字貿易治理體系密不可分。我國數字經濟規模僅次于美國，但是無論是話語權還是國際規則制定參與度都與歐美有著不小的差距。我國對接區域協定雖是挑戰，更是機遇。我國應當向區域協定看齊，加快數字貿易治理體系構建進程，這不僅是我國加入CPTPP與DEPA的必然要求，也是我國深度參與全球數據跨境流動規則制定、掌握國際話語權的必要舉措。

六、結語

金融數據跨境流動在推動全球金融業、經濟貿易發展的同時，也會對國家安全、金融安全和個人隱私保護等權益形成威脅?；跉v史傳統、規制理念的不同，各國采取了不同的數據跨境流動的規制措施。歐盟以維護公民個人隱私為導向，采取“充分性保護”的規制方式，對個人數據和信息保護要求較高；美國以經濟發展為價值取向，主張數據跨境自由流動。目前我們正處于數字經濟時代，金融數據全球融通是大勢所趨。雖然各國對金融數據跨境流動規制方式存在差異，但在全球化的浪潮下也不得不選擇相互合作，而在WTO談判受阻、國際上難以形成統一的金融數據跨境流動規則的情況下，通過達成雙邊協定或者區域協定的方式來完成部分地區規則的統一是目前較為可行的選擇。對我國而言，金融數據跨境流動同樣帶來了機遇和挑戰，把握好國家安全、經濟發展、個人隱私保護之間的平衡對我國金融數據跨境流動規制未來發展、參與全球規則構建、提升國際話語權有著重要意義。在國內層面，我國應當積極完善金融數據跨境流動規制體系；在國際層面，我國應當對標CPTPP和DEPA等區域協定，提高自身話語權，為將來構建統一的全球金融數據跨境流動規則貢獻中國力量。

[1]王婷.我國金融數據跨境流動機制現狀與因應之策[J].對外經貿，2022（11）：74-77+105.

[2]彭德雷，張子琳. 數字時代金融數據跨境流動的風險與規制研究[J].國際商務研究，2022（1）：14-25.

[3]洪延青.國家安全視野中的數據分類分級保護[J].中國法律評論，2021（5）：71-78.

[4]王遠志.我國銀行金融數據跨境流動的法律規制[J].金融監管研究，2020（1）：51-65.

[5]藺捷，田晨.個人金融數據跨境流動規制研究[J].上海大學學報，2021（6）：95-107.

[6]王春暉.數據安全出境評估規則與適用——《數據出境安全評估辦法》解讀[J].南京郵電大學學報，2022（4）：1-10.

[7]馬蘭.金融數據跨境流動規制的核心問題和中國因應[J].國際法研究，2020（3）：82-101.

[8]孫南翔.CPTPP數字貿易規則:制度博弈、規范差異與中國因應[J].學術論壇，2022（5）：44-53.

[9]文洋，王霞.中國申請加入DEPA的焦點問題與政策研究[J].開放導報，2022（4）：101-111.

[10]張曉君，屈曉濛.RCEP數據跨境流動例外條款與中國因應[J].政法論叢，2022（3）：109-119.

[11]田翔宇.金融數據跨境流動的特殊規制[J].海南金融，2021（4）：51-58+87.

Research on regulation of cross-border flow of financial data in China

Wang Yongjie，Feng Jialong

In recent years, the legislative process of our country's data field has been accelerated obviously, and the basic regulatory framework of cross-border flow of financial data has been preliminarily constructed. However, the existing legal regulation on cross-border flow of financial data is not perfect, which is manifested in the lack of clear legislation, lack of operability and incompatibility with regional agreements. Abroad, Europe and the United States and other countries through the signing of bilateral or regional agreements to fight for financial data cross-border flow of regulatory leadership. It is necessary for our country to further improve the regulatory measures for the cross-border flow of financial data, enhance the clarity and Operability of legislation, and lay a solid foundation for aligning international rules and enhancing the international voice.

Financial data; Cross-border flows; Safety Assessment; Data Localization; Regulation by law

2023-07-22

國家社會科學基金青年項目（18CFX048）；

王永杰（1972－ ），男，安徽淮南人，浙江理工大學法政學院副教授，博士，主要從事國際經濟法研究。

10.13685/j.cnki.abc. 000722

F49；D922.16；F832.6

A

1671-9255（2023）04-0051-07