我國金融數據跨境流動安全的問題審視及應對

劉媛

［摘 要］金融數據的跨境流動對提升金融服務效率，推動金融全球化向縱深方向發展具有積極作用。文章從我國金融數據跨境流動規制現狀、我國金融數據跨境流動安全的問題審視、我國金融數據跨境流動的規制進路3個方面進行分析研究。研究結論顯示：我國應在保護國家安全、經濟利益和個人隱私的前提下，通過建立金融數據跨境流動的常態化機制，統一金融數據的分級分類標準，以及加強對金融數據入境的監管等舉措，促進金融數據安全、有序流動。

［關鍵詞］金融數據；跨境流動；數據安全

doi：10.3969/j.issn.1673 - 0194.2024.06.048

［中圖分類號］F832；F125［文獻標識碼］A［文章編號］1673-0194（2024）06-0150-03

0? ? ?引 言

隨著金融業務的不斷創新和數字化轉型的加速，金融行業需要更加高效、靈活的數據流通機制來支撐其業務發展。由此，金融數據跨境流動成為國際社會的重要議題，各國紛紛加強對金融數據跨境流動的監管。

學術界對于金融數據跨境流通的研究主要集中于金融數據跨境流動所引發的風險及其法律規制的國際經驗。其中，彭德雷、張子琳認為金融數據在數據傳輸、存儲與處理過程中發生的數據泄露和非法與第三方共享數據等行為必然會威脅個人隱私、金融機構自身利益和國家金融安全［1］。李萬強、吳佳芮從多邊、區域、單邊3個維度對金融數據跨境流動規則進行了考察［2］。然而，已有研究對我國現有金融數據跨境流動制度，特別是我國現有金融數據跨境流動制度現存問題的總結和分析存在不足，這也導致現有研究缺乏針對金融數據跨境流動國際經驗的借鑒?；诖?，本文在總結我國金融數據跨境流動規制現狀和問題的基礎上，結合其他國家金融數據跨境流動的制度框架，探索我國金融數據跨境流動規制進路。

1? ? ?我國金融數據跨境流動規制現狀

我國金融數據跨境流動受到網絡信息一般法律規則和金融行業數據跨境專門規則的“雙重管理”［3］。一方面，金融數據跨境流動必須嚴守我國相關法規，以《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）、《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）、《中華人民共和國數據安全法》（以下簡稱《數據安全法》）為核心，以《數據出境安全評估辦法》等行政法規、部門規范文件和行業指南為配套的數據跨境流通基本框架。另一方面，我國自2011年起陸續頒布了《個人金融信息保護技術規范》等規范性文件，以解決金融數據跨境流動問題［4］。綜合來看，我國金融數據跨境流動的規制內容主要包括金融數據存儲和處理本地化、金融數據分類分級保護、嚴格管控金融數據出境3個方面。

1.1? ?金融數據存儲和處理本地化

隨著金融行業的不斷發展，金融數據存儲和處理的需求也在不斷增加?？紤]到金融數據的重要性和敏感性，我國對金融數據的存儲和處理提出明確的本地化要求，以確保數據的安全性和可靠性。例如，《網絡借貸信息中介機構業務活動管理暫行辦法》等規范性文件均規定，在中國境內收集的個人金融信息應當在中國境內進行儲存、處理和分析?！毒W絡安全法》和《個人信息保護法》明確規定，關鍵信息基礎設施運營者和處理個人信息達到規定數量的個人信息處理者應確保在境內收集和產生的重要數據與個人信息存儲在境內。

1.2? ?建立數據分類分級保護制度

建立數據分類分級保護制度是保護個人信息安全的重要措施之一。分類分級存儲數據和管理不同類型、不同級別的數據，可以更好地控制數據的安全性和保密性，防止數據泄露和濫用。目前，我國已出臺《金融數據安全 數據安全分級指南》《證券期貨業數據分類分級指引》《個人金融信息保護技術規范》等行業標準。上述行業標準根據數據在經濟社會發展中的重要程度，以及一旦遭到竄改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護［5］。其中，《網絡數據安全管理條例（征求意見稿）》將數據分為一般、重要、核心3個級別，并規定一般數據允許自由流動，重要數據需要通過數據出境安全評估后自由流動，核心數據限制流動。根據《金融數據安全 數據安全分級指南》，金融數據被劃分為5個等級?！蹲C券期貨業數據分類分級指引》則根據數據影響對象、影響范圍、影響程度，將數據從低到高劃分為4個等級。這些標準的差異化影響了金融數據等級的精確限定，從而模糊了可以出境的金融數據范圍。

1.3? ?嚴格管控金融數據出境

隨著金融行業的快速發展，金融數據在國家經濟運行、金融監管、社會治理等方面發揮著越來越重要的作用。然而，金融數據一旦泄露或被非法獲取，可能會給國家安全、社會穩定和個人隱私帶來嚴重威脅。為了加強金融數據出境的管理，早在2011年，中國人民銀行上海分行就要求，在出現客戶辦理業務所必需，且經客戶書面授權或同意的情況時，境內銀行業金融機構向境外總行、母行或分行、子行提供境內個人金融信息，即我國金融數據出境需要滿足“業務必需+客戶同意+機構關聯+確保保密”4個要件要求。近年來，我國發布的規范性文件延續了上述管理思路，并對金融數據出境作出更為嚴格的限制?！吨腥A人民共和國證券法》《中華人民共和國銀行業監督管理法（修訂草案征求意見稿）》都明確規定，銀行業、證券業金融機構不得擅自向境外提供與業務有關的文件、資料、數據。

2? ? ?我國金融數據跨境流動安全的問題審視隨著數字經濟的快速發展，我國在金融數據跨境流動方面積累了一定經驗，但也存在一些不足。

2.1? ?金融數據流動的“快速通道”并未建立

我國金融監管部門對金融機構的數據出境管理秉持“本地化為原則，出境為例外”的監管思路，極大地限制了金融數據的跨境流動。而金融機構需要在達到滿足數據出境安全評估、網絡安全認證要求或簽訂個人信息出境標準合同等諸多監管要求后方可進行數據出境，這阻礙了金融服務提供者日常運營所需信息的正常流動。與此同時，現有數據出境合規要求存在重疊，如《個人信息出境標準合同辦法》《數據出境安全評估辦法》均規定數據處理者應在數據出境前進行自我評估，且設置了不同的自我評估要求?；谄髽I運營和數據流動的不確定性，極有可能出現企業預期數據出境量為《個人信息出境標準合同辦法》所規定的標準，而其實際運營中數據出境量達到《數據出境安全評估辦法》要求的情況。此種情形下，企業則需要分別滿足《個人信息出境標準合同辦法》《數據出境安全評估辦法》的自評要求。這無疑增加了金融機構的合規成本。

2.2? ?金融數據分級分類制度與金融數據跨境流動的銜接不暢

理論上數據分級與數據跨境流動密切相關，不同級別數據所受到的跨境流動限制理應有所差別。我國雖已嘗試通過設立行業標準的方式對金融數據進行分級分類，但各規范和標準的數據分類依據、要素和標準存在明顯差異。金融領域數據分級標準的差異化極易導致各規范與標準間缺乏對應聯系和互操作性，增加數據分級制度整體落實的難度。雖然出于安全監管效果與立法技術的考慮，可能不宜通過數據分級對數據跨境傳輸的具體方式和監管標準進行詳細區分，但從便利金融數據跨境流動的角度來看，如果不統一金融數據分級分類標準，將會增加數據流動過程中國內外義務主體有關義務內容和履行標準的困惑。

2.3? ?金融數據的入境監管存在不足

隨著經濟全球化和金融市場的不斷發展，金融數據的跨境流動變得越來越頻繁。在這一過程中，包括我國在內的很多國家過于重視金融數據的出境監管，而忽視了金融數據的入境監管。目前，我國僅有《網絡數據安全管理條例（征求意見稿）》涉及境外數據審查事項，對來源于我國境外、法律和行政法規禁止發布或者傳輸的信息予以阻斷傳播。該規定的本質是通過設置數據跨境安全網關，使境內互聯網用戶訪問境外違法信息的請求無法獲得正常域名解析，進而達到對網頁上的特定內容進行過濾的目的［6］。上述規定雖不完全契合對境外回流至我國的金融數據的審查和監管需要，但也在一定程度上說明了對入境數據進行審查的必要性。忽視金融數據入境后的風險控制和監督管理會導致金融數據被惡意操縱或濫用，從而影響金融市場的正常秩序和穩定。

3? ? ?我國金融數據跨境流動的規制進路

為了保護國家安全、經濟利益和個人隱私，我國應通過建立金融數據跨境流動常態化機制、統一金融數據分級分類標準、加強金融數據入境的監管等舉措促進我國金融數據有序流動。

3.1? ?建立金融數據跨境流動常態化機制

在當今經濟全球化的時代，數據已經成為全球生產要素中不可或缺的一部分。然而，當前各國對數據跨境流動的監管卻存在著諸多限制，與經濟全球化背景下數據作為生產要素在全球范圍內流動的趨勢相違背。故此，我國應考慮建立金融數據跨境流通的常態化機制，簡化數據出境審批流程。例如，我國可借鑒歐盟的充分性認定機制（又稱白名單），金融機構在向經過充分性認定機制驗證的國家、地區或國際組織傳輸數據時，可以不經過進一步評估?；騾⒄諝W美間簽訂《跨大西洋數據隱私框架》（Trans-Atlantic Data Privacy Framework）的方式，與重要貿易伙伴簽訂基于共認互信的雙邊、多邊數據流動協議，暢通金融數據出入境通道。

3.2? ?統一金融數據分級分類標準

制定數據分類分級保護制度的目的是對不同重要性和風險等級的數據實施差異化管控措施，以應對數字經濟背景下數據要素所面臨的多元化流通處理需求和復雜的數據安全風險［7］。對于金融數據而言，由于其涉及的經濟利益和造成的社會影響非常大，我國更加需要建立科學、合理的分類分級制度。在制定金融數據分類分級標準時，應該充分考慮金融服務自身的特點和《數據安全法》等法律的要求，以金融數據在經濟社會發展中的重要程度，以及遭到竄改、破壞、泄露或者非法獲取、非法利用后對國家安全、公共利益或者個人、組織合法權益造成的危害程度等為標準進行統一分級。

在建立以重要數據管控為核心的數據流通規則方面，要明確不同類型和等級的金融數據的流通范圍、處理方式、存儲和傳輸等方面的要求。對于重要數據的流通和處理，應加強監管和審批，確保其安全性和合規性。同時，還需要建立完善的數據備份和恢復機制，以防止數據泄露或損壞帶來的風險。

此外，在金融數據的分類分級保護中，還需要重視對第三方服務商的監管和管理。金融數據的處理和存儲大多依賴第三方服務商，因此需要對這些服務商進行嚴格的篩選和管理，確保其服務質量和安全性。同時，也要建立完善的服務商退出機制，以防止不良服務商對金融數據安全造成威脅。

3.3? ?重視金融數據入境的風險控制和監督管理

數字化時代，金融數據的入境風險控制和監督管理顯得尤為重要。我國可以從以下兩個方面加強對金融數據入境的監管。

一方面，我國應完善相關法律法規，明確金融數據入境的標準和程序，并制定相應的違規處罰措施，從源頭上規范金融數據入境行為。例如，建立金融數據入境后抽檢制度。通過不定時抽查的方式，對入境金融數據的內容進行復核，及時發現與彌補前序數字化審查可能存在的不足和漏洞。同時，對入境后金融數據的存儲和使用進行必要監管，防止出現數據濫用的情況。

另一方面，金融機構應加強內部管理和風險控制，建立完善的金融數據入境審核機制和備案制度，嚴格把控數據入境的各個環節，并對入境數據的用途、存儲地點、存儲方式等作出說明。如果出現違規情形，也便于監管機構事后調查與處理。同時，加強金融機構員工培訓，增強員工對金融數據安全的意識和防范能力，防止內部泄露或外部攻擊。監管機構應采取輔助監管措施，運用監管科技對入境金融數據進行監管。為此，監管機構應積極運用云計算、大數據等新興技術，構建數字化入境數據審查通道或平臺，以提高審查效率。同時，實時監測和防止含有禁止發布或傳輸的信息流入我國，一旦發現禁止發布或傳輸的信息，系統應立即阻斷信息的傳輸，并對相關金融機構進行處罰，以示警告。

主要參考文獻

［1］彭德雷，張子琳.數字時代金融數據跨境流動的風險與規制研究［J］.國際商務研究，2022（1）：14-25.

［2］李萬強，吳佳芮.金融數據跨境流動的法律規制與中國方案［J］.南通大學學報（社會科學版），2023（5）：80-88.

［3］鐘紅，楊欣雨.金融數據跨境流動安全與監管研究［J］.新金融，2022（9）：38-44.

［4］王遠志.我國銀行金融數據跨境流動的法律規制［J］.金融監管研究，2020（1）：51-65.

［5］王春暉.構建數據基礎制度需確立現代數據產權制度［J］.中國電信業，2022（8）：33-35.

［6］徐程錦.中國跨境數據流動規制體系的CPTPP合規性研究［J］.國際經貿探索，2023（2）：69-87.

［7］袁康，鄢浩宇.數據分類分級保護的邏輯厘定與制度構建：以重要數據識別和管控為中心［J］.中國科技論壇，2022（7）：167-177.