论我国金融数据跨境流动的法律规制

刘 辉，敬若男

（湖南大学法学院，湖南长沙，410082）

疫情影响下的世界经济，传统产业发展动能下降，但以数据驱动的产业保持较高增速。[1]数据跨境流动是国际贸易的重要组成部分，也是数字服务模式的一大要素，被描述为商业化的“21世纪全球化标志”[2]和“全球经济结缔组织”[3]。顾名思义，数据跨境流动即数据跨越国家边境流动，按照“流动方向”和“处理主体”的不同，可分为私权利主体处理下数据的入境和出境以及公权力处理下数据的境内外调取。[4]在数据跨境流动的场域下，由于规制理念的不同、数据技术水平与法律保护程度的差异等原因，加之发达国家在金融数据竞争中的强势垄断地位，必将导致数据跨境流动风险更大地向发展中国家倾斜，数据跨境流动治理面临着极为复杂的现实难题。[5]

金融与数据相伴相生。于金融行业而言，数据及算法与算力的加持，使得当代的金融业态呈现出更加复杂的应用场景，大数据征信、人工智能投顾、智能资管与精准营销等一系列新兴应用的产生，正给金融行业带来更多的机遇和挑战。所谓金融数据，指金融机构针对金融消费者的原始数据进行收集与加工而形成的一种经济数据。[6]良好的交易生态需要制度加以维系，当下我国企业在国际贸易中所面临的形势颇为复杂，面对数据跨境日益频繁的国际新形势和国内对贸易体量增长的新需求，需尽快完善我国金融数据跨境流动法律规制，同时积极参与世界金融数据跨境流动规制框架合理搭建。

一、金融数据跨境流动的典型风险

金融数据交换天然伴随着风险，而跨境流动使得数据交换对国家的安全、民族、文化、人权政策等都带来了前所未有的挑战。[7]金融数据在跨境流动中所暴露的风险即具有金融数据交换的共性，也有数据跨境流动下的特性。

（一）数据主权风险

数据主权是大数据时代下国家主权内涵的扩充与更新。所谓主权，可描述为“共同体所有的绝对且永久的权力”[8]。数据主权是国家主权项下聚焦数据领域的分支，是国家主权在网络空间的核心体现[9]，表现为国家对本国数据与本国国民数据的所有、控制、管辖与使用的权利[10]。值得指出的是，我国的数据主权问题是放在国家主权范畴下讨论的，其主体是“国家”而不是个人，但欧洲讨论的数据主权，则主要是数据主体，即“个人”对数据的权利。[11]数据主权可分为数据管理权和数据控制权两个维度，数据管理权强调对本国数据产生、使用、流动等方面的管理权以及司法管辖权，数据控制权则强调国家对本国数据具有采取保护措施的权利。[12]

数据主权风险是数据跨境流动较于数据国内流动具有的新兴风险类型，其特殊性在于没有物理空间、地理边界可言。这意味着，数据跨境流动场景中，侵权主体、时空均超脱出本国疆域，加之全球网络空间目前基本处于事实上的无政府状态[13]、各国数据跨境流动的法律规制不一，以及各国大数据金融发展水平不一，导致我国国内法律规制就本国数据在境外可能遭受的危险以及已然产生的纠纷无法实现有效救济。具言之，主要可分为私权利主体处理下的数据出境和公权力主体的数据调取两方面讨论。私主体处理下的数据出境场景中，因地制宜的出境管制下形成了纷繁芜杂的管制模式[14]，数据出境后恐面临二次利用风险。而全球管辖制度殊异下，我国对境外发生的数据纠纷依照国内司法机制处理成本高、胜诉几率低，而国际法领域又存在规制不明或空白[15]，因此难以实现有效救济。在公权力主体的数据调取场景中，涉及到相关重要金融数据，我国一直以来对境外数据调取的态度始终坚持自由流动原则，尽量避免单边权力。[4]但观国际上以立法优势维护数据主权的欧盟，通过立法扩张域内管辖权，并依恃于雄厚的数据立法基础和实践基础，推动“欧盟标准”变为“国际标准”，实现了对域外数据的长臂管辖。因此，我国国内法域外适用存在困难，在数据调取上没有法理支持而居于劣势。

另一方面，部分强国依恃于技术优势形成事实上的数据霸权，对我国政治、军事、经济等方面形成巨大威胁。从“棱镜门”“怒角计划”“星风计划”，再到“电幕行动”“蜂巢”平台和量子攻击系统[16]，美国依恃于其技术优势肆无忌惮地对全球数据进行攫取，使得全球都陷入数据跨境无序流动招致的国家安全威胁之中。欧盟国家通常采用私权益保护措施来对抗美国的数据霸权“侵袭”，这与欧盟数据主权讨论中主体为“个人”的思路具有一致性。但事实上，个人数据权利在没有国家数据主权的保障下很难得到有效救济。[9]换言之，目前实践应对数据霸权行为所采用的传统法律应对机制力度不够，应构建数据主权体系，用国家公权力加以应对。

金融数据作为全球公认的重要数据，对其控制、处理和使用是巩固数据主权的战略性举措，但各国大数据金融发展水平不一，优势国家以数字技术为支撑，并凭借自身搭建的最利本国规制框架对其他国家进行长臂管辖，从而实现对各国重要金融数据的控制、使用、所有。长此以往，金融数据就会呈现出向发达国家无序流入的样态。

（二）金融数据安全风险

数据安全通常指数据的可用性、机密性和完整性，即依靠设置一些技术上或制度上的障碍防止个人或组织未经授权而使用或访问数据。[17]因此，传统的数据安全风险表现为利用技术或制度漏洞破坏数据“三性”，局限于数据本身的安全。如今的智能化时代，大规模的数据流动通过算法产生融合计算的结果[18]，使得数据安全风险内涵与外延不断扩张，突破了数据本身安全层面的风险，延伸至数据主体权益风险，具体可细分为主体尊严权利（隐私权）受侵风险、数据主体自主自治受阻风险等，以及国家安全、公共利益、经济安全等方面的风险。[19]

“棱镜门”后，全球各国纷纷将数据跨境规制提上日程，数据安全风险扩张中的国家安全、公共利益、经济安全层面的风险尤其突出。实践中，部分西方发达国家充分显露“保护主义”思维，并在全球数字领域实施“战略围剿”，进而引发“数字失序”现象。[19]由于信息技术的飞速发展，数据跨境流动在速度上愈加频繁、在体量上不断累加，加之各国围绕数据不断演变的规范，确保数据安全并不容易。

展开而言，其一，数据跨境使得数据来源存在权利瑕疵风险威胁交易稳定。数据在交易过程中具有财产属性[20]，跨境流动中突出的数据非法收集风险会导致数据本身具有权利瑕疵风险，加之金融数据较一般数据附加的财产性价值更高，对金融数据的挖掘具有更大利益趋向性，因此，金融数据跨境流动会给后续交易带来更大法律风险，严重威胁市场交易秩序。其二，数据跨境中个人金融数据泄露风险威胁社会治安。金融数据是个人金融活动中产生的系列数据，因此，金融数据可用于个体活动轨迹跟踪、个体财富价值判断等关乎个体身份识别的事项。跨境流动中突出的金融数据泄露风险使得个体隐私权、财产权均面临极大威胁，由此导致社会安定难以维系。其三，数据跨境数据本身自带的价值威胁国家安全。“许多看似无关的多维异构数据在比对、关联和有效融合后，仍可以推断出具有穿透力、威慑力的致命信息，严重威胁国家安全和社会稳定。”[21]跨境数据流动若不加以合理限制，一国的安保措施可能会被轻易攻陷而引发政治、军事等领域的安全风险。[22]

（三）个人金融数据滥用风险

“滥用”一词经常出现在我国规范性法律文件中，指在有正当权力或权利存在的基础上，主观意图和客观结果上行使权力或权利超越了原有权力或权利边界，主要可划分为“滥用权利”“滥用权力”以及“滥用地位”三类。[23]对于个人金融数据的滥用风险探讨主要归于私权利主体“滥用权利”的范畴，这里的私权利主体指向金融机构等数据管控者。

个人金融数据滥用行为具体类型可以按照数据流动的全流程按阶段划分，跨境流动下的典型滥用行为主要表现为数据的非法收集行为、算法歧视和非法泄露行为。其一，数据的非法收集行为。金融机构应基于用户“通知+同意”规则进行数据收集，这说明机构实际上具有收集一定数据的权利基础。但实践中，机构通过将用户必须签署数据收集相关授权协议作为前置条件来提供服务，同时在授权协议中运用模糊性表达在用户没有实质同意的情况下进行数据收集。另外，数据可以通过创新的数据分析方法，在多次使用中产生新的价值[24]，因此，机构往往对已经收集到的数据进行统一整合，实现机构内部平台间共享甚至跨平台共享，而这种数据的进一步挖掘和共享行为远远超出用户的原始授权。其二，数据分析处理阶段的算法歧视。大数据与人工智能时代，算法开始在越来越多的应用场景中被用于决策或辅助决策。[4]算法本身作为一种数据分析技术不具有可非难性，但由于算法决策过程难以为普通人所理解和洞悉，导致被挖掘数据的用户根本无从知道自己何时何地就已经被算法解构，并被精准画像。被精准画像后，一方面，用户接收到的信息在很长一段时间内都将同质化，更甚者，用户所能看到的信息往往只是机构想要让其看到的信息，长此以往，用户将深陷算法所打造出的“信息茧房”；另一方面，机构利用客户画像和信息不对称实现差别对待，侵害用户作为消费者的合法权利，“大数据杀熟”就是典型应用场景。其三，数据的非法泄露行为。基于权利义务对等原则，机构基于用户授权或法律赋权拥有用户数据使用权的同时，具有保护附着在数据上用户个人相关权益的义务。机构自身要在用户授权范围内收集使用信息，又要采取一定措施保护用户数据免遭泄露。但实践中，Facebook、Google等均被指控未经用户授权收集与主动泄露用户数据，数据泄露事件频发。

数据跨境流动中，个人金融数据滥用风险主要表现为个人信息权和个人隐私权被侵害的风险。首先，应当明确个人信息保护和隐私保护机理存在本质不同，传统隐私侧重保护“私密、独处”，个人信息保护突破了此类目的，更加偏重保护个人对数据的自主自治。[25]有学者将二者分别称为尊严隐私（Dignitary Privacy）和数据隐私（Data Privacy）。[26]因此，个人信息保护和隐私权保护应分别讨论。但囿于二者在保护客体、侵害方式等方面均存在高度重合，数据跨境下个人金融数据滥用风险的探讨聚焦于“金融数据”这一客体和“滥用”行为带来的风险，而金融数据既是个人敏感信息，也可归于私密隐私，加之数据跨境下的滥用行为主要包括数据的非法收集、分析、泄露等形式，为二者共有的侵害方式[27]，故二者所面临的风险亦具有一致性，此处予以统一分析。第一，数据跨境流动中，个人金融数据面临更易泄露的危险。相较于国内流动中的泄露风险，跨境流动具有技术上的超越、观念上的松懈以及方式上的隐蔽。具言之，全球各国对先进通信技术的开发使得数据流动存在更多途径，以先进技术为基础，国外金融机构将数据获取非法意图掩盖于合理正当的商业合作之下，往往造成我国国内金融数据被无形攫取的后果。第二，数据跨境流动从物理形态上脱离了本国疆域，我国对附着在金融数据上的个人相关权益难以实现有效救济。互联网的全球性质意味着数据可以迅速并容易地转移到第三方司法管辖区，当无法对这些流向其他司法管辖区的数据提供可靠隐私保护时，这种转移可能会破坏国内隐私目标。[28]

二、我国金融数据跨境流动法律规制现状

（一）我国数据跨境流动规制总体思路

我国数据跨境流动规制起步晚，与此相关的立法大多数借鉴国外先进立法思路，再遵循本国国情不断进行修改完善。当前，欧盟和美国分别构建了自成体系的的两大规制模式，欧盟通过颁布《一般数据保护条例》（General Data Protection Regulation，通称为GDPR）①译本参考《欧盟〈一般数据保护条例〉GDPR：汉英对照》，瑞柏律师事务所译，北京：法律出版社，2018年版。下文引用均为此版本，译文略有改动。，形成了一个强力的法律框架，主张个人数据高标准保护，形成了以数据本地化为核心的数据跨境流动规制模式；美国则以商业利益为导向，倡导数据自由流动。我国在选择数据跨境流动规制方案时，采用了偏向于欧盟的审慎思路，但又有所不同。

我国通过先后颁布实行《网络安全法》《数据安全法》和《个人信息保护法》，搭建起我国数据主权、数据安全与个人信息保护整体框架。《网络安全法》首次提出网络空间主权概念和网络安全维护，搭建了我国网络主权保护的基础框架，对数据主权与安全有所涉及但不够充分。后续《数据安全法》聚焦数据安全，通过域外管辖、对等措施等规定维护数据主权，并从数据安全监管主体、数据安全标准评估检测、数据分类分级保护等方面打造数据安全保护制度框架。从管理客体上看，既管理中国公民的个人数据，又管理与中国国家安全利益攸关的重要数据，客观来看比GDPR有更严格的数据传输限制。[29]前述法律虽对数据跨境流动均有涉猎，但其中较成清晰体系的是《个人信息保护法》，从信息出境具体限制性规则、信息流动“黑名单”制度、对等措施以及加大违法罚款力度等方面实现信息跨境中个人信息保护。值得指出的是，《个人信息保护法》规制对象为“个人信息”，即“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。与之有所不同，根据《数据安全法》，“数据”指“任何以电子或者其他方式对信息的记录”，从定义上可以看出，“数据”较“个人信息”含义更加宽泛。但实践中，二者在具体内容上存在较大程度的重叠，且在有些法规中存在将二者混同规定的情况。因此，围绕《个人信息保护法》并结合其他具体监管规则，探讨数据跨境流动的规制具有合理性。

就我国数据跨境流动规制中管理的客体具体范围界定，《个人信息保护法》将适用客体从境内处理个人信息扩展到了符合一定条件的境外处理境内个人信息。后国家网信办发布《数据出境安全评估办法》（以下简称《数据出境评估》），并就该办法相关问题回答了记者提问，明确该办法所称数据出境活动主要包括两种：一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外；二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。概况而言，我国对于数据出境的管制，可执行具体规则保护标的限于我国境内产生并由境内转移至境外的数据。与我国不同，GDPR中的数据跨境既包括向第三国或国际组织转移个人数据，也包括从第三国或国际组织转移到另一个第三国或国际组织，在数据保护的地理空间上更为延伸，这意味着任何向欧盟居民提供商品或服务的企业都将受制于GDPR，不管该企业是否位于欧盟境内，是否使用境内设备。[30]

关于数据跨境具体规则，《个人信息保护法》专设“个人信息跨境提供的规则”章节，在强调本地化存储的前提下，细化了数据跨境中的合规细则。明确规定个人信息跨境条件，一方面，需要满足“安全评估”“个人信息保护认证”“签订标准合同”等条件之一；另一方面，需要向个人告知境外接收方的相关信息和信息处理事项，并取得个人的单独同意，即“通知+同意”原则。就此形成了我国较为清晰的个人信息出境标准。与我国相比，GDPR规定的数据出境条件分为3个层次：首先，实行“充分性决议”（Adequacy Decision）标准，通过设置数据跨境流动国家“白名单”，授权白名单国家之间数据自由传输；其次，对于“非白名单”国家，若该国采取了“适当性的保障措施”（Appropriate Safeguards），比如标准合同、约束性公司规则等多样化手段，符合欧盟认定的充分保护标准，也可参与数据跨境流动；最后，即使还有国家不符合前述两种标准，GDPR还设了例外规定，允许在一些特殊情况下实现数据跨境流动。细究之，GDPR的条件与我国存在部分一致性，如我国数据出境要求就个人信息跨境处理活动进行专门认证，或者要求与境外接收者订立标准合同，对标GDPR，认证机制和标准合同签订都归属于其“适当性的保障措施”。但差异性更为明显：其一，我国将“通知+同意”作为必须条件，而GDPR将此情况归入例外规定，即个人的“通知+同意”只是其数据出境的条件之一；其二，我国设定有“安全评估”规则，而GDPR中没有相关安全评估规则；其三，GDPR的“白名单”国家自由流通规则也是我国所不具有的。

“安全评估”规则是我国数据出境的特色规则。与《个人信息保护法》中个人信息出境条件之一的“安全评估”思路相配套，国家网信办发布过《个人信息出境安全评估办法（征求意见稿）》（以下简称《个信评估（征）》），进一步细化了信息出境前的安全评估流程，规定由省级网信部门全程负责评估相关事宜，虽然一直没有生效推行，但其精神可以在实践中予以一定参考。后国家网信办发布的《数据出境评估》，形成了我国目前数据出境安全评估的主要框架。该办法明确了4种应当申报数据出境安全评估的情形，概括而言，我国的安全评估聚焦于保护“重要数据”，并非所有数据都需要进行安全评估。该办法以列举的方式明确了3种评估情形，但第一类中“重要数据”的界定依旧是实践中需要解决的一大重点。根据《关键基础设施安全保护条例》规定，金融领域的网络设施、信息系统属于关键基础设施，因此，金融数据出境归属于应对安全评估的范畴。另外，《数据安全法》就重要数据保护规定指出：“各地区、各部门应确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。”可见，我国将重要数据保护的权利下放到各具体行业进行相应管理。

我国在“数据保护元年”2019年共发布了18部与个人信息保护相关的法律法规和标准，并且在之后的几年保持着一定密集趋势持续发布相关法律法规，以进一步完善个人信息和隐私权保护及监管。[31]从我国立法沿革来看，对于个人信息和数据的保护不断加强，对于数据跨境流动秉持着审慎态度，强调从国家层面宏观监管数据安全。早前立法思路更倾向于欧盟的规制模式，即以本地化存储为原则，相较于促进数据跨境流动更加重视对个人数据的保护。但《数据安全法》所确立的“数据安全自由流动原则”，昭示着我国已经从根源上转变了规制思路，尝试追求自由与安全并行。

（二）我国聚焦金融领域的数据跨境流动规制现状

《数据安全法》第6条规定，金融这一行业的数据监管职责归于本行业主管部门。由此可以窥见，我国在金融领域的数据跨境流动立法，是在依托数据跨境流动总体规制框架前提下，由金融行业自身把脉制定相应规则。就目前规制现状而言，银行业通过颁布部门规章、部门规范性文件等，对于数据跨境流动规制走在前面，其他行业则明显呈现规则缺位状态。

央行2011年发布《关于银行业金融机构做好个人金融信息保护工作的通知》（银发〔2011〕17号，以下简称《银行金融信息保护通知》），确立了个人银行金融信息本地化存储的要求，以及原则上禁止个人银行金融信息出境。后中国人民银行上海分行发布的《关于银行业金融机构做好个人金融信息保护工作有关问题的通知》（上海银发〔2011〕110号），对《银行金融信息保护通知》第6条作了进一步解释，明确“业务需要”“经授权或同意”情况下银行金融数据可以跨境流动，为原则上禁止跨境流动打开了缺口。央行2018年发布《中国人民银行关于加强跨境金融网络与信息服务管理的通知》（银发〔2018〕176号），虽然该规范性文件的适用场景只限于境外提供人为境内使用人提供跨境金融信息传输等服务，但从整体规制思路而言，其规定境内使用人和境外提供人都负有报告义务，同时双方应加入中国支付清算协会，接受行业自律管理，由中国人民银行进行宏观监管，初具我国金融数据跨境流动规制模式，并开始向国际靠拢。

新《证券法》第177条第2款规定，境外不得直接调取我国境内文件资料，境内也不得未经批准擅自向境外提供，是国家主权原则在证券跨境执法领域中的体现，有力维护了我国数据主权。承接我国重要数据出境保护的总体理念，2020年2月央行发布《个人金融信息保护技术规范》（JR/T 0171-2020）（以下简称《规范》），规定了个人金融信息全生命周期安全防护要求。明晰金融信息类别划分具体标准，根据不同敏感程度，将个人金融信息分为三大类，由高到低依次为C3、C2、C1，还将适用主体延伸至获取个人金融信息的非金融机构。同年9月，央行发布《中国人民银行金融消费者权益保护实施办法》（银发〔2016〕314号，以下简称《金融消费者保护办法》），聚焦保护金融消费者信息安全，规定建立以分级授权为核心的金融信息使用管理制度，并明确收集、使用信息贯彻“通知+同意”原则。随后，央行正式发布《金融数据安全 数据安全分级指南》（JR/T 0197-2020）（以下简称《指南》）金融行业标准，与前述《规范》关联，将个人金融信息C1、C2、C3三个类别信息分别对应到了2级数据、3级数据和4级数据，在一定程度上直接明确了个人金融信息等字段级的定级指标。2020年颁布的这1个部门规章和2个部门规范性文件，为我国金融数据跨境流动提供了更加完善的金融数据分类分级保护机制，为进一步完善我国金融数据安全制度体系建设添砖加瓦。

除此之外，2022年国家发改委、商务部发布《关于深圳建设中国特色社会主义先行示范区放宽市场准入若干特别措施的意见》（发改体改〔2022〕135号）指出，重点围绕金融等领域积极参与数据跨境流动国际规则制定，并围绕数据跨境安全管理开展本土试点，积极探索我国数据跨境管理机制。可以看出，国家把对于金融领域数据跨境流动的规制摆在了极为重要的位置。通过不断完善金融数据分类分级保护规制，确保金融数据安全的前提下，正积极探索与世界接轨，为我国与世界实现顺畅的金融数据跨境流动扫清障碍。但也可以看出，目前我国对于金融领域数据跨境流动的相关法律不足，还处于依托我国数据跨境流动总体框架进行努力试点，再通过试点来推动立法的阶段。

三、我国金融数据跨境流动法律规制存在的主要问题

（一）法律规制理念具有时代局限性

价值问题是法律科学所不能回避的，即使是最粗糙或最反复无常的关系调整或行为安排背后，总有对各种互相冲突或重叠的利益进行评价的某种准则。[32]金融数据跨境流动是后疫情时代世界经济的聚焦点，如何在保障数据安全流动的同时促进金融数据价值最大化，就要找准限制流动的界点，而界点问题便是自由与安全两种价值观如何在规制中得以平衡的问题。

对于数据跨境，各国都采取了一定的限制手段，可以说问题不在于“是否限制”，而是“限制”的范围与程度。[33]就我国现有规制而言，注重强调数据的流动限制和对数据安全的保护，这是立法理念局限于当时所处时代的原因：前互联网时代，出现过很多行业乱象，国家以强制管控手段维护金融秩序确属时代选择。具言之，一方面，数据出境限制程度高。根据我国数据出境标准，在满足“安全评估”“个人信息保护认证”“签订标准合同”等条件之一的基础上，还需要“个人单独同意”，对数据出境设置了双重限制。同时，在设置需要安全评估的对象条件时，《数据出境评估》第4条中所设“100万人”“10万人”“1万人”标准面对我国14亿人口总体量实际上趋于微小，因此评估门槛实际上是较低的，也就意味着安全评估在运用中会存在泛滥。另一方面，金融机构运营成本高。我国在规定数据出境安全评估时，将评估主体扩大到了数据处理者、运营者，且数据处理者在申报评估前还应开展风险自评估。同时，承接《网络安全法》《数据安全法》《个人信息保护法》中数据本地化存储的要求，金融等细分领域纷纷规定数据本地化存储，并引申出“服务器设在境内”“在境内设立数据中心”等要求，使得细分领域的数据本地化要求过于宽泛。[11]加之需要满足数据收集时“个人同意”的前置条件，机构运营成本显著增加，这意味着数据出境体量会随着出境成本的增加而缩减影响自由流动。

总体而言，我国现有规制“限制”的范围与程度过高。高标准的严格限制有利于控制我国在数据跨境流动制度乍起时的一些动乱，但长远来看并不利于制度更好发展，过多强调数据本地化存储会阻碍数据要素的市场分配，不足以支撑我国金融数据跨境在世界范围内实现高效互通互流。

（二）国内数据法的域外适用问题

国内法域外适用和域外效力的前提便是域外管辖，域外适用和效力是域外管辖的实施过程和结果。[15]一般而言，一国管辖权的行使以领土、领海、领空为边界，国内法只统摄于该国内人事物。但随着国际社会中出现的越来越多国内法域外适用实践，其中尤其以数据保护领先的欧美为代表，通过立法与司法途径实现对本国领土范围之外的数据行为的管制，域外管辖由此而生。一方面，信息技术发展下数据跨境流动，使得原来以地理为边界确定法律效力的传统管辖模式存在适用的现实困境，加之数据流动中所涉的多重利益及风险，国内数据法的域外适用就成为保护国内主体数据权益的关键，这是国内数据法域外适用的现实需要。另一方面，虽然数据保护法律的基本原则在不同地区和法律体系中是相似的，但诸法律的细节有很大的不同[34]，国际公约或判例对于主权国家法律的效力范围也没有划定任何外部限制[35]，这是国内数据法域外适用的国际法正当性基础。

“世界各国之间秩序的形成与维持从来都不是依赖于道德和权利，其真正内核是权力法则。”[36]我国金融数据跨境流动中的主权风险、数据安全风险以及个人信息和隐私权风险都面临数据出境后的救济问题，而域外管辖是实现有效救济的前提。但我国现有规制中，一方面，可执行性出境规则适用对象仅限于“我国境内产生并由境内转移至境外的数据”，《个人信息保护法》虽将适用客体扩展到了境外处理（提供服务、分析、评估）境内个人信息的行为，但未涵盖数据出境后在境外无序流动的行为。与我国不同，欧盟GDPR规定欧盟公民的个人数据不得转移到达不到欧盟认可的保护水平的国家，既包括不能从欧盟转移，也包括不能从第三国转移，同时，通过“长臂管辖”和巨额罚款制度维护欧盟数据主权。从最基础的适用客体范围选择上，我国在域外管辖中就失去了相当一部分话语权。另一方面，我国数据跨境流动规制总体防御性特征明显，获取境外数据路径不明。我国《个人信息保护法》单独一章规定我国个人信息跨境提供规则，但规定焦点在于境内信息出境如何规制，对于境内机构如何获取境外数据缺乏规定，同时，我国公权力主体调取境外金融数据也有待国内立法拓宽域外管辖权力边界。与我国不同，美国通过颁布《澄清域外合法使用数据法案》（Clarify Lawful Overseas Use of Data Act，通称CLOUD法案），提出“数据控制者标准”，明确授权行政机关可以美国机构所在地为标准实现数据抓取，依托于信息技术方面的全球优势实现全球范围内的长臂管辖。事实上，各国都试图通过建立各种连接点，以实现掌控和管辖域外数据，数据治理管辖权扩张已然是一种全球趋势。[37]

（三）个人金融数据跨境保护体系有待完善

我国关于个人金融数据安全保护的规定散见于《个人信息保护法》《征信业管理条例》《征信业务管理办法》《个人金融信息保护工作通知》《金融消费者保护办法》等法律法规中。总体而言，都强调对个人金融数据进行“重点保护”，基于“特定目的和必要性”，经“个人单独同意”及有必要时“经书面同意”，才可采集、加工、使用。涉及到出境流动，还需要经过“安全评估”“个人信息保护认证”，或是“签订标准合同”，但立法较为零散不成体系。

另外，我国实践中个人金融数据跨境运作监管薄弱。第一，监管主体分散。金融业被明确划归为关键基础设施，根据《关键信息基础设施安全保护条例》第2条、第3条和第8条规定，国家网信部门统筹协调，国务院公安部门负责指导监督，国务院电信主管部门和其他有关部门在各自职责范围内负责，省级人民政府有关部门也就自己的职责范围实施安全保护和监督管理。另外，被划归为关键基础设施的行业领域内主管部门、监督管理部门为保护工作部门，为本行业领域关键基础设施的认定制定规制并组织认定。总的来说，关键基础设施所涉行业众多，从上至下负责单位部门众多，“有关部门”定义不明，因此监管主体多而分散。在此基础上，不同监管机构在实践中往往难以统一监管标准，且易形成多头监管或监管空白。[1]第二，对监管主体监督力度不够。实践中，缺乏监管部门对金融机构单方面拟定的用户授权协议的实质性审查，也缺乏对监管部门执法情况的实质性监督。根本原因在于现有法律规制对于公权力机关监管群体的法律问责机制缺失。对国家机关或工作人员监督不到位、未履行监督职责时，法律规定的法律责任都以“对直接负责的主管人员和其他直接责任人员依法给予处分”类似表达带过，规定笼统只会导致违法成本低。此外，政府对数据安全的保障无论是资金、技术还是人才方面的投入都远低于发达国家。[17]第三，行业自我监管能力不强。我国一直缺少良好的市场自律机制，金融行业作为特殊行业，国家公权力监管一直占主流。但无论是出于市场运作客观需要，还是国家大力推行市场化改革下的简政放权，行业自律监管需求越来越大、空间也越来越大。

以上这些问题共同导致我国公民数据权益受侵后难以实现有效救济。实践中，已经实施侵权行为的企业往往并未被处以任何实质性惩罚措施[38]，维权者的窘境在于信息泄露的源头难以查明和取证。[39]数据跨境流动下，各国数据保护标准不同，加之我国数据法域外适用问题、侵权主体确定问题、取证问题、定损问题等都使得我国公民难能实现有效救济。与我国相比，2016年欧盟在通过GDPR后，在其基础上又颁布了第2018/1725号条例进一步约束处理个人数据的行为。随着GDPR及第2018/1725号条例的颁布实行，欧盟对个人数据跨境流动的监管达到史上之最。[40]2019年《GDPR执法案例精选白皮书》显示，自GDPR生效以来，欧盟已经对超过22个国家和地区作出处罚，这些处罚多与个人金融数据相关，充分体现了GDPR对个人金融数据保护的重视。欧盟对于个人金融数据跨境的保护模式，对我国的个人金融数据跨境保护具有重要的借鉴意义。

（四）我国金融机构数据合规体系无法与国际接轨

在国际上，欧盟和美国已经率先形成各自关于金融数据跨境流动的规制模式。欧盟在个人数据保护高标准下谋求金融数据跨境流动，自20世纪60年代就出台过一系列关注个人隐私保护的法规，随着数据跨境流动，欧盟以GDPR为核心的规制模式对于个人数据保护越发严格。但同时通过设置国家“白名单”以及丰富数据合规的具体形式，促进数据跨境自由流动。美国强调全球范围内的数据自由流动，但对国内金融数据予以严格保护。美国2017年出台《23NYCRR500》，作为全美境内首部针对金融机构的网络安全法规，要求金融机构实施保护消费者数据的网络安全计划、定期评估风险、制定网络安全保护策略，构建了最低安全要求框架。[41]同时，美国通过亚太合作组织（APEC）积极推进《APEC跨境隐私规则体系》（Cross-Border Privacy Rules）（通称为CBPR），规定通过CBPR认证的企业，可以在APEC区域内实现自由跨境数据传输。[42]

欧盟和美国的规制模式存在本质不同，导致两边市场交易存在很大阻碍。为促进数据跨境流动，欧美之间进行了妥协合作。从《安全港协定》到《隐私盾协定》，体现了欧盟和美国两大全球最有影响力的经济体之间的博弈，主要表现为美国对欧盟严格的个人数据保护标准的妥协。虽然两协定最终分别在SchremsⅠ案和SchremsⅡ案中被裁定失效，但仍体现了国际大国间为了争取全球数据资源而进行的积极努力。

基于我国国家战略，我国近年来日益重视金融数据安全，积极对标国际严格保护个人金融数据标准，但还未能实现真正接轨。一方面，在欧盟市场，我国目前还没有被欧盟数据跨境流动纳入“白名单”，未满足欧盟“充分性”认定标准，与欧盟对金融数据安全的保护标准还有一定差距，与欧盟成员国无法实现自由顺畅的金融数据跨境流动。而这些问题也将在其他效仿欧盟建立数据跨境流动机制的国家出现，我国金融机构需要对此提前做好合规路径储备。另一方面，在美国以及APEC国家市场，我国未加入CBPR，这些国家与欧盟成员国奉行不一样的合规标准，我国金融机构需要根据该组织内各国不同的标准提前做好合规路径储备，以便实现这边市场的金融数据跨境流动。[5]

四、我国金融数据跨境流动法律规制的完善

（一）重塑数据安全动态平衡的法律规制理念

我国目前关于数据主权、隐私保护讨论较多，成果较多，尤其在个人信息保护方面推进较快。对个人信息保护的重视及研究成果，为我国后续数据跨境流动规制打下了良好基础，但总体而言与数据跨境相关的其他版块仍有待推进。另外，我国目前虽然推出了一系列可以服务于数据跨境流动的法规、部门规章等，并着力于指引数据跨境具体操作，但因为规则尚不成熟且大多数未正式生效，仍处于漫漫落地过程中。面对如此形势，我国需要把握关键理念，将数据跨境流动规制上升到国家层面，积极推动数据跨境领域国家层面立法，并针对不同版块推出具有实质性内容的下位法，只有上位法搭好扎实基础，下位法才好顺利推进，从而打造数据跨境流动规制体系。[43]

在总体规制理念上，要认清数据“安全流动”与“自由流动”是一体两面的关系。当今金融科技视野下，我国应当兼顾开放与审慎态度，以更为包容的目光去看待金融数据跨境流动，树立数据要素化与数据安全动态平衡的规制理念。目前，我国金融数据跨境规制限制过多，一方面参考数据分类分级后的重要性，可以对“个人单独同意”手续进行精简。尝试基于科学的数据分类标准，法律法规预先设定一定时间段内金融机构在数据收集、传输中禁止实施的行为类型，即动态的“负面清单”，当金融机构需要对海量客户数据进行抓取、使用时，机构自身应当主动避开禁止事项，从而保证自身没有越过用户授权，变“授权制”为“负责制”[44]，以此降低机构运营成本的同时促进数据流动效率。另一方面，可以根据数据重要等级、数据使用具体场景等因素，对数据出境安全评估进行灵活性选择适用。安全评估既要求机构自评估，又要求上报申请国家网信部门评估；既加大金融机构运营成本，又加大国家财政压力。建议可以允许基于商业目的使用的一般金融数据跨境，在满足“数据保护认证”或“签订标准合同”条件下，仅需要机构自评估，进行事后报送评估；对于业务所必需的向集团关联机构跨境传输金融数据的情形，可以结合金融业非现场监管在每年报送机构数据时进行报告，无需进行事前个案评估。[45]

（二）加强我国数据主权的立法表达

“国际社会在数据保护法领域尚未形成共同规则，从单边思路为本土数据保护规则的适用开通域外适用路径，将有利于中国在积累本国数据立法经验的同时，与全球数据治理建立内外联动模式，推动数据保护国际规则的形成。”[35]面对我国现有规制的域外适用问题，第一，建议从立法上创新管辖权模式，明确域外效力条款。首先，在立法上扩大适用对象范围，将我国目前出境规则中适用对象仅限于“我国境内产生并由境内转移至境外的数据”，拓宽至“我国境内产生的数据转移至境外以及数据境外后续发生的其他流动”。另外，可以参考国际强权国家立法经验，美国通过CLOUD法案以“数据控制者标准”确立管辖权，欧盟通过GDPR确立“设立机构标准”和“目标意图标准”，总的来说，都是尽可能在不违背国际规则的前提下积极采取单边立法，确立“长臂管辖”、扩张本国法域外效力为核心的“主权扩张”模式。[14]第二，可以通过立法强化我国对跨境数据的控制力，当他国威胁我国的国家安全时，使主权可以突破有形疆域，实现更灵活有效的调取权力。[4]第三，基于现有《个人信息保护法》第38条的立法基础，适时引入充分性评估机制或类似机制。欧盟代表性的“充分性决议”数据安全评估机制的主体是欧盟，评估对象是其他国家或地区，本质上是以一个超主权组织的力量参与博弈。而美国始终将跨国企业作为参与全球数据利益博弈的重要主体，国家辅以立法、国际多边合作的支撑，通过企业的不断实践实现“长臂”效果以扩展域外管辖。很显然，大国博弈中，作为私权利主体的跨国企业的力量是有限的，因此，具体国情下建议我国借鉴欧盟经验，以主权国家身份与其他国家和地区进行博弈，为我国跨国企业获取境外数据提供国家支持。[11]

（三）加强个人金融数据跨境安全的系统保护

国家权力是以公民的权利为中介对经济社会关系的集中反映。[46]因此，数据跨境流动风险讨论中，个人层面的风险始终是我们需要应对的重点。

加强监管是应对个人金融数据跨境风险的关键措施。一方面，建议确立央行在我国金融监管机构中的主导地位。目前，我国专门的金融监管机构为央行、银保监会和网信办，几个部门通过分别出台规范性文件、规章形成各自监管机制，监管职责往往重叠，实践中易出现“多头监管”或是“监管真空”。[47]这样的监管局势下，应当在具体领域中规定相应主导的监管主体，以集中权力统筹监管。此外，央行发布的《指南》中规定“金融业包括货币金融服务，资本市场服务、保险业等”，没有进行如证券、保险、银行等行业细分。虽然《指南》只是规定金融数据分类分级具体如何操作的一部行业规范，但作为目前我国金融数据治理不断完善进程中的一部最新的行业数据分类分级标准，这样的定义或许意味着金融行业开始寻求整合并尝试探索一套统一适用标准的行业发展路径。在这样的整合发展思路下，加之央行在金融数据安全保护、跨境流动规制等方面业已取得较多成果，具有成为主导金融监管机构的前期基础和现实需要。另一方面，应加强行业自律监管建设。国家引导行业协会、企业制定较为细致的数据安全自查制度，设计具体的激励约束机制，打造行业良好的自我约束风气。具体而言，可以从企业是否按时按质进行员工数据安全培训，是否设置了数据跨境风险预警和应对措施，是否有相应技术设备保障数据存储安全，对于数据的收集、处理、使用是否合规等方面进行定期自查和协会抽查。[47]

与此同时，应当疏通金融用户权益受侵的救济通道。个人金融数据跨境流动可能涉及到的个人信息权和隐私权风险存在本质上不同，“为解决体系解释上的矛盾和评价上的不统一，隐私权和个人信息保护分立也许是最为便捷和有效的途径”[25]。就个人信息保护而言，可以侧重消费者法保护和公法保护两条路径，将个人信息保护纳入消费者法框架。[48]就目前实践中企业通过设置授权前置程序使得用户形式化，未来立法应打破个人敏感信息与一般信息分别适用“知情+同意”原则的二元结构，规定对个人信息的获取都应当获得信息主体清晰的、明示的授权。[49]同时，还可以通过法律明确要求信息处理者制定不同场景下个人信息保护的具体机制，以此促使数字企业积极开发信息技术减少对知情同意原则的过度依赖。[25]就隐私权保护而言，可以制定独立的个人隐私保护法律法规，与时俱进明确大数据时代下个人隐私定义和适用范围，并确立相应的隐私侵权救济制度。“合法性与司法之间的亲缘关系在于，一项得到明确表述并获得公开的规则使得公众能够得以判断其公正性。”[50]只有法律法规体系明确，权利主体才能寻求到有效的法律救济。

（四）积极参与国际金融数据治理合作

目前，全球范围内尚未形成统一的数据跨境流动规制模式。[40]就金融数据出境而言，我国以安全评估作为主要合规机制，与欧盟多样化合规机制相比较为单一，在国际数据跨境流动中劣势明显。促进金融数据跨境流动应当是所有合规手段的目的，故积极寻求在国际上数据合规应当是我国目前主要面向。

数据跨境流动治理基本呈现3个阶段：国内单边规制阶段、区域治理阶段、全球治理阶段。就目前发展状况来看，当今世界各国还处于第一阶段的完善和第二阶段的萌芽阶段。我国可以基于区域合作，效仿欧盟设置流动“白名单”，打造区域内金融数据自由流动。“一带一路”、上海经济合作组织、亚太经合组织、G20、RCEP等成功的区域合作实践，为我国寻求国际金融数据跨境流动的区域合作奠定了较为坚实的基础。目前，RCEP在中国所签署多边国际贸易协定中属于最高标准，一定程度上代表了中国服务业开放立场。RCEP第八章服务贸易附件一《金融服务》第9条“信息转移与信息处理”，是我国数据跨境流动在区域合作中达成的有效成果。承接其相关经验，我国可以在已经达成的其他区域合作基础上，在会员国合作涵盖金融领域的前提下，依托于已经形成的会议机制和合作宗旨，以会员国身份倡议在组织平台内进行金融数据跨境流动试水。相较于与组织外国家间金融数据流动的严格限制，组织内成员国之间可以放低限制，在试水中摸索限制能够降低的最大值，并以此平台为出发点，以点带面实现面向更多国家的金融数据跨境流动。

结语

加强数据安全保护、保障数据自由流通和争取国际数据话语权已经成为我国未来数据法治建设的重要任务。在保障数据跨境安全流动的前提下，如何把数据作为一种生产要素，通过大数据和人工智能尤其是算法技术的运用，发挥金融数据在金融创新和推动金融发展中的作用，是我国大数据金融立法的重中之重。数据要素化大背景下，数据治理应被摆在国家战略层面。随着贸易全球化和信通技术高速发展，数据跨境流动无法避免，我们应达成的共识是：数据治理应当服务于促进而非限制数据跨境流动。