自由贸易协定金融信息传送规则构建

马 光 卜小翠

内容提要：在国际贸易法框架下，金融信息传送规则中最核心的“金融信息传送”条款源起于乌拉圭回合一揽子协定中《关于金融服务承诺的谅解》中的“信息传送和信息处理”条款，后在各FTA中也相继出现。数字经济背景下，对跨境数据流动规制的关注开始集中于电子商务和数字贸易领域，“金融信息传送”条款也因此在近年来的FTA中被电子商务或数字贸易的跨境信息传送规则所吸收。然而一体化规制方法仍然存在许多基础性问题待解决，应当谨慎看待。现阶段，“金融信息传送”条款已经发展出了“金融信息传送自由原则+个人数据、个人隐私、个人记录和账户机密性例外+有限度的监管例外”的基本结构，并在数据本地化问题下衍生出了“金融服务计算设施所在地规则”。中国应在坚持数据主权立场的基础上，升级FTA金融信息传送规则，从国际规则遵守者向国际规则制定者转变，以期维护本国在金融服务领域和数字科技领域的进攻利益。

一、引言

全球数字化背景下，跨境数据流动成为推动全球经济发展的重要力量。麦肯锡全球研究院2016年的报告指出：“实物商品和资金的流动曾是20世纪全球经济的标志，但如今这些流动已经趋于平缓或下降。21世纪的全球化越来越被数据和信息流所定义。数据和信息流几乎支撑了传统贸易中的所有跨境交易，同时在世界各地传递着思想和创新。”(1)See Mckinsey Global Institute,Digital globalization: The new era of global flows,Report(Feb.24,2016),available at https://www.mckinsey.com/business-functions/mckinsey-digital/our-insights/digital-globalization-the-new-era-of-global-flows,last visited on May 2,2022.跨境数据流的惊人增长和潜在经济效益已经引起了全球监管者对跨境数据流动规制的广泛关注。从实践来看，国际社会目前的共识是：贸易协定是管理跨境数据流的适当场所。因为当信息跨境流动时，这些流动似乎基本上与贸易相关。(2)See Susan Ariel Aaronson, Data Is Different,So Policymakers Should Pay Close Attention to Its Governance,in Mira Burri ed.,Big Data and Global Trade Law,Cambridge University Press,2021,p.342.

国际贸易法对跨境数据流动的关注最早出现在电信、金融等特定服务部门。其中，以乌拉圭回合一揽子协定中《关于金融服务承诺的谅解》(以下简称为《谅解》)(3)值得说明的是，《谅解》与《服务贸易总协定金融服务附件》(以下简称为《GATS金融服务附件》)为两个不同的法律文件，《GATS金融服务附件》属于GATS的一部分，而《谅解》不是GATS的一部分，但被附加到乌拉圭回合的最后文件中。中国未签署《谅解》。的“信息传送和信息处理”条款最为典型。根据《谅解》，以经济合作与发展组织(以下简称OECD)成员国为主的34个世界贸易组织(以下简称为WTO)成员自愿作出更高水平的金融服务开放承诺，且此类承诺按照最惠国待遇适用于所有WTO成员。(4)See Chantal Thomas,Globalization in Financial Services—What Role for GATS, 21 Annual Review of Banking Law 323，324(2001)，转引自杨幸幸：《〈美墨加协定〉金融服务规则的新发展——以GATS与CPTPP为比较视角》，载《经贸法律评论》2019年第4期。随着电子商务和数字贸易的日渐兴起，一方面，由于WTO在制定规则以应对世界经济中与数据相关的变化上停滞不前，世界主要经济体逐渐转向以自由贸易协定(以下简称为FTA)作为规则升级的主要平台，《谅解》金融信息传送条款也随之被众多高标准FTA所吸收；另一方面，自《美国—韩国FTA》首次在电子商务章节纳入跨境信息流动条款后，对跨境数据流动规制的关注开始集中于电子商务和数字贸易领域，并在近年来的FTA中呈现了跨境信息传送一体化规制的趋势。(5)《澳大利亚—新加坡数字经济协定》(以下简称为ASDEA)、《美国—日本数字贸易协定》(以下简称为USJDTA)及《WTO电子商务谈判合并文本》(以下简称为《合并文本》)、《欧盟—澳大利亚/新西兰贸易协定》谈判中欧盟方面提交的初始文本皆采取了此种安排。由此提出的问题是：金融信息传送是否还有单独规制的必要。

当前，除《区域全面经济伙伴关系协定》(以下简称为RCEP)外，中国已签署的16个FTA皆未规定金融信息传送条款。(6)中国与毛里求斯、韩国、澳大利亚、新加坡、智利的FTA中单设电子商务章节，但电子商务章节也未设置信息传送相关条款。关于我国已签订FTA金融信息传送规则设置情况请参见表1。就文本而言，这些FTA仍有较大完善空间。鉴于我国已基于RCEP条款承诺金融信息传送，跨境金融数据流动议题也已在不同程度上为各处于磋商阶段的区域及双边经贸协定所触及，深化对该条款的探究，提出关于中国在该议题上的主张的建议具有突出现实意义。

表1 中国已签订FTA金融信息传送规则设置情况汇总表

有鉴于此，本文将分析梳理FTA金融信息传送规则的发展脉络，进而结合各国治理动向，揭示各国数据治理日渐趋同的现象，并深入探析金融信息传送规则的逻辑构建。在此基础上，本文将根据中国的基本立场，详细擘画中国应采取何种条款表达。

二、FTA金融信息传送规则发展脉络

(一)FTA金融信息传送规则体系

金融服务的提供与金融信息密不可分。系统来看，FTA对金融信息传送问题的规制主要包括三部分。

一是以金融服务定义条款为基础的金融信息传送承诺。涉及金融服务内容的FTA大多沿袭了GTAS对金融服务的范围界定：“金融服务包括提供和传送其他金融服务提供者提供的金融信息、金融数据处理和相关软件的活动。”也即，如有关国家在金融服务类别下进行了承诺，则须保证相应的金融信息传送可实现。如《新西兰—新加坡更紧密经济伙伴关系协定》规定：“跨境提供模式的承诺仅限于：提供和传送上文(k)段所述的金融信息和金融数据处理……不包括中介服务。”《韩国—新加坡FTA》承诺：“外国银行的新加坡分行可以将数据传送到其总部和姐妹分行进行处理，前提是存在适当的控制措施，数据/信息的完整性和保密性得到保障，并且允许新加坡金融管理局在处理数据/信息的地方现场访问数据/信息。”我国在中韩、中澳等多个FTA中承诺了“跨境提供”方式下开放“提供和传送金融信息、金融数据处理以及与其他金融服务提供者有关的软件”。美国在与新加坡、智利等国的FTA中也都承诺了此类信息传送。

二是专门以金融信息处理和传送为内容的条款，也即本文重点探讨的金融信息传送条款。除《谅解》以外，《新加坡—澳大利亚FTA》最早采纳了类似的明确规定：“任何一方均不得阻止信息传送，包括通过电子方式传送数据，保护个人数据的限制除外。”《美国—新加坡FTA》也纳入了这一规定的软化版：“根据任何一方的要求，金融服务委员会应考虑与以下事项有关的任何事项：(a)金融机构以电子或其他形式将信息转入或转出一方的领土，如该等数据处理是日常经营所需的；(b)在处理和传播个人数据方面保护个人隐私，以及保护个人记录和账户的机密性。”《印度—新加坡全面经济合作协定》《哥伦比亚—欧洲自由贸易联盟成员国FTA》《日本—瑞士FTA》及其后的诸多双边、多边FTA都在金融服务规则部分设置了该条款。

三是作为限制的“特定信息的处理”条款。该条款以传统金融信息保密要求为基础。比较典型的如《以色列—哥伦比亚FTA》规定：“本协定中的任何内容均不得解释为要求一方披露与个人数据、个人客户事务和账户有关的信息，或公共实体拥有的任何机密或专有信息。”类似地，《哥伦比亚—巴拿马FTA》规定：“1.本章的任何规定均不要求一方披露或允许访问：(a)金融机构或跨境金融服务提供者的个人客户的财务和账户相关信息；或(b)披露可能会妨碍遵守法律或以其他方式违反公共利益或损害特定公司的合法商业利益的任何机密信息。2.在不影响双方监管机构签署的谅解备忘录的情况下，为合并监管目的，双方承诺不禁止子公司及在其境内设立的子公司将信息传递给母公司所在地监管机构。前款所称信息包括反映子公司或子公司财务状况的信息，包括其资产、风险管理和公司治理情况的信息。”《加拿大—韩国FTA》《新加坡—澳大利亚FTA(升级版)》《欧盟—墨西哥现代化全球协定》也都包含了禁止要求披露保密信息的规则。

从特别承诺到金融信息传送条款的发展可以视作金融信息传送领域的负面清单化，反映了全球数字化经济语境下的贸易规则调适。同时，在这一背景下仍然可以看到金融发达国家与金融欠发达国家间金融开放水平的巨大差异：约有71个FTA文本包含金融信息传送相关内容，而明确设有信息处理或信息传送条款的不到半数，且缔约方主要为美国、欧盟、新加坡、澳大利亚、加拿大、日本、韩国。(7)参见瑞士卢塞恩大学对贸易协定中电子商务和数字贸易条款数据库的粗略统计，载https://www.unilu.ch/en/faculties/faculty-of-law/professorships/managing-director-internationalisation/research/taped/#:～:text=The%20TAPED%20dataset%20has%20been%20created%20under%20the,is%20sponsored%20by%20the%20Swiss%20National%20Science%20Foundation，最后访问时间：2022年5月2日。此外，尽管欧盟和美国通常被视为跨境数据流动规制的两大规则制定者，但在金融信息传送领域，新加坡似乎脱颖而出，这也与新加坡高度依赖国际金融的发展模式相符。

(二)FTA金融信息传送条款演进

1.现有FTA金融信息传送条款结构演变

FTA金融信息条款的规则结构演变，分为金融服务规则内单独规制和跨境信息传送一体化规制两个阶段。

第一阶段单独规制以《全面与进步跨太平洋伙伴关系协定》(以下简称为CPTPP)、《美国—墨西哥—加拿大协定》(以下简称为USMCA)、RCEP三大多边FTA为代表。《谅解》“信息传送和信息处理”条款确立了“金融信息传送自由原则+个人数据、个人隐私、个人记录和账户机密性例外”的基础规则结构。CPTPP金融服务附件的“信息传送”条款在此基础上增加了“基于审慎考虑，要求一金融机构事先获得相关监管机构的授权，以指定一特定企业作为此类信息的接收方”的国家监管权内容。USMCA金融服务章节的“信息传送”条款将“日常经营所需”限定改为“在许可、授权或注册范围内从事经营”限定，增强了规则明确度，并在实质上进一步增加了国家监管权的内容。但CPTPP及USMCA均未在“信息传送”条款中明确提及国家监管权，尽管“例外”条款包含“审慎监管例外”，但文本表达限定较多，因而在金融信息传送问题上还是呈现私主体本位的高度自由化理念。

与上述两个美式多边FTA不同，RCEP金融服务附件“信息传送与信息处理”条款转向了国家本位的数据主权理念。该条首先明确了尊重各国国内监管要求的条约立场，其规则结构可以概括为“符合国内法要求的金融信息传送自由”。目前明确列出的两项要求包括传统的“保护个人数据、个人隐私，以及个人记录和账户机密性”及颇受争议的“遵守与数据管理、存储和系统维护、保留在其领土内的记录副本相关的法律和法规”。但从条约解释角度，国家可采取的监管要求并不限于该两项，因此给各缔约国留下了较大空间。究其原因，一方面，RCEP作为目前全球最大的FTA，因为各缔约方金融开放程度差异较大，所以在信息传送条款上也呈现出包容性特征。另一方面，以国家传统主权边界为中心的网络主权与数据主权论近年来得到愈来愈多的支持。《中国—东盟关于建立数字经济合作伙伴关系的倡议》提出，“在考察各国法律与社会实际基础上，充分尊重网络主权”，“推动建立多边、民主、透明的全球网络空间命运共同体”。网络主权理论的兴起，在国际政治格局上，以后发国家在网络空间的话语权提升为背景，在当代国际法上，则显示出国家主权在国际社会治理中的绝对核心地位仍不可撼动。在此演化趋势下，网络空间的数据已经转变成为一种战略资源，并将构成一种全新的国家权力要素。(8)See Brad Brown,Michael Chui & James Manyika,Are you Ready for the Era of “Big Data”,4 McKinsey Quarterly 24,34(2011)，转引自沈逸：《全球网络空间治理与金砖国家合作》，载《国际观察》2014年第4期。有学者在对亚太地区的研究中指出：“(信息)国际传送限制在某些方面可以支持国内经济发展，同时也可以作为复杂贸易谈判和地缘政治定位的杠杆。”(9)See Clarisse Girot,Mark Parsons & Olga Ganopolsky,Data Transfers After Schrems II: Reflections from the Asia Pacific,Cross-border Data Forum(Jan.21,2021), available at https://www.crossborderdataforum.org/data-transfers-after-schrems-ii-reflections-from-the-asia-pacific/,last visited on May 7,2022.

跨境信息传送一体化规制以ASDEA为代表。全球数字竞争格局下，美欧之外的经济体也开始在国际经贸规则变革中发力。ASDEA将金融信息跨境传送纳入第23条“以电子方式跨境传送信息”条款中统一规制，不再单列。第一，该条首先承认各缔约方对信息传送有其各自的监管要求，融合了国家本位的规制理念。第二，该条以跨境信息传送总体自由为原则(包括个人信息跨境传送自由)，同时沿袭了主流“目的限定”而非USMCA“经营范围限定”的做法。第三，该条对国内监管进行了严格的手段和限度限定：“各国为实现公共政策目标，有权采取或维持与前款要求不一致的措施，但该措施必须：(a)未以构成任意或不合理歧视手段或变相限制贸易的方式实施；以及(b)不会对信息传送施加超过实现目标所需的限制。”不可否认，实际上监管例外能够符合上述所有条件并非易事。(10)参见马光：《论国际法上网络安全的定义和相关国际规则的制定》，载《中国政法大学学报》2019年第3期。因此，ASDEA第一款虽然与RCEP表达类似，但效果完全不同，仅是一种调和式的立场宣示。而对于传统的“个人数据、个人隐私，以及个人记录和账户机密性”内容，ASDEA单列了“个人信息保护”条款进行保护，并将其置于“以电子方式跨境传送信息”条款之前，从而将个人信息保护提高到与跨境信息传送同等地位，不再作为例外事项。

2.现有FTA金融信息传送条款呈现的问题

总体来看，当前诸FTA金融服务规则异质化程度高，金融信息传送条款用语不统一，(11)当前国际层面“数据”与“信息”的内涵差异尚未完全厘清。大部分FTA使用“信息传送”作为条款名称，但也存在一些FTA使用“数据处理、数据跨境流动”等表述，目前没有条款对金融信息、数据流动或信息传送等用语进行法律界定，不同的用语是否会引起规制范围不同从而使法律效果不同还有待观察。规制逻辑也尚未完全梳理清晰，在数据本地化与金融信息传送的关系处理上尤是如此。自USMCA在“金融信息传送”条款后一条设置了“计算设施的位置”条款后，USJDTA、ASDEA、《英国—日本全面经济伙伴关系协定》(以下简称为UKJCEPA)、《合并文本》也都引入了这一规则。计算设施所在地条款可以看作自由主义理念“禁止数据本地化”追求下的规则软化处理，与雷曼兄弟破产案后美国财政部、联邦证券交易委员会等金融监管机构考虑在FTA中保留金融数据存储和处理本地化要求的政策空间和美国金融产业界追求数据自由流动利益间的冲突博弈不无相关。(12)参见前引〔4〕,杨幸幸文。曾有解读指出，USMCA的规定与CPTPP类似，但未规定可出于审慎考虑要求事先获得监管机构授权，以指定特定信息接收方。(13)参见朱隽：《CPTPP规则解读之四：金融服务规则》，载微信公众号“国际经济法评论”，2021年9月22日。该观点显然忽视了“金融信息传送”条款与“计算设施所在地”条款的紧密关联，CPTPP的注释中明确指出：一方可采取或维持不违反本协定的措施，包括符合“例外”条款的任何措施，例如一项措施要求一金融实体事先获得金融监管机构的授权，指定特定企业作为该信息的接收人。但从另一个方面，这也是FTA金融信息传送条款逻辑不清的例证。欧盟—澳大利亚、欧盟—新西兰贸易协定谈判中，欧盟提交的初步文本(以下简称为《初步文本》)对此呈现得更为明显：一体化规制趋势下，《初步文本》同样未在“服务与投资”章下的金融服务一节纳入信息传送条款，而在“数字贸易”一章中统一规制，但其“跨境数据流动”条款却以大篇幅阐明禁止本地化要求，根据该条规定，“缔约方承诺确保跨境数据自由流动，以促进数字经济中的贸易”，“为此，双方之间的跨境数据流动不应受到以下限制：a)要求在缔约方境内使用计算设施进行处理，包括强制使用在缔约方境内认证或批准的计算设施；b)要求在缔约方境内对数据进行本地化，以便存储或处理；c)禁止在另一方境内储存或加工；d)根据缔约方境内计算设施的使用情况或缔约方境内的本地化要求，进行跨境数据传送”。该条款的逻辑性值得商榷。

三、金融信息传送条款构建的各国路径选择

(一)金融信息传送条款定位

USJDTA、ASDEA两个数字经济协定对金融信息传送条款的性质及其规则结构进行了重构。传统金融信息传送条款置于金融服务章节，其定性和范围仍然限于“服务”；USJDTA、ASDEA将金融信息传送纳入数字贸易、数字经济章节，并将范围限于“通过电子手段”，此时金融信息传送不再作为“金融服务”的内容，而是“信息/数据流动”的内容，服务和商品的定性界分被模糊，承诺的范围形式、法律后果都较传统WTO语境不同。当前国际社会较普遍地认为数字经济协定是经济联盟的新趋势或新阶段，(14)See Yaroslav Lissovolik,Digital Economy Agreements: The New Phase in Economic Alliances,Valdai Discussion Club(Feb.10,2021),available at https://valdaiclub.com/a/highlights/digital-economy-agreements-the-new-phase/,last visited on May 7,2022; Shen Yi, Digital Agreements: New Trends in International Alliances, Valdai Discussion Club(Apr.27,2021),available at https://valdaiclub.com/a/highlights/digital-agreements-new-trends-in-international-all/,last visited on May 7,2022.但目前尚缺乏对核心概念的一致定义，不同协定使用的术语及涉及的方面也不同。ASDEA、DEPA使用“数字经济”，USJDTA、USMCA使用“数字贸易”，CPTPP、RCEP则使用“电子商务”。(15)目前世界上尚无普遍得到认可的电子商务和数字贸易定义，实际上两个概念在多数情况下得以混用。例如，从美国所发起或签订的FTA 来看，USMCA 之前的FTA 均采用了“电子商务”的用词，而在USMCA 中，在内容几乎相同的情况下，“电子商务”章节名称更名为“数字贸易”。参见马光：《国际数字贸易规则的主要议题研究》，载《四川行政学院学报》2020年第2期。此外，在“信息/数据”项下，协定对数据分类和平台类型予以进一步考量，监管中国内各部门间的协调、国家安全和敏感性问题、对文化敏感的解释和适用问题以及国内登记和分类问题也都值得进一步思考。与之相比，《合并文本》和《初步文本》直接将现有信息传送条款的内容合并至电子商务章节的做法则更欠缺逻辑性。UKJCEPA未改变“金融信息传送”从属于“金融服务”的定性，并将条款名称改为“金融信息”，在其中纳入“金融信息传送自由原则”“个人数据、个人隐私以及个人记录和账户机密性例外”“金融服务计算设施所在地规则”的处理方式是目前为止保守路径下最完善且逻辑自洽的做法。最新FTA金融信息传送条款设置情况的对比请参见表2。

表2 最新FTA金融信息传送条款设置情况对比

(二)金融信息传送规制路径差异

1.美、新、英追求金融信息传送自由化

美国、新加坡、英国在金融信息传送自由化立场上旗帜鲜明，基本都遵循“金融信息传送自由原则+个人数据、个人隐私、个人记录和账户机密性例外+严格受限的监管例外+计算设施本地化规则”的规制逻辑。这与保护本国金融行业进攻利益的需求不谋而合。根据2021年9月24日发布的第30版全球金融中心指数报告，纽约在各金融城中位列第一，伦敦位列第二，香港第三，新加坡第四。前20中共有6座美国城市。(16)See The Global Financial Centres Index 30,p.4.就英国而言，金融服务业一直是其老牌支柱产业：英国是世界第二大投资管理中心、欧洲最大的保险和长期储蓄提供商，每14名英国劳动者中就有1人从事金融和相关专业服务工作。英国脱欧后，在金融监管上拥有了更大的自主权和灵活度，并有机会重新审视其数据流动规制方案。2020年11月9日，时任英国财政大臣里希·苏纳克在下议院发表声明称希望“恢复英国作为世界卓越金融中心的地位”。(17)See Rishi Sunak,A New Chapter for Financial Services,July 2021,available at https://www.gov.uk/government/publications/a-new-chapter-for-financial-services,last visited on May 7,2022.目前英国政府已经与新加坡达成新的金融服务伙伴关系以确保更大的信息共享，并与美国成立了金融监管工作组，在欧洲经济区国家的金融服务监管中授予了一系列等价保护决定。可以预见，在金融业数字化转型中，美、新、英三国将会有更紧密和深入的合作。

不过，正如前述，尽管都持金融信息传送自由化立场，英国的规制路径又较美新更为保守。从近年签订的FTA来看，美新都意图在数字经济领域的规则制定上先发制人，金融信息问题作为数字经济中信息/数据问题的一部分，其所蕴含的国内政策导向是金融领域的全面数字化。也即，相较于金融业这一国民经济部门，美新都更关注数字经济这一发展模式。而英国目前看来，依旧专注于金融业本身。英式FTA(UKJCEPA及英国在WTO电子商务谈判中提供的规则文本)在“金融服务计算设施所在地规则”下增加了相当务实的“外部云服务企业同等适用”规则，增加这一规则的背景是英国本土乃至欧洲都缺乏有竞争力的云服务提供者，欧洲企业、公共当局大多采用美国云服务提供者为其提供数据服务。但明确设置“外部云服务企业同等适用”规则也不免传达出这样一种信号：相较于担忧本国缺乏有竞争力的本地云服务提供者，英国更关心如何使本地云服务提供者的缺乏不至影响其跨境金融服务的竞争力。

2.欧盟在构建数据竞争力目标下的立场变化

与美、新、英不同，欧盟并未对金融领域及金融信息传送特别关注。较早的两个FTA中的金融信息传送条款设置完全体现了欧盟在个人权利保护上的突出立场。《欧盟—韩国FTA》在金融服务分节的“数据处理”条款中特别约定：“各方重申其保护个人基本权利和自由的承诺，应采取适当的保障措施保护隐私，特别是在个人数据传送方面。”并进一步注明，这一承诺所保护的个人基本权利和自由是指《世界人权宣言》、联合国《计算机处理的个人数据文档规范指南》以及OECD《隐私保护与个人数据跨国流通指南》中规定的权利和自由。《欧盟—加拿大全面经济贸易协定》规定：“各方应有充分的保障措施，以保护隐私，尤其是在个人信息传送方面。如果金融信息的传送涉及个人信息，则此类传送应符合传送发起方所在地区的个人信息保护立法。”欧盟的人权叙事在数据规制议题上抢占了先机，但负面影响也显而易见。一个简单的等式是：数据越多，算法就越智能。对个人数据保护的偏重将不可避免地限制金融机构在经营分析、精准营销等方面的智慧化能力，从而影响欧盟区银行业数字化转型步伐。(18)参见李梦宇：《国际金融业数据治理特征与启示》，载《清华金融评论》2021年第5期。

2020年，欧盟接连发布《欧洲数据战略》《欧洲数字主权》等文件，以期构建欧洲数字单一市场，维护其全球经济影响力和地缘政治影响力。在《欧洲数据战略》的导向下，欧盟在《欧盟—英国贸易与合作协定》及其他正在谈判的经贸协定中均将跨境数据流动内容统一放到了独立的电子商务章节(过去欧盟FTA习惯将电子商务和服务章节放在一起)，并从强调个人信息保护转向强调禁止数据本地化。这一转向不可谓不突兀。事实上，施雷姆斯第二案(19)欧盟法院在本案中认为美国的监控立法违反了《欧盟基本权利宪章》，也没有为欧盟个人提供有效的司法救济，因此欧美之间的“隐私盾”协议无效。详细案件内容可参见https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en。后，欧盟内部本地化趋势大大加强，欧洲数据保护委员会于2020年11月11日发布的两份文件《欧洲监督措施基本保证草案》和《补充措施建议》都招致了数据传送规则过于严苛的批评，被认为“将导致严格的数据本地化，给欧盟和美国的企业带来许多重大问题”(20)Testimony by Peter Swire at the U.S.Senate Commerce Committee Hearing “The Invalidation of the EU-U.S.Privacy Shield and the Future of Transatlantic Data Flows” on December 9,2020,available at https://www.crossborderdataforum.org/testimony-by-peter-swire-at-the-u-s-senate-commerce-committee-hearing-on-the-invalidation-of-the-eu-u-s-privacy-shield-and-the-future-of-transatlantic-data-flows/,last visited on Nov.11,2021.。另外，欧盟委员会于2020年9月发布的关于《金融部门数字运营弹性监管的草案》区分了在欧盟设立的信息通信技术(以下简称为ICT)服务提供者和在欧盟没有商业存在的ICT服务提供者，并对使用此类第三国ICT提供商提出若干限制，如欧盟的金融实体不得使用在欧盟没有商业存在的公司为其提供关键的ICT服务。2021年欧盟各国的数据保护监管机关还启动了多起关于欧盟机构继续使用美国云服务和软件服务是否合法的调查，并暂停了部分合作。虽然欧盟的对外立场不断呈现出向自由化靠拢的趋势，但考虑到数据自由流动将进一步拉大其与美国的数字差距，欧盟似乎正在积极寻求国内监管手段以平衡该等态势。

四、我国立法和FTA中金融信息传送规则

(一)确立金融信息传送自由原则

我国在跨境数据流动问题上的立场转向以2016年《网络安全法》的出台为分界线。2016年之前，我国对于跨境数据流动问题关注不多，且对金融监管持绝对审慎态度，2011年1月《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》明确确立了个人金融数据原则上禁止出境的基本方向。2016年后，尤其是近两年来，随着数据价值的不断凸显，我国内外政策都开始向促进数据自由流动方向发展。国内法层面，《个人信息保护法》《数据安全法》、国家互联网信息办公室《数据出境安全评估办法》已经确立了金融数据“满足数据安全监管要求即可出境”的监管框架。具体到金融相关立法，2020年修订的《中国人民银行金融消费者权益保护实施办法》(以下简称《实施办法》)删除了原第33条对“向境外提供境内个人金融信息”的限制性规定。2020年《中国人民银行关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》(以下简称《通知》)的附件《个人金融信息保护技术规范》第7.1.3条(d)项虽然载明“因业务需要，确需向境外机构(含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构)提供个人金融信息的，应当满足四项具体要求”，但《个人信息保护法》并不禁止关键信息基础设施运营者向境外提供个人信息，且其第38条还特别明确“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行”。因此《个人金融信息保护技术规范》第7.1.3条(d)项更应被理解为管理性规范而非对“境外机构”范围的限制性规范。

国际法层面，签署RCEP、申请加入CPTPP已经向全球经济体传达出中国支持金融信息自由传送的立场。实践层面，当前全球数字经济格局中，中美两国参与数字经济并从中受益的能力最强。(21)联合国2021年数字经济报告显示，从参与数据驱动的数字经济并从中受益的能力来看，美国和中国脱颖而出。全世界的超大规模数据中心有一半在这两个国家，它们的5G普及率最高，它们占过去五年人工智能初创企业融资总额的94%，占世界顶尖人工智能研究人员的70%，占全球最大数字平台市值的近90%。从发展数据来看，在金融服务领域，我国主要金融中心的发展前景良好，且在金融科技指数上表现强劲，但在营商环境上的竞争力并不强。(22)See The Global Financial Centres Index 30,pp.8-10.在云服务领域，阿里云非常适合处理中国或东南亚客户的云优先数字业务工作负载，有望成为印度尼西亚和马来西亚等新兴云市场所青睐的区域提供商；腾讯云是唯一在俄罗斯拥有业务地域并拥有核心基础设施能力(计算、存储和网络)的超大规模云提供商，而且在网络领域的能力尤为突出。但中国云服务厂商普遍全球发展动力不足。(23)See Raj Bala,Bob Gill,Dennis Smith,Kevin Ji & David Wright,Magic Quadrant for Cloud Infrastructure and Platform Services(Jul.27,2021),available at https://www.gartner.com/doc/reprints?id=1-271OE4VR&ct=210802&st=sb&_ga=2.98959896.742444110.1644673015-722388850.1644673015,last visited on Feb.13,2022.因此，从各个层面来看，确立金融信息传送自由原则都有其现实必要性。

(二)保留必要的金融数据本地化空间

数据本地化与跨境数据流动间的关系一直颇有争议。境内产生的数据在境外云服务器存储必然伴随着数据出境，因此允许境内产生的数据在境外存储即意味着允许跨境数据流动，但反之并不亦然，要求数据在本地存储并不妨碍境内主体将数据传送给境外机构。目前国外学者对数据本地化措施的范围界定还包含保留本地副本等间接或事实的本地化要求，(24)See James M.Kaplan & Kayvaun Rowshankish,Addressing the Impact of Data Location Regulation in Financial Services(May.22,2015),available at https://www.cigionline.org/static/documents/no14_web_0.pdf,last visited on May 7,2022；IRSG report,How the trend towards data localisation is impacting the financial services sector(December 2020),available at https://www.irsg.co.uk/assets/Reports/IRSG_DATA-REPORT_Localisation.pdf,last visited on May 7,2022.进一步增强了数据本地化与数据跨境流动的可切割性。数据本地化要求与数据出境审核等国内监管要求类似，属于边境后措施，而当前各FTA除USMCA及ASDEA外，对跨境金融数据流动自由化的承诺仅覆盖到边境措施。且从现实来看，越来越多的国家和地区正在针对更多的数据类型实施不同程度的本地化政策。从2017年到2021年，制定数据本地化政策的国家数量从35个增加到62个，全球数据本地化政策的总数从67个增加到144个(未包括正在制定的数十个)。其中，采取金融领域数据本地化措施的例子有：(1)卢森堡金融业监管委员会2012年12/552号通知规定，除非获得明确同意，金融机构必须在卢森堡境内处理数据；(2)2013年2月21日俄罗斯银行第397-P号条例“关于电子数据库的创建、维护和存储程序”要求所有“信用机构”将所有数据存储在本地；(3)土耳其银行监管局2020年发布《银行信息系统条例》，加强了银行和金融服务机构将其主要(实时/生产数据)和次要(备份)信息系统保留在国内的规定；(4)印度证券交易委员会2020年发布了一份与网络安全相关的通知，要求金融机构确保对关键系统的完整保护和无缝控制，同时将关键数据保持在印度的法律框架内；(5)韩国2016年修订了《电子金融交易监管条例》，允许金融公司使用云服务，但金融服务委员会特别要求在位于韩国的服务器上维护此类数据；(6)智利金融监管机构2020年发布了银行业标准的更新汇编，要求在智利保存“重要”或“战略性”外包数据。(25)See Nigel Cory & Luke Dascoli, How Barriers to Cross-Border Data Flows Are Spreading Globally,What They Cost,and How to Address Them(Jul.19,2021),available at https://itif.org/publications/2021/07/19/how-barriers-cross-border-data-flows-are-spreading-globally-what-they-cost,last visited on May 7,2022.因此，对跨境金融数据流动自由化的承诺今后不可能大范围延及数据本地化禁止，与ASDEA类似的对国内监管进行手段和限度限定的做法更有可能成为主流。

我国现行的金融数据本地化要求包括《网络安全法》第37条，国务院《征信业管理条例》第24条，《保险公司开业验收指引》第三(九)4条，《通知》的附件《个人金融信息保护技术规范》第7.1.3条，中国人民银行《金融数据安全数据生命周期安全规范》第7.3.2条等。这些从法律到金融行业标准的规则基本确立了金融数据全面本地化的态度。但《金融数据安全数据生命周期安全规范》同时也指出，1级数据为公开数据，原则上无保密性要求，2级数据应优先考虑业务需求，对于非重要数据可以考虑放松本地化要求。

(三)规制路径选择

当前，主要经贸协定都转向采取跨境数据流动一体化规制方案。就我国而言，除2011年《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第6条外，国内现行各金融相关立法中已无直接规范跨境数据流动的条文。我国在2021和2022年相继出台了《个人信息保护法》《数据安全法》、国家互联网信息办公室《数据出境安全评估办法》，显示出将数据问题进行统一规制、而非部门化处理的倾向。跨境数据流动一体化规制方案下，数据以个人信息及非个人信息数据划分，而不以具体行业数据划分。在与金融领域类似的领域如工业和信息化领域，工业和信息化部《工业和信息化领域数据安全管理办法(试行)》2022年征求意见稿删除了2021年征求意见稿中“核心数据不得出境”的表述，并增加了“根据国际条约、协定处理外国提供数据请求”及“非经批准不得向外国执法机构提供本地数据”等内容，以与《个人信息保护法》《数据安全法》的规定相统一。目前电信和互联网行业、汽车行业相关数据管理规定/标准也都在制定阶段，其中有关数据出境的内容应当也会与《个人信息保护法》《数据安全法》的规定相统一。另外，与美、新一致，我国的着眼点也在于数字经济这一发展模式，《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》高频次提及全领域数字化，其中当然包括金融机构数字化转型。因此，从国内视角来看，采取跨境数据流动一体化规制方案似乎与我国更为契合。但从条约层面来看，也存在以下问题：第一，现行“数字经济”/“数字贸易”/“电子商务”协定多通过指明“影响通过电子方式交付或提供服务的措施同样需遵守投资及服务章节相关条款所包含的义务”来处理与传统“服务贸易”的范围重叠，但这并未根本解决其在贸易法中的体系定位问题，将金融信息规则并入是否会引起金融开放承诺的扩张尚不可知。第二，各国对一般商贸信息和金融信息的敏感度不同，“数字经济”/“数字贸易”/“电子商务”协定中的信息传送条款通常较金融服务章节更为严格，如CPTPP即对电子商务章节“通过电子方式跨境传送信息”条款下缔约方可采取的例外措施施加了手段和限度限制，而金融服务章节的“信息的传送”条款未设置此等限制。第三，各国在“数字经济”/“数字贸易”/“电子商务”上分歧明显，从名称到具体内容，如数据本地化、源代码等问题，都存在较大谈判难度。

因此，从实践角度，将金融信息传送条款保留在金融服务章节更有利于现阶段的条约谈判；而将信息传送问题统一置入数字经济协定与我国的规制方向更为契合，但承诺的水平无疑将更高，国内法与国际法的统筹难度也将更高。总体而言，FTA金融信息传送规则构建上应当注意以下几个问题：第一，协调我国金融服务开放承诺水平与金融信息传送自由化水平，如采取跨境数据流动一体化规制方案，则应考虑增加与RCEP中“任何规定不得解释为要求一缔约方允许与其未作出承诺相关的跨境提供或者境外消费服务”类似的条款。第二，应当明确(金融)信息传送规则不适用于由一缔约方或以其名义持有或处理的信息，或与该信息有关的措施，包括与收集信息有关的措施，并增加在数据获取上的司法、执法合作。第三，保留金融领域的保密性要求，即任何规定不得解释为要求一缔约方披露与个人客户相关的事务和账户信息，或公共实体拥有的任何机密或专有信息。第四，可考虑接受对国内监管例外进行一定的手段和限度限定。“金融业是一个高度全球化的体系，金融机构的跨境支付清算、客户尽职调查、国际化运营、全球信息技术系统集成、集团化风险管理与境外信息报送等，都离不开数据跨境。”(26)李伟：《我国金融数据跨境流动规则建设的思考与建议》，载《中国银行业》2020年第1期，第42页。除明晰的法律指引之外，加强数据合规服务行业建设，从而降低境内外金融服务商的合规难度，同样是扩大金融开放、融入全球金融市场的关键步骤。在具体监管方案运用方面，依赖数据和技术的智能监管、有效的内控信息披露、成熟的行业标准自律和健全的合同执行制度或也将为更有效的数据监管提供有益指引。

五、结 语

“一国在自由贸易协定下的话语权体现为该国在谈判过程中制定规则的权力,并服务于该国的政治经济利益。法律输出正是大国实现自由贸易协定制度控制以实现其话语权的一种路径。”(27)王燕：《自由贸易协定下的话语权与法律输出研究》，载《政治与法律》2017年第1期，第109页。20世纪末以来，美国与欧盟成功依靠FTA输出了国内规范和核心价值理念，《服务贸易协定》谈判的坎坷则充分显示了两大话语权掌控者之间的冲突。在今天，中国也应当积极考虑通过法律输出路径提高自身在国际贸易的话语权，以期实现从国际秩序遵守者向国际规则制定者的转变。同时，可以看到，FTA金融信息传送条款并不是一个孤立的规则，在文本上，它与电子商务规则、个人信息保护规则、审慎例外规则、本地化规则相交织，在规制理论上，对其的考量应当从跨境数据流动议题，甚至网络空间治理的全局角度出发，构建框架完整、逻辑统一的理论体系。

2022年初欧盟委员会发布《欧盟标准化战略——制定全球标准，支持弹性、绿色和数字化的欧盟单一市场》提出：“标准是欧盟单一市场和全球竞争力的无声基础，在标准化活动中拥有一个强大的全球足迹，并在关键的国际论坛和机构中领导工作，对于欧盟保持全球标准制定者的地位至关重要。通过制定全球标准，欧盟可以输出其价值观，同时为欧盟公司提供重要的先发优势。”(28)New approach to enable global leadership of EU standards promoting values and a resilient,green and digital Single Market(Feb.2,2022),available at https://ec.europa.eu/growth/news/new-approach-enable-global-leadership-eu-standards-promoting-values-and-resilient-green-and-digital-2022-02-02_en#:～:text=New%20approach%20to%20enable%20global%20leadership%20of%20EU,within%20the%20Single%20Market%20as%20well%20as%20globally,last visited on May 8,2022.“欧盟及其成员国必须在国际电信联盟、国际标准化组织和国际电工委员会以及其他相关的全球伙伴关系、论坛和联盟中，推动对国际标准化活动采取更具战略性的方针，以确保欧盟的全球竞争力、安全和开放的战略自主权，以及欧盟推广其价值观的能力。”(29)Communication From the Commission to the European Parliament,the Council,the European Economic and Social Committee and the Committee of the Regions-An EU Strategy on Standardisation Setting global standards in support of a resilient,green and digital EU single market,p.5.数字全球化背景下，数字标准是贯穿各种经济活动过程的隐形基础。在金融领域，我国金融标准化技术委员会公布的金融国际标准(截至2021年9月30日)为66项，国家标准(截至2021年12月13日)为83项。随着数字化发展和进一步深入开放，标准的数量将大幅增加，各科技企业在国际标准制定中的参与度也将提高。此外，根据国际惯例,国际金融合作一般也适用《新巴塞尔协定》、国际证监会组织标准、国际保险监督官协会标准等国际金融协议和监管标准。(30)参见云倩：《“一带一路”倡议下中国—东盟金融合作的路径探析》，载《亚太经济》2019年第5期。而我国目前在标准领域尚不发达，普遍来看，大多数中国公司都缺乏一种结构化和战略性的标准化方法，以捕捉其与各种经济运营的相关性，无论是法律合规性、市场准入还是一般商业战略。同时，随着如人工智能、数据保护或网络安全等新领域的衍生，对于标准制定能力的挑战将更大。培养标准化专家、深入国际标准制定或许是一个可以提升我国话语权的路径。