金融數(shù)據(jù)跨境流轉(zhuǎn)的法律問題研究

◆鄭嬌嬌

金融數(shù)據(jù)跨境流轉(zhuǎn)的法律問題研究

◆鄭嬌嬌

（北方工業(yè)大學(xué) 北京 100144）

金融科技的智能化發(fā)展，出現(xiàn)大量金融數(shù)據(jù)。數(shù)據(jù)的保護涉及隱私問題，以及數(shù)據(jù)適用階段中，數(shù)據(jù)境外流轉(zhuǎn)中產(chǎn)生的新問題。中國并未就金融數(shù)據(jù)形成統(tǒng)一完善的法律規(guī)定，建議以數(shù)據(jù)保護為主，促進數(shù)據(jù)利用的立法目的，出臺金融數(shù)據(jù)法律規(guī)定，其內(nèi)容規(guī)定實施不同級別數(shù)據(jù)保護的差異化措施。最終促使平衡金融數(shù)據(jù)的保護與利用問題。

隱私數(shù)據(jù)；數(shù)據(jù)跨境流轉(zhuǎn)

1 概述

大數(shù)據(jù)時代，技術(shù)驅(qū)動發(fā)展到金融3.0時代，金融機構(gòu)逐步實現(xiàn)數(shù)據(jù)電子化、數(shù)據(jù)化。在該階段，大數(shù)據(jù)、區(qū)塊鏈、人工智能等新興科技引領(lǐng)金融業(yè)全方位變革，引發(fā)數(shù)據(jù)安全問題的思考。數(shù)據(jù)安全有兩層含義，一是指數(shù)據(jù)不損壞、不丟失；二是數(shù)據(jù)不被盜用或偷走。在金融數(shù)據(jù)跨境流轉(zhuǎn)階段，法律制度層面上如何保障金融數(shù)據(jù)安全，成為亟待解決的問題。本文并不詳細論述數(shù)據(jù)與信息的關(guān)聯(lián)，而將數(shù)據(jù)視為信息的擴大化解釋。

金融數(shù)據(jù)安全的重要性主要體現(xiàn)在以下兩個方面：其一，金融數(shù)據(jù)廣泛存在于各個金融領(lǐng)域中，通過運用金融數(shù)據(jù)進行分析比較，節(jié)省了時間和金錢成本，為金融服務(wù)提供了更加高效的選擇。其二，有利于維護金融秩序穩(wěn)定。倘若金融數(shù)據(jù)一旦泄露或被篡改，直接威脅到金融客戶的個人信息數(shù)據(jù)，進而影響著交易安全。

2 數(shù)據(jù)安全問題的立法探討

2.1 各國關(guān)于數(shù)據(jù)安全問題的法律規(guī)定

（1）歐盟：統(tǒng)一立法模式

在1981年，歐洲議會通過了有關(guān)個人數(shù)據(jù)保護的《保護自動化處理個人數(shù)據(jù)公約》，這是世界上第一個有約束力的規(guī)范數(shù)據(jù)使用、保護個人隱私、促進數(shù)據(jù)交流的國際公約。1995年，歐洲議會和歐盟理事會通過了《關(guān)于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的指令》。其立法目的定位為兩個方面，一是保護自然人的基本權(quán)利和自由，特別是保護數(shù)據(jù)處理過程中的個人隱私權(quán)；二是促進數(shù)據(jù)在成員國之間的合法流通。2016年4月，歐洲議會和歐洲理事會通過了《通用數(shù)據(jù)保護條例》（以下簡稱GDPR），取代了1995年數(shù)據(jù)保護指令的條例。隨著一系列法律文件相繼出臺，構(gòu)建一套比較完善的數(shù)據(jù)保護制度體系。

（2）美國：分散立法模式

數(shù)據(jù)的使用涉及隱私問題，而美國是世界上最早提出并通過法規(guī)對隱私權(quán)予以保護的國家。在傳統(tǒng)法上也堅持告知與許可原則，將包括隱私在內(nèi)的個人數(shù)據(jù)視為一項財產(chǎn)權(quán)。1970年公布的《聯(lián)邦公平信用報告法》被認為是美國個人數(shù)據(jù)保護的開端；美國相繼制定了《隱私法案》、《電子通訊隱私法案》及《網(wǎng)上兒童隱私權(quán)保護法》。除了《隱私法案》，聯(lián)邦和各州就具體類型的個人信息進行了分別立法，構(gòu)建起美國特色的分散立法模式。在金融法領(lǐng)域，美國制定了與個人信息保護相關(guān)的《公平信用報告法》、《金融隱私權(quán)法》、《金融服務(wù)現(xiàn)代化法案》等法律，也包括消費者隱私權(quán)法案。1994年的《金融隱私權(quán)利法》、《電子轉(zhuǎn)賬法》等都對信息處理進行了明確的規(guī)定。

（3）中國的相關(guān)規(guī)定

從法律規(guī)定來看，個人信息受到法律保護已成共識。根據(jù)《民法典人格權(quán)編》第一千零三十四條規(guī)定，自然人的個人信息受法律保護。2016年《中華人民共和國網(wǎng)絡(luò)安全法》針對網(wǎng)絡(luò)信息安全提出一系列的措施。《侵權(quán)責(zé)任法》對侵犯一般隱私權(quán)進行了救濟上的規(guī)定。

在金融領(lǐng)域方面，2011年《人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》中第一次定義個人金融信息。《反洗錢法》、《商業(yè)銀行法》、《證券法》、《保險法》、《銀行監(jiān)督管理法》等都要求金融機構(gòu)在違法時承擔(dān)法律責(zé)任。同時《數(shù)據(jù)安全管理辦法》、《個人信息出境安全評估辦法》以及2020年《信息安全技術(shù)個人信息安全規(guī)范》等規(guī)定陸續(xù)出臺，進一步維護數(shù)據(jù)安全問題。

2.2 數(shù)據(jù)跨境流轉(zhuǎn)問題的法律規(guī)定

1995年，歐盟《95指令》第25條確立了“充分保護原則”，明確數(shù)據(jù)流向的目的國必須達到歐盟認可的充分保護水平。該指令將人權(quán)保護放置在極高的位置上，通過數(shù)據(jù)跨境流動的規(guī)則指引以充分保障歐洲公民的人權(quán)。GDPR對數(shù)據(jù)的跨境流動做出了嚴格的限制，要求數(shù)據(jù)接收國或地區(qū)要確保達到充分水平的保護標(biāo)準(zhǔn)。

1999年美國《金融服務(wù)現(xiàn)代化法》第五章對公民隱私權(quán)的保護專門進行了規(guī)制，明確了金融隱私保護的五項基本原則。2017年美國紐約州金融服務(wù)部率先通過了全美境內(nèi)首部針對金融機構(gòu)的網(wǎng)絡(luò)安全法規(guī)《23 NYCRR 500》，要求銀行、保險公司和受金融服務(wù)部監(jiān)管的其他機構(gòu)實施保護消費者數(shù)據(jù)的網(wǎng)絡(luò)安全計劃，定期評估相關(guān)風(fēng)險，建構(gòu)了最低的安全要求框架。

中國《網(wǎng)絡(luò)安全法》首次明確了我國數(shù)據(jù)跨境流動的管理政策，其中第三十七條要求個人信息要在我國境內(nèi)存儲。2019年6月13日，網(wǎng)信辦發(fā)布了《個人信息出境安全評估辦法（征求意見稿）》，對個人信息出境的評估做出了具體規(guī)定。第2條強調(diào)，經(jīng)安全評估認定個人信息出境可能影響國家安全、損害公共利益，或者難以有效保障個人信息安全的，不得出境。

3 數(shù)據(jù)安全保護與利用的法律問題

隨著大數(shù)據(jù)技術(shù)的發(fā)展，歐盟與美國關(guān)于金融數(shù)據(jù)的跨境流動的立法模式是不同的，采取了近乎相反的法律對策。從立法上，歐盟（不包括英國）堅持認為，個人數(shù)據(jù)更具保護價值，將個人數(shù)據(jù)視為基本人權(quán)。因而內(nèi)容上更加關(guān)注對私人領(lǐng)域的個人信息保護。而各成員國中，通過國家綜合立法確立相關(guān)的個人信息保護的原則、具體制度和措施。然而，美國為充分利用大數(shù)據(jù)促進社會經(jīng)濟發(fā)展的優(yōu)勢，美國政府更傾向于以改良的法律規(guī)則和政策框架保護隱私權(quán)的同時，促進大數(shù)據(jù)技術(shù)的運用。具體看，歐盟、美國關(guān)于金融數(shù)據(jù)的跨境流動規(guī)則，如下：

歐盟針對銀行金融數(shù)據(jù)的跨境流動規(guī)制，仍以GDPR主導(dǎo)下的個人數(shù)據(jù)保護規(guī)則為主，整體上推行“人權(quán)與隱私保護先行”與嚴格監(jiān)管框架下的銀行金融數(shù)據(jù)共享機制，并未突出對傳統(tǒng)金融監(jiān)管一般價值目標(biāo)的追求，并少有明確的特殊監(jiān)管規(guī)則。與歐盟不同，美國政府和業(yè)界反對嚴苛立法規(guī)范個人數(shù)據(jù)處理行為，認為強硬的法律結(jié)構(gòu)會“不可避免地阻礙商業(yè)活動”。美國在風(fēng)險可控的前提下，仍希望最大程度地實現(xiàn)數(shù)據(jù)自由流動。在雙邊或多邊協(xié)定中加入金融數(shù)據(jù)跨境流動條款。

總而言之，歐盟機制過于側(cè)重數(shù)據(jù)流動過程中的個人隱私保護，與貿(mào)易全球化趨勢產(chǎn)生了沖突。與此相反，美國要求數(shù)據(jù)控制機構(gòu)應(yīng)遵守個人數(shù)據(jù)保護的規(guī)則，但容易出現(xiàn)監(jiān)管者對數(shù)據(jù)控制機構(gòu)管理不到位的情況。中國對于數(shù)據(jù)跨境流動的規(guī)制起步較晚，尚未形成系統(tǒng)化的數(shù)據(jù)跨境流動規(guī)則，部分關(guān)于數(shù)據(jù)和數(shù)據(jù)跨境流動的規(guī)則散見于各規(guī)范性文件之中。

4 完善建議

新興技術(shù)沖擊原有的法律制度框架，“不破不立”，因而思考在法律層面上促進金融數(shù)據(jù)安全。在金融創(chuàng)新的大趨勢背景下，技術(shù)的領(lǐng)先帶來法律制度的發(fā)展，中國應(yīng)堅持采取自己的模式和規(guī)則，模仿其他國家的發(fā)展模式顯然是不夠完善的。對于金融數(shù)據(jù)安全問題，堅持數(shù)據(jù)保護為主、促進數(shù)據(jù)利用，統(tǒng)一于促進金融活動的模式。其次，分類統(tǒng)合金融數(shù)據(jù)，并在數(shù)據(jù)流轉(zhuǎn)階段提出差異化管理措施。基于不同金融數(shù)據(jù)類別，采取不同嚴格程度的措施。

4.1 堅持以數(shù)據(jù)保護為主、促進數(shù)據(jù)利用的立法模式

上述各國相關(guān)規(guī)定中，歐盟采取強化人權(quán)保護、數(shù)據(jù)保護的模式，而美國則相對寬松，在許可數(shù)據(jù)使用的情況下，分散立法規(guī)定違反義務(wù)的情形。中國在充分借鑒其他國家的立法模式上，考慮本國的立法模式。雖然目前中國并未形成統(tǒng)一完備的金融數(shù)據(jù)法律規(guī)定，但就金融革新而言，中國處在創(chuàng)新的前端。技術(shù)的領(lǐng)先發(fā)展，帶來了法律制度的變更。目前，中國面對更加開放的金融環(huán)境，促使金融市場迅速發(fā)展。法律從來不應(yīng)該阻礙技術(shù)的發(fā)展，相反，而應(yīng)助力技術(shù)的發(fā)展。因而金融數(shù)據(jù)安全應(yīng)堅持以數(shù)據(jù)保護為主，但并不做過多的限制，避免出現(xiàn)歐盟因為限制過多而發(fā)展受阻的情形。倘若將數(shù)據(jù)推崇至人權(quán)的范圍內(nèi)，這是不可取的。另外，促進數(shù)據(jù)利用，則是體現(xiàn)在上述差異化措施中，堅持促進金融活動發(fā)展、金融交易高效運轉(zhuǎn)。

4.2 分類統(tǒng)合金融數(shù)據(jù)

2020年《信息安全技術(shù)個人信息安全規(guī)范》對個人信息、個人敏感信息、個人生物識別信息、未滿14周歲未成年人的個人信息進行了不同的規(guī)定?？梢钥闯?，將個人信息進行分類化，最根本的底線在于維護國家的公共利益。因而在金融數(shù)據(jù)領(lǐng)域，參考借鑒此種做法，實現(xiàn)在大數(shù)據(jù)時代下的有效保護和監(jiān)管。數(shù)據(jù)流轉(zhuǎn)階段提出差異化管理措施，基于不同金融數(shù)據(jù)類別，采取不同嚴格程度的措施。將金融數(shù)據(jù)做出不同層別的分類，考慮因素包括使用主體、使用內(nèi)容、使用目的等等，按照金融數(shù)據(jù)的重要程度和敏感程度分別規(guī)定。

首先，將金融數(shù)據(jù)按照重要性和敏感性進行劃分，從使用主體上，考慮不同金融機構(gòu)使用信息的授權(quán)范圍；從使用內(nèi)容上，明確數(shù)據(jù)授權(quán)方的授權(quán)范圍，超越權(quán)限范圍是否需要進行再一次的同意許可，以及數(shù)據(jù)使用方處于數(shù)據(jù)授權(quán)方的監(jiān)督下；從使用目的上，明確數(shù)據(jù)收集利用的目的，同時按照風(fēng)險路徑進行分析。最重要的監(jiān)管措施就是透明化，數(shù)據(jù)使用方進行流轉(zhuǎn)數(shù)據(jù)或存儲數(shù)據(jù)，涉及第三方，則明確列明所有的第三方信息，讓數(shù)據(jù)流轉(zhuǎn)階段更加清晰可見、有跡可循。

其次配套實施各項措施?；诮鹑跀?shù)據(jù)的類型區(qū)別，按照不同的嚴格程度對金融數(shù)據(jù)進行監(jiān)管。例如，對于個人信息與未滿14周歲的未成年人信息，規(guī)制是不一樣的。對于重要性和敏感性低的金融數(shù)據(jù)，在數(shù)據(jù)流轉(zhuǎn)階段采取較為寬松的規(guī)則，促進金融交易的效率。對于重要性和敏感性高的金融數(shù)據(jù)，雙重許可或者超出使用權(quán)限后進行重新許可等等。對于特別規(guī)定的金融數(shù)據(jù)，涉及國家公共安全和利益，對于金融數(shù)據(jù)的使用問題做出差異的規(guī)定。

[1]楊松，張永亮.金融科技監(jiān)管的路徑轉(zhuǎn)換與中國選擇[J].法學(xué)，2017（08）：3-14.

[2]廖凡.論金融科技的包容審慎監(jiān)管[J].中外法學(xué)，2019，31（03）：797-816.

[3]吳沈括，李京北：歐盟理事會關(guān)于《一般數(shù)據(jù)保護條例》施行的最新立場[EB/OL]，（2020-06-06）[2020-08-06].https://mp.weixin.qq.com/s/m4B4XQjgxHIDhnb-5rRISg.

[4]何穎.數(shù)據(jù)共享背景下的金融隱私保護[J].東南大學(xué)學(xué)報（哲學(xué)社會科學(xué)版），2017，19（01）：85-91+144.

[5]吳沈括，霍文新.歐盟GDPR與數(shù)據(jù)跨境問題分析[J].中國信息安全，2018（07）：31-33+37.

[6]王遠志.我國銀行金融數(shù)據(jù)跨境流動的法律規(guī)制[J].金融監(jiān)管研究，2020（01）：51-65.

[7]辜明安，王彥.大數(shù)據(jù)時代金融機構(gòu)的安全保障義務(wù)與金融數(shù)據(jù)的資源配置[J].社會科學(xué)研究，2016（03）：76-82.

[8]張繼紅.論我國金融消費者信息權(quán)保護的立法完善——基于大數(shù)據(jù)時代金融信息流動的負面風(fēng)險分析[J].法學(xué)論壇，2016，31（06）：92-102.

[9]洪延青.透析金融數(shù)據(jù)保護的美歐中立法要點和趨勢[J].中國銀行業(yè)，2018（11）：39-42.

[10]劉紹新.全球化背景下的個人數(shù)據(jù)跨境流動[J].中國金融，2019（23）：68-70.