我国个人金融数据跨境流动的法治保障

郭德香 李晓豫

(1.2.郑州大学 法学院，河南 郑州 450001)

在大数据时代，伴随着5G技术的快速发展，云计算、大数据分析等技术使数据成为国家间竞争的重要战略资源。个人数据作为企业展开活动的基础资源，在企业对外扩张的过程中不可避免地要进行跨境转移。与个人数据相比，个人金融数据具有更高的敏感性和私密性。传统金融机构和新兴的互联网金融机构在经营过程中积累了海量的个人金融数据，这些数据不仅能够推动行业创新营业模式，推动国家金融市场的健康发展，同时也逐渐成为金融机构乃至国家的重要资源。随着全球化的快速发展，传统金融机构以及互联网金融机构在境外开展业务成为常态，在此过程中，收集、使用、存储用户信息必然牵涉个人金融数据的出入境，个人金融数据泄露的风险也因此不断提高。近年来，各主权国家普遍意识到现有数据保护措施已经不能满足现实需求，现有法律制度已经无法有效保障个人金融数据的安全，因此，相继出台了诸多法律规范，如欧盟《通用数据保护条例》(以下简称“GDPR”)、新加坡《个人数据保护法》、日本《个人信息保护法》等。尽管《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)和《中华人民共和国数据安全法》(以下简称《数据安全法》)已于2021年生效实施，但上述法律规范主要调整个人信息及传统数据，在规制个人金融数据方面缺乏针对性。因此，有必要分析个人金融数据跨境流动规制的必要性以及我国规制现状，对比国际社会较为成熟的规制措施，完善我国个人金融数据跨境流动法律规制体系，提升我国国际个人金融数据跨境流动规制理论水平。

在经济全球化背景下，个人金融数据跨境流动已经成为不可阻挡的趋势。对个人金融数据跨境流动进行必要的法律规制是预防数据泄露、维护国家数据主权和安全的需要。在个人金融数据跨境流动的过程中，一旦发生数据泄露或数据滥用等侵权行为，将极大增加社会不稳定因素，给数据主体带来维权成本高、取证难、判决执行困难等问题[1]。因此，完善我国个人金融数据跨境流动法律规制措施极为必要。

(一)维护国家数据主权的客观要求

个人金融数据跨境流动过程极为复杂，牵涉多个主体和场景，如数据所有者、数据持有者、数据接收者、数据发送地、数据接收地、数据存储地等。当个人金融数据跨境流动时，以上各方国家均有可能主张其拥有规制跨境传输数据的权利。当前，国际社会尚未建立规制数据跨境流动的国际法律规则，极易造成各国数据主权的重叠甚至冲突。在全球经济发展失衡的背景下，金融业发展落后国家的个人金融数据通过互联网向金融业发达的国家流动。金融业发达国家在经济实力、科技实力等方面占据巨大优势，其对个人金融数据的分析利用能力较为成熟，能够更为充分地挖掘数据背后的商业价值。发达国家在个人金融数据跨境流动方面，不仅占据商业优势，更能够通过个人金融数据背后所蕴藏的信息，分析特定国家的经济发展趋势，间接影响其他国家金融市场的健康发展和国家安全[2]。2020年4月，网传有上百万条我国个人金融数据在境外暗网销售，严重危害我国国家安全和公民个人隐私。我国作为数据大国，维护国家数据主权，保障国家对本国数据管理和利用的独立自主性，是我国与欧美发达国家进行金融交易的首要前提。因此，在积极融入国际市场、推动高水平开放的过程中，我国应当全面审视个人金融数据跨境流动法律规制机制，借鉴欧美金融业发达国家成熟经验，在遵守国际法律规则的前提下完善本国法律规范，维护国家数据主权。

事实上，不管是美国还是欧盟都在通过立法积极主张数据主权。虽然美国一直以来都大力倡导数据开放与自由流动，主张减少国家主权对数据发展的干预，但美国的这种主张是“双标”式的。自2018年以来，美国相继出台了《爱国者法案》《情报授权法案》《国土安全法案》《外国情报监视法案》等多部立法，为美国政府获取全球数据提供法律依据，并出台《加利福尼亚州消费者隐私保护法案》《数据管护法案》《外国投资审查法案最终规则》限制数据的跨境流动，多管齐下形成了数据跨境流动“宽进严出”的治理模式。欧盟数据主权战略更是从保护个人数据权益出发，对内通过《欧盟数据战略》等法案建立起数据自由流动的“泛欧数据市场”，对外通过出台《个人数据保护指令》《通用数据保护条例》等法案，严格控制数据的跨境流动。可见，大数据时代，数据竞争的态势愈加激烈，数据主权已经成为国家主权的重要组成部分。保障国家主权，抢占数据发展制高点，是我国从数据大国转变为数据强国的关键，个人金融数据作为关键、重要数据，通过法律途径对其规制是维护国家数据主权的客观需要。

(二)保护个人合法权益的现实需要

个人金融数据具有敏感性、精准性和高价值性的特点。个人金融数据能够反映个人的财务状况和消费习惯，如若在跨境流动过程中发生泄露，将严重危害数据主体的人身和财产安全。例如，人脸识别和指纹识别在日常生活中越来越常见，支付宝、微信、手机银行等诸多手机应用均存在收集人脸识别和指纹识别等生物识别信息的情况。不可否认的是，生物识别信息的使用极大便利了日常生活，但是，由于人脸和指纹信息能够直接锁定特定对象，且生物识别信息无法更改，此类数据一旦泄露，造成的后果是不可逆的。对此基本没有补救措施，一旦相关数据被不法分子利用，将给个人及社会带来极大的负面影响[3]。

个人金融数据转移至境外发生纠纷，数据主体维权时将面临两方面困境。一方面，个人与金融机构之间存在信息不对称情况，使金融机构与个人对金融数据所享有的权益失衡。消费者若想获得金融机构的服务，就不得不将个人金融信息提供给金融机构，从而造成了金融机构掌握大量个人金融数据而消费者缺少渠道获得金融机构相应信息的不对等局面，加之金融行业具有较强的专业性和复杂性，金融科技快速发展等，这些均造成了在个人与金融机构发生纠纷时，个人往往处于不利地位的现状[4]。另一方面，个人金融数据一旦流动至境外，个人将丧失对数据的控制。当个人金融数据在境外发生泄露或者被非法利用时，即便发生了侵害个人财产权和隐私权的事实，受限于跨境维权的高昂成本和烦琐的流程，个人也很难通过法律途径维护自身权益。因此，完善本国相应法律规范，规制个人金融数据的跨境流动，是保护金融消费者合法数据权利的现实需要。

正如前文所述，通过分析特定国家的个人金融数据，能够看出个人的消费习惯和财务状况，甚至能描画出国家的金融市场发展现状和国家经济发展态势，进而影响国家的金融市场安全，威胁国家安全。世界各国均已认识到个人金融数据跨境流动对国家政治、经济稳定的影响，规制个人金融数据跨境流动早已成为国际社会的共识。鉴于美国、欧盟是世界金融市场最为发达的国家和地区之一，因此，本部分将主要分析美国、欧盟所确立的个人金融数据跨境流动规制体系。

(一)美国个人金融数据跨境流动的法治实践

美国作为世界金融中心，其国内法对于个人金融数据保护发展较早，相关法律规制主要有《公平信用报告法》(1)该法于1970年颁布，2003年颁布的《公平正确信用交易法》即是以此法为基础修订而来。《金融服务现代化法案》(2)1999年，由克林顿政府提交由1991年布什政府推出的监管改革绿皮书(Green Book)，并经国会通过，形成了《金融服务现代化法案》(Financial Services Modernization Act),亦称《格雷姆-里奇-比利雷法案》。《消费者金融信息隐私法》《多德-弗兰克华尔街改革和消费者保护法案》(3)2010年颁布的《多德-弗兰克法案》被认为是“大萧条”以来最全面、最严厉的金融改革法案，为全球金融监管改革树立了新的标尺，其核心内容就是在金融系统当中保护消费者。和《金融消费者保护法》。对于个人金融数据跨境流动，《公平信用报告法》首次提出了要保护个人金融信息，1996年该法修订后又赋予个人消费者拒绝分享金融数据的权利(亦称“选择退出权”)，《金融服务现代化法案》则确立了金融市场个人消费者保护的基本原则[5]。2018年特朗普签署了《外国投资风险审查现代化法案》，该法案的出台意味着美国逐渐重视个人敏感数据对国家安全的影响，并试图通过国家安全审查的方式限制境外资本对本国金融服务业的投资，从而达到规制个人金融数据向境外流动的目的[6]。除国内法外，美国积极推动将个人金融数据跨境传输纳入双边和多边贸易协定中。在1992年签订的《北美自由贸易协定》与2003年签订的《美新自由贸易协定》中，均有关于个人金融信息及数据保护的内容。2012年签订的《美韩自由贸易协定》附件中有关于金融数据跨境流动的条款，2018年签订的《美墨加协定》中首次出现了“金融信息自由转移”条款。

通过上述分析可知，美国通过国内法、双边和多边条约对个人金融数据跨境流动进行规制，在保障本国数据安全和尊重消费者的前提下，推动个人金融数据自由流动[7]。美国对于个人金融数据跨境流动的此种态度，主要取决于其在国际金融市场的主导地位，自由的数据流动政策能够使美国最大程度上获得来自世界各地的金融数据。

(二)欧盟个人金融数据跨境流动的法治实践

欧盟对个人数据的重视始终走在世界前列，1981年欧洲理事会成员国签署的《个人数据自动化处理中的个人保护公约》是世界上第一个关于个人数据保护的具有法律约束力的公约。1995年通过的《关于个人信息处理保护及个人信息自由传输的指令》规定了个人数据保护的原则以及数据主体的权利和数据控制者的义务。随着互联网技术的发展，数据跨境传输监管难度不断提升，为应对新技术下出现的新情况，欧盟于2012年开启了GDPR的制定工作，该条例已于2018年生效[8]。GDPR的生效意味着欧盟建立起了全球最严格的数据保护标准，欧盟制定GDPR就是为了在提供高水准保护的前提下，迎合数据跨境自由流动的国际趋势，促进数据在全球范围内的自由流动。因此，GDPR第1章一般条款第1条第3款规定，在欧盟成员国范围内，个人数据可以自由流动，成员国不得随意限制个人数据的跨境流动(4)欧盟《通用数据保护条例》(GDPR)第1章第1条第3款规定：“不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。”。而对于个人数据向欧盟成员国以外的国家流动时，GDPR的规定有多个特征。第一，“白名单”制度。按照GDPR的要求对数据接收国进行安全评估，评估时考虑的因素包括：数据接收地的法治发展水平，例如，公共机构访问个人数据的一般性与部门性立法；
个人数据跨境转移中对数据主体的司法救济；
相应国家和地区境内有无有效运作的独立监管机构；
相应国家和地区许下的国际性承诺、缔结的国际条约等。评估中被认为对个人数据保护程度达到充足性的国家，即可进入“白名单”。“白名单”国家能够自由接收欧盟成员国传输的数据。第二，标准合同制度。标准合同制度下，欧盟境外企业在与欧盟成员国企业进行贸易的过程中，如果该境外企业使用了经过欧盟认定的标准合同，并承诺按照合同要求履行数据保护义务，那么该企业就被认为符合“充分性”的要求。第三，约束性公司规则。该规则要求一家公司为整个公司结构中的个人数据跨境传输提供欧盟数据保护标准[9]。

由此可知，欧盟个人金融数据跨境流动呈现出在高标准、严要求的前提下，积极推动个人金融数据自由流动的趋势。欧盟通过GDPR将个人金融数据跨境流动的“欧盟标准”推向全球，能够帮助其在设计数据跨境流动国际规则的过程中获得更多的发言权，也为欧盟收集全球个人金融数据提供了坚实且充分的法律保障。

①进行实验分组和操作自变量：自变量为不同分解条件，依据单一变量原则，实验分成4组，设置常温、高温、FeCl3溶液和过氧化氢酶4种分解条件。通过以上分析，学生意识到可根据自变量种类进行实验分组，再对每组自变量施加不同处理，让各组形成对照关系。

(三)美国、欧盟个人金融数据跨境流动法治实践的经验总结

法律制度的建立应当与本国特有的法治环境、行业发展相适应。我们能够从美国、欧盟模式中窥探出其各自的侧重点。尽管欧盟也强调数据自由流动的重要性，但是由于欧盟有注重个人隐私保护的传统，加之金融数据对于区域金融市场稳定有较大影响，两者共同影响下使得欧盟在规制个人金融数据跨境流动时侧重个人隐私保护。而美国并未将个人隐私保护视为规制个人金融数据跨境流动的目的之一。作为全球公认的网络和金融大国，个人金融数据的市场价值挖掘是美国规制个人金融数据跨境流动的深层动因。因此，相较于欧盟，美国个人金融数据跨境流动规制模式更为宽松。个人金融数据关乎一国金融市场发展态势和国家数据安全，数据交流越频繁、对外贸易量越大的国家，受数据资源争夺的影响就越大。我国作为网络大国和数据大国，既有挖掘个人金融数据市场价值的需求，又有保护个人隐私的现实需要，可以充分吸取美国、欧盟经验，取其所长、避其所短，在完善相关法律制度时把握好个人隐私保护和市场价值挖掘两者之间的平衡。处理好个人金融数据在跨境流动过程中的安全问题，在保证本国国家安全和消费者权益不受侵害的前提下，推动数据自由流动，减少与其他国家在数据保护领域的制度摩擦和冲突，是我国未来在完善数据领域法律规范，积极参与数据保护国际规则制定过程中的前进方向。

当前，与美国和欧盟相比，我国个人金融数据保护规则发展缓慢，对个人金融数据跨境流动的规制散见于多部法律规范之中。之所以造成这一局面，一方面是由于我国金融行业前期发展缓慢，直至进入21世纪后才逐渐跟上世界的脚步；
另一方面是由于我国数据保护立法起步较晚，早期主要规定在《中华人民共和国网络安全法》(以下简称《网络安全法》)中，直至2021年，与数据保护相关的专门立法《数据安全法》和《个人信息保护法》才相继出台。尽管发展缓慢，但我国个人金融数据法律规制正在不断完善，无论从国家层面还是从社会层面，均普遍认识到金融数据是影响国家安全和国计民生的重要领域。

(一)我国个人金融数据跨境流动的法律规范现状

当前，我国数据保护规则主要由《网络安全法》《数据安全法》《个人信息保护法》三部法律规范组成，除此之外，还有相应的部门规章。2017年生效实施的《网络安全法》对与网络安全相关的个人数据保护进行了较为全面的规定，如《网络安全法》第四十三条明确规定，个人发现网络运营者违法收集个人信息的，有权要求其删除相关信息，发现网络运营者收集、存储的个人信息有误的，有权要求其予以更正[10]。2020年2月13日，中国人民银行颁布的《个人金融信息保护技术规范》要求，在中国境内收集的个人金融数据，其存储、处理和分析都应当在中国境内进行，并对确需向境外机构提供个人金融信息的情形提出了具体要求(5)《个人金融信息保护技术规范》第7.1.3条(d)项规定：“在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息，应在境内存储、处理和分析。因业务需要，确需向境外机构(含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构)提供个人金融信息的，具体要求如下：应符合国家法律法规及行业主管部门有关规定；
应获得个人金融信息主体明示同意；
应依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估，确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求；
应与境外机构通过签订协议、现场核查等方式，明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务。”。2020年11月1日生效实施的《中国人民银行金融消费者权益保护实施办法》第二章第八条，明确要求建立健全消费者金融信息保护制度。2021年6月10日公布的《数据安全法》首次明确了域外管辖原则(6)《中华人民共和国数据安全法》第二条第二款：“在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”。在中国对外开放不断深入和互联网科技飞速发展的双重作用下，企业开展国际贸易时，个人金融数据不可避免地需要在不同国家间传输。这种特性使得传统法律的属地管辖原则已无法满足当下国际贸易的发展需求，强化本国数据保护法律的域外效力已经成为国际社会的共识。《数据安全法》的生效实施，弥补了我国数据保护规则缺乏域外效力的缺陷，对保障个人金融数据跨境流动具有重要意义。2021年8月20日公布的《个人信息保护法》对个人信息的定义、处理原则、个人信息跨境提供的原则以及个人在个人信息处理活动中享有的权利进行了详细规定，但未有明确规制个人金融数据的内容，仅在第二十八条中将金融账户明确为个人敏感信息。

整体而言，我国个人金融数据跨境流动法律规制建设正处于起步阶段，现有法律规范虽能作为法律基础规制个人金融数据跨境流动，但鲜有明确规定个人金融数据的内容。因此，我国仍需不断学习国际社会成熟经验，结合我国实际，逐渐形成具有中国特色的、统一完备的个人金融数据跨境流动法律规制体系。

(二)我国个人金融数据跨境流动法律规范在实践中的困境

互联网科技的快速发展使得个人金融数据不再是单一的信息载体，更成为影响国家金融市场安全的战略资源，我国始终将个人金融数据视为影响国家安全和社会民生的重要资源。现阶段，我国个人金融数据跨境流动法律规制存在以下四个突出问题亟待解决。

1.个人金融信息和个人金融数据概念混乱。目前，国内法未明确个人金融数据与个人金融信息的区别，存在两个概念不加区分的情形[11]。如《中国人民银行金融消费者权益保护实施办法》将与金融消费者相关的信息统称为“个人金融信息”，未使用“个人金融数据”的说法；
而《个人金融信息(数据)保护试行办法》则对个人金融信息与个人金融数据未加区分。此外，《个人信息保护法》中对个人信息的定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”，此处的“各种信息”应当理解为包含数据，否则将极大限缩《个人信息保护法》的适用范围。而《数据安全法》对数据的定义为“任何以电子或者其他方式对信息的记录”。通过两部法律规范对“个人信息”与“数据”的定义可以发现，两者在定义上存在一致性。鉴于个人金融数据对金融市场及国家安全的重要性，极有必要在基本立法中明确其概念，如“个人信息”与“数据”并无区别则采用统一说法；
若两者存在不同之处，则在法律规范中区别运用。两者混用，在实践中易造成不同主体对同一事项采取不同称呼，从而造成歧义，徒增事端；
监管机构在监管过程中亦会面临困境：监管内容如何确认？监管机构对监管内容的定义与被监管对象对监管内容的定义存在不同时，应当如何处置？

2.缺乏规制个人金融数据跨境流动的专项立法。近年，《个人信息保护法》《数据安全法》的相继出台，为个人金融数据跨境流动法律规制提供了有力的法律支撑，但不可否认的是，我国个人金融数据法律规范较为混乱，分散在多部法律之中，实践中缺乏可操作性。首先，分散的法律规范造成对个人金融数据跨境流动规制标准不清晰，零碎的规定使得司法机关拥有较大的自由裁量权，不利于维护数据主体的合法权益；
同时，分散的法律规范必然造成数据主体或金融机构在处理个人金融数据跨境流动问题过程中需要考虑相关事项是否满足不同法律规范下的合规义务[12]。其次，现有法律规范中并未明确个人金融数据的相关概念及范围，数据主体在金融数据跨境流动过程中享有哪些权利，应当履行何种义务亦未明晰。现阶段进行个人金融数据跨境流动专项立法的尝试有其必要性，数字经济的快速发展将数据的价值无限放大，我国在现阶段进行相关立法尝试，既能够完善国内个人金融数据法律规范体系，又能够积累一定的立法经验，使我国在数据相关的国际规则制定过程中占据先机。

4.在国际规则制定中难以掌握主动权。中国正逐步走向世界舞台中央，国际规则的制定离不开中国的参与。《个人信息保护法》第十二条明确规定，国家应当积极参与个人信息保护国际规则的制定，然而，我国与欧美等国家相比，在个人金融数据跨境流动国际规则的制定过程中参与度较低。不可否认的是，我国对参与国际规则制定持谨慎态度是由于国内相关法律规范尚处于起步阶段，出于维护国家安全的考虑，我国原则上并不支持个人金融数据跨境自由流动，这与欧美等国支持数据跨境自由流动的观念截然相反。欧美等国作为科技、金融强国，在国际规则制定过程中占据先天优势，我国在法律不健全、信息技术欠缺的情况下贸然参与国际规则的制定，无法获得其他国家的认同[13]。尽管如此，当今正处于百年未有之大变局，国际秩序正在重塑，我国作为负责任的大国，仍应当积极参与国际规则的制定，这不仅是维护我国合法利益的需要，更是彰显负责任大国形象的必然要求。如缺席相关国际规则的制定，将导致我国个人金融数据保护立法不能很好地与国际规则接轨，相关规则也无法体现中国立场，不利于我国数据保护规则的长远发展和国内金融市场的健康发展。

在互联网时代，各国均对数据跨境流动极为关注，而个人金融数据作为敏感数据的一种，其法律规制措施的完善与否将直接影响一国的金融市场发展和国家数据安全。我国作为数据大国，应当不断更新个人金融数据跨境流动法律规制模式，借鉴国际有益经验，审视国内困境，总结出适合中国国情的金融数据规制理念，不断提升我国个人金融数据跨境流动的规制能力。针对我国法律规制现状的缺陷，应当从以下几个方面加以完善。

(一)厘清个人金融数据与个人金融信息的界限

前述可知，我国现阶段数据保护规则存在对个人金融信息与个人金融数据概念不加区分甚至混用的情况。尽管我国金融业发展与欧美等国差距较大，个人金融数据跨境流动需求尚不明显，但随着我国开放程度的不断加深和国民经济的稳步发展，我国金融业对外发展将成为必然趋势，我国拥有海量的个人金融数据，但个人金融数据概念不明确在一定程度上影响了我国金融数据规则的公信力。对此，应当在下一阶段立法或完善过程中，在个人金融信息与个人金融数据间作出清晰明确的界定。界定个人金融数据的概念，在法律规范中拓展个人金融数据的内涵和外延，才能有效应对不断出现的新问题、新现象[14]。同时，明确个人金融数据的概念需要兼顾现有法律规范的规定，避免出现不同概念间覆盖内容的冲突。如果认为个人金融信息与个人金融数据无明显区别，无需在相关法律规范中加以区分，则应当在此后法律修订或制定新法过程中统一名称。

但事实上，“数据”和“信息”在词义上存在十分明显的区别。笔者建议将其区分处理，以增加法律用语的专业性。我们先来讨论“个人金融信息”的含义，纵观国内外现有立法，虽然我国在使用该概念时未加区分且存在混淆，但仍有部分典型的法律法规对“金融数据”项下的“个人金融信息”作出了阐释，例如，我国《中国人民银行金融消费者权益保护实施办法》(2016年)第二十七条、《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(2011年)第一条、《个人金融信息保护技术规范》(2020年)第3.2条，以“总括加列举”的方式对“个人金融信息”作出了解释，即“个人金融信息”是指金融机构通过自身的业务行为或者其他途径所掌握的个人信息。美国1999年《格雷姆-里奇-比利雷法案》，也即《金融服务现代化法案》(The Gramm Leach Bliley Act,GLBA)中也对“个人金融信息”进行了规定，在该法案中“个人金融信息”被表述为“非公开信息”，是指消费者个人向金融机构提供的来自个人所有交易或者接受的全部服务中的有关本人的可识别的金融信息，由于这些信息是消费者提供给金融机构的仅为二者知晓的信息，因此，可公开获取的信息被排除在这一概念的范围之外，即个人金融信息是不可公开获取的信息。从“非公开信息”的字面含义来看，美国的个人金融信息较为隐秘，一般不能够通过公众悉知的公开途径获得。两者对比可以发现，虽然中、美关于“个人金融信息”的表述不尽相同，但二者仍然存在以下共同点。一方面，二者的界定都具有个人的属性，即个人信息是具体到特定的自然人的信息。另一方面，二者的界定都具有金融的属性，这又表现为三个层次：首先，数据的获取发生在金融机构提供产品或者服务的过程当中；
其次，该过程产生的数据由金融机构负责处理；
最后，获取、处理过的数据由金融机构实际掌控。而“数据”与“信息”的含义也不相同。“数据”一词强调原始状态，是没有经过加工处理、信息过滤的符号，在原始状态基础上通过进一步的细化、排序、整合可以升级为“信息”，可以说，“信息”是“数据”的高级形态。目前立法中尚没有明确的关于“个人金融数据”的概念，结合以上关于“个人金融信息”的含义分析，以及关于“信息”与“数据”区别的分析，笔者认为，“个人金融数据”的含义可界定为：各类金融业机构及其关联机构在开展金融业务以及自身日常经营管理活动中所产生的或者所需要的个人数据。

(二)加快专门立法的制定

尽管我国近年来出台了多部与个人金融数据跨境流动相关的法律规范，但是现阶段仍缺乏个人金融数据保护方面的专门性法律[15]。从国内当前立法现状来看，个人金融数据规制分散在不同法律规范及部门规章之中，且大部分只是简单涉及，尚无法律规范或部门规章对个人金融数据进行专门性规制，我国个人金融数据保护立法仍处于起步阶段，短时间内无法全面展开。但是，在跨国公司对外发展、全球交流日益密切的今天，以及金融领域独特的信息泄露的巨大危险性、金融风险的快速传染性特点，加强个人金融数据保护无疑是各国无法回避的问题。探索个人金融数据保护专项立法应当提上日程。

在专项立法制定过程中，笔者建议应当关注如下一些重要方面。第一，在专项立法中明确个人金融数据保护中的一些基本概念。例如，个人金融数据概念的内涵和外延，可公开的个人金融数据和非公开的金融数据，既明确个人金融数据保护的范围，也给数据利用、数据开发提供空间；
个人金融数据保护的基本原则，严格限制重要个人金融数据的跨境流动，对个人金融数据实行分类管理；
明确个人金融数据保护专项立法与《网络安全法》《数据安全法》《个人信息保护法》以及我国加入的《世界贸易组织协定》(以下简称WTO)、《区域全面经济伙伴关系协定》(以下简称RCEP)等经贸协定之间的关系，做好不同法律之间的协调和统一；
等等。只有在明确基本概念及其与其他法律规范关系的基础上，才可能更好地实现个人金融数据的保护。第二，在专项立法中设计联合监管机制。由于个人金融数据涉及金融数据保护与个人隐私保护，通过单一监管部门难以有效发挥监管作用，而需要依靠不同部门联合监管，这样才能更为全面、稳妥地实现对个人金融数据的有效监管。第三，切实提高个人金融数据保护专项立法的可操作性。《个人信息保护法》的出台填补了我国数字社会重要的法律短板，奠定了我国网络社会和数字经济的法律之基。但不可否认的是，《个人信息保护法》原则性规定较多，可操作性有所欠缺。因此，作为规制个人金融数据的专项立法，在立法过程中应当注重提高法律条文的可操作性，为监管机构切实有效地维护个人金融数据安全提供强有力的法律支撑。针对我国个人金融数据保护法律规范不完备的现状，应当积极改进工作，只有完备的法律规范才能够有效规制金融机构及境外数据持有者，真正做到保障个人金融数据安全。

(三)强化个人金融数据跨境流动权利救济机制

权利救济机制是个人金融数据跨境流动法律规制不可或缺的一部分，救济机制一般可从行政、民事、刑事三个方面加以规定。行政和刑事处罚能够更加有力地保护个人金融数据的安全，现有法律规范已经有所涉及，如《个人信息保护法》第六十六条规定，对违反《个人信息保护法》处理个人信息的，相关部门能够给予警告，并没收违法所得；
《数据安全法》第四十五条规定，开展数据处理活动的组织或个人不履行本法规定的数据安全保护义务的，相关部门可以给予其5万以上50万以下的罚款，违反国家核心数据管理制度，构成犯罪的，要依法追究刑事责任。但是，现有的个人金融数据权利救济机制尚不健全，尤其是作为个人金融数据权利救济机制的重要方面，民事救济及赔偿机制与行政处罚和刑事处罚相比较为薄弱，尤其是对于数据的财产权保护仍显不足。个人金融数据权利的民事救济不仅包括对个人金融数据泄露造成的损失的赔偿，还包括对合法获取数据、管理数据、提供服务的权利人的数据财产的有效保护。数据财产权是一种无形的财产权利。其权利人通过合法途径获取数据、保护数据时付出了一定的金钱、时间、场地等成本，由此获得的数据自然应当受到保护。事实上，得益于数字技术的发展，数据已经成为新时代重要的战略资源，并被称为数字经济时代的“新石油”。从民事方面加强数据财产权的救济可以有效助力数字经济的发展。

具体来说，对个人金融数据的民事救济可以通过以下几种方式加以完善，以保护个人所拥有的不愿公开的金融数据：首先，制定特殊的举证责任，例如，可以在相关法律中规定仅适用于个人金融数据领域的过错推定责任制度，减轻个人数据权利主体的举证责任，由数据持有者或数据处理者承担举证责任；
其次，明确个人金融数据领域的公益诉讼制度，当发生个人金融数据跨境大规模侵权时，可由公益组织提起公益诉讼，减轻个人数据主体的维权难度；
最后，明确精神损害赔偿制度，个人金融数据往往与个人隐私密不可分，个人金融数据的侵犯除给数据主体造成经济损失外，亦存在侵犯数据主体个人隐私的可能，因此，有必要明确个人数据领域的精神损害赔偿制度。这对维护数据主体合法权利、保障数据安全具有重要意义。

(四)积极参与国际规则制定

在全球化背景下，世界经济高度融合，全球金融市场的健康发展既依赖于各国完备的数据保护手段，同时也依赖于不同国家间的数据共享。对于金融机构及新兴互联网企业而言，数据已经成为其重要的资源，企业的日常运营、新品研发都离不开数据支撑。无论是欧盟还是美国，抑或是新加坡，都支持数据在得到充分保障的前提下自由流动。我国作为数据大国，对数据自由流动始终持谨慎态度。然而，国家利益的多样性使各国在参与国际规则制定的过程中均以维护本国利益为出发点，这就导致了国际规则很大程度上体现了参与制定国的国家意志[16]，主导规则制定的国家能够将本国个人金融数据的国内法转变为国际法。因此，我国应当积极主动地在金融数据跨境流动国际规则制定过程中发出中国声音，展现中国立场。

笔者认为，我国可以在借鉴国外法律规范的前提下，结合本国实际，完善我国个人金融数据跨境流动的法治保障，积极参与国际规则的制定：首先，充分利用已有平台扩大数据领域的中国影响力，我国可以借助“一带一路”建设、上海合作组织、亚洲基础设施投资银行等平台，通过双边或多边谈判，推行我国数据跨境流动规则，增强我国在个人金融数据跨境流动领域的话语权；
其次，积极探索同相关国家和地区签订关于个人金融数据保护的双边或多边条约，经过充分协商，并结合我国和相关国家和地区的实际，最大程度上保证规则制定的一致性；
最后，在国际规则制定过程中坚持中国立场，无论是积极参与国际规则制定还是积极与其他国家签订双边或多边条约，其出发点都是在促进双方互利的前提下维护我国合法权益，因此，无论是在参与个人金融数据跨境流动国际规则制定过程中，还是同其他国家签订双边或多边条约时，都应当坚持中国立场，坚守维护国家安全的底线。

在实际参与国际跨境流动规制议题讨论的过程中，要坚持以下基本立场。第一，注重国家数据主权的谦抑性，中国在参与国际规则制定的过程中主张国家数据主权时，应当在控制管理与自由流动之间寻找到对数据保护与规制的平衡点，既考虑到数据主权的绝对性，又考虑到数据主权的开放性和灵活性，保持数据主权的谦抑性。数据主权的谦抑性顺应了大数据时代和现代相互依赖主权的发展趋势，也有利于维护个人数据权利、实现数据价值[17]。第二，坚持国家安全的绝对例外立场。国家安全例外由我国在RCEP经贸协定中提出——RCEP第十二章电子商务章节，第十五条第三款第二项规定，任何规定不得阻止缔约方采取或维持缔约方认为对保护基本安全利益所必需的措施。RCEP数据跨境流动规则中的国家安全绝对例外原则是我国国家安全观的具体体现，中国在参与国际规则制定时可以延续该原则，坚持国家安全绝对例外的基本立场。第三，尽快提出我国促进个人金融数据跨境安全自由流动的明确主张和具体路径。积极参与国际规则的谈判不仅是向内吸收高标准的国际规则，更是向外输出我国的良好规制实践。只有明确我国在个人金融数据跨境流动中的立场，提出“一揽子”地实现个人金融数据跨境安全自由流动的解决方案，才能更好地掌握国际规则制定的话语权。对个人金融数据的跨境流动，建议以《全球数据安全倡议》为基础，围绕金融数据本地化、个人隐私安全、跨境执法协调等关键事项提出具体解决方案，平衡金融安全、金融产业发展与个人金融信息权益保护三方面的诉求。中国作为世界上最大的发展中国家和全球第二大经济体，同时作为金融大国和数据大国，应当努力实现个人金融数据跨境安全自由流动，在个人金融数据跨境流动领域实现互利共赢。

大数据、云计算等互联网技术的快速发展使数据蕴含的价值越来越大，个人金融数据作为数据跨境流动过程中的重要部分，其在跨境流动过程中面对的风险给各国监管机构带来了极大的挑战。我国作为互联网大国，在国内经济发展过程中，金融数据的存储量呈指数级增长，在我国不断深化开放的过程中，规制个人金融数据跨境流动对保障我国金融数据安全极为重要。在未来完善我国个人金融数据跨境流动规制措施的过程中，有必要明晰个人金融数据的相关概念，健全个人金融数据跨境流动法律规范体系，并在个人金融数据跨境流动过程中加强国际合作，积极参与相关国际规则的制定，为我国个人金融数据跨境流动提供更有利的法律支撑和制度安排。

猜你喜欢 金融信息数据保护规制 主动退市规制的德国经验与启示南大法学(2021年4期)2021-03-23银行、支付机构不得收集与业务无关的消费者金融信息公民导刊(2020年11期)2020-12-06——戴尔易安信数据保护解决方案">数据保护护航IT转型
——戴尔易安信数据保护解决方案网络安全和信息化(2019年5期)2019-12-23欧盟通用数据保护条例中的数据保护官制度中国科技论坛(2019年12期)2019-01-26共享经济下网约车规制问题的思考消费导刊(2018年8期)2018-05-25浅谈虚假广告的法律规制消费导刊(2017年20期)2018-01-03TPP生物药品数据保护条款研究知识产权(2016年5期)2016-12-01药品试验数据保护对完善中药品种保护制度的启示中国医药科学(2015年2期)2015-02-27内容规制现代出版(2014年6期)2014-03-20

推荐访问:法治 流动 跨境