◆郑娇娇

金融数据跨境流转的法律问题研究

◆郑娇娇

（北方工业大学 北京 100144）

金融科技的智能化发展，出现大量金融数据。数据的保护涉及隐私问题，以及数据适用阶段中，数据境外流转中产生的新问题。中国并未就金融数据形成统一完善的法律规定，建议以数据保护为主，促进数据利用的立法目的，出台金融数据法律规定，其内容规定实施不同级别数据保护的差异化措施。最终促使平衡金融数据的保护与利用问题。

隐私数据；数据跨境流转

1 概述

大数据时代，技术驱动发展到金融3.0时代，金融机构逐步实现数据电子化、数据化。在该阶段，大数据、区块链、人工智能等新兴科技引领金融业全方位变革，引发数据安全问题的思考。数据安全有两层含义，一是指数据不损坏、不丢失；二是数据不被盗用或偷走。在金融数据跨境流转阶段，法律制度层面上如何保障金融数据安全，成为亟待解决的问题。本文并不详细论述数据与信息的关联，而将数据视为信息的扩大化解释。

金融数据安全的重要性主要体现在以下两个方面：其一，金融数据广泛存在于各个金融领域中，通过运用金融数据进行分析比较，节省了时间和金钱成本，为金融服务提供了更加高效的选择。其二，有利于维护金融秩序稳定。倘若金融数据一旦泄露或被篡改，直接威胁到金融客户的个人信息数据，进而影响着交易安全。

2 数据安全问题的立法探讨

2.1 各国关于数据安全问题的法律规定

（1）欧盟：统一立法模式

在1981年，欧洲议会通过了有关个人数据保护的《保护自动化处理个人数据公约》，这是世界上第一个有约束力的规范数据使用、保护个人隐私、促进数据交流的国际公约。1995年，欧洲议会和欧盟理事会通过了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》。其立法目的定位为两个方面，一是保护自然人的基本权利和自由，特别是保护数据处理过程中的个人隐私权；二是促进数据在成员国之间的合法流通。2016年4月，欧洲议会和欧洲理事会通过了《通用数据保护条例》（以下简称GDPR），取代了1995年数据保护指令的条例。随着一系列法律文件相继出台，构建一套比较完善的数据保护制度体系。

（2）美国：分散立法模式

数据的使用涉及隐私问题，而美国是世界上最早提出并通过法规对隐私权予以保护的国家。在传统法上也坚持告知与许可原则，将包括隐私在内的个人数据视为一项财产权。1970年公布的《联邦公平信用报告法》被认为是美国个人数据保护的开端；美国相继制定了《隐私法案》、《电子通讯隐私法案》及《网上儿童隐私权保护法》。除了《隐私法案》，联邦和各州就具体类型的个人信息进行了分别立法，构建起美国特色的分散立法模式。在金融法领域，美国制定了与个人信息保护相关的《公平信用报告法》、《金融隐私权法》、《金融服务现代化法案》等法律，也包括消费者隐私权法案。1994年的《金融隐私权利法》、《电子转账法》等都对信息处理进行了明确的规定。

（3）中国的相关规定

从法律规定来看，个人信息受到法律保护已成共识。根据《民法典人格权编》第一千零三十四条规定，自然人的个人信息受法律保护。2016年《中华人民共和国网络安全法》针对网络信息安全提出一系列的措施。《侵权责任法》对侵犯一般隐私权进行了救济上的规定。

在金融领域方面，2011年《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》中第一次定义个人金融信息。《反洗钱法》、《商业银行法》、《证券法》、《保险法》、《银行监督管理法》等都要求金融机构在违法时承担法律责任。同时《数据安全管理办法》、《个人信息出境安全评估办法》以及2020年《信息安全技术个人信息安全规范》等规定陆续出台，进一步维护数据安全问题。

2.2 数据跨境流转问题的法律规定

1995年，欧盟《95指令》第25条确立了“充分保护原则”，明确数据流向的目的国必须达到欧盟认可的充分保护水平。该指令将人权保护放置在极高的位置上，通过数据跨境流动的规则指引以充分保障欧洲公民的人权。GDPR对数据的跨境流动做出了严格的限制，要求数据接收国或地区要确保达到充分水平的保护标准。

1999年美国《金融服务现代化法》第五章对公民隐私权的保护专门进行了规制，明确了金融隐私保护的五项基本原则。2017年美国纽约州金融服务部率先通过了全美境内首部针对金融机构的网络安全法规《23 NYCRR 500》，要求银行、保险公司和受金融服务部监管的其他机构实施保护消费者数据的网络安全计划，定期评估相关风险，建构了最低的安全要求框架。

中国《网络安全法》首次明确了我国数据跨境流动的管理政策，其中第三十七条要求个人信息要在我国境内存储。2019年6月13日，网信办发布了《个人信息出境安全评估办法（征求意见稿）》，对个人信息出境的评估做出了具体规定。第2条强调，经安全评估认定个人信息出境可能影响国家安全、损害公共利益，或者难以有效保障个人信息安全的，不得出境。

3 数据安全保护与利用的法律问题

随着大数据技术的发展，欧盟与美国关于金融数据的跨境流动的立法模式是不同的，采取了近乎相反的法律对策。从立法上，欧盟（不包括英国）坚持认为，个人数据更具保护价值，将个人数据视为基本人权。因而内容上更加关注对私人领域的个人信息保护。而各成员国中，通过国家综合立法确立相关的个人信息保护的原则、具体制度和措施。然而，美国为充分利用大数据促进社会经济发展的优势，美国政府更倾向于以改良的法律规则和政策框架保护隐私权的同时，促进大数据技术的运用。具体看，欧盟、美国关于金融数据的跨境流动规则，如下：

欧盟针对银行金融数据的跨境流动规制，仍以GDPR主导下的个人数据保护规则为主，整体上推行“人权与隐私保护先行”与严格监管框架下的银行金融数据共享机制，并未突出对传统金融监管一般价值目标的追求，并少有明确的特殊监管规则。与欧盟不同，美国政府和业界反对严苛立法规范个人数据处理行为，认为强硬的法律结构会“不可避免地阻碍商业活动”。美国在风险可控的前提下，仍希望最大程度地实现数据自由流动。在双边或多边协定中加入金融数据跨境流动条款。

总而言之，欧盟机制过于侧重数据流动过程中的个人隐私保护，与贸易全球化趋势产生了冲突。与此相反，美国要求数据控制机构应遵守个人数据保护的规则，但容易出现监管者对数据控制机构管理不到位的情况。中国对于数据跨境流动的规制起步较晚，尚未形成系统化的数据跨境流动规则，部分关于数据和数据跨境流动的规则散见于各规范性文件之中。

4 完善建议

新兴技术冲击原有的法律制度框架，“不破不立”，因而思考在法律层面上促进金融数据安全。在金融创新的大趋势背景下，技术的领先带来法律制度的发展，中国应坚持采取自己的模式和规则，模仿其他国家的发展模式显然是不够完善的。对于金融数据安全问题，坚持数据保护为主、促进数据利用，统一于促进金融活动的模式。其次，分类统合金融数据，并在数据流转阶段提出差异化管理措施。基于不同金融数据类别，采取不同严格程度的措施。

4.1 坚持以数据保护为主、促进数据利用的立法模式

上述各国相关规定中，欧盟采取强化人权保护、数据保护的模式，而美国则相对宽松，在许可数据使用的情况下，分散立法规定违反义务的情形。中国在充分借鉴其他国家的立法模式上，考虑本国的立法模式。虽然目前中国并未形成统一完备的金融数据法律规定，但就金融革新而言，中国处在创新的前端。技术的领先发展，带来了法律制度的变更。目前，中国面对更加开放的金融环境，促使金融市场迅速发展。法律从来不应该阻碍技术的发展，相反，而应助力技术的发展。因而金融数据安全应坚持以数据保护为主，但并不做过多的限制，避免出现欧盟因为限制过多而发展受阻的情形。倘若将数据推崇至人权的范围内，这是不可取的。另外，促进数据利用，则是体现在上述差异化措施中，坚持促进金融活动发展、金融交易高效运转。

4.2 分类统合金融数据

2020年《信息安全技术个人信息安全规范》对个人信息、个人敏感信息、个人生物识别信息、未满14周岁未成年人的个人信息进行了不同的规定。可以看出，将个人信息进行分类化，最根本的底线在于维护国家的公共利益。因而在金融数据领域，参考借鉴此种做法，实现在大数据时代下的有效保护和监管。数据流转阶段提出差异化管理措施，基于不同金融数据类别，采取不同严格程度的措施。将金融数据做出不同层别的分类，考虑因素包括使用主体、使用内容、使用目的等等，按照金融数据的重要程度和敏感程度分别规定。

首先，将金融数据按照重要性和敏感性进行划分，从使用主体上，考虑不同金融机构使用信息的授权范围；从使用内容上，明确数据授权方的授权范围，超越权限范围是否需要进行再一次的同意许可，以及数据使用方处于数据授权方的监督下；从使用目的上，明确数据收集利用的目的，同时按照风险路径进行分析。最重要的监管措施就是透明化，数据使用方进行流转数据或存储数据，涉及第三方，则明确列明所有的第三方信息，让数据流转阶段更加清晰可见、有迹可循。

其次配套实施各项措施。基于金融数据的类型区别，按照不同的严格程度对金融数据进行监管。例如，对于个人信息与未满14周岁的未成年人信息，规制是不一样的。对于重要性和敏感性低的金融数据，在数据流转阶段采取较为宽松的规则，促进金融交易的效率。对于重要性和敏感性高的金融数据，双重许可或者超出使用权限后进行重新许可等等。对于特别规定的金融数据，涉及国家公共安全和利益，对于金融数据的使用问题做出差异的规定。

[1]杨松，张永亮.金融科技监管的路径转换与中国选择[J].法学，2017（08）：3-14.

[2]廖凡.论金融科技的包容审慎监管[J].中外法学，2019，31（03）：797-816.

[3]吴沈括，李京北：欧盟理事会关于《一般数据保护条例》施行的最新立场[EB/OL]，（2020-06-06）[2020-08-06].https://mp.weixin.qq.com/s/m4B4XQjgxHIDhnb-5rRISg.

[4]何颖.数据共享背景下的金融隐私保护[J].东南大学学报（哲学社会科学版），2017，19（01）：85-91+144.

[5]吴沈括，霍文新.欧盟GDPR与数据跨境问题分析[J].中国信息安全，2018（07）：31-33+37.

[6]王远志.我国银行金融数据跨境流动的法律规制[J].金融监管研究，2020（01）：51-65.

[7]辜明安，王彦.大数据时代金融机构的安全保障义务与金融数据的资源配置[J].社会科学研究，2016（03）：76-82.

[8]张继红.论我国金融消费者信息权保护的立法完善——基于大数据时代金融信息流动的负面风险分析[J].法学论坛，2016，31（06）：92-102.

[9]洪延青.透析金融数据保护的美欧中立法要点和趋势[J].中国银行业，2018（11）：39-42.

[10]刘绍新.全球化背景下的个人数据跨境流动[J].中国金融，2019（23）：68-70.