全球金融數(shù)據(jù)跨境流動(dòng)呈現(xiàn)多種模式

文/孫祁 謝坤潮

數(shù)字信息技術(shù)一日千里，數(shù)字金融發(fā)展迅捷，金融數(shù)據(jù)由于蘊(yùn)含巨大價(jià)值很容易成為網(wǎng)絡(luò)攻擊的重要目標(biāo)。今年，著名的云基礎(chǔ)架構(gòu)廠商VMware對(duì)全球130名金融部門首席信息安全官和安全領(lǐng)導(dǎo)者進(jìn)行的調(diào)查顯示，過(guò)去的一年中，66%的金融機(jī)構(gòu)經(jīng)歷過(guò)以商業(yè)機(jī)密竊取為目的的攻擊；74%的受訪金融機(jī)構(gòu)在過(guò)去一年中至少經(jīng)歷過(guò)一次勒索軟件攻擊；30%的機(jī)構(gòu)經(jīng)歷了多次勒索攻擊，其中超過(guò)六成選擇支付贖金。

當(dāng)前，全球金融數(shù)字化轉(zhuǎn)型已經(jīng)進(jìn)入關(guān)鍵階段，銀行業(yè)金融機(jī)構(gòu)的業(yè)務(wù)數(shù)據(jù)已成為本質(zhì)、核心、關(guān)鍵的生產(chǎn)要素。銀行業(yè)金融機(jī)構(gòu)正通過(guò)對(duì)業(yè)務(wù)數(shù)據(jù)的匯集、分析與挖掘，不斷提高經(jīng)營(yíng)效率，提升客戶服務(wù)水平，實(shí)現(xiàn)業(yè)務(wù)創(chuàng)新、產(chǎn)品創(chuàng)新和服務(wù)創(chuàng)新。銀行業(yè)金融機(jī)構(gòu)的數(shù)據(jù)安全關(guān)系到金融行業(yè)的資金安全以及大數(shù)據(jù)時(shí)代為數(shù)據(jù)的增值分析、利用而帶來(lái)的衍生價(jià)值。數(shù)據(jù)安全是銀行當(dāng)前業(yè)務(wù)穩(wěn)定運(yùn)行和創(chuàng)新發(fā)展的迫切需要。當(dāng)前，金融數(shù)據(jù)安全已不再是行業(yè)內(nèi)部的自律性要求，而是全方位、多層次、立體化的數(shù)據(jù)安全建設(shè)體系。金融數(shù)據(jù)安全也不再是金融機(jī)構(gòu)個(gè)體單獨(dú)發(fā)展防御風(fēng)險(xiǎn)的保障，它正在成為地域經(jīng)濟(jì)、國(guó)際經(jīng)濟(jì)是否呈現(xiàn)良性健康態(tài)勢(shì)與轉(zhuǎn)型的關(guān)鍵因素之一。

然而，從全球范圍看，金融數(shù)據(jù)安全的維護(hù)與監(jiān)管呈現(xiàn)出多種模式，除美國(guó)的內(nèi)外二元化規(guī)制模式外，歐盟強(qiáng)隱私保護(hù)與接收地信息安全評(píng)估模式，以及新興經(jīng)濟(jì)體注重?cái)?shù)據(jù)主權(quán)安全，采用普遍限制路徑模式值得深入研究。

歐盟模式：強(qiáng)隱私保護(hù)與接收地信息安全評(píng)估

在歷史傳統(tǒng)影響下，與經(jīng)濟(jì)發(fā)展相比，歐盟更強(qiáng)調(diào)保護(hù)個(gè)人數(shù)據(jù)權(quán)利，認(rèn)為不能以犧牲公民隱私權(quán)為代價(jià)促進(jìn)經(jīng)濟(jì)發(fā)展。因此，歐盟在數(shù)據(jù)跨境流動(dòng)規(guī)制方面，把保護(hù)個(gè)人權(quán)利作為首要原則。歐盟金融數(shù)據(jù)跨境流動(dòng)規(guī)制模式主要表現(xiàn)在兩個(gè)方面：

第一，歐盟內(nèi)部法案涉及金融數(shù)據(jù)跨境流動(dòng)規(guī)制。目前，歐盟數(shù)字監(jiān)管政策主要涵蓋《一般數(shù)據(jù)保護(hù)條例》（GDPR）、《歐盟非個(gè)人數(shù)據(jù)自由流動(dòng)條例》《歐盟電子隱私保護(hù)條例》和《歐盟電子身份框架》等。對(duì)個(gè)人金融數(shù)據(jù)的跨境流動(dòng)規(guī)制，歐盟仍以GDPR的個(gè)人數(shù)據(jù)保護(hù)規(guī)則為主。根據(jù)2019年度《GDPR執(zhí)法案例精選白皮書》，自GDPR生效以來(lái)，歐盟已經(jīng)對(duì)超過(guò)22個(gè)國(guó)家和地區(qū)作出處罰，其中有6起就發(fā)生在金融領(lǐng)域。這些處罰多與個(gè)人金融數(shù)據(jù)相關(guān)，充分體現(xiàn)了GDPR對(duì)個(gè)人權(quán)利保護(hù)的重視。

第二，歐盟簽署的自貿(mào)協(xié)定涉及金融數(shù)據(jù)跨境流動(dòng)規(guī)制。無(wú)論是《歐盟—智利自貿(mào)協(xié)定》(2005)，還是《歐盟—韓國(guó)自貿(mào)協(xié)定》（2015）、《歐盟—加拿大自貿(mào)協(xié)定》（2016）、《歐盟—新加坡自貿(mào)協(xié)定》（2019）、《歐盟—日本經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（2019）以及《歐盟—越南自貿(mào)協(xié)定》（2020），在金融數(shù)據(jù)跨境流動(dòng)條款中均包含兩方面內(nèi)容：金融機(jī)構(gòu)日常經(jīng)營(yíng)數(shù)據(jù)可跨境流動(dòng)、締約方需保護(hù)個(gè)人隱私。歐盟希望在保障個(gè)人隱私的前提下實(shí)現(xiàn)金融數(shù)據(jù)跨境自由流動(dòng)。對(duì)于涉及個(gè)人隱私的金融數(shù)據(jù)，歐盟希望給予充分保護(hù)；對(duì)于不涉及個(gè)人隱私的金融數(shù)據(jù)，根據(jù)《歐盟非個(gè)人數(shù)據(jù)自由流動(dòng)條例》的相關(guān)規(guī)定，其限制性相對(duì)較少。

可見，美歐的金融數(shù)據(jù)流動(dòng)總體上呈現(xiàn)出開放和自由的趨勢(shì)，但這樣的自由并非無(wú)條件、無(wú)限度，也絲毫不會(huì)削弱其對(duì)公民個(gè)人隱私的保護(hù)。無(wú)論是美國(guó)在國(guó)際法上對(duì)數(shù)據(jù)自由流動(dòng)的主張還是歐盟對(duì)內(nèi)部金融信息流動(dòng)的保障，抑或是前者通過(guò)國(guó)家安全審查限制數(shù)據(jù)出境和后者對(duì)公民隱私權(quán)的強(qiáng)力保護(hù)；歸根結(jié)底，各國(guó)都是基于自身數(shù)據(jù)保護(hù)能力和數(shù)字經(jīng)濟(jì)發(fā)展的國(guó)家利益來(lái)設(shè)計(jì)數(shù)據(jù)流動(dòng)規(guī)則，從而確保自身所重視的價(jià)值利益被妥善平衡。

當(dāng)前，域外數(shù)據(jù)立法試圖以規(guī)制的方式尋求“金融數(shù)據(jù)跨境自由流動(dòng)”同“金融數(shù)據(jù)保護(hù)”兩者之間的平衡。

新興經(jīng)濟(jì)體模式：注重?cái)?shù)據(jù)主權(quán)安全，采用普遍限制路徑

值得注意的是，俄羅斯、印度尼西亞、越南等新興經(jīng)濟(jì)體國(guó)家對(duì)金融數(shù)據(jù)跨境流動(dòng)采取“普遍限制”的規(guī)制路徑,要求金融機(jī)構(gòu)核心系統(tǒng)本地化和金融數(shù)據(jù)在本地存儲(chǔ)。

根據(jù)俄羅斯金融數(shù)據(jù)本地化存留制度的規(guī)定，將數(shù)據(jù)轉(zhuǎn)出俄羅斯之前，金融數(shù)據(jù)處理人必須確保接收國(guó)對(duì)個(gè)人數(shù)據(jù)提供足夠的保護(hù)，金融數(shù)據(jù)接收人所在國(guó)應(yīng)為《個(gè)人數(shù)據(jù)自動(dòng)化處理中的個(gè)人保護(hù)公約》（以下簡(jiǎn)稱“公約”）締約國(guó)。

2018年，俄羅斯更新了被官方認(rèn)可為“確保充分保護(hù)”的國(guó)家名單，除公約成員國(guó)以外，截至目前還有26個(gè)國(guó)家被列入“白名單”。但如果處理人向無(wú)法提供同等保護(hù)的境外主體轉(zhuǎn)移個(gè)人資料，必須滿足以下條件之一：（1）取得數(shù)據(jù)主體的書面同意；（2）俄羅斯聯(lián)邦參加的國(guó)際條約關(guān)于簽證事宜另有規(guī)定的，以及國(guó)際條約中涉及提供民事、家庭和刑事案件司法協(xié)助事宜另有規(guī)定的；（3）基于保護(hù)俄羅斯聯(lián)邦憲法制度、保障國(guó)家安全目的所需；（4）履行數(shù)據(jù)主體作為一方當(dāng)事人的合同要求；（5）在不能取得個(gè)人數(shù)據(jù)主體的書面形式同意時(shí)，為保護(hù)其或者他人的生命、健康、其他重大生存利益……

因此，俄羅斯以維護(hù)金融數(shù)據(jù)安全為著眼點(diǎn)，確立了以金融數(shù)據(jù)本地化作為數(shù)據(jù)跨境流動(dòng)的監(jiān)管措施，其目的是保障數(shù)據(jù)主權(quán)與信息安全。

俄羅斯推行嚴(yán)格的金融數(shù)據(jù)存儲(chǔ)本地化措施，要求在俄羅斯產(chǎn)生的金融數(shù)據(jù)只能在俄羅斯境內(nèi)存儲(chǔ)與使用，禁止向境外傳輸和從境外訪問(wèn)，拒絕數(shù)據(jù)國(guó)際共享，一定程度上限制了金融數(shù)據(jù)跨境流動(dòng)。俄羅斯雖然通過(guò)極端的保護(hù)措施維護(hù)了國(guó)家利益，但也制約了金融數(shù)據(jù)跨境流動(dòng)所帶來(lái)的經(jīng)濟(jì)和社會(huì)利益。

盡管美歐一直對(duì)新興經(jīng)濟(jì)體采取的上述政策多加指責(zé)，但金融核心系統(tǒng)本地化和金融數(shù)據(jù)本地存儲(chǔ)是兩個(gè)性質(zhì)不同的問(wèn)題，必須分別探討規(guī)制限度的合理性：首先，金融核心系統(tǒng)本地化的規(guī)制措施與這些國(guó)家的金融市場(chǎng)發(fā)展?fàn)顩r、對(duì)外資金融機(jī)構(gòu)的監(jiān)管手段和監(jiān)管科技發(fā)展程度息息相關(guān)，屬于一國(guó)金融規(guī)制的自主權(quán)利。金融機(jī)構(gòu)的核心系統(tǒng)在物理上體現(xiàn)為存儲(chǔ)或處理金融數(shù)據(jù)的計(jì)算機(jī)基礎(chǔ)設(shè)施，也即通常所說(shuō)的數(shù)據(jù)中心。要求核心系統(tǒng)本地化是對(duì)外資金融機(jī)構(gòu)的業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)防范進(jìn)行監(jiān)管的首要方式，同時(shí)也是金融機(jī)構(gòu)安全穩(wěn)健運(yùn)營(yíng)的前提基礎(chǔ)，不規(guī)制的代價(jià)相比規(guī)制的成本而言要高昂得多。其次,對(duì)于要求金融機(jī)構(gòu)在境內(nèi)存儲(chǔ)金融數(shù)據(jù)的規(guī)制措施，則是國(guó)際上通常從服務(wù)貿(mào)易角度探討的數(shù)據(jù)跨境流動(dòng)問(wèn)題。若禁止基于業(yè)務(wù)需求跨境傳輸金融數(shù)據(jù)，確實(shí)會(huì)對(duì)金融機(jī)構(gòu)為客戶提供金融服務(wù)產(chǎn)生影響甚至降低其競(jìng)爭(zhēng)力。此外，由于數(shù)據(jù)并不是稀缺資源，要求核心系統(tǒng)本地化并不妨礙在一定條件下允許金融機(jī)構(gòu)跨境傳輸開展業(yè)務(wù)所必需的金融數(shù)據(jù)。

綜上，隨著全球數(shù)字科技與金融服務(wù)的深度融合，金融數(shù)據(jù)跨境流動(dòng)已形成不可逆趨勢(shì)。當(dāng)前，域外數(shù)據(jù)立法試圖以規(guī)制的方式尋求“金融數(shù)據(jù)跨境自由流動(dòng)”同“金融數(shù)據(jù)保護(hù)”兩者之間的平衡。世界各國(guó)金融數(shù)據(jù)經(jīng)歷了從“絕對(duì)本地化要求”到“有條件跨境流動(dòng)”的過(guò)程，但金融數(shù)據(jù)跨境流動(dòng)規(guī)制面臨多重困境。金融數(shù)據(jù)的跨境流動(dòng)需要平衡的利益較多：一是金融數(shù)據(jù)往往包含較多的個(gè)人和機(jī)構(gòu)客戶信息，敏感性較高、隱私性較強(qiáng)，其流動(dòng)必須保證在一國(guó)范圍內(nèi)充分保障信息的安全。二是金融機(jī)構(gòu)沉積了海量的客戶數(shù)據(jù)，網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等事件都可能會(huì)導(dǎo)致國(guó)家的金融安全和穩(wěn)定受到嚴(yán)重破壞。三是金融數(shù)據(jù)的跨境流動(dòng)能夠創(chuàng)造巨大的經(jīng)濟(jì)價(jià)值，這對(duì)于數(shù)字經(jīng)濟(jì)的發(fā)展、經(jīng)濟(jì)全球化的推進(jìn)具有重要意義，數(shù)據(jù)流動(dòng)的規(guī)制應(yīng)明確，但不能沒(méi)有上限。四是金融機(jī)構(gòu)的經(jīng)營(yíng)單元呈現(xiàn)出全球配置的趨勢(shì)，資金流、信息流具有全球流動(dòng)的需要，合理規(guī)制金融數(shù)據(jù)跨境流動(dòng)，對(duì)于國(guó)外金融機(jī)構(gòu)參與金融市場(chǎng)建設(shè)，擴(kuò)大金融開放，具有重要意義。因此，需要以金融數(shù)據(jù)跨境流動(dòng)規(guī)則為突破口，樹立動(dòng)態(tài)的金融數(shù)據(jù)價(jià)值觀, 并不斷細(xì)化金融數(shù)據(jù)跨境流動(dòng)具體規(guī)制措施，在現(xiàn)行法律體系框架下積極尋求和探索綜合且多元的金融數(shù)據(jù)保護(hù)路徑。