原創 江翔宇課題組 上海市法學會
江翔宇 上海市法學會金融法研究會理事,上海金融業聯合會金融法治研究會理事,上海市協力律師事務所資深顧問,法學博士;
富曉行 上海市法學會金融法研究會會員,上海交通大學金融MBA,原中海信託風險控制經理。
一、問題的背景
近年來隨著「稜鏡門事件」、Google愛爾蘭案、「滙豐銀行案」等網絡與數據安全事件的頻繁發生,各國對數據出境安全高度重視,不斷加強立法保護數據出境安全管控。目前以歐盟、美國、亞太經合組織為代表的世界主流國家和國際組織已經形成較為完備的數據出境管理制度體系。
隨著中國金融市場國際化進程的推進,越來越多的國際金融機構在中國利用母國的信息基礎設施開展業務,中國的金融機構也在金融開放過程中不斷走出去,個人數據出境與入境成為常態。傳統的以保護本國範圍內個人信息權利為重點的金融數據立法,必然面對金融全球化時代個人數據跨境流動的考驗。2017年《網絡安全法》的頒布實施首次提出數據出境安全管理要求,之後中國又起草了多部相關立法。金融監管部門的理念也在迅速變化,2020年3月23日中國證監會在發給美國高盛集團子公司的《關於核准高盛高華證券有限責任公司變更控股股東的批覆》中罕見地指出「你公司應當嚴格落實《網絡安全法》《證券法》有關規定,加強對證券業務數據及投資者個人信息跨境流動的合規管理,切實保護投資者合法權益,保障重要信息系統及網絡安全穩定運行」,明確了金融機構在個人信息保護方面不再像以往主要依據金融法律執行客戶信息保護要求,而是要把國家關於數據和個人信息保護的專門立法作為合規依據。金融市場也經常遇到交易數據和客戶數據能否以及如何出境的問題,因為立法的缺乏,監管部門基本上都持有非常謹慎的態度,避免給出明確的意見。
按照數據監管的關注點,金融數據可以分為個人金融數據、金融重要數據與其他金融數據三個部分,其中個人金融數據和重要金融數據受特別立法規制,適用特別的監管要求,其他金融數據則主要適用一般性的數據監管法律規定。金融行業對於數據保護有天然的重視,與其他領域相比,金融行業對數據的保護無論是理念還是措施可以說都早於並強於其他領域。因為涉及個人的資產安全,金融行業形成之初就對金融機構的保密義務提出了較高要求(金融數據基本上都可以納入「敏感信息」範圍),金融監管部門亦一直將保密義務作為金融監管的重點。這一點在大數據時代之前就已經形成,例如,金融機構被要求對客戶的身份資料、帳戶信息、交易信息等予以保密,除法規另有規定外,不得對外提供或允許查詢。中國人民銀行也從金融消費者權益保護的角度強調個人信息/數據保護。
但是這些對金融機構客戶資料的保密傳統以及金融消費者的權益保護安排,與大數據時代對客戶信息和數據的保護處於不同的維度。傳統金融服務下客戶資料保密要求是基於非大數據時代的客戶隱私和商業秘密保護理念,更多是靜態化。進入大數據時代以後,客戶資料普遍要實現信息化和數位化,對客戶資料的保密傳統和對金融消費者的保護也必然延伸到對客戶金融信息和數據的保護層面。在進行數據傳統安全保障的同時,大數據時代金融數據的共享和使用對於金融業的業務開展、風險控制等具有越來越大的意義,即數據驅動的人工智慧將發揮越來越大的商業價值,只有融入大數據和人工智慧時代下的數據保護理念,落實個人金融信息的保護,才能進一步合規使用、共享數據,實現數據的生產要素作用。金融數據的跨境流通以及保護不再僅僅是金融機構的對於消費者信息保護以及合規要求,也是基於上海作為國際金融中心競爭力以及我國國家安全和公眾權益的保護需求。
本文對於金融數據的定義如下:金融數據是指金融業機構通過提供金融產品和服務或者其他渠道獲取、加工和保存的個人信息,包括帳戶信息、鑑別信息、金融交易信息、個人身份信息、財產信息、借貸信息及其他反映特定個人某些情況的信息。
本文對於跨境流動的定義如下:是指網絡運營者將在一個國家或地區運營中收集和產生的個人信息和重要數據,提供給位於另一法域國家或地區的機構、組織、個人。
二、國際組織對於跨境金融數據流動的相關政策規定
(一)聯合國
早在1990年的時候,聯合國在《計算機處理的個人數據文檔規範指南》(《Guidelines for the Regulation of Computerized Personal Data Files》)中第9條即規定:「當兩個或更多國家關於跨境數據流通的立法提供了互惠的隱私保護措施時,應當確保信息能夠以在一國境內流通的狀態在不同國家之間自由流通。如果沒有相應的互惠保障,對國境之間流轉的限制應當合理,且僅限於隱私保護的需要。」
聯合國對於數據跨境流通秉持較為開放的態度,支持兩國或多國的立法提供了互惠保護的前提下開展數據跨境流通,而即使沒有相關的立互惠保障,對於數據跨境流通也只能基於隱私保護的需要進行合理限制。但該指南本身僅為原則性的指導,並未提出有操作性的原則與框架。
(二)經濟合作與發展組織
1980年,經濟合作與發展組織(以下簡稱「OECD」)出臺了《隱私保護和個人數據跨境流通指南》(《OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 1980》,以下簡稱「OECD1980年指南」),將個人數據跨境流通定義為「個人數據跨越國家邊境流動」,並明確個人數據的跨境流動有利於經濟和社會發展,應促進數據在成員國之間的自由流動。
其中第三部分為數據自由流通和合法限制的原則(第15-18條),主要包括四項:
(1)成員國應當考慮對其他國家的國內數據處理和個人數據再出口的影響。
(2)成員國應當採取合理和適當的措施確保個人數據跨境(包括成員國之間)流通的通暢和安全。
(3)除非其他成員國沒有實質性的遵守本指南或者再出口個人數據將違反國內隱私立法,成員國對於成員國與其他成員國之間的個人數據跨境流通的限制應當採取克制態度。成員國可以基於國內隱私立法(包括特殊條例)對某些個人數據的性質和其他國家沒有提供對等保護的規定,對某些類型的個人數據的跨境流通施以限制。
(4)成員國不得以保護隱私和個人自由的名義制定可能會超出其保護要求的妨礙個人數據跨境流通的法律、政策和操作準則。
2007年6月,OECD在OECD1980年指南的基礎上,通過了《隱私保護及跨境合作執行建議》(Recommendation on Cross-border Co-operation in the Enforcement of Laws Protecting Privacy)。該建議要求成員國執行跨境合作執行隱私保護相關法律時,應採取以下適當措施:(1)改善國內隱私法規執行架構,以便於本國主管機關與外國相應機關的合作;(2)建構有利於執行跨國合作隱私保護法規的有效國際機制;(3)在執行上述法規時,應相互提供協助,包括通知、申訴、協助調查以及在適當安全保護措施基礎上共享信息;(4)與利害相關方進行有利於上述法規執行的討論及交流。
2013年,OECD對OECD1980年指南進行了一次全面修訂,形成了《隱私保護和個人數據跨境流通指南》(《OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 2013》,以下簡稱「OECD2013年指南」)。其中,原第三部分數據自由流通和合法限制的原則調整為第四部分,其內容更新主要強調了三點:(1)進一步強調數據控制在對其控制的個人數據的管理與保護責任,無論數據儲存於何處。(2)進一步放寬對於個人數據跨境流通的限制,要求各成員國對於限制個人數據跨境流通保持克制態度。(3)要求對於個人數據跨境流通的限制應當考慮數據的敏感度、流通目的和處理環境,以確保與可能的風險成比例。
OECD對於成員國內部的數據跨境流通總體持較為開放的態度,在最初的OECD1980年指南重即要求各國對成員國之間的個人數據跨境流通限制採取克制態度,在後期的修改中更是要求進一步放寬限制,但同時也要求數據控制人對於數據的管理保護責任,並確立了數據跨境流通的限制與風險成比例原則。
(三)亞太經濟合作組織
2013年,亞太經濟合作組織(以下簡稱「APEC」)通過了《跨境隱私規則體系》(《Cross Border Privacy Rules System》,以下簡稱「CBPR」)。CBPR旨在「確保個人信息跨國界自由流動的同時,為個人信息的隱私與安全建立有意義的保護」,要求「各國政府應確保跨境數據傳輸不存在不合理的障礙,同時應在國內以及與外國政府合作在國際上保護其公民個人信息的隱私和安全。」
從APEC的成立情況以及歷史沿革來看,美國在APEC內部始終處於主導地位。因此,APEC關於數據跨境流通的要求與美國鼓勵個人數據自由流動的思路是一致的,要求各成員國確保跨境數據傳輸不存在不合理的障礙。
(四)歐洲委員會
歐洲委員會(Council of Europe)在1981年於斯特拉斯堡通過了《個人數據自動化處理中的個人保護公約》(《Convention for the Protection of Individuals With Regard to Automatic Processing of Personal Data》,以下簡稱「108號公約」)。1999年,歐洲理事會針對108號公約進行了首次修訂;2001年,歐洲委員會對這一公約進行了補充,加入了《有關監管機構和跨境數據流通的附加協定》;2012年,歐洲理事會進一步針對公約進行修訂,去掉了針對「個人數據處理」中的「自動化」限定,擴大了《公約》的適用範圍;2018年,烏拉圭與20個歐洲理事會成員國籤署了一項歐洲理事會條約,作為《公約》的修訂議定書。在最初版的108號公約中,要求締約國不能僅僅因為隱私保護的目的而禁止個人數據跨境流通或增設審批程序,但基於特定類型的個人數據國內立法要求或經締約國中介流向非締約國的情況例外。而在最新版本的108號公約中,排除了原本的兩種例外情況,締約國僅在受到區域性國際組織統一保護規則的情況下例外,並增加了在保證數據接受者對個人數據保護水平適當性的前提下,締約國可以向非締約國傳輸數據的規定,且對於個人數據保護水平的要求做出了具體規定。
(五)歐洲聯盟
1995年,歐洲聯盟(以下簡稱「歐盟」)發布了《關於涉及個人數據處理的個人保護以及此類數據自由流通的第95/46/EC號指令》(《Directive 95/46/EC of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data》,以下簡稱「數據保護指令」)。數據保護指令的第四章規定了向第三國轉移個人數據的相關要求,即不影響依照數據保護指令指定的國內法,以及數據接受國能夠提供「充分的保護水平」。而即使在為滿足上述前提的條件下,成員國依舊可以通過數據主體明確同意、為重大公共利益必須等例外情形進行轉移。
在數據保護指令的基礎上,2016年歐洲聯盟通過了《統一數據保護條例》(《General Data Protection Regulation》,以下簡稱「GDPR」)。GDPR在第1條中,即明確了個人數據在歐盟境內的自由流通不得因為保護自然人而被限制和禁止。而針對數據控制者向歐盟以外的第三國或國際組織,或者再次將數據轉移至另一個第三國或國際組織,GDPR規定了三種情形:
1.如果轉移目的國或國際組織經歐盟委員會認定達到充分標準,則進入了白名單,向該國或國際組織進行數據轉移無需特別授權。
2.數據控制者已採取了適當的保障措施,且數據主體能夠行使權利和獲得司法救濟。具體包括具有約束力的集團企業規則(Binding Corporate Rules,以下簡稱「BCR」)、符合歐盟頒布的標準合同條款(Standard Contractual Clauses,以下簡稱「SCC」)、符合歐盟批准的行為準則(CSA Code of Conduct)以及經批准的認證機制(certification mechanism)、封印或者標識。
3.其他特殊情況,例如數據主體明確知情並同意,是履行數據主體與數據控制者間合同所必需的特殊情況,或非重複進行、只涉及有限數據主體、為數據控制者追求合法法益並且提供了適當的措施。
108號公約和GDPR對於數據跨境流通的相關規定存在明顯的承繼關係。一方面,歐盟也倡導個人數據在歐盟境內的自由跨境流通,要求不得增設相關的限制和禁止;另一方面,歐盟對於歐盟內部個人數據的對外(即第三國或國際組織)轉移保持著非常克制的態度,並建立了白名單+標準合同+內部準則+例外的合規框架。這是目前世界上唯一一個規範成員國對外數據跨境流轉的合規框架。該框架目前被世界各國所廣泛承認,各國家及地區採取積極的立法行動,以謀求加入歐盟白名單,例如美國的安全港/隱私盾協議、英國的《數據保護法案》、新加波的《個人數據保護法》、杜拜的《杜拜國際金融中心數據保護法》等,都採用了這個框架。
總體來看,國際組織對於成員國間的跨境金融數據均持開放態度,希望通過暢通的數據跨境渠道進一步加強數據的流通效率,但對於數據對外跨境則較為謹慎。歐盟的GDPR提供了目前唯一的對外跨境合規框架並大力推廣,對多個國家和地區的立法產生了顯著影響。
三、國家與地區對於跨境金融數據流動的相關政策規定
(一)美國
美國在個人數據保護方面,採取了分行業的保護模式,對於金融數據保護立法相對完善。從立法來看,最早的是1970年頒布的《銀行保密法》(《Bank Secrecy Act》)和《公平信用報告法》(《Fair Credit Reporting Act》,以下簡稱「FCRA」),之後是1999年頒布的《金融服務現代化法案》(《Gramm-Leach-Bliley Act The regulation》,以下簡稱「GLBA」),2003年美國在FCRA的基礎上修訂頒布了《公平正確信用交易法》(《Fair and Accurate Credit Transactions Act》,以下簡稱「FACTA」),2010年又頒布的《多德-弗蘭克法案》(《Dodd-Frank Wall Street Reform and Consumer Protection Act》)和《金融消費者保護法》(《Consumer Financial Protection ACT》,以下簡稱「CFPA」)。總體來說,目前美國的金融數據的管理監管主要依託於GLBA、FACTA和多德-弗蘭克法案。對於境內個人金融信息流動的監管,美國採取了「形式監管」的原則,即通過定義個人金融信息流動的法律邊界,從而理清個人金融信息得以合法流動的範圍,而超出該邊界與範圍的個人金融信息流動取決於信息主體的選擇,即用戶對此具有「否決權」(Opt-Out)。GLBA 規定,金融機構與其關聯機構之間可以自由、無礙地開展個人金融信息的流動,而與非關聯機構之間的個人金融信息的流動則需要取得用戶的同意,並向其提供「否決」個人金融信息流動的機會。
美國對於跨境個人金融信息的流動持有頗為矛盾的態度。一方面,美國基於其經濟與政治方面的考慮,一直鼓勵個人金融信息在全球範圍內自由流動。另一方面,出於維護國家安全和美國公民個人權益的考量,美國也限制美國公民個人金融信息的跨境流出。但這一行為顯然有悖於其鼓勵個人金融信息在全球範圍內自由流動的立場,因此美國通過外商投資安全審查,來貫徹其限制個人金融信息跨境流動的政策。
2007年,美國頒布了《外國投資與國家安全法》(《the Foreign Investment and National Security Act》,以下簡稱「FINSA」)。而2018年美國出臺了《外國投資風險審查現代化法案》(《Foreign Investment Risk Review Modernization Act》,以下簡稱「FIRRMA」)。通過FINSA和FIRRMA,美國外國投資委員會(the Committee on Foreign Investment in the United States,以下簡稱「CFIUS」)有權審查對於「任何擁有、運營、生產或提供關鍵基礎設施或為該等設施提供服務」的投資,以及對於「維護和收集美國公民個人敏感信息,且可能以威脅美國國家安全的方式利用該等個人信息」的投資,即便前述投資未達到控制的標準。其中,該等投資是否有可能導致外國政府擁有對美國開展濫用公民個人信息等「惡意的網絡活動」(malicious cyber-enabled activities)的能力則是重點審查內容。
在限制美國公民個人金融信息的跨境流出的同時,美國通過雙邊/多邊機制與其他國家、地區或國際組織達成關於個人金融信息跨境流通的協議,同時也在其主導的國際組織中推行其個人金融信息跨境流通的標準,其目的系推廣其個人金融信息自由跨境流動以及以企業自律主導的立場。其中,最具有代表性的就是美國與歐盟達成的《安全港協議》(U.S.-EU Safe Harbor Framework)、《隱私盾協議》(EU-U.S. Privacy Shield Framework),以及其主導建立的APEC的CBPR(詳見第二章第三節亞太經濟合作組織部分)。
歐盟在數據保護指令GDPR中,要求成員國向第三國或國際組織進行個人數據跨境流通,需要確保數據接受國能夠提供「充分的保護水平」。基於美國與歐盟間的密切商業往來需求,美國與歐盟於2000年達成了《安全港協議》(U.S.-EU Safe Harbor Framework)。安全港協議本質上是一項自律機制,美國的商業機構可以自願申請加入並承諾遵守七項原則(通知原則、選擇原則、責任移轉原則、安全原則、數據完整與目的限制原則、訪問原則以及追索、救濟與執行原則),接受美國聯邦貿易委員會 (Federal Trade Commission) 的監督,即被視為具備歐盟認定的「充分的保護水準」。然而在2013年「稜鏡門事件」後,美國被暴露出其情報機構存在監控和竊取全球網絡信息的行為,打破了《安全港協議》為兩地個人信息跨境流動所暫時達成的妥協方案。2015 年,歐盟法院以《安全港協議》無法為個人信息提供「充分性保護」為由,裁定該協議無效。
此後,為了保障跨大西洋兩岸的個人信息流轉與經貿往來的正常化,歐盟與美國就個人信息跨境流動的保護展開緊急切磋與商談,於 2016年達成了《隱私盾協議》(《EU-U.S. Privacy Shield Framework》)。隱私盾協議基於安全港協議的基礎,但進一步強化了美國商業機構對於歐盟個人信息及信息主體保護的義務與責任,要求美國商業機構對該等個人信息提供更多的承諾,並增加了對於違反承諾的商業機構施以懲罰性制裁的條款。2017 年,歐盟數據保護機構向美國政府提出《隱私盾協議》在執行過程中出現了諸多問題,並稱如果在限定的時間內,美國政府未改進相關問題,則歐盟將採取必要的行動,包括將歐盟給予《隱私盾協議》的「充分性保護認定」提交至歐盟法院予以審查。
美國關於金融數據跨境流通的立法主要包括三個部分。其一,美國通過其主導的區域性國際組織APEC,大力推動區域性的數據跨境流通。其二,美國通過和歐盟的雙邊協議,部分達到歐盟的白名單要求,以融入國際間的數據跨境流通框架,取得數據入境的資質。其三,通過外商投資領域的立法(FINSA與FIRRMA),來限制其國內數據的跨境流出。此外,美國還利用其在電信網絡基礎服務的壟斷地位,大力推動「長臂管轄」,以達到幹涉境外信息數據的目的。總體來說,是一種寬進嚴出的數據流通管理原則。
(二)英國
英國於1984年通過了第一部數據保護立法《數據保護法》(《Data Protection ACT》)。在1995年歐盟發布了數據保護指令之後,英國據此對數據立法進行了修改,1998年出臺了新的《數據保護法》。之後2016年,英國進行了脫歐公投,但2017年英國仍然為了配合GDPR而公布新的《數據保護法案》(《Data Protection Bill》),但迄今為止,該法案尚未經過國會批准,仍未正式生效。
英國也採用了集中立法模式,沒有就不同行業及部門進行專門的信息保護立法,金融行業總體仍遵循《數據保護法》的一般性規定。但在數據監管機構方面,英國除了信息保護專員(UK Information Commissioner)外,在金融領域還存在另一個監管機構,即英國金融服務管理局(UK Financial Services Authority)。當金融信息權糾紛有可能導致某個金融機構或整個金融市場系統性危機時,英國金融服務管理局就有權介入。此外,英國在金融各個細分領域也通過行業自律等方式對客戶信息進行保護,例如銀行領域的《借貸守則》(《the Lending Code》)和《銀行守則》(《Notice and Consent》)、徵信領域的《數據保護技術指引:信用評級機構分類》(《Data Protection Technical Guidance: Filing defaults with credit reference agencies》)、保險領域的《數據保護(敏感個人數據處理)令》(the Data Protection (Processing of Sensitive Personal Date) Order)等。
而在金融數據跨境流通領域,英國仍然遵循GDPR和《數據保護法》的一般性規定。
英國目前對於數據保護與跨境流轉的法律跨境較不清晰,其《數據保護法》的最近一次修訂已經是1998年。而2017年《數據保護法案》雖然較好地銜接了GDPR,但目前仍未經過審批生效,且尚未有具體的計劃時間節點。因此,目前真正實現個人數據保護,依然是在大量的二級立法和判例法中。而英國脫歐公投的重大影響,導致英國的數據跨境流通未來形勢不太明朗。
(三)日本
日本的個人信息保護體制,同時參考了美國模式與歐盟立法,採用了政府立法與行業自律相結合的方式。日本在個人信息保護領域的基本法是2003年推出的《個人信息保護法》(《個人情報の保護に関する法律》),並在2015年通過《個人信息保護法實施條例》(《個人情報の保護に関する法律施行令》進行了大幅度的修正,於2017年5月30日起正式生效。之後,又於2016年通過了《個人信息保護法實施細則》(《個人情報の保護に関する法律施行規則》),並於2019年7月1日起正式生效。
日本在金融領域也推出了《金融領域個人信息保護準則》(《金融分野における個人情報保護に関するガイドライン》)和《金融領域個人信息保護準則之安全管理措施實務指南》(《金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針》),以及徵信領域的《經濟產業領域之徵信領域個人信息保護指南》(《経済産業分野のうち信用分野における個人情報保護ガイドライン》)。
根據《個人信息保護法》第24條規定,個人信息處理業者將個人數據提供給處於外國(指處於本國之域外的國家或地區)應當事先經過數據主體的同意,除非是被認為在保護個人的權利或利益上處於與日本同等水平的、已建立個人信息保護制度的國家或地區。金融信息的跨境流通也據此實施。
日本《個人信息保護法》要求數據跨境移出的目的國具有與日本同等水平的個人信息保護制度的國家。
(四)新加坡
新加波的數據保護一直走在亞洲的前沿,其對於數據本地化沒有明確的要求,2012年通過的《個人數據保護法》(《Singapore’s Personal Data Protection Act 2012》,以下簡稱「PDPA」)對個人數據跨境流動做了相應限制,一般情況數據禁止跨境傳輸,除非接收國可以提供充分性保護。此外符合以下情形的也可進行數據跨境傳輸:
1.集體企業規則;
2.數據主體同意;
3.履行合同義務必要;
4.關乎生命、健康的重大情形;
5.公開的個人數據;
6.數據中轉。
新加坡對於金融數據的跨境流通暫時也沒有特殊規定,PDPA對於個人數據跨境流動的口徑與GDPR基本一致。
(五)杜拜
杜拜於2020年發布了新的《杜拜國際金融中心數據保護法》(《Dubai International Financial Centre Data Protection Law》,以下簡稱「數據保護法」),並將於7月1日生效。其中,第四章「數據跨境與共享」中,對數據出境要求轉移目的國或國際組織經認定達到「充分的保護水平」。而如果未達到「充分的保護水平」,則要求符合如下條件:
1.要求數據控制者已採取了適當的保障措施,且數據主體能夠行使權利和獲得司法救濟數據。
2.主體明確知情並同意。
3.是履行數據主體與數據控制者間合同所必需的特殊情況。
4.非重複進行、只涉及有限數據主體、為數據控制者追求合法法益並且提供了適當的措施。
總體來說,杜拜本次發布的新《數據保護法》,主要目的是為了契合GDPR、CCPA以及其他各國的數據立法,支持其申請歐盟及其他國際組織、國家和地區的充分性認可,為數據(特別是金融數據)的自由跨境流動創造條件,提升其作為金融中心吸引力。因此,在數據跨境流通的規定上,基本與GDPR的相關規定一致。
(六)香港地區
1995年,我國香港地區制定並通過了《個人資料(私隱)條例》,該條例設立了香港個人資料私隱專員公署,專門負責監督該條例的執行。從個人資料(私隱)條例內容上看,其受到英國數據立法以及同年歐盟發布的數據保護指令影響很大。2012年,香港立法會修訂了個人資料(私隱)條例。此外,香港為個人數據跨境流轉的相關規定(個人資料(私隱)條例》第33條),專門制定了《跨境資料轉移指引》。
同時,香港個人資料私隱專員公署制定了具體的行業指引,具體到金融領域包括2013年的《個人信貸資料實務守則》以及2014年的《銀行業界妥善處理客戶個人資料指引》,但上述行業指引均未就金融數據的跨境流通做出規定。
因此,香港金融數據跨境流通領域依然遵循個人資料(私隱)條例的一般性規定(第33條):原則上禁止個人資料對外跨境流轉,除非轉移目的地是香港個人資料私隱專員公署指明的地區(即白名單)、數據控制者有合理理由相信轉移目的地具備相同或相似數據保護法律、數據主體明確知情並書面同意、為避免或減輕對數據主體的不利行動或影響、數據發送接收均在香港但經境外中轉的情形。
總體來看,數據跨境流入對於各個國家與地區均較為有利,因此對於數據跨境流通的流入均未進行規定,持開放的態度。但境內數據流出不僅要考慮對於境內數據的保護情況,一定程度上也關係本國的國家安全與社會利益,因此大部分國家與地區對於境內數據流出的接收國水平均有所要求,一般通過白名單的方式,部分國家還有例外情形。而美國較為特殊,其通過外商投資領域的立法(FINSA與FIRRMA),來限制其國內數據的跨境流出,從而達到「數據淨流入」的目的。從上述立法來看,各個國家和地區均希望匹配GDPR的白名單,從而提升數據跨境流入的效率,但並不希望境內數據大量流出,因此對於數據流出的規定較為嚴格。
四、我國對於跨境金融數據流動的現有規定
金融數據的跨境問題與一國金融業開放息息相關,也是營商環境中較為關注的問題。很多在中國開展業務的跨國金融機構在接受金融監管過程中都提出金融數據出境的合理範圍問題,金融數據跨境的具體原因一般包括以下幾種類型:
1.跨國金融集團開展跨境業務過程中對特定客戶的展業需求;
2.跨國金融集團基於客戶全球風險統一管理的需求;
3.跨國金融機構母國監管機關或母行出於當地反洗錢監管或合規管理的目的要求提供金融數據;
4.跨國金融機構對數據的跨境處理需求。
我國現在金融數據出境問題的主要焦點是個人金融數據、金融業重要數據的範圍和具體的出境要求和流程。
(一)個人金融數據出境的監管
相關的監管要求主要來自金融監管部門和網信部門的規定,但是二者有一定差異:
1.金融監管部門的監管要求
2011年1月,中國人民銀行發布《關於銀行業金融機構做好個人金融信息保護工作的通知》(銀髮〔2011〕17號,以下簡稱「17號文」),其中第6條規定:「在中國境內收集的個人金融信息的儲存、處理和分析應當在中國境內進行。除法律法規及中國人民銀行另有規定外,銀行業金融機構不得向境外提供境內個人金融信息。」17號文首次提出了金融機構對個人金融信息的存儲、處理和分析原則上禁止出境,只在例外情形允許出境。但對於何種「例外情形」可以允許出境,17號文僅規定「除法律法規及中國人民銀行另有規定」,未詳細說明,這在實務中對國內眾多的跨國金融機構業務的開展帶來了很多現實難題。
2011年5月,中國人民銀行上海分行緊急發布《關於銀行業金融機構做好個人金融信息保護工作有關問題的通知》(上海銀髮〔2011〕110號,以下簡稱「110號文」)。110號文指出,17號文所稱的「例外情形」是指「為客戶辦理業務所必需,且經客戶書面授權或同意,境內銀行業金融機構向境外總行、母行或分行、子行提供境內個人金融信息的,可不認為違規。銀行業金融機構應當保證其境外總行、母行或分行、子行為所獲得的個人金融信息保密」。也就是說,滿足「業務必需+客戶同意+關聯機構+保密」四要件,可允許金融機構數據出境。
2016年,中國人民銀行發布的《中國人民銀行金融消費者權益保護實施辦法》第33條對110號文的精神予以了確認,並將適用範圍擴大到銀行業金融數據以外的金融數據,規定:「在中國境內收集的個人金融信息的存儲、處理和分析應當在中國境內進行。除法律法規及中國人民銀行另有規定外,金融機構不得向境外提供境內個人金融信息。境內金融機構為處理跨境業務且經當事人授權,向境外機構(含總公司、母公司或者分公司、子公司及其他為完成該業務所必需的關聯機構)傳輸境內收集的相關個人金融信息的,應當符合法律、行政法規和相關監管部門的規定,並通過籤訂協議、現場核查等有效措施,要求境外機構為所獲得的個人金融信息保密。」該辦法發布之後,中國人民銀行對金融機構數據出境的監管模式正式定為「原則禁止,以業務必需+客戶同意+關聯機構+保密為例外」。
2020年2月13日中國人民銀行發布的《個人金融信息保護技術規範》基本沿襲了其之前規定的要求,同時增加了應依據國家、行業有關部門制定的辦法與標準開展個人金融信息出境安全評估,確保境外機構數據安全保護能力達到國家、行業有關部門與金融業機構的安全要求,並要求明確監督境外機構有效履行個人金融信息保密、數據刪除、案件協査等職責義務。
2.網信部門的監管要求
國家網際網路信息辦公室(以下簡稱「網信辦」)對於金融機構數據出境的監管模式與中國人民銀行的監管模式具有顯著區別。《網絡安全法》第37條規定:「關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。」可以看出,網信辦對於數據出境的監管主要採用「原則禁止,以經安全評估為例外」的監管模式。2019年發布的《個人信息出境安全評估辦法(徵求意見稿)》第2條規定:「網絡運營者向境外提供在中華人民共和國境內運營中收集的個人信息(以下稱個人信息出境),應當按照本辦法進行安全評估。經安全評估認定個人信息出境可能影響國家安全、損害公共利益,或者難以有效保障個人信息安全的,不得出境。國家關於個人信息出境另有規定的,從其規定。」
2019年,中國人民銀行起草的《個人金融信息(數據)保護試行辦法(初稿)》第20條(個人金融信息跨境流動的要求)規定:「在中國境內收集的個人金融信息的存儲、處理和分析應當在中國境內進行。除法律、法規、規章及有關主管部門另有規定外,金融機構不得向境外提供境內個人金融信息。境內金融機構為處理跨境業務向境外機構(含總公司、母公司或者分公司、子公司以及其他為完成該業務所必需的關聯機構)提供境內收集的個人金融信息的,應當事先取得信息主體的明示同意,並依法開展個人金融信息出境安全評估,未經評估或者經評估存在顯著風險隱患的,境內金融機構不得向境外機構提供個人金融信息。境內金融機構向境外機構提供境內收集的個人金融信息的,應當與境外機構籤訂協議明確對方的職責和義務,個人金融信息出境後,境內金融機構應當建立個人金融信息出境記錄並且至少保存5年,並通過現場核查等必要措施,監督境外機構有效履行保護個人金融信息安全的職責和義務,持續保障個人金融信息安全。」從上述規定可以看出,央行這個辦法的初稿實質上是按照網信部門的相關要求並結合金融行業的具體實際作出的監管規定。
(二)重要數據出境問題
根據2017年的《個人信息和重要數據出境安全評估辦法(徵求意見稿)》,《網絡安全法》第37條提到的「重要數據」是指「與國家安全、經濟發展,以及社會公共利益密切相關的數據,具體範圍參照國家有關標準和重要數據識別指南」。2019年,網信辦徵求意見的《數據安全管理辦法》規定:「重要數據,是指一旦洩露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據,如未公開的政府信息,大面積人口、基因健康、地理、礦產資源等。重要數據一般不包括企業生產經營和內部管理信息、個人信息等。」然而,兩個辦法對重要數據並未作出明確可操作的範圍界定,金融監管部門也未出臺具體規範,後續需要對此加以明確。另外,2017年發布的《個人信息和重要數據出境安全評估辦法(徵求意見稿)》第9條規定,對符合一定標準的重要數據,網絡運營者應報請行業主管或監管部門組織安全評估。
(三)金融數據出境的評估和審批
《網絡安全法》第37條規定:「關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。」也就是說,個人信息和重要數據需向境外提供的,應當經過評估。金融數據也應適用這一要求。2019年12月修訂的《證券法》第177條新增規定:「國務院證券監督管理機構可以和其他國家或者地區的證券監督管理機構建立監督管理合作機制,實施跨境監督管理。境外證券監督管理機構不得在中華人民共和國境內直接進行調查取證等活動。未經國務院證券監督管理機構和國務院有關主管部門同意,任何單位和個人不得擅自向境外提供與證券業務活動有關的文件和資料。」即對數據出境,《證券法》也作出了嚴格規定。
2019年,國家網信辦發布的《數據安全管理辦法(徵求意見稿)》第28條規定:「網絡運營者發布、共享、交易或向境外提供重要數據前,應當評估可能帶來的安全風險,並報經行業主管監管部門同意;行業主管監管部門不明確的,應經省級網信部門批准。向境外提供個人信息按有關規定執行。」2019年,國家網信辦發布的《個人信息出境安全評估辦法(徵求意見稿)》第2條規定:「網絡運營者向境外提供在中華人民共和國境內運營中收集的個人信息(以下稱個人信息出境),應當按照本辦法進行安全評估。經安全評估認定個人信息出境可能影響國家安全、損害公共利益,或者難以有效保障個人信息安全的,不得出境。國家關於個人信息出境另有規定的,從其規定。」第3條第1款規定:「個人信息出境前,網絡運營者應當向所在地省級網信部門申報個人信息出境安全評估。」
總體而言,目前的金融數據出境監管規定和要求較為嚴格,但也有較多不明確之處,使得金融數據出境的實際操作面臨很多問題,需要後續立法和監管規定作出更加合理的規定。例如,能否建立「白名單」制度,能否就需要評估的場景對零星數據和非個人敏感數據、非重要數據作出差異化規定等。
五、境外金融數據跨境流動監管經驗的借鑑
(一)確立金融數據流動的平衡理念
金融數據的跨境流動雖然可能會帶來潛在的金融隱私和金融安全風險,但由於數據流動可帶來巨大的經濟效益,在風險可控的前提下,金融強國仍希望最大程度地實現數據自由流動。例如美國在數據跨境流動的規制問題上秉持加強國際合作以促進數據自由流動的思路,在雙邊或多邊協定中加入金融數據跨境流動條款,成為美國貫徹以上思路的主要路徑,典型的如《美韓自由貿易協定》和《美墨加協定》。
金融數據跨境流動的規制主要圍繞兩個方面展開:一方面,基於對傳統金融客戶保密義務與金融隱私的考量,通過各種措施限制銀行金融數據的廣泛流動,以降低金融隱私被侵犯的可能性;另一方面,出於立足自身的信息優勢,充分發揮金融數據經濟價值的目的,在實現安全的前提下力求最大限度的跨境自由流動。這個過程我們認為是一個動態的過程,隨著中國金融業實力的增加和人民幣國際化的進程,數據跨境的監管力度可以逐步調整放鬆。
還需要指出的是目前中國金融業開放的速度在加快,上海國際金融中心建設的目標是2020基本建成,而吸引外資金融機構進入中國以及上海建設國際金融中心的一個重要評估點就是數據跨境監管問題。無論是商業銀行業務還是投資銀行業務,全球化的金融機構都有數據跨境的合理業務理由,完全禁止跨境數據轉移並不現實,也無法操作。應該強調在對數據進行合理分級的基礎上建立明確的規制,提升營商環境。
(二)完善金融數據法律體系,確保數據流動有法可依
通過對其他國家的信息數據保護立法考察可以發現,各個國家的立法軌跡基本遵循了基本法權利保護→民法框架保護→專門法律保護→分領域具體權利保護的基本路徑。
從我國目前的立法現狀來看,《憲法》並未規定個人的信息數據權利;《民法典》中對於個人隱私權、個人信息、國家機構與醫療機構的保密義務等均有所體現,《網絡安全法》提出數據出境安全管理要求,《個人信息保護法》和《數據安全法》也已經列入了全國人大常委會的下一步主要工作安排;而具體到金融領域,目前《個人金融信息保護技術規範》已經正式發布,《金融數據安全數據安全分級指南》也已經形成了正式的送審稿。此外,中國人民銀行、國家網際網路信息辦公室等也出臺了一系列的部門規章、行業標準等。
總體來看,我國已經意識到信息數據保護的重要性,並開展了一系列的立法活動,但相關法律法規的覆蓋面不夠,條款設置缺乏操作性,法律之間的銜接不緊密,我國對於信息數據保護的立法體系仍不完備。例如,我國沒有在憲法層面上明確個人信息數據的權利基礎。在專門法律方面,對於個人信息數據的規定仍然較為原則性,對於收集、傳輸、儲存、使用、刪除、銷毀、共享、跨境等具體規範不足。
具體到金融數據的跨境流動方面(主要指跨境流出方面),首先要從源頭上對金融數據的收集、傳輸和儲存予以規範,確保跨境流出數據的合法性,明確數據控制者和數據主體的權利與職責;其次,應當做好金融數據的分級規範,明確金融數據的定級要素、級別判別;其三,應當對於不同級別金融數據跨境流出設立不同的流通審批,明確哪些數據可以出境?怎麼出境?如果涉及安全評估的,誰來評估?評估標準是什麼?對於涉及國家安全、公眾權益的金融數據,應當形成完善的監管和保護機制;最後,對於金融數據跨境流出操作予以規範,解決「誰申請?誰審批?誰監督?誰處罰?」的問題,確保數據跨境具有操作性以及可監管性。
(三)明確金融數據主管部門,落實金融數據管理主體
我國目前對於金融數據出境的相關監管規定分別來自於網信部門和金融監管部門,且具體的規定內容有一定差異。中國人民銀行主要採用「原則上禁止出境,只在例外情形允許出境」的監管模式,但對於例外情形並未明確。而網信辦主要採用「原則禁止,以經安全評估為例外」的監管模式。在實踐中,具體採用哪種監管口徑、誰來督促、誰來落實成為一個難題。
從實踐中看,各國均設立了獨立的部門來負責信息數據的實施,具有獨立的管理、監督、處罰權限,或由各個細分領域的監管部門專項的信息數據保護機構。從世界範圍來看,目前信息數據保護監管部門的設置主要有兩種模式:
一是以歐盟為代表的統一監管模式,即成立一個專門的信息數據保護監管部門,對全部的信息數據保護實施集中監管。例如,歐盟設立了歐盟數據保護委員會(European Data Protection Board)以作為獨立的監管機構。我國香港地區也設立了香港個人資料私隱專員公署,以專門負責監督《個人資料(私隱)條例》的執行。
二是以美國為代表的分業監管模式,即不設立專門的信息數據保護監管部門,而由各個職能部門根據各自的權限進行監管。例如,美國在金融領域由消費者金融保護局(以下簡稱「CFPB」)負責監管GLBA、FACTA、CFPA等,並且在涉及到對應領域時聯邦貿易委員會與聯邦銀行也一併參與監管。
但從目前來說,上述兩種監管模式存在兼容並包、並行不悖的趨勢。美國近期有提案建議制定《數據保護法(Data Protection Act),並設立專門的聯邦數據保護局( Data Protection Agency,以下簡稱「DPA」)作為獨立的執行機構,負責保護個人隱私並限制「個人數據的收集,披露,處理和濫用」。而英國除了設立了信息保護專員(UK Information Commissioner)進行統一的信息數據保護監管外,在金融領域也由英國金融服務管理局(UK Financial Services Authority)共同監管。
因此,我國當務之急應當從法律層面明確專門的數據保護監管行政主體,行使對於數據保護、流通的總體管理職責。而在金融領域,則應在法律層面明確由現有的金融監管部門,履行對於金融領域金融數據保護及流通的專項管理職責,主要原因是金融監管部門對金融業務和數據跨境的場景以及更為熟悉,從而更有利於保障相關法律法規以及制度的有效實施。
(四)建立數據跨境接收國標準和白名單制度,提升金融數據跨境效率
中國和美國是世界上數字產業規模最大的兩個國家,且中國在電子商務和金融科技的細分領域的數字產業規模更是世界第一。金融數據跨境將是我國建立世界金融中心、金融服務對外輻射的重要競爭力,因此對於所有的跨境金融數據逐一進行評估無法滿足時效性的要求。對此,各國通常採用數據跨境接收國「白名單」模式,即經過數據流動的出口國評估,確認特定國家和地區能夠提供「充分的保護水平」的,將其列入「白名單」中,對將「白名單」中的國家和地區作為數據接收國的,且轉移的金融數據不具有敏感性的,即可自由流動,以滿足金融機構的效率要求。此外,美國也通過雙邊及多邊協議的形式,建立數據流動認證,以確保數據跨境的時效性。而數據接收國未被列入我國「白名單」、也未和我國通過協議達成數據流動認證的,對該國家或地區的金融數據跨境則需要符合法律法規的相關規定,並經過一定的審批。對於敏感性的金融數據,或者可能影響我國國家安全或公眾利益的,則應當經過充分地安全評估。
(五)把握金融數據跨境的司法管轄權,維護國家數據主權
數據在跨境流轉的過程中,不可避免的會存在違約與侵權的情形,且存在對我國國家安全和公眾利益造成重大威脅的可能性。美國歷來通過「長臂管轄」來擴展其國際執法權,而歐盟在數據方面也加入了「長臂管轄」的相關條款(GDPR的第3條「地域範圍」)。因此,基於維護我國數據、保護我國企業與個人的合法權益角度,我國應當堅持把握司法管轄權,可以借鑑新證券法的立法,加入數據跨境的「長臂管轄」條款。
微博抽獎
新一輪微博抽獎活動來啦!
本次活動獎品:中國知網充值卡8張(面值50元/張),可使用範圍涵蓋國際會議全文資料庫(IPCD)、中國重要會議論文全文資料庫(CPCD)、中國學術期刊網絡出版總庫(CAJD)、中國博士學位論文全文資料庫(CDFD)等。獲獎的讀者朋友,我們將通過上海市法學會官方微博告知卡號、密碼,在中國知網首頁完成帳號註冊,輸入卡號、密碼及網頁驗證碼,即可將此卡面值充入該帳號。歡迎各位讀者朋友關註上海市法學會官方微博,積極參與抽獎活動,#微博學法律#,#分享有好運#!
上海市法學會歡迎您的投稿
fxhgzh@vip.163.com
相關連結
原標題:《江翔宇課題組:金融數據跨境流動立法與監管的比較研究報告》
閱讀原文