作者：王远志

单位：复旦大学法学院

来源：《金融监管研究》2020年第1期

原文标题：我国银行金融数据跨境流动的法律规制

关键词：数据跨境流动风险、金融安全与稳定、银行金融数据法律规则

研究背景

数据在世界范围内正在爆发式增长。相比以往，数据更加深入地融入到人们的生活中，人们渴望利用数据来解决问题、改善福祉，促进经济繁荣。为实现经济效益，数据正在不同的主体间发生频繁的流动。相比传统货物和服务贸易，跨境数据流动的发展更加迅猛，一定程度上改变了传统贸易的形态。数据跨境流动已成为当前全球经济和金融体系运作的必要条件。但与此同时，随着数据跨境流动规模日益扩大，隐私泄露的风险也随之增大，个人和企业数据权利正在遭受前所未有的威胁。因此，世界各国/地区纷纷出台了有关数据传输的法律规范。但是，已有的数据跨境流动法律规制模式并未区分各个数据类型及细分领域，而是采用了笼统的整体规制方式，缺乏针对性与灵活性，使整个跨境数据流动的治理效果大打折扣。

银行业金融机构作为极为重要的金融机构类型，在经营运作过程中也收集和产生了大量数据，并产生了数据流动。由于银行金融数据往往包含较多的客户个人数据信息，敏感性较高，隐私性较强，并与金融安全密切相关，因此，如何对银行金融数据的跨境流动进行规制，已成为世界各国金融监管亟需解答的问题。

创新点

本文的创新点主要体现在：

第一，相较于对数据跨境流动的一般研究，本文将研究范围限缩于具体领域，即银行金融数据的跨境流动规制上，并尝试从金融数据的特殊性出发探索金融数据跨境流动所应秉持的规制思路。由于银行金融数据关系到金融安全与稳定，因此其在监管规制上应与一般商业数据有所区别。

第二，本文根据跨境流动原因的不同将银行金融数据主要分为了两类：一是基于商业需求而产生的跨境流动数据；二是基于数据流入国监管机构要求而产生的跨境流动数据。通过分析这两类银行金融数据的不同特征，提出了应当对其进行分别规制的建议。.

第三，将域外实践与本土经验进行对比分析，以探索进一步完善我国银行金融数据法律规制的路径。选取欧盟和美国两大典型的数据跨境流动规制法域，比较分析两者在规制银行金融数据跨境流动问题上的理念异同，并结合我国当前的规制实践，提出了适合我国的规制思路。

第四，将人格权理论、数据财产权化理论等引入完善银行金融数据跨境流动规制路径的讨论中来，增强理论深度，并更好地证明了相关建议的合理性。

研究发现

第一，欧盟将个人数据视为一种基本权利，其在一般数据跨境流动规制上秉持着“人权与隐私优先、自由流动保障居其次”的规制思路。这一规制思路也成为了欧盟规制各类具体数据跨境流动的基础。银行金融数据中涉及个人数据部分的跨境流动也需要遵循GDPR的相关规定。但由于银行金融数据的跨境流动存在强烈的现实需求，因此欧盟也在逐渐探索风险可控范围内的银行金融数据跨境流动。总体而言，欧盟针对银行金融数据的跨境流动管制仍以GDPR主导下的个人数据保护规则为主，整体上推行“人权与隐私保护先行”与严格监管框架下的银行金融数据共享机制，并未突出对传统金融监管一般价值目标的追求。欧盟未对银行数据进行特殊规制的原因主要有二：一是在个人数据保护上，欧盟业已制定了以GDPR为主导的个人数据保护规范，其标准严格苛刻，执行力度大，数据保护体系整体已较为健全。二是欧盟期望借助开放银行举措来促进银行金融数据在欧盟范围内的自由跨境流动，以盘活数据资产，充分发挥区域内数据的经济价值。在GDPR下，对个人数据隐私处于强保护状态，加之欧盟的金融监管体系较为成熟，银行金融数据跨境流动给欧盟所带来的金融安全威胁并不显著，对其进行特殊规制的紧迫性也并不强。

第二，整体而言，美国在数据跨境流动的规制问题上秉持加强国际合作以促进数据自由流动的思路。具体到金融领域，金融数据的跨境流动虽然可能会带来潜在的金融隐私和金融安全风险，但由于数据流动可带来巨大的经济效益，在风险可控的前提下，美国仍希望最大程度地实现数据自由流动。在双边或多边协定中加入金融数据跨境流动条款，成为美国贯彻以上思路的主要路径，典型的如《美韩自由贸易协定》和《美墨加协定》。综合美国国内法及其缔结的国际协定中所涉及的有关金融数据跨境流动的条款，可以发现，美国对银行金融数据跨境流动的规制主要围绕两个方面展开：一方面，基于对传统银行客户保密义务与金融隐私的考量，通过各种措施限制银行金融数据的广泛流动，以降低金融隐私被侵犯的可能性；另一方面，出于立足自身的信息优势，充分发挥金融数据经济价值的目的，在实现安全的前提下力求最大限度的跨境自由流动。

第三，我国当前针对银行金融数据的跨境流动规制存在以下两方面的问题：其一，不同规制主体的规制思路有待进一步协调。网信部门的规制思路正是《网络安全法》及配套法律法规所呈现的思路，意在维护数据主权的同时注重发挥数据跨境流动的经济价值，属于一般规制。金融监管部门制定的各类规范更侧重保护金融信息、维护国家金融安全和防控金融风险，属于特殊规制。其二，现有模式对银行金融数据的跨境流动的规制思路较为单一，并未考虑区分不同情形加以规制。

启示与政策建议

在我国当前对银行金融数据跨境流动的规制现状下，要进一步提升银行金融数据治理的科学性和合理性，必须要解决两大问题：一是如何协调不同部门的规制措施；二是如何对银行金融数据进行科学有效的规制。前者可以通过在未来立法中阐明银行金融数据的特殊性，明确金融监管部门对这一问题的特殊规制权限来解决；而对于后者，当前不区分情形一律将银行金融数据纳入原则上不予跨境流动的范畴的规制模式，缺乏必要的灵活性和科学性，将在一定程度上阻碍金融数据活力的发挥。因此，本文建议：

第一，就基于商业需求而产生的跨境流动而言，原则上应充分尊重银行客户对于数据的支配权利，不应以禁止为原则，而应原则上准许其跨境流动，但该等跨境流动需在客户知情同意的前提下进行。同时，应当设置相应的例外，即特定情况下的基于商业需求而产生的数据跨境流动不得出境。例如，境内银行金融机构试图将大批量银行金融数据进行再处理或分析，但再处理或分析的场所位于境外的情形。此外，银行金融数据的跨境流动应建立备案制度，由银保监会在已有《银行业金融机构数据治理指引》规范的基础上承担备案的职责，进一步引领数据跨境流动监管体系的形成。

第二，就基于数据流入国监管机构要求而产生的跨境流动而言，其实际上是对数据主权原则的一种突破，除例外情况外原则上应不予准许。该情况下的例外应由主权国家签订相应的双边、多边协定或采用其他国际合作的形式予以确定。通过签订相应的双边、多边协定或采用其他国际合作的形式，既能够充分维护国家对银行金融数据的数据主权，也能够保持一定的灵活性。因此，这种规制思路在一定意义上将银行金融数据跨境流动的治理推向了更高层次，有利于全球银行金融数据跨境流动的规范化、有序化发展。