王 婷

（上海政法學(xué)院 國(guó)際法學(xué)院，上海 201701）

當(dāng)前，我國(guó)正處于轉(zhuǎn)變經(jīng)濟(jì)發(fā)展方式、優(yōu)化經(jīng)濟(jì)機(jī)構(gòu)的關(guān)鍵階段，國(guó)務(wù)院印發(fā)的《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》提出構(gòu)建數(shù)據(jù)要素市場(chǎng)體系，以數(shù)據(jù)要素驅(qū)動(dòng)產(chǎn)業(yè)轉(zhuǎn)型升級(jí)和變革，推動(dòng)我國(guó)數(shù)字經(jīng)濟(jì)的發(fā)展。數(shù)據(jù)要素市場(chǎng)化是形成由市場(chǎng)配置的數(shù)據(jù)資源體系的動(dòng)態(tài)過(guò)程，這個(gè)過(guò)程中不可忽視的便是關(guān)于數(shù)據(jù)安全和數(shù)據(jù)紅利的平衡。數(shù)據(jù)資源作為基礎(chǔ)性的戰(zhàn)略資源，本身具有復(fù)雜性和多樣性，為保障本國(guó)的數(shù)字經(jīng)濟(jì)和國(guó)民利益，各國(guó)和地區(qū)采取相應(yīng)措施規(guī)制數(shù)據(jù)的市場(chǎng)化流動(dòng)?？紤]到金融行業(yè)的特殊性以及其對(duì)國(guó)家經(jīng)濟(jì)發(fā)展的重要性，我國(guó)對(duì)金融行業(yè)的監(jiān)管力度一直較為大?？缇辰鹑跇I(yè)務(wù)數(shù)字化的迅速發(fā)展下，金融數(shù)據(jù)的跨境流動(dòng)需求愈發(fā)增加，相關(guān)金融監(jiān)管部門(mén)和國(guó)家網(wǎng)信部門(mén)近年來(lái)一直致力于完善金融數(shù)據(jù)的市場(chǎng)監(jiān)管體系，為金融業(yè)機(jī)構(gòu)提供具有操作價(jià)值的合規(guī)指引。

一、金融數(shù)據(jù)跨境流動(dòng)的內(nèi)涵

1980 年OECD 頒布的《關(guān)于隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流動(dòng)的指南》首次提出了數(shù)據(jù)跨境流動(dòng)（Crossborder Data Flow）的概念，不過(guò)目前各國(guó)對(duì)于跨境的界定尚未形成統(tǒng)一的認(rèn)識(shí)。一般普遍理解為數(shù)據(jù)以點(diǎn)到點(diǎn)的方式，跨越國(guó)家或地區(qū)、進(jìn)行數(shù)字化傳遞。[1]其中以境外實(shí)體的接觸作為跨境的標(biāo)準(zhǔn)，可表現(xiàn)為三種方式：第一種是數(shù)據(jù)真實(shí)直接地從一國(guó)或地區(qū)轉(zhuǎn)移到境外，接收者在境外獲取數(shù)據(jù)，包括跨境傳輸以及直接跨境進(jìn)行數(shù)據(jù)采集；第二種是以跨境訪問(wèn)的方式進(jìn)行間接轉(zhuǎn)移，即境外的組織、機(jī)構(gòu)或個(gè)人等主體能夠直接訪問(wèn)儲(chǔ)存于境內(nèi)的數(shù)據(jù)；第三種方式是直接向在本國(guó)或本地區(qū)境內(nèi)，但不屬于其司法管轄范圍或并沒(méi)有在境內(nèi)注冊(cè)的主體轉(zhuǎn)移數(shù)據(jù)。數(shù)據(jù)性質(zhì)的不同使得數(shù)據(jù)跨境流動(dòng)的監(jiān)管合規(guī)要求存在差異，故探討金融數(shù)據(jù)的跨境流動(dòng)，首先應(yīng)當(dāng)厘定金融數(shù)據(jù)的內(nèi)涵，以便對(duì)標(biāo)專(zhuān)門(mén)的監(jiān)管合規(guī)要求。

金融數(shù)據(jù)是全面概述金融行業(yè)所有數(shù)據(jù)的大的集合概念，既包括金融機(jī)構(gòu)收集的原始數(shù)據(jù)，也包括其處理加工后的信息。[2]其跨境流動(dòng)的監(jiān)管起源于保護(hù)個(gè)人隱私的需求，因?yàn)閭€(gè)人金融信息不僅具有須監(jiān)管的金融屬性，而且兼具個(gè)人屬性。但隨著各國(guó)深度挖掘數(shù)據(jù)背后的潛在價(jià)值，金融數(shù)據(jù)在國(guó)際經(jīng)貿(mào)中成為極具競(jìng)爭(zhēng)力的優(yōu)勢(shì)資源，金融數(shù)據(jù)跨境流動(dòng)保護(hù)的內(nèi)涵已超過(guò)僅就個(gè)人金融信息進(jìn)行保護(hù)的內(nèi)涵。根據(jù)相關(guān)法律規(guī)定以及國(guó)家金融行業(yè)標(biāo)準(zhǔn)，目前我國(guó)將金融數(shù)據(jù)定義為：金融業(yè)機(jī)構(gòu)在開(kāi)展金融業(yè)務(wù)、提供金融服務(wù)以及日常經(jīng)營(yíng)管理時(shí)所需或產(chǎn)生的各類(lèi)數(shù)據(jù)。監(jiān)管對(duì)象為包括銀行業(yè)金融機(jī)構(gòu)在內(nèi)的所有受監(jiān)督管理的持牌金融機(jī)構(gòu)，諸如保險(xiǎn)機(jī)構(gòu)、金融租賃機(jī)構(gòu)以及信托機(jī)構(gòu)等，此外，諸如提供基礎(chǔ)技術(shù)服務(wù)的信息技術(shù)服務(wù)商、支付機(jī)構(gòu)等接受委托的第三方，在金融數(shù)據(jù)保護(hù)領(lǐng)域，也被視為產(chǎn)生金融數(shù)據(jù)的金融機(jī)構(gòu)。

二、金融數(shù)據(jù)跨境流動(dòng)的典型場(chǎng)景

金融數(shù)據(jù)跨境流動(dòng)的需求主要是基于金融業(yè)機(jī)構(gòu)業(yè)務(wù)經(jīng)營(yíng)和境外法律監(jiān)管兩個(gè)方面。在經(jīng)濟(jì)全球化趨勢(shì)下，金融業(yè)迅速拓展海外業(yè)務(wù)，并轉(zhuǎn)向混業(yè)經(jīng)營(yíng)模式，各金融企業(yè)紛紛在海外設(shè)立子公司、分支機(jī)構(gòu)和分公司等，金融控股公司的數(shù)量逐年增加，這類(lèi)公司在集團(tuán)的統(tǒng)一籌劃下開(kāi)展跨境投融資業(yè)務(wù)，建立囊括保險(xiǎn)、信貸、融資租賃等多種業(yè)務(wù)領(lǐng)域的集團(tuán)業(yè)務(wù)網(wǎng)絡(luò)，形成跨國(guó)金融集團(tuán)或涉及金融展業(yè)的跨國(guó)綜合性集團(tuán)，諸如具有代表性的銀行業(yè)機(jī)構(gòu)，我國(guó)的工商銀行、中國(guó)銀行農(nóng)業(yè)銀行、中國(guó)平安集團(tuán)等，以及保時(shí)捷、梅賽德斯奔馳等為代表的汽車(chē)集團(tuán)布局下的汽車(chē)金融行業(yè)。從業(yè)務(wù)經(jīng)營(yíng)管理的角度來(lái)看，金融數(shù)據(jù)跨境流動(dòng)主要表現(xiàn)為以下四類(lèi)場(chǎng)景：

第一，針對(duì)特定客戶(hù)的展業(yè)需求。一國(guó)的子公司或分公司在開(kāi)展跨境業(yè)務(wù)時(shí)，因業(yè)務(wù)辦理的必要，將數(shù)據(jù)傳輸至母公司和總公司。諸如境內(nèi)公司參與投資并購(gòu)等業(yè)務(wù)時(shí)，將相關(guān)交易數(shù)據(jù)向境外公司傳輸。

第二，基于全球業(yè)務(wù)的風(fēng)險(xiǎn)管理與評(píng)估，以及用戶(hù)畫(huà)像和服務(wù)改進(jìn)等客觀需求，金融數(shù)據(jù)的跨境共享和流通成為必要，主要包括包括母公司和子公司之間、各子公司之間以及各關(guān)聯(lián)公司之間的共享和流通。金融業(yè)務(wù)的本質(zhì)和關(guān)鍵在于進(jìn)行全面的風(fēng)險(xiǎn)管控，數(shù)據(jù)的共享不僅有利于防范金融風(fēng)險(xiǎn)，而且能夠優(yōu)化交易程序和結(jié)構(gòu)。以金融控股的汽車(chē)融資租賃公司為例，隨著智能移動(dòng)出行的流行，各類(lèi)車(chē)企紛紛搶占汽車(chē)融資租賃市場(chǎng)。融資租賃業(yè)務(wù)中的風(fēng)險(xiǎn)防控的核心要點(diǎn)之一是對(duì)承租人的資格審查，其中涉及承租人的信用和財(cái)務(wù)狀況等金融信息。融資租賃公司往往會(huì)通過(guò)共享其集團(tuán)公司收集、儲(chǔ)存的關(guān)于客戶(hù)的金融信息，對(duì)承租人進(jìn)行風(fēng)險(xiǎn)等級(jí)評(píng)估，用以設(shè)計(jì)和調(diào)整交易結(jié)構(gòu)，降低交易風(fēng)險(xiǎn)，尤其是在提供B2B 產(chǎn)品的過(guò)程中。

第三，與境外獨(dú)立第三方服務(wù)機(jī)構(gòu)的合作，主要是指境內(nèi)金融機(jī)構(gòu)委托非關(guān)聯(lián)的第三方機(jī)構(gòu)對(duì)其數(shù)據(jù)進(jìn)行處理、分析，諸如審計(jì)。

第四，基于境外民事訴訟或仲裁等爭(zhēng)議解決的需求，金融數(shù)據(jù)作為民事證據(jù)的傳向境外。如在境內(nèi)交易中，境外一方參與者因內(nèi)幕交易等遭受損失，其在境外提起訴訟或仲裁，境內(nèi)公司可能需要將相關(guān)金融數(shù)據(jù)作為民事證據(jù)在境外提交。

配合境外監(jiān)管部門(mén)對(duì)金融行業(yè)的特別監(jiān)管是金融數(shù)據(jù)的第二類(lèi)出境需求。境外的監(jiān)管部門(mén)出于審計(jì)、反恐怖融資與反洗錢(qián)監(jiān)管、打擊金融犯罪等司法目的，通常會(huì)要求上市公司提交其跨境經(jīng)營(yíng)的金融控股公司的相關(guān)金融數(shù)據(jù)，包括交易記錄、資金流進(jìn)流出、關(guān)聯(lián)交易信息，以及披露相關(guān)財(cái)務(wù)信息等。

三、我國(guó)金融數(shù)據(jù)跨境流動(dòng)的規(guī)制體系

我國(guó)對(duì)于金融數(shù)據(jù)的跨境流動(dòng)采取雙軌制的方式進(jìn)行監(jiān)管。金融數(shù)據(jù)的跨境流動(dòng)既要遵守法律法規(guī)對(duì)于數(shù)據(jù)跨境流動(dòng)的一般性規(guī)定，也要符合金融監(jiān)管部門(mén)作出的專(zhuān)門(mén)性規(guī)定。

（一）金融數(shù)據(jù)跨境流動(dòng)的一般規(guī)定

2017 年起施行的《網(wǎng)絡(luò)安全法》，2021 年9 月起施行的《數(shù)據(jù)安全法》，以及2021 年11 月起施行的《個(gè)人信息保護(hù)法》，共同構(gòu)成了我國(guó)數(shù)據(jù)保護(hù)的“三架馬車(chē)”，對(duì)數(shù)據(jù)跨境流動(dòng)作出最基本的要求。

《網(wǎng)絡(luò)安全法》重視保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施產(chǎn)生的數(shù)據(jù)，金融行業(yè)作為此類(lèi)基礎(chǔ)設(shè)施，原則上要求其運(yùn)營(yíng)者在我國(guó)境內(nèi)收集、產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)實(shí)現(xiàn)本地化存儲(chǔ)，不得向境外傳輸。例外的，基于業(yè)務(wù)的需求，可在通過(guò)安全評(píng)估后進(jìn)行跨境流動(dòng)?！稊?shù)據(jù)安全法》沿用了《網(wǎng)絡(luò)安全法》關(guān)于金融業(yè)數(shù)據(jù)跨境流動(dòng)的規(guī)定，并進(jìn)一步豐富了數(shù)據(jù)跨境流動(dòng)的規(guī)制框架。

其次，《數(shù)據(jù)安全法》要求對(duì)影響或可能影響國(guó)家安全的特定數(shù)據(jù)處理行為開(kāi)展安全審查，而金融數(shù)據(jù)的跨境流動(dòng)屬于須審查的范疇。再者，該法還從出口管制的角度限制金融數(shù)據(jù)的跨境流動(dòng)，類(lèi)似于有些國(guó)家對(duì)于科技數(shù)據(jù)的出口管制，主要也是為了維護(hù)國(guó)家安全和利益。

《個(gè)人信息保護(hù)法》設(shè)專(zhuān)章規(guī)定了個(gè)人信息跨境流動(dòng)的基本規(guī)則，除前述兩個(gè)法案規(guī)定以安全評(píng)估形式實(shí)現(xiàn)數(shù)據(jù)跨境流動(dòng)外，增設(shè)了另外兩個(gè)合法性基礎(chǔ)，一是境內(nèi)數(shù)據(jù)傳輸方取得專(zhuān)門(mén)的個(gè)人信息保護(hù)認(rèn)證；二是與境外接收方訂立標(biāo)準(zhǔn)合同。在此基礎(chǔ)之上，該法對(duì)境內(nèi)數(shù)據(jù)傳輸方提出了數(shù)據(jù)出境的四個(gè)具體要求：1.取得相關(guān)個(gè)人的單獨(dú)同意，并向其披露數(shù)據(jù)跨境流動(dòng)的必要信息，包括境外接收者的主體信息和相關(guān)信息跨境目的、處理方式等；2.確保境外接收者處理相關(guān)信息達(dá)到該法的同等保護(hù)標(biāo)準(zhǔn)；3.開(kāi)展事前個(gè)人信息保護(hù)影響評(píng)估，包括從合法性、正當(dāng)性和必要性三方面評(píng)估信息處理目的和方式，分析對(duì)當(dāng)事人個(gè)人權(quán)益的影響等；4.對(duì)于金融業(yè)等有特殊監(jiān)管要求的數(shù)據(jù)，還應(yīng)符合相關(guān)的特別規(guī)定。

上述都是關(guān)于數(shù)據(jù)保護(hù)普遍適用的規(guī)定，并沒(méi)有單獨(dú)就金融數(shù)據(jù)的跨境流動(dòng)作出特別要求。金融監(jiān)管部門(mén)和網(wǎng)信部門(mén)以上述法律規(guī)定為基本內(nèi)核，制定專(zhuān)門(mén)規(guī)制金融數(shù)據(jù)跨境流動(dòng)的法律體系。

（二）金融數(shù)據(jù)跨境流動(dòng)的特別性規(guī)定

金融數(shù)據(jù)跨境流動(dòng)的規(guī)制始于金融監(jiān)管部門(mén)的特別性規(guī)定，其監(jiān)管從嚴(yán)格的本地化存儲(chǔ)逐漸轉(zhuǎn)變?yōu)楫?dāng)前的附條件的跨境轉(zhuǎn)移。[3]

中國(guó)人民銀行（以下簡(jiǎn)稱(chēng)“央行”）在2011 年發(fā)布的《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》（以下簡(jiǎn)稱(chēng)“17 號(hào)文件”）是我國(guó)關(guān)于金融數(shù)據(jù)跨境流動(dòng)的第一個(gè)規(guī)范性文件。2011 年5 月，央行上海分行發(fā)文就17 號(hào)文件規(guī)定例外情形作出解釋?zhuān)阢y行業(yè)金融機(jī)構(gòu)以辦理業(yè)務(wù)的為目的需跨境傳輸個(gè)人金融信息的情形下，取得客戶(hù)的書(shū)面授權(quán)或同意，接收對(duì)象僅為銀行機(jī)構(gòu)的總行、分行或母行，且接收對(duì)象對(duì)相關(guān)信息保密等四大條件均滿(mǎn)足時(shí)，允許完成跨境轉(zhuǎn)移的動(dòng)作。這也是金融數(shù)據(jù)嚴(yán)格本地化要求到附條件跨境轉(zhuǎn)變的開(kāi)始。

2016 年，央行發(fā)布了《金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》（第314 號(hào)文件），該辦法擴(kuò)大了產(chǎn)生金融數(shù)據(jù)的金融機(jī)構(gòu)的范圍，除銀行業(yè)機(jī)構(gòu)以外，將征信機(jī)構(gòu)以及提供金融產(chǎn)品和服務(wù)的其他金融機(jī)構(gòu)、非銀行類(lèi)支付機(jī)構(gòu)，都作為受約束的金融機(jī)構(gòu)。在堅(jiān)持個(gè)人金融信息原則上不出境的要求上，進(jìn)一步明確了允許出境的例外條件：1.業(yè)務(wù)所需；2.經(jīng)當(dāng)事人授權(quán)；3.境外接收者應(yīng)當(dāng)是辦理業(yè)務(wù)所必需的關(guān)聯(lián)機(jī)構(gòu)，包括母子公司、總公司和分公司等；4.以協(xié)議和現(xiàn)場(chǎng)檢查等措施約束接收對(duì)象予以保密。但央行2020 年9 月發(fā)布的修訂版刪除對(duì)例外情形的描述。2020 年修訂版與原辦法關(guān)于金融數(shù)據(jù)的來(lái)源主體的規(guī)定有所區(qū)別，修訂版本主要是規(guī)制銀行業(yè)金融機(jī)構(gòu)以及支付類(lèi)機(jī)構(gòu)，但在附則部分列舉了其他應(yīng)參照適用該辦法的金融相關(guān)機(jī)構(gòu)，包括信托公司、汽車(chē)金融公司等，對(duì)與金融機(jī)構(gòu)的類(lèi)型更明確，但其實(shí)際范圍小于原文件的金融數(shù)據(jù)來(lái)源主體范圍。

（三）推薦性國(guó)家標(biāo)準(zhǔn)

在“一般性規(guī)定+特別規(guī)制”的雙軌法律基礎(chǔ)上，我國(guó)實(shí)際上形成了“法律+法規(guī)+國(guó)家標(biāo)準(zhǔn)”的三位一體數(shù)據(jù)保護(hù)和監(jiān)管模式。法律法規(guī)關(guān)于金融數(shù)據(jù)跨境流動(dòng)的規(guī)定是原則性的規(guī)定，國(guó)家網(wǎng)信部門(mén)聯(lián)合其他單位和機(jī)構(gòu)制定了數(shù)據(jù)保護(hù)的國(guó)家標(biāo)準(zhǔn)。實(shí)踐中，監(jiān)管部門(mén)和網(wǎng)信部門(mén)主要還是以這類(lèi)標(biāo)準(zhǔn)作為監(jiān)管和保護(hù)數(shù)據(jù)的重要參考和依據(jù)。這類(lèi)推薦性國(guó)家標(biāo)準(zhǔn)兼具可操作性和可預(yù)測(cè)性，也是金融業(yè)機(jī)構(gòu)用以設(shè)計(jì)企業(yè)數(shù)據(jù)合規(guī)制度的重要指引。

2020 年2 月，央行發(fā)布了《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JR/T 0171-2020），該國(guó)家標(biāo)準(zhǔn)沿用前文第314 號(hào)文件對(duì)境外接收者的限制性要求，允許個(gè)人金融信息在集團(tuán)內(nèi)部進(jìn)行跨境流動(dòng)?！稊?shù)據(jù)安全分級(jí)指南》則以數(shù)據(jù)安全性遭遇破壞后的所影響的對(duì)象，以及相應(yīng)造成的影響程度為定級(jí)依據(jù)，將金融數(shù)據(jù)劃分為5 個(gè)安全級(jí)別。其中，5 級(jí)數(shù)據(jù)主要是指其安全性破壞后，對(duì)國(guó)家或公眾權(quán)益造成重大影響的重要數(shù)據(jù)。而2021年4 月發(fā)布的《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》（JR/T 0223-2021）（以下簡(jiǎn)稱(chēng)《數(shù)據(jù)生命周期安全規(guī)范》）規(guī)定，在我國(guó)境內(nèi)產(chǎn)生的5 級(jí)數(shù)據(jù)僅可在我國(guó)境內(nèi)存儲(chǔ)。不過(guò)，關(guān)于數(shù)據(jù)出境安全評(píng)估以及個(gè)人信息保護(hù)影響評(píng)估的規(guī)范性文件目前仍處于征求意見(jiàn)稿階段，有待相干部門(mén)進(jìn)一步研究發(fā)布。

（四）金融數(shù)據(jù)跨境流動(dòng)的具體路徑

我國(guó)目前允許附條件出境的金融數(shù)據(jù)為個(gè)人金融信息和重要金融數(shù)據(jù)兩類(lèi)。綜合來(lái)看，個(gè)人金融信息的出境需滿(mǎn)足以下條件：1.完成業(yè)務(wù)所必需；2.境外接收對(duì)象限于總分公司、母子公司以及完成業(yè)務(wù)所必需的關(guān)聯(lián)機(jī)構(gòu)；3.獲得個(gè)人信息主體的明示同意，并向其披露必要信息，包括境外接收者基本信息、跨境處理目的以及方式等；4.通過(guò)出境安全評(píng)估；5.開(kāi)展事前個(gè)人信息保護(hù)影響評(píng)估；6.采取一定措施，確保境外接收者達(dá)到與我國(guó)同等的數(shù)據(jù)保護(hù)水平。重要金融數(shù)據(jù)出境的條件則規(guī)定得比較簡(jiǎn)單，僅明確要求兩點(diǎn)，一是基于業(yè)務(wù)的必需，二是須通過(guò)安全評(píng)估。

四、我國(guó)金融數(shù)據(jù)跨境流動(dòng)機(jī)制之完善建議

金融數(shù)據(jù)的跨境流動(dòng)是為了更好的利用數(shù)據(jù)價(jià)值，規(guī)制金融數(shù)據(jù)的跨境流動(dòng)則是為了驅(qū)動(dòng)數(shù)據(jù)跨境流動(dòng)向善，平衡金融效益和數(shù)據(jù)安全?；诂F(xiàn)有監(jiān)管模式，筆者提出如下建議：

（一）定義業(yè)務(wù)需求，劃定數(shù)據(jù)出境場(chǎng)景

“業(yè)務(wù)需求”當(dāng)前金融數(shù)據(jù)出境的前提性條件，而具化金融數(shù)據(jù)跨境轉(zhuǎn)移中“業(yè)務(wù)需求”的認(rèn)定條件，對(duì)金融數(shù)據(jù)跨境流動(dòng)場(chǎng)景進(jìn)行定義和劃分，有助于增加數(shù)據(jù)跨境合規(guī)的條件或情形。[4]可將金融數(shù)據(jù)在集團(tuán)內(nèi)部以及向第三方機(jī)構(gòu)的跨境轉(zhuǎn)移的客觀需求作為合規(guī)的場(chǎng)景，并根據(jù)不同業(yè)務(wù)需求下跨境流動(dòng)的風(fēng)險(xiǎn)度和安全性，調(diào)整數(shù)據(jù)轉(zhuǎn)移方和接收方具體的權(quán)利和保護(hù)義務(wù)。

（二）分類(lèi)分級(jí)管理金融數(shù)據(jù)跨境流動(dòng)

分類(lèi)分級(jí)管理是我國(guó)數(shù)據(jù)保護(hù)的基本思路和理念。金融市場(chǎng)的核心競(jìng)爭(zhēng)力之一是捕獲變化的金融信息，金融機(jī)構(gòu)通過(guò)信息數(shù)據(jù)的流通和共享及時(shí)調(diào)整金融風(fēng)險(xiǎn)處置方案和業(yè)務(wù)經(jīng)營(yíng)管理，其對(duì)金融數(shù)據(jù)時(shí)效性的要求高于一般行業(yè)。[5]規(guī)制金融數(shù)據(jù)的跨境流動(dòng)影響著金融數(shù)據(jù)的時(shí)效性。正當(dāng)、合理的規(guī)制機(jī)制應(yīng)當(dāng)是通過(guò)規(guī)制手段避免的潛在損失或因此取得的利益，大于監(jiān)管規(guī)制所投入的成本。[6]為平衡金融效益和數(shù)據(jù)安全，應(yīng)將分類(lèi)分級(jí)的數(shù)據(jù)管理理念貫徹到金融數(shù)據(jù)的跨境流動(dòng)規(guī)制中?！秱€(gè)人金融信息保護(hù)技術(shù)規(guī)范》以信息敏感度為劃分標(biāo)準(zhǔn)，將個(gè)人金融信息劃分為C3，C2，C1 三個(gè)類(lèi)別，《數(shù)據(jù)安全分級(jí)指南》則以數(shù)據(jù)破壞后所影響的對(duì)象，以及其造成的影響結(jié)果作為依據(jù)，劃分為1 到5 共五個(gè)等級(jí)，并將個(gè)人金融信息的劃分標(biāo)準(zhǔn)與其5 個(gè)等級(jí)標(biāo)準(zhǔn)一一對(duì)應(yīng)。

在此基礎(chǔ)上，監(jiān)管部門(mén)可將《數(shù)據(jù)安全分級(jí)指南》的分級(jí)標(biāo)準(zhǔn)和分級(jí)結(jié)果與金融數(shù)據(jù)的跨境流動(dòng)聯(lián)動(dòng)，對(duì)標(biāo)數(shù)據(jù)安全等級(jí)具化出境安全評(píng)估的要求，構(gòu)建合理高效、差異化的審查評(píng)估機(jī)制。一方面，針對(duì)安全等級(jí)和風(fēng)險(xiǎn)等級(jí)均較小的金融數(shù)據(jù)，可以監(jiān)管部門(mén)日常監(jiān)管狀況作為出境安全評(píng)估的參考要素，對(duì)于日常監(jiān)管狀況良好的金融業(yè)機(jī)構(gòu)，可簡(jiǎn)化評(píng)估流程和內(nèi)容。另一方面，對(duì)于安全等級(jí)較高的金融數(shù)據(jù)，嚴(yán)格執(zhí)行現(xiàn)有監(jiān)管要求，但可允許其通過(guò)數(shù)據(jù)脫敏或其他安全加工處理等方式降低安全等級(jí)，使得出境安全評(píng)估更具層次化。

利于金融業(yè)機(jī)構(gòu)對(duì)標(biāo)建立合規(guī)體系，相關(guān)監(jiān)管部門(mén)評(píng)估工作也更層次化。

（三）制定金融數(shù)據(jù)跨境流動(dòng)的標(biāo)準(zhǔn)合同

數(shù)據(jù)保護(hù)義務(wù)原本主要是公法層面的義務(wù)，而標(biāo)準(zhǔn)化合同則是通過(guò)合同的方式將其轉(zhuǎn)化為私法層面的義務(wù)，將數(shù)據(jù)保護(hù)的方式標(biāo)準(zhǔn)化。[7]在個(gè)人信息的跨境流動(dòng)規(guī)制中，我國(guó)法律已規(guī)定以網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同作為個(gè)人信息出境的合法性基礎(chǔ)，金融數(shù)據(jù)的跨境流動(dòng)可參考該做法，制定對(duì)應(yīng)的標(biāo)準(zhǔn)合同以簡(jiǎn)化出境評(píng)估內(nèi)容。關(guān)于數(shù)據(jù)出境的安全評(píng)估辦法，我國(guó)先后公布了四份征求意見(jiàn)稿。盡管各版本在規(guī)制的數(shù)據(jù)對(duì)象、以及評(píng)估內(nèi)容和評(píng)估時(shí)間上存在差異，但其均要求評(píng)估時(shí)重點(diǎn)審查與境外接收者訂立的合同，關(guān)注對(duì)境內(nèi)外雙方關(guān)于金融數(shù)據(jù)保護(hù)的權(quán)利義務(wù)和責(zé)任的規(guī)定，以及合同條款對(duì)金融數(shù)據(jù)主體的保護(hù)狀況和權(quán)利救濟(jì)方式等。故可分類(lèi)整合出境安全評(píng)估的內(nèi)容，將可通過(guò)合同條款規(guī)制的數(shù)據(jù)保護(hù)要求，結(jié)合主管部門(mén)對(duì)金融數(shù)據(jù)的特別監(jiān)管要求，制定兼具風(fēng)險(xiǎn)可控和金融效率的金融數(shù)據(jù)出境標(biāo)準(zhǔn)合同。既可為金融業(yè)機(jī)構(gòu)提供規(guī)范性的合規(guī)指導(dǎo)，也有利于分散出境安全評(píng)估階段的審查壓力，進(jìn)一步優(yōu)化評(píng)估流程和時(shí)長(zhǎng)。

（四）建立出境評(píng)估白名單

金融監(jiān)管部門(mén)采取日常監(jiān)管為主，出境備案為輔的跨境合規(guī)模式，減少金融數(shù)據(jù)跨境流動(dòng)的壁壘。鼓勵(lì)在內(nèi)部建立有完善的數(shù)據(jù)跨境流動(dòng)合規(guī)體系的企業(yè)或組織，向監(jiān)管部門(mén)申請(qǐng)白名單認(rèn)證，尤其是集團(tuán)內(nèi)的金融控股公司。因?yàn)榧瘓F(tuán)內(nèi)部一般擁有非常完善成熟的數(shù)據(jù)保護(hù)機(jī)制，部分跨國(guó)集團(tuán)可能還符合歐盟GDPR 中所指的有約束力的企業(yè)規(guī)則（BCRs）。其次，從數(shù)據(jù)安全的角度來(lái)看，集團(tuán)內(nèi)部跨境傳輸金融數(shù)據(jù)時(shí)，其風(fēng)險(xiǎn)暴露程度和安全等級(jí)遠(yuǎn)小于對(duì)非關(guān)聯(lián)第三方的跨境流動(dòng)。目前，歐盟的GDPR，美國(guó)、韓國(guó)等國(guó)家和地區(qū)的法律規(guī)定，對(duì)于以集團(tuán)內(nèi)部主體為境外接收對(duì)象的金融數(shù)據(jù)跨境流動(dòng)，如有獲數(shù)據(jù)保護(hù)機(jī)關(guān)批準(zhǔn)的BCRs，則可直接在集團(tuán)內(nèi)實(shí)現(xiàn)數(shù)據(jù)的跨境流通。

監(jiān)管部門(mén)可就申請(qǐng)企業(yè)內(nèi)部的合規(guī)體系及其具體執(zhí)行情況進(jìn)行審查，包括數(shù)據(jù)的日常基本保護(hù)狀況以及數(shù)據(jù)安全事件的頻次等，并結(jié)合現(xiàn)場(chǎng)檢查和訪談等方式核定企業(yè)是否達(dá)到我國(guó)關(guān)于金融數(shù)據(jù)安全跨境流動(dòng)的要求。此外，借鑒金融局開(kāi)展年度監(jiān)管評(píng)級(jí)的基本模式，在金融數(shù)據(jù)跨境流動(dòng)領(lǐng)域，同樣以“非現(xiàn)場(chǎng)監(jiān)管+現(xiàn)場(chǎng)檢查”的思路監(jiān)測(cè)調(diào)整出境評(píng)估企業(yè)，保障金融數(shù)據(jù)跨境流動(dòng)的可控性和安全性。