文/孫祁 謝坤潮

數(shù)字信息技術一日千里，數(shù)字金融發(fā)展迅捷，金融數(shù)據(jù)由于蘊含巨大價值很容易成為網(wǎng)絡攻擊的重要目標。今年，著名的云基礎架構廠商VMware對全球130名金融部門首席信息安全官和安全領導者進行的調查顯示，過去的一年中，66%的金融機構經(jīng)歷過以商業(yè)機密竊取為目的的攻擊；74%的受訪金融機構在過去一年中至少經(jīng)歷過一次勒索軟件攻擊；30%的機構經(jīng)歷了多次勒索攻擊，其中超過六成選擇支付贖金。

當前，全球金融數(shù)字化轉型已經(jīng)進入關鍵階段，銀行業(yè)金融機構的業(yè)務數(shù)據(jù)已成為本質、核心、關鍵的生產(chǎn)要素。銀行業(yè)金融機構正通過對業(yè)務數(shù)據(jù)的匯集、分析與挖掘，不斷提高經(jīng)營效率，提升客戶服務水平，實現(xiàn)業(yè)務創(chuàng)新、產(chǎn)品創(chuàng)新和服務創(chuàng)新。銀行業(yè)金融機構的數(shù)據(jù)安全關系到金融行業(yè)的資金安全以及大數(shù)據(jù)時代為數(shù)據(jù)的增值分析、利用而帶來的衍生價值。數(shù)據(jù)安全是銀行當前業(yè)務穩(wěn)定運行和創(chuàng)新發(fā)展的迫切需要。當前，金融數(shù)據(jù)安全已不再是行業(yè)內部的自律性要求，而是全方位、多層次、立體化的數(shù)據(jù)安全建設體系。金融數(shù)據(jù)安全也不再是金融機構個體單獨發(fā)展防御風險的保障，它正在成為地域經(jīng)濟、國際經(jīng)濟是否呈現(xiàn)良性健康態(tài)勢與轉型的關鍵因素之一。

然而，從全球范圍看，金融數(shù)據(jù)安全的維護與監(jiān)管呈現(xiàn)出多種模式，除美國的內外二元化規(guī)制模式外，歐盟強隱私保護與接收地信息安全評估模式，以及新興經(jīng)濟體注重數(shù)據(jù)主權安全，采用普遍限制路徑模式值得深入研究。

歐盟模式：強隱私保護與接收地信息安全評估

在歷史傳統(tǒng)影響下，與經(jīng)濟發(fā)展相比，歐盟更強調保護個人數(shù)據(jù)權利，認為不能以犧牲公民隱私權為代價促進經(jīng)濟發(fā)展。因此，歐盟在數(shù)據(jù)跨境流動規(guī)制方面，把保護個人權利作為首要原則。歐盟金融數(shù)據(jù)跨境流動規(guī)制模式主要表現(xiàn)在兩個方面：

第一，歐盟內部法案涉及金融數(shù)據(jù)跨境流動規(guī)制。目前，歐盟數(shù)字監(jiān)管政策主要涵蓋《一般數(shù)據(jù)保護條例》（GDPR）、《歐盟非個人數(shù)據(jù)自由流動條例》《歐盟電子隱私保護條例》和《歐盟電子身份框架》等。對個人金融數(shù)據(jù)的跨境流動規(guī)制，歐盟仍以GDPR的個人數(shù)據(jù)保護規(guī)則為主。根據(jù)2019年度《GDPR執(zhí)法案例精選白皮書》，自GDPR生效以來，歐盟已經(jīng)對超過22個國家和地區(qū)作出處罰，其中有6起就發(fā)生在金融領域。這些處罰多與個人金融數(shù)據(jù)相關，充分體現(xiàn)了GDPR對個人權利保護的重視。

第二，歐盟簽署的自貿協(xié)定涉及金融數(shù)據(jù)跨境流動規(guī)制。無論是《歐盟—智利自貿協(xié)定》(2005)，還是《歐盟—韓國自貿協(xié)定》（2015）、《歐盟—加拿大自貿協(xié)定》（2016）、《歐盟—新加坡自貿協(xié)定》（2019）、《歐盟—日本經(jīng)濟伙伴關系協(xié)定》（2019）以及《歐盟—越南自貿協(xié)定》（2020），在金融數(shù)據(jù)跨境流動條款中均包含兩方面內容：金融機構日常經(jīng)營數(shù)據(jù)可跨境流動、締約方需保護個人隱私。歐盟希望在保障個人隱私的前提下實現(xiàn)金融數(shù)據(jù)跨境自由流動。對于涉及個人隱私的金融數(shù)據(jù)，歐盟希望給予充分保護；對于不涉及個人隱私的金融數(shù)據(jù)，根據(jù)《歐盟非個人數(shù)據(jù)自由流動條例》的相關規(guī)定，其限制性相對較少。

可見，美歐的金融數(shù)據(jù)流動總體上呈現(xiàn)出開放和自由的趨勢，但這樣的自由并非無條件、無限度，也絲毫不會削弱其對公民個人隱私的保護。無論是美國在國際法上對數(shù)據(jù)自由流動的主張還是歐盟對內部金融信息流動的保障，抑或是前者通過國家安全審查限制數(shù)據(jù)出境和后者對公民隱私權的強力保護；歸根結底，各國都是基于自身數(shù)據(jù)保護能力和數(shù)字經(jīng)濟發(fā)展的國家利益來設計數(shù)據(jù)流動規(guī)則，從而確保自身所重視的價值利益被妥善平衡。

當前，域外數(shù)據(jù)立法試圖以規(guī)制的方式尋求“金融數(shù)據(jù)跨境自由流動”同“金融數(shù)據(jù)保護”兩者之間的平衡。

新興經(jīng)濟體模式：注重數(shù)據(jù)主權安全，采用普遍限制路徑

值得注意的是，俄羅斯、印度尼西亞、越南等新興經(jīng)濟體國家對金融數(shù)據(jù)跨境流動采取“普遍限制”的規(guī)制路徑,要求金融機構核心系統(tǒng)本地化和金融數(shù)據(jù)在本地存儲。

根據(jù)俄羅斯金融數(shù)據(jù)本地化存留制度的規(guī)定，將數(shù)據(jù)轉出俄羅斯之前，金融數(shù)據(jù)處理人必須確保接收國對個人數(shù)據(jù)提供足夠的保護，金融數(shù)據(jù)接收人所在國應為《個人數(shù)據(jù)自動化處理中的個人保護公約》（以下簡稱“公約”）締約國。

2018年，俄羅斯更新了被官方認可為“確保充分保護”的國家名單，除公約成員國以外，截至目前還有26個國家被列入“白名單”。但如果處理人向無法提供同等保護的境外主體轉移個人資料，必須滿足以下條件之一：（1）取得數(shù)據(jù)主體的書面同意；（2）俄羅斯聯(lián)邦參加的國際條約關于簽證事宜另有規(guī)定的，以及國際條約中涉及提供民事、家庭和刑事案件司法協(xié)助事宜另有規(guī)定的；（3）基于保護俄羅斯聯(lián)邦憲法制度、保障國家安全目的所需；（4）履行數(shù)據(jù)主體作為一方當事人的合同要求；（5）在不能取得個人數(shù)據(jù)主體的書面形式同意時，為保護其或者他人的生命、健康、其他重大生存利益……

因此，俄羅斯以維護金融數(shù)據(jù)安全為著眼點，確立了以金融數(shù)據(jù)本地化作為數(shù)據(jù)跨境流動的監(jiān)管措施，其目的是保障數(shù)據(jù)主權與信息安全。

俄羅斯推行嚴格的金融數(shù)據(jù)存儲本地化措施，要求在俄羅斯產(chǎn)生的金融數(shù)據(jù)只能在俄羅斯境內存儲與使用，禁止向境外傳輸和從境外訪問，拒絕數(shù)據(jù)國際共享，一定程度上限制了金融數(shù)據(jù)跨境流動。俄羅斯雖然通過極端的保護措施維護了國家利益，但也制約了金融數(shù)據(jù)跨境流動所帶來的經(jīng)濟和社會利益。

盡管美歐一直對新興經(jīng)濟體采取的上述政策多加指責，但金融核心系統(tǒng)本地化和金融數(shù)據(jù)本地存儲是兩個性質不同的問題，必須分別探討規(guī)制限度的合理性：首先，金融核心系統(tǒng)本地化的規(guī)制措施與這些國家的金融市場發(fā)展狀況、對外資金融機構的監(jiān)管手段和監(jiān)管科技發(fā)展程度息息相關，屬于一國金融規(guī)制的自主權利。金融機構的核心系統(tǒng)在物理上體現(xiàn)為存儲或處理金融數(shù)據(jù)的計算機基礎設施，也即通常所說的數(shù)據(jù)中心。要求核心系統(tǒng)本地化是對外資金融機構的業(yè)務連續(xù)性和風險防范進行監(jiān)管的首要方式，同時也是金融機構安全穩(wěn)健運營的前提基礎，不規(guī)制的代價相比規(guī)制的成本而言要高昂得多。其次,對于要求金融機構在境內存儲金融數(shù)據(jù)的規(guī)制措施，則是國際上通常從服務貿易角度探討的數(shù)據(jù)跨境流動問題。若禁止基于業(yè)務需求跨境傳輸金融數(shù)據(jù)，確實會對金融機構為客戶提供金融服務產(chǎn)生影響甚至降低其競爭力。此外，由于數(shù)據(jù)并不是稀缺資源，要求核心系統(tǒng)本地化并不妨礙在一定條件下允許金融機構跨境傳輸開展業(yè)務所必需的金融數(shù)據(jù)。

綜上，隨著全球數(shù)字科技與金融服務的深度融合，金融數(shù)據(jù)跨境流動已形成不可逆趨勢。當前，域外數(shù)據(jù)立法試圖以規(guī)制的方式尋求“金融數(shù)據(jù)跨境自由流動”同“金融數(shù)據(jù)保護”兩者之間的平衡。世界各國金融數(shù)據(jù)經(jīng)歷了從“絕對本地化要求”到“有條件跨境流動”的過程，但金融數(shù)據(jù)跨境流動規(guī)制面臨多重困境。金融數(shù)據(jù)的跨境流動需要平衡的利益較多：一是金融數(shù)據(jù)往往包含較多的個人和機構客戶信息，敏感性較高、隱私性較強，其流動必須保證在一國范圍內充分保障信息的安全。二是金融機構沉積了海量的客戶數(shù)據(jù)，網(wǎng)絡攻擊、數(shù)據(jù)泄露等事件都可能會導致國家的金融安全和穩(wěn)定受到嚴重破壞。三是金融數(shù)據(jù)的跨境流動能夠創(chuàng)造巨大的經(jīng)濟價值，這對于數(shù)字經(jīng)濟的發(fā)展、經(jīng)濟全球化的推進具有重要意義，數(shù)據(jù)流動的規(guī)制應明確，但不能沒有上限。四是金融機構的經(jīng)營單元呈現(xiàn)出全球配置的趨勢，資金流、信息流具有全球流動的需要，合理規(guī)制金融數(shù)據(jù)跨境流動，對于國外金融機構參與金融市場建設，擴大金融開放，具有重要意義。因此，需要以金融數(shù)據(jù)跨境流動規(guī)則為突破口，樹立動態(tài)的金融數(shù)據(jù)價值觀, 并不斷細化金融數(shù)據(jù)跨境流動具體規(guī)制措施，在現(xiàn)行法律體系框架下積極尋求和探索綜合且多元的金融數(shù)據(jù)保護路徑。