卓子寒 王一楠 全婉晴 呂欣潤
1(國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心 北京 100096)
2(北京德恒律師事務所 北京 100033)
(zzh@cert.org.cn)
隨著數(shù)字經(jīng)濟的發(fā)展,互聯(lián)網(wǎng)技術和新興科技為金融行業(yè)注入新動力,有效增加和完善金融產(chǎn)品供給,降低金融服務成本,促進金融產(chǎn)品創(chuàng)新.依托互聯(lián)網(wǎng)金融大數(shù)據(jù),國家可有效開展實時監(jiān)管,維護金融安全和穩(wěn)定.近年,我國金融監(jiān)管強化趨勢放緩[1],表明我國在完善法律制度規(guī)范的同時,不斷加速金融領域市場化改革和改革開放的步伐.
當前,全球互聯(lián)網(wǎng)金融服務和金融產(chǎn)品蓬勃發(fā)展,金融業(yè)務涉及的個人金融信息跨境流動呈現(xiàn)場景多樣化、傳輸頻次高的特點.相較于由銀行主導的傳統(tǒng)跨境場景,在新興場景中個人金融信息處理者范圍愈發(fā)廣泛,例如支付寶和微信等支付平臺的出現(xiàn),占據(jù)了支付領域前臺位置,而將銀行置于后端,個人消費記錄和支付信息率先被支付平臺獲得[2].境外數(shù)據(jù)接收方范圍也不斷擴大,例如境外金融科技公司、數(shù)據(jù)服務商、大數(shù)據(jù)公司等,可通過合規(guī)方式接收境內(nèi)金融機構(gòu)或持有個人金融信息的公司的數(shù)據(jù).此外,在審慎監(jiān)管需求下,各國將要求數(shù)字貨幣全面配合反洗錢、反恐融資與客戶隱私監(jiān)管要求,新的個人金融信息跨境實踐不斷出現(xiàn).
隨著我國數(shù)字經(jīng)濟的快速發(fā)展和“走出去”發(fā)展戰(zhàn)略的深入實施,個人金融信息因其對個人、國家的特殊性而愈發(fā)凸顯其價值,如何統(tǒng)籌國際金融業(yè)務中數(shù)據(jù)跨境流動的安全與發(fā)展,已成為網(wǎng)絡空間安全的前瞻研究領域,個人金融信息跨境流動的保護與規(guī)制正在我國數(shù)據(jù)安全法律土壤中孕育與生長[3-4].
個人金融信息具有特殊性,既要保護又要共享,在跨越法域的流動中需要進行合理規(guī)制.
個人金融信息兼具私權益和公權益雙重屬性,私權益屬性可分為精神性權益屬性和財產(chǎn)性權益屬性.此外,為滿足國家監(jiān)管和金融業(yè)務開展,個人需讓渡一部分信息權利給國家,由此體現(xiàn)其公權益屬性.
1.1.1 私權益屬性
個人金融信息通常出現(xiàn)于個人向金融機構(gòu)提供信息時,或在金融活動中產(chǎn)生.個人金融信息屬于個人信息,適用于我國對個人信息權益的界定.《中華人民共和國民法典》(簡稱《民法典》)中將個人信息權益作為一項民事權益,屬于人格權,且為人格權中區(qū)別于生命權等物質(zhì)性權益的精神性權益.此外,個人金融信息一旦被侵害,如賬戶和密碼被泄露、信用報告被篡改等,可能導致個人的經(jīng)濟、財產(chǎn)損失等,因此個人金融信息具有鮮明的財產(chǎn)性權益屬性[5].上述精神性權益和財產(chǎn)性權益構(gòu)成了個人金融信息的私權益屬性.
1.1.2 公權益屬性
在市場機制下,個人金融信息流動具有一定的自發(fā)性和盲目性,可能脫離個人知曉范圍,甚至脫離國家可對其保護的范圍和領域.例如,境內(nèi)互聯(lián)網(wǎng)公司與境外證券經(jīng)營機構(gòu)合作,通過境內(nèi)互聯(lián)網(wǎng)公司的平臺網(wǎng)站為境內(nèi)投資者開展境外證券投資提供交易渠道和服務,一旦發(fā)生糾紛或侵權事件,投資者權益將無法得到保障.我國明確設立金融牌照并對境內(nèi)金融活動主體進行監(jiān)管,該行為不僅違反和規(guī)避了相關監(jiān)管要求,還對我國金融穩(wěn)定造成威脅.又如,國家為打擊洗錢活動和恐怖融資活動,在特定情形下需將個人金融信息報告監(jiān)管機構(gòu),包括可疑賬戶、重大可疑交易等,即個人將部分個人信息權益讓渡給國家授權機構(gòu).上述對個人金融信息的保護與掌控是國家維護金融健康穩(wěn)定、保障國家經(jīng)濟安全所需,體現(xiàn)了其公權益屬性,個人金融信息權益與國家、相關機構(gòu)的公法目的將被重新衡量.
我國數(shù)字經(jīng)濟海外市場收入占比較低,在國內(nèi)市場漸趨飽和的情況下,國際市場潛能有待進一步挖掘和釋放.當前,金融領域數(shù)字化改革不斷深入,促進個人金融信息的健康跨境流動對優(yōu)化我國數(shù)字經(jīng)濟和金融服務結(jié)構(gòu)、推動我國經(jīng)濟增長具有重要意義.合理規(guī)制個人金融信息跨境流動,有助于建立起國與國之間的個人金融信息跨境流動信任,為外國企業(yè)“走進來”、國內(nèi)企業(yè)“走出去”提供安全保障.
個人金融信息跨境流動的促進與規(guī)制同樣重要,一旦放任個人金融信息流動,可能會加劇濫用、泄露或竊取的風險,侵害個人信息權益甚至國家金融安全.因此,個人金融信息的共享與保護應從金融監(jiān)管要求、金融消費者保護與數(shù)據(jù)保護等多個維度進行設計,是個人信息保護與金融監(jiān)管的交叉研究領域[6-7].個人金融信息跨境傳輸規(guī)制需要考慮一國法律適用范圍、行政和司法管轄邊界、保護程度等,結(jié)合個人金融信息性質(zhì)和另一法域法律環(huán)境,明確傳輸方義務和接收方處理個人金融信息的合法合理性,并確保傳輸方式安全,進而完成一次動態(tài)的、跨越法域的信息流動.
如上所述,個人金融信息有序流動的關鍵在于平衡個人信息權利與國家公共利益的沖突,個人金融信息跨境流動進一步增加了平衡國家間金融主權、信息主權以及司法主權沖突的需要.
經(jīng)濟全球化帶來了更多的個人金融信息跨境流動需求,然而其管理和技術方面存在安全風險,國家間金融信息主權存在沖突,構(gòu)建健康有序的數(shù)據(jù)跨境流動環(huán)境面臨諸多困難,需要平衡多重沖突進行合理規(guī)制.
我國早期法律法規(guī)是基于金融行業(yè)管理和個人財產(chǎn)權保護的目的規(guī)范金融信息使用,2011年《中國人民銀行關于金融機構(gòu)做好個人金融信息保護工作的通知》對“銀行業(yè)金融機構(gòu)”范圍的個人金融信息進行了較全面定義.從獲取途徑上分為開展業(yè)務時收集和產(chǎn)生的、接入中國人民銀行相關系統(tǒng)獲取的、在以上收集和獲取信息基礎上加工獲取的;從類別上分為個人身份信息、個人財產(chǎn)信息、個人賬戶信息、個人信用信息、個人金融交易信息、衍生信息和其他信息等.2013年《征信業(yè)管理條例》對開展征信業(yè)務的征信機構(gòu)采集個人信息,及國家設立金融信用信息基礎數(shù)據(jù)庫接收和提供信貸信息進行了規(guī)定.金融行業(yè)由于職權、職責及監(jiān)管所限,使得個人金融信息在不同語境下自成群落,更類似于一種集合.
隨著我國對個人信息保護和數(shù)據(jù)安全的重視,2016年《中華人民共和國網(wǎng)絡安全法》(簡稱《網(wǎng)絡安全法》)出現(xiàn)個人信息和重要數(shù)據(jù)的分類,2017年《信息安全技術 數(shù)據(jù)出境安全評估指南(草案)》將金融機構(gòu)安全信息和自然人金融信息界定為重要數(shù)據(jù),列舉了個人財產(chǎn)信息、賬戶信息、個人信用信息、金融交易信息、身份信息和衍生信息等[8].2020年中國人民銀行《個人金融信息保護技術規(guī)范》提出個人金融信息的性質(zhì)“是金融業(yè)機構(gòu)在提供金融產(chǎn)品和服務的過程中積累的重要基礎數(shù)據(jù),也是個人隱私的重要內(nèi)容”,將個人金融信息定義為“金融機構(gòu)通過開展業(yè)務或其他渠道獲取、加工和保存的個人信息.包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息及其他反映特定個人某些情況的信息”.2020年《信息安全技術 個人信息安全規(guī)范》將銀行賬戶、征信信息、交易信息列舉為個人敏感信息[9].2021年《中華人民共和國個人信息保護法》(簡稱《個人信息保護法》)在第28條將“金融賬戶”歸入敏感個人信息.
綜上,金融領域和數(shù)據(jù)安全領域均對金融行業(yè)信息保護提出要求,但落腳點與金融機構(gòu)、金融業(yè)務密不可分,個人金融信息的范圍也因此受限.目前金融業(yè)務不斷創(chuàng)新,致使個人金融信息范圍越發(fā)模糊.此外,相關法律法規(guī)暫未明確界定個人金融信息屬于重要數(shù)據(jù)、個人信息,還是個人敏感信息.個人金融信息范圍和性質(zhì)界定不明,加劇了對其進行跨境流動規(guī)制的困難.
《個人信息保護法》出臺后,個人金融信息面臨多維的保護和監(jiān)管要求,間接影響對其的跨境流動規(guī)制.
2.2.1 個人信息權益保護
近年,網(wǎng)絡借貸和互聯(lián)網(wǎng)金融帶來了大量安全風險隱患,2016年銀監(jiān)會和國務院辦公廳分別發(fā)布風險專項整治工作實施方案,重點打擊“套路貸”和暴力催收的數(shù)據(jù)源頭.多家風控數(shù)據(jù)提供商因爬取個人金融數(shù)據(jù)為銀行和消費金融公司提供服務而被查處.北京銀保監(jiān)會印發(fā)《關于規(guī)范銀行與金融科技公司合作類業(yè)務及互聯(lián)網(wǎng)保險業(yè)務的通知》,要求銀行、保險中介機構(gòu)等“嚴禁與以‘大數(shù)據(jù)’為名竊取、濫用、非法買賣或泄露客戶信息的企業(yè)開展合作”.2017年《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,將“非法獲取、出售……征信信息、財產(chǎn)信息五十條以上的”和“非法獲取、出售……交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息五百條以上的”作為侵犯公民個人信息罪的情節(jié)嚴重情形.2020年《民法典》在民事權利章中明確自然人的個人信息與自然人的人身自由、人格尊嚴同樣受法律保護.個人金融信息的共享與保護同樣在此路徑下展開.
2.2.2 金融消費者權益保護
專業(yè)金融機構(gòu)與金融消費者掌控的信息存在不對稱性,金融消費者在交易中處于弱勢地位,容易遭受金融詐騙.相關立法逐漸從金融機構(gòu)承擔傳統(tǒng)保密義務延伸至保護金融消費者的信息權益.2012年《中國人民銀行關于金融機構(gòu)進一步做好客戶個人金融信息保護工作的通知》,從保護金融消費者合法權益和維護金融穩(wěn)定角度強調(diào)了銀行業(yè)金融機構(gòu)對客戶個人金融信息的保護義務.2020年《中國人民銀行金融消費者權益保護實施辦法》提出“銀行、支付機構(gòu)應當建立以分級授權為核心的消費者金融信息使用管理制度,根據(jù)消費者金融信息的重要性、敏感度及業(yè)務開展需要,在不影響本機構(gòu)履行反洗錢等法定義務的前提下,合理確定本機構(gòu)工作人員調(diào)取信息的范圍、權限,嚴格落實信息使用授權審批程序”.
2.2.3 金融行業(yè)數(shù)據(jù)保護
個人金融信息的特殊性越來越受到數(shù)據(jù)安全領域重視,2011年《中國人民銀行關于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》,對銀行業(yè)金融機構(gòu)在中國境內(nèi)收集的個人金融信息提出了本地化要求,即必須在中國境內(nèi)存儲、處理和分析,并禁止向境外提供.《征信業(yè)管理條例》對征信機構(gòu)在中國境內(nèi)采集的信息提出本地化要求,若向境外組織或個人提供應遵循有關規(guī)定. 2019年中國人民銀行下發(fā)《個人金融信息(數(shù)據(jù))保護試行辦法(初稿)》(簡稱《試行辦法》),規(guī)定在本地化存儲的前提下,境內(nèi)金融機構(gòu)需滿足5方面要求方可開展數(shù)據(jù)出境活動:1)處理跨境業(yè)務所需;2)取得主體明確同意;3)進行安全評估;4)出境前與境外接收方簽署協(xié)議;5)出境后保存記錄并履行監(jiān)督義務.2020年中國人民銀行發(fā)布《個人金融信息保護技術規(guī)范》再次確認了《試行辦法》中的監(jiān)管框架,僅在文字上進行部分調(diào)整.此外,2020年《中華人民共和國數(shù)據(jù)安全法》(簡稱《數(shù)據(jù)安全法》)規(guī)定,除中央國家安全領導機構(gòu)統(tǒng)籌國家數(shù)據(jù)安全工作外,各地區(qū)、各部門對各自工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負責,工業(yè)、電信、交通、金融等主管部門承擔本行業(yè)、本領域數(shù)據(jù)安全監(jiān)管職責.
《數(shù)據(jù)出境安全評估辦法》將數(shù)據(jù)出境描述為數(shù)據(jù)處理者向境外提供在我國境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù).因此,數(shù)據(jù)跨境流動框架中對個人金融信息的規(guī)制范圍超越了行業(yè)劃分或職權職責的限制.個人金融信息在我國現(xiàn)有數(shù)據(jù)跨境流動框架中顯現(xiàn)出多重定位.
首先,個人金融信息可以成為個人信息的下屬概念,即個人信息中涉及開展金融業(yè)務所需的信息,如金融賬戶、金融交易信息等.在我國,金融賬戶等一旦泄露或非法使用,容易導致自然人財產(chǎn)安全受到危害的個人信息屬于敏感個人信息,應遵循《個人信息保護法》中敏感個人信息的處理規(guī)則.其次,個人金融信息也可能因數(shù)量上的聚集成為重要數(shù)據(jù).此外,銀行、證券公司、保險公司等運營個人金融信息的機構(gòu),越來越依賴信息通信技術基礎設施,保護金融機構(gòu)的信息安全成為與個人金融信息相關的又一重要內(nèi)容.
在個人信息出境方面,《個人信息保護法》第3章要求,個人信息處理者因業(yè)務等需要,確需向境外提供個人信息的,應滿足以下條件之一:1)進行國家網(wǎng)信部門組織的安全評估;2)進行專業(yè)機構(gòu)組織的個人信息保護認證;3)與境外接收方訂立標準合同;4)通過中國締結(jié)或參加的國際條約、協(xié)定.在關鍵信息基礎設施運營者(簡稱關基運營者)和重要數(shù)據(jù)出境方面,結(jié)合《數(shù)據(jù)安全法》第31條、《網(wǎng)絡安全法》第37條規(guī)定,關基運營者在境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)因業(yè)務需要,確需向境外提供的,應當進行安全評估;其他數(shù)據(jù)處理者在中國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國家網(wǎng)信部門會同國務院有關部門制定.再結(jié)合《網(wǎng)絡安全法》第37條和《個人信息保護法》第40條中數(shù)據(jù)本地化的要求,關基運營者在境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)、處理個人信息達到網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者在境內(nèi)收集和產(chǎn)生的個人信息應當存儲在境內(nèi).我國多重出境規(guī)則的設計對個人金融信息的適配性需進一步考量.
在進行個人金融信息跨境流動規(guī)制設計時,應平衡不同維度法益沖突,協(xié)調(diào)不同規(guī)則與數(shù)據(jù)跨境流動需求的適配性.
數(shù)據(jù)跨境流動已成為統(tǒng)籌安全與發(fā)展的重要命題,隨著我國個人金融信息跨境流動頻次的不斷增加,如何對其進行張弛有度的數(shù)據(jù)跨境流動規(guī)制,面臨前所未有的挑戰(zhàn).個人金融信息的雙重屬性和數(shù)據(jù)跨境流動跨越不同法域的特點,引起多重法益沖突,平衡這些法益沖突是促進個人金融信息流動與規(guī)制的核心.
3.1.1 平衡私主體與金融機構(gòu)的權益
個人金融信息具有公益屬性,個人往往將其部分金融信息權利讓渡給金融及公權力機構(gòu),包括個人提供給金融機構(gòu)的信息、個人參與金融活動過程中產(chǎn)生的信息、金融機構(gòu)通過大數(shù)據(jù)分析生成的用戶畫像、增值數(shù)據(jù)等.而就衍生數(shù)據(jù)及增值數(shù)據(jù)是否進入金融機構(gòu)使用權益范圍,是否可以不經(jīng)個人同意進行數(shù)據(jù)分享有待更明確的規(guī)定[10].這將直接影響個人金融信息權利的實現(xiàn)和金融機構(gòu)個人金融信息共享的義務,并對跨境場景下金融機構(gòu)個人金融信息保護義務和信息主體權利的行使產(chǎn)生一定影響.因此,界定私主體與金融機構(gòu)關于個人金融信息處理的權利與義務尤為重要.
3.1.2 平衡金融機構(gòu)義務與其他國家管轄權的沖突
參考各國數(shù)據(jù)跨境流動規(guī)制路徑,在跨境場景下,國家對個人金融信息的監(jiān)管要求與金融機構(gòu)對消費者個人信息的保護義務時常發(fā)生沖突.對此,各國結(jié)合自身的數(shù)字經(jīng)濟規(guī)模、國際影響力和金融科技發(fā)展水平采取不同策略.例如,美國在互聯(lián)網(wǎng)技術和數(shù)字經(jīng)濟規(guī)模均居于領先地位,國內(nèi)市場對其他國家具有很大吸引力,因此推崇數(shù)據(jù)自由流動理念,旨在降低其他國家數(shù)據(jù)進入境內(nèi)的門檻以匯聚信息.為了更好地掌握數(shù)據(jù)資源,美國反對數(shù)據(jù)本地化存儲,雖然出于監(jiān)管需求在跨太平洋伙伴關系協(xié)定(trans-pacific partnership agreement, TPP)中并未禁止金融機構(gòu)數(shù)據(jù)本地化,但在此后的各類貿(mào)易談判中對金融數(shù)據(jù)本地化仍持反對態(tài)度[11].此外,美國采用外商投資審查方式審慎防范他國獲取其公民的個人金融信息,且通過《愛國者法案》確立對有關外國人和外國金融機構(gòu)的長臂管轄,以獲取他國掌握的個人信息[12].中資銀行因在美國設有分行而收到傳票,被要求提供相關人員在中國境內(nèi)賬戶信息的情形時有發(fā)生,這引發(fā)了我國金融機構(gòu)保密義務與美國司法和執(zhí)法管轄的沖突[13].
3.1.3 平衡國家安全與數(shù)據(jù)自由流動之間的法益沖突
數(shù)據(jù)要素市場中,數(shù)據(jù)的自由流動和合理配置有助于市場開放透明、打破市場信息壟斷,使資源處于最佳配置狀態(tài),給國家?guī)砭薮蟮慕?jīng)濟利益[14].個人金融信息對個人和對國家都具有重要價值,個人金融信息泄露不僅會造成個人財產(chǎn)損失,更可能因不當開發(fā)和使用對國家金融穩(wěn)定和國家經(jīng)濟安全帶來威脅.個人金融信息的跨境流動加劇了安全風險隱患:在跨境傳輸技術上,服務器之間的數(shù)據(jù)傳輸存在一定風險;在數(shù)據(jù)傳輸之后,數(shù)據(jù)的處理和存儲安全也面臨挑戰(zhàn).在國家安全與數(shù)據(jù)自由流動的權衡中,一刀切的監(jiān)管與規(guī)制無法適應個人金融信息跨境流動需求.在對個人金融信息跨境流動進行規(guī)制時,應將安全與發(fā)展并重,在保障國家安全和數(shù)據(jù)安全的前提下,發(fā)揮金融市場要素配置的自主性.
3.2.1 細化跨境場景下個人金融信息界定
對個人金融信息的范圍和性質(zhì)進行明確,是對其進行監(jiān)管和跨境流動規(guī)制的前提.但如前所述,監(jiān)管視角下的個人金融信息范圍受到“金融機構(gòu)”和“金融業(yè)務”的限制.只有明確個人金融信息的范圍、權屬才能將國家金融監(jiān)管要求與數(shù)據(jù)跨境流動規(guī)制相結(jié)合,達到1+1>2的效果;只有細化個人金融信息在數(shù)據(jù)跨境流動規(guī)制中的界定,才能更好地基于數(shù)據(jù)類型、敏感閾值和存儲需求展開規(guī)制設計.
各國均面臨如何界定個人金融信息范圍和權屬的難點.針對個人金融信息范圍,美國在《金融服務現(xiàn)代化法案》(Gram-Leach-Bliley Act, GLB)中定義“非公開個人信息”,美國國家信用合作社管理局(Nationwide Credit Union Association, NCUA)對此有2種不同解釋:一種為可識別個人身份的金融信息和任何列表、描述以及使用可識別個人身份的金融信息獲得的相關公開信息.這一規(guī)則將公開信息排除在非公開個人信息范圍之外,但如果某一可公開獲取的信息來自于消費者向金融機構(gòu)提供的信息,則該公開信息將被視為非公開個人信息,如金融消費者向金融機構(gòu)提供的地址信息等.另一種則允許金融機構(gòu)發(fā)布可公開獲取信息,但仍然禁止將此信息作為個人可識別信息衍生的消費者列表、描述或者其他分組的一部分進行公開[15].最新規(guī)則對此進行折中,通過明確何為“可公開獲取的信息”以緩解金融機構(gòu)的證明困難,并規(guī)定可公開獲取的信息不屬于非公開個人信息.此外,GLB法案中將個人可識別金融信息定義為金融機構(gòu)在為消費者提供金融服務和產(chǎn)品時獲取的信息.該定義引起較大爭議,學術界認為個人可識別金融信息不應當包括非金融信息,因此NCUA和其他機構(gòu)在最新規(guī)則中對此增加舉例.針對個人金融信息的權屬,美國通過建立“通知”和消費者“選擇退出”的機制,將金融消費者個人金融信息的部分使用和共享權賦予金融機構(gòu).
我國在個人金融信息的范圍和權益上亟待完善[16]:首先,對于個人金融信息是否必須與金融相關需要更明確的規(guī)定,比如個人地址、電話、身體健康狀態(tài)可因金融業(yè)務需要被金融機構(gòu)收集、存儲,但在相關金融業(yè)務結(jié)束后是否仍屬于個人金融信息有待說明;其次,《個人信息保護法》以“知情-同意”為處理個人信息的核心合法性基礎,但在個人信息跨境傳輸設計中,取得個人同意為數(shù)據(jù)處理者義務,并非跨境傳輸?shù)暮诵暮戏ㄐ曰A,即在個人同意之外仍需其他合法基礎.在該路徑下,境外金融機構(gòu)若需處理境內(nèi)個人金融信息,個人的授權只是基礎,個人對信息的使用權、攜帶權會遭受一定程度干預.此外,在個人金融信息的性質(zhì)界定上,《個人金融信息保護技術規(guī)范》認為個人金融信息是個人隱私的重要內(nèi)容,并且“一旦泄露,不但會直接侵害個人金融信息主體的合法權益、影響金融機構(gòu)的正常運營,甚至可能會帶來系統(tǒng)性金融風險”.其本意在強調(diào)個人金融信息的重要,但因個人金融信息范圍廣泛,其內(nèi)容敏感性不能從單一角度衡量,如個人賬戶信息與個人姓名的敏感性并不相同,籠統(tǒng)地將個人金融信息作為個人隱私或敏感個人信息不能反映其特點[17].從《數(shù)據(jù)安全法》規(guī)定國家建立數(shù)據(jù)分類分級保護制度,到《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》根據(jù)金融數(shù)據(jù)的敏感程度分類,再到《網(wǎng)絡數(shù)據(jù)分類分級指引》進一步指導網(wǎng)絡數(shù)據(jù)分類,我國個人金融信息跨境相關要求暫未與上述分類分級標準相結(jié)合,在規(guī)制時應細化其范圍和性質(zhì)界定[18].
3.2.2 規(guī)范監(jiān)管域與非監(jiān)管域間的個人金融信息流動
我國將個人金融信息作為一種特殊的個人信息進行保護,在個人金融信息和金融機構(gòu)范圍不斷擴張的趨勢下,傳統(tǒng)金融行業(yè)監(jiān)管存在滯后性和不足.因此,在銜接監(jiān)管場域與跨境場域下的個人金融信息規(guī)范時,應注重 “監(jiān)管域”與“非監(jiān)管域”之間的個人金融信息流動.一方面,當監(jiān)管域內(nèi)的金融機構(gòu)將信息提供給非監(jiān)管域的機構(gòu)時,應要求其提供與自身同等水平的安全保護;另一方面,對于非監(jiān)管域下的信息流入,應了解信息來源的合法性、準確性和真實性,以防范風險[19].
3.2.3 促進本地化要求與數(shù)據(jù)跨境流動規(guī)制銜接
我國規(guī)定關基運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者,在境內(nèi)收集和產(chǎn)生的個人信息應當存儲于境內(nèi).金融機構(gòu)大多掌握海量個人信息,依據(jù)規(guī)定應存儲于境內(nèi),這在金融機構(gòu)的相關規(guī)范性文件中也有體現(xiàn).但存儲于境內(nèi)并非禁止跨境傳輸,應結(jié)合金融行業(yè)關聯(lián)機構(gòu)、關聯(lián)業(yè)務的特點,明確跨國銀行等關聯(lián)機構(gòu)、分支機構(gòu)內(nèi)部數(shù)據(jù)傳輸?shù)暮侠硇裕约耙驑I(yè)務需要進行跨境傳輸?shù)谋匾樾蝃20].
根據(jù)《個人信息保護法》第38條,我國締結(jié)或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的,可以按照其規(guī)定執(zhí)行.該條款為根據(jù)國際條約、協(xié)定進行數(shù)據(jù)跨境傳輸提供了法律依據(jù).目前,我國已正式加入《區(qū)域全面經(jīng)濟伙伴關系協(xié)定》(Regional Comprehensive Economic Partnership, RCEP),已申請加入 《全面與進步跨太平洋伙伴關系協(xié)定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership, CPTPP),準備加入《數(shù)字經(jīng)濟伙伴關系協(xié)定》(Digital Economy Partnership Agreement, DEPA).RCEP和CPTPP在電子數(shù)據(jù)傳輸方面具有廣泛的包容性和彈性,考慮到成員國不同情況,給予就數(shù)據(jù)跨境傳輸提供例外規(guī)范的空間.我國數(shù)據(jù)跨境流動規(guī)制應從國際合作視角出發(fā),與區(qū)域間條約和協(xié)定相銜接,加強我國與其他國家和地區(qū)的國際交流合作,達到深化金融領域“改革開放”的目的[21].
與國際條約、協(xié)定相銜接,首先應判斷個人金融信息在相關條約、協(xié)定中的位置,是否屬于電子商務章中以電子方式進行跨境傳輸?shù)囊?guī)制范圍內(nèi);其次應考慮跨境傳輸規(guī)則的原則與例外,遵守原則規(guī)定,在例外情形下結(jié)合國家實際情況和需求進行規(guī)制;最后,應尊重其他國家的保留和例外條款.這樣才能建立起相互間信任關系,有效發(fā)揮條約與協(xié)定中個人信息跨境傳輸規(guī)則的作用.雖然RCEP規(guī)定的以電子方式進行數(shù)據(jù)跨境傳輸并不適用于金融服務,但RCEP在第16條將金融服務的數(shù)據(jù)跨境流動和計算設施位置納入電子商務對話,我國若能與其他國家和地區(qū)達成相互承諾,出于公共政策目的對個人金融信息監(jiān)管采取保護措施,將會促進各方的個人金融信息跨境傳輸.
當前,數(shù)據(jù)跨境流動安全成為網(wǎng)絡空間安全的前瞻研究領域,個人金融信息跨境流動在數(shù)字經(jīng)濟和金融科技發(fā)展中存在廣泛的現(xiàn)實需求,為統(tǒng)籌好國際間金融業(yè)務的安全與發(fā)展,需要對其進行合理規(guī)制.個人金融信息兼具私權益屬性與公權益屬性,只有細化個人金融信息的范圍和數(shù)據(jù)性質(zhì),才能劃分信息主體和相關機構(gòu)對個人金融信息享有的權益邊界,從而進一步結(jié)合個人金融信息類別進行跨境流動規(guī)制.實踐中,金融業(yè)務創(chuàng)新促使金融活動主體范圍擴張,通過規(guī)范監(jiān)管域與非監(jiān)管域之間的個人金融信息流動、協(xié)調(diào)本地化與金融機構(gòu)間業(yè)務需要的信息流動,可以合理促進我國個人金融信息跨境流動.此外,我國在設計規(guī)制路徑時還應當考慮與區(qū)域間條約、協(xié)定相銜接,以促進區(qū)域間金融合作與發(fā)展,提升我國在信息領域的國際話語權和影響力.基于數(shù)據(jù)類型、敏感閾值和存儲需要進行具體規(guī)則設計,并與區(qū)域間條約協(xié)定相契合,將成為促進與規(guī)制我國個人金融數(shù)據(jù)跨境流動的合理路徑.
致謝本課題研究過程中得到了北京理工大學洪延青教授、西安交通大學李金特聘研究員的幫助和指導,在此一并感謝.