金融信息跨境传输的法律规制与实践困惑.docx

1、金融信息跨境传输的法律规制与实践困惑金融信息跨境传输的法律规制与实践困惑在数据信息的时代背景下，各类数据信息的自由流动推动了跨境服务、跨境贸易的发展。金融信息跨境传输不仅促进了企业的国际化，更是有利于全球金融行业的迅速发展。倘若在金融交易中，金融信息的跨境传输缺乏统一的法律监管，任其自由、无序地扩张，那么金融交易市场势必走向混沌之态。对于在金融交易市场中的个人用户而言，若个人金融信息被金融机构泄露或者采取不正当的方式进行使用，则信息主体很可能遭受财产损失。与此同时，金融机构也会遭到行政处罚等法律制裁。因此，保障金融信息跨境传输的有序性和安全性至关重要，对金融信息跨境传输进行法律规制且将其不断完

2、善之必要性不言而喻。二、金融信息跨境传输法律规制的现状分析2018年4月8日中国银行保险监督管理委员会在北京金融街正式挂牌，银行业和保险业监管机构的合并意味着现代金融监管框架的进一步重塑。银行业强调服务实体、有序化解影子银行风险、推动房地产长效机制建设；而保险业更注重在股权、产品、渠道等方面出台新政策，通过细化和严格监管标准来推动保险业回归保障并转型高质量发展。2银保监会与央行一道对金融信息及其跨境传输进行监管，从立法到执法，相辅相成。在立法方面，从法律到部门规章，我国对于金融信息跨境传输的规制逐渐趋于完整、详尽。但相较于国外发达国家，依旧存在一些欠缺。（一）我国对金融信息跨境传输的法律规制早

3、在2011年1月21日，中国人民银行就发布了关于银行业金融机构做好个人金融信息保护工作的通知（以下简称“2011通知”）。2011通知第六条规定，在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行，除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。2014年6月11日，中国人民银行办公厅发布2013年个人金融信息保护专项检查情况的通报（以下简称“2013通报”）。2013通报在“发现的主要问题”中提及，外资银行内控制度建设较为完善，安全防范措施较为严密，并制定了信息安全管理标准，对客户信息实施分级管理。但部分外资银行将数据中心设在境外、根据母国或总

4、行监管合规要求跨境报送数据等行为，不符合监管部门的相关规定。2017年6月1日开始实施的中华人民共和国网络安全法（以下简称“网安法”）第三十一条提出国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。网安法第三十七条规定，关键信息基础设施的运营者应当在中华人民共和国境内存储在运营中收集和产生的公民个人信息等重要数据；因业务需要，确需在境外存储或者向境外的组织或者个人提供的，应当按照国家网信部门会同国务院有关部门制

5、定的办法进行安全评估。2016年12月14日中国人民银行制定的中国人民银行金融消费者权益保护实施办法第三十三条规定，在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，金融机构不得向境外提供境内个人金融信息。境内金融机构为处理跨境业务且经当事人授权，向境外机构（含总公司、母公司或者分公司、子公司及其他为完成该业务所必需的关联机构）传输境内收集的相关个人金融信息的，应当符合法律、行政法规和相关监管部门的规定，并通过签订协议、现场核查等有效措施，要求境外机构为所获得的个人金融信息保密。2018年6月27日公安部公布的网络安全登记保护条例（征求意见稿

6、）（以下简称“保护条例”）。保护条例第十五条根据网络在国家安全、经济建设、社会生活中的重要程度，以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素，将网络分为五个安全保护等级。据此，保护条例规定网络运营者应当根据不同的安全保护等级履行不同程度的安全保护义务以保障网络和信息安全，如第二十一条要求第三级以上的网络运营者除了应当履行第二十条规定的一般网络安全保护义务，还应当履行建立逐级审批制度等特殊网络安全保护义务。另外，保护条例要求网络运营者应当进行上线检测、等级测评、安全整改、安全自查等。在数据和信

7、息安全保护方面，保护条例第三十一条要求网络运营者应当建立并落实重要数据和个人信息安全保护制度；采取保护措施，保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全；建立异地备份恢复等技术措施，保障重要数据的完整性、保密性和可用性。未经允许或授权，网络运营者不得收集与其提供的服务无关的数据和个人信息；不得违反法律、行政法规规定和双方约定收集、使用和处理数据和个人信息；不得泄露、篡改、损毁其收集的数据和个人信息；不得非授权访问、使用、提供数据和个人信息。2018年7月11日中国人民银行发布了关于加强跨境金融网络与信息服务管理的通知（以下简称“2018通知”）。2018通知要求境外提供人在为

8、境内使用人提供跨境金融网络与信息服务之时，应当在正式提供服务前30个工作日内，以书面形式（含电子文件）向中国人民银行履行报告手续。境外提供人应当于每年7月20日前和次年1月20日前，以书面形式向中国人民银行分别报告上半年和上年度在境内开展服务的情况。境外提供人为境内使用人提供服务，其服务内容、业务规则和技术手段等有重大变更的，应当于变更前30个工作日内以书面形式报告中国人民银行。境外提供人不得在境内建设专用金融网络提供金融信息传输等服务，但可以授权其在我国境内设立的机构履行相关报告义务。除此之外，2018通知要求境内使用人拟使用境外提供人服务的，应当于事前以书面形式向境内使用人法人机构所在地中

9、国人民银行省级分支机构履行报告手续。境外提供人和境内使用人应当加入中国支付清算协会，接受行业自律管理。中国人民银行根据宏观审慎管理需要，对境外提供人履行报告的事项和境内使用人的报告事项实施评估，强化跨境金融网络与信息安全保护、信息共享和监督管理，并将与境外提供人注册所在地监管当局建立监管合作框架，加强协调沟通和信息共享。2019年1月1日电子商务法开始实施，该法第二十五条规定有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全，并对其中的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。第三十条对电子商务平台经营者提出保障电子商务交易安全的要求，规定其应当保证网

10、络安全、稳定运行以防范网络违法犯罪活动并且制定网络安全事件应急预案以有效应对网络安全事件。第三十一条要求电子商务平台经营者应当自交易完成之日起记录、保存商品和服务信息、交易信息不少于三年。除此之外，电子商务法体现我国支持并有意促进跨境电子商务的发展，建立适应跨境电子商务特点的海关、税收、进出境检验检疫、支付结算等管理制度，国家进出口管理部门应当依法推进跨境电子商务海关申报、纳税、检验检疫等环节的综合服务和监管体系建设，优化监管流程，推动实现信息共享、监管互认、执法互助，提高跨境电子商务服务和监管效率。另外，在跨境电子商务合作方面，电子商务法在第七十三条提出国家推动建立与不同国家、地区之间跨境电

11、子商务的交流合作，参与电子商务国际规则的制定，促进电子签名、电子身份等国际互认制度的发展以及推动建立跨境电子商务争议解决机制。在处罚方面，电子商务法配合网络安全法的规定，由有关主管部门负责对于违反上述条款者采取限期改正、责令停业整顿和行政罚款等惩罚措施。2019年6月13日国家互联网信息办公室就个人信息出境安全评估办法（征求意见稿）（以下简称“评估办法”）向社会公开征求意见。为了保障数据跨境流动中的个人信息安全，评估办法第三条规定个人信息出境前，网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。此外评估办法还对网络运营者申报个人信息出境安全评估应当提供的材料作了列举。评估办法第五条规

12、定省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后，应当组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成，情况复杂的可以适当延长。除此之外，评估办法第十条还规定了省级网信部门应当定期组织检查运营者的个人信息出境记录等个人信息出境情况，重点检查合同规定义务的旅行情况、是否存在违反国家规定或损害人格信息主体合法权益的行为等。评估办法还对网络运营者与个人信息接收者在双方签订的合同或者其他有法律效力的文件应当明确的各自的责任和义务作了规定。（二）欧盟对金融信息跨境传输的法律规制2018年5月25日，欧盟通用数据保护条例（The General Data Protectio

13、n Regulation）（以下简称“GDPR”）正式实施。为了充分保障欧盟居民的个人数据保护权利，GDPR将适用范围扩大至一切与欧盟居民个人数据相关的控制者和处理者，即欧盟居民个人数据在欧盟境外也受GDPR所保护。3GDPR被业内人士广泛认为是在目前全球主要经济体中，对数据信息保护管辖范围最宽、立法新意最多、处罚最为严厉的规范。GDPR相较于1995年的关于个人信息处理保护及个人信息自由传输的指令，对信息跨境传输政策进行了大幅度的优化，进一步明确了更多合法的信息跨境传输方式。GDPR第四十五条对“信息数据跨境传输的适当性评估、资格审查与保障措施”等进行了详细规定。第一，第三国应当具有GDPR

14、规定的保护级别才可以进行信息数据的跨境传输；第二，对保护级别进行评估时，需考虑相关法规、尊重人权、监督机构、国际承诺等因素；第三，欧洲委员会评估后，可通过法案方式决定是否达到保护水平，且执行法案应规定至少每四年为一周期的定期审查机制；第四，欧洲委员会应持续监控第三国或国际组织是否遵守委员会的评估决定和是否根据第95/46/EC号指令第25（6）条进行数据保护；第五，当评估对象不再满足足够的保护级别时，欧洲委员会将撤销、修订或者终止前述决定；第六，欧洲委员会应当在“欧洲联盟公报”及其网站上公布第三国和国际组织中的特定区域和特定部门的名单。GDPR第四十五条实则体现了充分性认定机制，在第三国数据保

15、护级别达到充分性的要求时，即为数据提供国提供了必要的保障。然而，充分性认定机制虽为重要，但其并非是唯一的考量因素。根据GDPR第四十六条关于“主体转移的保障措施”规定，若无充分性认定，第三国应对跨境传输的数据提供一定保障措施，如具有约束力的公司规则、合同条款、第三方认证等，但是上述措施必须得到欧洲委员会或者国家数据保护局等的批准。退而求其次，如果第三国不能提供相应的保障措施，则可采取列举只允许有限的数据传输减损清单的手段，诸如数据主体同意的转移，为了数据主体利益实行的必要转移以及为了公共利益实行的转移等情形。4但需要指出的是，当前为预防洗钱等金融犯罪、防范金融风险等目的，欧盟多部金融监管法律就

16、金融机构对客户数据的处理和控制提出了明确要求。5如欧盟金融工具市场指令（MiFID ）和国际财务报告准则第9号（IFRS 9）等就强调了银行等金融机构对客户数据收集、处理及报告等义务。这可能与GDPR存在一定冲突，因此金融行业在合规方面或将面临两难的选择。三、金融信息跨境传输的困境与阻碍根据我国对于金融信息跨境传输的法律规制以及其与域外相关制度相比较，国家对于金融信息跨境传输日渐重视，但其中的困境与阻碍仍然不可小觑。（一）金融信息保密义务与跨境传输、信息共享之间的冲突在金融行业中，对于金融信息的保密义务不失为一项传统。早在数据时代之前，银行就被要求对客户身份资料、账户信息和交易信息等承担保密义

17、务，不得对外提供或者允许他人查询。而如今，在以互联网为主要信息传输渠道的金融市场之下，网络空间中充斥着各种金融信息。若上述金融信息的保密性无法得到保障，整个金融市场的安全性也会自然受到负面影响。因此，在金融信息跨境传输的法律规制中，对各类金融信息主体规定其保密义务是必须要考虑的因素。如网安法第十条、第三十六条、第四十条、第四十五条等对网络运营者规定了其保密义务。当然，保密义务有例外，如电子商务法第三十一条对电子商务平台经营者的保密义务进行规定后，又补充“法律、行政法规另有规定的，依照其规定”；网安法第三十七条规定了关键信息基础设施所收集、产生的个人信息和重要数据应当在境内存储，但如因业务需要，

18、应按照国家规定进行安全评估，同样保留了“法律、行政法规另有规定”的补充权力。评估办法第二条也规定了国家关于个人信息出境另有规定的，从其规定。需要指出的是，立法机关、行政机关、司法机关在立法、司法和之法之时，对当下数据在不同法人主体之间大规模、高频率流动的情况考虑得还不够充分。如果从严解释保密义务，也可能会限制金融数据在境内外关联金融机构之间的流动。这一问题需要监管部门通过对相关法规的适当解释或修改来予以解决，以避免对金融数据共享和流动造成阻碍。（二） “境内存储+运营”之规定适用于金融信息是否合理2011通知的发布率先将“个人金融信息”的存储、处理和分析限制在境内，随后2016年我国网安法的出

19、台更加引起社会各界的广泛关注。2017年9月25日，针对我国生效的网安法以及相关配套措施，美国向WTO的服务贸易委员会（The Council for Trade in Services）提交了一份申辩文件（编号：S/C/W374）。6在申辩文件中，美国认为我国所提出的“关键信息基础设施”（Critical Information Infrastructure，以下简称CII）这一概念过于广泛和模糊，跨境数据转移的网络运营者将会受到中国主管机构的审查，这些审查程序将会不可避免地阻碍跨境信息转移以及破坏正常的商业运作。在网安法之后，国家互联网信息办公室于2017年7月10日发布的关键信息基础设施

20、安全保护条例（征求意见稿）对于CII的概念定义和保护范围划定为“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益”这一条件。同时，政府机关和能源、金融等行业领域的单位被列入CII的典型行业。可见，依据网安法及其配套措施的规定，金融行业所产生和收集的个人信息和重要数据应当被纳入CII的保护范围。另外，保护条例第二十九条再次对CII信息境内存储规定进行了重申，第三十四条对“境内运营”提出了要求：CII的运行维护应当在境内实施。可以看出，保护条例对于CII运营者所收集和产生的个人信息和重要数据的规制较网安法更为严格，甚至突破了原来的规制范围，从“境内存储”上升为“境内存储

21、+运营”的双重限制。保护条例正式实施后，对于CII运营者所收集和产生的金融数据来说，其运营、维护、技术支持都应当在境内实施。若确实为业务要求而需要境外远程进行访问、维护、调试等操作的，CII运营者应当事先向主管部门等进行报备。一旦信息的收集和产生者落入所谓的“CII的运营者”的范畴中，就必须受金融数据“境内存储+运营”的限制。在当前的国际社会大环境下，国内外市场逐渐趋向于融合，中国金融业期望与境外大型跨国公司进行商业合作并将自身品牌推广至国际社会，而外资企业也觊觎中国庞大的商业市场，将其产品打入中国国内市场是一个普遍选择。由此看来，在新型的商业活动种，金融信息跨境传输可能会是企业跨境商业活动的

22、常态。因此，“境内存储+运营”对金融信息跨境转移带来了极大的阻碍，对一些金融企业业务的正常开展可能会产生根本性的影响并产生实质性的阻碍。四、金融信息跨境传输法律规制的完善在全球化的环境中，世界安全与繁荣取决于数据信息的连通性。7金融信息保持良好的连通性是促进全球金融市场健康发展所不可或缺的因素之一。（一）完善我国就金融信息跨境传输的法律规制我国网安法第二条规定了其适用的地域范围为我国境内，即只要在我国境内建设、运营、维护和使用网络，而不论具体属性为内资抑或外资，均应当遵守网安法的相关规定。而GDPR所规定适用的地域范围则更为广泛：首先，GDPR适用于所有在欧盟境内设立的数据控制者或处理者对个人

23、数据的处理，而不论其实际处理行为是否在欧盟内进行；其次，即便数据控制者或处理者并未设立于欧盟境内，但只要其为欧盟内的数据主体提供商品或服务，或对发生在欧盟境内的数据主体的活动进行监控，其对个人数据的处理将同样受到GDPR的管辖；最后，GDPR也适用于在欧盟之外设立，但根据国际公法的规定适用成员国法律的数据控制者所进行的个人数据处理行为。可见，我国网安法在管辖范围的确定上，远不及GDPR规定的详细、具体。我国网安法虽在第二十二条、第四十一条、第四十二条以及第四十三条等条款对用户知情权、决定权、控制权等权利有所提及，但较GDPR仍过于原则、概括。GDPR第三章全章共42个条款对数据主体拥有的知情权

24、、访问和更正权、删除权等作了详细规定。我国网安法第二十四条规定，网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。而GDPR在数据控制者的合法权益与义务方面作了详细规定，如数据控制者的利益边界、评估程序、处理数据目的、处理数据告知义务、数据转移告知义务等。在立法层面，相较于GDPR，我国更注重国家宏观层面对于数据跨境传输的控制以及网络运营者的义务、责任，而欠缺对于网络运营者合法权益之重视。在未来相关立法的

25、修订以及配套措施的制定中，我国应当对上述几处进行进一步的完善。（二）促进金融行业自律与政府规制之协同并进在西方发达国家，对于数据信息的保护系统，多数国家采取一般信息和关键信息两类对立的规制方法，而我国数据跨境监管立法总体而言可被视为“局部监管”和“全局监管”两种维度。8对于各自所收集和产生的金融信息，公共部门的网络信息系统比一般的私营部门更为重要，因此在监管标准等方面较私营部门应保持更高的水平。这需要金融行业自律与政府规制在各自独立的基础上而又有所不同，最终协同并进。充分发挥相关部门的纠纷解决资源，建立“数据治理行业自我规制”和“数据监管机构政府规制”的双重治理体系，实现闭环治理。9对于加强金

26、融信息跨境传输的法律规制，务实的公私合作伙伴关系显得尤为重要。所谓的公私合作伙伴关系指的是公共部门和私营部门共享资源、信息，以类似于合伙关系维护金融信息的运营。如今大部分国家已经建立了跨境数据传输的安全评估机制，因此对于金融信息跨境传输的法律规制而言，各国应在此基础上鼓励金融行业协会等自律组织参与安全评估。作为市场机制的补充，金融行业成员自发参与安全评估可建立具有活力的数据管理秩序。再者，各国政府应当尊重各自金融市场的行业规律和发展规律，以此完善各自相关的法律规制。（三）针对金融信息跨境传输进行国际层面之协调发展金融信息跨境传输的法律规制从国际层面出发以求进行协调是未来各国需要共同考虑的一项议

27、题。虽然各国政府对于金融信息跨境传输的法律规制逐渐建立了各自不同的框架，但诸如法律适用冲突等问题依旧会是难题。对于面向全球提供服务的企业而言，在法律适用冲突中较为安全的选择是将所服务的不同国家的公民个人数据存储在相应国家（或该国政策认可的其他地区），当然这无疑产生了新的巨大成本，且仍会面临复杂的管辖竞合问题，这亟待通过国际层面达成协调机制。10国内有学者认为，在跨境数据流动规制中，存在着“良好的数据保护”、“跨境数据自由流动”和各国政府“数据保护自主权”三方利益的冲突。11上述三方利益至关重要，“良好的数据保护”代表了国家、个人、社会团体信息数据的安全性。与传统服务、贸易不同，在新形势下的跨境

28、服务、贸易中，网络空间充斥着各种有关的数据信息。在全球信息化进程中，“跨境数据自由流动”是各国跨境服务和跨境贸易的基石，健全的跨境服务和跨境贸易无法离开良好的跨境数据流动。若跨境数据流动受到限制，依赖于跨境数据信息分析的跨国企业就无法作出正确的、针对性的商业判断，从而导致跨境服务和跨境贸易的质量日趋低下。而各国政府的“数据保护自主权”则体现了全球各国在网络空间方面的主权不受他国或者机构的干扰。当跨境数据流动削弱数据主体对自身数据的控制权，国家关键数据资源的流失危及其数据保护自主权，随之带来的效应可能会导致一国的经济、文化状况等易被发达国家所掌握，从而影响该国在经贸往来和国际交往中的话语权以及文

29、化发展自主权。那么，如何在不同利益之间进行取舍而达到较为合适的契合？纵观国际社会历史上对于跨境数据传输的各种合作方式，或存在达成双边/多边协议，如2000年12月，美国与欧盟签署保障跨大西洋数据流动的“安全港”（Safe Harbor）协议，旨在促进美国企业出口以及保护欧洲公民的个人数据信息；又或建立相关的国际性组织，如亚太经合组织（Asia-Pacific Economic Cooperation，APEC）于2012年提出跨境隐私规则体系（Cross-Border Privacy Rules，CBPR），该体系的宗旨是规范APEC成员企业的跨境传输活动，以保护涉及个人隐私的数据信息。对于金

30、融信息跨境传输而言，上述方法不失为可取的措施。另外，各国也可将金融信息跨境传输的法律规制提至WTO的议题之中。WTO作为促进全球跨境贸易、服务的组织，通过WTO达成各方意志的统一是最公平且利益涉及范围最广的途径。在WTO的法律框架下，各成员所追逐的利益可以得到同化，即全球贸易的自由化，但这同时也需要各成员尽力维护WTO现有的体制和规则。【注释】1 李畅、梁潇：互联网金融中个人信息的保护研究对欧盟GDPR条例的解读，载电子科技大学学报（社科版）2019年第1期。2 孟凡霞、宋亦桐、李皓洁：银保监会挂牌一年：开放与严管并重，载北京商报2019年第4期。3 郑钧、高鼎新：欧盟GDPR及其对金融业的影响，载中国金融2018年第12期。4 吴沈括、霍文新：欧盟GDPR与数据跨境问题分析，载中国信息安全2018年第7期。5 王瑞：欧盟通用数据保护条例主要内容与影响分析，载金融会计2018年第8期。