张继红：金融数据跨境传输的规制与平衡

扫描分享

本文共字，预计阅读时间。

根据2018年5月1日实施的《信息安全技术·个人信息安全规范》的划分，金融信息属于个人敏感信息，即一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

有一款名为Strava的跑步健身App利用全球定位系统记录并公布用户的日常运动轨迹等数据，所到之处，交通、地理、气象等重要信息皆可收入囊中，海量数据出境将增加国家空间地理基础信息暴露的风险，甚至包括一些敏感军事设施的位置、巡逻方式等信息。有预估在2015年至2024年期间，数据跨境流动价值至少为 29.7 万亿美元，而正因数据的巨大潜在价值，进一步刺激了跨境数据获取的热潮。

今年6月28日至29日，在日本大阪举行的G20峰会上，各国领导人都指出，数据就像石油，应建立公平且无差别的市场，不能关起门来搞发展，更不能人为干扰市场；要共同完善数据治理规则，确保数据的安全有序利用。

众所周知，在数据跨境传输的领域，当前主要存在欧盟模式和美国模式。中国的互联网企业能否参与到跨境数据传输法律规范的制定中去，发出“中国声音”就显得非常关键。

而关于跨境数据传输法律规范的制定，主要存在三方面的问题：

（1）数据的输出与数据的输入；

（2）数据出境管理“宽”与“严”；

（3）“综合性立法”与“部门立法”。

就“数据的输出与数据的输入”而言，大部分国家和地区更关心的是数据的输出，并致力于把好这个关口。就“数据出境管理‘宽’与‘严’”而言，我国国家互联网信息办公室已于2019年6月13日发布《个人信息出境安全评估办法》的征求意见稿，我认为该征求意见稿究竟是“宽”还是“严”，是否能发挥应有的针对数据跨境传输的监管效果，应对比国际标准予以客观评判。就“‘综合性立法’与‘部门立法’”而言，究竟应该出台一部个人信息保护的综合性法律，还是根据行业的不同来“量体裁衣”，也是需要进一步考量。

我国在数据保护领域学习并借鉴国外经验时，不可避免要涉及“欧盟模式”和“美国模式”。欧盟早在1995年就出台了《个人数据保护指令》，后在2016年出台了《通用数据保护条例》（GDPR），在数据跨境传输领域确立的是“充分保护原则”，即只有当第三国确保能够为个人数据提供充分保护时，才能将个人数据转移或传送至第三国。可见，欧盟已经将信息权上升到了人权保护的高度。而反观美国，其隐私法侧重于纠正对消费者的损害，并通过有效的商业交易来平衡隐私保护，采用的保护模式是“分领域保护+行业自律”，如《金融隐私权法案》、《公平信用报告法案》、《儿童在线隐私保护法案》、《电子通讯隐私法案》、《隐私法案》、《录像隐私法案》、《驾驶员隐私保护法案》、《家庭教育权利及隐私法案》等。换言之，美国坚持尽可能少地对市场进行监管，就数据跨境流通而言，美国的一般规则是：个人数据只要不涉及特殊领域就可以自由流通。

“欧盟模式”和“美国模式”存在上述差异的原因在于，美国的互联网公司控制着全球大量的数据，特别是在2018年3月《澄清境外数据的合法使用法案》（CLOUD法案）生效后，美国政府更是被赋予了调取存储于他国境内数据的合法权力，可以说，CLOUD法案为获取他国数据扫清了制度性障碍。

因此，无论是欧洲还是美国对我国的经验是：完全禁止跨境数据转移并不现实，也无法操作。在金融数据跨境传输领域，重要的是对数据进行合理分级：

（1）个人、企业、国家应当是最主要的数据主体；

（2）基于数据主体的不同，数据本身的分类级别不同（如金融数据等敏感数据，及一般数据），其在跨境数据传输中进行安全评估的适用程序及规则应当有所区别。

在此基础上，才能够进行更为切合金融数据传输需求的法律规制，既不确保金融级的安全，又抑制金融数据交换的需要，这两个诉求才能得以平衡共存。

（作者为上海对外经贸大学教授。本文系作者参加2019年7月12日金融科技的创新、监管与法治研讨会发言文字的摘编，经作者授权发表）