近日,中国人民银行、金融监管总局、中国证监会、国家外汇局、国家网信办、国家数据局联合印发《促进和规范金融业数据跨境流动合规指南》,旨在促进中外资金融机构金融业数据跨境流动更加高效、规范,进一步明确数据出境的具体情形以及可跨境流动的数据项清单,便利数据跨境流动。要求金融机构采取必要的数据安全保护管理和技术措施切实保障数据安全。
随着金融领域对外开放的步伐加速,数据跨境需求日益迫切。2025年2月在京举办的“2024年数字经济形势分析闭门研讨会”重磅发布《数字经济与数字金融形势分析(2024年度)》原创报告,其中的专题报告部分,系统梳理了我国金融数据跨境现状,前瞻性分析了我国金融数据跨境面临的困难与挑战,并提出对策建议。以下为专题报告全文。
我国金融数据跨境流动的现状、挑战及建议
数字经济时代,数据要素价值愈加凸显,数据跨境流动已成为全球资金、信息、技术等资源要素交换共享的基础性活动。近年来,国际间竞争日益激烈,数据资源成为各国争夺的新焦点。美国、欧盟等地区正积极推进数据跨国流动立法,力求在隐私保护与创新发展间实现最佳平衡。中国作为数字经济的快速发展国家,为更好应对数字化与全球化带来的挑战与机遇,需充分释放数据要素价值,扩大高水平对外开放。金融业作为数据密集型行业,天然存在大量数据跨境流动需求,同时作为强监管行业,金融领域数据跨境流动也具有特殊性,与金融安全密切相关。中央金融工作会议指出,“要着力推进金融高水平开放,确保国家金融和经济安全”,推进金融高水平开放,离不开安全便利的数据跨境流动。研究分析全球金融数据跨境流动模式、我国现行制度安排、金融机构业务需求、实践困难与挑战等,有利于探索在符合金融安全和数据安全前提下,降低金融机构数据跨境合规成本、提高数据跨境传输效率的可行范式,为相关制度建设提供参考。
金融数据跨境流动的基本情况
01 金融数据跨境流动的一般规定与监管模式
(1)金融数据跨境流通的一般规定和相关路径
2022年以来,我国数据出境规则框架已初具体系,相关法律法规包括《网络安全法》《数据安全法》《个人信息保护法》等,网信办及相关部门也陆续出台配套规则,包括:《数据出境安全评估办法》《个人信息出境标准合同办法》以及《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》等。
《个人信息保护法》为个人信息出境规定了三条路径,个人信息处理者须满足三者之一后方可进行数据出境,分别是:安全评估、个人信息保护认证和签订网信办制定标准合同。安全评估方面,金融机构可依照如下规定进行判断,是否需要进行数据出境的安全评估:一是是否涉及重要数据出境;二是是否属于关键信息基础设施;三是处理个人信息是否达规定数量。金融行业有若干家经营机构为关键信息基础设施运营者。同时,对于大中型金融机构而言,处理达100万以上个人信息是一个比较容易达到的门槛。若金融机构涉及重要数据出境,则无论数据规模大小,均应进行数据出境安全评估。具体流程是:一是事前评估;二是申报评估;三是开展评估,该流程又分为:省级网信部门审查材料完备性、国家网信部门决定是否受理评估,完成评估,重新评估和终止出境。
国家网信部门根据《网络安全法》等法律和有关规定,负责承担互联网信息服务等领域的个人信息保护职责。金融主管部门按照相关法律和有关规定,承担指导、监督本行业、本领域个人信息保护的职责。目前,金融监管部门根据《商业银行法》《保险法》《证券法》《基金法》《期货和衍生品法》等法律规定,承担金融消费者、投资者个人信息保护相关职责。比如,2020年2月13日,中国人民银行发布的《个人金融信息保护技术规范》规定,应依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求,并要求明确监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务。此外,目前金融监管部门也在部分地区开展数据跨境政策试点,比如,今年1月16日,中国人民银行、商务部、金融监管总局、中国证监会、国家外汇局联合印发《关于金融领域在有条件的自由贸易试验区(港)试点对接国际高标准推进制度型开放的意见》。
(2)金融数据跨境流动的监管模式
从全球范围来看,目前数据跨境监管体系及机构设置主要有三种模式:一是统一监管模式。以欧盟为代表,由国家统一立法、设立单一监管机构,独立行使数据监管权力。其跨境数据监管主体由欧盟层面的数据保护委员会和数据保护监管机构、成员国层面的数据保护机构及组织层面的数据保护官等组成。二是分业监管模式。以美国为代表,不设立专门的监管部门,在各个领域分别立法,并由行业主管部门予以监管。如金融领域的数据保护和监管机构是隶属于美国联邦储备系统的金融消费者保护局;通信领域的数据保护和监管机构是联邦通信委员会。三是多元化监管模式。一些国家和地区充分吸取统一监管模式和分业监管模式的经验与优势,并结合自身实践,发展出了独立监管机构及行业主管部门或协会相辅相成的多元化监管模式。比如,新加坡在设立专门的监管机构基础上,由行业主管部门或协会辅助监管。
02 我国银行保险业数据跨境流动现状
(1)银行保险业对数据跨境流动需求快速增长
在经济全球化和金融一体化大背景下,银行保险机构业务范围不断拓展,跨境金融服务迎来发展新机遇。数据作为现代金融业务的核心要素之一,银行保险业对数据跨境流动的需求快速增长,主要体现在以下几个方面:
一是全球化业务运营拓展。为服务全球客户,银行保险机构在开展跨境业务时,需要将客户信息、交易信息、保险合同信息等相关业务数据传输至境外,以支持跨境支付、跨境汇款、跨境保险服务、跨境理赔等业务。二是数据共享与合作需求。从海外机构管理来看,银行保险机构在海外设有分支机构或境外机构在境内设立分支机构时,需要将境内的客户信息、业务流程、风险控制、财务核算等相关数据传输至境外,以便海外分支机构开展业务。从境外机构合作来看,与境外金融机构、再保险公司等合作时,需要跨境传输数据以实现业务协同、风险共担和联合创新。从参与国际金融市场来看,为了更好地参与国际市场,银行保险机构需要跨境共享数据,以满足国际监管要求、参与跨境交易和投资活动。三是跨境业务风险管理。一方面,为准确评估跨境业务的信用风险和市场风险,银行保险机构需要将境内外客户信用数据、市场数据等进行整合分析。另一方面,银行保险机构需与境外监管机构、金融机构共享客户身份信息、交易记录等数据,以监测和防范跨境洗钱、恐怖融资等违法犯罪活动,履行反洗钱和反恐融资的国际义务。四是合规与监管层面。一方面,银行保险机构在境外开展业务,需要遵守当地监管规定,将相关业务数据、财务数据、合规报告等传输给境外监管机构,以证明其业务运营的合规性。另一方面,参与国际监管合作项目,如国际会计准则制定、金融稳定理事会等相关工作,银行保险机构需要向国际组织或其他国家的监管机构提供数据,以促进全球金融监管协调和统一。
(2)银行保险业数据跨境流动的监管规定
银行保险业数据跨境流动需求日益增长,为规范这一领域,相关监管部门出台系列文件。其中,2024年12月,国家金融监督管理总局发布《银行保险机构数据安全管理办法》(以下简称“管理办法”)明确了银行保险机构在数据出境时需遵循的合规要求,具体如下:
一是指定数据安全归口管理部门,建立和维护数据出境的统筹管理机制,牵头对外部数据供应商进行安全管理,统筹大数据应用、数据共享项目的安全需求管理。这一举措旨在打破机构内部数据管理的分散局面,确保数据出境工作在统一、高效的框架下有序推进,增强对数据流向的把控,降低数据泄露风险。二是对数据外部引入或合作共享、数据出境等制定安全管理实施细则。三是每年1月15日前向国家金融监督管理总局或其派出机构报送上一年度数据安全风险评估报告,内容包括数据出境、数据安全治理、数据安全评估与审查情况等,让监管部门及时掌握银行保险机构的数据安全动态,对潜在风险进行预警和处置,强化对行业数据安全的宏观监管。
总体而言,《管理办法》秉持安全与发展并重原则。一方面,对促进我国金融业对外开放起到显著作用。另一方面,基于严谨的制度架构和监管标准,切实维护国家数据安全与金融稳定,为银行保险业的数据跨境流动发展筑牢根基。
专栏5-1:银行保险业数据跨境流动的实践案例
近年来,我国银行保险业在数据跨境流动领域积极探索,并已取得一些实践成果,不仅为行业国际化发展提供了有力支持,也为完善监管政策提供了重要参考,具体如下:
银行业
微众银行基于自主研发的区块链底层平台FISCO BCOS助力粤澳跨境数据验证平台、深港跨境数据验证平台建设,推进大湾区跨境数据安全、便捷验证,进一步探索建立开放型、合作型、示范型跨境数字基础设施及服务融合。截至2024年10月,粤澳/深港跨境数据验证平台已实现粤港澳大湾区9+2城市群全覆盖,服务超过20家大湾区金融机构的8个跨境数据验证场景。
中国人民银行广东省分行指导推出“粤信融”粤澳跨境数据验证服务,形成了用户可携带跨境、南北双向互通、数据“可用不可见”的跨境数据流动模式,目前已实现大湾区内地城市多点覆盖。以数据“南向”验证为例,2024年5月首笔“南向通”跨境验证业务落地中山。在人民银行中山市分行指导下,该企业开户行建设银行中山市分行通过“粤信融”征信平台上传企业对账单哈希值,建设银行澳门分行依托“粤澳跨境数据验证平台”核验真实性后,为该企业发放了3000万元跨境融资资金。此案例通过数据南向验证,解决了跨境信息不对称问题,帮助内地企业获得境外融资。工商银行、中国银行、建设银行、澳门国际银行等粤澳银行分支机构纷纷接入应用,已成功验证存款证明书、活期存款明细账、资产证明等跨境信息,推动信用卡、住房按揭、普惠贷款等跨境业务顺利落地,实现企业、个人验证业务双联通,数据 “南向”、“北向” 验证双贯通。
保险业
安盛天平财产保险有限公司作为安盛集团在华全资子公司,在数据跨境与再保险业务领域不断突破。2024年7月,安盛天平数据出境安全评估项目成功通过国家网信办审核,准予数据出境,为后续跨境业务开展筑牢合规根基。次月,安盛天平上海再保险运营中心携手中国银行、上海保险交易所顺利完成国际再保险分入业务跨境资金结算,实现上海“国际再保险业务平台”首单跨境业务登记、交易、清分、结算全流程落地。安盛天平充分发挥集团全球资源与经验,作为第一批参与调研的外资财险公司,深度参与再保险领域数据跨境场景化一般数据清单制定工作,推动我国数据跨境流动机制创新。
03 证券期货业数据跨境流动现状
(1)证券期货业对数据跨境流动需求日益迫切
随着证券期货业务边界不断拓展,数据作为关键生产要素贯穿于证券期货机构运营各个环节,成为连接境内外市场、促进业务协同与创新发展的重要纽带。证券期货机构对数据跨境流动的需求日益迫切,主要体现在拓展业务版图、服务跨境客户、强化风险管理以及提升研究水平与推动技术创新等方面,具体如下:
一是跨境业务拓展与客户服务。国际业务布局与协作方面,证券期货机构在境外设立分支机构或与境外机构合作时,需将境内业务数据、客户信息、风控标准等数据传输至境外,以便统一管理和运营。跨境上市与融资方面,为跨境上市、融资企业提供服务时,需将财务数据、业务数据等传输给境外合作伙伴、监管机构或投资者,以满足上市审核、信息披露等要求。跨境产品销售与服务方面,向境外投资者销售金融产品,如跨境 ETF、QDII 等,要将产品基本信息、风险收益特征、历史业绩等数据跨境传递给境外投资者,同时将境外投资者申购、赎回等交易数据传输回国内进行处理和结算。如证券公司自营FICC业务与海外机构开展“互换通”,或直接与香港子公司开展挂钩境外资产的收益互换业务。跨境交易与结算方面,投资者参与境外证券期货交易,或境外投资者参与国内市场交易,涉及交易指令、账户信息、资金流水等数据跨境传输,如沪港通、深港通等跨境交易机制。
二是风险管理与合规监管。跨境风险评估方面,证券期货机构开展跨境业务要将境内外客户信用数据、交易记录、市场风险数据等进行整合,建立风险评估模型,全面评估跨境业务信用风险、市场风险和操作风险等,实时监测跨境业务中的风险状况。合规与监管报告方面,需遵守不同国家和地区的监管要求,配合境外监管机构提供相关业务数据,同时也需要获取境外监管政策、法规等数据,确保自身业务符合当地监管规定。
三是投资研究与市场分析。市场分析与研究方面,证券公司、期货公司研究报告服务的主要服务对象是专业机构投资者,QFII、RQFII等境外机构也在服务范围,存在证券公司、期货公司公开发布的研究报告提供给境外客户的情况。国际研究合作与交流方面,在与境外知名高校、研究机构开展联合课题研究以及参与国际学术会议和研讨会时,可能需要将国内证券期货市场在相关技术应用方面的数据、案例等跨境共享,共同推动学术研究和行业技术进步,提升国内行业研究水平和国际影响力。
四是技术研发与创新合作。金融科技合作方面,证券期货机构可以和境外金融科技公司联合开发新的交易系统、智能投顾平台、风险管理工具等,在此过程中需将相关业务数据、技术数据等跨境传输,实现技术对接和创新成果应用。联合培养人才方面,在与境外高校、研究机构开展联合人才培养项目时,可能需要将国内证券市场的研究成果、实践案例等数据跨境分享,同时获取国际先进的学术研究成果和技术经验,提升自身技术水平和创新能力。
(2)证券期货业数据跨境流动的监管规定
数据跨境流动为行业带来新机遇的同时,也引发了一系列安全和监管问题。在此背景下,监管部门通过出台一系列政策法规,致力于完善数据跨境流动安全管理体系。2020以来,中国证监会发布《证券期货业数据分类分级指引》《数据出境安全评估办法》《信息安全技术个人信息安全规范》《信息安全技术重要数据识别指南》《网络数据安全管理条例(征求意见稿)》《证券期货业数据安全管理与保护指引》等,将监管要求落实到跨境数据安全管理中,并结合证券期货业特点,为数据出境监管提供管理实践路线。2024年11月,中国证监会发布《加强证券期货业标准化工作三年行动计划(2024—2026年)》,内容包括加强数据治理标准体系建设,以证券期货业数据跨境评估等数据标准为重点,并组织相关行业机构开展标准研制。
证券期货行业关于数据跨境流动监管的主要思路是:一是建立分类分级监管标准,对数据跨境进行分类分级管理,主要分为重要数据、个人信息和敏感信息。同时,明确行业重要数据的识别标准,确保监管的精准性和有效性。二是对数据出境进行前中后全方位监管,以有效防范风险。事前满足申报数据出境安全评估标准。数据出境过程中,数据处理者应对数据出境情况进行常态化持续风险监控;监督责任与义务的履行,保障数据传输的安全,管控出境数据权限,审查数据行为记录。事后落实目的完成后数据的销毁、超出目的范围数据的再评估、跨境数据的年度评价报告、违规行为的追责等责任。
专栏5-2:证券期货业数据跨境流动的实践案例
证券业
2024年11月,首批14家证券公司获准试点“跨境理财通”,具体包括招商证券、广发证券、国信证券、平安证券、中金财富等机构。以“南向通”业务为例,内地投资者信息、交易数据等需跨境传输至香港金融机构,用于产品购买、交易清算等环节。证券机构的正式入局,改变了此前只有银行参与的状况。截至2024年12月末,粤港澳大湾区参与“跨境理财通”的个人投资者有13.64万人,包括港澳投资者5.17万人,内地投资者8.47万人。目前,国泰君安、广发证券、海通证券和银河证券等机构已率先通过国家网信办数据出境安全评估。此次获批标志着中国数据出境安全评估制度在证券期货领域的深化落地,对提升行业内数据安全合规管理水平具有重要示范意义。
期货业
2024年10月,大连商品交易所与乌兹别克斯坦国家原料商品交易所(UZEX)正式签署数据互换合作协议,双方约定将彼此互换商品合约结算价格信息,提升中乌双边大宗商品贸易效率,更好响应“一带一路”倡议,对我国期货市场对外开放具有积极意义。
金融数据跨境流动面临的困难与挑战
金融业作为典型的数据密集型行业,在高水平对外开放背景下,金融数据跨境流动需求快速增长。无论是金融机构跨境展业、创新业务发展,还是金融监管打击跨境犯罪,都离不开数据跨境流动这一重要基础。然而,我国金融数据跨境流动仍面临一些困难与障碍,主要表现在以下方面:
01 法律法规层面相关规定以原则性为主,在落地环节缺乏明确统一的实践路径、行业标准与操作细则
我国已构建《网络安全法》《数据安全法》《个人信息保护法》为核心的跨境数据流动监管体系,并出台《个人信息出境标准合同办法》《数据出境安全评估办法》等配套规则。然而,在现有法律框架执行过程中,金融数据跨境传输仍存在诸多具体问题。
一是金融数据出境缺乏重要数据目录和法律文件模板,金融机构合规成本高企。《数据安全法》要求建立数据分类分级制度,《数据出境安全评估办法》要求重要数据、关键信息、敏感信息出境需申报网信办的数据出境安全评估,但金融行业尚未发布“重要数据目录”或“一般数据清单”,对于“重要数据”、“敏感信息”的界定仍较为原则性,导致金融机构在判定“重要数据”范围时缺乏明确指引,识别标准模糊。比如,大型银行向境外总部传送交易明细、证券公司向香港分支机构传送客户资料、保险公司向海外再保公司提供承保数据等,都可能被认定涉及重要数据或大量个人信息,需经安全评估,所涉材料涵盖数据类别、规模、接收方、用途、安全措施等,流程复杂且周期较长(尽管目前已缩短至30个工作日以内,但相对于业务需要仍嫌冗长)。尤其是不同敏感度的个人信息分级不清,同一数据可能被不同机构归类为“普通数据”或“重要数据”,“一事一议”情况较为普遍。同一机构已开展业务中个人数据出境也可能涉及合规风险,如何处置存量不合规数据跨境操作尚未明确。金融机构为避免违规风险,倾向于扩大“重要数据”认定范围,增加合规成本。同时,《个人信息出境标准合同办法》要求企业与境外接收方签订标准合同,但金融行业缺乏针对性的合同模板,需金融机构与境外合作方反复磋商,自行设计合同条款,还可能无法满足监管部门要求,延长安全评估耗时。
二是境外自然人访问个人信息可能需评估,客户体验不佳。《网络安全法》第37条表述,所有“个人信息”都必须遵循“原则本地储存+因业务需要确需向境外提供的应经安全评估”的跨境程序,虽然《个人信息保护法》第13条规定了无需个人同意的例外情形,但金融场景下的豁免范围尚未细化,使得“安全评估”成为金融领域个人信息出境的唯一必要性条件,耗时耗力。同时,《个人信息保护法》要求向境外提供个人信息需通过安全评估或签订标准合同,但并未就具体场景做出区分,比如“主动出境”与“被动访问”。境外客户通过手机银行查询账户余额等基础信息虽然属于“取得个人同意”范畴,但仍可能被系统自动识别为需要安全评估的“数据出境”行为。
三是数据“出境”与“出国”尚未明确区分。一方面,“境内-境外(港澳)”“国内(含港澳)-国外”以及“境外(港澳)-国外”等不同数据流向的政策与规则尚未做有效区分,一刀切地将“境内-境外(港澳)”等同于“国内(含港澳)-国外”可能不利于发挥“粤港澳大湾区-香港国际金融中心”创新试点作用,而差异化规则又可能使得部分“重要数据”以港澳为跳板流向国外,威胁金融安全。另一方面,现行法规未区分数据物理出境(传输至境外服务器)与逻辑出境(境外人员访问境内数据),可能导致境外分支机构分析师访问境内金融数据库开展研究被认定为“数据出境”,面临违规处罚。目前《数据出境安全评估办法》对所有数据处理者向境外提供数据执行统一的办法,不少金融机构为了对外经营在港澳台设立子公司,母子公司间的经营管理数据也属于跨境传输范围,公司在申报与港澳台子公司之间的经营管理数据时,通常面临着范围广、种类多、变动频繁等问题。与港澳台间的数据交换类型、规模、特征与其他地区有较大不同,可以考虑进一步细分管理。
02 技术层面难以满足业务和监管需要,面临自主可控不足、技术标准不统一等问题
如何让金融数据在跨境流动中既高效合规,又安全可靠是一个亟待解决的问题。目前,平衡数据安全保护与数据开发利用的技术瓶颈尚未突破,科技支持能力不足,主要表现在以下方面。
一是金融机构在跨境数据传输中多依赖自建系统或第三方平台,缺乏跨机构、跨场景的行业级统一平台。虽然粤港澳大湾区已试点建设深港跨境数据验证平台,但尚未形成覆盖金融全机构、全场景的标准化解决方案。分散的系统导致数据流通效率低、安全审计困难,且难以满足监管部门对跨境数据全链路追溯的要求。同时,也缺少行业级统一跨境流量探测工具,无法精准识别金融数据流向,难以为监管提供有效依据。
二是数据安全相关技术能力有待加强。数据存储与传输是金融领域数据跨境流通的重要环节。数据在跨境传输过程中,可能面临网络攻击、数据泄露等安全风险,而目前我国金融机构在数据加密、脱敏、防火墙、安全网关等方面安全技术仍存在短板,比如部分金融机构在跨境传输客户信息时缺乏端到端的强加密方案,使得数据在跨境链路上面临被截获、篡改等风险。部分金融机构技术自主可控不足,跨境业务依赖第三方海外系统服务商提供技术或跨境通道,其技术架构、数据存储等可能与国内合规要求存在冲突,更是存在数据主权旁落和数据泄漏风险。值得关注的是,一些新的技术思路正在兴起,比如有专家提出通过将原始数据脱敏处理转化为“数据元件”的数据元素化技术,构建最大限度保留数据价值,同时降低其敏感度的金融数据“中间态”。
三是金融领域缺少行业统一的数据跨境安全技术指引与标准。数据加密与解密是保障数据安全的重要手段,目前我国金融领域数据跨境传输涉及加密算法(如国密SM系列与国际AES)、数据脱敏规则、接口协议等多重技术标准。在实际业务中,缺乏相关标准以及具体到金融场景的操作细则,使得金融领域数据跨境传输需要经过繁琐的格式转换和适配,在增加数据跨境流通成本的同时,还可能难以充分发掘数据跨境流通价值,造成效率损失。比如,数据脱敏标准不一使得金融机构在脱敏不足时面临安全隐患,在过度脱敏时削弱数据的完整性和可用性,影响风控模型准确度,难以满足业务实际需要。
03 多方协作层面竞争多于合作,增加金融数据跨境流动不确定性
金融领域数据跨境牵涉主体众多,多方协作复杂性较大。一是境内金融数据跨境涉及多方监管与治理,监管主体、监管权限不清晰。金融数据跨境流动涉及中国人民银行、国家金融监督管理总局、中国证监会、国家网信办等多个监管与管理机构,各部门侧重不同,当面对同一数据出境案例时,各部门合规要求可能存在差异。尽管《数据安全法》明确规定内地金融主管部门承担本行业、本领域的数据安全监管职责,但金融领域数据跨境监管与日常数据安全监管不同,其通常涉及跨区域、跨部门的行政事务,而“金融主管部门”的规定太过宽泛,缺乏统一领导机构,使得金融机构在实际业务中通常需要向多个部门报批,沟通成本较高。内地现行法律规范既没有明确金融主管部门在履行数据安全监管职责过程中享有的权利,也没有为其权利行使制定可行性细则,可能导致多重监管、监管尺度不一、监管空白等问题。2025年1月,五部门联合印发《关于金融领域在有条件的自由贸易试验区(港)试点对接国际高标准推进制度型开放的意见》明确提出,要“在国家数据跨境传输安全管理制度框架下,探索形成统一的金融领域数据跨境流动合规口径,明晰金融领域数据跨境流动规则”,为金融数据跨境流动的跨部门协同提供了指导和参考。
二是国际合作机制欠缺,我国在全球金融数据跨境流动中话语权不足。如何对金融数据跨境流动实施有效监管是当前世界范围内的共同难题,每个国家都面临着如何平衡经济发展与国家安全的重大抉择。当前,金融领域数据跨境流动主要由各国国内法进行规制,各国出于自身利益考虑普遍采取不同的数据跨境策略,有的国家强制进口,有的国家禁止出口。政策及规则上的差异和冲突导致金融数据跨境流动国别差异较大。国家利益的多样性、复杂性与冲突性,使得金融领域数据跨境在国际实践中呈现“原则与例外相济,冲突与融合并存”现状,各国不断权衡国家安全、金融安全、金融开放、经济发展等多个方面,尚未形成统一的金融领域数据跨境流动国际协调机制和国际规则,也尚未建立数据跨境争端处理机制。值得关注的是,虽未形成国际统一的金融领域数据流动规则,但区域之间的数据跨境制度已有雏形。2023年美国和英国达成数据跨境流动合作协议(数据桥),美国与欧盟达成“欧盟-美国数据隐私框架”协议(隐私盾2.0版本)。这意味着我国参与国际数据跨境制度建设和治理更加迫切,无论是数据跨境流动规则对接、跨境监管合作机制还是技术要求标准衔接,都有利于降低金融机构数据跨境成本,也有助于增加我国在全球数据流动中的话语权。2024年8月,中欧正式启动了“中欧跨境数据流动沟通机制”,是我国在数据跨境国际协作方面的积极进展。当前,我国在国际立法中的参与度相对较低,如果放任美欧等发达经济体制定相关规则,可能形成“everyone but China”的数据跨境流动格局,不利于我国金融高水平开放或提升国际竞争力。
04 金融数据跨境流动监管能力有待提升,以更好平衡发展与安全
近年来,各国出于国家安全和国际竞争等考虑,纷纷出台数据本地化政策,使得金融领域数据跨境流动面临障碍。经济合作与发展组织(OECD)报告显示,目前至少有92项数据本地化措施在39个国家实施,其中一半以上于近五年制定;麦肯锡报告显示,75%的国家已经实施了一定程度的数据本地化措施。我国金融监管部门对数据出境管理亦秉持“本地化为原则,出境为例外”的监管思路,总体保持审慎。严格规制金融领域数据跨境流动,实施数据本地化存储策略是发展中国家在数字经济时代维护国家安全与数据主权的必要举措,但过度泛化“国家安全”和“重要数据”也会增加金融领域数据跨境的运营成本与合规成本,阻碍经济金融全球化发展。
监管科技难以支持金融数据跨境流动“看得透、管得住”,也是近年来我国对金融数据出境的限制和要求逐步“收紧”的原因之一。金融数据跨境规制中全周期保护义务要求监管机构实现全流程监管,但当前相对滞后的监管手段受限于其集成性、数字化和智能化程度,难以实现对金融机构合规的实时全程监管。目前我国金融数据出境管理相对静态,主要依赖金融机构申报、事前评估以及事后检查。在数据驱动的数字金融时代,金融监管机构在数据跨境流动监管中面对数量级极其庞大的金融数据,其种类、格式和模态较先前更加丰富,而监管机构的人才和技术储备难以匹配金融领域数据跨境流动涉及的高复杂技术和创新业务模式,难以识别其中复杂的金融风险,更遑论在风险发生时及时介入加以阻断。
政策建议
金融数据跨境流动对提升金融服务效率、支持金融机构“走出去”具有重要意义。跨境支付、跨境投融资、海外分支机构运营等都离不开数据跨境传输,同时金融数据跨境流动背后也蕴含个人隐私、企业权益和国家安全等风险。因此,要在坚持系统思维、技术中性、问题导向、安全底线基础上,不断统一监管规则、提升科技实力、降低合规成本、预留发展空间,让金融领域数据跨境流动管理有刚性、有韧性、有弹性。
一是不断完善金融数据跨境流动相关法律法规,细化规则指引。建议在当前已有数据跨境大框架基础上,由金融主管部门根据上位法对金融数据跨境进行具体规范,进一步明确数据处理者的定义和范围,将与金融领域数据跨境流动业务相关的主体纳入监管范畴。加快制定金融领域重要数据目录和数据分类分级标准,进一步细化操作规则,出台金融领域数据跨境流动合规指南,完善保障金融领域数据跨境安全性和可操作性的流动规则。探索金融数据跨境流动“负面清单”模式,对于低敏感性、较低安全级别的金融数据,应给予豁免或简化数据出境的审核流程。设置金融数据跨境流通监管“缓冲带”,明确监管节点,对该节点前金融机构已经开展的业务所涉的数据跨境不合规操作,建议按要求进行披露和报备,该节点后新增业务所涉数据跨境流动的,要按照规定进行规范。加强对数据流向差异化政策的研究,探索建立三级(境内,境内-境外,国内-国外)数据流动分类体系。
二是加大数字技术和数据安全研发投入,强化金融数据跨境流动的技术支撑与安全保障。建议借鉴深港跨境数据验证平台经验,由中国人民银行牵头,联合头部金融机构与科技公司,在已有试点基础上构建覆盖全行业的“金融数据跨境流通中枢平台”,集成数据分类、加密传输、风险监测等功能。鼓励金融机构加大对数据安全和合规技术的投入,推广数据脱敏、加密与访问控制等最佳实践,提升跨境数据流动的技术保障能力。可由行业协会牵头制定统一的跨境数据加密、传输、存储等技术标准,保证不同机构间数据交换的安全性与兼容性。积极探索隐私计算、联邦学习、多方安全计算等前沿技术在数据跨境中的应用,监管部门和有实力的金融机构、科技公司可联合在跨境征信、反洗钱、跨境支付等场景开展项目试点。
三是提升跨部门协同性和有效性,积极参与金融领域数据跨境流动国际协作。建议明确金融数据跨境流动的统一领导机构,协调各方利益,明确监管分工。为实现各个部门法律规则之间的协调和统一,建议在国家数据局下设立专门的数据跨境监管部门,在网信部门与金融行业主管部门之间平衡安全与发展,加强国际监管合作与对接、强化域外执法。加快建立金融管理部门重要数据识别标准联合评估机制,协同解决可能存在的监管交叉重叠或者空白模糊等问题。探索与重要贸易伙伴建立金融数据跨境流通的常态化机制,通过共认互信的双边、多边数据流动协议等方式,简化数据跨境审批流程。加强对CPTPP/GDPR等多边地区性协议的研究,适当增加国际监管合作,主动参与国际规则制定,深化区域性国际合作,通过双边、多边协作机制增强我国在国际金融数据治理体系中的话语权。
四是完善治理框架,构建兼顾安全性与流动性的金融数据跨境治理体系。原则上应允许必要的金融领域数据跨境流动,多个发达国家如美国、欧盟及相关国际条约中均明确规定,金融机构在开展持牌金融业务过程中所必需的数据跨境流动(如跨境支付等)不应被禁止。可参照《网络安全法》《个人信息保护法》等法律规定,在金融业务与金融监管需要基础上,适度调整与国际规则冲突较大的规定,使金融机构基于日常经营所需的数据跨境流动有法可依。建议引入“监管沙盒”机制,在严守监管目标和底线、做好风险管理预案前提下,通过事先设定原则标准和限制条件,允许经过筛选的金融机构在真实市场业务场景中,以真实的数据与数据接收方为对象测试金融数据跨境流动全过程,基于此探索构建金融数据跨境流动合规治理体系,更好平衡治理体系创新与金融数据安全。充实监管队伍科技力量,引进具有网络安全、数据治理背景的人才进入金融监管系统,提升监管科技应用水平。开发跨境数据检测平台,利用人工智能、大数据等新兴技术实时监控异常数据流动行为,强化事前预警。(执笔:余世平、黄丽娜、郁思琪)
声明:本文来自数字金融合作论坛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
