1. 引言
金融行业是国民经济的血脉,在新一轮产业革命与科技革命推动全球贸易模式向数字贸易方向迈进的今天,作为对外开放中的议题之一,金融开放的重要性不容忽视,一是金融市场的稳定运行与金融信息的交汇流动依靠着金融开放作为渠道,二是金融开放可以为我国的经济发展提供高质量的服务。[1]自我国加入WTO以来,金融服务开放便作为我国对外开放的重要组成部分,通过放松金融领域管制、放宽市场准入,改善外国金融服务供应者进入中国市场的条件,采取QFII/RQFII、QDII、“深港通”、“沪港通”、“债券通”、“理财通”以及2024年5月15日由中国人民银行制定的正式上线的“互换通”等资本市场开放举措,推动我国金融部门的开放程度稳步提升。而在目前已经正式生效的若干大型区域贸易协定中,包括《全面与进步跨太平洋伙伴关系协定》(CPTPP),《区域全面经济伙伴关系协定》(RCEP),《数字经济伙伴关系》(DEPA),以及《美墨加协定》(USMCA)等,金融开放、金融贸易服务的流通均为各成员在区域经济合作发展中关注的重要方面。
近几年来,新一轮产业革命与科技革命推动全球贸易模式向数字贸易方向迈进,金融行业也随之进入崭新的发展阶段,金融数据在全球范围内的流动速度、流动体量增长,其作为金融行业生产要素的性质日益明显。但是从价值衡量的角度来看,数字经济的迅速发展与数字技术在金融行业广泛应用在推动其进一步发展的同时,也增加了金融数据在境外被窃取、篡改、滥用、非法分析、非法汇合的风险,因此各国采取多种限制金融数据跨境流动的措施用以在一定程度上降低金融数据被非法获取、金融消费者隐私泄露、金融机构商业秘密被窃取等风险,其中一个重要举措即为金融数据本地化。
数据本地化是国际各国用于遏制跨境数据流动的常见方法之一,根据美国贸易委员会的相关统计数据显示,自1961年最早的数据本地化措施实施以来,随着信息技术的发展与增长,各国关于不同领域数据本地化的要求即呈现不断增长的趋势,从曲线图可以看出,通讯技术、互联网、大数据等因素的发展是数据本地化需求增加的驱动力(见图1) [2]。目前金融数据本地化措施在不同国家的适用呈现出显著的差异,如印度2015年的《保险维护条例》要求保险公司在印度境内存储和维护数据,印度储备银行在2018年出台的《支付系统数据存储条例》要求特定的组织在其境内存储和维护支付数据,本地化的要求限于支付数据[3]。日本政府于2019年4月在“网络安全战略总部”(Cybersecurity Strategic Headquarters)发布的针对金融等十四个关键基础设施行业安全性的《建立安全原则指导意见(Guideline for Establishing Safety Principles)》中,明确要求日本企业“将数据存储在日本法律管辖下的服务器”等“必要安全措施”。日本政府此举是基于数据安全的考虑,将关键行业的数据存储于日本法律可管辖之地,便于其在发生网络攻击时快速调查和证据提取,也方便日本政府未来推动更严格的数据安全措施,其数据本地化则限于整个金融行业。我国早期对于金融数据本地化的规定较为分散,直至《中华人民共和国网络安全法》(以下简称《网络安全法》)第三十七条,《中华人民共和国数据安全法》(以下简称《数据安全法》)第三十一条、三十六条从法律层面总体性规定了金融数据本地化措施,用以解决我国跨境数据流动中重要数据泄露、金融监管不便展开、对外贸易中数据主权受到侵害等问题。
Figure 1. 1960~2015: Global data localization growth trend
图1. 1960~2015年间:全球数据本地化增长趋势
随着通信技术的迅速发展和大数据广泛运用推动金融数据本地化措施的增加,目前金融数据本地化措施的适用趋势大致可分为三类。一是以美国、欧盟等为代表的,其认为金融数据本地化的实施在一定程度上会限制跨境服务提供者自由提供服务的可能性;二则是俄罗斯、印度为代表的金融数据本地化措施的支持者,其在国家数据安全保护的立法进程中一向秉承着严格的金融数据本地化的措施。第三类则是介于二者之间,如东南亚国家联盟(以下简称“东盟”)并没有明确表示指出或者反对数据本地化,东盟2019年1月2日通过的《电子商务协定》中包含了东盟为解决数据本地化问题而进行的最直接的尝试。第7(4)条作为一项“努力条款”,规定东盟成员国同意在“确保信息安全和保密的适当保障措施”和其他合法公共政策目标的前提下,努力“消除或最大限度地减少信息跨境流动的障碍”[4]。
不可否认的是实现金融数据跨境自由流动是国际法主体推动合作的目标之一和国际金融市场发展的理想状态,但是此理想状态的实现过程中存在金融数据被盗取,金融消费者隐私泄露等方面的问题,金融数据本地化作为规制手段之一受到国际层面的关注与讨论。从国内、国际视角综合来看,我国目前针对金融数据本地化的规制仍然存在不足,包括我国现有金融数据本地化法律规制体系逻辑不足,金融数据本地化国内监管机构尚未明确,金融机构数据合规成本增加等问题。2022年1月1日,RCEP在中国正式生效。2021年9月16日,中国向CPTPP保存方新西兰提交了正式申请加入CPTPP的书面信函。同年11月1日,中方向DEPA保存方新西兰正式提出申请加入DEPA,我国对于区域贸易协定呈现出积极的态势,但是与之相对应的则是在我国金融数据本地化措施与区域贸易协定的衔接问题,我国目前金融数据本地化监管措施是否能够与区域贸易协定中的规定相协调,如何协调,怎样在区域贸易协定生效和我国跨境金融数据本地化监管中达到一个平衡点是目前亟待解决的问题。
2. 金融数据本地化的规制功能以及价值争议
2.1. 金融数据本地化概述
研究我国金融数据本地化的首要前提需要明确研究主体“金融数据”的定义与范围。根据中国人民银行于2020年9月发布的《金融数据安全-数据安全分级指南》中第3.10条的定义:“金融数据是指金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据”。首先,从金融数据的产生来看,其依托于金融机构这一产生主体。金融机构自古存在,在我国古代出现的当铺就属于金融机构的一种,其经营动产抵押放贷的业务。而现代商业的繁荣发展带动金融机构出现了专业化、综合化、科技化的发展趋势。从专业化角度来看,当前金融机构与市场中的其他机构严格区分开来,一般来讲金融机构需要持有国家金融管理部门监督管理的牌照,才可获许经营金融业务。从综合化角度来看,目前金融机构不再仅局限于特定一类金融业务,在此趋势下越来越多的金融集团出现,其旗下涉及多个金融机构和多类金融业务。从科技化的趋势来看,金融行业的信息化数据化程度较为明显,金融数据的生产要素地位在金融行业的运行过程中日益显著。《金融数据安全–数据安全分级指南》中对金融机构的界定采取了列举式的定义方法并且对其范围进行限缩,其规定为“对金融数据分级履行义务的金融机构包括从事货币金融行业、保险业以及资本市场服务等的相关机构”。《中国人民银行关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》(银发(2020)45号)中《个人金融信息保护技术规范》采取概括式界定的方法明确金融机构的范围,其第3.1条明确规定“本标准中的金融业机构是指由国家金融监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构”。
其次,从金融数据的范围来看,《金融数据安全–数据安全分级指南》中将金融数据依照数据来源与其在金融机构经营活动中所发挥的作用分为两类,即“所需”与“产生”。在金融数据作为生产要素之一的背景下,金融数据组织、计算、增值分析后的衍生数据、衍生经济价值也是立法保护的对象。
如前文所述,通信技术的迅速发展和大数据广泛运用促进金融数据本地化措施的适用呈现出增长趋势。通信技术的发展和创新影响了现代生活医疗保健、日常饮食、金融交易等等多方面,但是这些新兴技术的发展依赖于数据的提供,数据分析所产生的衍生价值日益增高。因此世界各国也越来越主张其对于本国公民数据所享有的控制,数据本地化显而易见是一国提高数据独立性、维护数据主权的有利手段。数据本地化可以被理解为一项强制性的法律或行政要求,直接或间接地规定在特定的管辖范围内以独占或非独占的方式存储或处理数据[3]。数据本地化通常意味着在一个国家的边界内对数据的物理存储提出某种形式的要求,从而限制了此类数据的跨境流动。因此这种本地化也被称为阻碍数据跨境流动的障碍,其更多地从义务的角度出发对特定地点的数据流动提出要求。根据对跨境数据流限制强度的不同,数据本地化的性质可以分为两类,即严格限制的数据本地化和有条件限制的数据本地化。在严格的数据本地化方面,其规制范围包括数据本地存储和数据处理要求,以至对任何形式的跨境数据流的完全限制,而有条件的数据本地化的规制范围,只有在满足某些条件的情况下,才能跨境传输数据。因此,严格限制的数据本地化和有条件限制的数据本地化的重点是通过强制要求数据保留在本地,以对数据跨境移动进行法律限制[3]。
金融数据本地化措施通常包含三类:第一类是有条件的金融数据跨境传输,即一国要求金融机构在本地获取的金融数据跨境转移至境外前,必须满足其规定的某些限制条件以实现对金融数据跨境流动的规制。第二类是金融数据本地存储措施,即一国在本国境内对数据的物理存储和分析处理提出某种形式的要求,通常该措施包括两种表现形式:一是监管部门强制要求数据服务运营者将其在境内运营过程中产生和收集的数据存储在境内的服务器上;二是要求数据服务运营者将其运营过程中生产和取得的数据以打包的形式传输到监管部门指定的位于其管辖范围内的服务器上。通常在此措施之下,一国允许金融数据的跨境流动,但是金融数据的副本需留存于一国境内。第三类即为禁止数据传输的措施,即一国要求金融机构在本国领域范围内处理其境内收集到的金融数据并且禁止金融数据的跨境流动,该措施的实施从一定程度上来讲遏制了一国的金融开放与对外贸易的发展[5]。
2.2. 金融数据本地化的争议以及必要性
应当认识到,金融数据本地化所面临的最本质的价值对抗在于数据保护主义下国内数字产业、国家公共利益等与对外开放下多元利益之间的比较与权衡。以经济学视角为切入点分析各国关于金融数据本地化措施的争议,经济学上的效率主要为帕累托效率,其含义为在不存在其他可行生产资源配置方法的前提下,使得该经济活动中至少有一个主体的情况相较于初始情况更好,其他所有主体的情况相较于初始情况没有变差,概括来讲,帕累托效率的关键在于“没有资源的浪费”且“各主体的情况没有变差”,[6]同样,帕累托效率也是各国在金融数据跨境流动与国际金融市场中追求的理想状态。但是由于各国在金融部门发展进程、政府职能部门设置、金融机构发展水平等方面存在着差异,相对应的是金融数据本地化的态度与适用程度存在差异,数据保护主义与促进金融数据跨境流动自然会在国际贸易中产生争议。
根据2017年的相关统计数据显示,金融部门的数据本地化需求在所有部门中达到12% [7]。由此可见,即便各国对于金融数据本地化存在争议,但是出于保护本国金融消费者隐私,维护本国金融市场安全的考虑,金融数据本地化措施依然是各国进行跨境数据流动规制的选择。在理清金融数据本地化措施的概念、内容以及其争议的逻辑前提下,可以发现金融数据本地化措施依然在国家、金融监管机构、金融消费者层面发挥着重要作用。
首先,在国家层面,金融数据本地化措施的核心功能在于对跨境自由流动的金融数据进行限制。目前地缘政治现实和发达国家与发展中国家在技术环境、基础设施和准入控制方面的主导地位存在较大的差异,此类与数据主导地位相关的价值问题引发了人们对当今时代某种形式的“新殖民主义”的担忧[3]。数据安全涉及到国家安全,我国《数据安全法》第一条立法目的的阐释中即涉及到“为了维护国家主权、安全和发展利益”。数据本地化可在一定程度上加强国家对金融数据的控制与管理,防止外部势力窃取或者不正当使用金融数据、进行金融间谍活动或者操纵国内金融市场等对国家金融安全造成威胁。此外,金融数据本地化的使用在促进本国金融行业发展上也发挥着一定的积极作用。该措施在外国金融服务进入一国的过程中发挥着类似于“非关税壁垒”的作用,为本国金融行业的发展提供一个相对稳定的环境[8]。例如金融数据本地化为外国金融服务提供者增加数据合规的额外要求,该限制必然会增加了外国金融服务提供者的经营成本。
其次,在金融监管机构层面,金融监管机构的行动在一定程度上有赖于金融数据本地化措施的实施。从监管行为来看,金融数据本地化为监管机构提供了更为及时和准确的数据访问渠道,从而提高了监管的效率和有效性。如果金融机构将金融数据存储于本国境内,那么监管机构便可直接调查金融数据的存储设备,可方便、快捷、不受限制地进行相关调查;如果金融机构的存储设备设置在他国境内,那么金融监管机构的调查行为则需要依赖于司法协助或者双边、多边协定,这增加执行时间成本与经济成本的同时,也提高了金融监管机构的执行难度。
最后,在金融消费者层面,金融数据本地化提高了一国金融消费者的个人数据与个人隐私的安全性。云计算、大数据等技术的发展促进人们对数据的挖掘程度逐步加深,数据作为生产要素的性质愈加明显。金融数据本地化提高了一国金融消费者的个人数据与个人隐私的安全性。在数据本地化措施的保障下,消费者金融数据的本地存储降低了数据在传输过程中被截取、篡改或滥用的风险。此外,因为金融数据存储本地化使得金融消费者可以直接诉诸于本国法律体系进行维权,这也使得消费者在金融数据受到侵权时能够更容易寻求法律救济。
通过前述分析,金融数据本地化措施从制度功能上来讲是通过遏制金融数据的跨境流动来保障本国的数据安全,因此在国际数字贸易蓬勃发展的今天往往会受到一些质疑与讨论,以下基于《服务贸易总协定》(GATS)的框架分析金融数据本地化措施的性质。国际经贸规则中将一国的国内监管措施分为市场准入与国内规制两个方面,而金融数据本地化措施的定位决定了其在GATS体系下的受约束程度,金融数据本地化中的禁止数据传输措施在一定程度上会引起该类服务无法提供,则构成此类服务的禁止市场准入措施[5]。金融数据本地化中的数据本地存储和有条件的数据跨境传输措施则允许金融机构在受到一些限制的前提下进行数据的跨境流动,则构成此类服务的国内规制手段。
3. 我国金融数据本地化的国内外规制现状
各国基于金融部门发展进程、政府职能部门设置、金融机构发展水平等方面的差异,对金融数据本地化措施的态度迥异,如以美国为主导的《美加墨协定》(USMCA)中明确将金融服务部门纳入数据本地化的禁止范围,其17.18条规定了金融机构计算机的位置,即任何一方均不得要求协定中包括的另一方使用或定位在该方境内的计算设施,作为在该地区开展业务的条件,只要该方的金融监管机构出于监管和监督目的,能够立即、直接、完整和持续地访问协定中包括的另一方在该方境外使用或定位的计算设施上处理或存储的信息[9]。我国的《网络安全法》与《数据安全法》则在法律层面总体确定了数据本地化措施,下文通过国内、国际两个视角分析我国目前金融数据本地化规制体系。
3.1. 我国金融数据本地化国内规制
从金融数据本地化的态度取向来看,我国对金融数据本地化措施采取较为积极的态度。我国金融数据本地化国内规制体系的构建根据其实施主体与法律文件的层级,可分为两类,第一类是由全国人大常委会制定并通过的法律——《网络安全法》与《数据安全法》,两项立法以法律的形式从总体上提出了数据本地化的要求,其也成为金融数据本地化的适用依据。《网络安全法》中规定在中华人民共和国境内运营中收集和产生的、涉及到公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的个人信息和重要数据应当在境内存储。如果行业经营者因业务需要向境外提供数据的,应当按照我国网信部门以及国务院有关部门制定的办法进行数据安全评估。但是《网络安全法》中并未对“重要数据”等概念做出界定,也未对规定除公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业领域以外的其他领域经营者在数据本地化方面是否承担义务[10]。2021年出台的《数据安全法》弥补了相关不足,其规定其他数据处理者在我国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
第二类则是依赖金融行业自治推动金融数据本地化的实施。我国较早的有关金融数据本地化的规定为2006年由中国银行业监督管理委员会发布的《电子银行业务管理办法》,其规定外资金融机构可以在我国境内或境外设置其电子银行系统和数据处理器,但是境外设置是有条件的,外资金融机构需要在满足我国金融机构现场检查的前提下,在我国境内设置数据存储装置。此规定区分了金融数据的处理行为和存储行为,并且只对金融数据的存储行为进行限制。随后2011年出台的《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》和2020年出台的《个人金融信息保护技术规范》中数据本地化要求不仅限于境内个人金融信息的储存,还覆盖了其处理和分析行为。
在分析我国金融数据本地化国内规制体系的逻辑前提下,不难发现相关文件的出台机关分为两类,第一类是国家立法层面,国家立法机关以《网络安全法》和《数据安全法》为统领对数据本地化作出的概括性规定;第二类则是行业自治层面,由中国银行业监督管理委员会、中国人民银行和中国保险监督管理委员会对金融数据本地化作出专门规定。
3.2. 我国金融数据本地化国外规制
在过去的20年间,已有超过400项双边和区域自由贸易协定(FTA)达成谈判,国际合作向区域主义的转变提高了在多边谈判中仍未解决的问题上达成协议的可行性,包括电子商务规则[11]。基于互联网技术呈现出的指数级增长,自由贸易协定中的电子商务章节自首次实施以来也有了显著的发展。早期的电子商务章节相对有限,主要集中在在线消费者保护、电子认证和电子传输的关税等高层次条款,而最近的电子商务章节涵盖了更广泛的当代数字贸易障碍,包括源代码的征用、对垃圾邮件的监管、金融数据跨境流动、以及在网络安全方面的合作等。我国在近几年间在国际区域合作中呈现出积极的态势,下面以2022年已生效的RCEP为例,分析RCEP中金融数据本地化相关规定对我国的影响。
RCEP第八章附件一金融附件中对金融数据本地化措施做出了规定,要求缔约方一方面允许其领土内的金融服务者为进行日常经营所需的信息转移,包括通过电子方式或其他方式进行数据转移,另一方面允许其领土内的金融服务提供者进行日常营运所需的信息处理。在满足前述要求的前提下,RCEP允许缔约方的监管机构出于审慎原因或者监管需要要求其境内的金融服务提供者遵守有关金融数据管理、存储,系统维护以及金融数据副本保留方面的法律法规。此规定以满足金融机构日常经营所需的金融数据跨境流动为前提,允许缔约国的监管机关有条件地限制金融数据的流动,金融数据本地化也在允许范围之内。除RCEP外,我国已于2021年9月16日递交了正式申请加入CPTPP的书面信函,相较于RCEP,CPTPP规制下的金融数据流动性更高,可见我国目前正在积极促进金融数据的跨境流动,金融数据本地化措施的定位与适用需要国外规制情况做出适时调整。
4. 我国金融数据本地化制度检视以及完善建议
4.1. 我国金融数据本地化规制制度不足
通过前文对我国金融数据本地化制度构建的分析可以发现,我国目前在规制模式的选择、数据具体流动规则构建、监管部门职责分工等方面存在不足,主要体现在以下几个方面。
首先,我国关于金融数据本地化的具体规定不完善。从总体上来看,金融行业缺乏法律层面上数据本地化要求的规定,目前《网络安全法》和《数据安全法》仅从“对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域”层面做出概括性规定,并未考虑到金融行业的特殊性。此外,金融部门内部关于数据本地化的文件之间相隔时间较远,可见金融部门内部关于数据本地化的制度构建在较长一段时间内处于停滞的状态,行业自律性文件与法律规定之间的衔接需要完善。此外,外资金融机构数据传输的监管主体存在混合情况,监管主体之间分工不明确。我国目前外资金融机构数据跨境传输存在两类监管主体,一是以网信部门为代表的监管主体,根据我国《数据安全法》的规定,金融行业关键信息基础设施运营者以及主管部门制定的目录下的“重要数据”应当存储在我国境内,并且只有当通过网信部门的数据安全评估后才能出境。二是以我国的银保监会、中国人民银行、证监会等代表的金融行业监管机构。
4.2. 我国金融数据本地化制度完善建议
基于前述我国金融数据本地化国内制度的现状分析、内在检视,可以发现完善我国现有金融数据本地化制度是目前的首要任务,从制度功能上来讲,金融数据本地化措施的价值在于“降低”和“过滤筛选”一国跨境流动中的金融数据,其所能够实现的价值功能十分明显,一国需要在金融开放与保护本国金融市场安全,即相对抗的二者之间进行价值比较与取舍。金融数据本地化并不能实现金融开放和保护本国金融安全的完美平衡,其定位更偏向于二者之间的调节器,一国可结合国际金融市场变化趋势与本国金融部门发展情况,从我国金融部门安全的角度评估、调整数据本地化措施的适用强度。
首先,推动我国金融开放在一定程度上依赖于金融数据本地化法律体系的构建。从前述可见,我国在此方面的法律规制起步较晚,各项规定散见于不同的规范性法律文件中,尚未形成完整的法律体系。基于我国金融数据本地化规制体系和监管措施的逻辑分析,可以得出目前存在两种规制路径的结论[12]。第一种路径是以《网络安全法》的规定为统领,对于金融部门下关键信息基础设施的运营者在我国境内收集和产生的个人信息和重要数据,要求“本地存储并且经网信部门安全评估”后,可跨境传输。第二种路径是依照金融监管部门的规范性法律文件的规定,要求金融数据本地化并且原则上禁止金融数据跨境流动,只有在满足特定的条件下才可实现跨境流动。总的来说,金融数据本地化法律体系的构建首先需要理清我国目前现有两种规制路径的关系,并在此基础上实现金融部门内部数据本地化规制与《数据安全法》总体规制的衔接。
其次,我国可以尝试在保护数据主权和国家监管前提下一定程度放宽金融数据本地化的限制。数据主权是国家主权在网络空间中的延伸,是国家网络主权的重要组成部分,其包括对内的数据管辖权和对外的数据合作治理权两个方面[13]。金融数据本地化的制度价值之一即为维护我国数据主权,从数据主权的内容来看其属于对内数据管辖权范畴,但不可否认的是金融数据本地化在一定程度上遏制了金融开放的步伐,在这种情况下加强对外治理权的比例、放宽金融数据本地化的限制是价值衡量下的选择。
最后,在总体框架上我国坚持推动金融开放,同时依托RCEP,“一带一路”,粤港澳大湾区等平台促进各国在金融行业方面的国际合作。基于数据主权概念的逻辑分析,不难发现加强对外数据合作治理权是保护我国数据主权、促进金融开放的有效措施。我国积极参与国际数据治理体系的建设,加强与其他国家和地区在金融数据保护和跨境流动方面的合作与交流。
5. 总结
随着通信技术的发展与大数据技术的广泛应用,数据主权在一国主权中的地位日益重要,与之相对应的是数据本地化措施的使用率逐年提高。从金融数据本地化的功能价值和我国目前金融市场发展现状来看,金融数据本地化的适用具有一定必要性与合理性,但是考虑到国际金融市场的发展现状,推动金融开放与国际合作为未来的发展趋势之一。总的来说,在全球化和数字化的背景下,金融数据的跨境流动成为不可逆转的趋势。我国在保护数据主权和实施国家监管的前提下,通过完善法律法规、建立安全评估机制、加强国际合作、推动技术创新等多方面的措施,逐步探索金融数据本地化的适用途径,实现金融数据的合理跨境流动,促进金融创新和国际合作以促进金融开放,推动金融行业的发展。