央行国际司周宇:关于金融部门数据跨境流动规则的初步思考
➤ 我国已出台一系列与数据跨境传输以及金融信息相关的法律、法规和规范性文件,主要呈现三方面特点:一是原则上要求重要数据和一定规模以上的个人信息本地存储,确需出境需经过安全评估;二是需经安全评估方可出境的数据范围规定较为原则性,亟待明确细化;三是全国层面的数据安全分级制度与金融数据跨境流动规定的对接有待加强。
➤ 为了更好兼顾安全与发展,提出三项建议:一是可考虑完善治理框架,原则上允许必要的金融部门数据跨境流动;二是有效平衡数据自由流动与保障隐私和安全的政策目标;三是统筹用好国际自贸协定谈判和国内自贸区建设两个抓手。
——周宇 中国金融四十人论坛(CF40)特邀成员、中国人民银行国际司副司长*文章仅代表作者个人观点,不代表CF40及作者所在机构立场。”
文 | 周宇
随着数字经济的飞速发展,包括金融部门数据在内的数据跨境流动呈爆发式增长。与此同时,人们也开始更加关注隐私保护、数据安全等问题,各国纷纷加强了对数据跨境流动的监管。在2008年以来各国签署的诸边和双边自贸协定中,有29份包含数据跨境流动的内容,但在全球层面,仍未形成统一的数据治理框架。本文重点分析梳理了近年主要自贸协定中关于数据特别是金融部门数据流动的规则概况,并结合我国实践提出了初步思考与建议。
1. 数据跨境流动成为数字化时代推动全球经济增长的重要引擎。
经济合作与发展组织(OECD)是最早对数据跨境流动给出定义的机构,将其定义为跨越国家、政治疆界的点到点的数字化数据传递。联合国跨国公司中心对数据跨境流动的定义则被公认为最为权威——其指的是跨越国界对存储在计算机中的机器可读数据进行处理、存储和检索。
此前几十年的全球化浪潮一直由货物和服务贸易引领,然而2008年全球金融危机后,贸易增长陷入停滞,数据跨境流动则出现爆发式增长。以宽带流量来衡量,2008年至2020年,全球数据跨境流动增长了约112倍。美国布鲁金斯学会的研究显示,从2009年到2018年的十年间,依靠数据跨境流动的经济活动对全球GDP增长的贡献高达10.1%,2025年此类经济活动对全球经济增长的贡献有望突破11万亿美元。
2. 全球统一的数据治理框架尚未形成。
OECD在1980年出台的《关于隐私保护与个人数据跨境流动指南》被视为从全球层面对数据跨境流动进行规制的第一次尝试。该指南明确了限制收集、数据质量、目标明确、限制使用、安全保障、公开、个人参与以及问责等八类原则,为个人信息和隐私保护划出了最低标准。
亚太经合组织(APEC)于2005年参照OECD的指南制定了《APEC隐私框架》,主要内容与OECD指南类似。但由于OECD和APEC的规定并无法律约束力,在实践中主要起指导和参考作用。
WTO的《服务贸易总协定》和《金融服务谅解》对开展日常业务所需的金融数据跨境流动做出了规定,除此之外并无明确的数据跨境流动规则。因此,许多WTO成员正在就其自贸协定的电子商务章节或其他数据相关章节展开谈判,试图就相关规则达成共识。
2019年,G20启动“大阪轨道”(Osaka Track),提出“基于信任的数据自由流动”(Data Free Flow with Trust)倡议,旨在建立协调一致的国际数据流动框架。
3. 数据自由跨境流动和数据本地存储是两大焦点问题。
面对数据跨境流动大幅增长,各国开始关注潜在风险并出台相关政策予以规范。
在跨境流动方面,一些国家允许市场主体在满足一些特定条件后跨境传输数据,比如必须征得数据主体同意、必须确保数据接收方有能力保障数据安全等;还有一些国家完全禁止数据出境,但这种最为严格的限制一般只适用于健康医疗等特别敏感的领域。
在本地存储方面,一些国家要求市场主体完全在本地存储和处理数据,另外一些则规定只要在本地存储副本的情况下,就可同时在境外存储和处理数据。
各国出台相关政策,一般主要出于保护个人隐私、确保执法部门能够立即获得数据、维护国家安全、提高经济竞争力和提供公平监管环境这五方面考虑。各国在数据跨境流动问题上的立场差异影响了数据跨境自由流动,如何协调各国立场差异是数据治理国际规制面临的核心问题。
纳入数据跨境流动规则的情况
从包含数据流动规则的自贸协定数量看,OECD研究显示,2008年以来,特别是2017年以后,包含相关内容的贸易协定数量大幅上升,72个经济体共签署了29份包含数据规则的贸易协定(图1)。
图1 2008年至2020年
包含数据规则的贸易协定增长情况
数据来源:OECD。
从数据规则的约束程度看,45%的贸易协定提出了有助于实现数据自由跨境流动的有约束力的规则;另有45%提出了促进数据流动的指导意见,但不具约束力;还有10%的贸易协定,其数据流动相关条款仅有参考意义,留待未来进一步讨论。
从数据规则的章节构成看,包含数据跨境流动规则的自贸协定可分为三类(图2)。
图2 自贸协定对数据和金融数据的规定
● 第一类仅在电子商务章节对数据跨境流动做出规定,但没有专门针对金融部门的数据跨境规定;
● 第二类仅在金融服务章节专门就金融数据跨境问题做出规定,此类比较少见;
● 第三类同时在电子商务和金融服务两个章节分别对数据以及金融部门的数据跨境流动做出规定,此类最为普遍。
至于是否专门就金融数据做出规定,取决于缔约方对金融部门以及金融数据自由流动的重视程度。
从数据规则的具体内容看,电子商务章节除了要求允许数据跨境流动外,还会禁止提出数据本地存储要求,对确保数据自由流动的要求更高。相比之下,除了美国主导的部分自贸协定外,大多数包含数据流动规则的金融服务章节仅包括允许数据出境的要求,并未严格禁止缔约方提出数据本地存储要求。
跨境流动规则的情况梳理
《北美自贸协定》(NAFTA)、《美墨加协定》(USMCA)、《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《美韩自由贸易协定》(KORUS)、《欧盟与日本经济伙伴关系协定》(EPA)、《欧盟与越南贸易和投资协定》(EVFTA),以及《区域全面经济伙伴关系协定》(RCEP)都对金融部门数据的跨境流动做出了相应的规范。通过梳理有关规则,可以得出以下观察。
就数据出境要求而言:允许金融部门数据跨境自由流动是主流。USMCA、KORUS、CPTPP、欧日、欧越和RCEP等自贸协定均提出,成员应允许金融机构出于“日常经营处理数据所需”的目的跨境转移信息,即原则上不应限制金融数据出境。不难看出,随着数字经济发展以及金融机构全球化经营需求不断上升,各国日益意识到金融数据跨境流动的必要性。
在允许金融数据出境的同时,绝大多数自贸协定也规定了例外情形。除了NAFTA和KORUS未明确提出例外情形外,其他自贸协定均规定,成员可出于保护个人数据和隐私等考虑而采取措施限制金融数据跨境流动;但也都明确相关限制措施不能用于规避成员应尽义务。
值得注意的是,一些自贸协定扩大了例外情形范围。例如,CPTPP规定,成员还可出于审慎考虑要求金融机构事先获得监管机构的授权,以指定特定企业作为数据接收方。比较而言,RCEP的例外情形范围最广,允许成员的监管机构出于监管或审慎原因而要求金融服务提供者遵守与数据管理、存储和系统维护、保留境内记录副本相关的法律和规定。由于监管或审慎原因的范围较宽泛,成员在金融部门数据跨境流动问题上的自由裁量权较大。
此外,就过渡期而言,韩国在KORUS下、欧越双方在欧越自贸协定下设置了最长两年的过渡期。加拿大在USMCA下针对禁止提出数据本地存储要求设置了一年过渡期。
就本地存储要求而言,部分雄心水平更高的自贸协定包含了不得提出金融部门数据必须本地存储的要求。美国主导的USMCA等部分高水平自贸协定中,包含了缔约方不得强行要求将金融部门数据存储在本地的规定。根据USMCA的规定,只要缔约方的金融监管当局能立即(immediate)、直接(direct)、完整(complete)、持续(ongoing)获得金融机构存在境外的信息,相关当局就不得将数据本地存储作为金融机构在当地展业的条件。如金融机构不能按上述要求向金融监管当局提供信息,各缔约方在提出数据本地存储要求前,应给予相关金融机构采取补救措施的机会。
总的来看,美国主导的自贸协定较为注重确保金融部门数据能够自由跨境流动,而欧洲参加的自贸协定则更为强调在保护个人数据安全和隐私基础上的自由流动。就亚洲国家居多的RCEP而言,因15个缔约方的发展水平差异较大,对于金融部门数据跨境流动也规定了较多的例外情形,导致RCEP在该领域的规则约束力相对较低。
数据跨境流动规定的现状
随着金融部门数据跨境流动的需求不断增加,同时相关风险有所显现,我国立法部门和金融监管机构也出台了一系列与数据跨境传输以及金融信息相关的法律、法规和规范性文件。
全国层面主要有数据三法,即《网络安全法》《数据安全法》和《个人信息保护法》。金融领域主要包括《反洗钱法》以及中国人民银行牵头出台的《金融机构反洗钱规定》《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》《征信业管理条例》《非银行支付机构网络支付业务管理办法》《信用评级管理暂行办法》以及《个人金融信息保护技术规范》等。
上述法律法规有以下特点:
一是原则上要求重要数据和一定规模以上的个人信息本地存储,确需出境需经过安全评估。
《网络安全法》和《个人信息保护法》规定,关键信息基础设施运营者和处理个人信息达到规定数量的个人信息处理者,应当将在境内收集和产生的重要数据和个人信息存储在境内。因业务需要,确需向境外提供的,应按网信办会同有关部门制定的办法进行安全评估。
具体到金融领域,在我国境内收集的个人金融信息、从银行卡清算业务中获取的信息、征信机构在我国境内采集的信息,其储存、处理和分析原则上都要在境内完成,除另有规定,不得出境。
二是需经安全评估方可出境的数据范围规定较为原则性,亟待明确细化。
《数据出境安全评估办法》要求,“数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”,需申报网信办的数据出境安全评估。但对于哪些属于“重要数据”、哪些属于“敏感信息”,国家层面的界定仍较为原则性,有待各部门据此制定本行业的重要数据指导目录,予以细化。
我国金融部门的重要数据识别标准还在制定过程中,虽然监管当局出台的法规和规范性文件中,有些规定了“因业务需要”可向境外提供金融数据,但并未明确可提供的数据范围,客观上导致了金融机构在实践中仍缺乏明确有效的指导。
三是亟需加强全国层面的数据安全分级制度与金融数据跨境流动规定的对接。
《数据安全法》建立数据分类分级保护制度,这是一项重大创新。该法指出,国家根据数据在经济社会发展中的重要程度,以及遭滥用可能造成的危害程度,对数据进行分类分级保护。
《网络数据安全管理条例(征求意见稿)》进一步将数据分为一般数据、重要数据、核心数据等三级,并分别采取不同保护措施,原则上规定了一般数据允许自由流动,重要数据需通过数据出境安全评估后自由流动以及核心数据限制流动。
就金融部门而言,目前的做法是按安全级别将金融数据划分为1至5共五级。从便利金融部门数据跨境流动的角度,该五分法需要与国家层面的三分法(一般、重要、核心数据)更好衔接,以便进一步明确可出境的金融数据范围。
现行做法在保护金融消费者权益、维护我国国家安全等方面发挥了重要作用。与此同时,为了更好地兼顾安全与发展,还需避免对金融部门数据跨境流动“一刀切”限制,否则既不利于行业的健康稳定发展,还可能因一些市场主体绕道走偏门而对维护数据安全起到事与愿违的效果。鉴于此,似可提出以下建议:
一是可考虑完善治理框架,原则上允许必要的金融部门数据跨境流动。
作为数据大国,根据比较优势理论,在保障隐私和安全的前提下,数据这一重要生产要素的自由流动符合我国经济利益。这不仅有助于与国际主流实践接轨,积极回应国际社会在数据跨境流动问题上对我国的期待,也是我国在数字经济时代推动经济高质量发展、形成国内国际双循环相互促进新发展格局的客观需要。
为此,似可考虑修改完善相关法律法规,使根据日常经营所需进行的金融数据跨境流动有法可依。同时,应尽快明确“因业务需要”等相关情景及概念的范围,避免实践中因为“法不责众”导致法律无法落地。
二是有效平衡数据自由流动与保障隐私和安全的政策目标。
近年来,许多经济体在允许数据跨境自由流动的同时,也强调数据和隐私保护以及国家安全问题。美国推崇全球数据自由流动,但也会以国家安全为由对特定数据提出限制出境或严格审查要求。欧盟强调在保护个人隐私的前提下允许数据跨境流动。从1995年的《数据保护指令》到2018年的《通用数据保护条例》,欧盟对个人数据的保护力度不断提升。
在金融数据跨境流动方面,应加强我国《数据安全法》提出的数据分级分类制度与金融数据跨境流动需求的衔接,以便更好分类施策。对于争议较少的一般数据,原则上允许自由流动;对于重要数据,允许在满足特定条件后自由流动;对于核心数据,可限制流动。
在本地存储方面,一些国家的金融监管当局从获取信息的角度提出要求,虽不明确提出数据本地存储要求,但要求金融机构必须能立即、直接、完整、持续向东道国金融监管当局提供信息,但实践中大多需要将数据中心设在东道国,这些经验都可资借鉴。
三是统筹用好国际自贸协定谈判和国内自贸区建设两个抓手。
应以自贸谈判为契机,秉持开放、创新思维,深度参与金融数据跨境流动国际规则制定,争取话语权和主动权。对现阶段暂无法履行的义务,可合理利用例外条款或引入过渡期安排。
同时,应坚持底线思维,积极探索在自贸区先行先试有关规定,确保金融数据安全有序流动。
参考文献
1. Martina F. Ferracane, 2017, Restrictions to Cross-Border Data Flows: a Taxonomy, ECIPE Working Papers.
2. Nigel Cory, 2017, Cross-Border Data Flows: What Are the Barriers, and What Do They Cost?, Information Technology and Innovation Foundation.
3. Comparing Digital Rules in Trade Agreements, 2019, Asian Trade Center.
4. Joshua P. Meltzer, Digital Australia, 2018, Global Economy and Development Working Paper 118, Brookings.
5. Francesca Casalini, Javier Lopez-Gonzalez, and Taku Nemoto, 2021, Mapping Commonalities in Regulatory Approaches to Cross-Border Data Transfers, OECD.
6. Matthew J. Slaughter and David H. McCormick, 2021, Data Is Power, Foreign Affairs, May-June.
7. 朱隽等,2019年,新形势下国际贸易规则的重塑,中国金融出版社。
8. 马兰,2020年,金融数据跨境流动规则的核心问题和中国因应,中国知网。