文/新浪財經意見領袖專欄作家 車寧 陳煜烺

　　—摘 要—

　　跨境打新已成為中國企業海外上市的焦點話題之一，頭部服務機構更是以千億交易量彰顯熱潮，與之相伴，個人信息以及一系列金融數據的跨境傳輸，也讓合規風險日益突出

　　圣誕前后，由于承認二次銷售，有著“盲盒第一股”之稱的泡泡瑪特（Pop Mart）失足跌入輿論漩渦，遭到了網絡輿論乃至央媒的口誅筆伐，其市值甚至在一日內就蒸發了120億港元。而半個月前，泡泡瑪特正式在港交所主板掛牌上市，開盤漲幅即超100%。

　　冰火兩重天之下，我們難以預測以泡泡瑪特為代表的盲盒經濟的未來，但其所折射的“跨境打新”現象卻已然成為企業上市投資相關的焦點話題之一，易操作、風險低、收益高等特點迅速推動這股熱潮風靡國內。

　　一段時間以來，國內創新型概念企業紛紛選擇在境外的紐交所、港交所上市，再疊加國內適合個人投資優質資產的相對缺失，“跨境打新”也就逐漸成為投資者分享相關企業發展紅利的重要路徑。然而與監管的屬地原則相適應，客戶的美股和港股均需托管在境外第三方合作清算商，美股托管賬戶內客戶資產受到美國證監會和美國金融管理局監管，港股托管賬戶內客戶資產受到香港證監會監管。

　　因此，客戶的姓名、身份證號、住址、郵箱、聯系電話、婚姻狀況、就業情況等個人信息，以及客戶凈流動資產、凈資產、總資產、凈年收入等金融數據按要求也就會由相應的券商跨境提供給境外清算商進行客戶實名制審核、資產評估等，由此便產生了金融數據跨境傳輸的合規風險。

　　正所謂“窺一斑而見全豹”，本文以一些持有境外券商牌照和注冊投顧牌照，卻向中國居民提供跨境金融服務的新型金融服務提供商為例（此類公司通過網站、APP等向中國境內居民提供投資美股、港股等服務，包括股票交易下單與執行等），從主體、客體（數據）、行為等多個層面分析向境外傳輸金融數據的風險隱患，在此基礎上結合本土實踐和國際經驗對其合規監管提出完善建議。

　　與信息匱乏的時代相比，人類社會跨入信息時代的重要標志之一便是數據在總量規模和增長速度上的顯著提升，最終質變為重要的生產要素，進而促成數字經濟的誕生。然而禍福相倚，由于理性的有限和欲求的誘惑，數據信息獲取使用上的便利也就由福音異化為魔咒，人們往往迷失于眼前新聞的光怪陸離，而喪失了根本趨勢的整體把握，勢必會讓個人乃至社會支付更加高昂的代價。

　　主體視角：是否構成CIIO

　　與很多業務開展類似，金融數據跨境傳輸關鍵需要回答“可不可以，如何能夠”等問題，這從邏輯上首先要求判斷從事行為的機構類型，并以此確認其權利義務的邊界。

　　根據《網絡安全法》第37條的規定，關鍵信息基礎設施運營者（“CIIO”）在國內收集和產生的個人信息和重要數據有本地化存儲的特殊要求，即使確需出境，也需向監管部門進行安全評估。因此，在數據出境過程中，主體是否構成CIIO將直接決定其是否需承擔本地化存儲和安全評估的強制性義務。

　　那什么是關鍵信息基礎設施運營者呢？按照《關鍵信息基礎設施安全保護條例（征求意見稿）》第18條的定義，所謂關鍵信息基礎設施運營者是指運營、管理一旦遭到破壞、喪失功能或者數據泄露，可能危害國家安全、國計民生、公共利益的網絡設施和信息系統的單位，包括政府機關、金融和互聯網等行業領域的機構。

　　以某家依托國外券商牌照向中國居民提供港美股投資服務的頭部公司為例，從業務開展方面看，其同時涉及金融和互聯網領域，直接提供美港股投資申購和投資等金融服務；從規模增長方面看，其占全球華人互聯網券商市場的份額接近60%，用戶超過400萬，年交易規模超過1000億，在其服務機構中也不乏36氪、網易有道、理想汽車以及泡泡瑪特等的身影。

　　不難看出，國內企業境外上市對這些公司的依賴已然達到前所未有的程度，巨額投資量和客戶規模數決定了其信息設施安全與國計民生關聯日漸緊密，而涉及跨境傳輸的數據亦包含了客戶資產、年收入等敏感性極強的金融數據，對金融行業甚至更高層面的影響在加大。

　　有鑒于此，至少在理論推演層面，上述跨境金融服務商尤其是其頭部機構被認定為CIIO的概率較大。同時，盡管該類公司大多提供美股、港股、澳股、期貨、基金等境外金融服務，但其服務對象主要還是中國民眾以及華人華僑，因此仍然滿足“在國內收集和產生”的要件，故其處理的相關數據原則上應當進行本地化存儲，即使確需跨境傳輸，也應當向相關部門進行安全評估。從這些公司的APP用戶隱私政策條款（圖1）來看，在其中也確實強調了上述義務，值得肯定。

圖1/某跨境金融服務商App-隱私政策

　　數據視角：

　　是否構成重要數據

　　如前所述，中國法律制度對CIIO在國內收集和產生的個人信息和重要數據具有本地化存儲和安全評估的要求。跨境金融服務商向境外清算商傳輸的金融數據中包含“個人信息”這一點并無疑義，但這些信息是否構成“重要數據”則需進一步分析。

　　然而目前中國現行法律制度中還沒有對重要數據這一概念進行界定，相關定義均以“征求意見稿”的形式存在（如《個人信息和重要數據出境安全評估辦法（征求意見稿）》（2017）第17條，《信息安全技術 數據出境安全評估指南（草案）》（2017）附錄A，《數據安全管理辦法（征求意見稿）》（2019）第38條等）。

　　在這些辦法中，《數據安全管理辦法（征求意見稿）》（2019）第38條對重要數據的定義較具參考意義：“重要數據，是指一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據，如未公開的政府信息，大面積人口、基因健康、地理、礦產資源等。重要數據一般不包括企業生產經營和內部管理信息、個人信息等。”然而，僅憑借該定義仍難以確定互聯網券商收集的金融數據是否已經達到重要數據的程度。

　　進一步考察，可發現《信息安全技術 數據出境安全評估指南（草案）》（2017）在附錄A中還體系化歸納了28類重要數據，其中在A.19金融類中明確個人財產信息、賬戶信息和個人信用信息等可能會構成重要數據，并在總則部分以“如披露可能影響或危害國家經濟秩序和金融安全”作為判斷標準。

　　在實際操作中，上述跨境金融服務商在提供跨境打新服務時都收集了個人哪些數據？以某頭部機構的業務開展為例，客戶如需使用服務則必須進行開戶，在開戶過程中則會直接要求用戶填寫凈流動資產、凈資產、總資產、凈年收入（圖2），且每個用戶均為實名制。因此，其收集的金融數據顯然已經構成上述《指南》中的個人財產信息和賬戶信息。

　　再結合本文第一部分所述，這些跨境金融服務商近年在國內市場份額、用戶數量和交易規模上均已在金融市場中占據舉足輕重的地位，如上述相關信息被披露或經他人整合分析進而造成負面后果，理解為達到“影響或危害國家經濟秩序和金融安全”的程度也不足為過。

　　因此，一則具備被認定為CIIO的客觀條件，再者其收集并產生的相關金融數據已經構成重要數據，這些跨境金融服務商理應受到本地化存儲和安全評估等方面的特殊監管要求。

圖2/某跨境金融服務商App-開戶頁面

　　行為視角之一：

　　監管制度有待系統完善

　　由于被稱為“個人”信息，更由于其產生源自個人行動及相關企業對個人行動信息的整合分析，數據姓“私”并進而接受私法領域憲章——《民法典》的規范也就顯得理所當然。不過，雖然“在民法慈母般的眼神中，每個人就是整個國家”（孟德斯鳩語），雖然《民法典》也在人格權編第六章“隱私權和個人信息保護”中賦予個人信息和數據以前所未有的法律地位和保護力度，其第一千零三十五條更是規定了處理個人信息應當遵循合法、正當、必要的原則，并用幾個條文從宏觀上規定了信息處理者的安全保障義務、免責事由等。

　　然而民法的本質畢竟還是私法，調整的是平等主體間的民事法律關系，因此從理論架構上難以也不適宜涵蓋政府監管層面的體系，尤其是在信息產權理論等有關數據權益保護的思潮尚未落實到一般公眾思維中的現狀下，發揮公法層面的指導和規范作用便具有必要性。在監管層面，由于金融數據同時涉及金融監管和網絡安全兩方面的合規風險，因此在對上述跨境金融服務商進行跨境數據傳輸的評估時也應同時考慮雙重合規的義務。

　　在金融監管領域，中國目前涉及個人金融信息跨境傳輸監管的規定主要包括2011年人民銀行發布的《關于銀行業金融機構做好個人金融信息保護工作的通知》、2020年2月發布的《個人金融信息保護技術規范》（以下簡稱《規范）》、2020年9月頒布的《中國人民銀行金融消費者權益保護實施辦法》和《金融數據安全 數據安全分級指南》（以下簡稱《指南》）等。

　　在這些制度中，一方面，《規范》7.1.3條d）項規定，企業在中國境內提供金融產品或服務過程中收集和產生的個人金融信息應在境內存儲、處理和分析；確需向境外提供的，有如下合規要求：

　　（1）應取得個人金融信息主體的明示同意；

　　（2）應依據國家、行業有關部門制定的辦法與標準開展個人金融信息安全出境評估，確保境外機構數據安全保護能力達到國家、行業有關部門與金融業機構的安全要求；

　　（3）應與境外機構簽訂協議、現場核查等方式，明確并監督境外機構有效履行個人金融信息保護保密、數據刪除、案件協查等職責義務。

　　另一方面，《指南》也根據金融行業機構數據安全性遭受破壞后的影響對象及程度，將數據安全由高至低劃分為五個級別。《指南》中還特別強調，金融行業機構應高度重視與個人金融信息相關的數據安全保護，并在5.3“定級規則”中特別提及重要數據，并指出重要數據的安全等級不可低于該標準所述5級。《指南》中增加重要數據的內容，是國家數據安全標準體系內的相互引用，體現了行業標準對國家標準的繼承。

　　然而，對于安全評估義務，《規范》中雖然規定應依據“有關部門制定的辦法與標準”，但目前行業監管機構并未進一步對金融數據跨境評估頒布相關標準，按照法理上“無特殊依一般”的原則，相關行為現階段主要遵循網絡安全層面的一般規定。但這樣這實質上便可能導致金融監管層面的安全評估合規落空，而僅憑借網信部門也難以實現《指南》中分級管理的目標。

　　從現狀來看，跨境金融服務商在跨境傳輸金融數據上，面臨的本地化存儲、數據主體同意、安全評估和簽訂協議等義務與網絡安全監管層面的要求基本一致，因此，在行業監管層面對數據跨境合規暫不明確的現狀下，跨境金融服務商向境外傳輸金融數據仍應主要落實網絡安全層面的監管要求。但展望未來，相關政府部門應當對金融信息跨境傳輸的評估批準機構、流程進一步明確，同時也建議在監管體系內建立分級管理機制，從而在保護中國金融安全和經濟秩序的同時，效益最大化地保障信息共享和傳輸。

　　行為視角之二：

　　安全評估誰來負責

　　緊接上述制度適用競合方面的問題，根據《數據安全管理辦法（征求意見稿）》第28條，作為網絡運營者的境內券商向境外提供重要數據前應當“報經行業主管監管部門同意，行業主管監管部門不明確的，應經省級網信部門批準”，從邏輯上看，由于上述跨境金融服務商隸屬金融領域，故相關數據出境應報金融監管部門同意。

　　具體到實踐中，金融監管機構頒布的《個人金融信息保護技術規范》有可能導致將數據出境的安全評估職責指引到網信部門，而后者頒布的《數據安全管理辦法（征求意見稿）》卻又將安全評估的職責規定給前者，這便在立法層面對于數據出境的安全評估部門出現了模糊的情況。

　　筆者通過與監管機構多個部門溝通，得到的答復為相關評估工作不屬于其管轄范圍。因此，中國金融數據出境的現狀是，盡管行業監管機構明確，但監管機構卻沒有具體設立相關部門以履行職責，此時是否應向省級網信部門報批便存在問題，因為《數據安全管理辦法（征求意見稿）》明確規定由省級網信部門批準的前提是“行業主管監管部門不明確”，考慮到2020年監管部門剛剛印發了金融數據分級管理的指南，并且基于金融數據和專業性和敏感性也不宜由網信部門對金融數據進行安全評估，因此跨境金融服務商在金融數據跨境傳輸前向哪一機構申請完成安全評估以及安全評估的程度（例如是否進行分級評估）就存在較大障礙，但不經評估又存在合規風險。

　　這樣，現有規則體系下相關機構進行金融數據跨境傳輸就較易陷入“評估無門”的困境。

　　行為視角之三：

　　個人主體權利保障

　　除行業監管和安全評估外，金融數據出境也理應得到個人信息主體的同意，然而對于具體情形下前者是否需后者同意卻也存在兩個方面的具體場景：一是傳輸方（跨境金融服務商）向境外接收方（如第三方清算商）的傳輸，二是境外接收方向境外第三方的傳輸。

　　對于傳輸方向境外接收方傳輸是否需經個人信息主體同意，立法層面發生了多次變化。2017年《個人信息和重要數據出境安全評估辦法（征求意見稿）》第4條中要求數據出境須經個人信息主體單獨同意，2019年《個人信息出境安全評估辦法》第14條則以事先“告知”數據主體代替“同意”的要求，較大程度減輕了企業的負擔。但在2020年公布的《個人信息保護法（草案）》第39條中，立法再次要求須單獨征得個人信息主體的同意。從出臺時間和法律效力層級來看，《個人信息保護法》未來是數據合規應遵循的基本法，且跨境金融服務商傳輸的數據同時涉及金融領域，2020年《個人金融信息保護技術規范》亦有征得個人單獨同意的要求。因此盡管網絡安全層面的規范性文件存在變化，跨境金融服務商未來有較大概率需在其APP中設置相關同意條款以滿足上述合規要求。

　　對于境外接收方向第三方傳輸的情形，同樣存在趨緊的情況。2019年《個人信息出境安全評估辦法（征求意見稿）》第16條規定只有向第三方傳輸的數據中涉及個人敏感信息時，才須征得個人信息主體同意。但從最新《個人信息保護法（草案）》及網信部門的相關態度推測，未來在正式立法中包括個人敏感信息在內的所有個人信息向第三方傳輸時均可能納入單獨同意的范疇。

　　金融數據跨境傳輸的法律關系不僅局限于政府（行業監管部門、網信部門）、跨境金融服務商和投資者個人，還涉及到境內外的數據傳輸方與數據接收方，《個人信息出境安全評估辦法（征求意見稿）》（以下簡稱《辦法》）對此專門要求了簽訂協議的合規義務。對于這一模式，事實上是充分借鑒了國際上的先進經驗和通行做法，主要是仿效歐盟實踐多年的適用于個人數據出境的標準合同條款（“SCC”），通過合同條款界定個人信息主體的權利與信息傳輸方和信息接收方的責任與義務。

　　同時，為了提高可操作性和有效性，《辦法》還將主要責任確定在位于境內的網絡運營者上，新增了許多網絡運營者對境外接收者的義務條款，如需關注接收者的網絡安全要求和個人信息保護落實情況，代接收者先行賠付，加強對境外數據接收者行為的間接規制等等，這些規定都是國際上接受度較高，并且具有較好實踐效果的通行做法，體現了中國積極踐行與國際接軌，同時又具有中國特色的數據治理路徑。不過，關于通過協議約束這一國際通行做法，中國在借鑒時也進行了一定取舍，至于此種取舍是否成功不無爭議。

　　完善視角：

　　對接國際面向未來

　　事實上，對包括金融數據在內信息跨境傳輸的關注已不僅限于國內，國外更是蔚為大觀。以2020年11月15日正式簽署的《區域全面經濟伙伴關系協定》（RCEP）為例，其第十二章（電子商務專章）不僅規定了促進電子貿易便利化的內容，還涵蓋了網絡安全、個人信息保護、信息跨境傳輸等方面的要求，考察RCEP第十二章第15條關于“電子方式跨境傳輸信息”的相關規定，其核心要旨仍是在保證網絡安全和數據主體利益的前提下促進數據共享和傳輸。然而與其顯赫地位與重要作用不相適應的是，目前金融數據出境的規范仍是局促在小圈子里的冷門話題，并且如前所述，在網絡運營主體、傳輸數據類型和合規行為層面，理論和實踐中都存在不少的的痛點和難點。展望未來，金融數據跨境傳輸規范至少可以從以下方面予以完善。

　　（一）明確部門職責

　　如本文之前關于安全評估義務的論述，目前，僅從行業監管部門和網信部門等發布的各類規定和文件中難以確定金融企業跨境傳輸數據時進行安全評估或報批的具體部門，而在實踐中經考察也確實出現了安全評估職責不明確的情況。由于在2020年發布的《指南》中行業監管部門明確要求對金融數據進行分級管理，其中還特別提及網絡安全領域的基礎概念——“重要數據”，可見金融領域對數據出境將持更為謹慎的態度，也意味著敏感性較強的金融數據更需要專業化的機構集中進行安全評估。為實現金融安全和信息共享的平衡，促進企業合規與信息流動的良性循環，建議未來明確由相關行業監管部門的下屬單位來承擔該部分的安全評估，并履行分級管理的職責。

　　（二）履行個人同意要求

　　對于境外接收方向第三方傳輸信息是否須單獨同意，前文已經論述目前未有明確的法律法規予以規范，唯一作出規定的是2019年《個人信息出境安全評估辦法（征求意見稿）》，其要求僅在涉及個人敏感信息時才須征得個人信息主體同意，這種態度與該《評估辦法》關于數據由境內主體向境外傳輸時僅須事先“告知”保持一致。但從2020年10月公布的《個人信息保護（草案）》對數據出境須單獨同意的趨勢來看，盡管其沒有明確規定向第三方傳輸的情形，但不難想見其中待考量的風險與跨境傳輸較為相似，甚至更大。因為境外接收方與境內網絡運營者往往基于協議或公司關聯關系，故較易對其信息安全措施較進行把控和評估；但對于境外第三方而言，其往往與境內主體沒有直接聯系，因此更有對個人信息主體權益進行保護的必要，未來規定其須單獨同意也是應有之意。

　　當然，這在操作層面可能存在較大困難，以某跨境金融服務商為例，在其將用戶數據向境外運營者傳輸的情形中，是通過用戶協議單獨勾選或跳轉對話框勾選的形式征得用戶同意；但對于境外運營者需向第三方傳輸數據的情形，其與用戶事實上并沒有可以交互的渠道。未來可能解決的辦法是，境內機構在前述向境外運營者傳輸并取得信息主體單獨同意時，一并設置境外運營者向第三方傳輸的知情同意條款，以實現相關合規要求。

　　（三）細化協議規定

　　盡管中國目前仿效國際經驗采取了協議約束的模式，從而進一步規制境內運營者和境外接收方，然而，《辦法》和《個人信息保護法（草案）》在數據接收方主體的稱謂上僅引入了“個人信息處理者”的定義，也就是說，其沒有區分共同控制者和處理者，這個定義更類似于歐盟《通用數據保護條例》（“GDPR”）項下的數據控制者。對于數據處理者角色，草案則按照行為特征進行描述（共同處理、委托處理）。基于這種邏輯，《辦法》在上述合同約束模式中便僅規定了一類協議，即境內的網絡運營者與境外的數據接收方。

　　筆者認為，既然中國在數據出境上已有明顯仿效歐盟SCC的趨勢，且SCC在歐盟多年實踐證明其優勢確實明顯，那么對其實質性內容進行借鑒便更具有必要性。

　　歐盟SCC事實上包含了兩類數據跨境傳輸合同條款，一類是控制者向共同控制者傳輸（controller to controller），另一類則是控制者向處理者傳輸（controller to processor）。將境外主體細分為共同控制者和處理者兩類的優勢在于可將權利義務精細化。例如，在SCC的“to controller”條款中，規定了合同雙方可約定由境外共同控制者響應數據主體和監管機構關于數據處理的詢問，而在“to processor”條款中則未進行此種規定，原因在于processor事實上相當于境內數據控制者的機械手，一切處理活動須遵循控制者的指示，自然也沒有單獨響應詢問的可能和必要。

　　展望未來對于金融數據這類專業性、敏感性強且須分級管理的數據類型，建議在以合同模式約束時可采用區分主體的方式以細分權利義務。這樣，一方面可防止監管中可能發生的“一刀切”進而影響數據共享和利用，另一方面也為企業提供明確的合規路徑，而非由企業低效率地自行探索法條中數據控制者和處理者的關系，導致其或者冒合規風險而侵害數據安全，或者放棄該業務而影響經營效益。

　　(本文作者介紹：金融新興商業模式的長期觀察者，現就職于某大型銀行，北京市網絡法學會副秘書長。)