我國跨境數(shù)據(jù)流動中的金融企業(yè)合規(guī)治理

許多奇

復(fù)旦大學(xué)法學(xué)院教授、博士生導(dǎo)師

復(fù)旦大學(xué)智慧法治實驗室負(fù)責(zé)人

復(fù)旦大學(xué)數(shù)字經(jīng)濟法治研究中心主任

董家杰

復(fù)旦大學(xué)法學(xué)院博士研究生

復(fù)旦大學(xué)智慧法治實驗室、復(fù)旦大學(xué)數(shù)字經(jīng)濟研究中心研究人員

「摘要」數(shù)字經(jīng)濟背景下對金融數(shù)據(jù)跨境開展必要規(guī)制已成趨勢，有此內(nèi)在業(yè)務(wù)需求的金融企業(yè)亟須加強合規(guī)應(yīng)對。基于合規(guī)的多重內(nèi)涵，我國跨境數(shù)據(jù)流動中的金融企業(yè)合規(guī)應(yīng)被建構(gòu)為一個三維面向的綜合治理體系。其一，法制立法是前提，金融數(shù)據(jù)跨境流動立法的本質(zhì)即安全與自由的利益平衡，現(xiàn)行立法中金融企業(yè)與金融數(shù)據(jù)的關(guān)系錯位卻導(dǎo)致利益失衡，通過回歸立足金融數(shù)據(jù)本位立場的金融企業(yè)合規(guī)中心視角方能實現(xiàn)利益再平衡。其二，內(nèi)部合規(guī)是核心，既要貫徹預(yù)防性規(guī)制理念賦予金融企業(yè)強制性合規(guī)義務(wù)以實現(xiàn)自治的法治化，構(gòu)筑起立基全周期保護義務(wù)的全流程合規(guī)體系；又要完善“規(guī)制-自我規(guī)制-元規(guī)制”三環(huán)耦合，在框架性原則下促進(jìn)法治與自治良性互動。其三，行政監(jiān)管是保障，為因應(yīng)多頭監(jiān)管困境、金融科技挑戰(zhàn)與合規(guī)動力不足現(xiàn)狀，須由統(tǒng)一監(jiān)管主體創(chuàng)新監(jiān)管科技、建立多重合規(guī)激勵。面對實定法依據(jù)缺位和未知動態(tài)風(fēng)險，可引入監(jiān)管沙盒為上述構(gòu)想落地提供容錯糾錯的試驗機制。

「關(guān)鍵詞」跨境數(shù)據(jù)流動；金融數(shù)據(jù)；金融企業(yè)；企業(yè)合規(guī)；治理體系

■ 原文載于《吉林大學(xué)社會科學(xué)學(xué)報》2024年第3期”信息技術(shù)發(fā)展與中國法治創(chuàng)新“欄目，本文為推送版，相關(guān)注釋和參考文獻(xiàn)等請參閱原文。

一、問題的提出

數(shù)字經(jīng)濟的蓬勃發(fā)展是當(dāng)前全球經(jīng)濟的顯著趨勢。據(jù)統(tǒng)計，2022年全球51個主要國家的數(shù)字經(jīng)濟產(chǎn)值占GDP比重高達(dá)46.1%，其中我國為41.5%。數(shù)字經(jīng)濟的本質(zhì)是數(shù)據(jù)驅(qū)動，而數(shù)據(jù)的價值只有在流動中才得以釋放。在信息技術(shù)助力經(jīng)濟全球化縱深發(fā)展的背景之下，必然引發(fā)“跨境數(shù)據(jù)流動”(cross-border data flow)。2024年3月，國家互聯(lián)網(wǎng)信息辦公室(以下簡稱“國家網(wǎng)信辦”)正式發(fā)布《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》，傳達(dá)出數(shù)字經(jīng)濟時代促進(jìn)數(shù)據(jù)依法有序自由流動的積極信號。大數(shù)據(jù)時代，跨境數(shù)據(jù)流動對全球GDP的貢獻(xiàn)已超過傳統(tǒng)貨物貿(mào)易，逐漸成為全球貿(mào)易和投資增長的新支柱。

數(shù)字經(jīng)濟背景下的數(shù)據(jù)跨境需求是全方位的，不同行業(yè)數(shù)據(jù)的特殊性奠定了跨境數(shù)據(jù)流動在一般規(guī)制之下分業(yè)治理的基調(diào)，而金融無疑是重要領(lǐng)域之一。一方面，在體量日益龐大的跨國金融服務(wù)貿(mào)易中，“數(shù)字金融”(digital finance)的興起使得金融數(shù)據(jù)通過提高運營效率、更好預(yù)測欺詐、提高勞動力配置、減少數(shù)據(jù)中介摩擦等，可以在整個金融服務(wù)生命周期內(nèi)為金融企業(yè)創(chuàng)造巨大的經(jīng)濟價值；加之金融業(yè)業(yè)務(wù)復(fù)雜多樣、市場瞬息萬變的特點，導(dǎo)致金融行業(yè)數(shù)據(jù)跨境的數(shù)量需求和質(zhì)量要求較之其他行業(yè)均有過之而無不及。伴隨著金融高水平開放的穩(wěn)步推進(jìn)，金融企業(yè)“引進(jìn)來”與“走出去”雙向步伐不斷加快，金融數(shù)據(jù)跨境的業(yè)務(wù)需求更是水漲船高。另一方面，由于金融數(shù)據(jù)之上承載著國家和社會公共利益、私人合法權(quán)益等多元利益，金融企業(yè)不是金融數(shù)據(jù)的唯一權(quán)益主體，因此無論是基于傳統(tǒng)的規(guī)制公共利益理論，還是對其進(jìn)行揚棄的規(guī)制經(jīng)濟理論，公權(quán)力對金融企業(yè)的金融數(shù)據(jù)跨境活動進(jìn)行規(guī)制以克服市場失靈中自我規(guī)制的效率障礙，都具有充分的必要性。

有規(guī)制必有合規(guī)，金融企業(yè)合規(guī)是金融數(shù)據(jù)跨境流動規(guī)制的必然結(jié)果。本文所稱金融企業(yè)，作為金融數(shù)據(jù)跨境的實施者，實則指金融數(shù)據(jù)控制者，即能夠單獨或者共同確定金融數(shù)據(jù)處理目的及方式的營利性組織。《個人金融信息保護技術(shù)規(guī)范》第3.1條就已在持牌金融機構(gòu)之外，將更多的個人金融信息處理機構(gòu)也定義為金融機構(gòu)。當(dāng)然，金融數(shù)據(jù)的范圍顯然遠(yuǎn)廣于個人金融信息，金融業(yè)機構(gòu)在日常業(yè)務(wù)開展和經(jīng)營管理中收集產(chǎn)生的各類數(shù)據(jù)均可歸入金融數(shù)據(jù)之列?？梢娊鹑跀?shù)據(jù)是一種廣泛而特殊的數(shù)據(jù)形式，其并非一個獨立的法律類別，而是與一般數(shù)據(jù)治理框架下的分類重疊，既包括個人金融數(shù)據(jù)，也包括非個人金融數(shù)據(jù)，這一區(qū)分在以個人權(quán)利為中心的金融數(shù)據(jù)治理范式中具有關(guān)鍵意義。然而在我國，以維護國家數(shù)據(jù)安全、保護個人信息和商業(yè)秘密為前提，以促進(jìn)數(shù)據(jù)合規(guī)高效流通使用、賦能實體經(jīng)濟為主線的數(shù)據(jù)基本制度下，對公共數(shù)據(jù)、企業(yè)數(shù)據(jù)、個人數(shù)據(jù)開展多元一體規(guī)制。金融數(shù)據(jù)跨境流動規(guī)制受此一般范式影響，非個人金融數(shù)據(jù)和個人金融數(shù)據(jù)在“重要數(shù)據(jù)”“個人信息”二分和數(shù)據(jù)分類分級保護兩大共同基石支撐下跨境流動。盡管因權(quán)利屬性和政策目標(biāo)不同而導(dǎo)致金融企業(yè)所合微觀規(guī)則不一，但從合規(guī)治理宏觀體系來看卻是共性大于個性。本文據(jù)此求同存異，對兩者的跨境合規(guī)作整體討論，僅在必要處進(jìn)行區(qū)分。

企業(yè)合規(guī)(compliance)具有多重內(nèi)涵。首先，字面上的企業(yè)合規(guī)就是企業(yè)對外部規(guī)制的被動遵從，因而更為重要的是所合之規(guī)，即通過立法對企業(yè)賦予合理義務(wù)以為其合規(guī)提供依據(jù)；其次，企業(yè)合規(guī)還是一個內(nèi)部治理問題，強調(diào)企業(yè)為規(guī)避違反法定義務(wù)所招致的合規(guī)風(fēng)險而主動將合規(guī)管理作為內(nèi)控的有機組成部分，建立起完備的合規(guī)計劃；最后，企業(yè)的自我治理也極易失靈，故而法律規(guī)則所提出的合規(guī)要求尚需要行政監(jiān)管主體依法對企業(yè)落實情況進(jìn)行監(jiān)督和管理，乃至最后刑事手段的介入?？梢?，針對企業(yè)合規(guī)已呈現(xiàn)出視角的分化，但不同視角之間并非割裂而是相輔相成，共同構(gòu)成了一個綜合多重制約和激勵機制的治理體系。我國跨境數(shù)據(jù)流動規(guī)制中的金融企業(yè)合規(guī)也應(yīng)當(dāng)被定位為一個綜合治理體系，包含法制立法、內(nèi)部合規(guī)和行政監(jiān)管三個主要面向，且三個面向之間以制約和激勵作為金融數(shù)據(jù)控制者的金融企業(yè)為核心環(huán)環(huán)相扣、層層遞進(jìn)。

遺憾的是，在現(xiàn)有跨境數(shù)據(jù)流動相關(guān)研究中，尚對企業(yè)合規(guī)存在定位上的偏差?；蚧诹⒎ㄕ搶⑵髽I(yè)合規(guī)理解為一種合規(guī)成本而對我國和域外的跨境數(shù)據(jù)規(guī)制模式進(jìn)行評析，或單從企業(yè)治理的角度論證企業(yè)在數(shù)據(jù)跨境規(guī)則框架內(nèi)如何構(gòu)建合規(guī)體系從而既滿足自身數(shù)據(jù)跨境需求又規(guī)避合規(guī)風(fēng)險。既少有對金融企業(yè)之金融數(shù)據(jù)跨境的特殊關(guān)照，又缺乏對企業(yè)合規(guī)深入的體系性理解。黨的二十大報告強調(diào)；“改革開放邁出新步伐，國家治理體系和治理能力現(xiàn)代化深入推進(jìn)，社會主義市場經(jīng)濟體制更加完善，更高水平開放型經(jīng)濟新體制基本形成。”據(jù)此，本文欲糾正上述偏差，試從法制立法、內(nèi)部合規(guī)和行政監(jiān)管三個角度，對如何構(gòu)建我國金融數(shù)據(jù)跨境流動規(guī)制中的金融企業(yè)合規(guī)治理體系提出初步構(gòu)想。

二、金融數(shù)據(jù)跨境流動立法：回歸數(shù)據(jù)本位立場的合規(guī)中心視角

(一) 利益平衡：安全與自由的沖突與融合

國家利益的多樣性與沖突性，導(dǎo)致了金融數(shù)據(jù)跨境流動國際協(xié)調(diào)機制的零散支離，形成統(tǒng)一的國際規(guī)則還任重道遠(yuǎn)，因而當(dāng)前金融數(shù)據(jù)跨境流動主要由各國國內(nèi)法進(jìn)行規(guī)制，形成了碎片化的國別模式。其中，歐盟和美國兩大模式無疑最具話語權(quán)和影響力，并在研究中分別被冠以“安全”和“自由”的價值標(biāo)簽。然而，有原則恒有例外，安全與自由均是相對的，兩者并非絕對沖突，而是日益呈現(xiàn)出相互融合的趨勢。

歐盟金融數(shù)據(jù)跨境流動立法的價值標(biāo)簽是“安全”，并且是狹義上的人權(quán)與隱私安全。歐盟視隱私為一項基本人權(quán)的觀念根深蒂固，進(jìn)而將保護承載隱私的個人數(shù)據(jù)奉作對數(shù)據(jù)主體基本權(quán)利之保障。此種價值理念在歐盟金融數(shù)據(jù)跨境流動立法中表現(xiàn)為，其并未為追求金融監(jiān)管的一般價值目標(biāo)而對金融數(shù)據(jù)跨境進(jìn)行特殊規(guī)制，而是將其中的個人金融數(shù)據(jù)納入了以《通用數(shù)據(jù)保護條例》(GDPR)為核心的個人數(shù)據(jù)跨境統(tǒng)一規(guī)則框架之下。GDPR被譽為史上最嚴(yán)厲的隱私安全保護法律，其第45條確立的“充分性認(rèn)定”是實現(xiàn)個人金融數(shù)據(jù)跨境首推的也是最便捷的方式，但由于在評估過程中需要嚴(yán)格考慮多種因素，截至目前僅有15個國家(地區(qū))獲得了此類充分性認(rèn)定。為此，GDPR第46條在“充分性認(rèn)定”之外，額外增加了“基于適當(dāng)安全保障的轉(zhuǎn)移”(transfers subject to appropriate safeguards)，提供了多樣化的金融數(shù)據(jù)自由跨境流動途徑，以免對數(shù)字經(jīng)濟發(fā)展產(chǎn)生不利影響。同時，GDPR為推進(jìn)單一數(shù)字市場戰(zhàn)略，還強調(diào)促進(jìn)個人金融數(shù)據(jù)在歐盟內(nèi)部的自由流動?！蛾P(guān)于內(nèi)部市場支付服務(wù)的指令》也旨在專門推動歐盟內(nèi)部金融賬戶信息的合作與交換。而針對不涉及隱私的非個人金融數(shù)據(jù)，《非個人數(shù)據(jù)自由流動條例》(RFFND)不僅強調(diào)其在歐盟內(nèi)部的自由流動原則，對超出歐盟范圍的跨境流動也未規(guī)定統(tǒng)一的必要條件。

美國則以“自由”為其金融數(shù)據(jù)跨境流動立法的價值標(biāo)簽。在白宮2011年發(fā)布的《網(wǎng)絡(luò)空間國際戰(zhàn)略》中，美國就旗幟鮮明地將“信息自由流動”作為基本原則?；诖?，在國際層面，美國憑借其強大的政治經(jīng)濟影響力，竭力在雙邊和區(qū)域貿(mào)易協(xié)定中推動金融數(shù)據(jù)跨境自由流動；就國內(nèi)法而言，盡管美國也開始逐漸重視隱私保護，但無論是聯(lián)邦層面的《公平信用報告法》《金融隱私權(quán)法》《金融服務(wù)現(xiàn)代化法案》，還是州層面的《加州消費者隱私法案》，雖都從金融消費者保護角度逐步明確金融企業(yè)的隱私保護要求并日臻嚴(yán)格，但對金融數(shù)據(jù)跨境流動的額外限制始終持留白態(tài)度。然而值得注意的是，美國在促進(jìn)金融數(shù)據(jù)自由流動原則之外也基于安全考慮設(shè)置了相應(yīng)的限制性例外：一方面，其主導(dǎo)的雙邊或區(qū)域貿(mào)易協(xié)定往往存在隱私保護或?qū)徤鞅O(jiān)管例外條款，典型者如TPP(并為CPTPP所繼受)；另一方面，在其國內(nèi)法中也出于國家安全的考量對金融數(shù)據(jù)跨境作出了限制，例如美國自2010年開始建立和實施受控非密信息(controlled unclassified information，CUI)管理制度，CUI共分為20個類別、126個子類，金融數(shù)據(jù)是其中重要一類，在包括出境等方面受到較為嚴(yán)格的限制。

通過上述分析可知，基于原則的抽象性和利益的多元性，無論是安全原則還是自由原則在金融數(shù)據(jù)跨境立法中并非以“全有或全無”的方式加以適用，而是原則與例外相濟，沖突與融合并存。因此，在金融數(shù)據(jù)的跨境流動立法中，重要的并非在安全與自由中明定孰為原則而孰為例外，而是為平衡金融數(shù)據(jù)本身所承載的多元主體的多重利益，在按照一定標(biāo)準(zhǔn)進(jìn)行權(quán)衡的基礎(chǔ)上進(jìn)行利益整合。對此，各國應(yīng)堅持“兩點論”，基于本國國家安全形勢、金融開放水平、數(shù)字產(chǎn)業(yè)發(fā)展情況等多種因素考量作出利益權(quán)衡與抉擇，以謀求安全與自由之間的中道。

(二) 利益失衡：金融企業(yè)與金融數(shù)據(jù)的關(guān)系錯位

我國的金融數(shù)據(jù)跨境流動規(guī)制立法起步較晚，逐步形成了“一般+特殊”的規(guī)制模式。《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)和《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)共同構(gòu)筑了規(guī)制金融數(shù)據(jù)跨境的一般上位法框架。其中，《網(wǎng)絡(luò)安全法》第37條(以下簡稱“37條”)奠定了我國跨境數(shù)據(jù)流動規(guī)制的基本原則和框架。該條不僅提出了具有數(shù)據(jù)控制者含義的“關(guān)鍵信息基礎(chǔ)設(shè)施運營者”(CIIO)概念，作出了“重要數(shù)據(jù)”和“個人信息”兩類重要的數(shù)據(jù)范圍分類，創(chuàng)設(shè)了數(shù)據(jù)跨境程序意義上的“安全評估”機制，還被《數(shù)據(jù)安全法》第31條、《個人信息保護法》第40條所引用和重申。正是由于37條擁有如此提綱挈領(lǐng)的重要意義，其所存在的問題便會引發(fā)連鎖反應(yīng)，其中最甚者便是因金融企業(yè)與金融數(shù)據(jù)關(guān)系錯位所導(dǎo)致的利益失衡。

《網(wǎng)絡(luò)安全法》作為我國網(wǎng)絡(luò)安全領(lǐng)域的基本法，貫穿了“等級保護”理念，在把“信息安全等級保護制度”升級為“網(wǎng)絡(luò)安全等級保護制度”的基礎(chǔ)上，規(guī)定了“關(guān)鍵信息基礎(chǔ)設(shè)施保護(CIIP)制度”。加之網(wǎng)絡(luò)、數(shù)據(jù)與個人信息這三個概念本身所具有的關(guān)聯(lián)重合性，因此37條在數(shù)據(jù)跨境流動規(guī)制上也自然而然地采取了“關(guān)鍵信息基礎(chǔ)設(shè)施(CII)標(biāo)準(zhǔn)”，即在需要進(jìn)行出境安全評估的重要數(shù)據(jù)和個人信息前加上了“關(guān)鍵信息基礎(chǔ)設(shè)施運營者”(CIIO)這一主語限定。金融作為《網(wǎng)絡(luò)安全法》第31條明確列舉的重要行業(yè)和領(lǐng)域，金融企業(yè)極易被認(rèn)定為CIIO，但問題在于，作為CIIO的金融企業(yè)是一個整體概念，是綜合考慮其控制的所有數(shù)據(jù)后作出的認(rèn)定，是一種數(shù)據(jù)控制者本位立場；而金融數(shù)據(jù)的跨境卻是個別進(jìn)行的，因此需要采取數(shù)據(jù)本位立場，即考慮數(shù)據(jù)本身的性質(zhì)。以作為主體的金融企業(yè)來界定作為客體的金融數(shù)據(jù)之保護，便發(fā)生了關(guān)系的錯位，由此產(chǎn)生了以下后果：

首先，以CIIO來界定需要出境安全評估的金融數(shù)據(jù)，其本意或旨在強調(diào)需經(jīng)此嚴(yán)格出境程序的數(shù)據(jù)應(yīng)當(dāng)如CII定義那般具有危害國家安全、國計民生、公共利益的性質(zhì)，但“重要數(shù)據(jù)”這一概念本身就蘊含了這層含義，反而多此一舉，并導(dǎo)致《數(shù)據(jù)安全法》第31條需要對“其他數(shù)據(jù)處理者”出境“重要數(shù)據(jù)”進(jìn)行補充說明，才使“重要數(shù)據(jù)”的跨境規(guī)則得以周全。在《數(shù)據(jù)出境安全評估辦法》(以下簡稱《評估辦法》)中，就摒棄了這一數(shù)據(jù)控制者本位立場，而直接采用了不帶有任何價值判斷色彩的“數(shù)據(jù)處理者”一詞。其第4條綜合前述兩法，不區(qū)分是否為“關(guān)鍵信息基礎(chǔ)設(shè)施運營者”而直接規(guī)定“數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)”需要進(jìn)行安全評估。因此，金融數(shù)據(jù)出境僅需考慮其本身是否屬于“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等的數(shù)據(jù)”，而與金融企業(yè)的CIIO屬性并無絕對關(guān)聯(lián)，反映出對數(shù)據(jù)本位立場的回歸。

其次，錯誤的金融企業(yè)本位立場還擴大了需要出境安全評估的個人金融數(shù)據(jù)范圍，加重了金融企業(yè)的合規(guī)負(fù)擔(dān)。根據(jù)當(dāng)前37條的表述，CIIO在境內(nèi)收集和處理的所有“個人信息”都須遵循“原則本地存儲+例外確因業(yè)務(wù)需要須經(jīng)安全評估”的跨境程序，因此部分金融企業(yè)所控制的所有個人金融數(shù)據(jù)便都落入了此范圍。然而問題在于：一方面，個人金融數(shù)據(jù)本身就可據(jù)其不同敏感程度進(jìn)行分級②，部分個人金融數(shù)據(jù)根本不會危及國家安全、公共利益，不應(yīng)也不必一刀切地要求安全評估；另一方面，這也將導(dǎo)致《個人信息保護法》第38條所確立的個人信息出境“四選一”的選擇性條件在一定程度上被架空，而使“安全評估”成為唯一的必要性條件。換言之，雖因個人金融數(shù)據(jù)之上承載著各類私益而在跨境時需要額外設(shè)置相應(yīng)程序，但畢竟個人金融數(shù)據(jù)屬于事實判斷，而就是否須經(jīng)安全評估這一最嚴(yán)格的出境程序則應(yīng)立基于數(shù)據(jù)本位進(jìn)行價值判斷，即判斷該數(shù)據(jù)在跨境過程中“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度”。因此，“金融重要數(shù)據(jù)”和“個人金融數(shù)據(jù)”兩者之間并非截然的二分關(guān)系，而是存在交叉關(guān)系，且在出境安全評估語境下對“金融重要數(shù)據(jù)”的判定更具現(xiàn)實意義。37條在錯誤的金融企業(yè)本位立場之下將兩者并列顯然易生混淆，導(dǎo)致《信息安全技術(shù)重要數(shù)據(jù)識別指南(征求意見稿)》第3.1條作出了“重要數(shù)據(jù)不包括國家秘密和個人信息，但基于海量個人信息形成的統(tǒng)計數(shù)據(jù)、衍生數(shù)據(jù)有可能屬于重要數(shù)據(jù)”這樣模棱兩可的界定，而《信息安全技術(shù)數(shù)據(jù)出境安全評估指南(征求意見稿)》(以下簡稱《評估指南》)將個人金融數(shù)據(jù)統(tǒng)歸入重要數(shù)據(jù)之列卻又矯枉過正。

綜上，雖然金融企業(yè)作為金融數(shù)據(jù)跨境的主體理應(yīng)受到重視，但在規(guī)制金融數(shù)據(jù)跨境時仍應(yīng)注意出境客體和出境主體間應(yīng)有的層次，在客體界定層面就引入金融企業(yè)無疑是一種關(guān)系的錯位，進(jìn)而導(dǎo)致數(shù)據(jù)本位的缺失，結(jié)果就是出境行為規(guī)制有趨于“本地化”之嫌。這不僅在立法層面就直接因禁止性規(guī)定有余而因勢利導(dǎo)不足，導(dǎo)致對金融企業(yè)的激勵不相容，不利于我國的金融數(shù)字化轉(zhuǎn)型和金融開放；更可能因過重的合規(guī)負(fù)擔(dān)迫使金融企業(yè)將金融數(shù)據(jù)的違規(guī)出境作為一種必要的經(jīng)營成本而采取理性違法策略，使得相關(guān)規(guī)定形同虛設(shè)。在出境行為和責(zé)任承擔(dān)之間，公權(quán)力的過度提前介入，目的固然在于把好安全關(guān)，但也會因為清單式的審查方式、試錯空間的提供，而使金融企業(yè)的數(shù)據(jù)出境過度依賴于官方的評估結(jié)果，降低合規(guī)的自主性、全面性和靈活性，最終事與愿違。良性的合規(guī)市場無從培育和發(fā)展，政府行政負(fù)擔(dān)和企業(yè)合規(guī)負(fù)擔(dān)亦同步增長。究其根本，正在于金融數(shù)據(jù)控制者層面的整體安全不當(dāng)壓制金融數(shù)據(jù)出境層面的個別自由，造成了所謂的利益失衡。

(三) 利益再平衡：立足數(shù)據(jù)本位的企業(yè)合規(guī)中心視角

錯誤的金融企業(yè)本位立場造成了我國金融數(shù)據(jù)跨境流動立法中的利益失衡，而在數(shù)據(jù)本位立場下回歸企業(yè)合規(guī)中心視角則是實現(xiàn)利益再平衡的不二法門。即遵循從“傳輸什么”到“誰來傳輸”再到“如何傳輸”的邏輯順序，在以數(shù)據(jù)本位為指導(dǎo)建立數(shù)據(jù)分類分級的基礎(chǔ)上，以具有傳輸主體和合規(guī)主體雙重身份的金融企業(yè)為核心，為其匹配不同程度的金融數(shù)據(jù)跨境權(quán)利義務(wù)。

數(shù)據(jù)分類分級保護制度能夠促進(jìn)數(shù)據(jù)的充分利用、有序流動和安全共享，是加強數(shù)據(jù)治理的前提與基礎(chǔ)，《數(shù)據(jù)安全法》第21條更是在法律層面上對此進(jìn)行了確認(rèn)。然而現(xiàn)實是，一方面金融領(lǐng)域的重要數(shù)據(jù)目錄抑或一般數(shù)據(jù)清單尚付闕如，且前者在實踐中存在泛化傾向，有違“法不禁止即自由”的基本法治原則；另一方面，在出境安全評估之外，非重要、非個人數(shù)據(jù)出境機制卻受到忽視，使得金融企業(yè)的數(shù)據(jù)跨境合規(guī)義務(wù)出現(xiàn)割裂斷層。盡管《證券期貨業(yè)數(shù)據(jù)分類分級指引》《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》等推薦性標(biāo)準(zhǔn)對金融數(shù)據(jù)的分類分級提出了方案，但仍停留于“傳輸什么”的層面，既沒有正視金融企業(yè)差異化的合規(guī)建設(shè)水平和數(shù)據(jù)安保能力作出區(qū)別對待，也未與跨境直接掛鉤而提出金融企業(yè)針對不同級別的金融數(shù)據(jù)應(yīng)當(dāng)“如何傳輸”。因此，當(dāng)務(wù)之急便是在采取正面清單取并集與負(fù)面清單取交集相結(jié)合兩端逼近的動態(tài)調(diào)整方式明定數(shù)據(jù)界限的前提下，思考針對不同類型級別的金融數(shù)據(jù)，如何為不同金融企業(yè)在認(rèn)證的基礎(chǔ)上提供有區(qū)別的數(shù)據(jù)出境權(quán)限和途徑，并匹配相應(yīng)的數(shù)據(jù)安保義務(wù)，以實現(xiàn)安全與自由之間的利益再平衡。退一步而言，若堅持安全評估的必要性，則可考慮在其框架下結(jié)合金融企業(yè)認(rèn)證機制開展區(qū)別性評估，對經(jīng)認(rèn)證合規(guī)體系健全有效、數(shù)據(jù)保護水平較高的金融企業(yè)簡化評估條件、壓縮流程時限、增加評估有效期等，甚至允許以備案替代實質(zhì)審查，由此提高評估效率，將有限的規(guī)制資源集中于真正可能危及國家安全和公共利益的金融數(shù)據(jù)出境活動，破解當(dāng)前過低的評估申請通過率對金融企業(yè)開展國際業(yè)務(wù)的桎梏。

在方法論上，金融數(shù)據(jù)的跨境流動規(guī)制是國家基于多重安全因素考量對金融企業(yè)經(jīng)營活動的干預(yù)，但由于包含國家安全、公共利益、私人權(quán)益在內(nèi)的安全因素本身所固有的原則性和模糊性，為防止公權(quán)力的恣意性，應(yīng)通過比例原則加以限制。GDPR就為了協(xié)調(diào)個人數(shù)據(jù)使用與其他同樣重要的基本權(quán)利，而強調(diào)要運用比例原則加以平衡。比例原則在立法中的適用就是三個子原則循序漸進(jìn)的利益衡量過程，尤其需要注意金融數(shù)據(jù)跨境流動規(guī)制中的利益層次。在利益衡量的適當(dāng)性原則層面，凸顯的是金融數(shù)據(jù)跨境流動立法整體上的價值取向，彰顯其制度利益，具體體現(xiàn)為一種安全和自由在價值位階上的靜態(tài)權(quán)衡，而在開展規(guī)制的語境前提下，安全價值的正當(dāng)性顯然已得到承認(rèn)。至于要根據(jù)“權(quán)衡法則”(the law of balancing)論證應(yīng)在多大程度上限制自由原則從而在多大程度上滿足安全原則，則屬于必要性原則和狹義比例原則的管轄范圍。此時靜態(tài)的價值位階比較顯然已失去作用，而應(yīng)深入到作為合規(guī)主體的金融企業(yè)而動態(tài)考察其具體利益，因為整體上的安全與自由價值最終落實到金融企業(yè)便表現(xiàn)為其合規(guī)成本與收益。額外出境限制的施加必要性唯有在金融數(shù)據(jù)本身屬性之外納入考量金融企業(yè)的數(shù)據(jù)保護現(xiàn)狀方得以真正確定，具體合規(guī)義務(wù)的賦予也需考慮金融企業(yè)的可操作性。故而，應(yīng)在保證金融企業(yè)切實可行的基礎(chǔ)上實現(xiàn)數(shù)據(jù)分類分級與金融企業(yè)分類分級的雙向匹配，在保證安全價值得到最大程度滿足而自由價值受到最小程度損害的前提下，使合規(guī)成本盡可能小于合規(guī)收益，從而激發(fā)金融企業(yè)在金融數(shù)據(jù)跨境中的合規(guī)積極性。

總之，金融企業(yè)合規(guī)在金融數(shù)據(jù)跨境流動立法中不應(yīng)被簡單地視為一種合規(guī)成本而歸入利益天平的一端，其恰恰是在這架安全與自由、成本與收益互為兩端的天平上左右移動的游碼。立法者所需做的，就是在金融企業(yè)中心視角之下動態(tài)地將合規(guī)這顆游碼撥到恰到好處的位置，既不至于因過度放縱自由而使金融企業(yè)無規(guī)要合進(jìn)而危及安全，也要為企業(yè)合規(guī)自治留下必要余地，不因過嚴(yán)監(jiān)管的對抗性立場而完全排除了協(xié)作性的新治理方式，而使企業(yè)合規(guī)在虛假的責(zé)任委托面紗下完全淪為外部“硬法”(hard law)的工具。

三、金融企業(yè)數(shù)據(jù)跨境合規(guī)：法治與自治良性互動的規(guī)制體系

(一) 強制性合規(guī)義務(wù)：自治的法治化

在金融數(shù)據(jù)本地化必要性日益喪失的背景之下，政府一味加強對金融數(shù)據(jù)跨境的管制，往往會取得適得其反的效果。正確的出路，則是在前述以金融數(shù)據(jù)分類分級為基礎(chǔ)的利益再平衡過程中，充分發(fā)揮金融企業(yè)合規(guī)效能，實現(xiàn)其“自我監(jiān)管”(self-policing)乃至“自我規(guī)制”(self-regulation)。這也正體現(xiàn)出金融企業(yè)數(shù)據(jù)跨境合規(guī)的核心含義：金融企業(yè)通過完整內(nèi)部治理體系的建立來實現(xiàn)對金融數(shù)據(jù)跨境合規(guī)風(fēng)險的有效防范、識別和應(yīng)對。

金融企業(yè)的數(shù)據(jù)跨境合規(guī)是法治下的自治，在法律要求之外彰顯著獨特價值。且不論本就崇尚金融數(shù)據(jù)自由流動的美國模式，采取了以“問責(zé)制”(accountability)為基礎(chǔ)的“組織機構(gòu)基準(zhǔn)”(organizationally based)，強調(diào)通過行業(yè)和企業(yè)的自律來實現(xiàn)數(shù)據(jù)保護要求；即便是強調(diào)充分性保護的歐盟，在其GDPR中也將“拘束性公司規(guī)則”(binding corporate rules)作為提供適當(dāng)安全保障的方式之一，使得金融企業(yè)能夠通過制定適合自身特殊需求的行為準(zhǔn)則來實現(xiàn)更為靈活的個人金融數(shù)據(jù)跨境。在我國，針對金融重要數(shù)據(jù)跨境的安全評估機制可謂是政府強力控制的典型，但從《評估辦法》的“自評估”要求中卻仍可覓見自治的意涵。

金融企業(yè)之所以愿意進(jìn)行數(shù)據(jù)跨境合規(guī)，遠(yuǎn)非社會責(zé)任的承擔(dān)可簡單解釋，而是更多地為合規(guī)背后所固有的一套內(nèi)在激勵機制所驅(qū)動。雖然社會責(zé)任的承擔(dān)被視為企業(yè)合規(guī)的核心價值，但是以利益為根本動力的經(jīng)濟行為通常是與道德倫理無涉的。從正面來說，金融企業(yè)作為一個理性的“經(jīng)濟人”，為了以適當(dāng)?shù)某杀緦崿F(xiàn)最優(yōu)合規(guī)，勢必會衡量內(nèi)部監(jiān)督的實施成本與預(yù)期收益，呈現(xiàn)出典型的“市場驅(qū)動”特征。從反面來說，當(dāng)前我國正在逐步完善金融數(shù)據(jù)保護機制，一旦違規(guī)跨境傳輸金融數(shù)據(jù)，金融企業(yè)不僅將承擔(dān)相應(yīng)的民事責(zé)任和行政處罰，甚至受到刑事追究，因此為避免上述違規(guī)風(fēng)險，金融企業(yè)具有建立有效金融數(shù)據(jù)跨境合規(guī)體系的強大動力，以有限的合規(guī)成本置換高昂的違規(guī)成本。

更為重要的是，在數(shù)據(jù)互聯(lián)的經(jīng)濟全球化背景之下，金融企業(yè)的數(shù)據(jù)跨境合規(guī)具有境內(nèi)和境外雙重面向。截至2021年底，全球194個國家中有137個進(jìn)行了數(shù)據(jù)和隱私保護立法，其中大部分均包含數(shù)據(jù)跨境規(guī)則，但理念立場與具體規(guī)則各異。如此復(fù)雜的外部法律環(huán)境使我國金融企業(yè)面臨多樣化的境外合規(guī)場景：其一，在“走出去”過程中，金融企業(yè)勢必基于屬地原則受到東道國金融數(shù)據(jù)跨境規(guī)則的管轄。其二，即便是境內(nèi)的金融企業(yè)，也會因國內(nèi)法間接的域外效力而必須將域外數(shù)據(jù)保護規(guī)則納入合規(guī)考慮，典例如《個人信息保護法》對境內(nèi)個人信息處理者提出的境外接收方同等保護標(biāo)準(zhǔn)保障要求。其三，當(dāng)前各國數(shù)據(jù)立法管轄權(quán)擴張的普遍趨勢給我國金融企業(yè)帶來了境外合規(guī)新考驗，歐盟GDPR的“設(shè)立機構(gòu)”標(biāo)準(zhǔn)和“目標(biāo)導(dǎo)向”標(biāo)準(zhǔn)、美國“云法案”(CLOUD Act)的“數(shù)據(jù)控制者”標(biāo)準(zhǔn)等均從傳統(tǒng)的屬地和屬人管轄延伸出了新的域外管轄連接點?？梢哉f，金融企業(yè)不僅面臨“走出去”和“引進(jìn)來”的雙向合規(guī)風(fēng)險，更面臨著外部管轄規(guī)范意義上的多向合規(guī)挑戰(zhàn)。盡管各國管轄和規(guī)則上的沖突固非金融企業(yè)能夠解決，但正所謂“授人以魚不如授人以漁”才能夠“以不變應(yīng)萬變”，成熟有效的金融數(shù)據(jù)跨境合規(guī)體系至少可以助其規(guī)避對其不利的連接點，提早識別合規(guī)風(fēng)險，防止落入不同法域夾擊下的合規(guī)困境。

強制性合規(guī)義務(wù)的賦予，則正實現(xiàn)了自治的法治化。當(dāng)前，我國金融企業(yè)數(shù)據(jù)保護意識仍較欠缺，金融數(shù)據(jù)安全事件時有發(fā)生，僅金融監(jiān)管總局2023年開出的涉及信息保護、數(shù)據(jù)治理、信息系統(tǒng)的罰單就有近40張。金融數(shù)據(jù)跨境這一新興領(lǐng)域的合規(guī)意識和合規(guī)措施更是遑論完備。其背后的原因是，企業(yè)合規(guī)最初產(chǎn)生的目的本就在于通過自我監(jiān)管防止政府過度干預(yù)，帶有明顯的“去監(jiān)管”(deregulation)色彩，而金融企業(yè)作為具有強烈營利性的有限理性主體，在合規(guī)機制內(nèi)在激勵不足的情況下，就會缺乏金融數(shù)據(jù)跨境合規(guī)的動力，而完全轉(zhuǎn)向逃避監(jiān)管。因此，在通過內(nèi)在機制激勵金融企業(yè)合規(guī)的同時，以“行政主導(dǎo)”的方式賦予金融企業(yè)強制性合規(guī)義務(wù)，無疑對于督促其“從無到有”地建立起基本的金融數(shù)據(jù)跨境合規(guī)體系具有不可替代的積極意義。國外調(diào)查結(jié)果也顯示，對于營利性機構(gòu)來說，其不可能投資于成本高昂但收益不明確的自愿性合規(guī)計劃，但有可能將有限的資源用于強制性合規(guī)計劃。某種意義上，強制合規(guī)義務(wù)輔以相應(yīng)的法律責(zé)任，也為金融企業(yè)創(chuàng)設(shè)了一種基于避免懲罰考慮的外部激勵機制，從而以法治化的方式確保合規(guī)計劃的有效實施。

我國已初步建立起了強制性的金融企業(yè)數(shù)據(jù)跨境合規(guī)體系。首先，從行業(yè)領(lǐng)域?qū)ｍ椇弦?guī)看，我國對強制合規(guī)的推行便始于具有高風(fēng)險特點和嚴(yán)監(jiān)管傳統(tǒng)的金融行業(yè)，并逐步通過銀行、保險、證券等各金融專門領(lǐng)域合規(guī)管理指引(辦法)的頒布，基本構(gòu)建起了金融業(yè)的合規(guī)管理制度體系。其次，從風(fēng)險事項專項合規(guī)看，數(shù)字經(jīng)濟時代數(shù)據(jù)安全問題日益突出，數(shù)據(jù)合規(guī)越來越受到重視?！毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》均在專章中規(guī)定了企業(yè)獨立的數(shù)據(jù)合規(guī)義務(wù)，標(biāo)志著數(shù)據(jù)領(lǐng)域強制合規(guī)制度的建立。同時，針對上述兩者的交叉領(lǐng)域，即金融業(yè)的數(shù)據(jù)合規(guī)，原銀保監(jiān)會還發(fā)布了針對數(shù)據(jù)治理的專門指引，明令銀行業(yè)金融機構(gòu)在公司治理中建立起自上而下、協(xié)調(diào)一致的數(shù)據(jù)治理體系。《刑法修正案(九)》新增的“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”對于金融企業(yè)的合規(guī)內(nèi)控，更是在行政主導(dǎo)之外增添了強烈的刑事威懾。無論是直接提供金融服務(wù)的金融機構(gòu)，抑或在金融數(shù)據(jù)跨境過程中提供接入、計算、存儲、傳輸?shù)确?wù)的金融科技公司，都是適格該罪的“網(wǎng)絡(luò)服務(wù)提供者”；金融企業(yè)的金融數(shù)據(jù)跨境合規(guī)義務(wù)從解釋上亦可歸入一般“信息網(wǎng)絡(luò)安全管理義務(wù)”之列；而無論是個人金融數(shù)據(jù)違規(guī)出境致使金融消費者信息泄露造成嚴(yán)重后果，還是非個人金融數(shù)據(jù)違規(guī)出境產(chǎn)生危害國家安全、擾亂金融秩序等嚴(yán)重情節(jié)，均滿足實害結(jié)果要件?；谛姓x務(wù)與刑事義務(wù)的內(nèi)在關(guān)聯(lián)性，風(fēng)險刑法觀之下的強制性數(shù)據(jù)刑事合規(guī)義務(wù)由此得以確立，金融企業(yè)的金融數(shù)據(jù)違規(guī)出境行為可能同時觸犯該罪與其他具體罪名，雖一事不二罰，但至少在數(shù)據(jù)流動基礎(chǔ)上謀求數(shù)據(jù)安全的刑事法網(wǎng)得以周密。然而，這一受到行刑多方重視的體系當(dāng)前仍存在兩個主要問題：一是面對金融數(shù)據(jù)控制者范圍的擴張，尚欠缺針對所有金融企業(yè)普遍適用的數(shù)據(jù)合規(guī)指引；二是隨著金融數(shù)據(jù)跨境合規(guī)標(biāo)準(zhǔn)逐步提高、執(zhí)法司法機制日益嚴(yán)格，還未就金融數(shù)據(jù)跨境專門發(fā)布強制性專項合規(guī)要求和指引。金融企業(yè)的金融數(shù)據(jù)跨境合規(guī)法治化、精細(xì)化程度仍有待進(jìn)一步提升。

(二) 預(yù)防性規(guī)制：立基全周期保護義務(wù)的全流程合規(guī)體系

金融企業(yè)的數(shù)據(jù)跨境合規(guī)，是一種針對金融數(shù)據(jù)跨境風(fēng)險的預(yù)防性規(guī)制手段。其背后的理論依據(jù)在于風(fēng)險預(yù)防性原則，即身處風(fēng)險社會必須堅持防患于未然，采取預(yù)防措施以避免風(fēng)險的實害化。且相較于同樣旨在預(yù)防風(fēng)險的事前評估等外部強制措施，自內(nèi)向外的合規(guī)在效率性、靈活性、持續(xù)性等方面更具優(yōu)勢。

與預(yù)防性規(guī)制相對應(yīng)的是事后懲罰性規(guī)制，強調(diào)以禁止和懲罰法益侵害行為為手段實現(xiàn)法益保護之目的。金融數(shù)據(jù)跨境領(lǐng)域本身并不缺乏事后懲罰性規(guī)制：在公益保護方面，《國家安全法》第25條要求實現(xiàn)重要領(lǐng)域數(shù)據(jù)的安全可控，因金融數(shù)據(jù)跨境危害國家安全、公共安全的行為，不僅將面臨行政處罰，還可能觸犯《刑法》相關(guān)罪名；而針對私益保護，一旦涉及侵犯隱私、商業(yè)秘密等合法權(quán)益，更需要承擔(dān)民事侵權(quán)責(zé)任。即便如此，在金融數(shù)據(jù)跨境中仍要堅持風(fēng)險預(yù)防原則，是因為事后懲罰性規(guī)制往往在相關(guān)法益受到侵害后才會介入，因而在該領(lǐng)域具有極強的不適用性：一方面，金融數(shù)字化背景下金融行業(yè)的數(shù)字親和性獲得飛躍式發(fā)展，金融企業(yè)在不同場景下廣泛吸收和產(chǎn)生了大量來源眾多、結(jié)構(gòu)復(fù)雜的各類金融數(shù)據(jù)，加之金融數(shù)據(jù)天然的敏感性，使得其在跨境過程中具有極大的風(fēng)險不確定性。如果一律采用事后懲罰的方式進(jìn)行規(guī)制，極易發(fā)生難以事后補救的嚴(yán)重后果。另一方面，跨境這一因素的疊加更是阻礙了此種事后規(guī)制手段的有效實施。事后規(guī)制啟動的前提是發(fā)生實害結(jié)果(或至少產(chǎn)生危險)，而金融數(shù)據(jù)跨境場景中境外主體的危害行為和損害結(jié)果大多發(fā)生于境外。雖然針對侵犯我國國家安全、公共利益或者私人合法權(quán)益的行為，《網(wǎng)絡(luò)安全法》第75條、《數(shù)據(jù)安全法》第2條、《個人信息保護法》第42條等以及《刑法》第8條等均出于拓寬域外管轄范圍、強化數(shù)據(jù)主權(quán)的考慮而確立了保護管轄原則，但即便取得管轄，之后的域外調(diào)查取證、執(zhí)行等依然道阻且長，在尋求民事救濟時還會涉及國際私法中的管轄法院確定、法律適用等難題，維權(quán)成本高、獲得救濟難。綜上，事后懲罰性規(guī)制只宜作為金融數(shù)據(jù)跨境規(guī)制的“退路”，而以合規(guī)為代表的預(yù)防性規(guī)制，才能有效降低金融企業(yè)違規(guī)數(shù)據(jù)出境行為所帶來的凈社會成本。有效的內(nèi)部合規(guī)體系輔之以持續(xù)性的事中監(jiān)督和精準(zhǔn)化、嚴(yán)格化的事后問責(zé)，便可充分稀釋事前限制金融數(shù)據(jù)跨境自由流動的必要性。

金融企業(yè)通過合規(guī)來預(yù)防金融數(shù)據(jù)跨境風(fēng)險，固然應(yīng)主要著眼于跨境階段，但更為重要的是樹立風(fēng)險預(yù)防全局觀，建立全流程金融數(shù)據(jù)合規(guī)體系。所謂全流程，是指金融企業(yè)的金融數(shù)據(jù)保護合規(guī)，要貫徹到數(shù)據(jù)業(yè)務(wù)的全線程，實現(xiàn)對數(shù)據(jù)生命周期的全覆蓋。對此，GDPR在其第25條確立了“設(shè)計和默認(rèn)的數(shù)據(jù)保護”(data protection by design and by default)原則，主張在產(chǎn)品或服務(wù)設(shè)計之始就將個人數(shù)據(jù)保護嵌入其中，旨在借此將隱私保護納入各種處理個人數(shù)據(jù)的技術(shù)和應(yīng)用程序的完整生命周期之中；我國《數(shù)據(jù)安全法》第27條也強調(diào)“建立健全全流程數(shù)據(jù)安全管理制度”。雖然金融數(shù)據(jù)的跨境流動主要涉及傳輸和提供，但是金融數(shù)據(jù)本身固有之生命周期鏈條上的每一步都環(huán)環(huán)相扣而不能孤立看待：一方面，各個環(huán)節(jié)之間具有風(fēng)險傳導(dǎo)和放大效應(yīng)，例如金融數(shù)據(jù)收集環(huán)節(jié)作為生命周期的“源頭”，一旦收集行為違規(guī)，之后的每一環(huán)節(jié)無論多么合規(guī)都無法洗滌違規(guī)的“原罪”，且隨著流程的推進(jìn)，數(shù)量的匯集疊加跨境因素，更會放大先前環(huán)節(jié)違規(guī)行為的風(fēng)險性；另一方面，金融數(shù)據(jù)具有廣泛的出境可能性，非以跨境傳輸與訪問為直接目的的處理活動同樣包含著潛在的間接出境風(fēng)險。

企業(yè)合規(guī)的原意就是“遵循”，全流程金融數(shù)據(jù)合規(guī)體系的建立離不開全周期金融數(shù)據(jù)保護義務(wù)的賦予。在合規(guī)計劃中居于核心地位的合規(guī)政策，本質(zhì)上就是外部行為義務(wù)的內(nèi)部化。因此，只有賦予金融企業(yè)涵蓋金融數(shù)據(jù)出境“事前-事中-事后”的全周期保護義務(wù)，金融企業(yè)建立全流程金融數(shù)據(jù)合規(guī)體系才有規(guī)可依、有的放矢，從而使合規(guī)自治有了法治保障。目前，基于數(shù)據(jù)本身的物理屬性以及數(shù)據(jù)主體和處理者在控制力上的現(xiàn)實差距，我國《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個人信息保護法》及其配套規(guī)范立足“行為主義”已從整體上針對金融企業(yè)等數(shù)據(jù)處理者作出了覆蓋數(shù)據(jù)生命周期的行為規(guī)范安排。同時，針對金融數(shù)據(jù)這類特殊數(shù)據(jù)，中國人民銀行還發(fā)布了《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》，明確規(guī)定了金融數(shù)據(jù)采集、傳輸、存儲、使用、刪除等各階段的處理要求，用以指導(dǎo)金融機構(gòu)建立完善的金融數(shù)據(jù)生命周期防護機制。當(dāng)然，出境等數(shù)據(jù)生命周期各環(huán)節(jié)的具體保護要求，應(yīng)以金融數(shù)據(jù)的分類分級為基本依據(jù)并結(jié)合金融企業(yè)能力現(xiàn)狀進(jìn)行細(xì)化明確，既要未雨綢繆也要防止過猶不及。其中，個人金融數(shù)據(jù)以可識別性和去識別化、敏感性與脫敏為核心，而非個人金融數(shù)據(jù)則以其他保護法益的確認(rèn)和危害程度的判斷為要點。

(三) 框架性規(guī)制：“規(guī)制-自我規(guī)制-元規(guī)制”的三環(huán)互動

全周期金融數(shù)據(jù)保護義務(wù)之下的金融企業(yè)數(shù)據(jù)跨境合規(guī)，仍停留在自我監(jiān)管的階段，屬于金融企業(yè)對外部性公權(quán)規(guī)制的落實。此種“命令與控制型規(guī)制”(command and control regulation)之下相對被動的合規(guī)尚不能滿足金融數(shù)據(jù)跨境的規(guī)制要求：首先，由于我國金融數(shù)據(jù)跨境規(guī)制起步較晚，在立法現(xiàn)狀上表現(xiàn)為因缺少頂層設(shè)計系統(tǒng)而較為零散，尤其是在出境安全評估重要數(shù)據(jù)范圍不明確、缺乏執(zhí)行細(xì)則的情況下，針對不同類別層級金融數(shù)據(jù)的出境要求尚未明晰，無法為金融企業(yè)直接提供明確的合規(guī)指引；其次，立法者等外部規(guī)制主體因其有限理性，面對金融數(shù)據(jù)數(shù)量的爆炸式增長和處理風(fēng)險的不斷加劇，規(guī)制手段存在滯后性實屬必然。因故，加強金融企業(yè)的自我規(guī)制，是完善我國金融數(shù)據(jù)跨境規(guī)制體系的必由之路。

所謂金融企業(yè)的自我規(guī)制，強調(diào)在外部公權(quán)規(guī)制缺位的情況下，將命令和結(jié)果強加于自身。在自我規(guī)制過程中，金融企業(yè)既是自我的立法者，也是自我的監(jiān)督執(zhí)行者，在違規(guī)時還是自我的裁判者，從而實現(xiàn)了規(guī)制主體和規(guī)制對象雙重身份的合一。在金融數(shù)據(jù)跨境流動中，金融企業(yè)的自我規(guī)制具有如下優(yōu)勢：第一，面對多場景的金融數(shù)據(jù)跨境，金融企業(yè)能夠根據(jù)自身特殊需求，利用專業(yè)經(jīng)驗克服傳統(tǒng)外部公權(quán)規(guī)制的失靈，從而實現(xiàn)更具彈性與效率的動態(tài)規(guī)制；第二，金融企業(yè)更強的自主性往往伴隨著更高的服從性，從而在提高其主體責(zé)任感的同時更好實現(xiàn)金融數(shù)據(jù)跨境的規(guī)制目標(biāo)；第三，在國家公共資源緊張的當(dāng)下，金融企業(yè)的自我規(guī)制可以有效降低規(guī)制成本，減輕監(jiān)管部門的行政負(fù)擔(dān)。然而，自我規(guī)制也并非完美，其在透明度、可靠性、問責(zé)性等方面均面臨質(zhì)疑，甚至可能犧牲公共利益而滿足私人利益而被認(rèn)為具有低公共性。因此，在自我規(guī)制和公權(quán)規(guī)制之間并不存在明確的二分法，而是存在一個連續(xù)統(tǒng)一體，純粹的自我規(guī)制同純粹的公權(quán)規(guī)制一樣都是不存在的。兩者并非相互替代之對立關(guān)系，而應(yīng)交融互補?；诮鹑谄髽I(yè)合規(guī)法治與自治的雙重視野，更為重要的是建立起“規(guī)制-自我規(guī)制-元規(guī)制”“三環(huán)”(triple loop)互動的規(guī)制框架。

首先，在金融企業(yè)自我規(guī)制的前端，必要的公權(quán)規(guī)制不可或缺。但是此種公權(quán)規(guī)制不應(yīng)是傳統(tǒng)上大包大攬、事無巨細(xì)的介入干預(yù)，而應(yīng)表現(xiàn)為一種重在設(shè)定原則目標(biāo)的框架性規(guī)制，唯有如此才能適應(yīng)既發(fā)揮自我規(guī)制的專業(yè)性和靈活性，又強調(diào)并用公權(quán)規(guī)制的基本趨勢。誠然，不能否認(rèn)“宜細(xì)不宜粗”的金融數(shù)據(jù)跨境立法是提高安全效力的有力保障，也符合從粗放到精細(xì)的現(xiàn)代立法趨勢，在全周期金融數(shù)據(jù)保護義務(wù)的基礎(chǔ)之上，根據(jù)金融數(shù)據(jù)分類分級為不同金融企業(yè)設(shè)定差異化的出境權(quán)利義務(wù)本就體現(xiàn)了此種理念。然而，面對金融數(shù)據(jù)跨境本身處于快速發(fā)展的動態(tài)過程之中，為實現(xiàn)既確保法律到位以防社會失范，又能夠為新現(xiàn)象的發(fā)展留有余地，先行根據(jù)規(guī)制目標(biāo)搭建框架性秩序的粗放型立法，以為金融企業(yè)的金融數(shù)據(jù)跨境自我規(guī)制的提供原則性指導(dǎo)，再逐步實現(xiàn)精細(xì)化立法，則是緩解當(dāng)前規(guī)制落后與出境需求旺盛之間矛盾更為現(xiàn)實和有效的路徑。在與金融數(shù)據(jù)跨境相關(guān)的國際規(guī)則中，《亞太經(jīng)合組織隱私框架》(APEC Privacy Framework，以下簡稱《隱私框架》)就是一個由一系列信息隱私原則構(gòu)筑而成的保護框架，這固然有因其屬于推薦性指南而有待各國國內(nèi)法進(jìn)一步細(xì)化之考量，但根本上還是因為其本身就采取了以企業(yè)為中心的“數(shù)據(jù)控制者擔(dān)保模式”，因而只需以原則形式為企業(yè)的自我規(guī)制提供目標(biāo)導(dǎo)向。我國《個人信息保護法》除了用“個人信息跨境提供的規(guī)則”這一專章為金融企業(yè)的個人金融數(shù)據(jù)跨境提供了明確的具體行為標(biāo)準(zhǔn)，其第一章“總則”中更是以6個條文規(guī)定了合法、正當(dāng)、必要、誠信、目的限制、公開透明、質(zhì)量、安全等8項基本原則，在確立個人信息保護框架的同時，有助于在具體規(guī)則闕如時為金融企業(yè)如何實現(xiàn)個人金融數(shù)據(jù)跨境提供補充解釋。此外，盡管各國具體規(guī)則各異，金融數(shù)據(jù)保護的基本原則卻有最大公約數(shù)可取，據(jù)此建立的合規(guī)框架可在金融企業(yè)因應(yīng)數(shù)據(jù)跨境多向合規(guī)過程中兼具通用性與應(yīng)變性。

其次，在金融企業(yè)自我規(guī)制的后端，需要加強“元規(guī)制”(meta-regulation)。所謂元規(guī)制，也被稱為后設(shè)規(guī)制，簡言之就是“對自我規(guī)制的規(guī)制”(the regulation of self-regulation)，即外部規(guī)制者在誘導(dǎo)規(guī)制對象針對公共問題發(fā)展內(nèi)部自我規(guī)制的同時，通過各種激勵和懲罰手段來對自我規(guī)制進(jìn)行必要的干預(yù)以避免市場失靈。因此，元規(guī)制本質(zhì)上可以視為是一種具有回應(yīng)性(responsive)的“強制型自我規(guī)制”(enforced self-regulation)。在此，國家的角色轉(zhuǎn)向承擔(dān)一種“小而美”的擔(dān)保責(zé)任，在將部分金融數(shù)據(jù)跨境規(guī)制的公共職能轉(zhuǎn)由金融企業(yè)履行的情況下，通過事后的評估和管制措施擔(dān)保其行為最終符合公共福祉。歐盟的GDPR就切實反映了此種元規(guī)制模式，第5條在規(guī)定了“個人數(shù)據(jù)處理原則”的基礎(chǔ)上要求數(shù)據(jù)控制者采取保護個人數(shù)據(jù)安全之合理技術(shù)手段和組織措施，一定程度上賦予了數(shù)據(jù)控制者自我規(guī)制的自由裁量權(quán)，但其中的透明性原則和可問責(zé)性原則顯然又為傳統(tǒng)命令與控制型規(guī)制中外部壓力的介入留下了必要通道。根據(jù)我國《個人信息保護法》第七章規(guī)定，金融企業(yè)若在個人金融數(shù)據(jù)出境過程中雖未違反第三章關(guān)于個人信息跨境提供的具體規(guī)則，但違反了總則所規(guī)定之原則，仍有可能承擔(dān)相應(yīng)的法律責(zé)任。因此，一方面，金融企業(yè)要充分發(fā)揮自主性和能動性開展框架性原則之下的金融數(shù)據(jù)跨境合規(guī)并進(jìn)行充分的自我評估；另一方面，國家機關(guān)在對金融企業(yè)自我規(guī)制進(jìn)行規(guī)制時，既要確保相關(guān)原則配套問責(zé)機制的實現(xiàn)，也要在限縮性解釋的基礎(chǔ)上“禁止向一般條款逃逸”，以免過度加重金融企業(yè)合規(guī)負(fù)擔(dān)。由此才能在政府與金融企業(yè)的協(xié)同治理之下以期達(dá)成最佳的監(jiān)管效能，實現(xiàn)“規(guī)制-自我規(guī)制-元規(guī)制”三環(huán)框架性規(guī)制之下法治與自治的良性互動。

圖1 金融企業(yè)數(shù)據(jù)跨境合規(guī)治理體系

綜上，在框架性的規(guī)制目標(biāo)之下，從建立全流程金融數(shù)據(jù)合規(guī)體系的強制性合規(guī)義務(wù)，到外部處理規(guī)則和內(nèi)部自我規(guī)制協(xié)調(diào)互補形成全周期金融數(shù)據(jù)保護義務(wù)，最后由事后問責(zé)機制提供懲罰救濟和激勵保障，一個以金融企業(yè)數(shù)據(jù)跨境合規(guī)為出發(fā)點和主抓手，貫穿“事前-事中-事后”呈現(xiàn)完整金字塔結(jié)構(gòu)的金融數(shù)據(jù)保護規(guī)制體系得以成功構(gòu)建(見圖1)。當(dāng)然，前一部分中討論的金融數(shù)據(jù)與金融企業(yè)分類分級的雙向匹配認(rèn)證是該規(guī)制體系構(gòu)建的前提基礎(chǔ)，決定了體系內(nèi)部的權(quán)限范圍與義務(wù)強度。

四、金融數(shù)據(jù)跨境行政監(jiān)管：統(tǒng)一主體基礎(chǔ)上的創(chuàng)新與激勵

(一) 統(tǒng)一監(jiān)管主體：多頭監(jiān)管現(xiàn)實困境的出路

“連接良好的法律與自覺守法之間的通道是完整通暢的執(zhí)法與監(jiān)管?！币环矫娼鹑跀?shù)據(jù)跨境流動立法需要行政監(jiān)管部門進(jìn)行細(xì)化執(zhí)行，另一方面金融企業(yè)的合規(guī)自治也需要行政監(jiān)管部門加以監(jiān)督管理?；谖覈稊?shù)據(jù)安全法》第6條所確立的“網(wǎng)信部門統(tǒng)籌監(jiān)管+各行業(yè)主管部門分業(yè)監(jiān)管”模式，當(dāng)前金融企業(yè)的金融數(shù)據(jù)跨境流動面臨多頭監(jiān)管的局面。由于統(tǒng)一監(jiān)管機構(gòu)的缺乏，網(wǎng)信部門和金融部門的監(jiān)管細(xì)則不一致、執(zhí)法標(biāo)準(zhǔn)各異，既存在重復(fù)監(jiān)管，又易形成監(jiān)管空隙，加劇了金融企業(yè)在金融數(shù)據(jù)跨境流動中的合規(guī)不確定性，進(jìn)而加重其合規(guī)負(fù)擔(dān)。

網(wǎng)信部門針對金融數(shù)據(jù)跨境流動，總體上呈現(xiàn)出“以本地化為原則、以安全評估出境為例外”的規(guī)制思路。作為《網(wǎng)絡(luò)安全法》數(shù)據(jù)跨境安全評估機制的執(zhí)行細(xì)則，國家網(wǎng)信辦制定的《評估辦法》延續(xù)了37條的要求，而作為配套標(biāo)準(zhǔn)的《評估指南》則將幾乎所有金融數(shù)據(jù)都?xì)w入了重要數(shù)據(jù)的范疇。雖然《評估指南》至今仍未能落地，但其中已不難管窺網(wǎng)信部門針對金融數(shù)據(jù)跨境流動重安全而輕流動的規(guī)制思路且一以貫之。上述現(xiàn)象在某種程度上或可歸咎于網(wǎng)信部門缺乏對各行業(yè)發(fā)展情況和數(shù)據(jù)信息的專業(yè)認(rèn)識。

金融部門作為金融領(lǐng)域的專業(yè)部門，雖通過各種規(guī)章監(jiān)管金融數(shù)據(jù)跨境流動起步更早，但其規(guī)制思路則呈現(xiàn)出一定的搖擺橫跳。以中國人民銀行為例，2011年《中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》(以下簡稱《通知》)對在中國境內(nèi)收集的個人金融信息明確規(guī)定了本地化要求，雖存在但書，但在當(dāng)時并未有例外規(guī)定的情況下，實質(zhì)上就是完全禁止個人金融信息跨境。而時隔不久的《中國人民銀行上海分行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作有關(guān)問題的通知》(以下簡稱《新通知》)卻采取了與上述《通知》截然相反的立場，允許在滿足“業(yè)務(wù)必需+書面授權(quán)同意+保密義務(wù)”的情況下實現(xiàn)個人金融信息的自由跨境。隨后于2016年發(fā)布的《中國人民銀行金融消費者權(quán)益保護實施辦法》，吸收了《通知》與《新通知》的相關(guān)規(guī)定，實際上是直接將后者作為了前者的例外規(guī)定以滿足金融企業(yè)的業(yè)務(wù)需求，但還需“符合法律、行政法規(guī)和相關(guān)監(jiān)管部門的規(guī)定”，如彼時已頒布的《網(wǎng)絡(luò)安全法》37條。2020年的《個人金融信息保護技術(shù)規(guī)范》則對基于業(yè)務(wù)需要的個人金融信息出境，提出了“符合法律規(guī)定+獲得明示同意+依規(guī)安全評估+明確監(jiān)督保障”的多重并列要求，較之次年頒布的《個人信息保護法》中的個人信息跨境要求條件有過之而無不及。此外，若將金融數(shù)據(jù)跨境流動的監(jiān)管職責(zé)完全交由金融主管部門，其固然可結(jié)合金融業(yè)發(fā)展需求發(fā)揮其專業(yè)優(yōu)勢，不過亦可能因本行業(yè)利益發(fā)生監(jiān)管俘獲或與其他行業(yè)產(chǎn)生監(jiān)管競次，不利于保護金融數(shù)據(jù)安全。

隨著越來越多的國家開始對數(shù)據(jù)跨境流動展開規(guī)制，數(shù)據(jù)保護機構(gòu)(data protection authori-ties，DPAs)的設(shè)立和合作也在逐年增加。在APEC的“跨境隱私規(guī)則體系”(CBPRS)之下，作為其重要組成部分的《隱私框架》建議其成員國應(yīng)考慮建立和維護獨立的隱私執(zhí)法機構(gòu)，具備通過認(rèn)證的隱私執(zhí)法機構(gòu)是該國企業(yè)申請加入該體系的先決條件。歐盟作為個人數(shù)據(jù)保護的先驅(qū)，在1995年就提出了各成員國須建立獨立監(jiān)管機構(gòu)的要求；隨后又于2001年宣布在歐盟層面設(shè)立獨立的數(shù)據(jù)保護專署(EDPS)；2016年更是在此基礎(chǔ)上成立了由上述各成員國監(jiān)管機構(gòu)和數(shù)據(jù)保護專署組成的歐盟數(shù)據(jù)保護委員會(EDPB)。其他還有如新加坡于2013年成立的個人數(shù)據(jù)保護委員會(PDPC)、日本于2015年設(shè)立的個人信息保護委員會(PIPC)、巴西于2020年成立的國家數(shù)據(jù)保護局(ANPD)，美國在一項名為《“控制我們的數(shù)據(jù)”法》(Control Our Data Act)的立法提案討論稿中也建議設(shè)立獨立的“消費者隱私保護和數(shù)據(jù)安全局”。

在此現(xiàn)實困境和國際趨勢下，我國也應(yīng)設(shè)立獨立、權(quán)威、專業(yè)的數(shù)據(jù)監(jiān)管機構(gòu)并明確其法律地位，在網(wǎng)信部門與行業(yè)主管部門之間平衡安全與發(fā)展，一方面專門負(fù)責(zé)履行國內(nèi)數(shù)據(jù)跨境流動規(guī)制等各項職能，另一方面密切加強國際監(jiān)管合作與對接、強化域外執(zhí)法；同時考慮到諸如金融數(shù)據(jù)等各專門行業(yè)領(lǐng)域數(shù)據(jù)的特殊性，可以分設(shè)相應(yīng)的子機構(gòu)在其統(tǒng)一領(lǐng)導(dǎo)之下開展工作。2023年《黨和國家機構(gòu)改革方案》提出設(shè)立的國家數(shù)據(jù)局，不失為我國獨立數(shù)據(jù)監(jiān)管機構(gòu)的可行選擇，從而緩解當(dāng)前各部門職能交叉、缺乏頂層設(shè)計等問題。但根據(jù)方案，目前其作為國家發(fā)改委管理的國家局，承擔(dān)的僅僅是協(xié)調(diào)推進(jìn)數(shù)據(jù)基礎(chǔ)制度建設(shè)等數(shù)據(jù)領(lǐng)域的宏觀職能，而并未改變金融數(shù)據(jù)出境具體監(jiān)管職能的離散現(xiàn)狀，未來能否以此為契機統(tǒng)合協(xié)調(diào)跨境數(shù)據(jù)流動的發(fā)展與監(jiān)管職能，尚待進(jìn)一步觀察。退一步而言，若考慮到新設(shè)獨立監(jiān)管機構(gòu)可能成本高、周期長、部門利益糾葛大，那么在維持分業(yè)監(jiān)管模式下發(fā)揮金融主管部門在重要數(shù)據(jù)目錄和一般數(shù)據(jù)清單制定、金融數(shù)據(jù)出境正反面案例發(fā)布、金融企業(yè)數(shù)據(jù)安全管理認(rèn)證等方面的主導(dǎo)作用，將網(wǎng)信部門的職責(zé)定位重新回歸并強化《數(shù)據(jù)安全法》第6條規(guī)定的“統(tǒng)籌協(xié)調(diào)”而弱化安全評估之外具體的監(jiān)管執(zhí)行，也是一種適合我國國情的解決當(dāng)前因金融數(shù)據(jù)跨境監(jiān)管職能不當(dāng)配置所誘發(fā)之合規(guī)困境的替代方案。

(二) 監(jiān)管科技創(chuàng)新：金融科技發(fā)展的必然要求

監(jiān)管與創(chuàng)新總是水乳交融，呈現(xiàn)出一種既相互沖突又相互促進(jìn)的關(guān)系。在金融數(shù)據(jù)跨境領(lǐng)域表現(xiàn)為：“金融科技”(FinTech)快速發(fā)展之下從“了解你的客戶”(KYC)到“了解你的數(shù)據(jù)”(KYD)的范式轉(zhuǎn)變正在逐字節(jié)地改變傳統(tǒng)規(guī)制模式，強烈要求“監(jiān)管科技”(RegTech)的創(chuàng)新。具體言之，在金融科技助力下，金融業(yè)的數(shù)字化轉(zhuǎn)型日益加快，數(shù)據(jù)驅(qū)動的特征也日益明顯，這既是需要對金融數(shù)據(jù)跨境流動加強規(guī)制的根源所在，也對傳統(tǒng)監(jiān)管構(gòu)成了重大挑戰(zhàn)：首先，合規(guī)不僅對于企業(yè)來說是一項耗時耗力耗費的艱巨任務(wù)，對于監(jiān)管機構(gòu)而言更甚，金融數(shù)據(jù)跨境規(guī)制中全周期保護義務(wù)的賦予要求監(jiān)管機構(gòu)實現(xiàn)全流程監(jiān)管，但是當(dāng)前相對落后的監(jiān)管手段受限于其自動化和集成性程度，無法實現(xiàn)對金融企業(yè)合規(guī)的實時全程監(jiān)管。其次，在數(shù)據(jù)驅(qū)動的金融數(shù)字化進(jìn)程中，監(jiān)管機構(gòu)在金融數(shù)據(jù)跨境流動監(jiān)管中面對的是數(shù)量級極其龐大的金融數(shù)據(jù)，其種類和格式較先前大為豐富，加之金融科技的發(fā)展使得金融數(shù)據(jù)的跨境流動范圍更廣、速度更快、方式更為多樣，監(jiān)管機構(gòu)若無強大的數(shù)據(jù)分析能力和安全技術(shù)，則根本難以識別其中復(fù)雜的金融風(fēng)險，更難言在風(fēng)險發(fā)生時及時介入加以阻斷?？傊鎸鹑诳萍紕?chuàng)新，監(jiān)管能力若未得到有效改進(jìn)，則監(jiān)管失靈在所難免，進(jìn)而誘發(fā)市場失靈。正基于此，USMCA在其“數(shù)字貿(mào)易”一章專門強調(diào)，考慮到數(shù)字貿(mào)易中的網(wǎng)絡(luò)安全威脅，各成員國應(yīng)加強建設(shè)其負(fù)責(zé)網(wǎng)絡(luò)安全事件處置的國家機構(gòu)的各項能力。綜上，在金融科技日新月異、金融數(shù)據(jù)跨境流動方興未艾的當(dāng)下，除了統(tǒng)一監(jiān)管主體之外，亟須通過監(jiān)管科技創(chuàng)新變革監(jiān)管手段、提高監(jiān)管能力、提升監(jiān)管效率。

更為重要的是，監(jiān)管科技還有其面向企業(yè)合規(guī)的一面。監(jiān)管科技在金融企業(yè)端可以表現(xiàn)為一種合規(guī)科技，即金融企業(yè)通過利用技術(shù)創(chuàng)新來更好地滿足合規(guī)要求、降低合規(guī)成本，這既是在金融數(shù)據(jù)跨境流動規(guī)制中金融企業(yè)負(fù)擔(dān)全周期保護義務(wù)、建設(shè)全流程合規(guī)體系的必然選擇，也是與行政端監(jiān)管科技相匹配對接的應(yīng)有之義。而且，監(jiān)管科技的進(jìn)步可以改變金融數(shù)據(jù)跨境流動立法的價值取向，從而更加注重以金融企業(yè)合規(guī)為中心而非“一刀切”地強調(diào)本地化。金融數(shù)據(jù)的跨境流動規(guī)制將隨著行政監(jiān)管能力的變化發(fā)展呈現(xiàn)出動態(tài)性的特征，若能通過扎實提高監(jiān)管技術(shù)水平來保障數(shù)據(jù)安全，想必也不會選擇制定容易惹人非議的本地化法規(guī)。因此，監(jiān)管科技創(chuàng)新是建立以金融企業(yè)合規(guī)為中心的金融數(shù)據(jù)跨境流動規(guī)制體系、實現(xiàn)安全與自由價值平衡的基礎(chǔ)與保障。

金融數(shù)據(jù)跨境流動規(guī)制中的監(jiān)管科技創(chuàng)新，必須實現(xiàn)“以數(shù)據(jù)監(jiān)管為核心”。當(dāng)前，為了在金融數(shù)據(jù)跨境中能夠?qū)崿F(xiàn)對數(shù)據(jù)走向和總量的控制，準(zhǔn)確分析識別各類風(fēng)險，必要時及時抓取留存證據(jù)并采取強制脫敏或阻斷傳輸?shù)却胧?，監(jiān)管機構(gòu)可以考慮提供統(tǒng)一的金融數(shù)據(jù)跨境傳輸通道平臺，輔之以區(qū)塊鏈、隱私計算等技術(shù)，實現(xiàn)金融數(shù)據(jù)跨境的防篡改、可追溯，同時兼顧金融企業(yè)的商業(yè)秘密保護需求。金融企業(yè)在金融跨境傳輸時本就需要借助第三方網(wǎng)絡(luò)數(shù)據(jù)公司提供相應(yīng)的服務(wù)器和網(wǎng)絡(luò)傳輸通道，若轉(zhuǎn)由監(jiān)管機構(gòu)統(tǒng)一提供同價位、同質(zhì)量的數(shù)據(jù)傳輸平臺，在不增加金融企業(yè)成本負(fù)擔(dān)的同時，既滿足了其金融數(shù)據(jù)出境需求，也可大幅提高監(jiān)管機構(gòu)的數(shù)據(jù)路由控制能力。但是，其中尚需要注意兩個問題：一是監(jiān)管機構(gòu)的數(shù)據(jù)安保責(zé)任，監(jiān)管機構(gòu)在依照法定職責(zé)通過統(tǒng)一跨境傳輸平臺對金融數(shù)據(jù)跨境進(jìn)行監(jiān)管過程中收集、使用的相關(guān)數(shù)據(jù)符合《數(shù)據(jù)安全法》第38條對“政務(wù)數(shù)據(jù)”的定義，故應(yīng)當(dāng)依照第39條之規(guī)定履行落實相應(yīng)數(shù)據(jù)安保義務(wù)以保障政務(wù)數(shù)據(jù)安全；二是對行政壟斷的防范，監(jiān)管機構(gòu)向金融企業(yè)強制性指定統(tǒng)一的有償金融數(shù)據(jù)傳輸平臺可能涉及是否構(gòu)成行政壟斷的爭議，對此監(jiān)管機構(gòu)應(yīng)當(dāng)明確其通過行政權(quán)限制競爭的界限應(yīng)局限于為履行法律、法規(guī)授權(quán)的公共事務(wù)管理職能，其目的應(yīng)在于謀求國家或社會的公共利益，如此方可排除濫用行政權(quán)力之質(zhì)疑。

(三) 多重激勵機制構(gòu)建：克服合規(guī)動力不足的監(jiān)管策略

現(xiàn)代企業(yè)合規(guī)肇始于刑事合規(guī)，而刑事合規(guī)最重要的面向就是合規(guī)激勵，即以非與懲罰相孿生的獨立刑事利益促使企業(yè)建立有效的刑事風(fēng)險防控體系。自2020年最高人民檢察院開始推動企業(yè)合規(guī)不起訴制度試點以來，刑事合規(guī)激勵在我國逐漸鋪開深入。金融企業(yè)實現(xiàn)金融數(shù)據(jù)跨境合規(guī)在現(xiàn)行法律體系下可能獲得的刑事利益包括無罪、不起訴、量刑從輕、強制措施優(yōu)遇等。不過，現(xiàn)有刑事合規(guī)激勵實踐多針對傳統(tǒng)中小微企業(yè)，金融與數(shù)據(jù)合規(guī)在該領(lǐng)域的存在感依然偏低，法治化、場景化、標(biāo)準(zhǔn)化、精細(xì)化、普及化程度尚待提升。而在金融與數(shù)據(jù)兩股強監(jiān)管趨勢匯流的背景下，金融企業(yè)數(shù)據(jù)跨境合規(guī)的行刑銜接問題日益突出。金融數(shù)據(jù)法益的多樣性、出境行為的復(fù)雜性、違規(guī)出境危害的重大性，加劇了金融企業(yè)數(shù)據(jù)犯罪治理的難度。然“冰凍三尺非一日之寒”，犯罪行為往往是行政違法行為的遞進(jìn)。這一點從當(dāng)前數(shù)據(jù)犯罪相關(guān)罪名多以空白規(guī)范引致行政義務(wù)就可見一斑，例如個人金融數(shù)據(jù)違規(guī)出境可能觸犯的侵犯公民個人信息罪即以“違反國家有關(guān)規(guī)定”為前提。面對實體層面的雙層違法和責(zé)任競合，金融企業(yè)數(shù)據(jù)跨境合規(guī)的行刑銜接不能再局限于簡單的移送對接，而應(yīng)在“訴前-訴中-訴后”雙軌互動的基礎(chǔ)上強化雙重激勵。相較于單純的刑事合規(guī)激勵，行政合規(guī)激勵機制的構(gòu)建既能在統(tǒng)一法秩序下通過激勵前置實現(xiàn)數(shù)據(jù)出境安全風(fēng)險的防控關(guān)口前移，亦可在恩威并施下實現(xiàn)行政機關(guān)、司法機關(guān)與金融企業(yè)三者的協(xié)同共治。

平衡論指出，在現(xiàn)代行政法機制中唯有制約機制與激勵機制互相配合，方能實現(xiàn)行政法治與企業(yè)自治之間的良性互動。無論是強制合規(guī)義務(wù)的賦予，還是通過技術(shù)創(chuàng)新實現(xiàn)對合規(guī)的有效監(jiān)管，都僅體現(xiàn)了制約的一面而顯激勵不足。因此，有必要在金融數(shù)據(jù)跨境流動規(guī)制領(lǐng)域?qū)⒑弦?guī)激勵機制引入行政執(zhí)法程序，即行政監(jiān)管部門為鼓勵金融企業(yè)建立起有效完善的全流程合規(guī)體系，在保留傳統(tǒng)事后懲罰機制的同時，確立以合規(guī)換取寬大行政處理的監(jiān)管策略。通過將監(jiān)管策略由側(cè)重威懾轉(zhuǎn)向側(cè)重激勵，化對抗為協(xié)作，以增強外部規(guī)制對內(nèi)部合規(guī)的滲透性。

具體言之，一是將有效合規(guī)體系的建立作為法定的責(zé)任減免事由。基于金融數(shù)據(jù)本身所具有的復(fù)雜性、敏感性，即便金融企業(yè)努力建立了合規(guī)體系也難免“智者千慮必有一失”，若此時仍照常處罰，必將從客觀上導(dǎo)致金融企業(yè)不敢貿(mào)然從事金融數(shù)據(jù)跨境、也不愿建立合規(guī)體系。對此，在保留嚴(yán)刑峻法的基礎(chǔ)上，為了給予金融企業(yè)即便要付出成本也要制定和遵守合規(guī)計劃這樣的激勵，如果經(jīng)營者制定實施了合理有效的合規(guī)計劃，應(yīng)當(dāng)基于其已履行了必要的監(jiān)督義務(wù)而承認(rèn)對其免責(zé)或減責(zé)的可能性。二是將合規(guī)計劃引入行政執(zhí)法和解制度。所謂行政執(zhí)法和解，是指立足于行使行政自由裁量權(quán)的正當(dāng)性基礎(chǔ)，監(jiān)管執(zhí)法機構(gòu)在執(zhí)法過程中與行政相對人為消除行政爭議而訂立的一種公私融合的行政合同。行政執(zhí)法和解是提高監(jiān)管效能、減輕監(jiān)管負(fù)擔(dān)的有效手段，因而成為域外行政執(zhí)法中的慣用手段。據(jù)統(tǒng)計，美國證券交易委員會98%的執(zhí)法案件都通過行政和解解決。在數(shù)據(jù)保護領(lǐng)域美國聯(lián)邦貿(mào)易委員會也曾與臉書公司就其使用欺騙手段非法獲取和共享用戶隱私數(shù)據(jù)的行為達(dá)成和解協(xié)議，在讓其支付50億美元巨額罰款的基礎(chǔ)上還對其施加了史無前例的業(yè)務(wù)運營新限制，要求重建多個合規(guī)渠道。在金融數(shù)據(jù)跨境流動這樣復(fù)雜的監(jiān)管場景中，監(jiān)管機構(gòu)本就有較大的自由裁量空間，而將企業(yè)合規(guī)引入行政執(zhí)法和解(包括將企業(yè)合規(guī)作為和解適用的前提或者作為和解協(xié)議條款)，可使行政執(zhí)法和解的達(dá)成成為一套更多依靠金融企業(yè)內(nèi)控優(yōu)化的規(guī)范化體系，實現(xiàn)對金融數(shù)據(jù)跨境行政糾紛的源頭治理。

我國當(dāng)前初步建立了上述對企業(yè)合規(guī)的行政激勵機制。在將企業(yè)合規(guī)作為法定責(zé)任減免事由方面，《證券公司和證券投資基金管理公司合規(guī)管理辦法》第36條明確將證券基金機構(gòu)有效的合規(guī)管理作為了依法從輕、減輕處理乃至不予追究責(zé)任的條件，《行政處罰法》第32條也將“主動消除或者減輕違法行為危害后果”作為從輕或者減輕行政處罰的法定情節(jié)。在將企業(yè)合規(guī)引入行政執(zhí)法和解方面，證監(jiān)會于2015年發(fā)布的《行政和解試點實施辦法》(以下簡稱《試點辦法》)被認(rèn)為是我國第一次在行政監(jiān)管執(zhí)法中引入行政和解，同時也在其中引入了合規(guī)機制，要求行政和解協(xié)議應(yīng)當(dāng)載明整改措施及其履行期限；隨后國務(wù)院于2021年頒布了《證券期貨行政執(zhí)法當(dāng)事人承諾制度實施辦法》，正式確立了本質(zhì)上屬于行政執(zhí)法和解的行政執(zhí)法當(dāng)事人承諾制度；證監(jiān)會于2022年重新發(fā)布了《證券期貨行政執(zhí)法當(dāng)事人承諾制度實施規(guī)定》作為其實施細(xì)則，具體規(guī)定與前述《試點辦法》類似。

我國的上述規(guī)定雖可被視為初步構(gòu)建起了金融企業(yè)合規(guī)的行政激勵機制，在監(jiān)管執(zhí)法實踐中也出現(xiàn)了少量案例，但就金融企業(yè)金融數(shù)據(jù)跨境合規(guī)的行政監(jiān)管而言還存在不少問題：第一，上述規(guī)定目前仍多僅限于由證監(jiān)會作為監(jiān)管主體的證券執(zhí)法領(lǐng)域，在當(dāng)前金融數(shù)據(jù)控制者擴張的背景下適用范圍十分有限，是否適用于金融數(shù)據(jù)跨境監(jiān)管領(lǐng)域也不無疑問；第二，上述部分規(guī)定其實并未直接明確將合規(guī)作為行政責(zé)任的減免事由或者行政和解的條件和內(nèi)容，能否將合規(guī)納入其中還存在較大的解釋空間，因此未能發(fā)揮出推動企業(yè)合規(guī)的最大激勵作用。因此，我國仍需進(jìn)一步推動在統(tǒng)一金融數(shù)據(jù)跨境流動監(jiān)管主體之下構(gòu)建起完整、普遍、明確、有效的多重行政激勵機制，并實現(xiàn)與刑事合規(guī)的有效銜接。

五、余論

阿爾文·托夫勒在《第三次浪潮》中指出：裹挾于歷史的滔滔不絕的變革浪潮之中，只有在前進(jìn)過程中孜孜不倦地探求浪潮前鋒、識別變革前景，我們才能在嶄新的視角之下認(rèn)清和掌控變革的形勢。當(dāng)全球經(jīng)濟成為一臺在“消耗數(shù)據(jù)-處理數(shù)據(jù)-生產(chǎn)數(shù)據(jù)”之間永續(xù)循環(huán)的數(shù)據(jù)永動機，如何對金融企業(yè)的金融數(shù)據(jù)跨境流動進(jìn)行規(guī)制正是當(dāng)前需要我們探求和識別的數(shù)字經(jīng)濟浪潮的前鋒之一。對此，本文從金融企業(yè)合規(guī)治理這一嶄新視角，提出了在安全和自由利益平衡的數(shù)據(jù)本位立法之下，通過統(tǒng)一監(jiān)管主體基礎(chǔ)上的監(jiān)管科技創(chuàng)新與多重激勵機制，構(gòu)建以預(yù)防性和框架性規(guī)制理念為指導(dǎo)、以金融企業(yè)內(nèi)部強制合規(guī)為中心的金融數(shù)據(jù)跨境流動規(guī)制框架。但當(dāng)前該框架若要真正落地，其中不少在實定法上仍處于模糊或空白地帶，甚至?xí)a(chǎn)生沖突。面對這一復(fù)雜系統(tǒng)中的諸多不確定動態(tài)因素，貿(mào)然突破當(dāng)前相對抑制的金融數(shù)據(jù)跨境監(jiān)管現(xiàn)狀，可能造成覆水難收的風(fēng)險局面。對此，建議可引入“監(jiān)管沙盒”(regulatory sandbox)機制以實現(xiàn)治理體系創(chuàng)新與金融數(shù)據(jù)安全的雙贏。如果說包含三重維度的金融企業(yè)數(shù)據(jù)跨境合規(guī)治理體系是最終實現(xiàn)兼顧安全與發(fā)展規(guī)制目標(biāo)的必要手段，那么監(jiān)管沙盒則旨在創(chuàng)設(shè)一個被監(jiān)視和受控制的相對隔離的試驗運行環(huán)境：監(jiān)管機構(gòu)在嚴(yán)守監(jiān)管目標(biāo)和底線、做好風(fēng)險管理預(yù)案的前提下，通過事先設(shè)定原則標(biāo)準(zhǔn)和限制條件，允許經(jīng)過甄選的金融企業(yè)在真實的市場業(yè)務(wù)場景中，以真實的金融數(shù)據(jù)與數(shù)據(jù)接收方為對象測試金融數(shù)據(jù)跨境流動全過程，以評估上述合規(guī)治理體系的成效和影響。其本質(zhì)上與我國的試點機制類似，在小范圍針對性試點中包容創(chuàng)新、容錯糾錯，在總結(jié)經(jīng)驗教訓(xùn)的基礎(chǔ)上相機決策是否全面推廣。在金融數(shù)據(jù)跨境流動的相對安全觀之下，通過創(chuàng)造一個新的監(jiān)管環(huán)境促進(jìn)創(chuàng)新和未知風(fēng)險方案之間的良好平，借助“雙層容錯”機制促成監(jiān)管者與被監(jiān)管者在可信可控、動態(tài)靈活的互動合作機制中發(fā)揮各自能動性持續(xù)矯正監(jiān)管與市場之間的區(qū)隔，這恰恰與本文以金融企業(yè)合規(guī)為中心實現(xiàn)金融數(shù)據(jù)跨境安全和自由之間的平衡這一核心論點高度契合。

總而言之，數(shù)字金融的深入發(fā)展不可逆轉(zhuǎn)，“金融即數(shù)據(jù)”終成定局。面對金融與數(shù)據(jù)在全球化變局下不斷碰撞出新的火花，本文所提出的金融企業(yè)數(shù)據(jù)跨境合規(guī)治理體系試圖以一種多主體協(xié)同、多環(huán)節(jié)聯(lián)動的方式探求一條多目標(biāo)平衡的金融數(shù)據(jù)跨境流動規(guī)制新路徑。然而作為典型的交叉領(lǐng)域，如何實現(xiàn)金融監(jiān)管與數(shù)據(jù)治理的同步異構(gòu)演進(jìn)，進(jìn)而協(xié)調(diào)一般金融監(jiān)管與數(shù)字金融監(jiān)管、一般數(shù)據(jù)治理與金融數(shù)據(jù)治理的政策目標(biāo)與具體規(guī)則，最終達(dá)致和諧有效的全球金融數(shù)據(jù)治理新格局，是金融數(shù)據(jù)跨境流動規(guī)制所折射出的一個更為宏大復(fù)雜的命題。同時，技術(shù)的發(fā)展也同樣帶來了新問題。區(qū)塊鏈、云、人工智能、隱私計算等技術(shù)的發(fā)展，不僅可以為金融數(shù)據(jù)跨境傳輸使用提供更加高效安全的手段，甚至將突破金融數(shù)據(jù)跨境流動的基本范疇界定，這既是機遇也是挑戰(zhàn)，未來的金融數(shù)據(jù)跨境流動治理范式應(yīng)作出何等因應(yīng)，值得關(guān)注與進(jìn)一步研究。

--原創(chuàng)文章--