「成果」許多奇、董家杰：我國(guó)跨境數(shù)據(jù)流動(dòng)中的金融企業(yè)合規(guī)治理

我國(guó)跨境數(shù)據(jù)流動(dòng)中的金融企業(yè)合規(guī)治理

許多奇

復(fù)旦大學(xué)法學(xué)院教授、博士生導(dǎo)師

復(fù)旦大學(xué)智慧法治實(shí)驗(yàn)室負(fù)責(zé)人

復(fù)旦大學(xué)數(shù)字經(jīng)濟(jì)法治研究中心主任

董家杰

復(fù)旦大學(xué)法學(xué)院博士研究生

復(fù)旦大學(xué)智慧法治實(shí)驗(yàn)室、復(fù)旦大學(xué)數(shù)字經(jīng)濟(jì)研究中心研究人員

「摘要」數(shù)字經(jīng)濟(jì)背景下對(duì)金融數(shù)據(jù)跨境開(kāi)展必要規(guī)制已成趨勢(shì)，有此內(nèi)在業(yè)務(wù)需求的金融企業(yè)亟須加強(qiáng)合規(guī)應(yīng)對(duì)?；诤弦?guī)的多重內(nèi)涵，我國(guó)跨境數(shù)據(jù)流動(dòng)中的金融企業(yè)合規(guī)應(yīng)被建構(gòu)為一個(gè)三維面向的綜合治理體系。其一，法制立法是前提，金融數(shù)據(jù)跨境流動(dòng)立法的本質(zhì)即安全與自由的利益平衡，現(xiàn)行立法中金融企業(yè)與金融數(shù)據(jù)的關(guān)系錯(cuò)位卻導(dǎo)致利益失衡，通過(guò)回歸立足金融數(shù)據(jù)本位立場(chǎng)的金融企業(yè)合規(guī)中心視角方能實(shí)現(xiàn)利益再平衡。其二，內(nèi)部合規(guī)是核心，既要貫徹預(yù)防性規(guī)制理念賦予金融企業(yè)強(qiáng)制性合規(guī)義務(wù)以實(shí)現(xiàn)自治的法治化，構(gòu)筑起立基全周期保護(hù)義務(wù)的全流程合規(guī)體系；又要完善“規(guī)制-自我規(guī)制-元規(guī)制”三環(huán)耦合，在框架性原則下促進(jìn)法治與自治良性互動(dòng)。其三，行政監(jiān)管是保障，為因應(yīng)多頭監(jiān)管困境、金融科技挑戰(zhàn)與合規(guī)動(dòng)力不足現(xiàn)狀，須由統(tǒng)一監(jiān)管主體創(chuàng)新監(jiān)管科技、建立多重合規(guī)激勵(lì)。面對(duì)實(shí)定法依據(jù)缺位和未知?jiǎng)討B(tài)風(fēng)險(xiǎn)，可引入監(jiān)管沙盒為上述構(gòu)想落地提供容錯(cuò)糾錯(cuò)的試驗(yàn)機(jī)制。

「關(guān)鍵詞」跨境數(shù)據(jù)流動(dòng)；金融數(shù)據(jù)；金融企業(yè)；企業(yè)合規(guī)；治理體系

■ 原文載于《吉林大學(xué)社會(huì)科學(xué)學(xué)報(bào)》2024年第3期”信息技術(shù)發(fā)展與中國(guó)法治創(chuàng)新“欄目，本文為推送版，相關(guān)注釋和參考文獻(xiàn)等請(qǐng)參閱原文。

一、問(wèn)題的提出

數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展是當(dāng)前全球經(jīng)濟(jì)的顯著趨勢(shì)。據(jù)統(tǒng)計(jì)，2022年全球51個(gè)主要國(guó)家的數(shù)字經(jīng)濟(jì)產(chǎn)值占GDP比重高達(dá)46.1%，其中我國(guó)為41.5%。數(shù)字經(jīng)濟(jì)的本質(zhì)是數(shù)據(jù)驅(qū)動(dòng)，而數(shù)據(jù)的價(jià)值只有在流動(dòng)中才得以釋放。在信息技術(shù)助力經(jīng)濟(jì)全球化縱深發(fā)展的背景之下，必然引發(fā)“跨境數(shù)據(jù)流動(dòng)”(cross-border data flow)。2024年3月，國(guó)家互聯(lián)網(wǎng)信息辦公室(以下簡(jiǎn)稱“國(guó)家網(wǎng)信辦”)正式發(fā)布《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》，傳達(dá)出數(shù)字經(jīng)濟(jì)時(shí)代促進(jìn)數(shù)據(jù)依法有序自由流動(dòng)的積極信號(hào)。大數(shù)據(jù)時(shí)代，跨境數(shù)據(jù)流動(dòng)對(duì)全球GDP的貢獻(xiàn)已超過(guò)傳統(tǒng)貨物貿(mào)易，逐漸成為全球貿(mào)易和投資增長(zhǎng)的新支柱。

數(shù)字經(jīng)濟(jì)背景下的數(shù)據(jù)跨境需求是全方位的，不同行業(yè)數(shù)據(jù)的特殊性奠定了跨境數(shù)據(jù)流動(dòng)在一般規(guī)制之下分業(yè)治理的基調(diào)，而金融無(wú)疑是重要領(lǐng)域之一。一方面，在體量日益龐大的跨國(guó)金融服務(wù)貿(mào)易中，“數(shù)字金融”(digital finance)的興起使得金融數(shù)據(jù)通過(guò)提高運(yùn)營(yíng)效率、更好預(yù)測(cè)欺詐、提高勞動(dòng)力配置、減少數(shù)據(jù)中介摩擦等，可以在整個(gè)金融服務(wù)生命周期內(nèi)為金融企業(yè)創(chuàng)造巨大的經(jīng)濟(jì)價(jià)值；加之金融業(yè)業(yè)務(wù)復(fù)雜多樣、市場(chǎng)瞬息萬(wàn)變的特點(diǎn)，導(dǎo)致金融行業(yè)數(shù)據(jù)跨境的數(shù)量需求和質(zhì)量要求較之其他行業(yè)均有過(guò)之而無(wú)不及。伴隨著金融高水平開(kāi)放的穩(wěn)步推進(jìn)，金融企業(yè)“引進(jìn)來(lái)”與“走出去”雙向步伐不斷加快，金融數(shù)據(jù)跨境的業(yè)務(wù)需求更是水漲船高。另一方面，由于金融數(shù)據(jù)之上承載著國(guó)家和社會(huì)公共利益、私人合法權(quán)益等多元利益，金融企業(yè)不是金融數(shù)據(jù)的唯一權(quán)益主體，因此無(wú)論是基于傳統(tǒng)的規(guī)制公共利益理論，還是對(duì)其進(jìn)行揚(yáng)棄的規(guī)制經(jīng)濟(jì)理論，公權(quán)力對(duì)金融企業(yè)的金融數(shù)據(jù)跨境活動(dòng)進(jìn)行規(guī)制以克服市場(chǎng)失靈中自我規(guī)制的效率障礙，都具有充分的必要性。

有規(guī)制必有合規(guī)，金融企業(yè)合規(guī)是金融數(shù)據(jù)跨境流動(dòng)規(guī)制的必然結(jié)果。本文所稱金融企業(yè)，作為金融數(shù)據(jù)跨境的實(shí)施者，實(shí)則指金融數(shù)據(jù)控制者，即能夠單獨(dú)或者共同確定金融數(shù)據(jù)處理目的及方式的營(yíng)利性組織。《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》第3.1條就已在持牌金融機(jī)構(gòu)之外，將更多的個(gè)人金融信息處理機(jī)構(gòu)也定義為金融機(jī)構(gòu)。當(dāng)然，金融數(shù)據(jù)的范圍顯然遠(yuǎn)廣于個(gè)人金融信息，金融業(yè)機(jī)構(gòu)在日常業(yè)務(wù)開(kāi)展和經(jīng)營(yíng)管理中收集產(chǎn)生的各類數(shù)據(jù)均可歸入金融數(shù)據(jù)之列。可見(jiàn)金融數(shù)據(jù)是一種廣泛而特殊的數(shù)據(jù)形式，其并非一個(gè)獨(dú)立的法律類別，而是與一般數(shù)據(jù)治理框架下的分類重疊，既包括個(gè)人金融數(shù)據(jù)，也包括非個(gè)人金融數(shù)據(jù)，這一區(qū)分在以個(gè)人權(quán)利為中心的金融數(shù)據(jù)治理范式中具有關(guān)鍵意義。然而在我國(guó)，以維護(hù)國(guó)家數(shù)據(jù)安全、保護(hù)個(gè)人信息和商業(yè)秘密為前提，以促進(jìn)數(shù)據(jù)合規(guī)高效流通使用、賦能實(shí)體經(jīng)濟(jì)為主線的數(shù)據(jù)基本制度下，對(duì)公共數(shù)據(jù)、企業(yè)數(shù)據(jù)、個(gè)人數(shù)據(jù)開(kāi)展多元一體規(guī)制。金融數(shù)據(jù)跨境流動(dòng)規(guī)制受此一般范式影響，非個(gè)人金融數(shù)據(jù)和個(gè)人金融數(shù)據(jù)在“重要數(shù)據(jù)”“個(gè)人信息”二分和數(shù)據(jù)分類分級(jí)保護(hù)兩大共同基石支撐下跨境流動(dòng)。盡管因權(quán)利屬性和政策目標(biāo)不同而導(dǎo)致金融企業(yè)所合微觀規(guī)則不一，但從合規(guī)治理宏觀體系來(lái)看卻是共性大于個(gè)性。本文據(jù)此求同存異，對(duì)兩者的跨境合規(guī)作整體討論，僅在必要處進(jìn)行區(qū)分。

企業(yè)合規(guī)(compliance)具有多重內(nèi)涵。首先，字面上的企業(yè)合規(guī)就是企業(yè)對(duì)外部規(guī)制的被動(dòng)遵從，因而更為重要的是所合之規(guī)，即通過(guò)立法對(duì)企業(yè)賦予合理義務(wù)以為其合規(guī)提供依據(jù)；其次，企業(yè)合規(guī)還是一個(gè)內(nèi)部治理問(wèn)題，強(qiáng)調(diào)企業(yè)為規(guī)避違反法定義務(wù)所招致的合規(guī)風(fēng)險(xiǎn)而主動(dòng)將合規(guī)管理作為內(nèi)控的有機(jī)組成部分，建立起完備的合規(guī)計(jì)劃；最后，企業(yè)的自我治理也極易失靈，故而法律規(guī)則所提出的合規(guī)要求尚需要行政監(jiān)管主體依法對(duì)企業(yè)落實(shí)情況進(jìn)行監(jiān)督和管理，乃至最后刑事手段的介入?？梢?jiàn)，針對(duì)企業(yè)合規(guī)已呈現(xiàn)出視角的分化，但不同視角之間并非割裂而是相輔相成，共同構(gòu)成了一個(gè)綜合多重制約和激勵(lì)機(jī)制的治理體系。我國(guó)跨境數(shù)據(jù)流動(dòng)規(guī)制中的金融企業(yè)合規(guī)也應(yīng)當(dāng)被定位為一個(gè)綜合治理體系，包含法制立法、內(nèi)部合規(guī)和行政監(jiān)管三個(gè)主要面向，且三個(gè)面向之間以制約和激勵(lì)作為金融數(shù)據(jù)控制者的金融企業(yè)為核心環(huán)環(huán)相扣、層層遞進(jìn)。

遺憾的是，在現(xiàn)有跨境數(shù)據(jù)流動(dòng)相關(guān)研究中，尚對(duì)企業(yè)合規(guī)存在定位上的偏差?；蚧诹⒎ㄕ搶⑵髽I(yè)合規(guī)理解為一種合規(guī)成本而對(duì)我國(guó)和域外的跨境數(shù)據(jù)規(guī)制模式進(jìn)行評(píng)析，或單從企業(yè)治理的角度論證企業(yè)在數(shù)據(jù)跨境規(guī)則框架內(nèi)如何構(gòu)建合規(guī)體系從而既滿足自身數(shù)據(jù)跨境需求又規(guī)避合規(guī)風(fēng)險(xiǎn)。既少有對(duì)金融企業(yè)之金融數(shù)據(jù)跨境的特殊關(guān)照，又缺乏對(duì)企業(yè)合規(guī)深入的體系性理解。黨的二十大報(bào)告強(qiáng)調(diào)；“改革開(kāi)放邁出新步伐，國(guó)家治理體系和治理能力現(xiàn)代化深入推進(jìn)，社會(huì)主義市場(chǎng)經(jīng)濟(jì)體制更加完善，更高水平開(kāi)放型經(jīng)濟(jì)新體制基本形成?！睋?jù)此，本文欲糾正上述偏差，試從法制立法、內(nèi)部合規(guī)和行政監(jiān)管三個(gè)角度，對(duì)如何構(gòu)建我國(guó)金融數(shù)據(jù)跨境流動(dòng)規(guī)制中的金融企業(yè)合規(guī)治理體系提出初步構(gòu)想。

二、金融數(shù)據(jù)跨境流動(dòng)立法：回歸數(shù)據(jù)本位立場(chǎng)的合規(guī)中心視角

(一) 利益平衡：安全與自由的沖突與融合

國(guó)家利益的多樣性與沖突性，導(dǎo)致了金融數(shù)據(jù)跨境流動(dòng)國(guó)際協(xié)調(diào)機(jī)制的零散支離，形成統(tǒng)一的國(guó)際規(guī)則還任重道遠(yuǎn)，因而當(dāng)前金融數(shù)據(jù)跨境流動(dòng)主要由各國(guó)國(guó)內(nèi)法進(jìn)行規(guī)制，形成了碎片化的國(guó)別模式。其中，歐盟和美國(guó)兩大模式無(wú)疑最具話語(yǔ)權(quán)和影響力，并在研究中分別被冠以“安全”和“自由”的價(jià)值標(biāo)簽。然而，有原則恒有例外，安全與自由均是相對(duì)的，兩者并非絕對(duì)沖突，而是日益呈現(xiàn)出相互融合的趨勢(shì)。

歐盟金融數(shù)據(jù)跨境流動(dòng)立法的價(jià)值標(biāo)簽是“安全”，并且是狹義上的人權(quán)與隱私安全。歐盟視隱私為一項(xiàng)基本人權(quán)的觀念根深蒂固，進(jìn)而將保護(hù)承載隱私的個(gè)人數(shù)據(jù)奉作對(duì)數(shù)據(jù)主體基本權(quán)利之保障。此種價(jià)值理念在歐盟金融數(shù)據(jù)跨境流動(dòng)立法中表現(xiàn)為，其并未為追求金融監(jiān)管的一般價(jià)值目標(biāo)而對(duì)金融數(shù)據(jù)跨境進(jìn)行特殊規(guī)制，而是將其中的個(gè)人金融數(shù)據(jù)納入了以《通用數(shù)據(jù)保護(hù)條例》(GDPR)為核心的個(gè)人數(shù)據(jù)跨境統(tǒng)一規(guī)則框架之下。GDPR被譽(yù)為史上最嚴(yán)厲的隱私安全保護(hù)法律，其第45條確立的“充分性認(rèn)定”是實(shí)現(xiàn)個(gè)人金融數(shù)據(jù)跨境首推的也是最便捷的方式，但由于在評(píng)估過(guò)程中需要嚴(yán)格考慮多種因素，截至目前僅有15個(gè)國(guó)家(地區(qū))獲得了此類充分性認(rèn)定。為此，GDPR第46條在“充分性認(rèn)定”之外，額外增加了“基于適當(dāng)安全保障的轉(zhuǎn)移”(transfers subject to appropriate safeguards)，提供了多樣化的金融數(shù)據(jù)自由跨境流動(dòng)途徑，以免對(duì)數(shù)字經(jīng)濟(jì)發(fā)展產(chǎn)生不利影響。同時(shí)，GDPR為推進(jìn)單一數(shù)字市場(chǎng)戰(zhàn)略，還強(qiáng)調(diào)促進(jìn)個(gè)人金融數(shù)據(jù)在歐盟內(nèi)部的自由流動(dòng)?！蛾P(guān)于內(nèi)部市場(chǎng)支付服務(wù)的指令》也旨在專門(mén)推動(dòng)歐盟內(nèi)部金融賬戶信息的合作與交換。而針對(duì)不涉及隱私的非個(gè)人金融數(shù)據(jù)，《非個(gè)人數(shù)據(jù)自由流動(dòng)條例》(RFFND)不僅強(qiáng)調(diào)其在歐盟內(nèi)部的自由流動(dòng)原則，對(duì)超出歐盟范圍的跨境流動(dòng)也未規(guī)定統(tǒng)一的必要條件。

美國(guó)則以“自由”為其金融數(shù)據(jù)跨境流動(dòng)立法的價(jià)值標(biāo)簽。在白宮2011年發(fā)布的《網(wǎng)絡(luò)空間國(guó)際戰(zhàn)略》中，美國(guó)就旗幟鮮明地將“信息自由流動(dòng)”作為基本原則。基于此，在國(guó)際層面，美國(guó)憑借其強(qiáng)大的政治經(jīng)濟(jì)影響力，竭力在雙邊和區(qū)域貿(mào)易協(xié)定中推動(dòng)金融數(shù)據(jù)跨境自由流動(dòng)；就國(guó)內(nèi)法而言，盡管美國(guó)也開(kāi)始逐漸重視隱私保護(hù)，但無(wú)論是聯(lián)邦層面的《公平信用報(bào)告法》《金融隱私權(quán)法》《金融服務(wù)現(xiàn)代化法案》，還是州層面的《加州消費(fèi)者隱私法案》，雖都從金融消費(fèi)者保護(hù)角度逐步明確金融企業(yè)的隱私保護(hù)要求并日臻嚴(yán)格，但對(duì)金融數(shù)據(jù)跨境流動(dòng)的額外限制始終持留白態(tài)度。然而值得注意的是，美國(guó)在促進(jìn)金融數(shù)據(jù)自由流動(dòng)原則之外也基于安全考慮設(shè)置了相應(yīng)的限制性例外：一方面，其主導(dǎo)的雙邊或區(qū)域貿(mào)易協(xié)定往往存在隱私保護(hù)或?qū)徤鞅O(jiān)管例外條款，典型者如TPP(并為CPTPP所繼受)；另一方面，在其國(guó)內(nèi)法中也出于國(guó)家安全的考量對(duì)金融數(shù)據(jù)跨境作出了限制，例如美國(guó)自2010年開(kāi)始建立和實(shí)施受控非密信息(controlled unclassified information，CUI)管理制度，CUI共分為20個(gè)類別、126個(gè)子類，金融數(shù)據(jù)是其中重要一類，在包括出境等方面受到較為嚴(yán)格的限制。

通過(guò)上述分析可知，基于原則的抽象性和利益的多元性，無(wú)論是安全原則還是自由原則在金融數(shù)據(jù)跨境立法中并非以“全有或全無(wú)”的方式加以適用，而是原則與例外相濟(jì)，沖突與融合并存。因此，在金融數(shù)據(jù)的跨境流動(dòng)立法中，重要的并非在安全與自由中明定孰為原則而孰為例外，而是為平衡金融數(shù)據(jù)本身所承載的多元主體的多重利益，在按照一定標(biāo)準(zhǔn)進(jìn)行權(quán)衡的基礎(chǔ)上進(jìn)行利益整合。對(duì)此，各國(guó)應(yīng)堅(jiān)持“兩點(diǎn)論”，基于本國(guó)國(guó)家安全形勢(shì)、金融開(kāi)放水平、數(shù)字產(chǎn)業(yè)發(fā)展情況等多種因素考量作出利益權(quán)衡與抉擇，以謀求安全與自由之間的中道。

(二) 利益失衡：金融企業(yè)與金融數(shù)據(jù)的關(guān)系錯(cuò)位

我國(guó)的金融數(shù)據(jù)跨境流動(dòng)規(guī)制立法起步較晚，逐步形成了“一般+特殊”的規(guī)制模式。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》)《中華人民共和國(guó)數(shù)據(jù)安全法》(以下簡(jiǎn)稱《數(shù)據(jù)安全法》)和《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》)共同構(gòu)筑了規(guī)制金融數(shù)據(jù)跨境的一般上位法框架。其中，《網(wǎng)絡(luò)安全法》第37條(以下簡(jiǎn)稱“37條”)奠定了我國(guó)跨境數(shù)據(jù)流動(dòng)規(guī)制的基本原則和框架。該條不僅提出了具有數(shù)據(jù)控制者含義的“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”(CIIO)概念，作出了“重要數(shù)據(jù)”和“個(gè)人信息”兩類重要的數(shù)據(jù)范圍分類，創(chuàng)設(shè)了數(shù)據(jù)跨境程序意義上的“安全評(píng)估”機(jī)制，還被《數(shù)據(jù)安全法》第31條、《個(gè)人信息保護(hù)法》第40條所引用和重申。正是由于37條擁有如此提綱挈領(lǐng)的重要意義，其所存在的問(wèn)題便會(huì)引發(fā)連鎖反應(yīng)，其中最甚者便是因金融企業(yè)與金融數(shù)據(jù)關(guān)系錯(cuò)位所導(dǎo)致的利益失衡。

《網(wǎng)絡(luò)安全法》作為我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的基本法，貫穿了“等級(jí)保護(hù)”理念，在把“信息安全等級(jí)保護(hù)制度”升級(jí)為“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”的基礎(chǔ)上，規(guī)定了“關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)(CIIP)制度”。加之網(wǎng)絡(luò)、數(shù)據(jù)與個(gè)人信息這三個(gè)概念本身所具有的關(guān)聯(lián)重合性，因此37條在數(shù)據(jù)跨境流動(dòng)規(guī)制上也自然而然地采取了“關(guān)鍵信息基礎(chǔ)設(shè)施(CII)標(biāo)準(zhǔn)”，即在需要進(jìn)行出境安全評(píng)估的重要數(shù)據(jù)和個(gè)人信息前加上了“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”(CIIO)這一主語(yǔ)限定。金融作為《網(wǎng)絡(luò)安全法》第31條明確列舉的重要行業(yè)和領(lǐng)域，金融企業(yè)極易被認(rèn)定為CIIO，但問(wèn)題在于，作為CIIO的金融企業(yè)是一個(gè)整體概念，是綜合考慮其控制的所有數(shù)據(jù)后作出的認(rèn)定，是一種數(shù)據(jù)控制者本位立場(chǎng)；而金融數(shù)據(jù)的跨境卻是個(gè)別進(jìn)行的，因此需要采取數(shù)據(jù)本位立場(chǎng)，即考慮數(shù)據(jù)本身的性質(zhì)。以作為主體的金融企業(yè)來(lái)界定作為客體的金融數(shù)據(jù)之保護(hù)，便發(fā)生了關(guān)系的錯(cuò)位，由此產(chǎn)生了以下后果：

首先，以CIIO來(lái)界定需要出境安全評(píng)估的金融數(shù)據(jù)，其本意或旨在強(qiáng)調(diào)需經(jīng)此嚴(yán)格出境程序的數(shù)據(jù)應(yīng)當(dāng)如CII定義那般具有危害國(guó)家安全、國(guó)計(jì)民生、公共利益的性質(zhì)，但“重要數(shù)據(jù)”這一概念本身就蘊(yùn)含了這層含義，反而多此一舉，并導(dǎo)致《數(shù)據(jù)安全法》第31條需要對(duì)“其他數(shù)據(jù)處理者”出境“重要數(shù)據(jù)”進(jìn)行補(bǔ)充說(shuō)明，才使“重要數(shù)據(jù)”的跨境規(guī)則得以周全。在《數(shù)據(jù)出境安全評(píng)估辦法》(以下簡(jiǎn)稱《評(píng)估辦法》)中，就摒棄了這一數(shù)據(jù)控制者本位立場(chǎng)，而直接采用了不帶有任何價(jià)值判斷色彩的“數(shù)據(jù)處理者”一詞。其第4條綜合前述兩法，不區(qū)分是否為“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”而直接規(guī)定“數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)”需要進(jìn)行安全評(píng)估。因此，金融數(shù)據(jù)出境僅需考慮其本身是否屬于“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全等的數(shù)據(jù)”，而與金融企業(yè)的CIIO屬性并無(wú)絕對(duì)關(guān)聯(lián)，反映出對(duì)數(shù)據(jù)本位立場(chǎng)的回歸。

其次，錯(cuò)誤的金融企業(yè)本位立場(chǎng)還擴(kuò)大了需要出境安全評(píng)估的個(gè)人金融數(shù)據(jù)范圍，加重了金融企業(yè)的合規(guī)負(fù)擔(dān)。根據(jù)當(dāng)前37條的表述，CIIO在境內(nèi)收集和處理的所有“個(gè)人信息”都須遵循“原則本地存儲(chǔ)+例外確因業(yè)務(wù)需要須經(jīng)安全評(píng)估”的跨境程序，因此部分金融企業(yè)所控制的所有個(gè)人金融數(shù)據(jù)便都落入了此范圍。然而問(wèn)題在于：一方面，個(gè)人金融數(shù)據(jù)本身就可據(jù)其不同敏感程度進(jìn)行分級(jí)②，部分個(gè)人金融數(shù)據(jù)根本不會(huì)危及國(guó)家安全、公共利益，不應(yīng)也不必一刀切地要求安全評(píng)估；另一方面，這也將導(dǎo)致《個(gè)人信息保護(hù)法》第38條所確立的個(gè)人信息出境“四選一”的選擇性條件在一定程度上被架空，而使“安全評(píng)估”成為唯一的必要性條件。換言之，雖因個(gè)人金融數(shù)據(jù)之上承載著各類私益而在跨境時(shí)需要額外設(shè)置相應(yīng)程序，但畢竟個(gè)人金融數(shù)據(jù)屬于事實(shí)判斷，而就是否須經(jīng)安全評(píng)估這一最嚴(yán)格的出境程序則應(yīng)立基于數(shù)據(jù)本位進(jìn)行價(jià)值判斷，即判斷該數(shù)據(jù)在跨境過(guò)程中“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度”。因此，“金融重要數(shù)據(jù)”和“個(gè)人金融數(shù)據(jù)”兩者之間并非截然的二分關(guān)系，而是存在交叉關(guān)系，且在出境安全評(píng)估語(yǔ)境下對(duì)“金融重要數(shù)據(jù)”的判定更具現(xiàn)實(shí)意義。37條在錯(cuò)誤的金融企業(yè)本位立場(chǎng)之下將兩者并列顯然易生混淆，導(dǎo)致《信息安全技術(shù)重要數(shù)據(jù)識(shí)別指南(征求意見(jiàn)稿)》第3.1條作出了“重要數(shù)據(jù)不包括國(guó)家秘密和個(gè)人信息，但基于海量個(gè)人信息形成的統(tǒng)計(jì)數(shù)據(jù)、衍生數(shù)據(jù)有可能屬于重要數(shù)據(jù)”這樣模棱兩可的界定，而《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》(以下簡(jiǎn)稱《評(píng)估指南》)將個(gè)人金融數(shù)據(jù)統(tǒng)歸入重要數(shù)據(jù)之列卻又矯枉過(guò)正。

綜上，雖然金融企業(yè)作為金融數(shù)據(jù)跨境的主體理應(yīng)受到重視，但在規(guī)制金融數(shù)據(jù)跨境時(shí)仍應(yīng)注意出境客體和出境主體間應(yīng)有的層次，在客體界定層面就引入金融企業(yè)無(wú)疑是一種關(guān)系的錯(cuò)位，進(jìn)而導(dǎo)致數(shù)據(jù)本位的缺失，結(jié)果就是出境行為規(guī)制有趨于“本地化”之嫌。這不僅在立法層面就直接因禁止性規(guī)定有余而因勢(shì)利導(dǎo)不足，導(dǎo)致對(duì)金融企業(yè)的激勵(lì)不相容，不利于我國(guó)的金融數(shù)字化轉(zhuǎn)型和金融開(kāi)放；更可能因過(guò)重的合規(guī)負(fù)擔(dān)迫使金融企業(yè)將金融數(shù)據(jù)的違規(guī)出境作為一種必要的經(jīng)營(yíng)成本而采取理性違法策略，使得相關(guān)規(guī)定形同虛設(shè)。在出境行為和責(zé)任承擔(dān)之間，公權(quán)力的過(guò)度提前介入，目的固然在于把好安全關(guān)，但也會(huì)因?yàn)榍鍐问降膶彶榉绞?、試錯(cuò)空間的提供，而使金融企業(yè)的數(shù)據(jù)出境過(guò)度依賴于官方的評(píng)估結(jié)果，降低合規(guī)的自主性、全面性和靈活性，最終事與愿違。良性的合規(guī)市場(chǎng)無(wú)從培育和發(fā)展，政府行政負(fù)擔(dān)和企業(yè)合規(guī)負(fù)擔(dān)亦同步增長(zhǎng)。究其根本，正在于金融數(shù)據(jù)控制者層面的整體安全不當(dāng)壓制金融數(shù)據(jù)出境層面的個(gè)別自由，造成了所謂的利益失衡。

(三) 利益再平衡：立足數(shù)據(jù)本位的企業(yè)合規(guī)中心視角

錯(cuò)誤的金融企業(yè)本位立場(chǎng)造成了我國(guó)金融數(shù)據(jù)跨境流動(dòng)立法中的利益失衡，而在數(shù)據(jù)本位立場(chǎng)下回歸企業(yè)合規(guī)中心視角則是實(shí)現(xiàn)利益再平衡的不二法門(mén)。即遵循從“傳輸什么”到“誰(shuí)來(lái)傳輸”再到“如何傳輸”的邏輯順序，在以數(shù)據(jù)本位為指導(dǎo)建立數(shù)據(jù)分類分級(jí)的基礎(chǔ)上，以具有傳輸主體和合規(guī)主體雙重身份的金融企業(yè)為核心，為其匹配不同程度的金融數(shù)據(jù)跨境權(quán)利義務(wù)。

數(shù)據(jù)分類分級(jí)保護(hù)制度能夠促進(jìn)數(shù)據(jù)的充分利用、有序流動(dòng)和安全共享，是加強(qiáng)數(shù)據(jù)治理的前提與基礎(chǔ)，《數(shù)據(jù)安全法》第21條更是在法律層面上對(duì)此進(jìn)行了確認(rèn)。然而現(xiàn)實(shí)是，一方面金融領(lǐng)域的重要數(shù)據(jù)目錄抑或一般數(shù)據(jù)清單尚付闕如，且前者在實(shí)踐中存在泛化傾向，有違“法不禁止即自由”的基本法治原則；另一方面，在出境安全評(píng)估之外，非重要、非個(gè)人數(shù)據(jù)出境機(jī)制卻受到忽視，使得金融企業(yè)的數(shù)據(jù)跨境合規(guī)義務(wù)出現(xiàn)割裂斷層。盡管《證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引》《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》等推薦性標(biāo)準(zhǔn)對(duì)金融數(shù)據(jù)的分類分級(jí)提出了方案，但仍停留于“傳輸什么”的層面，既沒(méi)有正視金融企業(yè)差異化的合規(guī)建設(shè)水平和數(shù)據(jù)安保能力作出區(qū)別對(duì)待，也未與跨境直接掛鉤而提出金融企業(yè)針對(duì)不同級(jí)別的金融數(shù)據(jù)應(yīng)當(dāng)“如何傳輸”。因此，當(dāng)務(wù)之急便是在采取正面清單取并集與負(fù)面清單取交集相結(jié)合兩端逼近的動(dòng)態(tài)調(diào)整方式明定數(shù)據(jù)界限的前提下，思考針對(duì)不同類型級(jí)別的金融數(shù)據(jù)，如何為不同金融企業(yè)在認(rèn)證的基礎(chǔ)上提供有區(qū)別的數(shù)據(jù)出境權(quán)限和途徑，并匹配相應(yīng)的數(shù)據(jù)安保義務(wù)，以實(shí)現(xiàn)安全與自由之間的利益再平衡。退一步而言，若堅(jiān)持安全評(píng)估的必要性，則可考慮在其框架下結(jié)合金融企業(yè)認(rèn)證機(jī)制開(kāi)展區(qū)別性評(píng)估，對(duì)經(jīng)認(rèn)證合規(guī)體系健全有效、數(shù)據(jù)保護(hù)水平較高的金融企業(yè)簡(jiǎn)化評(píng)估條件、壓縮流程時(shí)限、增加評(píng)估有效期等，甚至允許以備案替代實(shí)質(zhì)審查，由此提高評(píng)估效率，將有限的規(guī)制資源集中于真正可能危及國(guó)家安全和公共利益的金融數(shù)據(jù)出境活動(dòng)，破解當(dāng)前過(guò)低的評(píng)估申請(qǐng)通過(guò)率對(duì)金融企業(yè)開(kāi)展國(guó)際業(yè)務(wù)的桎梏。

在方法論上，金融數(shù)據(jù)的跨境流動(dòng)規(guī)制是國(guó)家基于多重安全因素考量對(duì)金融企業(yè)經(jīng)營(yíng)活動(dòng)的干預(yù)，但由于包含國(guó)家安全、公共利益、私人權(quán)益在內(nèi)的安全因素本身所固有的原則性和模糊性，為防止公權(quán)力的恣意性，應(yīng)通過(guò)比例原則加以限制。GDPR就為了協(xié)調(diào)個(gè)人數(shù)據(jù)使用與其他同樣重要的基本權(quán)利，而強(qiáng)調(diào)要運(yùn)用比例原則加以平衡。比例原則在立法中的適用就是三個(gè)子原則循序漸進(jìn)的利益衡量過(guò)程，尤其需要注意金融數(shù)據(jù)跨境流動(dòng)規(guī)制中的利益層次。在利益衡量的適當(dāng)性原則層面，凸顯的是金融數(shù)據(jù)跨境流動(dòng)立法整體上的價(jià)值取向，彰顯其制度利益，具體體現(xiàn)為一種安全和自由在價(jià)值位階上的靜態(tài)權(quán)衡，而在開(kāi)展規(guī)制的語(yǔ)境前提下，安全價(jià)值的正當(dāng)性顯然已得到承認(rèn)。至于要根據(jù)“權(quán)衡法則”(the law of balancing)論證應(yīng)在多大程度上限制自由原則從而在多大程度上滿足安全原則，則屬于必要性原則和狹義比例原則的管轄范圍。此時(shí)靜態(tài)的價(jià)值位階比較顯然已失去作用，而應(yīng)深入到作為合規(guī)主體的金融企業(yè)而動(dòng)態(tài)考察其具體利益，因?yàn)檎w上的安全與自由價(jià)值最終落實(shí)到金融企業(yè)便表現(xiàn)為其合規(guī)成本與收益。額外出境限制的施加必要性唯有在金融數(shù)據(jù)本身屬性之外納入考量金融企業(yè)的數(shù)據(jù)保護(hù)現(xiàn)狀方得以真正確定，具體合規(guī)義務(wù)的賦予也需考慮金融企業(yè)的可操作性。故而，應(yīng)在保證金融企業(yè)切實(shí)可行的基礎(chǔ)上實(shí)現(xiàn)數(shù)據(jù)分類分級(jí)與金融企業(yè)分類分級(jí)的雙向匹配，在保證安全價(jià)值得到最大程度滿足而自由價(jià)值受到最小程度損害的前提下，使合規(guī)成本盡可能小于合規(guī)收益，從而激發(fā)金融企業(yè)在金融數(shù)據(jù)跨境中的合規(guī)積極性。

總之，金融企業(yè)合規(guī)在金融數(shù)據(jù)跨境流動(dòng)立法中不應(yīng)被簡(jiǎn)單地視為一種合規(guī)成本而歸入利益天平的一端，其恰恰是在這架安全與自由、成本與收益互為兩端的天平上左右移動(dòng)的游碼。立法者所需做的，就是在金融企業(yè)中心視角之下動(dòng)態(tài)地將合規(guī)這顆游碼撥到恰到好處的位置，既不至于因過(guò)度放縱自由而使金融企業(yè)無(wú)規(guī)要合進(jìn)而危及安全，也要為企業(yè)合規(guī)自治留下必要余地，不因過(guò)嚴(yán)監(jiān)管的對(duì)抗性立場(chǎng)而完全排除了協(xié)作性的新治理方式，而使企業(yè)合規(guī)在虛假的責(zé)任委托面紗下完全淪為外部“硬法”(hard law)的工具。

三、金融企業(yè)數(shù)據(jù)跨境合規(guī)：法治與自治良性互動(dòng)的規(guī)制體系

(一) 強(qiáng)制性合規(guī)義務(wù)：自治的法治化

在金融數(shù)據(jù)本地化必要性日益喪失的背景之下，政府一味加強(qiáng)對(duì)金融數(shù)據(jù)跨境的管制，往往會(huì)取得適得其反的效果。正確的出路，則是在前述以金融數(shù)據(jù)分類分級(jí)為基礎(chǔ)的利益再平衡過(guò)程中，充分發(fā)揮金融企業(yè)合規(guī)效能，實(shí)現(xiàn)其“自我監(jiān)管”(self-policing)乃至“自我規(guī)制”(self-regulation)。這也正體現(xiàn)出金融企業(yè)數(shù)據(jù)跨境合規(guī)的核心含義：金融企業(yè)通過(guò)完整內(nèi)部治理體系的建立來(lái)實(shí)現(xiàn)對(duì)金融數(shù)據(jù)跨境合規(guī)風(fēng)險(xiǎn)的有效防范、識(shí)別和應(yīng)對(duì)。

金融企業(yè)的數(shù)據(jù)跨境合規(guī)是法治下的自治，在法律要求之外彰顯著獨(dú)特價(jià)值。且不論本就崇尚金融數(shù)據(jù)自由流動(dòng)的美國(guó)模式，采取了以“問(wèn)責(zé)制”(accountability)為基礎(chǔ)的“組織機(jī)構(gòu)基準(zhǔn)”(organizationally based)，強(qiáng)調(diào)通過(guò)行業(yè)和企業(yè)的自律來(lái)實(shí)現(xiàn)數(shù)據(jù)保護(hù)要求；即便是強(qiáng)調(diào)充分性保護(hù)的歐盟，在其GDPR中也將“拘束性公司規(guī)則”(binding corporate rules)作為提供適當(dāng)安全保障的方式之一，使得金融企業(yè)能夠通過(guò)制定適合自身特殊需求的行為準(zhǔn)則來(lái)實(shí)現(xiàn)更為靈活的個(gè)人金融數(shù)據(jù)跨境。在我國(guó)，針對(duì)金融重要數(shù)據(jù)跨境的安全評(píng)估機(jī)制可謂是政府強(qiáng)力控制的典型，但從《評(píng)估辦法》的“自評(píng)估”要求中卻仍可覓見(jiàn)自治的意涵。

金融企業(yè)之所以愿意進(jìn)行數(shù)據(jù)跨境合規(guī)，遠(yuǎn)非社會(huì)責(zé)任的承擔(dān)可簡(jiǎn)單解釋，而是更多地為合規(guī)背后所固有的一套內(nèi)在激勵(lì)機(jī)制所驅(qū)動(dòng)。雖然社會(huì)責(zé)任的承擔(dān)被視為企業(yè)合規(guī)的核心價(jià)值，但是以利益為根本動(dòng)力的經(jīng)濟(jì)行為通常是與道德倫理無(wú)涉的。從正面來(lái)說(shuō)，金融企業(yè)作為一個(gè)理性的“經(jīng)濟(jì)人”，為了以適當(dāng)?shù)某杀緦?shí)現(xiàn)最優(yōu)合規(guī)，勢(shì)必會(huì)衡量?jī)?nèi)部監(jiān)督的實(shí)施成本與預(yù)期收益，呈現(xiàn)出典型的“市場(chǎng)驅(qū)動(dòng)”特征。從反面來(lái)說(shuō)，當(dāng)前我國(guó)正在逐步完善金融數(shù)據(jù)保護(hù)機(jī)制，一旦違規(guī)跨境傳輸金融數(shù)據(jù)，金融企業(yè)不僅將承擔(dān)相應(yīng)的民事責(zé)任和行政處罰，甚至受到刑事追究，因此為避免上述違規(guī)風(fēng)險(xiǎn)，金融企業(yè)具有建立有效金融數(shù)據(jù)跨境合規(guī)體系的強(qiáng)大動(dòng)力，以有限的合規(guī)成本置換高昂的違規(guī)成本。

更為重要的是，在數(shù)據(jù)互聯(lián)的經(jīng)濟(jì)全球化背景之下，金融企業(yè)的數(shù)據(jù)跨境合規(guī)具有境內(nèi)和境外雙重面向。截至2021年底，全球194個(gè)國(guó)家中有137個(gè)進(jìn)行了數(shù)據(jù)和隱私保護(hù)立法，其中大部分均包含數(shù)據(jù)跨境規(guī)則，但理念立場(chǎng)與具體規(guī)則各異。如此復(fù)雜的外部法律環(huán)境使我國(guó)金融企業(yè)面臨多樣化的境外合規(guī)場(chǎng)景：其一，在“走出去”過(guò)程中，金融企業(yè)勢(shì)必基于屬地原則受到東道國(guó)金融數(shù)據(jù)跨境規(guī)則的管轄。其二，即便是境內(nèi)的金融企業(yè)，也會(huì)因國(guó)內(nèi)法間接的域外效力而必須將域外數(shù)據(jù)保護(hù)規(guī)則納入合規(guī)考慮，典例如《個(gè)人信息保護(hù)法》對(duì)境內(nèi)個(gè)人信息處理者提出的境外接收方同等保護(hù)標(biāo)準(zhǔn)保障要求。其三，當(dāng)前各國(guó)數(shù)據(jù)立法管轄權(quán)擴(kuò)張的普遍趨勢(shì)給我國(guó)金融企業(yè)帶來(lái)了境外合規(guī)新考驗(yàn)，歐盟GDPR的“設(shè)立機(jī)構(gòu)”標(biāo)準(zhǔn)和“目標(biāo)導(dǎo)向”標(biāo)準(zhǔn)、美國(guó)“云法案”(CLOUD Act)的“數(shù)據(jù)控制者”標(biāo)準(zhǔn)等均從傳統(tǒng)的屬地和屬人管轄延伸出了新的域外管轄連接點(diǎn)。可以說(shuō)，金融企業(yè)不僅面臨“走出去”和“引進(jìn)來(lái)”的雙向合規(guī)風(fēng)險(xiǎn)，更面臨著外部管轄規(guī)范意義上的多向合規(guī)挑戰(zhàn)。盡管各國(guó)管轄和規(guī)則上的沖突固非金融企業(yè)能夠解決，但正所謂“授人以魚(yú)不如授人以漁”才能夠“以不變應(yīng)萬(wàn)變”，成熟有效的金融數(shù)據(jù)跨境合規(guī)體系至少可以助其規(guī)避對(duì)其不利的連接點(diǎn)，提早識(shí)別合規(guī)風(fēng)險(xiǎn)，防止落入不同法域夾擊下的合規(guī)困境。

強(qiáng)制性合規(guī)義務(wù)的賦予，則正實(shí)現(xiàn)了自治的法治化。當(dāng)前，我國(guó)金融企業(yè)數(shù)據(jù)保護(hù)意識(shí)仍較欠缺，金融數(shù)據(jù)安全事件時(shí)有發(fā)生，僅金融監(jiān)管總局2023年開(kāi)出的涉及信息保護(hù)、數(shù)據(jù)治理、信息系統(tǒng)的罰單就有近40張。金融數(shù)據(jù)跨境這一新興領(lǐng)域的合規(guī)意識(shí)和合規(guī)措施更是遑論完備。其背后的原因是，企業(yè)合規(guī)最初產(chǎn)生的目的本就在于通過(guò)自我監(jiān)管防止政府過(guò)度干預(yù)，帶有明顯的“去監(jiān)管”(deregulation)色彩，而金融企業(yè)作為具有強(qiáng)烈營(yíng)利性的有限理性主體，在合規(guī)機(jī)制內(nèi)在激勵(lì)不足的情況下，就會(huì)缺乏金融數(shù)據(jù)跨境合規(guī)的動(dòng)力，而完全轉(zhuǎn)向逃避監(jiān)管。因此，在通過(guò)內(nèi)在機(jī)制激勵(lì)金融企業(yè)合規(guī)的同時(shí)，以“行政主導(dǎo)”的方式賦予金融企業(yè)強(qiáng)制性合規(guī)義務(wù)，無(wú)疑對(duì)于督促其“從無(wú)到有”地建立起基本的金融數(shù)據(jù)跨境合規(guī)體系具有不可替代的積極意義。國(guó)外調(diào)查結(jié)果也顯示，對(duì)于營(yíng)利性機(jī)構(gòu)來(lái)說(shuō)，其不可能投資于成本高昂但收益不明確的自愿性合規(guī)計(jì)劃，但有可能將有限的資源用于強(qiáng)制性合規(guī)計(jì)劃。某種意義上，強(qiáng)制合規(guī)義務(wù)輔以相應(yīng)的法律責(zé)任，也為金融企業(yè)創(chuàng)設(shè)了一種基于避免懲罰考慮的外部激勵(lì)機(jī)制，從而以法治化的方式確保合規(guī)計(jì)劃的有效實(shí)施。

我國(guó)已初步建立起了強(qiáng)制性的金融企業(yè)數(shù)據(jù)跨境合規(guī)體系。首先，從行業(yè)領(lǐng)域?qū)ｍ?xiàng)合規(guī)看，我國(guó)對(duì)強(qiáng)制合規(guī)的推行便始于具有高風(fēng)險(xiǎn)特點(diǎn)和嚴(yán)監(jiān)管傳統(tǒng)的金融行業(yè)，并逐步通過(guò)銀行、保險(xiǎn)、證券等各金融專門(mén)領(lǐng)域合規(guī)管理指引(辦法)的頒布，基本構(gòu)建起了金融業(yè)的合規(guī)管理制度體系。其次，從風(fēng)險(xiǎn)事項(xiàng)專項(xiàng)合規(guī)看，數(shù)字經(jīng)濟(jì)時(shí)代數(shù)據(jù)安全問(wèn)題日益突出，數(shù)據(jù)合規(guī)越來(lái)越受到重視?！毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》均在專章中規(guī)定了企業(yè)獨(dú)立的數(shù)據(jù)合規(guī)義務(wù)，標(biāo)志著數(shù)據(jù)領(lǐng)域強(qiáng)制合規(guī)制度的建立。同時(shí)，針對(duì)上述兩者的交叉領(lǐng)域，即金融業(yè)的數(shù)據(jù)合規(guī)，原銀保監(jiān)會(huì)還發(fā)布了針對(duì)數(shù)據(jù)治理的專門(mén)指引，明令銀行業(yè)金融機(jī)構(gòu)在公司治理中建立起自上而下、協(xié)調(diào)一致的數(shù)據(jù)治理體系?！缎谭ㄐ拚?九)》新增的“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”對(duì)于金融企業(yè)的合規(guī)內(nèi)控，更是在行政主導(dǎo)之外增添了強(qiáng)烈的刑事威懾。無(wú)論是直接提供金融服務(wù)的金融機(jī)構(gòu)，抑或在金融數(shù)據(jù)跨境過(guò)程中提供接入、計(jì)算、存儲(chǔ)、傳輸?shù)确?wù)的金融科技公司，都是適格該罪的“網(wǎng)絡(luò)服務(wù)提供者”；金融企業(yè)的金融數(shù)據(jù)跨境合規(guī)義務(wù)從解釋上亦可歸入一般“信息網(wǎng)絡(luò)安全管理義務(wù)”之列；而無(wú)論是個(gè)人金融數(shù)據(jù)違規(guī)出境致使金融消費(fèi)者信息泄露造成嚴(yán)重后果，還是非個(gè)人金融數(shù)據(jù)違規(guī)出境產(chǎn)生危害國(guó)家安全、擾亂金融秩序等嚴(yán)重情節(jié)，均滿足實(shí)害結(jié)果要件?；谛姓x務(wù)與刑事義務(wù)的內(nèi)在關(guān)聯(lián)性，風(fēng)險(xiǎn)刑法觀之下的強(qiáng)制性數(shù)據(jù)刑事合規(guī)義務(wù)由此得以確立，金融企業(yè)的金融數(shù)據(jù)違規(guī)出境行為可能同時(shí)觸犯該罪與其他具體罪名，雖一事不二罰，但至少在數(shù)據(jù)流動(dòng)基礎(chǔ)上謀求數(shù)據(jù)安全的刑事法網(wǎng)得以周密。然而，這一受到行刑多方重視的體系當(dāng)前仍存在兩個(gè)主要問(wèn)題：一是面對(duì)金融數(shù)據(jù)控制者范圍的擴(kuò)張，尚欠缺針對(duì)所有金融企業(yè)普遍適用的數(shù)據(jù)合規(guī)指引；二是隨著金融數(shù)據(jù)跨境合規(guī)標(biāo)準(zhǔn)逐步提高、執(zhí)法司法機(jī)制日益嚴(yán)格，還未就金融數(shù)據(jù)跨境專門(mén)發(fā)布強(qiáng)制性專項(xiàng)合規(guī)要求和指引。金融企業(yè)的金融數(shù)據(jù)跨境合規(guī)法治化、精細(xì)化程度仍有待進(jìn)一步提升。

(二) 預(yù)防性規(guī)制：立基全周期保護(hù)義務(wù)的全流程合規(guī)體系

金融企業(yè)的數(shù)據(jù)跨境合規(guī)，是一種針對(duì)金融數(shù)據(jù)跨境風(fēng)險(xiǎn)的預(yù)防性規(guī)制手段。其背后的理論依據(jù)在于風(fēng)險(xiǎn)預(yù)防性原則，即身處風(fēng)險(xiǎn)社會(huì)必須堅(jiān)持防患于未然，采取預(yù)防措施以避免風(fēng)險(xiǎn)的實(shí)害化。且相較于同樣旨在預(yù)防風(fēng)險(xiǎn)的事前評(píng)估等外部強(qiáng)制措施，自內(nèi)向外的合規(guī)在效率性、靈活性、持續(xù)性等方面更具優(yōu)勢(shì)。

與預(yù)防性規(guī)制相對(duì)應(yīng)的是事后懲罰性規(guī)制，強(qiáng)調(diào)以禁止和懲罰法益侵害行為為手段實(shí)現(xiàn)法益保護(hù)之目的。金融數(shù)據(jù)跨境領(lǐng)域本身并不缺乏事后懲罰性規(guī)制：在公益保護(hù)方面，《國(guó)家安全法》第25條要求實(shí)現(xiàn)重要領(lǐng)域數(shù)據(jù)的安全可控，因金融數(shù)據(jù)跨境危害國(guó)家安全、公共安全的行為，不僅將面臨行政處罰，還可能觸犯《刑法》相關(guān)罪名；而針對(duì)私益保護(hù)，一旦涉及侵犯隱私、商業(yè)秘密等合法權(quán)益，更需要承擔(dān)民事侵權(quán)責(zé)任。即便如此，在金融數(shù)據(jù)跨境中仍要堅(jiān)持風(fēng)險(xiǎn)預(yù)防原則，是因?yàn)槭潞髴土P性規(guī)制往往在相關(guān)法益受到侵害后才會(huì)介入，因而在該領(lǐng)域具有極強(qiáng)的不適用性：一方面，金融數(shù)字化背景下金融行業(yè)的數(shù)字親和性獲得飛躍式發(fā)展，金融企業(yè)在不同場(chǎng)景下廣泛吸收和產(chǎn)生了大量來(lái)源眾多、結(jié)構(gòu)復(fù)雜的各類金融數(shù)據(jù)，加之金融數(shù)據(jù)天然的敏感性，使得其在跨境過(guò)程中具有極大的風(fēng)險(xiǎn)不確定性。如果一律采用事后懲罰的方式進(jìn)行規(guī)制，極易發(fā)生難以事后補(bǔ)救的嚴(yán)重后果。另一方面，跨境這一因素的疊加更是阻礙了此種事后規(guī)制手段的有效實(shí)施。事后規(guī)制啟動(dòng)的前提是發(fā)生實(shí)害結(jié)果(或至少產(chǎn)生危險(xiǎn))，而金融數(shù)據(jù)跨境場(chǎng)景中境外主體的危害行為和損害結(jié)果大多發(fā)生于境外。雖然針對(duì)侵犯我國(guó)國(guó)家安全、公共利益或者私人合法權(quán)益的行為，《網(wǎng)絡(luò)安全法》第75條、《數(shù)據(jù)安全法》第2條、《個(gè)人信息保護(hù)法》第42條等以及《刑法》第8條等均出于拓寬域外管轄范圍、強(qiáng)化數(shù)據(jù)主權(quán)的考慮而確立了保護(hù)管轄原則，但即便取得管轄，之后的域外調(diào)查取證、執(zhí)行等依然道阻且長(zhǎng)，在尋求民事救濟(jì)時(shí)還會(huì)涉及國(guó)際私法中的管轄法院確定、法律適用等難題，維權(quán)成本高、獲得救濟(jì)難。綜上，事后懲罰性規(guī)制只宜作為金融數(shù)據(jù)跨境規(guī)制的“退路”，而以合規(guī)為代表的預(yù)防性規(guī)制，才能有效降低金融企業(yè)違規(guī)數(shù)據(jù)出境行為所帶來(lái)的凈社會(huì)成本。有效的內(nèi)部合規(guī)體系輔之以持續(xù)性的事中監(jiān)督和精準(zhǔn)化、嚴(yán)格化的事后問(wèn)責(zé)，便可充分稀釋事前限制金融數(shù)據(jù)跨境自由流動(dòng)的必要性。

金融企業(yè)通過(guò)合規(guī)來(lái)預(yù)防金融數(shù)據(jù)跨境風(fēng)險(xiǎn)，固然應(yīng)主要著眼于跨境階段，但更為重要的是樹(shù)立風(fēng)險(xiǎn)預(yù)防全局觀，建立全流程金融數(shù)據(jù)合規(guī)體系。所謂全流程，是指金融企業(yè)的金融數(shù)據(jù)保護(hù)合規(guī)，要貫徹到數(shù)據(jù)業(yè)務(wù)的全線程，實(shí)現(xiàn)對(duì)數(shù)據(jù)生命周期的全覆蓋。對(duì)此，GDPR在其第25條確立了“設(shè)計(jì)和默認(rèn)的數(shù)據(jù)保護(hù)”(data protection by design and by default)原則，主張?jiān)诋a(chǎn)品或服務(wù)設(shè)計(jì)之始就將個(gè)人數(shù)據(jù)保護(hù)嵌入其中，旨在借此將隱私保護(hù)納入各種處理個(gè)人數(shù)據(jù)的技術(shù)和應(yīng)用程序的完整生命周期之中；我國(guó)《數(shù)據(jù)安全法》第27條也強(qiáng)調(diào)“建立健全全流程數(shù)據(jù)安全管理制度”。雖然金融數(shù)據(jù)的跨境流動(dòng)主要涉及傳輸和提供，但是金融數(shù)據(jù)本身固有之生命周期鏈條上的每一步都環(huán)環(huán)相扣而不能孤立看待：一方面，各個(gè)環(huán)節(jié)之間具有風(fēng)險(xiǎn)傳導(dǎo)和放大效應(yīng)，例如金融數(shù)據(jù)收集環(huán)節(jié)作為生命周期的“源頭”，一旦收集行為違規(guī)，之后的每一環(huán)節(jié)無(wú)論多么合規(guī)都無(wú)法洗滌違規(guī)的“原罪”，且隨著流程的推進(jìn)，數(shù)量的匯集疊加跨境因素，更會(huì)放大先前環(huán)節(jié)違規(guī)行為的風(fēng)險(xiǎn)性；另一方面，金融數(shù)據(jù)具有廣泛的出境可能性，非以跨境傳輸與訪問(wèn)為直接目的的處理活動(dòng)同樣包含著潛在的間接出境風(fēng)險(xiǎn)。

企業(yè)合規(guī)的原意就是“遵循”，全流程金融數(shù)據(jù)合規(guī)體系的建立離不開(kāi)全周期金融數(shù)據(jù)保護(hù)義務(wù)的賦予。在合規(guī)計(jì)劃中居于核心地位的合規(guī)政策，本質(zhì)上就是外部行為義務(wù)的內(nèi)部化。因此，只有賦予金融企業(yè)涵蓋金融數(shù)據(jù)出境“事前-事中-事后”的全周期保護(hù)義務(wù)，金融企業(yè)建立全流程金融數(shù)據(jù)合規(guī)體系才有規(guī)可依、有的放矢，從而使合規(guī)自治有了法治保障。目前，基于數(shù)據(jù)本身的物理屬性以及數(shù)據(jù)主體和處理者在控制力上的現(xiàn)實(shí)差距，我國(guó)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》及其配套規(guī)范立足“行為主義”已從整體上針對(duì)金融企業(yè)等數(shù)據(jù)處理者作出了覆蓋數(shù)據(jù)生命周期的行為規(guī)范安排。同時(shí)，針對(duì)金融數(shù)據(jù)這類特殊數(shù)據(jù)，中國(guó)人民銀行還發(fā)布了《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》，明確規(guī)定了金融數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、刪除等各階段的處理要求，用以指導(dǎo)金融機(jī)構(gòu)建立完善的金融數(shù)據(jù)生命周期防護(hù)機(jī)制。當(dāng)然，出境等數(shù)據(jù)生命周期各環(huán)節(jié)的具體保護(hù)要求，應(yīng)以金融數(shù)據(jù)的分類分級(jí)為基本依據(jù)并結(jié)合金融企業(yè)能力現(xiàn)狀進(jìn)行細(xì)化明確，既要未雨綢繆也要防止過(guò)猶不及。其中，個(gè)人金融數(shù)據(jù)以可識(shí)別性和去識(shí)別化、敏感性與脫敏為核心，而非個(gè)人金融數(shù)據(jù)則以其他保護(hù)法益的確認(rèn)和危害程度的判斷為要點(diǎn)。

(三) 框架性規(guī)制：“規(guī)制-自我規(guī)制-元規(guī)制”的三環(huán)互動(dòng)

全周期金融數(shù)據(jù)保護(hù)義務(wù)之下的金融企業(yè)數(shù)據(jù)跨境合規(guī)，仍停留在自我監(jiān)管的階段，屬于金融企業(yè)對(duì)外部性公權(quán)規(guī)制的落實(shí)。此種“命令與控制型規(guī)制”(command and control regulation)之下相對(duì)被動(dòng)的合規(guī)尚不能滿足金融數(shù)據(jù)跨境的規(guī)制要求：首先，由于我國(guó)金融數(shù)據(jù)跨境規(guī)制起步較晚，在立法現(xiàn)狀上表現(xiàn)為因缺少頂層設(shè)計(jì)系統(tǒng)而較為零散，尤其是在出境安全評(píng)估重要數(shù)據(jù)范圍不明確、缺乏執(zhí)行細(xì)則的情況下，針對(duì)不同類別層級(jí)金融數(shù)據(jù)的出境要求尚未明晰，無(wú)法為金融企業(yè)直接提供明確的合規(guī)指引；其次，立法者等外部規(guī)制主體因其有限理性，面對(duì)金融數(shù)據(jù)數(shù)量的爆炸式增長(zhǎng)和處理風(fēng)險(xiǎn)的不斷加劇，規(guī)制手段存在滯后性實(shí)屬必然。因故，加強(qiáng)金融企業(yè)的自我規(guī)制，是完善我國(guó)金融數(shù)據(jù)跨境規(guī)制體系的必由之路。

所謂金融企業(yè)的自我規(guī)制，強(qiáng)調(diào)在外部公權(quán)規(guī)制缺位的情況下，將命令和結(jié)果強(qiáng)加于自身。在自我規(guī)制過(guò)程中，金融企業(yè)既是自我的立法者，也是自我的監(jiān)督執(zhí)行者，在違規(guī)時(shí)還是自我的裁判者，從而實(shí)現(xiàn)了規(guī)制主體和規(guī)制對(duì)象雙重身份的合一。在金融數(shù)據(jù)跨境流動(dòng)中，金融企業(yè)的自我規(guī)制具有如下優(yōu)勢(shì)：第一，面對(duì)多場(chǎng)景的金融數(shù)據(jù)跨境，金融企業(yè)能夠根據(jù)自身特殊需求，利用專業(yè)經(jīng)驗(yàn)克服傳統(tǒng)外部公權(quán)規(guī)制的失靈，從而實(shí)現(xiàn)更具彈性與效率的動(dòng)態(tài)規(guī)制；第二，金融企業(yè)更強(qiáng)的自主性往往伴隨著更高的服從性，從而在提高其主體責(zé)任感的同時(shí)更好實(shí)現(xiàn)金融數(shù)據(jù)跨境的規(guī)制目標(biāo)；第三，在國(guó)家公共資源緊張的當(dāng)下，金融企業(yè)的自我規(guī)制可以有效降低規(guī)制成本，減輕監(jiān)管部門(mén)的行政負(fù)擔(dān)。然而，自我規(guī)制也并非完美，其在透明度、可靠性、問(wèn)責(zé)性等方面均面臨質(zhì)疑，甚至可能犧牲公共利益而滿足私人利益而被認(rèn)為具有低公共性。因此，在自我規(guī)制和公權(quán)規(guī)制之間并不存在明確的二分法，而是存在一個(gè)連續(xù)統(tǒng)一體，純粹的自我規(guī)制同純粹的公權(quán)規(guī)制一樣都是不存在的。兩者并非相互替代之對(duì)立關(guān)系，而應(yīng)交融互補(bǔ)。基于金融企業(yè)合規(guī)法治與自治的雙重視野，更為重要的是建立起“規(guī)制-自我規(guī)制-元規(guī)制”“三環(huán)”(triple loop)互動(dòng)的規(guī)制框架。

首先，在金融企業(yè)自我規(guī)制的前端，必要的公權(quán)規(guī)制不可或缺。但是此種公權(quán)規(guī)制不應(yīng)是傳統(tǒng)上大包大攬、事無(wú)巨細(xì)的介入干預(yù)，而應(yīng)表現(xiàn)為一種重在設(shè)定原則目標(biāo)的框架性規(guī)制，唯有如此才能適應(yīng)既發(fā)揮自我規(guī)制的專業(yè)性和靈活性，又強(qiáng)調(diào)并用公權(quán)規(guī)制的基本趨勢(shì)。誠(chéng)然，不能否認(rèn)“宜細(xì)不宜粗”的金融數(shù)據(jù)跨境立法是提高安全效力的有力保障，也符合從粗放到精細(xì)的現(xiàn)代立法趨勢(shì)，在全周期金融數(shù)據(jù)保護(hù)義務(wù)的基礎(chǔ)之上，根據(jù)金融數(shù)據(jù)分類分級(jí)為不同金融企業(yè)設(shè)定差異化的出境權(quán)利義務(wù)本就體現(xiàn)了此種理念。然而，面對(duì)金融數(shù)據(jù)跨境本身處于快速發(fā)展的動(dòng)態(tài)過(guò)程之中，為實(shí)現(xiàn)既確保法律到位以防社會(huì)失范，又能夠?yàn)樾卢F(xiàn)象的發(fā)展留有余地，先行根據(jù)規(guī)制目標(biāo)搭建框架性秩序的粗放型立法，以為金融企業(yè)的金融數(shù)據(jù)跨境自我規(guī)制的提供原則性指導(dǎo)，再逐步實(shí)現(xiàn)精細(xì)化立法，則是緩解當(dāng)前規(guī)制落后與出境需求旺盛之間矛盾更為現(xiàn)實(shí)和有效的路徑。在與金融數(shù)據(jù)跨境相關(guān)的國(guó)際規(guī)則中，《亞太經(jīng)合組織隱私框架》(APEC Privacy Framework，以下簡(jiǎn)稱《隱私框架》)就是一個(gè)由一系列信息隱私原則構(gòu)筑而成的保護(hù)框架，這固然有因其屬于推薦性指南而有待各國(guó)國(guó)內(nèi)法進(jìn)一步細(xì)化之考量，但根本上還是因?yàn)槠浔旧砭筒扇×艘云髽I(yè)為中心的“數(shù)據(jù)控制者擔(dān)保模式”，因而只需以原則形式為企業(yè)的自我規(guī)制提供目標(biāo)導(dǎo)向。我國(guó)《個(gè)人信息保護(hù)法》除了用“個(gè)人信息跨境提供的規(guī)則”這一專章為金融企業(yè)的個(gè)人金融數(shù)據(jù)跨境提供了明確的具體行為標(biāo)準(zhǔn)，其第一章“總則”中更是以6個(gè)條文規(guī)定了合法、正當(dāng)、必要、誠(chéng)信、目的限制、公開(kāi)透明、質(zhì)量、安全等8項(xiàng)基本原則，在確立個(gè)人信息保護(hù)框架的同時(shí)，有助于在具體規(guī)則闕如時(shí)為金融企業(yè)如何實(shí)現(xiàn)個(gè)人金融數(shù)據(jù)跨境提供補(bǔ)充解釋。此外，盡管各國(guó)具體規(guī)則各異，金融數(shù)據(jù)保護(hù)的基本原則卻有最大公約數(shù)可取，據(jù)此建立的合規(guī)框架可在金融企業(yè)因應(yīng)數(shù)據(jù)跨境多向合規(guī)過(guò)程中兼具通用性與應(yīng)變性。

其次，在金融企業(yè)自我規(guī)制的后端，需要加強(qiáng)“元規(guī)制”(meta-regulation)。所謂元規(guī)制，也被稱為后設(shè)規(guī)制，簡(jiǎn)言之就是“對(duì)自我規(guī)制的規(guī)制”(the regulation of self-regulation)，即外部規(guī)制者在誘導(dǎo)規(guī)制對(duì)象針對(duì)公共問(wèn)題發(fā)展內(nèi)部自我規(guī)制的同時(shí)，通過(guò)各種激勵(lì)和懲罰手段來(lái)對(duì)自我規(guī)制進(jìn)行必要的干預(yù)以避免市場(chǎng)失靈。因此，元規(guī)制本質(zhì)上可以視為是一種具有回應(yīng)性(responsive)的“強(qiáng)制型自我規(guī)制”(enforced self-regulation)。在此，國(guó)家的角色轉(zhuǎn)向承擔(dān)一種“小而美”的擔(dān)保責(zé)任，在將部分金融數(shù)據(jù)跨境規(guī)制的公共職能轉(zhuǎn)由金融企業(yè)履行的情況下，通過(guò)事后的評(píng)估和管制措施擔(dān)保其行為最終符合公共福祉。歐盟的GDPR就切實(shí)反映了此種元規(guī)制模式，第5條在規(guī)定了“個(gè)人數(shù)據(jù)處理原則”的基礎(chǔ)上要求數(shù)據(jù)控制者采取保護(hù)個(gè)人數(shù)據(jù)安全之合理技術(shù)手段和組織措施，一定程度上賦予了數(shù)據(jù)控制者自我規(guī)制的自由裁量權(quán)，但其中的透明性原則和可問(wèn)責(zé)性原則顯然又為傳統(tǒng)命令與控制型規(guī)制中外部壓力的介入留下了必要通道。根據(jù)我國(guó)《個(gè)人信息保護(hù)法》第七章規(guī)定，金融企業(yè)若在個(gè)人金融數(shù)據(jù)出境過(guò)程中雖未違反第三章關(guān)于個(gè)人信息跨境提供的具體規(guī)則，但違反了總則所規(guī)定之原則，仍有可能承擔(dān)相應(yīng)的法律責(zé)任。因此，一方面，金融企業(yè)要充分發(fā)揮自主性和能動(dòng)性開(kāi)展框架性原則之下的金融數(shù)據(jù)跨境合規(guī)并進(jìn)行充分的自我評(píng)估；另一方面，國(guó)家機(jī)關(guān)在對(duì)金融企業(yè)自我規(guī)制進(jìn)行規(guī)制時(shí)，既要確保相關(guān)原則配套問(wèn)責(zé)機(jī)制的實(shí)現(xiàn)，也要在限縮性解釋的基礎(chǔ)上“禁止向一般條款逃逸”，以免過(guò)度加重金融企業(yè)合規(guī)負(fù)擔(dān)。由此才能在政府與金融企業(yè)的協(xié)同治理之下以期達(dá)成最佳的監(jiān)管效能，實(shí)現(xiàn)“規(guī)制-自我規(guī)制-元規(guī)制”三環(huán)框架性規(guī)制之下法治與自治的良性互動(dòng)。

圖1 金融企業(yè)數(shù)據(jù)跨境合規(guī)治理體系

綜上，在框架性的規(guī)制目標(biāo)之下，從建立全流程金融數(shù)據(jù)合規(guī)體系的強(qiáng)制性合規(guī)義務(wù)，到外部處理規(guī)則和內(nèi)部自我規(guī)制協(xié)調(diào)互補(bǔ)形成全周期金融數(shù)據(jù)保護(hù)義務(wù)，最后由事后問(wèn)責(zé)機(jī)制提供懲罰救濟(jì)和激勵(lì)保障，一個(gè)以金融企業(yè)數(shù)據(jù)跨境合規(guī)為出發(fā)點(diǎn)和主抓手，貫穿“事前-事中-事后”呈現(xiàn)完整金字塔結(jié)構(gòu)的金融數(shù)據(jù)保護(hù)規(guī)制體系得以成功構(gòu)建(見(jiàn)圖1)。當(dāng)然，前一部分中討論的金融數(shù)據(jù)與金融企業(yè)分類分級(jí)的雙向匹配認(rèn)證是該規(guī)制體系構(gòu)建的前提基礎(chǔ)，決定了體系內(nèi)部的權(quán)限范圍與義務(wù)強(qiáng)度。

四、金融數(shù)據(jù)跨境行政監(jiān)管：統(tǒng)一主體基礎(chǔ)上的創(chuàng)新與激勵(lì)

(一) 統(tǒng)一監(jiān)管主體：多頭監(jiān)管現(xiàn)實(shí)困境的出路

“連接良好的法律與自覺(jué)守法之間的通道是完整通暢的執(zhí)法與監(jiān)管?！币环矫娼鹑跀?shù)據(jù)跨境流動(dòng)立法需要行政監(jiān)管部門(mén)進(jìn)行細(xì)化執(zhí)行，另一方面金融企業(yè)的合規(guī)自治也需要行政監(jiān)管部門(mén)加以監(jiān)督管理。基于我國(guó)《數(shù)據(jù)安全法》第6條所確立的“網(wǎng)信部門(mén)統(tǒng)籌監(jiān)管+各行業(yè)主管部門(mén)分業(yè)監(jiān)管”模式，當(dāng)前金融企業(yè)的金融數(shù)據(jù)跨境流動(dòng)面臨多頭監(jiān)管的局面。由于統(tǒng)一監(jiān)管機(jī)構(gòu)的缺乏，網(wǎng)信部門(mén)和金融部門(mén)的監(jiān)管細(xì)則不一致、執(zhí)法標(biāo)準(zhǔn)各異，既存在重復(fù)監(jiān)管，又易形成監(jiān)管空隙，加劇了金融企業(yè)在金融數(shù)據(jù)跨境流動(dòng)中的合規(guī)不確定性，進(jìn)而加重其合規(guī)負(fù)擔(dān)。

網(wǎng)信部門(mén)針對(duì)金融數(shù)據(jù)跨境流動(dòng)，總體上呈現(xiàn)出“以本地化為原則、以安全評(píng)估出境為例外”的規(guī)制思路。作為《網(wǎng)絡(luò)安全法》數(shù)據(jù)跨境安全評(píng)估機(jī)制的執(zhí)行細(xì)則，國(guó)家網(wǎng)信辦制定的《評(píng)估辦法》延續(xù)了37條的要求，而作為配套標(biāo)準(zhǔn)的《評(píng)估指南》則將幾乎所有金融數(shù)據(jù)都?xì)w入了重要數(shù)據(jù)的范疇。雖然《評(píng)估指南》至今仍未能落地，但其中已不難管窺網(wǎng)信部門(mén)針對(duì)金融數(shù)據(jù)跨境流動(dòng)重安全而輕流動(dòng)的規(guī)制思路且一以貫之。上述現(xiàn)象在某種程度上或可歸咎于網(wǎng)信部門(mén)缺乏對(duì)各行業(yè)發(fā)展情況和數(shù)據(jù)信息的專業(yè)認(rèn)識(shí)。

金融部門(mén)作為金融領(lǐng)域的專業(yè)部門(mén)，雖通過(guò)各種規(guī)章監(jiān)管金融數(shù)據(jù)跨境流動(dòng)起步更早，但其規(guī)制思路則呈現(xiàn)出一定的搖擺橫跳。以中國(guó)人民銀行為例，2011年《中國(guó)人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》(以下簡(jiǎn)稱《通知》)對(duì)在中國(guó)境內(nèi)收集的個(gè)人金融信息明確規(guī)定了本地化要求，雖存在但書(shū)，但在當(dāng)時(shí)并未有例外規(guī)定的情況下，實(shí)質(zhì)上就是完全禁止個(gè)人金融信息跨境。而時(shí)隔不久的《中國(guó)人民銀行上海分行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作有關(guān)問(wèn)題的通知》(以下簡(jiǎn)稱《新通知》)卻采取了與上述《通知》截然相反的立場(chǎng)，允許在滿足“業(yè)務(wù)必需+書(shū)面授權(quán)同意+保密義務(wù)”的情況下實(shí)現(xiàn)個(gè)人金融信息的自由跨境。隨后于2016年發(fā)布的《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》，吸收了《通知》與《新通知》的相關(guān)規(guī)定，實(shí)際上是直接將后者作為了前者的例外規(guī)定以滿足金融企業(yè)的業(yè)務(wù)需求，但還需“符合法律、行政法規(guī)和相關(guān)監(jiān)管部門(mén)的規(guī)定”，如彼時(shí)已頒布的《網(wǎng)絡(luò)安全法》37條。2020年的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》則對(duì)基于業(yè)務(wù)需要的個(gè)人金融信息出境，提出了“符合法律規(guī)定+獲得明示同意+依規(guī)安全評(píng)估+明確監(jiān)督保障”的多重并列要求，較之次年頒布的《個(gè)人信息保護(hù)法》中的個(gè)人信息跨境要求條件有過(guò)之而無(wú)不及。此外，若將金融數(shù)據(jù)跨境流動(dòng)的監(jiān)管職責(zé)完全交由金融主管部門(mén)，其固然可結(jié)合金融業(yè)發(fā)展需求發(fā)揮其專業(yè)優(yōu)勢(shì)，不過(guò)亦可能因本行業(yè)利益發(fā)生監(jiān)管俘獲或與其他行業(yè)產(chǎn)生監(jiān)管競(jìng)次，不利于保護(hù)金融數(shù)據(jù)安全。

隨著越來(lái)越多的國(guó)家開(kāi)始對(duì)數(shù)據(jù)跨境流動(dòng)展開(kāi)規(guī)制，數(shù)據(jù)保護(hù)機(jī)構(gòu)(data protection authori-ties，DPAs)的設(shè)立和合作也在逐年增加。在APEC的“跨境隱私規(guī)則體系”(CBPRS)之下，作為其重要組成部分的《隱私框架》建議其成員國(guó)應(yīng)考慮建立和維護(hù)獨(dú)立的隱私執(zhí)法機(jī)構(gòu)，具備通過(guò)認(rèn)證的隱私執(zhí)法機(jī)構(gòu)是該國(guó)企業(yè)申請(qǐng)加入該體系的先決條件。歐盟作為個(gè)人數(shù)據(jù)保護(hù)的先驅(qū)，在1995年就提出了各成員國(guó)須建立獨(dú)立監(jiān)管機(jī)構(gòu)的要求；隨后又于2001年宣布在歐盟層面設(shè)立獨(dú)立的數(shù)據(jù)保護(hù)專署(EDPS)；2016年更是在此基礎(chǔ)上成立了由上述各成員國(guó)監(jiān)管機(jī)構(gòu)和數(shù)據(jù)保護(hù)專署組成的歐盟數(shù)據(jù)保護(hù)委員會(huì)(EDPB)。其他還有如新加坡于2013年成立的個(gè)人數(shù)據(jù)保護(hù)委員會(huì)(PDPC)、日本于2015年設(shè)立的個(gè)人信息保護(hù)委員會(huì)(PIPC)、巴西于2020年成立的國(guó)家數(shù)據(jù)保護(hù)局(ANPD)，美國(guó)在一項(xiàng)名為《“控制我們的數(shù)據(jù)”法》(Control Our Data Act)的立法提案討論稿中也建議設(shè)立獨(dú)立的“消費(fèi)者隱私保護(hù)和數(shù)據(jù)安全局”。

在此現(xiàn)實(shí)困境和國(guó)際趨勢(shì)下，我國(guó)也應(yīng)設(shè)立獨(dú)立、權(quán)威、專業(yè)的數(shù)據(jù)監(jiān)管機(jī)構(gòu)并明確其法律地位，在網(wǎng)信部門(mén)與行業(yè)主管部門(mén)之間平衡安全與發(fā)展，一方面專門(mén)負(fù)責(zé)履行國(guó)內(nèi)數(shù)據(jù)跨境流動(dòng)規(guī)制等各項(xiàng)職能，另一方面密切加強(qiáng)國(guó)際監(jiān)管合作與對(duì)接、強(qiáng)化域外執(zhí)法；同時(shí)考慮到諸如金融數(shù)據(jù)等各專門(mén)行業(yè)領(lǐng)域數(shù)據(jù)的特殊性，可以分設(shè)相應(yīng)的子機(jī)構(gòu)在其統(tǒng)一領(lǐng)導(dǎo)之下開(kāi)展工作。2023年《黨和國(guó)家機(jī)構(gòu)改革方案》提出設(shè)立的國(guó)家數(shù)據(jù)局，不失為我國(guó)獨(dú)立數(shù)據(jù)監(jiān)管機(jī)構(gòu)的可行選擇，從而緩解當(dāng)前各部門(mén)職能交叉、缺乏頂層設(shè)計(jì)等問(wèn)題。但根據(jù)方案，目前其作為國(guó)家發(fā)改委管理的國(guó)家局，承擔(dān)的僅僅是協(xié)調(diào)推進(jìn)數(shù)據(jù)基礎(chǔ)制度建設(shè)等數(shù)據(jù)領(lǐng)域的宏觀職能，而并未改變金融數(shù)據(jù)出境具體監(jiān)管職能的離散現(xiàn)狀，未來(lái)能否以此為契機(jī)統(tǒng)合協(xié)調(diào)跨境數(shù)據(jù)流動(dòng)的發(fā)展與監(jiān)管職能，尚待進(jìn)一步觀察。退一步而言，若考慮到新設(shè)獨(dú)立監(jiān)管機(jī)構(gòu)可能成本高、周期長(zhǎng)、部門(mén)利益糾葛大，那么在維持分業(yè)監(jiān)管模式下發(fā)揮金融主管部門(mén)在重要數(shù)據(jù)目錄和一般數(shù)據(jù)清單制定、金融數(shù)據(jù)出境正反面案例發(fā)布、金融企業(yè)數(shù)據(jù)安全管理認(rèn)證等方面的主導(dǎo)作用，將網(wǎng)信部門(mén)的職責(zé)定位重新回歸并強(qiáng)化《數(shù)據(jù)安全法》第6條規(guī)定的“統(tǒng)籌協(xié)調(diào)”而弱化安全評(píng)估之外具體的監(jiān)管執(zhí)行，也是一種適合我國(guó)國(guó)情的解決當(dāng)前因金融數(shù)據(jù)跨境監(jiān)管職能不當(dāng)配置所誘發(fā)之合規(guī)困境的替代方案。

(二) 監(jiān)管科技創(chuàng)新：金融科技發(fā)展的必然要求

監(jiān)管與創(chuàng)新總是水乳交融，呈現(xiàn)出一種既相互沖突又相互促進(jìn)的關(guān)系。在金融數(shù)據(jù)跨境領(lǐng)域表現(xiàn)為：“金融科技”(FinTech)快速發(fā)展之下從“了解你的客戶”(KYC)到“了解你的數(shù)據(jù)”(KYD)的范式轉(zhuǎn)變正在逐字節(jié)地改變傳統(tǒng)規(guī)制模式，強(qiáng)烈要求“監(jiān)管科技”(RegTech)的創(chuàng)新。具體言之，在金融科技助力下，金融業(yè)的數(shù)字化轉(zhuǎn)型日益加快，數(shù)據(jù)驅(qū)動(dòng)的特征也日益明顯，這既是需要對(duì)金融數(shù)據(jù)跨境流動(dòng)加強(qiáng)規(guī)制的根源所在，也對(duì)傳統(tǒng)監(jiān)管構(gòu)成了重大挑戰(zhàn)：首先，合規(guī)不僅對(duì)于企業(yè)來(lái)說(shuō)是一項(xiàng)耗時(shí)耗力耗費(fèi)的艱巨任務(wù)，對(duì)于監(jiān)管機(jī)構(gòu)而言更甚，金融數(shù)據(jù)跨境規(guī)制中全周期保護(hù)義務(wù)的賦予要求監(jiān)管機(jī)構(gòu)實(shí)現(xiàn)全流程監(jiān)管，但是當(dāng)前相對(duì)落后的監(jiān)管手段受限于其自動(dòng)化和集成性程度，無(wú)法實(shí)現(xiàn)對(duì)金融企業(yè)合規(guī)的實(shí)時(shí)全程監(jiān)管。其次，在數(shù)據(jù)驅(qū)動(dòng)的金融數(shù)字化進(jìn)程中，監(jiān)管機(jī)構(gòu)在金融數(shù)據(jù)跨境流動(dòng)監(jiān)管中面對(duì)的是數(shù)量級(jí)極其龐大的金融數(shù)據(jù)，其種類和格式較先前大為豐富，加之金融科技的發(fā)展使得金融數(shù)據(jù)的跨境流動(dòng)范圍更廣、速度更快、方式更為多樣，監(jiān)管機(jī)構(gòu)若無(wú)強(qiáng)大的數(shù)據(jù)分析能力和安全技術(shù)，則根本難以識(shí)別其中復(fù)雜的金融風(fēng)險(xiǎn)，更難言在風(fēng)險(xiǎn)發(fā)生時(shí)及時(shí)介入加以阻斷?？傊?，面對(duì)金融科技創(chuàng)新，監(jiān)管能力若未得到有效改進(jìn)，則監(jiān)管失靈在所難免，進(jìn)而誘發(fā)市場(chǎng)失靈。正基于此，USMCA在其“數(shù)字貿(mào)易”一章專門(mén)強(qiáng)調(diào)，考慮到數(shù)字貿(mào)易中的網(wǎng)絡(luò)安全威脅，各成員國(guó)應(yīng)加強(qiáng)建設(shè)其負(fù)責(zé)網(wǎng)絡(luò)安全事件處置的國(guó)家機(jī)構(gòu)的各項(xiàng)能力。綜上，在金融科技日新月異、金融數(shù)據(jù)跨境流動(dòng)方興未艾的當(dāng)下，除了統(tǒng)一監(jiān)管主體之外，亟須通過(guò)監(jiān)管科技創(chuàng)新變革監(jiān)管手段、提高監(jiān)管能力、提升監(jiān)管效率。

更為重要的是，監(jiān)管科技還有其面向企業(yè)合規(guī)的一面。監(jiān)管科技在金融企業(yè)端可以表現(xiàn)為一種合規(guī)科技，即金融企業(yè)通過(guò)利用技術(shù)創(chuàng)新來(lái)更好地滿足合規(guī)要求、降低合規(guī)成本，這既是在金融數(shù)據(jù)跨境流動(dòng)規(guī)制中金融企業(yè)負(fù)擔(dān)全周期保護(hù)義務(wù)、建設(shè)全流程合規(guī)體系的必然選擇，也是與行政端監(jiān)管科技相匹配對(duì)接的應(yīng)有之義。而且，監(jiān)管科技的進(jìn)步可以改變金融數(shù)據(jù)跨境流動(dòng)立法的價(jià)值取向，從而更加注重以金融企業(yè)合規(guī)為中心而非“一刀切”地強(qiáng)調(diào)本地化。金融數(shù)據(jù)的跨境流動(dòng)規(guī)制將隨著行政監(jiān)管能力的變化發(fā)展呈現(xiàn)出動(dòng)態(tài)性的特征，若能通過(guò)扎實(shí)提高監(jiān)管技術(shù)水平來(lái)保障數(shù)據(jù)安全，想必也不會(huì)選擇制定容易惹人非議的本地化法規(guī)。因此，監(jiān)管科技創(chuàng)新是建立以金融企業(yè)合規(guī)為中心的金融數(shù)據(jù)跨境流動(dòng)規(guī)制體系、實(shí)現(xiàn)安全與自由價(jià)值平衡的基礎(chǔ)與保障。

金融數(shù)據(jù)跨境流動(dòng)規(guī)制中的監(jiān)管科技創(chuàng)新，必須實(shí)現(xiàn)“以數(shù)據(jù)監(jiān)管為核心”。當(dāng)前，為了在金融數(shù)據(jù)跨境中能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)走向和總量的控制，準(zhǔn)確分析識(shí)別各類風(fēng)險(xiǎn)，必要時(shí)及時(shí)抓取留存證據(jù)并采取強(qiáng)制脫敏或阻斷傳輸?shù)却胧O(jiān)管機(jī)構(gòu)可以考慮提供統(tǒng)一的金融數(shù)據(jù)跨境傳輸通道平臺(tái)，輔之以區(qū)塊鏈、隱私計(jì)算等技術(shù)，實(shí)現(xiàn)金融數(shù)據(jù)跨境的防篡改、可追溯，同時(shí)兼顧金融企業(yè)的商業(yè)秘密保護(hù)需求。金融企業(yè)在金融跨境傳輸時(shí)本就需要借助第三方網(wǎng)絡(luò)數(shù)據(jù)公司提供相應(yīng)的服務(wù)器和網(wǎng)絡(luò)傳輸通道，若轉(zhuǎn)由監(jiān)管機(jī)構(gòu)統(tǒng)一提供同價(jià)位、同質(zhì)量的數(shù)據(jù)傳輸平臺(tái)，在不增加金融企業(yè)成本負(fù)擔(dān)的同時(shí)，既滿足了其金融數(shù)據(jù)出境需求，也可大幅提高監(jiān)管機(jī)構(gòu)的數(shù)據(jù)路由控制能力。但是，其中尚需要注意兩個(gè)問(wèn)題：一是監(jiān)管機(jī)構(gòu)的數(shù)據(jù)安保責(zé)任，監(jiān)管機(jī)構(gòu)在依照法定職責(zé)通過(guò)統(tǒng)一跨境傳輸平臺(tái)對(duì)金融數(shù)據(jù)跨境進(jìn)行監(jiān)管過(guò)程中收集、使用的相關(guān)數(shù)據(jù)符合《數(shù)據(jù)安全法》第38條對(duì)“政務(wù)數(shù)據(jù)”的定義，故應(yīng)當(dāng)依照第39條之規(guī)定履行落實(shí)相應(yīng)數(shù)據(jù)安保義務(wù)以保障政務(wù)數(shù)據(jù)安全；二是對(duì)行政壟斷的防范，監(jiān)管機(jī)構(gòu)向金融企業(yè)強(qiáng)制性指定統(tǒng)一的有償金融數(shù)據(jù)傳輸平臺(tái)可能涉及是否構(gòu)成行政壟斷的爭(zhēng)議，對(duì)此監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)明確其通過(guò)行政權(quán)限制競(jìng)爭(zhēng)的界限應(yīng)局限于為履行法律、法規(guī)授權(quán)的公共事務(wù)管理職能，其目的應(yīng)在于謀求國(guó)家或社會(huì)的公共利益，如此方可排除濫用行政權(quán)力之質(zhì)疑。

(三) 多重激勵(lì)機(jī)制構(gòu)建：克服合規(guī)動(dòng)力不足的監(jiān)管策略

現(xiàn)代企業(yè)合規(guī)肇始于刑事合規(guī)，而刑事合規(guī)最重要的面向就是合規(guī)激勵(lì)，即以非與懲罰相孿生的獨(dú)立刑事利益促使企業(yè)建立有效的刑事風(fēng)險(xiǎn)防控體系。自2020年最高人民檢察院開(kāi)始推動(dòng)企業(yè)合規(guī)不起訴制度試點(diǎn)以來(lái)，刑事合規(guī)激勵(lì)在我國(guó)逐漸鋪開(kāi)深入。金融企業(yè)實(shí)現(xiàn)金融數(shù)據(jù)跨境合規(guī)在現(xiàn)行法律體系下可能獲得的刑事利益包括無(wú)罪、不起訴、量刑從輕、強(qiáng)制措施優(yōu)遇等。不過(guò)，現(xiàn)有刑事合規(guī)激勵(lì)實(shí)踐多針對(duì)傳統(tǒng)中小微企業(yè)，金融與數(shù)據(jù)合規(guī)在該領(lǐng)域的存在感依然偏低，法治化、場(chǎng)景化、標(biāo)準(zhǔn)化、精細(xì)化、普及化程度尚待提升。而在金融與數(shù)據(jù)兩股強(qiáng)監(jiān)管趨勢(shì)匯流的背景下，金融企業(yè)數(shù)據(jù)跨境合規(guī)的行刑銜接問(wèn)題日益突出。金融數(shù)據(jù)法益的多樣性、出境行為的復(fù)雜性、違規(guī)出境危害的重大性，加劇了金融企業(yè)數(shù)據(jù)犯罪治理的難度。然“冰凍三尺非一日之寒”，犯罪行為往往是行政違法行為的遞進(jìn)。這一點(diǎn)從當(dāng)前數(shù)據(jù)犯罪相關(guān)罪名多以空白規(guī)范引致行政義務(wù)就可見(jiàn)一斑，例如個(gè)人金融數(shù)據(jù)違規(guī)出境可能觸犯的侵犯公民個(gè)人信息罪即以“違反國(guó)家有關(guān)規(guī)定”為前提。面對(duì)實(shí)體層面的雙層違法和責(zé)任競(jìng)合，金融企業(yè)數(shù)據(jù)跨境合規(guī)的行刑銜接不能再局限于簡(jiǎn)單的移送對(duì)接，而應(yīng)在“訴前-訴中-訴后”雙軌互動(dòng)的基礎(chǔ)上強(qiáng)化雙重激勵(lì)。相較于單純的刑事合規(guī)激勵(lì)，行政合規(guī)激勵(lì)機(jī)制的構(gòu)建既能在統(tǒng)一法秩序下通過(guò)激勵(lì)前置實(shí)現(xiàn)數(shù)據(jù)出境安全風(fēng)險(xiǎn)的防控關(guān)口前移，亦可在恩威并施下實(shí)現(xiàn)行政機(jī)關(guān)、司法機(jī)關(guān)與金融企業(yè)三者的協(xié)同共治。

平衡論指出，在現(xiàn)代行政法機(jī)制中唯有制約機(jī)制與激勵(lì)機(jī)制互相配合，方能實(shí)現(xiàn)行政法治與企業(yè)自治之間的良性互動(dòng)。無(wú)論是強(qiáng)制合規(guī)義務(wù)的賦予，還是通過(guò)技術(shù)創(chuàng)新實(shí)現(xiàn)對(duì)合規(guī)的有效監(jiān)管，都僅體現(xiàn)了制約的一面而顯激勵(lì)不足。因此，有必要在金融數(shù)據(jù)跨境流動(dòng)規(guī)制領(lǐng)域?qū)⒑弦?guī)激勵(lì)機(jī)制引入行政執(zhí)法程序，即行政監(jiān)管部門(mén)為鼓勵(lì)金融企業(yè)建立起有效完善的全流程合規(guī)體系，在保留傳統(tǒng)事后懲罰機(jī)制的同時(shí)，確立以合規(guī)換取寬大行政處理的監(jiān)管策略。通過(guò)將監(jiān)管策略由側(cè)重威懾轉(zhuǎn)向側(cè)重激勵(lì)，化對(duì)抗為協(xié)作，以增強(qiáng)外部規(guī)制對(duì)內(nèi)部合規(guī)的滲透性。

具體言之，一是將有效合規(guī)體系的建立作為法定的責(zé)任減免事由。基于金融數(shù)據(jù)本身所具有的復(fù)雜性、敏感性，即便金融企業(yè)努力建立了合規(guī)體系也難免“智者千慮必有一失”，若此時(shí)仍照常處罰，必將從客觀上導(dǎo)致金融企業(yè)不敢貿(mào)然從事金融數(shù)據(jù)跨境、也不愿建立合規(guī)體系。對(duì)此，在保留嚴(yán)刑峻法的基礎(chǔ)上，為了給予金融企業(yè)即便要付出成本也要制定和遵守合規(guī)計(jì)劃這樣的激勵(lì)，如果經(jīng)營(yíng)者制定實(shí)施了合理有效的合規(guī)計(jì)劃，應(yīng)當(dāng)基于其已履行了必要的監(jiān)督義務(wù)而承認(rèn)對(duì)其免責(zé)或減責(zé)的可能性。二是將合規(guī)計(jì)劃引入行政執(zhí)法和解制度。所謂行政執(zhí)法和解，是指立足于行使行政自由裁量權(quán)的正當(dāng)性基礎(chǔ)，監(jiān)管執(zhí)法機(jī)構(gòu)在執(zhí)法過(guò)程中與行政相對(duì)人為消除行政爭(zhēng)議而訂立的一種公私融合的行政合同。行政執(zhí)法和解是提高監(jiān)管效能、減輕監(jiān)管負(fù)擔(dān)的有效手段，因而成為域外行政執(zhí)法中的慣用手段。據(jù)統(tǒng)計(jì)，美國(guó)證券交易委員會(huì)98%的執(zhí)法案件都通過(guò)行政和解解決。在數(shù)據(jù)保護(hù)領(lǐng)域美國(guó)聯(lián)邦貿(mào)易委員會(huì)也曾與臉書(shū)公司就其使用欺騙手段非法獲取和共享用戶隱私數(shù)據(jù)的行為達(dá)成和解協(xié)議，在讓其支付50億美元巨額罰款的基礎(chǔ)上還對(duì)其施加了史無(wú)前例的業(yè)務(wù)運(yùn)營(yíng)新限制，要求重建多個(gè)合規(guī)渠道。在金融數(shù)據(jù)跨境流動(dòng)這樣復(fù)雜的監(jiān)管場(chǎng)景中，監(jiān)管機(jī)構(gòu)本就有較大的自由裁量空間，而將企業(yè)合規(guī)引入行政執(zhí)法和解(包括將企業(yè)合規(guī)作為和解適用的前提或者作為和解協(xié)議條款)，可使行政執(zhí)法和解的達(dá)成成為一套更多依靠金融企業(yè)內(nèi)控優(yōu)化的規(guī)范化體系，實(shí)現(xiàn)對(duì)金融數(shù)據(jù)跨境行政糾紛的源頭治理。

我國(guó)當(dāng)前初步建立了上述對(duì)企業(yè)合規(guī)的行政激勵(lì)機(jī)制。在將企業(yè)合規(guī)作為法定責(zé)任減免事由方面，《證券公司和證券投資基金管理公司合規(guī)管理辦法》第36條明確將證券基金機(jī)構(gòu)有效的合規(guī)管理作為了依法從輕、減輕處理乃至不予追究責(zé)任的條件，《行政處罰法》第32條也將“主動(dòng)消除或者減輕違法行為危害后果”作為從輕或者減輕行政處罰的法定情節(jié)。在將企業(yè)合規(guī)引入行政執(zhí)法和解方面，證監(jiān)會(huì)于2015年發(fā)布的《行政和解試點(diǎn)實(shí)施辦法》(以下簡(jiǎn)稱《試點(diǎn)辦法》)被認(rèn)為是我國(guó)第一次在行政監(jiān)管執(zhí)法中引入行政和解，同時(shí)也在其中引入了合規(guī)機(jī)制，要求行政和解協(xié)議應(yīng)當(dāng)載明整改措施及其履行期限；隨后國(guó)務(wù)院于2021年頒布了《證券期貨行政執(zhí)法當(dāng)事人承諾制度實(shí)施辦法》，正式確立了本質(zhì)上屬于行政執(zhí)法和解的行政執(zhí)法當(dāng)事人承諾制度；證監(jiān)會(huì)于2022年重新發(fā)布了《證券期貨行政執(zhí)法當(dāng)事人承諾制度實(shí)施規(guī)定》作為其實(shí)施細(xì)則，具體規(guī)定與前述《試點(diǎn)辦法》類似。

我國(guó)的上述規(guī)定雖可被視為初步構(gòu)建起了金融企業(yè)合規(guī)的行政激勵(lì)機(jī)制，在監(jiān)管執(zhí)法實(shí)踐中也出現(xiàn)了少量案例，但就金融企業(yè)金融數(shù)據(jù)跨境合規(guī)的行政監(jiān)管而言還存在不少問(wèn)題：第一，上述規(guī)定目前仍多僅限于由證監(jiān)會(huì)作為監(jiān)管主體的證券執(zhí)法領(lǐng)域，在當(dāng)前金融數(shù)據(jù)控制者擴(kuò)張的背景下適用范圍十分有限，是否適用于金融數(shù)據(jù)跨境監(jiān)管領(lǐng)域也不無(wú)疑問(wèn)；第二，上述部分規(guī)定其實(shí)并未直接明確將合規(guī)作為行政責(zé)任的減免事由或者行政和解的條件和內(nèi)容，能否將合規(guī)納入其中還存在較大的解釋空間，因此未能發(fā)揮出推動(dòng)企業(yè)合規(guī)的最大激勵(lì)作用。因此，我國(guó)仍需進(jìn)一步推動(dòng)在統(tǒng)一金融數(shù)據(jù)跨境流動(dòng)監(jiān)管主體之下構(gòu)建起完整、普遍、明確、有效的多重行政激勵(lì)機(jī)制，并實(shí)現(xiàn)與刑事合規(guī)的有效銜接。

五、余論

阿爾文·托夫勒在《第三次浪潮》中指出：裹挾于歷史的滔滔不絕的變革浪潮之中，只有在前進(jìn)過(guò)程中孜孜不倦地探求浪潮前鋒、識(shí)別變革前景，我們才能在嶄新的視角之下認(rèn)清和掌控變革的形勢(shì)。當(dāng)全球經(jīng)濟(jì)成為一臺(tái)在“消耗數(shù)據(jù)-處理數(shù)據(jù)-生產(chǎn)數(shù)據(jù)”之間永續(xù)循環(huán)的數(shù)據(jù)永動(dòng)機(jī)，如何對(duì)金融企業(yè)的金融數(shù)據(jù)跨境流動(dòng)進(jìn)行規(guī)制正是當(dāng)前需要我們探求和識(shí)別的數(shù)字經(jīng)濟(jì)浪潮的前鋒之一。對(duì)此，本文從金融企業(yè)合規(guī)治理這一嶄新視角，提出了在安全和自由利益平衡的數(shù)據(jù)本位立法之下，通過(guò)統(tǒng)一監(jiān)管主體基礎(chǔ)上的監(jiān)管科技創(chuàng)新與多重激勵(lì)機(jī)制，構(gòu)建以預(yù)防性和框架性規(guī)制理念為指導(dǎo)、以金融企業(yè)內(nèi)部強(qiáng)制合規(guī)為中心的金融數(shù)據(jù)跨境流動(dòng)規(guī)制框架。但當(dāng)前該框架若要真正落地，其中不少在實(shí)定法上仍處于模糊或空白地帶，甚至?xí)a(chǎn)生沖突。面對(duì)這一復(fù)雜系統(tǒng)中的諸多不確定動(dòng)態(tài)因素，貿(mào)然突破當(dāng)前相對(duì)抑制的金融數(shù)據(jù)跨境監(jiān)管現(xiàn)狀，可能造成覆水難收的風(fēng)險(xiǎn)局面。對(duì)此，建議可引入“監(jiān)管沙盒”(regulatory sandbox)機(jī)制以實(shí)現(xiàn)治理體系創(chuàng)新與金融數(shù)據(jù)安全的雙贏。如果說(shuō)包含三重維度的金融企業(yè)數(shù)據(jù)跨境合規(guī)治理體系是最終實(shí)現(xiàn)兼顧安全與發(fā)展規(guī)制目標(biāo)的必要手段，那么監(jiān)管沙盒則旨在創(chuàng)設(shè)一個(gè)被監(jiān)視和受控制的相對(duì)隔離的試驗(yàn)運(yùn)行環(huán)境：監(jiān)管機(jī)構(gòu)在嚴(yán)守監(jiān)管目標(biāo)和底線、做好風(fēng)險(xiǎn)管理預(yù)案的前提下，通過(guò)事先設(shè)定原則標(biāo)準(zhǔn)和限制條件，允許經(jīng)過(guò)甄選的金融企業(yè)在真實(shí)的市場(chǎng)業(yè)務(wù)場(chǎng)景中，以真實(shí)的金融數(shù)據(jù)與數(shù)據(jù)接收方為對(duì)象測(cè)試金融數(shù)據(jù)跨境流動(dòng)全過(guò)程，以評(píng)估上述合規(guī)治理體系的成效和影響。其本質(zhì)上與我國(guó)的試點(diǎn)機(jī)制類似，在小范圍針對(duì)性試點(diǎn)中包容創(chuàng)新、容錯(cuò)糾錯(cuò)，在總結(jié)經(jīng)驗(yàn)教訓(xùn)的基礎(chǔ)上相機(jī)決策是否全面推廣。在金融數(shù)據(jù)跨境流動(dòng)的相對(duì)安全觀之下，通過(guò)創(chuàng)造一個(gè)新的監(jiān)管環(huán)境促進(jìn)創(chuàng)新和未知風(fēng)險(xiǎn)方案之間的良好平，借助“雙層容錯(cuò)”機(jī)制促成監(jiān)管者與被監(jiān)管者在可信可控、動(dòng)態(tài)靈活的互動(dòng)合作機(jī)制中發(fā)揮各自能動(dòng)性持續(xù)矯正監(jiān)管與市場(chǎng)之間的區(qū)隔，這恰恰與本文以金融企業(yè)合規(guī)為中心實(shí)現(xiàn)金融數(shù)據(jù)跨境安全和自由之間的平衡這一核心論點(diǎn)高度契合。

總而言之，數(shù)字金融的深入發(fā)展不可逆轉(zhuǎn)，“金融即數(shù)據(jù)”終成定局。面對(duì)金融與數(shù)據(jù)在全球化變局下不斷碰撞出新的火花，本文所提出的金融企業(yè)數(shù)據(jù)跨境合規(guī)治理體系試圖以一種多主體協(xié)同、多環(huán)節(jié)聯(lián)動(dòng)的方式探求一條多目標(biāo)平衡的金融數(shù)據(jù)跨境流動(dòng)規(guī)制新路徑。然而作為典型的交叉領(lǐng)域，如何實(shí)現(xiàn)金融監(jiān)管與數(shù)據(jù)治理的同步異構(gòu)演進(jìn)，進(jìn)而協(xié)調(diào)一般金融監(jiān)管與數(shù)字金融監(jiān)管、一般數(shù)據(jù)治理與金融數(shù)據(jù)治理的政策目標(biāo)與具體規(guī)則，最終達(dá)致和諧有效的全球金融數(shù)據(jù)治理新格局，是金融數(shù)據(jù)跨境流動(dòng)規(guī)制所折射出的一個(gè)更為宏大復(fù)雜的命題。同時(shí)，技術(shù)的發(fā)展也同樣帶來(lái)了新問(wèn)題。區(qū)塊鏈、云、人工智能、隱私計(jì)算等技術(shù)的發(fā)展，不僅可以為金融數(shù)據(jù)跨境傳輸使用提供更加高效安全的手段，甚至將突破金融數(shù)據(jù)跨境流動(dòng)的基本范疇界定，這既是機(jī)遇也是挑戰(zhàn)，未來(lái)的金融數(shù)據(jù)跨境流動(dòng)治理范式應(yīng)作出何等因應(yīng)，值得關(guān)注與進(jìn)一步研究。

--原創(chuàng)文章--