2020年11月15日，历时八年谈判，东盟10国和中国、日本、韩国、澳大利亚、新西兰共15个亚太国家正式签署了《区域全面经济伙伴关系协定》（Regional Comprehensive Economic Partnership，下称“RCEP”）。 RCEP的签署标志着当前世界上人口最多、经贸规模最大、最具发展潜力的自由贸易区正式形成，亚太地区迎来了前所未有的融合发展，协同发展的新机遇。

RCEP的签订将显著推动区域内资本流动，区域间投资活动进入活跃期，跨境金融服务迎来重大发展机遇。在备受关注的金融数据跨境规制的问题上，RCEP的《第八章附件一：金融服务》第九条第一款规定了“缔约方认识到，每一缔约方可就信息转移和信息处理设置其管理要求”，即尊重并鼓励各国建立自己的信息跨境流动规则。基于这样的背景，完善本国数据流动规制体系并在区域间形成协调统一的标准化模式将会成为金融数据跨境规制未来的发展趋势。在RCEP《附件二：服务具体承诺表-中国》中，我国在金融服务方面采取了进一步开放的姿态，《第八章附件一：金融服务》中也首次引入了新金融服务、自律组织、金融信息转移和处理等规则，就金融监管透明度作出了高水平承诺[1]。本文将以中国的金融数据跨境规制体系的发展和现状为主要研究对象，进而探讨在RCEP背景下区域间金融数据跨境流动的合作机制，希望为相关企业处理金融数据跨境业务提供合规的参考。

一、金融数据的定义

涉及金融数据跨境规则首先需要明确金融数据的定义和范围。到目前为止，法律法规层面都没有对金融数据进行明确定义[2]。中国人民银行2020年9月发布并实施的《金融数据安全 数据安全分级指南（JR/T 0197-2020）》（下称“《金融数据分级指南》”）中确定“金融数据是指金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据。”《金融数据分级指南》附录A中作为定级规则的参考，对金融业机构典型数据进行了数据归类和细分的示例，其中包括了客户数据、业务数据、运营数据、管理数据等主要类别，是目前为止对金融数据范围界定较为清晰详细且具有可参考性的行业标准文件。

而对于与数据有关的金融业机构的定义，《金融数据分级指南》中表述的金融业机构是指从事货币金融服务、资本市场服务、保险业等的相关机构。而在2020年2月发布的《个人金融信息保护技术规范 JR/T 0171-2020》（下称“《技术规范》”）中规定了：“金融业机构是指由国家金融管理部门监督管理的持牌金融机构以及涉及个人金融信息处理的相关机构。”我们理解《金融数据分级指南》在一定程度上有将金融业机构的范围限缩在持牌金融机构的倾向，金融中介机构、金融数据处理服务提供者等是否属于该指南中金融数据语境下的金融业机构仍不明确。但结合上述《技术规范》中的定义考虑，虽然其与《金融数据分级指南》中关于金融数据存在循环定义之嫌，但是我们倾向认为持牌金融机构和非持牌机构在开展金融业务、提供金融服务以及日常经营管理所需或产生的数据，特别是《金融数据分级指南》附录A中示例的数据类型被认定为金融数据的可能性较大。本文中金融业机构除非特别明确外，不对持牌金融机构和非持牌机构进行区分。

二、中国金融数据跨境规制体系和特点

我们认为以《中华人民共和国网络安全法》（下称“《网络安全法》”）的出台为分界线我国对于金融数据跨境的规制体系可以大致划为两个阶段。

第一阶段：以行业法律法规为主的零散性规制体系

这一阶段金融数据跨境规制相关的主要法律规制和规制内容可参见下表。其特点如下：

1、没有数据相关专门的上位法作为支撑，主要法律规制内容散见于行业法律法规，特别是来源于金融监管机构的部门规章，规范数量庞大且较为分散。

2、金融业主管部门是金融数据跨境规制的主管和监管部门，主要从金融及相关业务分类的角度确定规制对象。

3，基本的规制思路是着眼于金融业机构在面对客户时的服务性需求及银行内部风控和业务管理需求，关注的是金融业机构保密义务及业务数据本地化，存在着较大的局限性。

4、规制内容和方式强调（1）金融数据本地化，原则上禁止出境。（2）在法律另有规定的情况下允许数据出境，数据出境需要符合有关监管部门的规定。但实际上对于在何种情况下允许何种金融数据出境，金融数据出境应当采取怎样的具体合规操作并没有较为明确的要求，缺乏实际执行性和监管效力。

 第二阶段：以《网络安全法》为上位法，综合网信监管及行业监管的结构性规制体系

《网络安全法》于2017年6月1日起正式施行。这是中国建立全面网络空间治理体系的重要里程碑。《网络安全法》的正式实施也开启了数据安全和监管的新阶段。《网络安全法》从上层立法的角度，针对所有网络运营者明确规定了网络运行安全和数据安全的法律要求。从法律层面针对数据跨境确立了规制主体、规制对象和规制方法的基本规则。

《网络安全法》第37条：

《网络安全法》实施后，围绕关键信息基础设施运营者（下称“CIIO”）、个人数据和重要数据的识别和认定，以及数据跨境的具体实施和监管方法，相关立法活动一直在紧锣密鼓的进行中。数据领域两部重量级专门性法律《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》已经公布草案并向社会征求意见，其中对于数据跨境也有专门性规定。

由于上述相关法律法规等尚在制定过程中，最终规制内容仍然存在较大不确定性，但是金融数据跨境规制已经形成了以下新特点。

1、由专门性上层法律规定统一原则，相关法律法规及行业规范性文件具体落实，相关规制内容具有明显的可预见性。

2、由原来单一性的行业监管转变为以网信监管为上层架构，其他相关主管部门参与，以金融行业监管为重要实施和行业主管的结构性监管体系。

3、规制的重点倾向于平衡数据安全、个人信息全生命周期的保护及其与数据跨境流动的实际需求和经济效益的发挥的关系，RCEP中国对金融领域开放的承诺也是具体体现之一。

4、数据跨境规制的内容在坚持本地化的基础上，从原则禁止出境向通过对重点对象数据的有效监管实现数据有序流动进行转变。

三、金融数据跨境规制的重点内容

1. 金融数据跨境规制的主体

如前所述，《网络安全法》明确规定的数据跨境规制的主体是CIIO。关于CIIO的识别和认定，暂时还没有明确的法律规定，但是在《网络安全法》《关键信息基础设施安全保护条例（征求意见稿）》等相关法律法规中，基本确立了行业领域+风险识别的认定基准，而金融行业在相关法律文件中均被明确列入行业领域的示例范围，同时符合“单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的”的风险识别特征，因此金融业机构被认定为CIIO的可能性极高。

《关键信息基础设施安全保护条例》已经被列入国务院今年的立法计划， 2020年9月2日公安部发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（下称“《两保意见》”）中强调了组织认定关键信息基础设施工作的重要性，并且明确规定了由行业和领域的主管、监管部门制定本行业、本领域关键信息基础设施认定规则并报公安部备案的认定实施方法[3]。因此，金融行业CIIO的认定工作正在加紧研究并有可能加速落地。

同时需要注意的是，《网络安全法》实施后陆续发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》（下称“《评估办法》”）《信息安全技术　数据出境安全评估指南（征求意见稿）》（下称“《评估指南》”）《个人信息出境安全评估办法》（征求意见稿）等由于种种原因，到目前为止均未正式出台。但是，从中可以看出数据跨境规制的主体由CIIO扩大到全体网络运营者是立法部门的总体倾向。《中华人民共和国数据安全法（草案）》《中华人民共和国个人信息保护法（草案）》（下称“《个人信息保护法（草案）》”）更是突破了线上线下的界限，将主体扩展到数据的处理者。因此，未来除了被认定为CIIO的金融业机构之外，没有被列入CIIO的金融业机构甚至非金融业机构在涉及金融数据跨境时，同样可能受到金融数据跨境规制的监管。

2. 金融数据跨境规制的对象

《网络安全法》确定的数据跨境规制的对象是个人信息和重要数据。对于个人信息的认定，《网络安全法》《信息安全技术 个人信息安全规范　GB/T 35273—2020》《个人信息保护法（草案）》先后对个人信息进行了定义，《技术规范》更是结合金融业务的特点，对个人金融信息作出了如下定义：金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。具体而言本标准中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。虽然关于个人信息的判定，是“可识别性”还是“可识别+关联性”尚存争议，一些具体认定也需要结合特定的应用场景加以具体判断。但是，《技术规范》较为明确地界定了金融数据中的个人信息的边界，对金融数据中个人信息的识别比较清晰。

相对而言，关于金融数据中的重要数据的认定则不甚明确。《评估办法》中规定，“重要数据，是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南”。《评估指南》关于重要数据的定义表述为，“重要数据是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)”，并在附件A中对于重要金融数据进行了不完全列举，包括了金融业机构的源代码、客户清单，自然人、法人及其他组织的账户信息、金融交易信息等。但是上述两个征求意见稿并未最终发布正式版。《金融数据分级指南》中虽然在附录C中对于重要数据给出了基于影响对象和影响后果的较为具体的定义和范围，以及宏观特征数据、海量信息汇聚得出的衍生特征数据、行业监管机构决策和执法过程中的数据、关键信息基础设施网络安全缺陷信息等示例列举，但是该指南的6.重要数据识别中规定“金融业机构所承载重要数据的识别和认定工作宜遵照国家及行业部门有关规定执行。”重要数据的识别和认定规则有待国家及行业部门最终确定。

此外，对于除了个人信息和重要数据之外的其他金融信息是否作为跨境规制的对象，目前仍然需要依赖金融行业单行法律法规和规范性文件的规定，未来是否会出台统一的规则仍然有待观察。

3.  金融数据跨境的规制方法

（1）对于个人金融信息跨境的规定归纳如下：

结合上述的归纳我们可以发现，对于个人金融信息跨境规制已经有较为明确的规定，即《技术规范》7.1.3（ｄ）个人金融信息出境要求的：

1个人金融信息本地化；

2因业务需要，确需向境外机构（含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构）提供；

3应符合国家法律法规及行业主管部门有关规定；

4应获得个人金融信息主体明示同意；

5应依法开展个人金融信息出境安全评估，确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求；

6应与境外机构通过签订协议、现场核查等方式，明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务。

（2）对于重要金融数据跨境的规定归纳如下：

对于重要金融数据的跨境，除了进行安全评估的要求基本一致之外，具体规制方式目前有待进一步明确。

小结：金融数据跨境的规制

从目前生效的法律法规、规范性文件及标准文件来看，个人金融信息的跨境规制体系已基本建立，从个人金融信息的界定，跨境规制方法及适用主体目前已大体明确，而对于重要金融数据的跨境仍存在着具体实施规定的缺位。此外，金融信息跨境规制的适用主体极有可能突破CIIO的限制，因此所有的金融业机构都应该做好面对金融数据跨境相应合规问题的准备，并着手改善公司内部的数据合规体系。

四、对于金融业机构从事金融数据跨境的合规建议

1.  密切关注金融行业CIIO的认定

金融业机构一方面需要密切跟进CIIO相关的立法动态，如《关键信息基础设施安全保护条例》及相关认定标准的出台与实施，提前进行研究学习；另一方面应该实时关注金融业主管部门的执法动向，随着《两保意见》宣贯会会议精神的落实，金融行业CIIO认定工作必然加速推进，有可能被认定为CIIO的金融业机构应当尽快进行网络安全及数据合规方面的升级工作，避免日后被认定为CIIO时短时间内难以达到合规要求。虽然如前所述，非CIIO金融业机构或者其他机构涉及金融信息也不排除受到金融数据跨境规制的监管，但是对于CIIO金融业机构的监管必然更加严格、具体，合规要求也会更高。

2. 梳理金融数据资产，进行分级分类管理

无论金融业机构是否会被认定为CIIO，就目前应对金融数据跨境问题的需要来看，金融数据大体上可以上分为个人金融信息，重要金融数据，其他金融数据；此外金融业机构也可以依照《金融数据分级指南》对现有金融数据进行分级分类管理，既是合规及业务管理的需要，也有利于促进数据资产的利用，有针对性地对不同类型和级别金融数据适用不同的跨境规制要求，提升数据跨境传输的效率。

3. 尽早对金融数据进行安全评估

目前为止生效的规范性文件中，《技术规范》对金融个人信息的跨境提供提出了较高的规制要求。重要数据跨境需要进行安全评估的规制方式也大概率会被未来出台的法律规范而采纳。为了避免因安全评估问题降低数据流动效率，给机构带来不可弥补的损失，金融业机构应当预先对所管理的金融数据进行安全自评估，明确金融数据资产的基本安全情况，以便于日后应对数据跨境的相关评估与审批。

4. 完善网络安全等级保护制度

网络安全等级保护制度作为《网络安全法》对于网络运行安全要求的核心内容和基本制度，是保障数据安全，促进数据有序流动的基础条件和法定要求。金融业机构如果被认定为CIIO，还会涉及关键信息基础设施安全保护的法定要求。因此落实网络安全等级保护和关键信息基础设施安全保护制度的要求，根据业务规模及安全管理需求实时校正安全保护级别，按照相应等级的技术要求和管理要求进行整改和逐步完善，是企业的法定义务，同时也可以为数据安全管理及数据跨境提供有力保障。根据我们目前所参与的项目来看，对于机构网络安全等级保护和关键信息基础设施保护制度的合规整改工作耗时较长，涉及技术及管理等多方面的内容，如不能未雨绸缪提前应对，很有可能短时间内因无法达到相应合规要求，影响业务开展甚至承担相应的法律责任。

五、RCEP框架下，对区域金融数据跨境流动的展望

综上所述，虽然中国的金融数据跨境规制的具体实施内容尚待进一步明确，但就目前来看，现有的法律法规、规范性文件以及标准性文件已经为金融业机构提供了较为明确的指引及参考。放眼于亚太区域，RCEP体系下的各成员国均已开始逐步建立并完善各自的数据跨境流动规制体系，但如何衔接各成员国间的数据跨境流动规则成为了亟待解决的课题。

RCEP成员国中，与我们一衣带水的近邻日本所进行的尝试值得我们关注与研究。近年来，日本采取了较为积极的措施推动区域间数据跨境自由流动规则的构建。其中包括：作为APEC跨境隐私规则体系（CBPR）的成员国，通过建立认证制度为企业遵循CBPR规则实施跨境数据传输提供保障；积极对接欧盟数据保护规则，实现了日欧之间针对数据保护的双向互认；积极推进“美国-欧盟-日本三方的数据跨境自由流动框架；主导全面与进步跨太平洋伙伴关系协定(CPTPP)加入RCEP寻求在更为广泛的区域内建立高效的数据流动体系等[4]。

金融行业因其行业特性，对于数据资源的利用率及时效性都有着较高的要求。近年来金融业与科技相结合的趋势也加剧了对金融数据流动效率与区域间数据保护壁垒间的矛盾。因此在RCEP的框架下，加强多边金融数据流动规则建立，促进金融数据在区域间的有序高效流动，带动区域金融产业的活跃发展是各成员国的共同展望。我们认为，目前全球各国建立的数据跨境流动制度都存在着较大的差异，因此如何求同存异，寻求数据流动规则上的最大公约数是目前解决这一问题的关键。建立和完善数据安全和个人信息保护的法律制度体系，在突出金融行业监管的监管作用，强化金融业机构等日常数据合规建设的前提下，加强金融数据跨境流动规则的自由度与多元化，赋予金融行业一定的自律性管理权能，建立行业内金融数据跨境的模块式，可调节式流动规则以适应在不同业务场景下，在不同区域间的金融数据流动将是未来发展的趋势。

此外，区域间数据跨境规则的衔接与统一本质上是数据保护理念的统一，只有加强区域间的对话，促进区域间金融行业的交流与合作，才能够弥合不同地区对于数据保护理念的偏差，进而从根本上促进数据跨境流动规则的趋同，达到让金融数据有序流动，赋能区域产业链协同发展的最终目的。

注释：

[1] 《商务部：RCEP促进贸易投资高水平开放》,经济参考报，http://www.jjckb.cn/2020-11/17/c_139520990.htm，2020-11-17

[2] 《金融数据跨境流动规制的核心问题和中国因应》,马兰,国际法研究2020年第3期

[3] 《网络安全等级保护和关键信息基础设施安全保护工作宣贯会在京举办》,新华网,http://www.xinhuanet.com/fortune/2020-09/04/c_1126452744.htm,2020-9-4

[4] 《日本跨境数据流动治理问题研究》,张晓磊,日本学刊2020年第4期