中评社╱题:粤港澳大湾区金融数据跨境流动规则的构建与协调──以欧盟和美国经验为镜鉴 作者:谈萧(广州),法学博士、广东外语外贸大学法学院教授
【摘要】粤港澳大湾区具有探索我国金融数据跨境流动规则的独特优势,但目前尚存在遵循制度不同、标准差异较大、制度衔接较差等法律难题。探寻外国经验发现,欧盟涉及多关境、多司法区,美国则有高度发达的市场经济体制,二者的金融数据跨境流动共享规则,对于大湾区具有镜鉴价值。在金融数据跨境流动共享的立法理念上,欧盟强调个人数据严格保护基础上的跨境流动或共享,美国则强调共享基础上的个人数据权利保护;在金融数据跨境流动共享的监管模式上,欧盟是主动型监管,美国是限制型监管。二者的共性规则有:金融数据流动共享“知情-同意”规则;明确的金融数据流动共享者法律义务与责任;高效协调的金融数据流动共享监管机制。欧盟和美国的经验能给大湾区带来防范个人金融数据流动共享法律风险、构建金融数据流动共享法律规则、协调金融数据流动共享监管机制等方面的启示。大湾区需要强化金融数据管理制度的对接、提升金融数据跨境流动的法律保护水平、构建金融数据流动联合监管机制。
金融数据蕴含着极大的商业价值,这一价值的释放取决于安全前提下的数据高效流动。在数字金融背景下,如何通过金融数据跨境流动以实现其商业价值,需要在合法合规的框架内寻求平衡数据流动与数据安全、金融监管的可行路径。粤港澳大湾区作为我国开放程度最高和数字经济高速发展的区域之一,加之地处“一国两制三法域”的特殊制度和法律环境之中,对于我国探索金融数据跨境流动规则,具有得天独厚的优势。然而,由于粤港澳大湾区三地在个人信息保护、立法理念与司法执法等方面存在较大差异,金融数据跨境流动仍面临法律规则衔接不畅、法治保障不足等诸多困难。
一、粤港澳大湾区金融数据跨境流动存在的法律问题
(一)金融数据跨境流动所遵循的制度不同
根据《网络安全法》《数据安全法》《个人信息保护法》与《数据出境安全评估办法》等相关规定,大湾区内地九市向境外提供金融数据,必须在数据出境风险自评估基础上,通过国家网信部门组织的数据出境安全评估。香港《个人资料条例》指定香港个人资料私隐专员公署为个人资料保护主管机构,并规定移转至香港以外地方的个人资料,必须符合转移“白名单”条件,即转移目的地必须有完善的资料保护制度,资料当事人必须书面同意,资料使用者必须采取合理防范措施等。2014年,个人资料私隐专员公署公布《保障个人资料:跨境资料转移指引》,对包括白名单机制、个人资料权利主体书面同意、避免对个人资料权利主体不利行动影响及其他豁免情形,就《个人资料条例》适用原则、范围和主体进行了解读,并对相应流程作了一系列指引。澳门《个人资料保护法》则规定,只在遵守该法且法律体系能确保接收转移资料安全情况下,方可将个人资料转移到澳门以外的地方,而判断安全的决定主体是“公共当局”,即澳门个人资料保护办公室,但截至目前该办公室尚未承认任何一个国家或地区具有“适当程度”保护能力。该法还规定了例外情况,认定主管机关作出个人信息跨境转移决定,个人信息被合法公开登记,或经保护主管机关审查许可后跨境转移,资料控制者“确保有足够保障他人的私人生活、基本权利和自由机制,尤其通过适当的合同条款确保这些权利行使”;另外,基于特定目的进行个人资料跨境流动,如维护公共安全、预防犯罪、刑事侦查和制止刑事违法及保障公共卫生需要,则无需保护主管机关介入。①
(二)金融数据出境与保护标准差异较大
在金融数据出境与保护标准方面,内地依据《个人信息保护法》第38条、第40条以及国家网信办《数据出境安全评估办法》第4条的规定,关键信息基础设施运营者、数据处理者,处理个人信息100万人以上,自上年1月1日起累计向境外提供10万人以上,或敏感个人信息1万人以上,均需经网信部门组织数据出境安全评估。非以上情况的,需在专业机构对个人信息保护认证的基础上,按照国家网信部门制定的标准与境外接收方订立合同,然后依据内地缔结或参加的国际条约或协定出境。香港和澳门尚未出台体系化的个人数据出境管理制度。香港《个人资料条例》于1995年制定,其中第33条对个人资料跨境转移有诸多限制。2014年和2022年,香港个人资料私隐专员公署先后发布《保障个人资料:跨境资料转移指引》和《跨境资料转移指引:建议合约条文范本》,但均为行政指引,不具有强制实行效力。澳门虽无相关规定,但在实践中已发生多起对个人资料转移出境未向澳门个人资料保护办公室申报的行政处罚案例。
(三)金融数据保护和出境制度衔接较差
首先,在金融数据作为个人信息的范围方面,内地《个人信息保护法》中的“个人信息”概念与香港《个人资料条例》和澳门《个人资料保护法》中的“个人资料”概念的范围差别较大。大湾区内地九市依法认定的“个人信息”强调的是“已识别”和“可识别”信息,即包括个人具体身份信息和个人关联信息,而对于敏感个人信息,依据内地《个人信息保护法》也有非常严格的保护要求。香港《个人资料条例》第2条规定的个人资料,是指直接或间接与在世个人有关,直接或间接地可确定有关个人身份,存在形式予以查阅及处理切实可行。澳门《个人资料保护法》规定的个人资料,则是指包括声音、影像、识别编号及其他任何可反映资料当事人特征,进而确定资料当事人的信息。
其次,在金融数据作为个人信息的保护义务方面,香港《个人资料条例》和澳门《个人资料保护法》均无内地《个人信息保护法》规定的“单独同意”、“合规审计”、“影响评估”等要求,也未对指定个人信息保护负责人、处理行为等加以规定。
再次,在金融数据作为个人信息保护的法律责任方面,三地的行政处罚规定也不同。内地《个人信息保护法》规定的罚金最高,责任单位罚款可高达人民币5000万元或上年度营业额的5%,直接责任人可处10万元以上100万元以下罚款;香港《个人资料(私隐)条例》规定首次可判处第5级罚款(即罚款50000元港币)及监禁2年,如属持续犯罪则每日加罚1000元港币,其后相同犯罪可处第6级罚款及监禁2年,属持续犯罪则每日加罚2000元港币;澳门《个人资料保护法》规定的处罚最轻,责任单位最高可处20万澳门元罚款,但对具体责任人则无明确处罚的规定。
二、欧盟、美国金融数据流动共享的立法理念、监管模式及共性规则
(一)立法理念
1.欧盟:严格保护个人数据基础上的流动与共享
欧盟于2016年颁布、2018年生效的《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR),是欧盟针对个人数据保护的全面性核心立法。据此,欧盟采用一部涵盖各行业的通用法律的形式对数据开展保护,也就是说,个人金融数据与其他类型个人数据无异,同样受到GDPR的约束。②
GDPR在立法理念上,将个人数据权利作为一项基本人权,强调数据收集与共享的合法性,保护自然人基于个人数据所享有的权利。GDPR在涉及个人数据处理的领域,对于收集与共享的目的和数据限度都有相应的限制性规定。GDPR还规定了个人数据权利主体“同意”的构成要件,强调“同意”应是个人数据权利主体在自由意志下所作出的意思表示。
GDPR大幅增加了个人数据主体的权利,强化和明确了数据控制者及处理者分别必须承担的责任和义务,将数据保护常态化和系统化。此外,在欧盟GDPR项下,数据主体具有知情、纠正、删除以及反对等权利。在个人数据共享方面,GDPR还单独设一章,增加了数据控制者的义务和责任,提高了用户同意的标准,并为数据控制者增设了数据泄露告知、要对隐私影响评估等义务。同时,为了保护个人隐私,GDPR特别强调了对数据控制者的行为监管。GDPR还明确规定数据控制者在个人数据收集与共享中的义务,并规定其处理个人数据的目的须满足合理性的要求。
2.美国:共享基础上加强个人数据权利保护
推动个人数据共享与利用始终是美国金融领域立法的主要目标。在特定的金融领域,该理念得到广泛认同,与其他机构共享金融数据的范围和条件也在逐步扩大,以便更好地服务于金融市场。美国联邦《金融服务现代化法案》(The Gramm-Leach-Bliley Act, GLBA)制订目的就是为了推动金融市场的发展与竞争,同时该法案对金融机构与关联机构和非关联机构之间的“同意”形式采取区分原则,③主要体现在:该法案对关联机构采取“无需同意”和非关联机构采取“默示同意”两种授权方式。
为了回应社会对金融隐私保护存在的担忧,各州也通过立法确立各自的隐私保护法和数据安全法,其中2018年通过的《加州消费者隐私法》(California Consumer Privacy Act,CCPA)是美国州层面消费者隐私法立法的一个重要里程碑,它虽是立足于州层面,但被认为是美国该领域立法的标杆。该项法案明确了收集加州消费者个人数据的企业的适用范围,扩展了个人信息的定义,并强化了对消费者隐私的保护,赋予消费者对企业使用数据情况的知情权以及拒绝、删除、修改数据等权利。而后的《2020年加州隐私权法》(California Privacy Rights Act,以下简称CPRA)规定,如果某企业收集个人数据并出售或共享给第三方,或披露给服务提供者、承包商用于商业目的,该企业必须与第三方、服务提供者或承包商签署信息安全保护协定。在协定中,应当明确规定个人数据的处理和使用方式,以及收集和使用个人数据的目的,以及被收集者的权利。此外,CPRA还创新性地提出,利用与个人资料相关的行政罚款来设立“消费者隐私基金”,用以折抵由州法院、总检察长以及加利福尼亚州保护署为执行CPRA所需的开支。④
(二)监管模式
1.欧盟:主动型监管
主动型监管的国家是全球推动个人金融数据流动共享的主力,欧盟无疑是最积极的推动者。欧盟在2016年就推出了欧盟支付服务指令PSD2(Payment Service Directive 2),旨在促进欧盟金融市场的开放和稳定性,提高支付服务的安全性,保护金融消费者的利益,并鼓励创新。它要求欧盟境内的支付服务提供者提供开放的支付服务,以及利用技术和服务来改善支付服务的安全性和数据保护。
欧盟设立了“欧盟数据保护理事会(European Data Protection Board,以下简称EDPB)——各成员国数据监管机构——数据处理者内部的数据保护专员”三级数据监管机构。第一,EDPB是欧盟最高级别的、独立的个人数据监管机构,其主要职责是对个人数据安全进行宏观监管,对欧盟GDPR在各成员国实施标准进行统一,以及对各成员国之间的分歧进行协调,并提出建设性建议或作出最终决定。第二,各成员国监管机构对其辖区范围内的数据控制者和处理者所开展的数据处理活动进行监管,并确保其行为符合GDPR及其上级机构制定的规定,以确保各项规章制度得到贯彻执行,并能够在必要的时候对数据处理活动作出相应的决策。⑤第三,数据处理者内部的数据保护专员是由数据处理者自行指定的专门负责数据保护事务的职位或部门,负责监督和管理组织内部个人数据的处理和保护。GDPR还要求雇员数量超过250人的大型企业必须设立数据保护官。因此,这三级数据监管机构之间存在着紧密的联系,这在提高数据监管权力运行效率、加强个人数据保护和数据合规利用等方面都发挥了非常关键的作用,也充分体现出保护个人数据的价值取向。
2.美国:限制型监管
美国对本国金融科技公司,采取的是“按部就班”的功能性监管,即不论金融科技公司以何种形态出现,只要其具有金融公司的本质属性,就将其所涉及的金融业务按照其功能纳入现行金融监管体制之中。因此,在美国金融科技公司被当成金融公司一样监管,美国这种限制性监管是相对比较严格的。正因为如此,美国众多科技界巨头都未曾像中国的一样大规模涉入金融领域,这也导致美国出现大量的优秀的金融科技公司,但没有出现大型的金融科技巨无霸。美国的金融市场很大,金融机构服务完善和普及,但对金融科技公司来说,没有太多的发展空间。优秀的金融科技公司发展到一个新的高度时,将遭遇市场规模、金融牌照和数据瓶颈等困境。美国也在反思,相对严格的金融科技监管是否阻碍了其创新和发展。目前美国监管趋势在逐步调整和松绑,推动金融数据流动共享就是其中一项举措。
|
