中評社╱題:粵港澳大灣區金融數據跨境流動規則的構建與協調──以歐盟和美國經驗為鏡鑒 作者:談蕭(廣州),法學博士、廣東外語外貿大學法學院教授
【摘要】粵港澳大灣區具有探索我國金融數據跨境流動規則的獨特優勢,但目前尚存在遵循制度不同、標準差異較大、制度銜接較差等法律難題。探尋外國經驗發現,歐盟涉及多關境、多司法區,美國則有高度發達的市場經濟體制,二者的金融數據跨境流動共享規則,對於大灣區具有鏡鑒價值。在金融數據跨境流動共享的立法理念上,歐盟強調個人數據嚴格保護基礎上的跨境流動或共享,美國則強調共享基礎上的個人數據權利保護;在金融數據跨境流動共享的監管模式上,歐盟是主動型監管,美國是限制型監管。二者的共性規則有:金融數據流動共享“知情-同意”規則;明確的金融數據流動共享者法律義務與責任;高效協調的金融數據流動共享監管機制。歐盟和美國的經驗能給大灣區帶來防範個人金融數據流動共享法律風險、構建金融數據流動共享法律規則、協調金融數據流動共享監管機制等方面的啟示。大灣區需要強化金融數據管理制度的對接、提升金融數據跨境流動的法律保護水平、構建金融數據流動聯合監管機制。
金融數據蘊含著極大的商業價值,這一價值的釋放取決於安全前提下的數據高效流動。在數字金融背景下,如何通過金融數據跨境流動以實現其商業價值,需要在合法合規的框架內尋求平衡數據流動與數據安全、金融監管的可行路徑。粵港澳大灣區作為我國開放程度最高和數字經濟高速發展的區域之一,加之地處“一國兩制三法域”的特殊制度和法律環境之中,對於我國探索金融數據跨境流動規則,具有得天獨厚的優勢。然而,由於粵港澳大灣區三地在個人信息保護、立法理念與司法執法等方面存在較大差異,金融數據跨境流動仍面臨法律規則銜接不暢、法治保障不足等諸多困難。
一、粵港澳大灣區金融數據跨境流動存在的法律問題
(一)金融數據跨境流動所遵循的制度不同
根據《網絡安全法》《數據安全法》《個人信息保護法》與《數據出境安全評估辦法》等相關規定,大灣區內地九市向境外提供金融數據,必須在數據出境風險自評估基礎上,通過國家網信部門組織的數據出境安全評估。香港《個人資料條例》指定香港個人資料私隱專員公署為個人資料保護主管機構,並規定移轉至香港以外地方的個人資料,必須符合轉移“白名單”條件,即轉移目的地必須有完善的資料保護制度,資料當事人必須書面同意,資料使用者必須採取合理防範措施等。2014年,個人資料私隱專員公署公佈《保障個人資料:跨境資料轉移指引》,對包括白名單機制、個人資料權利主體書面同意、避免對個人資料權利主體不利行動影響及其他豁免情形,就《個人資料條例》適用原則、範圍和主體進行了解讀,並對相應流程作了一系列指引。澳門《個人資料保護法》則規定,衹在遵守該法且法律體系能確保接收轉移資料安全情況下,方可將個人資料轉移到澳門以外的地方,而判斷安全的決定主體是“公共當局”,即澳門個人資料保護辦公室,但截至目前該辦公室尚未承認任何一個國家或地區具有“適當程度”保護能力。該法還規定了例外情況,認定主管機關作出個人信息跨境轉移決定,個人信息被合法公開登記,或經保護主管機關審查許可後跨境轉移,資料控制者“確保有足夠保障他人的私人生活、基本權利和自由機制,尤其通過適當的合同條款確保這些權利行使”;另外,基於特定目的進行個人資料跨境流動,如維護公共安全、預防犯罪、刑事偵查和制止刑事違法及保障公共衛生需要,則無需保護主管機關介入。①
(二)金融數據出境與保護標準差異較大
在金融數據出境與保護標準方面,內地依據《個人信息保護法》第38條、第40條以及國家網信辦《數據出境安全評估辦法》第4條的規定,關鍵信息基礎設施運營者、數據處理者,處理個人信息100萬人以上,自上年1月1日起纍計向境外提供10萬人以上,或敏感個人信息1萬人以上,均需經網信部門組織數據出境安全評估。非以上情況的,需在專業機構對個人信息保護認證的基礎上,按照國家網信部門制定的標準與境外接收方訂立合同,然後依據內地締結或參加的國際條約或協定出境。香港和澳門尚未出台體系化的個人數據出境管理制度。香港《個人資料條例》於1995年制定,其中第33條對個人資料跨境轉移有諸多限制。2014年和2022年,香港個人資料私隱專員公署先後發佈《保障個人資料:跨境資料轉移指引》和《跨境資料轉移指引:建議合約條文範本》,但均為行政指引,不具有強制實行效力。澳門雖無相關規定,但在實踐中已發生多起對個人資料轉移出境未向澳門個人資料保護辦公室申報的行政處罰案例。
(三)金融數據保護和出境制度銜接較差
首先,在金融數據作為個人信息的範圍方面,內地《個人信息保護法》中的“個人信息”概念與香港《個人資料條例》和澳門《個人資料保護法》中的“個人資料”概念的範圍差別較大。大灣區內地九市依法認定的“個人信息”強調的是“已識別”和“可識別”信息,即包括個人具體身份信息和個人關聯信息,而對於敏感個人信息,依據內地《個人信息保護法》也有非常嚴格的保護要求。香港《個人資料條例》第2條規定的個人資料,是指直接或間接與在世個人有關,直接或間接地可確定有關個人身份,存在形式予以查閱及處理切實可行。澳門《個人資料保護法》規定的個人資料,則是指包括聲音、影像、識別編號及其他任何可反映資料當事人特徵,進而確定資料當事人的信息。
其次,在金融數據作為個人信息的保護義務方面,香港《個人資料條例》和澳門《個人資料保護法》均無內地《個人信息保護法》規定的“單獨同意”、“合規審計”、“影響評估”等要求,也未對指定個人信息保護負責人、處理行為等加以規定。
再次,在金融數據作為個人信息保護的法律責任方面,三地的行政處罰規定也不同。內地《個人信息保護法》規定的罰金最高,責任單位罰款可高達人民幣5000萬元或上年度營業額的5%,直接責任人可處10萬元以上100萬元以下罰款;香港《個人資料(私隱)條例》規定首次可判處第5級罰款(即罰款50000元港幣)及監禁2年,如屬持續犯罪則每日加罰1000元港幣,其後相同犯罪可處第6級罰款及監禁2年,屬持續犯罪則每日加罰2000元港幣;澳門《個人資料保護法》規定的處罰最輕,責任單位最高可處20萬澳門元罰款,但對具體責任人則無明確處罰的規定。
二、歐盟、美國金融數據流動共享的立法理念、監管模式及共性規則
(一)立法理念
1.歐盟:嚴格保護個人數據基礎上的流動與共享
歐盟於2016年頒佈、2018年生效的《通用數據保護條例》(General Data Protection Regulation,以下簡稱GDPR),是歐盟針對個人數據保護的全面性核心立法。據此,歐盟採用一部涵蓋各行業的通用法律的形式對數據開展保護,也就是說,個人金融數據與其他類型個人數據無異,同樣受到GDPR的約束。②
GDPR在立法理念上,將個人數據權利作為一項基本人權,強調數據收集與共享的合法性,保護自然人基於個人數據所享有的權利。GDPR在涉及個人數據處理的領域,對於收集與共享的目的和數據限度都有相應的限制性規定。GDPR還規定了個人數據權利主體“同意”的構成要件,強調“同意”應是個人數據權利主體在自由意志下所作出的意思表示。
GDPR大幅增加了個人數據主體的權利,強化和明確了數據控制者及處理者分別必須承擔的責任和義務,將數據保護常態化和系統化。此外,在歐盟GDPR項下,數據主體具有知情、糾正、刪除以及反對等權利。在個人數據共享方面,GDPR還單獨設一章,增加了數據控制者的義務和責任,提高了用戶同意的標準,並為數據控制者增設了數據洩露告知、要對隱私影響評估等義務。同時,為了保護個人隱私,GDPR特別強調了對數據控制者的行為監管。GDPR還明確規定數據控制者在個人數據收集與共享中的義務,並規定其處理個人數據的目的須滿足合理性的要求。
2.美國:共享基礎上加強個人數據權利保護
推動個人數據共享與利用始終是美國金融領域立法的主要目標。在特定的金融領域,該理念得到廣泛認同,與其他機構共享金融數據的範圍和條件也在逐步擴大,以便更好地服務於金融市場。美國聯邦《金融服務現代化法案》(The Gramm-Leach-Bliley Act, GLBA)制訂目的就是為了推動金融市場的發展與競爭,同時該法案對金融機構與關聯機構和非關聯機構之間的“同意”形式採取區分原則,③主要體現在:該法案對關聯機構採取“無需同意”和非關聯機構採取“默示同意”兩種授權方式。
為了回應社會對金融隱私保護存在的擔憂,各州也通過立法確立各自的隱私保護法和數據安全法,其中2018年通過的《加州消費者隱私法》(California Consumer Privacy Act,CCPA)是美國州層面消費者隱私法立法的一個重要里程碑,它雖是立足於州層面,但被認為是美國該領域立法的標杆。該項法案明確了收集加州消費者個人數據的企業的適用範圍,擴展了個人信息的定義,並強化了對消費者隱私的保護,賦予消費者對企業使用數據情況的知情權以及拒絕、刪除、修改數據等權利。而後的《2020年加州隱私權法》(California Privacy Rights Act,以下簡稱CPRA)規定,如果某企業收集個人數據並出售或共享給第三方,或披露給服務提供者、承包商用於商業目的,該企業必須與第三方、服務提供者或承包商簽署信息安全保護協定。在協定中,應當明確規定個人數據的處理和使用方式,以及收集和使用個人數據的目的,以及被收集者的權利。此外,CPRA還創新性地提出,利用與個人資料相關的行政罰款來設立“消費者隱私基金”,用以折抵由州法院、總檢察長以及加利福尼亞州保護署為執行CPRA所需的開支。④
(二)監管模式
1.歐盟:主動型監管
主動型監管的國家是全球推動個人金融數據流動共享的主力,歐盟無疑是最積極的推動者。歐盟在2016年就推出了歐盟支付服務指令PSD2(Payment Service Directive 2),旨在促進歐盟金融市場的開放和穩定性,提高支付服務的安全性,保護金融消費者的利益,並鼓勵創新。它要求歐盟境內的支付服務提供者提供開放的支付服務,以及利用技術和服務來改善支付服務的安全性和數據保護。
歐盟設立了“歐盟數據保護理事會(European Data Protection Board,以下簡稱EDPB)——各成員國數據監管機構——數據處理者內部的數據保護專員”三級數據監管機構。第一,EDPB是歐盟最高級別的、獨立的個人數據監管機構,其主要職責是對個人數據安全進行宏觀監管,對歐盟GDPR在各成員國實施標準進行統一,以及對各成員國之間的分歧進行協調,並提出建設性建議或作出最終決定。第二,各成員國監管機構對其轄區範圍內的數據控制者和處理者所開展的數據處理活動進行監管,並確保其行為符合GDPR及其上級機構制定的規定,以確保各項規章制度得到貫徹執行,並能夠在必要的時候對數據處理活動作出相應的決策。⑤第三,數據處理者內部的數據保護專員是由數據處理者自行指定的專門負責數據保護事務的職位或部門,負責監督和管理組織內部個人數據的處理和保護。GDPR還要求雇員數量超過250人的大型企業必須設立數據保護官。因此,這三級數據監管機構之間存在著緊密的聯繫,這在提高數據監管權力運行效率、加強個人數據保護和數據合規利用等方面都發揮了非常關鍵的作用,也充分體現出保護個人數據的價值取向。
2.美國:限制型監管
美國對本國金融科技公司,採取的是“按部就班”的功能性監管,即不論金融科技公司以何種形態出現,衹要其具有金融公司的本質屬性,就將其所涉及的金融業務按照其功能納入現行金融監管體制之中。因此,在美國金融科技公司被當成金融公司一樣監管,美國這種限制性監管是相對比較嚴格的。正因為如此,美國眾多科技界巨頭都未曾像中國的一樣大規模涉入金融領域,這也導致美國出現大量的優秀的金融科技公司,但沒有出現大型的金融科技巨無霸。美國的金融市場很大,金融機構服務完善和普及,但對金融科技公司來說,沒有太多的發展空間。優秀的金融科技公司發展到一個新的高度時,將遭遇市場規模、金融牌照和數據瓶頸等困境。美國也在反思,相對嚴格的金融科技監管是否阻礙了其創新和發展。目前美國監管趨勢在逐步調整和鬆綁,推動金融數據流動共享就是其中一項舉措。
|
