近年来随着“棱镜门事件”“汇丰银行案”等网络与数据安全事件的频繁发生,各国不断加强立法保护数据出境安全管控。而金融数据与个人隐私及企业合法权益、公共权益乃至国家安全紧密相关,其跨境流动也必然意味着风险的复杂化、扩大化及不可控倾向。
“数据跨境流动风险主要集中于传输、存储和应用三个环节。任何一个环节的管理不善,都有可能引起数据泄漏风险,从而导致企业及个人财产的损失。”日前,其礼律师事务所大中华区银行与金融团队负责人郭绯在接受《中国贸易报》记者采访时举例,去年,亚洲某厂商被爆出利用境外销售的手机收集用户信息并传送到合作伙伴服务器上共享,如果该服务器遭到黑客入侵,泄露的敏感数据落入不法分子之手,将成为电信网络诈骗‘精准投放’的信息来源。此外,某律师事务所受黑客攻击,全球多名政要及演艺圈名人的私人信息遭泄露。”
“由于移动设备功能的不断升级和多样化,在用户不知情的情况下,有企业通过GPS等定位服务跟踪用户行踪,甚至通过蜂窝基站、Wi-Fi、热点、蓝牙、麦克风、摄像头等设备收集未经授权的离线数据。另外,网络和搜寻引擎经营者还可能利用应用程序的访问权限漏洞擅自收集用户数据。”郭绯指出,脸书、苹果和谷歌等公司都曾经因违规收集客户信息或发生违规收集用户个人信息、银行卡、信用卡、购物历史和网上访问记录等隐私发生泄漏而产生信用危机或被欧美监管机构罚款或质询。可见,在监管和保护跨境数据的传输、存储和应用上,各国所仍需要做很多工作。
据悉,《2020中国金融数据跨境流动监管政策报告》中提到,2015年至2020年,我国关于与金融数据跨境流动有关的文件数量是2000年至2015年所出台文件数量总和的两倍还多。
郭绯称,由于互联网的普及,许多国家和地区已经针对个人隐私保护、信息安全乃至国家安全等价值取向等,在数据跨境流动方面陆续制定了相关的监管体系。最有代表性的是美国和欧盟的监管体系: 美国主张数据自由流动,欧盟基于个人权利保护推出了一套系统的隐私保护体系,而中国和其他多数的发展中国家则推出数据本地化政策。
“中国在数据跨境流动领域的立法起步较晚。虽然在过去十年中出台了数量繁多的法规政策,但形式散,且涵盖的内容单一,没有形成独立的全方位数据法监管和保护体系。”郭绯介绍,2017年6月,《网络安全法》正式实施,明确了数据本地化的规定,同时将原来国内就数据保护偏碎片化的要求进行制度化。当前,中国金融市场基础设施数据跨境传输的监管框架主要建立在两个层面之上:一是以《网络安全法》为基础普遍适用于各行业的个人信息和重要数据保护体系;二是金融行业监管部门针对客户资料保密和个人金融信息而作出的特别规定。
有学者认为,目前的金融数据出境监管规定和要求较为严格,但也有较多不明确之处,使得金融数据出境的实际操作面临很多问题,需要后续立法和监管规定作出更加合理的规定。
“虽然数据本地化可以更好地保护本国数据,也有助于司法取证,保障政府执法权,但从长远看,在保护个人隐私和商业机密、维护国家安全的基础上,允许数据依法、合规、有序跨境流动应是数据监管、跨境安全评估和应用执法政策制定的中心和发展方向。”郭绯认为,在应对全球性危机和重大事件时,适时、及时的数据分享可以使各国及国际组织、机构更及时和有效地协同合作,研究及制定应对措施。例如,新冠肺炎疫情暴发后的防控及疫苗的研制、试验需要全球不同国家和国际组织的配合和信息共享。
“11月15日,《区域全面经济伙伴关系协定》(RCEP)项下的金融服务附件首次引入新金融服务、自律组织、金融信息转移和处理等规则,就金融监管透明度作出了高水平承诺。”郭绯指出,该附件在给签约国预留监管空间维护金融体系稳定、防范金融风险的前提下,为各方金融服务提供者创造了更加公平、开放、稳定和透明的竞争环境。这些规则将助力中国金融企业更好地拓展海外市场,吸引更多境外金融机构来华经营,为国内金融市场注入活力。