千亿资金跨境打新背后：个人金融数据出海隐忧

　　文｜车宁 陈煜烺

　　圣诞前后，由于承认二次销售，有着“盲盒第一股”之称的泡泡玛特（Pop Mart）失足跌入舆论漩涡，遭到了网络舆论乃至央媒的口诛笔伐，其市值甚至在一日内就蒸发了120亿港元。而半个月前，泡泡玛特正式在港交所主板挂牌上市，开盘涨幅即超100%。

　　冰火两重天之下，我们难以预测以泡泡玛特为代表的盲盒经济的未来，但其所折射的“跨境打新”现象却已然成为企业上市投资相关的焦点话题之一，易操作、风险低、收益高等特点迅速推动这股热潮风靡国内。

　　一段时间以来，国内创新型概念企业纷纷选择在境外的纽交所、港交所上市，再叠加国内适合个人投资优质资产的相对缺失，“跨境打新”也就逐渐成为投资者分享相关企业发展红利的重要路径。然而与监管的属地原则相适应，客户的美股和港股均需托管在境外第三方合作清算商，美股托管账户内客户资产受到美国证监会和美国金融管理局监管，港股托管账户内客户资产受到香港证监会监管。

　　因此，客户的姓名、身份证号、住址、邮箱、联系电话、婚姻状况、就业情况等个人信息，以及客户净流动资产、净资产、总资产、净年收入等金融数据按要求也就会由相应的券商跨境提供给境外清算商进行客户实名制审核、资产评估等，由此便产生了金融数据跨境传输的合规风险。

　　正所谓“窥一斑而见全豹”，本文以一些持有境外券商牌照和注册投顾牌照，却向中国居民提供跨境金融服务的新型金融服务提供商为例（此类公司通过网站、APP等向中国境内居民提供投资美股、港股等服务，包括股票交易下单与执行等），从主体、客体（数据）、行为等多个层面分析向境外传输金融数据的风险隐患，在此基础上结合本土实践和国际经验对其合规监管提出完善建议。

　　与信息匮乏的时代相比，人类社会跨入信息时代的重要标志之一便是数据在总量规模和增长速度上的显着提升，最终质变为重要的生产要素，进而促成数字经济的诞生。然而祸福相倚，由于理性的有限和欲求的诱惑，数据信息获取使用上的便利也就由福音异化为魔咒，人们往往迷失于眼前新闻的光怪陆离，而丧失了根本趋势的整体把握，势必会让个人乃至社会支付更加高昂的代价。

　　主体视角：是否构成CIIO

　　与很多业务开展类似，金融数据跨境传输关键需要回答“可不可以，如何能够”等问题，这从逻辑上首先要求判断从事行为的机构类型，并以此确认其权利义务的边界。根据《网络安全法》第37条的规定，关键信息基础设施运营者（“CIIO”）在国内收集和产生的个人信息和重要数据有本地化存储的特殊要求，即使确需出境，也需向监管部门进行安全评估。因此，在数据出境过程中，主体是否构成CIIO将直接决定其是否需承担本地化存储和安全评估的强制性义务。

　　那什么是关键信息基础设施运营者呢？按照《关键信息基础设施安全保护条例（征求意见稿）》第18条的定义，所谓关键信息基础设施运营者是指运营、管理一旦遭到破坏、丧失功能或者数据泄露，可能危害国家安全、国计民生、公共利益的网络设施和信息系统的单位，包括政府机关、金融和互联网等行业领域的机构。以某家依托国外券商牌照向中国居民提供港美股投资服务的头部公司为例，从业务开展方面看，其同时涉及金融和互联网领域，直接提供美港股投资申购和投资等金融服务；从规模增长方面看，其占全球华人互联网券商市场的份额接近60%，用户超过400万，年交易规模超过1000亿，在其服务机构中也不乏36氪、网易有道、理想汽车以及泡泡玛特等的身影。

　　不难看出，国内企业境外上市对这些公司的依赖已然达到前所未有的程度，巨额投资量和客户规模数决定了其信息设施安全与国计民生关联日渐紧密，而涉及跨境传输的数据亦包含了客户资产、年收入等敏感性极强的金融数据，对金融行业甚至更高层面的影响在加大。

　　有鉴于此，至少在理论推演层面，上述跨境金融服务商尤其是其头部机构被认定为CIIO的概率较大。同时，尽管该类公司大多提供美股、港股、澳股、期货、基金等境外金融服务，但其服务对象主要还是中国民众以及华人华侨，因此仍然满足“在国内收集和产生”的要件，故其处理的相关数据原则上应当进行本地化存储，即使确需跨境传输，也应当向相关部门进行安全评估。从这些公司的APP用户隐私政策条款（图1）来看，在其中也确实强调了上述义务，值得肯定。

（图1：某跨境金融服务商App-隐私政策）

　　数据视角：是否构成重要数据

　　如前所述，中国法律制度对CIIO在国内收集和产生的个人信息和重要数据具有本地化存储和安全评估的要求。跨境金融服务商向境外清算商传输的金融数据中包含“个人信息”这一点并无疑义，但这些信息是否构成“重要数据”则需进一步分析。然而目前中国现行法律制度中还没有对重要数据这一概念进行界定，相关定义均以“征求意见稿”的形式存在（如《个人信息和重要数据出境安全评估办法（征求意见稿）》（2017）第17条，《信息安全技术 数据出境安全评估指南（草案）》（2017）附录A，《数据安全管理办法（征求意见稿）》（2019）第38条等）。

　　在这些办法中，《数据安全管理办法(征求意见稿)》（2019）第38条对重要数据的定义较具参考意义：“重要数据，是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”然而，仅凭借该定义仍难以确定互联网券商收集的金融数据是否已经达到重要数据的程度。

　　进一步考察，可发现《信息安全技术 数据出境安全评估指南（草案）》（2017）在附录A中还体系化归纳了28类重要数据，其中在A.19金融类中明确个人财产信息、账户信息和个人信用信息等可能会构成重要数据，并在总则部分以“如披露可能影响或危害国家经济秩序和金融安全”作为判断标准。

　　在实际操作中，上述跨境金融服务商在提供跨境打新服务时都收集了个人哪些数据？以某头部机构的业务开展为例，客户如需使用服务则必须进行开户，在开户过程中则会直接要求用户填写净流动资产、净资产、总资产、净年收入（图2），且每个用户均为实名制。因此，其收集的金融数据显然已经构成上述《指南》中的个人财产信息和账户信息。

　　再结合本文第一部分所述，这些跨境金融服务商近年在国内市场份额、用户数量和交易规模上均已在金融市场中占据举足轻重的地位，如上述相关信息被披露或经他人整合分析进而造成负面后果，理解为达到“影响或危害国家经济秩序和金融安全”的程度也不足为过。因此，一则具备被认定为CIIO的客观条件，再者其收集并产生的相关金融数据已经构成重要数据，这些跨境金融服务商理应受到本地化存储和安全评估等方面的特殊监管要求。

（图2：某跨境金融服务商App-开户页面）

　　行为视角之一：监管制度有待系统完善

　　由于被称为“个人”信息，更由于其产生源自个人行动及相关企业对个人行动信息的整合分析，数据姓“私”并进而接受私法领域宪章——《民法典》的规范也就显得理所当然。不过，虽然“在民法慈母般的眼神中，每个人就是整个国家”（孟德斯鸠语），虽然《民法典》也在人格权编第六章“隐私权和个人信息保护”中赋予个人信息和数据以前所未有的法律地位和保护力度，其第一千零三十五条更是规定了处理个人信息应当遵循合法、正当、必要的原则，并用几个条文从宏观上规定了信息处理者的安全保障义务、免责事由等。

　　然而民法的本质毕竟还是私法，调整的是平等主体间的民事法律关系，因此从理论架构上难以也不适宜涵盖政府监管层面的体系，尤其是在信息产权理论等有关数据权益保护的思潮尚未落实到一般公众思维中的现状下，发挥公法层面的指导和规范作用便具有必要性。在监管层面，由于金融数据同时涉及金融监管和网络安全两方面的合规风险，因此在对上述跨境金融服务商进行跨境数据传输的评估时也应同时考虑双重合规的义务。

　　在金融监管领域，中国目前涉及个人金融信息跨境传输监管的规定主要包括2011年人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》、2020年2月发布的《个人金融信息保护技术规范》（以下简称《规范）》、2020年9月颁布的《中国人民银行金融消费者权益保护实施办法》和《金融数据安全 数据安全分级指南》（以下简称《指南》）等。

　　在这些制度中，一方面，《规范》7.1.3条d）项规定，企业在中国境内提供金融产品或服务过程中收集和产生的个人金融信息应在境内存储、处理和分析；确需向境外提供的，有如下合规要求：

　　（1）应取得个人金融信息主体的明示同意；

　　（2）应依据国家、行业有关部门制定的办法与标准开展个人金融信息安全出境评估，确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求；

　　（3）应与境外机构签订协议、现场核查等方式，明确并监督境外机构有效履行个人金融信息保护保密、数据删除、案件协查等职责义务。

　　另一方面，《指南》也根据金融行业机构数据安全性遭受破坏后的影响对象及程度，将数据安全由高至低划分为五个级别。《指南》中还特别强调，金融行业机构应高度重视与个人金融信息相关的数据安全保护，并在5.3“定级规则”中特别提及重要数据，并指出重要数据的安全等级不可低于该标准所述5级。《指南》中增加重要数据的内容，是国家数据安全标准体系内的相互引用，体现了行业标准对国家标准的继承。

　　然而，对于安全评估义务，《规范》中虽然规定应依据“有关部门制定的办法与标准”，但目前行业监管机构并未进一步对金融数据跨境评估颁布相关标准，按照法理上“无特殊依一般”的原则，相关行为现阶段主要遵循网络安全层面的一般规定。但这样这实质上便可能导致金融监管层面的安全评估合规落空，而仅凭借网信部门也难以实现《指南》中分级管理的目标。

　　从现状来看，跨境金融服务商在跨境传输金融数据上，面临的本地化存储、数据主体同意、安全评估和签订协议等义务与网络安全监管层面的要求基本一致，因此，在行业监管层面对数据跨境合规暂不明确的现状下，跨境金融服务商向境外传输金融数据仍应主要落实网络安全层面的监管要求。但展望未来，相关政府部门应当对金融信息跨境传输的评估批准机构、流程进一步明确，同时也建议在监管体系内建立分级管理机制，从而在保护中国金融安全和经济秩序的同时，效益最大化地保障信息共享和传输。

　　行为视角之二：安全评估谁来负责

　　紧接上述制度适用竞合方面的问题，根据《数据安全管理办法（征求意见稿）》第28条，作为网络运营者的境内券商向境外提供重要数据前应当“报经行业主管监管部门同意，行业主管监管部门不明确的，应经省级网信部门批准”，从逻辑上看，由于上述跨境金融服务商隶属金融领域，故相关数据出境应报金融监管部门同意。

　　具体到实践中，金融监管机构颁布的《个人金融信息保护技术规范》有可能导致将数据出境的安全评估职责指引到网信部门，而后者颁布的《数据安全管理办法（征求意见稿）》却又将安全评估的职责规定给前者，这便在立法层面对于数据出境的安全评估部门出现了模煳的情况。

　　笔者通过与监管机构多个部门沟通，得到的答复为相关评估工作不属于其管辖范围。因此，中国金融数据出境的现状是，尽管行业监管机构明确，但监管机构却没有具体设立相关部门以履行职责，此时是否应向省级网信部门报批便存在问题，因为《数据安全管理办法（征求意见稿）》明确规定由省级网信部门批准的前提是“行业主管监管部门不明确”，考虑到2020年监管部门刚刚印发了金融数据分级管理的指南，并且基于金融数据和专业性和敏感性也不宜由网信部门对金融数据进行安全评估，因此跨境金融服务商在金融数据跨境传输前向哪一机构申请完成安全评估以及安全评估的程度（例如是否进行分级评估）就存在较大障碍，但不经评估又存在合规风险。这样，现有规则体系下相关机构进行金融数据跨境传输就较易陷入“评估无门”的困境。

　　行为视角之三：个人主体权利保障

　　除行业监管和安全评估外，金融数据出境也理应得到个人信息主体的同意，然而对于具体情形下前者是否需后者同意却也存在两个方面的具体场景：一是传输方（跨境金融服务商）向境外接收方（如第三方清算商）的传输，二是境外接收方向境外第三方的传输。

　　对于传输方向境外接收方传输是否需经个人信息主体同意，立法层面发生了多次变化。2017年《个人信息和重要数据出境安全评估办法（征求意见稿）》第4条中要求数据出境须经个人信息主体单独同意，2019年《个人信息出境安全评估办法》第14条则以事先“告知”数据主体代替“同意”的要求，较大程度减轻了企业的负担。但在2020年公布的《个人信息保护法（草案）》第39条中，立法再次要求须单独征得个人信息主体的同意。从出台时间和法律效力层级来看，《个人信息保护法》未来是数据合规应遵循的基本法，且跨境金融服务商传输的数据同时涉及金融领域，2020年《个人金融信息保护技术规范》亦有征得个人单独同意的要求。因此尽管网络安全层面的规范性文件存在变化，跨境金融服务商未来有较大概率需在其APP中设置相关同意条款以满足上述合规要求。

　　对于境外接收方向第三方传输的情形，同样存在趋紧的情况。2019年《个人信息出境安全评估办法（征求意见稿）》第16条规定只有向第三方传输的数据中涉及个人敏感信息时，才须征得个人信息主体同意。但从最新《个人信息保护法（草案）》及网信部门的相关态度推测，未来在正式立法中包括个人敏感信息在内的所有个人信息向第三方传输时均可能纳入单独同意的范畴。

　　金融数据跨境传输的法律关系不仅局限于政府（行业监管部门、网信部门）、跨境金融服务商和投资者个人，还涉及到境内外的数据传输方与数据接收方，《个人信息出境安全评估办法（征求意见稿）》（以下简称《办法》）对此专门要求了签订协议的合规义务。对于这一模式，事实上是充分借鉴了国际上的先进经验和通行做法，主要是仿效欧盟实践多年的适用于个人数据出境的标准合同条款（“SCC”），通过合同条款界定个人信息主体的权利与信息传输方和信息接收方的责任与义务。

　　同时，为了提高可操作性和有效性，《办法》还将主要责任确定在位于境内的网络运营者上，新增了许多网络运营者对境外接收者的义务条款，如需关注接收者的网络安全要求和个人信息保护落实情况，代接收者先行赔付，加强对境外数据接收者行为的间接规制等等，这些规定都是国际上接受度较高，并且具有较好实践效果的通行做法，体现了中国积极践行与国际接轨，同时又具有中国特色的数据治理路径。不过，关于通过协议约束这一国际通行做法，中国在借鉴时也进行了一定取舍，至于此种取舍是否成功不无争议。

　　完善视角：对接国际面向未来

　　事实上，对包括金融数据在内信息跨境传输的关注已不仅限于国内，国外更是蔚为大观。以2020年11月15日正式签署的《区域全面经济伙伴关系协定》（RCEP）为例，其第十二章（电子商务专章）不仅规定了促进电子贸易便利化的内容，还涵盖了网络安全、个人信息保护、信息跨境传输等方面的要求，考察RCEP第十二章第15条关于“电子方式跨境传输信息”的相关规定，其核心要旨仍是在保证网络安全和数据主体利益的前提下促进数据共享和传输。然而与其显赫地位与重要作用不相适应的是，目前金融数据出境的规范仍是局促在小圈子里的冷门话题，并且如前所述，在网络运营主体、传输数据类型和合规行为层面，理论和实践中都存在不少的的痛点和难点。展望未来，金融数据跨境传输规范至少可以从以下方面予以完善。

　　（一）明确部门职责

　　如本文之前关于安全评估义务的论述，目前，仅从行业监管部门和网信部门等发布的各类规定和文件中难以确定金融企业跨境传输数据时进行安全评估或报批的具体部门，而在实践中经考察也确实出现了安全评估职责不明确的情况。由于在2020年发布的《指南》中行业监管部门明确要求对金融数据进行分级管理，其中还特别提及网络安全领域的基础概念——“重要数据”，可见金融领域对数据出境将持更为谨慎的态度，也意味着敏感性较强的金融数据更需要专业化的机构集中进行安全评估。为实现金融安全和信息共享的平衡，促进企业合规与信息流动的良性循环，建议未来明确由相关行业监管部门的下属单位来承担该部分的安全评估，并履行分级管理的职责。

　　（二）履行个人同意要求

　　对于境外接收方向第三方传输信息是否须单独同意，前文已经论述目前未有明确的法律法规予以规范，唯一作出规定的是2019年《个人信息出境安全评估办法（征求意见稿）》，其要求仅在涉及个人敏感信息时才须征得个人信息主体同意，这种态度与该《评估办法》关于数据由境内主体向境外传输时仅须事先“告知”保持一致。但从2020年10月公布的《个人信息保护（草案）》对数据出境须单独同意的趋势来看，尽管其没有明确规定向第三方传输的情形，但不难想见其中待考量的风险与跨境传输较为相似，甚至更大。因为境外接收方与境内网络运营者往往基于协议或公司关联关系，故较易对其信息安全措施较进行把控和评估；但对于境外第三方而言，其往往与境内主体没有直接联系，因此更有对个人信息主体权益进行保护的必要，未来规定其须单独同意也是应有之意。

　　当然，这在操作层面可能存在较大困难，以某跨境金融服务商为例，在其将用户数据向境外运营者传输的情形中，是通过用户协议单独勾选或跳转对话框勾选的形式征得用户同意；但对于境外运营者需向第三方传输数据的情形，其与用户事实上并没有可以交互的渠道。未来可能解决的办法是，境内机构在前述向境外运营者传输并取得信息主体单独同意时，一并设置境外运营者向第三方传输的知情同意条款，以实现相关合规要求。

　　（三）细化协议规定

　　尽管中国目前仿效国际经验采取了协议约束的模式，从而进一步规制境内运营者和境外接收方，然而，《办法》和《个人信息保护法（草案）》在数据接收方主体的称谓上仅引入了“个人信息处理者”的定义，也就是说，其没有区分共同控制者和处理者，这个定义更类似于欧盟《通用数据保护条例》（“GDPR”）项下的数据控制者。对于数据处理者角色，草案则按照行为特征进行描述（共同处理、委托处理）。基于这种逻辑，《办法》在上述合同约束模式中便仅规定了一类协议，即境内的网络运营者与境外的数据接收方。

　　笔者认为，既然中国在数据出境上已有明显仿效欧盟SCC的趋势，且SCC在欧盟多年实践证明其优势确实明显，那么对其实质性内容进行借鉴便更具有必要性。

　　欧盟SCC事实上包含了两类数据跨境传输合同条款，一类是控制者向共同控制者传输（controller to controller），另一类则是控制者向处理者传输（controller to processor）。将境外主体细分为共同控制者和处理者两类的优势在于可将权利义务精细化。例如，在SCC的“to controller”条款中，规定了合同双方可约定由境外共同控制者响应数据主体和监管机构关于数据处理的询问，而在“to processor”条款中则未进行此种规定，原因在于processor事实上相当于境内数据控制者的机械手，一切处理活动须遵循控制者的指示，自然也没有单独响应询问的可能和必要。

　　展望未来对于金融数据这类专业性、敏感性强且须分级管理的数据类型，建议在以合同模式约束时可采用区分主体的方式以细分权利义务。这样，一方面可防止监管中可能发生的“一刀切”进而影响数据共享和利用，另一方面也为企业提供明确的合规路径，而非由企业低效率地自行探索法条中数据控制者和处理者的关系，导致其或者冒合规风险而侵害数据安全，或者放弃该业务而影响经营效益。