網上投稿
最近完成A股IPO并登陸創業板的科藍軟件(300663),公司主營業務為:向以銀行為主的金融機構提供軟件產品應用開發和技術服務。據悉,公司在申報上市時,曾遇到證券監管部門提出反饋問題:發行人實際控制人具有海外居留權,請說明是否對發行人開展銀行等金融機構業務產生不利影響、國內目前及可預見將來有無此方面限制;請發行人說明其主要業務的開展是否需要具備安全等方面的資質,報告期內是否持續具備相關資質。
公司在后續的反饋答復中明確公司實際控制人將放棄海外居留權且公司暫不需要相關資質。前述提問充分反映了監管部門對于金融安全的重視。
通過上述案例,我們不難發現企業應當將網絡安全合規工作置于重要位置,盡管目前《網絡安全法》的部分對應配套法規還在陸續征求意見、各方審議或剛剛通過的過程中,但是在企業開展相關業務、進行公開融資、應對外部監管時,網絡安全維度的制度安排與法律約束已經成型。本文將就金融數據跨境流動之治理維度與合規路徑的構建做相關討論。
一、數據跨境流動的相關法律風險
(
一
)數據跨境流動的主要內涵
“數據跨境流動”(Transborder Data Flows)一詞較早來源于經濟發展與合作組織(OECD)頒布的《關于隱私保護和個人數據跨境流動的指南》。依照我國的法律、法規以及規范性文件,“數據跨境流動”一詞并未直接出現,這一概念在相關法律性文件中的相關表述為“個人信息和重要數據”“向境外提供”(參見《網絡安全法》第37條)以及“網絡運營者將在中華人民共和國境內運營中收集和產生的個人信息和重要數據,提供給位于境外的機構、組織、個人”(參見《個人信息和重要數據出境安全評估辦法(征求意見稿)》第17條)。
我們理解,“數據跨境流動”的主要內涵可以概括為“內容+行為”的模式。“內容”即為個人信息和重要數據,“行為”既可以是將前述“內容”主動向境外主體提供,也可以是授權境外主體訪問相關“內容”等形式;既可以是線上傳輸,也可以是線下提供。
(二)數據跨境流動的主要風險
本文中數據跨境流動的主要風險是指在廣義的法律適用層面下可能產生的相關風險,可概括為違法風險、違規風險、違約風險與其他風險。
違法風險主要是指在“網絡空間主權”政策高度下所引領的《國家安全法》與《網絡安全法》形成“一體兩翼”式的基本法被違反所致的風險。《國家安全法》第25條等從國家安全的視角出發,明確了利用網絡危害國家安全的實質情勢,《網絡安全法》則將空間主權、國家安全等作為立法原則進一步明確了數據跨境流動影響、危害國家安全的法律責任。違反相關法律將面臨重大法律風險。
違規風險主要是指在《網絡安全法》出臺背景下,相關法規以及規范性文件被違反所致的風險。就數據跨境流動而言,既包含內容管理層面的信息管理安全規范,也涉及物理設備層面的技術管理安全規范。目前,《網絡產品和服務安全審查辦法(試行)》已經頒行,《個人信息和重要數據出境安全評估辦法》的征求意見稿也已出臺,在法規層面對數據跨境流動提供了相對細化的操作指引,若相關企業“選擇性忽視”,將會觸發違規風險。
違約風險主要是指在《合同法》框架下,就相關合同義務(數據提供服務)履行時出現瑕疵或因與公法規定相悖導致違約的風險。前述違法違規風險主要是在公法約束的語境下進行探討,而違約風險則是在私法層面進一步的明確法律風險。數據服務提供商在履行日常合約時應當在合法合規的前提下,做好保護商業秘密與合理利用數據的平衡,實現對供應方以及客戶方利益的兼顧,否則將面臨對某一方的違約風險。
其他風險主要是指政策或法律更新或更迭所致的風險以及法律域外管轄效力不足所致的風險等情況。僅在2000-2016年的十數年中,依據歐美對于數據跨境流動的監管政策與態度的多次變化,可以大致劃分為三個階段:安全港協議階段、標準合同條款與約束性企業規則適用的過渡階段以及隱私盾協議與保護傘協議階段。 [1] 我們理解,目前網絡安全已經愈發受到各國政府的重視,我國在網絡安全層面的政策強化以及法律優化是大勢所趨,若相關企業沒有足夠的預見性,將會產生不必要的成本與風險。此外,一國法律無論是適用屬人原則抑或屬地原則,依然在管轄時具有局限性,相關企業在數據跨境流動問題上,有可能面臨在適用境內境外“雙重法律”時的更大壓力,導致相關法律風險。
二、網絡安全法語境下的金融安全
(一)金融行業與關鍵信息基礎設施
網絡安全法語境下的金融安全指向之一是金融行業以及與之相關聯的關鍵信息基礎設施。
《網絡安全法》第31條明確,國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。我們理解,金融安全向來與國家安全息息相關,隨著信息技術不斷發展,金融安全與網絡安全也密不可分,金融行業的特殊性以及關鍵信息基礎設施的重要性構成了相關語境下金融安全的首要內容。
(二)金融數據與個人信息利用保護
網
絡安全法語境下的金融安全指向之二是金融數據與個人信息的利用與保護。
金融數據中的相當部分來源于個人信息,而金融數據本身又屬于“重要數據”,故而金融數據屬于《網絡安全法》中“個人信息和重要數據”保護的重中之重。我們理解,針對金融數據與個人信息,新頒行的《民法總則》等在私法層面強化了保護的重要性,《征信管理條例》等行業相關規定以及《網絡產品和服務安全審查辦法(試行)》等網安相關規定在公法之行政法層面細化了保護的多元性,而《刑法》則在公法之刑法層面具化了保護的徹底性。可見,金融數據與個人信息也是金融安全的題中之義。
(三)
金融服務與金融配套服務機制
網絡安全法語境下的金融安全指向之三是金融服務與配套機制。
在人們的慣常理解中,金融一詞的具象化往往對應了金融機構,這是因為金融機構承擔了金融資源配置這一金融領域的主要職能。但是在實踐中,隨著金融服務的多元化以及信息技術的現代化,金融服務與金融配套服務的外延不斷擴大,越來越多的市場主體的規范被囊括到金融安全的范疇之中,例如一些金融數據的歸集、存儲等都離不開技術外協公司,一些金融產品的推出、增信等也離不開信用評估公司。諸如此類的金融服務與配套機制也構成相關語境下金融安全的重要內容。
三、金融數據跨境流動的管制體系
(一)他律體系
金融數據跨境流動的他律體系主要包括政策推動與法律約束。
2016年4月,習近平總書記在網信工作座談會上發表“4.19”重要講話,明確了安全是發展的前提。隨后相關網絡安全政策逐步出臺,《國家網絡空間安全戰略》等紅頭文件應運而生。2016年11月,《網絡安全法》通過全國人大審議并頒行,成為網絡安全領域的基本法。《網絡安全法》從關鍵信息基礎設施保護、個人信息權責分工明確、網絡安全等級保護制度等維度,對金融數據跨境流動作出了基本的規范。
此外,最近國家互聯網信息辦公室發布的《個人信息和重要數據出境安全評估辦法(征求意見稿)》則勾勒了數據出境的基本監管框架:該征求意見稿第2條明確,網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據,應當在境內存儲;因業務需要,確需向境外提供的,應當進行安全評估。該征求意見稿第9條明確,關鍵信息基礎設施運營者向境外提供個人信息和重要數據,網絡運營者應報請行業主管或監管部門組織安全評估。該征求意見稿第11條明確,數據出境給國家政治、經濟、科技、國防等安全帶來風險,可能影響國家安全、損害社會公共利益的,該等數據不得出境。
可見,目前我國關于金融數據跨境流動的他律體系已經形成“政策-法律-法規”三位一體的管制體系,已經建成“專管部門-協管部門-司法部門”三位一體的裁斷機制。
(二)自律體系
金融數據跨境流動的自律體系主要包括行業自律與企業自律。隨著國家對網絡安全的愈發重視,相關行業已經在政府指導下組成了較為權威的自律組織。除了中國互聯網協會等與網絡相關的協會外,2016年3月中國網絡空間安全協會成立,成為網絡安全領域的首個全國性社會團體。中國網絡空間安全協會目前已對大數據、物聯網、云計算等發布白皮書,對金融數據跨境流動形成了一定指導,為與金融服務技術相關的重點企業的運營規范提供了數據與參考。同時,中國互聯網協會發布的《互聯網搜索引擎服務自律公約》與《互聯網終端軟件服務行業自律公約》等自律文件也具有相關參照意義。
此外,金融數據跨境流動的自律體系還包含企業的自律。與其他領域的自律管理相比,金融領域的自律管理與網安領域的自律管理具有更明確的法律依據。例如,《網絡安全法》第11條明確,網絡相關行業組織按照章程,加強行業自律,制定網絡安全行為規范,指導會員加強網絡安全保護,提高網絡安全保護水平,促進行業健康發展;《網絡產品和服務安全審查辦法(試行)》第3條明確,堅持企業承諾與社會監督相結合,第三方評價與政府持續監管相結合,實驗室檢測、現場檢查、在線監測、背景調查相結合,對網絡產品和服務及其供應鏈進行網絡安全審查。
可見,金融數據跨境流動的自律體系本身是基于法律原則規定與自律組織規范倡導基礎下的自律,具有較強的約束力與實踐力。
四、涉金融服務類企業的合規路徑
我們理解,相關企業的合規路徑應至少包括以下三個方面:第一,信息合規管理路徑;第二,數據資產管理路徑;第三,人員設備管理路徑。
關于信息合規管理路徑。
就金融數據跨境流動而言,信息合規管理主要是指在響應外部監管時,能及時判斷歸集、存儲的信息流動的合法合規性,并能較好的制定法律法規更迭時的應對機制。例如:《個人信息和重要數據出境安全評估辦法(征求意見稿)》一旦獲得通過,企業應當對第11條提出的給國家經濟安全帶來風險,可能影響國家安全、損害社會公共利益的數據不得出境的規定作出有效預判。
關于數據資產管理路徑。
就金融數據跨境流動而言,數據資產管理主要是指在信息合規管理的前提下,將數據作為有效資產進行合理運用與管理。《網絡安全法》以及相關規范性文件的出臺本身是為了管制相關數據跨境流動的行為并降低風險,而非為了刻意限制或者遏制數據的合理使用與有效利用。《網絡安全法》第12條明確規定,國家保護公民、法人和其他組織依法使用網絡的權利,促進網絡接入普及,提升網絡服務水平,為社會提供安全、便利的網絡服務,保障網絡信息依法有序自由流動。故而,相關企業應當辯證的看待網絡安全領域的法律法規,將其作為保護自身利益、保障行業秩序的利器,并在尋求信息合規管理的基礎上構建“數據資產管理”的觀念,提供優質的金融信息服務。
關于人員設備管理路徑。
就金融數據跨境流動而言,人員設備管理主要是指在靜態的制度保障之外,還應當對人員、設備等動態事物進行有效管理。一如本文前述,金融數據跨境流動的管制體系包括他律體系與自律體系,靜態的制度保障(包括但不限于法律法規等)更多的傾向于他律體系,而人員設備的內部管理則更多的側重于自律體系。盡管法律沒有明確規定相關企業的內部治理,但是相關企業仍應高度警惕因內部人員失誤或設備問題導致的侵權責任。
金融服務是激活市場存量、優化資源配置的重要手段,而金融數據是金融服務的重要載體,金融數據跨境流動在信息化時代下的規范對國家安全、網絡安全、金融安全已產生越來越重要的影響。誠然,企業響應外部制度約束并構建內部合規體系將面臨各類新工作量的發生,但以更好、安全地提供金融服務為導向的系統規劃、合規機制構建已成為企業的當務之急。
[1] 參見羅力: 《美歐跨境數據流動監管演化及對我國的啟示》, 載《電腦知識與技術》2017年第8期。
滬公網安備 31010402007129號
