最近完成A股IPO并登陆创业板的科蓝软件(300663),公司主营业务为:向以银行为主的金融机构提供软件产品应用开发和技术服务。据悉,公司在申报上市时,曾遇到证券监管部门提出反馈问题:发行人实际控制人具有海外居留权,请说明是否对发行人开展银行等金融机构业务产生不利影响、国内目前及可预见将来有无此方面限制;请发行人说明其主要业务的开展是否需要具备安全等方面的资质,报告期内是否持续具备相关资质。
公司在后续的反馈答复中明确公司实际控制人将放弃海外居留权且公司暂不需要相关资质。前述提问充分反映了监管部门对于金融安全的重视。
通过上述案例,我们不难发现企业应当将网络安全合规工作置于重要位置,尽管目前《网络安全法》的部分对应配套法规还在陆续征求意见、各方审议或刚刚通过的过程中,但是在企业开展相关业务、进行公开融资、应对外部监管时,网络安全维度的制度安排与法律约束已经成型。本文将就金融数据跨境流动之治理维度与合规路径的构建做相关讨论。
一、数据跨境流动的相关法律风险
(
一
)数据跨境流动的主要内涵
“数据跨境流动”(Transborder Data Flows)一词较早来源于经济发展与合作组织(OECD)颁布的《关于隐私保护和个人数据跨境流动的指南》。依照我国的法律、法规以及规范性文件,“数据跨境流动”一词并未直接出现,这一概念在相关法律性文件中的相关表述为“个人信息和重要数据”“向境外提供”(参见《网络安全法》第37条)以及“网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人”(参见《个人信息和重要数据出境安全评估办法(征求意见稿)》第17条)。
我们理解,“数据跨境流动”的主要内涵可以概括为“内容+行为”的模式。“内容”即为个人信息和重要数据,“行为”既可以是将前述“内容”主动向境外主体提供,也可以是授权境外主体访问相关“内容”等形式;既可以是线上传输,也可以是线下提供。
(二)数据跨境流动的主要风险
本文中数据跨境流动的主要风险是指在广义的法律适用层面下可能产生的相关风险,可概括为违法风险、违规风险、违约风险与其他风险。
违法风险主要是指在“网络空间主权”政策高度下所引领的《国家安全法》与《网络安全法》形成“一体两翼”式的基本法被违反所致的风险。《国家安全法》第25条等从国家安全的视角出发,明确了利用网络危害国家安全的实质情势,《网络安全法》则将空间主权、国家安全等作为立法原则进一步明确了数据跨境流动影响、危害国家安全的法律责任。违反相关法律将面临重大法律风险。
违规风险主要是指在《网络安全法》出台背景下,相关法规以及规范性文件被违反所致的风险。就数据跨境流动而言,既包含内容管理层面的信息管理安全规范,也涉及物理设备层面的技术管理安全规范。目前,《网络产品和服务安全审查办法(试行)》已经颁行,《个人信息和重要数据出境安全评估办法》的征求意见稿也已出台,在法规层面对数据跨境流动提供了相对细化的操作指引,若相关企业“选择性忽视”,将会触发违规风险。
违约风险主要是指在《合同法》框架下,就相关合同义务(数据提供服务)履行时出现瑕疵或因与公法规定相悖导致违约的风险。前述违法违规风险主要是在公法约束的语境下进行探讨,而违约风险则是在私法层面进一步的明确法律风险。数据服务提供商在履行日常合约时应当在合法合规的前提下,做好保护商业秘密与合理利用数据的平衡,实现对供应方以及客户方利益的兼顾,否则将面临对某一方的违约风险。
其他风险主要是指政策或法律更新或更迭所致的风险以及法律域外管辖效力不足所致的风险等情况。仅在2000-2016年的十数年中,依据欧美对于数据跨境流动的监管政策与态度的多次变化,可以大致划分为三个阶段:安全港协议阶段、标准合同条款与约束性企业规则适用的过渡阶段以及隐私盾协议与保护伞协议阶段。 [1] 我们理解,目前网络安全已经愈发受到各国政府的重视,我国在网络安全层面的政策强化以及法律优化是大势所趋,若相关企业没有足够的预见性,将会产生不必要的成本与风险。此外,一国法律无论是适用属人原则抑或属地原则,依然在管辖时具有局限性,相关企业在数据跨境流动问题上,有可能面临在适用境内境外“双重法律”时的更大压力,导致相关法律风险。
二、网络安全法语境下的金融安全
(一)金融行业与关键信息基础设施
网络安全法语境下的金融安全指向之一是金融行业以及与之相关联的关键信息基础设施。
《网络安全法》第31条明确,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。我们理解,金融安全向来与国家安全息息相关,随着信息技术不断发展,金融安全与网络安全也密不可分,金融行业的特殊性以及关键信息基础设施的重要性构成了相关语境下金融安全的首要内容。
(二)金融数据与个人信息利用保护
网
络安全法语境下的金融安全指向之二是金融数据与个人信息的利用与保护。
金融数据中的相当部分来源于个人信息,而金融数据本身又属于“重要数据”,故而金融数据属于《网络安全法》中“个人信息和重要数据”保护的重中之重。我们理解,针对金融数据与个人信息,新颁行的《民法总则》等在私法层面强化了保护的重要性,《征信管理条例》等行业相关规定以及《网络产品和服务安全审查办法(试行)》等网安相关规定在公法之行政法层面细化了保护的多元性,而《刑法》则在公法之刑法层面具化了保护的彻底性。可见,金融数据与个人信息也是金融安全的题中之义。
(三)
金融服务与金融配套服务机制
网络安全法语境下的金融安全指向之三是金融服务与配套机制。
在人们的惯常理解中,金融一词的具象化往往对应了金融机构,这是因为金融机构承担了金融资源配置这一金融领域的主要职能。但是在实践中,随着金融服务的多元化以及信息技术的现代化,金融服务与金融配套服务的外延不断扩大,越来越多的市场主体的规范被囊括到金融安全的范畴之中,例如一些金融数据的归集、存储等都离不开技术外协公司,一些金融产品的推出、增信等也离不开信用评估公司。诸如此类的金融服务与配套机制也构成相关语境下金融安全的重要内容。
三、金融数据跨境流动的管制体系
(一)他律体系
金融数据跨境流动的他律体系主要包括政策推动与法律约束。
2016年4月,习近平总书记在网信工作座谈会上发表“4.19”重要讲话,明确了安全是发展的前提。随后相关网络安全政策逐步出台,《国家网络空间安全战略》等红头文件应运而生。2016年11月,《网络安全法》通过全国人大审议并颁行,成为网络安全领域的基本法。《网络安全法》从关键信息基础设施保护、个人信息权责分工明确、网络安全等级保护制度等维度,对金融数据跨境流动作出了基本的规范。
此外,最近国家互联网信息办公室发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》则勾勒了数据出境的基本监管框架:该征求意见稿第2条明确,网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储;因业务需要,确需向境外提供的,应当进行安全评估。该征求意见稿第9条明确,关键信息基础设施运营者向境外提供个人信息和重要数据,网络运营者应报请行业主管或监管部门组织安全评估。该征求意见稿第11条明确,数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益的,该等数据不得出境。
可见,目前我国关于金融数据跨境流动的他律体系已经形成“政策-法律-法规”三位一体的管制体系,已经建成“专管部门-协管部门-司法部门”三位一体的裁断机制。
(二)自律体系
金融数据跨境流动的自律体系主要包括行业自律与企业自律。随着国家对网络安全的愈发重视,相关行业已经在政府指导下组成了较为权威的自律组织。除了中国互联网协会等与网络相关的协会外,2016年3月中国网络空间安全协会成立,成为网络安全领域的首个全国性社会团体。中国网络空间安全协会目前已对大数据、物联网、云计算等发布白皮书,对金融数据跨境流动形成了一定指导,为与金融服务技术相关的重点企业的运营规范提供了数据与参考。同时,中国互联网协会发布的《互联网搜索引擎服务自律公约》与《互联网终端软件服务行业自律公约》等自律文件也具有相关参照意义。
此外,金融数据跨境流动的自律体系还包含企业的自律。与其他领域的自律管理相比,金融领域的自律管理与网安领域的自律管理具有更明确的法律依据。例如,《网络安全法》第11条明确,网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展;《网络产品和服务安全审查办法(试行)》第3条明确,坚持企业承诺与社会监督相结合,第三方评价与政府持续监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其供应链进行网络安全审查。
可见,金融数据跨境流动的自律体系本身是基于法律原则规定与自律组织规范倡导基础下的自律,具有较强的约束力与实践力。
四、涉金融服务类企业的合规路径
我们理解,相关企业的合规路径应至少包括以下三个方面:第一,信息合规管理路径;第二,数据资产管理路径;第三,人员设备管理路径。
关于信息合规管理路径。
就金融数据跨境流动而言,信息合规管理主要是指在响应外部监管时,能及时判断归集、存储的信息流动的合法合规性,并能较好的制定法律法规更迭时的应对机制。例如:《个人信息和重要数据出境安全评估办法(征求意见稿)》一旦获得通过,企业应当对第11条提出的给国家经济安全带来风险,可能影响国家安全、损害社会公共利益的数据不得出境的规定作出有效预判。
关于数据资产管理路径。
就金融数据跨境流动而言,数据资产管理主要是指在信息合规管理的前提下,将数据作为有效资产进行合理运用与管理。《网络安全法》以及相关规范性文件的出台本身是为了管制相关数据跨境流动的行为并降低风险,而非为了刻意限制或者遏制数据的合理使用与有效利用。《网络安全法》第12条明确规定,国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。故而,相关企业应当辩证的看待网络安全领域的法律法规,将其作为保护自身利益、保障行业秩序的利器,并在寻求信息合规管理的基础上构建“数据资产管理”的观念,提供优质的金融信息服务。
关于人员设备管理路径。
就金融数据跨境流动而言,人员设备管理主要是指在静态的制度保障之外,还应当对人员、设备等动态事物进行有效管理。一如本文前述,金融数据跨境流动的管制体系包括他律体系与自律体系,静态的制度保障(包括但不限于法律法规等)更多的倾向于他律体系,而人员设备的内部管理则更多的侧重于自律体系。尽管法律没有明确规定相关企业的内部治理,但是相关企业仍应高度警惕因内部人员失误或设备问题导致的侵权责任。
金融服务是激活市场存量、优化资源配置的重要手段,而金融数据是金融服务的重要载体,金融数据跨境流动在信息化时代下的规范对国家安全、网络安全、金融安全已产生越来越重要的影响。诚然,企业响应外部制度约束并构建内部合规体系将面临各类新工作量的发生,但以更好、安全地提供金融服务为导向的系统规划、合规机制构建已成为企业的当务之急。
[1] 参见罗力: 《美欧跨境数据流动监管演化及对我国的启示》, 载《电脑知识与技术》2017年第8期。