摘　要：企業(yè)跨境上市及其跨境數(shù)據(jù)流動提高了金融業(yè)的開放程度，也引發(fā)了上市企業(yè)母國與東道國之間的跨境證券監(jiān)管法律沖突，其中數(shù)據(jù)安全問題是焦點之一。具體表現(xiàn)在：一是數(shù)字經(jīng)濟(jì)的快速發(fā)展給數(shù)據(jù)安全提出了挑戰(zhàn)，二是各國對跨境數(shù)據(jù)流動的不同主張形成了新的貿(mào)易壁壘，三是各國不同的數(shù)據(jù)監(jiān)管規(guī)則產(chǎn)生了國際法律沖突，四是我國現(xiàn)行法律體系在數(shù)據(jù)跨境監(jiān)管方面存在立法空白。為應(yīng)對數(shù)據(jù)安全監(jiān)管的挑戰(zhàn)、完善跨國證券監(jiān)管協(xié)調(diào)，上市公司母國要明確企業(yè)境外上市數(shù)據(jù)安全標(biāo)準(zhǔn)，東道國要明確外國企業(yè)上市數(shù)據(jù)安全規(guī)則，國家間要協(xié)調(diào)數(shù)據(jù)安全證券監(jiān)管規(guī)則和司法管轄權(quán)。各國應(yīng)加強合作、減少對抗，協(xié)調(diào)數(shù)據(jù)跨境監(jiān)管國際規(guī)則的構(gòu)建，探索跨境證券監(jiān)管合作路徑，以應(yīng)對數(shù)字經(jīng)濟(jì)復(fù)雜化的新挑戰(zhàn)。

　　關(guān)鍵詞：證券監(jiān)管;數(shù)據(jù)安全;跨境數(shù)據(jù)流動;中概股;VIE

　　一、引言

　　企業(yè)跨境上市及其跨境數(shù)據(jù)流動提高了金融業(yè)的開放程度，也對數(shù)據(jù)安全提出了挑戰(zhàn)。以“滴滴事件”為代表的中概股跨境監(jiān)管問題凸顯了跨境證券監(jiān)管中的數(shù)據(jù)安全問題，該問題屬于跨國上市企業(yè)母國同東道國之間的證券監(jiān)管法律沖突。中概股赴海外上市企業(yè)中多采用紅籌上市架構(gòu)，其中可變利益實體(VariableInterestEntity，以下簡稱VIE架構(gòu))是最常見的方式，即將境外上市主體與境內(nèi)業(yè)務(wù)實體分離的同時，用協(xié)議構(gòu)建前者對后者的控制，二者之間不是股權(quán)關(guān)系，而是合同關(guān)系(劉燕，2012)。

　　VIE架構(gòu)能幫助外資有效規(guī)避政府管制和證券監(jiān)管，以實現(xiàn)規(guī)避我國監(jiān)管機構(gòu)審查和境內(nèi)業(yè)務(wù)境外上市之目的。VIE架構(gòu)合法性一直存在爭議，而且中美兩國在中概股財務(wù)數(shù)據(jù)審計方面的沖突難以化解(黃凱，2021)。近期隨著我國對境內(nèi)企業(yè)境外上市的數(shù)據(jù)安全監(jiān)管的加強，跨國證券監(jiān)管中的數(shù)據(jù)安全問題值得深入探討。

　　二、數(shù)據(jù)安全對跨國證券監(jiān)管的法律挑戰(zhàn)

　　(一)數(shù)字經(jīng)濟(jì)的快速發(fā)展給數(shù)據(jù)安全提出了挑戰(zhàn)隨著數(shù)字經(jīng)濟(jì)的不斷發(fā)展變化，數(shù)據(jù)安全不再是傳統(tǒng)的對數(shù)據(jù)信息的簡單儲存和保密，也不是單純的財務(wù)數(shù)據(jù)，而是被賦予更為復(fù)雜的涵義。依據(jù)我國《數(shù)據(jù)安全法》的規(guī)定，數(shù)據(jù)安全是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

　　具言之，跨國證券監(jiān)管中的數(shù)據(jù)安全，是指金融監(jiān)管機構(gòu)基于使數(shù)據(jù)使用更安全的核心目標(biāo)，從數(shù)據(jù)保護(hù)、合規(guī)、管理層面，對數(shù)據(jù)完整性、保密性、可用性、合法性提出嚴(yán)格要求，以有效規(guī)范數(shù)據(jù)資產(chǎn)的訪問、運營、傳輸、存儲、刪除等各個環(huán)節(jié)。例如，跨國公司內(nèi)部業(yè)務(wù)數(shù)據(jù)傳輸與對外服務(wù)數(shù)據(jù)傳輸，商業(yè)數(shù)據(jù)跨境共享與傳輸，個人瀏覽網(wǎng)頁記錄，設(shè)備識別碼與IP地址的錄入，跨境運輸?shù)某丝托彰�記錄與地理位置數(shù)據(jù)，網(wǎng)絡(luò)郵件、社交網(wǎng)絡(luò)和其他電子通信的云儲存與訪問，國家政務(wù)信息數(shù)據(jù)共享與保密，cookie的發(fā)送與存放等。即使不包含個人數(shù)據(jù)的數(shù)據(jù)集，基于應(yīng)用數(shù)據(jù)的方法，也可能對隱私政策產(chǎn)生潛在威脅。

　　數(shù)據(jù)安全已滲透到人們生產(chǎn)生活的方方面面，同國家安全、個人信息安全、商業(yè)數(shù)據(jù)保護(hù)密切相關(guān)，而不僅局限于商業(yè)秘密、財務(wù)數(shù)據(jù)范疇。金融數(shù)據(jù)的爆炸式增長超出傳統(tǒng)數(shù)據(jù)監(jiān)管范疇，部分企業(yè)和個人利用法律的滯后性謀取商業(yè)利益，造成金融市場數(shù)據(jù)使用的混亂(鐘紅，2021)。以“滴滴事件”為例，滴滴出行是一家提供出行服務(wù)的企業(yè)，其崛起改變了傳統(tǒng)的線下打車的市場格局，利用大數(shù)據(jù)構(gòu)建了線上與線下相融合的出行方式，推動服務(wù)C端消費者實現(xiàn)消費升級，同時掌握了海量用戶的個人信息、網(wǎng)絡(luò)身份識別信息、移動支付信息、個人位置信息、生物識別信息、車輛GPS信息以及我國高精度地圖數(shù)據(jù)等大量重要數(shù)據(jù)。

　　從媒體相關(guān)報道來看，滴滴出行被網(wǎng)絡(luò)安全審查的表面原因在于其跨境數(shù)據(jù)流動問題以及用戶數(shù)據(jù)過度搜集問題，但究其本質(zhì)或許在于國家對滴滴的潛在技術(shù)漏洞和數(shù)據(jù)泄露、濫用、損毀等風(fēng)險的擔(dān)憂。正是基于數(shù)據(jù)安全保護(hù)的考量，同樣掌握高精度地圖和地理測繪信息，宣稱汽車智能化的特斯拉(Tesla)為實現(xiàn)數(shù)據(jù)存儲本地化，針對中國市場在我國境內(nèi)建立了數(shù)據(jù)中心①。2021年8月20日，我國國家互聯(lián)網(wǎng)信息辦公室等部門聯(lián)合發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》，對數(shù)據(jù)處理者提出汽車運行所產(chǎn)生的數(shù)據(jù)要進(jìn)行車內(nèi)處理、脫敏處理、精度范圍適用等要求，以防止數(shù)據(jù)的違法收集和違規(guī)濫用。

　　(二)各國對跨境數(shù)據(jù)流動的不同主張形成了新的貿(mào)易壁壘

　　跨境數(shù)據(jù)流動不僅推動了國際經(jīng)濟(jì)貿(mào)易的發(fā)展，也衍生了新的貿(mào)易壁壘，各國評估跨境數(shù)據(jù)傳輸、隱私政策、經(jīng)濟(jì)成本之間的關(guān)系越來越復(fù)雜。數(shù)據(jù)共享是實現(xiàn)數(shù)據(jù)價值最大化的重要路徑，也是金融數(shù)據(jù)監(jiān)管的重要方面，但國際層面并沒有形成統(tǒng)一的數(shù)據(jù)共享標(biāo)準(zhǔn)。不論是數(shù)據(jù)寡頭企業(yè)對數(shù)據(jù)共享的變相限制和壟斷，抑或金融監(jiān)管機構(gòu)間有效數(shù)據(jù)共享和協(xié)調(diào)的缺失，均使得跨境數(shù)據(jù)流動和監(jiān)管形成了較高的貿(mào)易壁壘，為監(jiān)管套利和投機主義創(chuàng)造了機會。

　　數(shù)字貿(mào)易壁壘主要體現(xiàn)在強制本地化義務(wù)、市場進(jìn)入限制、數(shù)據(jù)及個人隱私保護(hù)措施、消費者權(quán)益維護(hù)、知識產(chǎn)權(quán)保護(hù)、平臺從業(yè)者法律責(zé)任不明確、內(nèi)容審查以及數(shù)字貿(mào)易環(huán)境不健全等幾大主要障礙(USTR，2017)，其中對數(shù)據(jù)本地化的探討尤為激烈，諸多國際貿(mào)易協(xié)定都對此展開討論。世界貿(mào)易組織(WTO)的談判文本包含了禁止數(shù)據(jù)本地化的規(guī)定，認(rèn)為數(shù)據(jù)本地化屬于“不合理的歧視或變相限制的手段，或超出實際目標(biāo)所需要的程度”之列。《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)要求簽署國允許數(shù)據(jù)跨境自由流動，鼓勵數(shù)據(jù)保護(hù)制度之間的互操作性，認(rèn)為各國都應(yīng)允許開展業(yè)務(wù)的數(shù)據(jù)跨境傳輸。《美國—墨西哥—加拿大協(xié)議》(USMCA)不允許締約方以“合法的公共政策目標(biāo)”為由，對其他締約第三方提出數(shù)據(jù)本地化的要求。

　　但《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(RCEP)允許成員國實施任何他們希望的國家監(jiān)管限制，只要這些限制是以非歧視的方式實施的。據(jù)不完全統(tǒng)計，目前全球已有62個國家實施了144項數(shù)據(jù)本地化要求。以美國為代表的反對者則鼎力支持跨境數(shù)據(jù)流動的自由化，極力反對數(shù)據(jù)本地化，主張降低數(shù)字貿(mào)易障礙。而數(shù)據(jù)本地化的支持者認(rèn)為，數(shù)據(jù)本地化能從源頭阻止第三國政府給供應(yīng)商施壓以實現(xiàn)跨境數(shù)據(jù)的政治訪問。歐盟始終強調(diào)對個人信息的保護(hù)，青睞于數(shù)據(jù)本地化措施，大力推崇間接和事實上的本地化，強調(diào)達(dá)成高標(biāo)準(zhǔn)規(guī)則和承諾以增加規(guī)制的可預(yù)見性。以中國為代表的諸多發(fā)展中國家在數(shù)據(jù)領(lǐng)域立法，傾向于屬地管轄原則和數(shù)據(jù)本地化原則，重視對跨境數(shù)據(jù)傳輸自由流動的限制。不難發(fā)現(xiàn)，美國、歐盟、中國三大國際貿(mào)易巨頭對跨境數(shù)據(jù)流動監(jiān)管有著不同的主張和碎片化處理方式。

　　(三)各國不同的數(shù)據(jù)監(jiān)管規(guī)則產(chǎn)生了國際法律沖突

　　諸多國家已經(jīng)將數(shù)據(jù)跨境流動問題定位為國家安全層面的重要戰(zhàn)略，各國積極制定相關(guān)的數(shù)據(jù)監(jiān)管法律規(guī)則，以避免跨境數(shù)據(jù)流動標(biāo)準(zhǔn)方面不完全的互操作性所造成的潛在威脅。但由于各國在數(shù)字市場與需求方面的差異，各國在數(shù)據(jù)監(jiān)管措施的選擇上，不可避免地存在差異化選擇現(xiàn)象，使得該議題在多邊層面陷入僵局。國際組織的多樣性、各法域法規(guī)間的不一致和不確定性，增加了數(shù)據(jù)跨境轉(zhuǎn)移的復(fù)雜性，導(dǎo)致數(shù)據(jù)跨境自由流動難以確定適用性。

　　由于數(shù)據(jù)天然具有流動便利性，一國僅在本國范圍內(nèi)進(jìn)行數(shù)據(jù)治理效果并不明顯，規(guī)則的域外適用擴(kuò)張變成必然趨勢(孔慶江和于華溢，2020)。以中美之間法律沖突為例，2018年3月23日，美國國會通過了《清澄境外數(shù)據(jù)的合法使用法案》(以下簡稱CLOUD法案)，更新了美國執(zhí)法機構(gòu)請求通信服務(wù)提供商所保管數(shù)據(jù)的法律框架，賦予美國政府調(diào)取美國企業(yè)在境外存儲的數(shù)據(jù)信息的執(zhí)法權(quán)，明確了數(shù)據(jù)控制者應(yīng)依據(jù)法案提供數(shù)據(jù)的義務(wù)。值得注意的是，美國執(zhí)法跨境調(diào)取數(shù)據(jù)采用“數(shù)據(jù)控制者標(biāo)準(zhǔn)”，顯然無視了數(shù)據(jù)存儲所在國的法律機制。本質(zhì)上，美國借由CLOUD法案對跨境數(shù)據(jù)流動治理施加域外長臂管轄，為其實施數(shù)據(jù)霸權(quán)鋪設(shè)了法理基礎(chǔ)，擴(kuò)張了美國數(shù)據(jù)主權(quán)管轄的范圍，強化了美國對跨境數(shù)據(jù)流動的控制力。

　　然而，我國傾向于屬地管轄原則和數(shù)據(jù)本地化原則，重視數(shù)字貿(mào)易的屬性，重點強調(diào)對關(guān)鍵信息基礎(chǔ)設(shè)施運營者提出數(shù)據(jù)本地化及出境數(shù)據(jù)安全評估的要求，主張個人信息和重要數(shù)據(jù)的跨境流動需要經(jīng)過母國評估。不難發(fā)現(xiàn)，同美國數(shù)字霸權(quán)主義不同，我國對跨境數(shù)據(jù)流動的態(tài)度在于，既支持跨境數(shù)據(jù)流動自由化，又強調(diào)數(shù)據(jù)安全系先決條件。中美之間愈演愈烈的法律沖突更直觀體現(xiàn)在兩國對跨國證券發(fā)行者首次公開募股(IPO)相關(guān)文件和資料管理的不同。

　　一方面，美國2020年通過的《外國公司問責(zé)法案》將矛頭直指中概股企業(yè)，對在美上市的中概股公司提出了不合理的監(jiān)管要求，明確要求外國赴美上市企業(yè)必須提供審計工作底稿，披露其是否由外國政府持有或控制，并規(guī)定在美上市的證券發(fā)行者若連續(xù)三年未接受美國上市公司會計監(jiān)督委員會的審查，將禁止在美國任何交易所上市，面臨退市風(fēng)險。另一方面，我國新《證券法》不僅嚴(yán)格限制境外證券監(jiān)督機構(gòu)的調(diào)查取證活動，且明確任何單位或個人若要向境外提供與證券業(yè)務(wù)活動有關(guān)的文件和資料，必須經(jīng)過國務(wù)院證券監(jiān)督管理機構(gòu)和國務(wù)院有關(guān)主管部門的同意。因此，赴美上市的中概股公司如果按照美國法律提交含審計底稿、用戶數(shù)據(jù)等在內(nèi)的IPO材料，將直接威脅著我國數(shù)據(jù)安全。

　　(四)我國現(xiàn)行法律體系在數(shù)據(jù)跨境監(jiān)管方面存在立法空白

　　隨著經(jīng)濟(jì)全球化的進(jìn)程曲折反復(fù)，跨國證券監(jiān)管日趨復(fù)雜，而始終處于灰色地帶的中概股VIE架構(gòu)則是歷史遺留的關(guān)鍵問題。顯然，我國對中概股監(jiān)管的模糊態(tài)度以及對VIE架構(gòu)的曖昧態(tài)度，是造成通過VIE架構(gòu)遠(yuǎn)赴海外上市的證券發(fā)行企業(yè)陷入法律不確定性的重要因素。面對2021年以來我國對互聯(lián)網(wǎng)企業(yè)、校外輔導(dǎo)行業(yè)實施的監(jiān)管，美國證券交易委員會(SEC)主席詹斯勒(Gensler)于2021年7月30日表示，將對中概股企業(yè)信息披露作出更加嚴(yán)格的要求，明確中國企業(yè)赴美上市需獲得中國政府許可的前提，并要求中概股證券發(fā)行者必須明確告知投資者其所發(fā)行股票系離岸殼公司股票，以提醒投資者中概股所面對的“中國政府采取行動而造成重大不確定性的風(fēng)險”。

　　在國際稅收改革制度引發(fā)的經(jīng)濟(jì)數(shù)字化稅收挑戰(zhàn)下，中概股企業(yè)對數(shù)據(jù)跨境傳輸?shù)臐撛谕�脅愈發(fā)強烈。但客觀而言，目前中國不可能完全否認(rèn)VIE架構(gòu)的法律效力，也不可能完全禁止中國企業(yè)繼續(xù)利用VIE架構(gòu)赴美上市，也不可能要求在美國上市的中概股全部退市而回歸國內(nèi)上市(姜立文和楊克慧，2020)。

　　我國《數(shù)據(jù)安全法》著眼于數(shù)據(jù)處理與數(shù)據(jù)安全兩個板塊，明確了我國對數(shù)據(jù)安全保護(hù)的政策要求，積極回應(yīng)了國內(nèi)外數(shù)據(jù)競爭和保護(hù)的關(guān)鍵問題，擴(kuò)大了審批制度的適用范圍，在一定程度上填補了我國由來已久的數(shù)據(jù)安全監(jiān)管領(lǐng)域的立法空白。雖然其中首次提出了數(shù)據(jù)自由流動原則，但也嚴(yán)格規(guī)定非經(jīng)我國主管機關(guān)批準(zhǔn)，境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構(gòu)提供存儲于我國境內(nèi)的數(shù)據(jù)，彰顯了我國既堅持對外開放又堅守數(shù)據(jù)主權(quán)的底線思維。然而，《數(shù)據(jù)安全法》對跨境數(shù)據(jù)的監(jiān)管仍呈現(xiàn)籠統(tǒng)、原則之態(tài)，在實際監(jiān)管層面仍留有空白，不具有切實可操作性。

　　2021年8月17日國務(wù)院印發(fā)的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，通過具體列舉的方式對關(guān)鍵信息基礎(chǔ)設(shè)施作了邊界性的認(rèn)定，但也僅對運營者提出原則性的責(zé)任義務(wù)要求，并未明確關(guān)鍵信息的保護(hù)目標(biāo)、具體要求、細(xì)致措施。雖然國家網(wǎng)信辦在滴滴風(fēng)波后有針對性地發(fā)布了《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見)》，在跨境數(shù)據(jù)流動監(jiān)管層面進(jìn)行了部分修訂，但仍舊屬于原則性的規(guī)制，并沒有對各行業(yè)數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)作出明確要求或限制，僅僅強調(diào)了我國確保“數(shù)據(jù)主權(quán)”、“嚴(yán)格限制跨境數(shù)據(jù)流動”的立場。一言以蔽之，我國現(xiàn)行法律體系缺乏對跨境數(shù)據(jù)流動相關(guān)申請審批的細(xì)則，給跨境證券發(fā)行企業(yè)合規(guī)帶來了不確定性，亟需完善進(jìn)一步的實施細(xì)則，以更好填補數(shù)據(jù)跨境監(jiān)管立法空白。

　　三、完善跨國證券監(jiān)管協(xié)調(diào)以應(yīng)對數(shù)據(jù)安全問題的構(gòu)想

　　(一)明確企業(yè)境外上市的母國數(shù)據(jù)安全標(biāo)準(zhǔn)

　　1.明確證券領(lǐng)域的信息數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)證券領(lǐng)域數(shù)據(jù)保護(hù)的需求來源于國家安全、商業(yè)產(chǎn)業(yè)競爭、個人隱私保護(hù)等多維度。

　　中國人民銀行2020年9月發(fā)布的《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》(JR/T0197—2020)，根據(jù)金融業(yè)機構(gòu)數(shù)據(jù)安全性遭受破壞后的影響對象和所造成的影響程度，將數(shù)據(jù)安全級別劃分為5個等級。數(shù)據(jù)傳輸規(guī)則的構(gòu)建應(yīng)與數(shù)據(jù)分級分類制度相銜接，將數(shù)據(jù)分類分級制度貫穿于數(shù)據(jù)傳輸?shù)母鱾�流程，對不同級別的金融數(shù)據(jù)采取不同的金融監(jiān)管措施。面對數(shù)據(jù)傳輸途徑與場景的多樣化，《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見)》增加了第六條，明確規(guī)定掌握超過100萬用戶個人信息的運營者赴境外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查。100萬用戶的門檻對互聯(lián)網(wǎng)企業(yè)而言只是基礎(chǔ)門檻，這就意味著許多中概股企業(yè)遠(yuǎn)赴境外上市前，都將面臨網(wǎng)絡(luò)安全審查這一事前審查。

　　《數(shù)據(jù)安全法》強調(diào)了對重要數(shù)據(jù)目錄的監(jiān)管，但數(shù)據(jù)應(yīng)用場景的劃分卻并不明確。對此可以借鑒歐盟的相關(guān)經(jīng)驗。歐盟于2021年6月更新的標(biāo)準(zhǔn)合同條款(StandardContractualClauses，以下簡稱SCC)將通用條款與模塊化方法有機結(jié)合，通過劃分復(fù)雜的數(shù)據(jù)場景進(jìn)行處理，以更好地滿足現(xiàn)代數(shù)據(jù)處理需求，明確了數(shù)據(jù)傳輸?shù)乃姆N場景，增強了合同模板的靈活性，積極回應(yīng)了各方間數(shù)據(jù)流動的現(xiàn)實需求。總之，在跨境證券發(fā)行企業(yè)的數(shù)據(jù)合規(guī)處理上，應(yīng)明確跨境數(shù)據(jù)處理者應(yīng)主動實施的具體合法性措施，提高金融數(shù)據(jù)監(jiān)管的透明度，為監(jiān)管實體提供可預(yù)測性，促進(jìn)其他利益相關(guān)者間的有效溝通。

　　2.明確金融數(shù)據(jù)出境的評估審批要求

　　加快數(shù)據(jù)監(jiān)管評估審批流程，縮短審批周期，是對合規(guī)成本的節(jié)約，這就必然要求對立法層面評估審批制度的細(xì)化。我國《數(shù)據(jù)安全法》提出了對跨境數(shù)據(jù)傳輸進(jìn)行評估的要求，但并沒有明確數(shù)據(jù)安全評估的具體審批要求，鮮有的幾條涉及金融信息共享評估規(guī)則散見于未生效的征求意見稿、試行辦法之列，在立法層面并未落實，在實踐層面也難以落實明確的監(jiān)管要求。

　　《個人信息保護(hù)法》雖明確要求基于業(yè)務(wù)需要的個人信息跨境提供，應(yīng)當(dāng)滿足通過安全評估、個人信息保護(hù)認(rèn)證或簽訂標(biāo)準(zhǔn)合同等條件，也明確了個人信息處理者事前進(jìn)行個人信息保護(hù)影響評估的五種情形以及個人信息保護(hù)影響評估應(yīng)當(dāng)包含的內(nèi)容，但仍未涉及相關(guān)主管部門審批的實施細(xì)則，評估的具體認(rèn)定標(biāo)準(zhǔn)以及程序要求有待進(jìn)一步論證和細(xì)化。由此，針對哪些數(shù)據(jù)允許出境，哪些不允許出境，哪些數(shù)據(jù)不需要進(jìn)行安全評估，如何申請審批，哪個機構(gòu)如何作出審批，如何處理境外執(zhí)法部門傳輸數(shù)據(jù)的清算請求等問題，現(xiàn)行條例只是閃爍其詞，并沒有制定可行的規(guī)范細(xì)則。

　　法律的模糊語言或許可以使政府能夠追溯管轄某些數(shù)據(jù)傳輸范圍，但必然導(dǎo)致制度利益和合規(guī)成本間的失衡。為應(yīng)對上述問題，一方面，在金融數(shù)據(jù)評估規(guī)則的制定中可以舉例式明確不允許數(shù)據(jù)出境的具體場景，包括數(shù)據(jù)類型、數(shù)據(jù)處理目的、保存時限的界限等;另一方面，為節(jié)約監(jiān)管部門的行政成本和提高評估審批的效率，可以從程序上著手對企業(yè)內(nèi)部不涉及敏感信息的數(shù)據(jù)傳輸予以一定的審批減免，并具體公布程序減免的范圍。

　　同時，涉及重要金融數(shù)據(jù)時，監(jiān)管機構(gòu)應(yīng)對境外數(shù)據(jù)接收方的網(wǎng)絡(luò)安全狀態(tài)進(jìn)行評估。評估其連接信息技術(shù)系統(tǒng)和網(wǎng)絡(luò)運行的安全性，以及評估接收方在應(yīng)對違規(guī)行為時是否設(shè)置自動保護(hù)措施;要有適當(dāng)?shù)某绦騺肀O(jiān)控異常登錄或敏感信息訪問并及時報告異常事件，健全金融數(shù)據(jù)安全預(yù)警機制。

　　3.明確數(shù)據(jù)保護(hù)監(jiān)管的行政主體

　　同歐盟建立專門信息數(shù)據(jù)保護(hù)監(jiān)管部門不同，在我國金融業(yè)分業(yè)監(jiān)管的格局下，我國在金融數(shù)據(jù)保護(hù)監(jiān)管設(shè)置上分別設(shè)有網(wǎng)信部門和金融監(jiān)管部門。

　　兩個監(jiān)管部門之間的監(jiān)管規(guī)定銜接不緊密，甚至在內(nèi)容上有所沖突，如兩個監(jiān)管部門對數(shù)據(jù)出境的基礎(chǔ)立場就呈現(xiàn)一定差異，網(wǎng)信部門強調(diào)數(shù)據(jù)傳輸?shù)某鼍骋园踩�評估為例外，而金融監(jiān)管部門則以“例外情形”籠統(tǒng)概之。監(jiān)管部門立場的不一致，必然造成監(jiān)管落實困境，難以避免監(jiān)管沖突、套利和法律規(guī)避等情形發(fā)生。在關(guān)鍵信息基礎(chǔ)設(shè)施的監(jiān)督上，僅在《數(shù)據(jù)安全法》條例中指明由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)，公安部門落實監(jiān)督，其他相關(guān)部門配合工作，并未明確各部門具體的工作義務(wù)、要求。同樣，《個人信息保護(hù)法》雖然設(shè)立了專章以規(guī)定履行個人信息保護(hù)職責(zé)的部門，明確了國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)的地位及職責(zé)，但其他監(jiān)管部門的職責(zé)和部門間的配合機制仍缺乏可行性的規(guī)定。

　　明確專門的數(shù)據(jù)保護(hù)監(jiān)管行政主體，不僅要明確各監(jiān)管部門職責(zé)所在，也要明確建立事前審批、事中監(jiān)督、事后監(jiān)管的全流程監(jiān)管要求(喻文光，2021)，以及各監(jiān)管機構(gòu)、部門之間的合作、互助問題。監(jiān)管機構(gòu)被授權(quán)人員對監(jiān)管應(yīng)用程序、網(wǎng)絡(luò)工作平臺、安全敏感信息的訪問權(quán)限應(yīng)當(dāng)遵循最小夠用原則加以嚴(yán)格控制，確保數(shù)據(jù)專事專用，明確監(jiān)管者的責(zé)任，并針對越權(quán)訪問、濫用職權(quán)、失職等行為制定清晰的問責(zé)機制。一個權(quán)責(zé)分明的數(shù)據(jù)監(jiān)管制度化框架，有利于提升數(shù)據(jù)監(jiān)管的透明度，更好落實良好的監(jiān)管實踐要求。為加快推動監(jiān)管流程提速，可在發(fā)展數(shù)據(jù)分析技術(shù)的基礎(chǔ)上，建立相對獨立安全的監(jiān)管系統(tǒng)，并有限度地在國內(nèi)重點數(shù)據(jù)中心擴(kuò)大數(shù)據(jù)在線檢測試點范圍，以實現(xiàn)重點、核心數(shù)據(jù)傳輸、訪問、共享的監(jiān)測。

　　(二)明確東道國數(shù)據(jù)安全標(biāo)準(zhǔn)

　　1.降低各法域間跨境數(shù)據(jù)流動的限制由于跨境數(shù)據(jù)傳輸在實踐中的應(yīng)用受到限制，諸多國家紛紛對國內(nèi)法律進(jìn)行修訂，國家間也多選擇締結(jié)跨境調(diào)取數(shù)據(jù)雙邊協(xié)議以規(guī)制數(shù)據(jù)安全，但地緣政治及大國博弈等挑戰(zhàn)不斷沖擊國際體系的脆弱性。國與國之間的法律適用差異明顯，不僅增加了赴境外上市企業(yè)的合規(guī)難度，也提高了合規(guī)成本。例如，2021年3月美國SEC通過《外國公司問責(zé)法案》最終修正案，要求外國證券發(fā)行人披露企業(yè)注冊人或經(jīng)營實體的高管成員中中國共產(chǎn)黨員名單以及是否由外國政府擁有或?qū)嶋H控制，該要求既模糊不清，也體現(xiàn)出明顯的證券監(jiān)管政治化。

　　如何界定所謂的外國政府“擁有”和“實際控制”、高管中黨員的人數(shù)對“實際控制”的界定影響如何、發(fā)行人如何實施披露、披露黨員哪些信息、披露信息如何存儲等都存有巨大的不確定性。美國證券交易委員會(SEC)或公眾公司會計監(jiān)督委員會(PCAOB)對外國證券發(fā)行人所采取的審計檢查同樣缺乏透明度，而這也是我國擔(dān)憂證券數(shù)據(jù)安全的主要因素之一。東道國不僅應(yīng)明確其審計監(jiān)管的各項披露要求，也應(yīng)更多披露其對外國證券發(fā)行人采取的檢查措施。此外，東道國也應(yīng)提高第三國政府?dāng)?shù)據(jù)訪問請求和流程控制的透明度，在有需要的情況下，開放咨詢平臺，以有序引導(dǎo)數(shù)據(jù)跨境監(jiān)管的行進(jìn)，站穩(wěn)國際層面互操作性的總體立場。

　　尤其是，各國應(yīng)明確重要數(shù)據(jù)可訪問、轉(zhuǎn)讓的界限和標(biāo)準(zhǔn)，及時以透明的方式披露第三國政府請求數(shù)據(jù)訪問的流程信息，維系各法域之間透明的、可信賴的數(shù)據(jù)流動，以實現(xiàn)跨境數(shù)據(jù)流動間的穿透式監(jiān)管。實際上，在跨國證券數(shù)據(jù)監(jiān)管層面，數(shù)據(jù)的安全并不單純?nèi)�決于數(shù)據(jù)的存儲位置，數(shù)據(jù)本地化不僅難以阻擋數(shù)據(jù)的惡意訪問，還會增加數(shù)據(jù)合規(guī)的復(fù)雜性，甚至反而會降低企業(yè)的數(shù)據(jù)保護(hù)能力，并遭致更多的網(wǎng)絡(luò)攻擊。數(shù)據(jù)傳輸?shù)倪^分限制不僅是數(shù)據(jù)保護(hù)目標(biāo)的落空，實際上也可能會導(dǎo)致對數(shù)據(jù)監(jiān)管的限制。

　　正如《關(guān)于WTO電子商務(wù)談判中跨境數(shù)據(jù)傳輸和數(shù)據(jù)本地化紀(jì)律的多行業(yè)聲明》所倡議，為了提高數(shù)字經(jīng)濟(jì)的確定性和效益，任何協(xié)議的制定都應(yīng)該約束不必要的或歧視性的數(shù)據(jù)本地化任務(wù)和數(shù)據(jù)傳輸限制。同時，東道國可考慮設(shè)置數(shù)據(jù)共享白名單機制，或借助數(shù)據(jù)中介服務(wù)，通過信任機制下信息技術(shù)和數(shù)據(jù)監(jiān)管方式的共享，實現(xiàn)金融機構(gòu)間重要數(shù)據(jù)的及時傳達(dá)、有效溝通和合理協(xié)調(diào)，增強各法域框架間的互操作性，減少國際貿(mào)易壁壘的障礙。

　　(三)協(xié)調(diào)金融數(shù)據(jù)跨境中的司法管轄權(quán)

　　數(shù)字市場競爭在全球范圍內(nèi)愈演愈烈，為占領(lǐng)數(shù)字法治高地、擴(kuò)張本國數(shù)字市場，各國紛紛展開數(shù)據(jù)監(jiān)管、數(shù)字反壟斷等措施。尤其是，隨著美國發(fā)動長臂管轄的動機日益泛化，司法管轄權(quán)的爭奪越發(fā)激烈。本國法律的域外適用可以視為一種單邊措施，單邊措施的本質(zhì)是一國對外行使管轄權(quán)(孔慶江和于華溢，2020)。

　　在不可避免的數(shù)據(jù)跨境流動中的侵權(quán)與違約等事件中，明確金融數(shù)據(jù)跨境中的司法管轄權(quán)是解決爭端的關(guān)鍵問題，有助于在跨境監(jiān)管上實現(xiàn)高度的協(xié)調(diào)。為提高跨境數(shù)據(jù)監(jiān)管在不同法域之間的互操作性，各國應(yīng)尊重他國數(shù)據(jù)主權(quán)和司法管轄權(quán)，未經(jīng)法律允許，不得擅自訪問、傳輸在他國采集、生成的數(shù)據(jù)，也不得將上市企業(yè)在東道國產(chǎn)生的數(shù)據(jù)傳輸、存儲在境內(nèi)。以美國為例，《外國公司問責(zé)法案》并未談及同PCAOB所要求識別審計員的外國司法管轄區(qū)的政府機構(gòu)間的司法協(xié)調(diào)，僅片面以己方立場約定PCAOB享有域外長臂管轄權(quán)顯然是不恰當(dāng)?shù)摹?/p>

　　當(dāng)然，司法管轄權(quán)的明確既不能由著各國各自為政，也不能過度強調(diào)東道國數(shù)據(jù)監(jiān)管法律的適用，而是要在雙邊協(xié)議、多邊協(xié)議的基礎(chǔ)上，基于共同目標(biāo)，友好協(xié)商，盡量避免跨境數(shù)據(jù)流動間馬太效應(yīng)的發(fā)生。對此，歐盟新SCC部分模板中所引入的“選擇準(zhǔn)據(jù)法和爭議解決”條款，既明確了司法管轄權(quán)，又尊重了當(dāng)事人的意思自治，且有利于實體爭議的高效解決，提升裁決結(jié)果的可預(yù)測性，不失為一個好的選擇。

　　參考文獻(xiàn)：

　　[1]AaronsonSA,LeblondP.AnotherDigitalDivide:TheRiseofDataRealmsanditsImplicationsfortheWTO[J].JournalofInternationalEconomicLaw,2018,21(2).

　　[2]FayB.IntergovernmentalGroupofExpertsonE-commerceandtheDigitalEconomy,Fourthsession[R].2020.

　　[3]KnakeRK.WeaponizingDigitalTradeCreatingaDigitalTradeZonetoPromoteOnlineFreedomandCybersecurity[R].CouncilSpecialReportNo.88,2020.

　　[4]TheWorldEconomicForum.DataFreeFlowwithTrust(DFFT):PathstowardsFreeandTrustedDataFlows[R].TheWorldEconomicForum.2020.

　　[5]UnitedStatesTradeRepresentative.NationalTradeEstimateReportonForeignTradeBarriers[R].UnitedStatesTradeRepresentative,2017.

　　作者：姜立文，姜　歡