以下内容转自:上海社会科学院
近日,国务院发布《全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案》(下称《总体方案》),提出在上海自贸试验区规划范围内,率先构建与高标准经贸规则相衔接的制度体系和监管模式,为全面深化改革和扩大开放探索新路径、积累新经验。
当前,我国正积极推动加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)等高标准经贸协定,相关规则的要求与上海率先实现制度型开放面临的重点问题契合度十分高。按照党中央决策部署,上海要聚焦建设“五个中心”重要使命,加快建成社会主义现代化国际大都市。上海作为我国改革开放的前沿阵地和深度链接全球的国际大都市,在对接高标准国际经贸规则,实现制度型开放是当前一段时间内的基本任务,上海在落实习近平总书记考察上海重要讲话精神时,站在了更高起点上聚焦上海的全面深化改革开放,不断增强其金融中心发展动力和全球竞争力。当前,上海在浦东新区、临港新片区全方位大力度的推进首创性改革、引领性开放,尤其是在浦东新区和临港新片区率先进行综合改革试点,在数据跨境流动领域率先开展压力测试,尤其是在对标CPTPP金融规则方面,不断扩大规则、规制、管理、标准等方面的制度型开放,为上海深入推进跨境金融数据流动和高水平对外开放作进一步部署。
第一,允许金融数据跨境自由流动占高标准自贸协定规则主流。CPTPP是目前全球具有约束力的高标准区域贸易投资安排之一,CPTPP内有关金融数据跨境流动问题则更为具体,除了CPTPP外,《北美自贸协定》(NAFTA)、《美墨加协定》(USMCA)、《美韩自由贸易协定》(KORUS)、《欧盟与日本经济伙伴关系协定》(EPA)、《欧盟与越南贸易和投资协定》(EVFTA),以及《区域全面经济伙伴关系协定》(RCEP)也对金融部门数据的跨境流动做出了相应的规范,通过相关文件的梳理,在一些自贸协定规则对于金融数据跨境流动问题上,允许金融数据跨境自由流动占主流。可以看出,随着数字经济发展以及金融机构全球化经营需求不断上升,各国日益意识到金融数据跨境流动的必要性。上海在落实习近平总书记讲话指示精神,建设五个中心的过程中,需要通过跨境数据流动的率先突破,推进与CPTPP金融规则相同或相近的政策落地,做好系列压力测试。
上海社会科学院法学研究所国际法研究室为此组建研究团队,就该领域现实问题与实务界和理论界进行调研,团队认为,我国主导的RCEP协定,是国际上第一个且体量最大的多边投资贸易协定,与此同时,我国在2021年9月正式提出申请加入《全面与进步跨太平洋伙伴关系协定》(以下称“CPTPP”)。一方面,在应对美国印太经济框架之际,上海对标CPTPP规则开展金融领域高水平压力测试是落实习近平总书记重要指示精神的必要举措,既能够彰显上海自贸试验区及临港新片区制度性开放的力度,加快建立与国际高水平经贸规则相接轨的政策和制度体系,更好地吸引境内外的投资者既投资上海,又能够为我国金融业制度性开放积累先行先试的发展经验,进行“率先破题”,做好“压力测试”,提供“上海经验”,探索“上海模式”。另一方面,上海对标CPTPP金融规则,不应另起炉灶,要全面聚焦上海国际金融中心建设,在《中共中央 国务院关于支持浦东新区高水平改革开放打造社会主义现代化建设引领区的意见》、《上海国际金融中心建设“十四五”规划》以及《上海数据条例》的基础上,做好系列压力测试,在数据流动的安全和自由之间寻求一个宏观发展视野下的平衡点。
第二,我国目前对于金融数据跨境流动问题法律规制较为冗杂和矛盾。随着金融部门数据跨境流动的需求不断增加,同时相关风险有所显现,我国立法部门和金融监管机构也出台了一系列与数据跨境传输以及金融信息相关的法律、法规和规范性文件。全国层面主要有数据三法,即《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》。金融领域主要包括《中华人民共和国反洗钱法》以及中国人民银行牵头出台的《金融机构反洗钱规定》《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》《征信业管理条例》《非银行支付机构网络支付业务管理办法》《信用评级管理暂行办法》以及《个人金融信息保护技术规范》。其中,《中国人民银行银行业金融机构做好个人金融信息保护工作的通知》第6条规定,在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。《中国人民银行上海分行银行业金融机构做好个人金融信息保护工作有关问题的通知》,根据第4条,在满足“业务必需+书面授权同意+保密义务”的情况下,可完全实现个人金融信息的自由跨境,推翻了前述《央行通知》中对个人金融信息所采取的绝对本地化立场。整体上来看,全国层面上对于金融数据的跨境流动的立法规定中,过度强调经安全评估方可出境的数据范围,且规定较为原则性,在数据分层管理模式上也较为模糊,尚未在全国层面就数据安全分级制度与金融数据跨境流动规定实现对接。
第三,上海围绕《总体方案》中关于金融服务的高水平开放要求,在对标CPTPP等国际高标准金融数据流动规则中,率先实现金融机构向境外传输日常经营所需数据的压力测试。围绕金融服务的高水平开放,《总体方案》明确鼓励金融机构和支付服务提供者率先推出电子支付系统国际先进标准,开展数字身份跨境认证与电子识别。支持依法依规引进境外电子支付机构。同时,在国家数据跨境传输安全管理制度框架下,允许金融机构向境外传输日常经营所需的数据。涉及金融数据出境的,监管部门可基于国家安全和审慎原则采取监管措施,同时保证重要数据和个人信息安全。但需要注意的是CPTPP在允许金融数据出境的同时也规定了例外情形。CPTPP规定,成员还可出于审慎考虑要求金融机构事先获得监管机构的授权,以指定特定企业作为数据接收方。可以看出,成员可出于保护个人数据和隐私等考虑而采取措施限制金融数据跨境流动,但也都明确相关限制措施不能用于规避成员应尽义务,成员在金融部门数据跨境流动问题上的自由裁量权较大。因此,上海在围绕《总体方案》中关于金融服务的高水平开放要求中实现金融机构向境外传输日常经营所需数据的压力测试需避免对金融部门数据跨境流动“一刀切”限制,对现阶段暂无法履行的义务,可合理利用例外条款或引入过渡期安排。
第四,《总体方案》支持上海自贸试验区按照数据分类分级保护制度率先制定重要数据目录。当前,我国金融数据的跨境流动受到《数据出境安全评估办法》相关要求的限制,例如《数据出境安全评估办法》指出“数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”,需申报网信办的数据出境安全评估。但对于哪些属于“重要数据”,该办法的规定与界定较为原则性,尚没有在金融行业实现制定重要数据目录,对于数据出境标准实现细化和规则化。此次《总体方案》的发布,明确指出支持上海按照数据分类分级保护制度,在上海自贸试验区率先制定重要数据目录。这就为数据处理者开展数据出境风险自评估提供了指导性管理,并在上海自贸区层面上构建重要数据指导性目录提供了制度性支持,同时也为上海在探索建立合法安全便利的金融行业的数据跨境流动机制提供跨境流动便利性。
(孙祁,上海社会科学院法学所区域经济一体化法治研究中心秘书长)
来源:中宏网
当前位置: