我國跨境數據流動中的金融企業合規治理

許多奇

復旦大學法學院教授、博士生導師

復旦大學智慧法治實驗室負責人

復旦大學數字經濟法治研究中心主任

董家杰

復旦大學法學院博士研究生

復旦大學智慧法治實驗室、復旦大學數字經濟研究中心研究人員

「摘要」數字經濟背景下對金融數據跨境開展必要規制已成趨勢，有此內在業務需求的金融企業亟須加強合規應對。基于合規的多重內涵，我國跨境數據流動中的金融企業合規應被建構為一個三維面向的綜合治理體系。其一，法制立法是前提，金融數據跨境流動立法的本質即安全與自由的利益平衡，現行立法中金融企業與金融數據的關系錯位卻導致利益失衡，通過回歸立足金融數據本位立場的金融企業合規中心視角方能實現利益再平衡。其二，內部合規是核心，既要貫徹預防性規制理念賦予金融企業強制性合規義務以實現自治的法治化，構筑起立基全周期保護義務的全流程合規體系；又要完善“規制-自我規制-元規制”三環耦合，在框架性原則下促進法治與自治良性互動。其三，行政監管是保障，為因應多頭監管困境、金融科技挑戰與合規動力不足現狀，須由統一監管主體創新監管科技、建立多重合規激勵。面對實定法依據缺位和未知動態風險，可引入監管沙盒為上述構想落地提供容錯糾錯的試驗機制。

「關鍵詞」跨境數據流動；金融數據；金融企業；企業合規；治理體系

■ 原文載于《吉林大學社會科學學報》2024年第3期”信息技術發展與中國法治創新“欄目，本文為推送版，相關注釋和參考文獻等請參閱原文。

一、問題的提出

數字經濟的蓬勃發展是當前全球經濟的顯著趨勢。據統計，2022年全球51個主要國家的數字經濟產值占GDP比重高達46.1%，其中我國為41.5%。數字經濟的本質是數據驅動，而數據的價值只有在流動中才得以釋放。在信息技術助力經濟全球化縱深發展的背景之下，必然引發“跨境數據流動”(cross-border data flow)。2024年3月，國家互聯網信息辦公室(以下簡稱“國家網信辦”)正式發布《促進和規范數據跨境流動規定》，傳達出數字經濟時代促進數據依法有序自由流動的積極信號。大數據時代，跨境數據流動對全球GDP的貢獻已超過傳統貨物貿易，逐漸成為全球貿易和投資增長的新支柱。

數字經濟背景下的數據跨境需求是全方位的，不同行業數據的特殊性奠定了跨境數據流動在一般規制之下分業治理的基調，而金融無疑是重要領域之一。一方面，在體量日益龐大的跨國金融服務貿易中，“數字金融”(digital finance)的興起使得金融數據通過提高運營效率、更好預測欺詐、提高勞動力配置、減少數據中介摩擦等，可以在整個金融服務生命周期內為金融企業創造巨大的經濟價值；加之金融業業務復雜多樣、市場瞬息萬變的特點，導致金融行業數據跨境的數量需求和質量要求較之其他行業均有過之而無不及。伴隨著金融高水平開放的穩步推進，金融企業“引進來”與“走出去”雙向步伐不斷加快，金融數據跨境的業務需求更是水漲船高。另一方面，由于金融數據之上承載著國家和社會公共利益、私人合法權益等多元利益，金融企業不是金融數據的唯一權益主體，因此無論是基于傳統的規制公共利益理論，還是對其進行揚棄的規制經濟理論，公權力對金融企業的金融數據跨境活動進行規制以克服市場失靈中自我規制的效率障礙，都具有充分的必要性。

有規制必有合規，金融企業合規是金融數據跨境流動規制的必然結果。本文所稱金融企業，作為金融數據跨境的實施者，實則指金融數據控制者，即能夠單獨或者共同確定金融數據處理目的及方式的營利性組織。《個人金融信息保護技術規范》第3.1條就已在持牌金融機構之外，將更多的個人金融信息處理機構也定義為金融機構。當然，金融數據的范圍顯然遠廣于個人金融信息，金融業機構在日常業務開展和經營管理中收集產生的各類數據均可歸入金融數據之列。可見金融數據是一種廣泛而特殊的數據形式，其并非一個獨立的法律類別，而是與一般數據治理框架下的分類重疊，既包括個人金融數據，也包括非個人金融數據，這一區分在以個人權利為中心的金融數據治理范式中具有關鍵意義。然而在我國，以維護國家數據安全、保護個人信息和商業秘密為前提，以促進數據合規高效流通使用、賦能實體經濟為主線的數據基本制度下，對公共數據、企業數據、個人數據開展多元一體規制。金融數據跨境流動規制受此一般范式影響，非個人金融數據和個人金融數據在“重要數據”“個人信息”二分和數據分類分級保護兩大共同基石支撐下跨境流動。盡管因權利屬性和政策目標不同而導致金融企業所合微觀規則不一，但從合規治理宏觀體系來看卻是共性大于個性。本文據此求同存異，對兩者的跨境合規作整體討論，僅在必要處進行區分。

企業合規(compliance)具有多重內涵。首先，字面上的企業合規就是企業對外部規制的被動遵從，因而更為重要的是所合之規，即通過立法對企業賦予合理義務以為其合規提供依據；其次，企業合規還是一個內部治理問題，強調企業為規避違反法定義務所招致的合規風險而主動將合規管理作為內控的有機組成部分，建立起完備的合規計劃；最后，企業的自我治理也極易失靈，故而法律規則所提出的合規要求尚需要行政監管主體依法對企業落實情況進行監督和管理，乃至最后刑事手段的介入。可見，針對企業合規已呈現出視角的分化，但不同視角之間并非割裂而是相輔相成，共同構成了一個綜合多重制約和激勵機制的治理體系。我國跨境數據流動規制中的金融企業合規也應當被定位為一個綜合治理體系，包含法制立法、內部合規和行政監管三個主要面向，且三個面向之間以制約和激勵作為金融數據控制者的金融企業為核心環環相扣、層層遞進。

遺憾的是，在現有跨境數據流動相關研究中，尚對企業合規存在定位上的偏差。或基于立法論將企業合規理解為一種合規成本而對我國和域外的跨境數據規制模式進行評析，或單從企業治理的角度論證企業在數據跨境規則框架內如何構建合規體系從而既滿足自身數據跨境需求又規避合規風險。既少有對金融企業之金融數據跨境的特殊關照，又缺乏對企業合規深入的體系性理解。黨的二十大報告強調；“改革開放邁出新步伐，國家治理體系和治理能力現代化深入推進，社會主義市場經濟體制更加完善，更高水平開放型經濟新體制基本形成。”據此，本文欲糾正上述偏差，試從法制立法、內部合規和行政監管三個角度，對如何構建我國金融數據跨境流動規制中的金融企業合規治理體系提出初步構想。

二、金融數據跨境流動立法：回歸數據本位立場的合規中心視角

(一) 利益平衡：安全與自由的沖突與融合

國家利益的多樣性與沖突性，導致了金融數據跨境流動國際協調機制的零散支離，形成統一的國際規則還任重道遠，因而當前金融數據跨境流動主要由各國國內法進行規制，形成了碎片化的國別模式。其中，歐盟和美國兩大模式無疑最具話語權和影響力，并在研究中分別被冠以“安全”和“自由”的價值標簽。然而，有原則恒有例外，安全與自由均是相對的，兩者并非絕對沖突，而是日益呈現出相互融合的趨勢。

歐盟金融數據跨境流動立法的價值標簽是“安全”，并且是狹義上的人權與隱私安全。歐盟視隱私為一項基本人權的觀念根深蒂固，進而將保護承載隱私的個人數據奉作對數據主體基本權利之保障。此種價值理念在歐盟金融數據跨境流動立法中表現為，其并未為追求金融監管的一般價值目標而對金融數據跨境進行特殊規制，而是將其中的個人金融數據納入了以《通用數據保護條例》(GDPR)為核心的個人數據跨境統一規則框架之下。GDPR被譽為史上最嚴厲的隱私安全保護法律，其第45條確立的“充分性認定”是實現個人金融數據跨境首推的也是最便捷的方式，但由于在評估過程中需要嚴格考慮多種因素，截至目前僅有15個國家(地區)獲得了此類充分性認定。為此，GDPR第46條在“充分性認定”之外，額外增加了“基于適當安全保障的轉移”(transfers subject to appropriate safeguards)，提供了多樣化的金融數據自由跨境流動途徑，以免對數字經濟發展產生不利影響。同時，GDPR為推進單一數字市場戰略，還強調促進個人金融數據在歐盟內部的自由流動。《關于內部市場支付服務的指令》也旨在專門推動歐盟內部金融賬戶信息的合作與交換。而針對不涉及隱私的非個人金融數據，《非個人數據自由流動條例》(RFFND)不僅強調其在歐盟內部的自由流動原則，對超出歐盟范圍的跨境流動也未規定統一的必要條件。

美國則以“自由”為其金融數據跨境流動立法的價值標簽。在白宮2011年發布的《網絡空間國際戰略》中，美國就旗幟鮮明地將“信息自由流動”作為基本原則。基于此，在國際層面，美國憑借其強大的政治經濟影響力，竭力在雙邊和區域貿易協定中推動金融數據跨境自由流動；就國內法而言，盡管美國也開始逐漸重視隱私保護，但無論是聯邦層面的《公平信用報告法》《金融隱私權法》《金融服務現代化法案》，還是州層面的《加州消費者隱私法案》，雖都從金融消費者保護角度逐步明確金融企業的隱私保護要求并日臻嚴格，但對金融數據跨境流動的額外限制始終持留白態度。然而值得注意的是，美國在促進金融數據自由流動原則之外也基于安全考慮設置了相應的限制性例外：一方面，其主導的雙邊或區域貿易協定往往存在隱私保護或審慎監管例外條款，典型者如TPP(并為CPTPP所繼受)；另一方面，在其國內法中也出于國家安全的考量對金融數據跨境作出了限制，例如美國自2010年開始建立和實施受控非密信息(controlled unclassified information，CUI)管理制度，CUI共分為20個類別、126個子類，金融數據是其中重要一類，在包括出境等方面受到較為嚴格的限制。

通過上述分析可知，基于原則的抽象性和利益的多元性，無論是安全原則還是自由原則在金融數據跨境立法中并非以“全有或全無”的方式加以適用，而是原則與例外相濟，沖突與融合并存。因此，在金融數據的跨境流動立法中，重要的并非在安全與自由中明定孰為原則而孰為例外，而是為平衡金融數據本身所承載的多元主體的多重利益，在按照一定標準進行權衡的基礎上進行利益整合。對此，各國應堅持“兩點論”，基于本國國家安全形勢、金融開放水平、數字產業發展情況等多種因素考量作出利益權衡與抉擇，以謀求安全與自由之間的中道。

(二) 利益失衡：金融企業與金融數據的關系錯位

我國的金融數據跨境流動規制立法起步較晚，逐步形成了“一般+特殊”的規制模式。《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)《中華人民共和國數據安全法》(以下簡稱《數據安全法》)和《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)共同構筑了規制金融數據跨境的一般上位法框架。其中，《網絡安全法》第37條(以下簡稱“37條”)奠定了我國跨境數據流動規制的基本原則和框架。該條不僅提出了具有數據控制者含義的“關鍵信息基礎設施運營者”(CIIO)概念，作出了“重要數據”和“個人信息”兩類重要的數據范圍分類，創設了數據跨境程序意義上的“安全評估”機制，還被《數據安全法》第31條、《個人信息保護法》第40條所引用和重申。正是由于37條擁有如此提綱挈領的重要意義，其所存在的問題便會引發連鎖反應，其中最甚者便是因金融企業與金融數據關系錯位所導致的利益失衡。

《網絡安全法》作為我國網絡安全領域的基本法，貫穿了“等級保護”理念，在把“信息安全等級保護制度”升級為“網絡安全等級保護制度”的基礎上，規定了“關鍵信息基礎設施保護(CIIP)制度”。加之網絡、數據與個人信息這三個概念本身所具有的關聯重合性，因此37條在數據跨境流動規制上也自然而然地采取了“關鍵信息基礎設施(CII)標準”，即在需要進行出境安全評估的重要數據和個人信息前加上了“關鍵信息基礎設施運營者”(CIIO)這一主語限定。金融作為《網絡安全法》第31條明確列舉的重要行業和領域，金融企業極易被認定為CIIO，但問題在于，作為CIIO的金融企業是一個整體概念，是綜合考慮其控制的所有數據后作出的認定，是一種數據控制者本位立場；而金融數據的跨境卻是個別進行的，因此需要采取數據本位立場，即考慮數據本身的性質。以作為主體的金融企業來界定作為客體的金融數據之保護，便發生了關系的錯位，由此產生了以下后果：

首先，以CIIO來界定需要出境安全評估的金融數據，其本意或旨在強調需經此嚴格出境程序的數據應當如CII定義那般具有危害國家安全、國計民生、公共利益的性質，但“重要數據”這一概念本身就蘊含了這層含義，反而多此一舉，并導致《數據安全法》第31條需要對“其他數據處理者”出境“重要數據”進行補充說明，才使“重要數據”的跨境規則得以周全。在《數據出境安全評估辦法》(以下簡稱《評估辦法》)中，就摒棄了這一數據控制者本位立場，而直接采用了不帶有任何價值判斷色彩的“數據處理者”一詞。其第4條綜合前述兩法，不區分是否為“關鍵信息基礎設施運營者”而直接規定“數據處理者向境外提供重要數據”需要進行安全評估。因此，金融數據出境僅需考慮其本身是否屬于“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據”，而與金融企業的CIIO屬性并無絕對關聯，反映出對數據本位立場的回歸。

其次，錯誤的金融企業本位立場還擴大了需要出境安全評估的個人金融數據范圍，加重了金融企業的合規負擔。根據當前37條的表述，CIIO在境內收集和處理的所有“個人信息”都須遵循“原則本地存儲+例外確因業務需要須經安全評估”的跨境程序，因此部分金融企業所控制的所有個人金融數據便都落入了此范圍。然而問題在于：一方面，個人金融數據本身就可據其不同敏感程度進行分級②，部分個人金融數據根本不會危及國家安全、公共利益，不應也不必一刀切地要求安全評估；另一方面，這也將導致《個人信息保護法》第38條所確立的個人信息出境“四選一”的選擇性條件在一定程度上被架空，而使“安全評估”成為唯一的必要性條件。換言之，雖因個人金融數據之上承載著各類私益而在跨境時需要額外設置相應程序，但畢竟個人金融數據屬于事實判斷，而就是否須經安全評估這一最嚴格的出境程序則應立基于數據本位進行價值判斷，即判斷該數據在跨境過程中“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度”。因此，“金融重要數據”和“個人金融數據”兩者之間并非截然的二分關系，而是存在交叉關系，且在出境安全評估語境下對“金融重要數據”的判定更具現實意義。37條在錯誤的金融企業本位立場之下將兩者并列顯然易生混淆，導致《信息安全技術重要數據識別指南(征求意見稿)》第3.1條作出了“重要數據不包括國家秘密和個人信息，但基于海量個人信息形成的統計數據、衍生數據有可能屬于重要數據”這樣模棱兩可的界定，而《信息安全技術數據出境安全評估指南(征求意見稿)》(以下簡稱《評估指南》)將個人金融數據統歸入重要數據之列卻又矯枉過正。

綜上，雖然金融企業作為金融數據跨境的主體理應受到重視，但在規制金融數據跨境時仍應注意出境客體和出境主體間應有的層次，在客體界定層面就引入金融企業無疑是一種關系的錯位，進而導致數據本位的缺失，結果就是出境行為規制有趨于“本地化”之嫌。這不僅在立法層面就直接因禁止性規定有余而因勢利導不足，導致對金融企業的激勵不相容，不利于我國的金融數字化轉型和金融開放；更可能因過重的合規負擔迫使金融企業將金融數據的違規出境作為一種必要的經營成本而采取理性違法策略，使得相關規定形同虛設。在出境行為和責任承擔之間，公權力的過度提前介入，目的固然在于把好安全關，但也會因為清單式的審查方式、試錯空間的提供，而使金融企業的數據出境過度依賴于官方的評估結果，降低合規的自主性、全面性和靈活性，最終事與愿違。良性的合規市場無從培育和發展，政府行政負擔和企業合規負擔亦同步增長。究其根本，正在于金融數據控制者層面的整體安全不當壓制金融數據出境層面的個別自由，造成了所謂的利益失衡。

(三) 利益再平衡：立足數據本位的企業合規中心視角

錯誤的金融企業本位立場造成了我國金融數據跨境流動立法中的利益失衡，而在數據本位立場下回歸企業合規中心視角則是實現利益再平衡的不二法門。即遵循從“傳輸什么”到“誰來傳輸”再到“如何傳輸”的邏輯順序，在以數據本位為指導建立數據分類分級的基礎上，以具有傳輸主體和合規主體雙重身份的金融企業為核心，為其匹配不同程度的金融數據跨境權利義務。

數據分類分級保護制度能夠促進數據的充分利用、有序流動和安全共享，是加強數據治理的前提與基礎，《數據安全法》第21條更是在法律層面上對此進行了確認。然而現實是，一方面金融領域的重要數據目錄抑或一般數據清單尚付闕如，且前者在實踐中存在泛化傾向，有違“法不禁止即自由”的基本法治原則；另一方面，在出境安全評估之外，非重要、非個人數據出境機制卻受到忽視，使得金融企業的數據跨境合規義務出現割裂斷層。盡管《證券期貨業數據分類分級指引》《金融數據安全數據安全分級指南》等推薦性標準對金融數據的分類分級提出了方案，但仍停留于“傳輸什么”的層面，既沒有正視金融企業差異化的合規建設水平和數據安保能力作出區別對待，也未與跨境直接掛鉤而提出金融企業針對不同級別的金融數據應當“如何傳輸”。因此，當務之急便是在采取正面清單取并集與負面清單取交集相結合兩端逼近的動態調整方式明定數據界限的前提下，思考針對不同類型級別的金融數據，如何為不同金融企業在認證的基礎上提供有區別的數據出境權限和途徑，并匹配相應的數據安保義務，以實現安全與自由之間的利益再平衡。退一步而言，若堅持安全評估的必要性，則可考慮在其框架下結合金融企業認證機制開展區別性評估，對經認證合規體系健全有效、數據保護水平較高的金融企業簡化評估條件、壓縮流程時限、增加評估有效期等，甚至允許以備案替代實質審查，由此提高評估效率，將有限的規制資源集中于真正可能危及國家安全和公共利益的金融數據出境活動，破解當前過低的評估申請通過率對金融企業開展國際業務的桎梏。

在方法論上，金融數據的跨境流動規制是國家基于多重安全因素考量對金融企業經營活動的干預，但由于包含國家安全、公共利益、私人權益在內的安全因素本身所固有的原則性和模糊性，為防止公權力的恣意性，應通過比例原則加以限制。GDPR就為了協調個人數據使用與其他同樣重要的基本權利，而強調要運用比例原則加以平衡。比例原則在立法中的適用就是三個子原則循序漸進的利益衡量過程，尤其需要注意金融數據跨境流動規制中的利益層次。在利益衡量的適當性原則層面，凸顯的是金融數據跨境流動立法整體上的價值取向，彰顯其制度利益，具體體現為一種安全和自由在價值位階上的靜態權衡，而在開展規制的語境前提下，安全價值的正當性顯然已得到承認。至于要根據“權衡法則”(the law of balancing)論證應在多大程度上限制自由原則從而在多大程度上滿足安全原則，則屬于必要性原則和狹義比例原則的管轄范圍。此時靜態的價值位階比較顯然已失去作用，而應深入到作為合規主體的金融企業而動態考察其具體利益，因為整體上的安全與自由價值最終落實到金融企業便表現為其合規成本與收益。額外出境限制的施加必要性唯有在金融數據本身屬性之外納入考量金融企業的數據保護現狀方得以真正確定，具體合規義務的賦予也需考慮金融企業的可操作性。故而，應在保證金融企業切實可行的基礎上實現數據分類分級與金融企業分類分級的雙向匹配，在保證安全價值得到最大程度滿足而自由價值受到最小程度損害的前提下，使合規成本盡可能小于合規收益，從而激發金融企業在金融數據跨境中的合規積極性。

總之，金融企業合規在金融數據跨境流動立法中不應被簡單地視為一種合規成本而歸入利益天平的一端，其恰恰是在這架安全與自由、成本與收益互為兩端的天平上左右移動的游碼。立法者所需做的，就是在金融企業中心視角之下動態地將合規這顆游碼撥到恰到好處的位置，既不至于因過度放縱自由而使金融企業無規要合進而危及安全，也要為企業合規自治留下必要余地，不因過嚴監管的對抗性立場而完全排除了協作性的新治理方式，而使企業合規在虛假的責任委托面紗下完全淪為外部“硬法”(hard law)的工具。

三、金融企業數據跨境合規：法治與自治良性互動的規制體系

(一) 強制性合規義務：自治的法治化

在金融數據本地化必要性日益喪失的背景之下，政府一味加強對金融數據跨境的管制，往往會取得適得其反的效果。正確的出路，則是在前述以金融數據分類分級為基礎的利益再平衡過程中，充分發揮金融企業合規效能，實現其“自我監管”(self-policing)乃至“自我規制”(self-regulation)。這也正體現出金融企業數據跨境合規的核心含義：金融企業通過完整內部治理體系的建立來實現對金融數據跨境合規風險的有效防范、識別和應對。

金融企業的數據跨境合規是法治下的自治，在法律要求之外彰顯著獨特價值。且不論本就崇尚金融數據自由流動的美國模式，采取了以“問責制”(accountability)為基礎的“組織機構基準”(organizationally based)，強調通過行業和企業的自律來實現數據保護要求；即便是強調充分性保護的歐盟，在其GDPR中也將“拘束性公司規則”(binding corporate rules)作為提供適當安全保障的方式之一，使得金融企業能夠通過制定適合自身特殊需求的行為準則來實現更為靈活的個人金融數據跨境。在我國，針對金融重要數據跨境的安全評估機制可謂是政府強力控制的典型，但從《評估辦法》的“自評估”要求中卻仍可覓見自治的意涵。

金融企業之所以愿意進行數據跨境合規，遠非社會責任的承擔可簡單解釋，而是更多地為合規背后所固有的一套內在激勵機制所驅動。雖然社會責任的承擔被視為企業合規的核心價值，但是以利益為根本動力的經濟行為通常是與道德倫理無涉的。從正面來說，金融企業作為一個理性的“經濟人”，為了以適當的成本實現最優合規，勢必會衡量內部監督的實施成本與預期收益，呈現出典型的“市場驅動”特征。從反面來說，當前我國正在逐步完善金融數據保護機制，一旦違規跨境傳輸金融數據，金融企業不僅將承擔相應的民事責任和行政處罰，甚至受到刑事追究，因此為避免上述違規風險，金融企業具有建立有效金融數據跨境合規體系的強大動力，以有限的合規成本置換高昂的違規成本。

更為重要的是，在數據互聯的經濟全球化背景之下，金融企業的數據跨境合規具有境內和境外雙重面向。截至2021年底，全球194個國家中有137個進行了數據和隱私保護立法，其中大部分均包含數據跨境規則，但理念立場與具體規則各異。如此復雜的外部法律環境使我國金融企業面臨多樣化的境外合規場景：其一，在“走出去”過程中，金融企業勢必基于屬地原則受到東道國金融數據跨境規則的管轄。其二，即便是境內的金融企業，也會因國內法間接的域外效力而必須將域外數據保護規則納入合規考慮，典例如《個人信息保護法》對境內個人信息處理者提出的境外接收方同等保護標準保障要求。其三，當前各國數據立法管轄權擴張的普遍趨勢給我國金融企業帶來了境外合規新考驗，歐盟GDPR的“設立機構”標準和“目標導向”標準、美國“云法案”(CLOUD Act)的“數據控制者”標準等均從傳統的屬地和屬人管轄延伸出了新的域外管轄連接點。可以說，金融企業不僅面臨“走出去”和“引進來”的雙向合規風險，更面臨著外部管轄規范意義上的多向合規挑戰。盡管各國管轄和規則上的沖突固非金融企業能夠解決，但正所謂“授人以魚不如授人以漁”才能夠“以不變應萬變”，成熟有效的金融數據跨境合規體系至少可以助其規避對其不利的連接點，提早識別合規風險，防止落入不同法域夾擊下的合規困境。

強制性合規義務的賦予，則正實現了自治的法治化。當前，我國金融企業數據保護意識仍較欠缺，金融數據安全事件時有發生，僅金融監管總局2023年開出的涉及信息保護、數據治理、信息系統的罰單就有近40張。金融數據跨境這一新興領域的合規意識和合規措施更是遑論完備。其背后的原因是，企業合規最初產生的目的本就在于通過自我監管防止政府過度干預，帶有明顯的“去監管”(deregulation)色彩，而金融企業作為具有強烈營利性的有限理性主體，在合規機制內在激勵不足的情況下，就會缺乏金融數據跨境合規的動力，而完全轉向逃避監管。因此，在通過內在機制激勵金融企業合規的同時，以“行政主導”的方式賦予金融企業強制性合規義務，無疑對于督促其“從無到有”地建立起基本的金融數據跨境合規體系具有不可替代的積極意義。國外調查結果也顯示，對于營利性機構來說，其不可能投資于成本高昂但收益不明確的自愿性合規計劃，但有可能將有限的資源用于強制性合規計劃。某種意義上，強制合規義務輔以相應的法律責任，也為金融企業創設了一種基于避免懲罰考慮的外部激勵機制，從而以法治化的方式確保合規計劃的有效實施。

我國已初步建立起了強制性的金融企業數據跨境合規體系。首先，從行業領域專項合規看，我國對強制合規的推行便始于具有高風險特點和嚴監管傳統的金融行業，并逐步通過銀行、保險、證券等各金融專門領域合規管理指引(辦法)的頒布，基本構建起了金融業的合規管理制度體系。其次，從風險事項專項合規看，數字經濟時代數據安全問題日益突出，數據合規越來越受到重視。《網絡安全法》《數據安全法》《個人信息保護法》均在專章中規定了企業獨立的數據合規義務，標志著數據領域強制合規制度的建立。同時，針對上述兩者的交叉領域，即金融業的數據合規，原銀保監會還發布了針對數據治理的專門指引，明令銀行業金融機構在公司治理中建立起自上而下、協調一致的數據治理體系。《刑法修正案(九)》新增的“拒不履行信息網絡安全管理義務罪”對于金融企業的合規內控，更是在行政主導之外增添了強烈的刑事威懾。無論是直接提供金融服務的金融機構，抑或在金融數據跨境過程中提供接入、計算、存儲、傳輸等服務的金融科技公司，都是適格該罪的“網絡服務提供者”；金融企業的金融數據跨境合規義務從解釋上亦可歸入一般“信息網絡安全管理義務”之列；而無論是個人金融數據違規出境致使金融消費者信息泄露造成嚴重后果，還是非個人金融數據違規出境產生危害國家安全、擾亂金融秩序等嚴重情節，均滿足實害結果要件。基于行政義務與刑事義務的內在關聯性，風險刑法觀之下的強制性數據刑事合規義務由此得以確立，金融企業的金融數據違規出境行為可能同時觸犯該罪與其他具體罪名，雖一事不二罰，但至少在數據流動基礎上謀求數據安全的刑事法網得以周密。然而，這一受到行刑多方重視的體系當前仍存在兩個主要問題：一是面對金融數據控制者范圍的擴張，尚欠缺針對所有金融企業普遍適用的數據合規指引；二是隨著金融數據跨境合規標準逐步提高、執法司法機制日益嚴格，還未就金融數據跨境專門發布強制性專項合規要求和指引。金融企業的金融數據跨境合規法治化、精細化程度仍有待進一步提升。

(二) 預防性規制：立基全周期保護義務的全流程合規體系

金融企業的數據跨境合規，是一種針對金融數據跨境風險的預防性規制手段。其背后的理論依據在于風險預防性原則，即身處風險社會必須堅持防患于未然，采取預防措施以避免風險的實害化。且相較于同樣旨在預防風險的事前評估等外部強制措施，自內向外的合規在效率性、靈活性、持續性等方面更具優勢。

與預防性規制相對應的是事后懲罰性規制，強調以禁止和懲罰法益侵害行為為手段實現法益保護之目的。金融數據跨境領域本身并不缺乏事后懲罰性規制：在公益保護方面，《國家安全法》第25條要求實現重要領域數據的安全可控，因金融數據跨境危害國家安全、公共安全的行為，不僅將面臨行政處罰，還可能觸犯《刑法》相關罪名；而針對私益保護，一旦涉及侵犯隱私、商業秘密等合法權益，更需要承擔民事侵權責任。即便如此，在金融數據跨境中仍要堅持風險預防原則，是因為事后懲罰性規制往往在相關法益受到侵害后才會介入，因而在該領域具有極強的不適用性：一方面，金融數字化背景下金融行業的數字親和性獲得飛躍式發展，金融企業在不同場景下廣泛吸收和產生了大量來源眾多、結構復雜的各類金融數據，加之金融數據天然的敏感性，使得其在跨境過程中具有極大的風險不確定性。如果一律采用事后懲罰的方式進行規制，極易發生難以事后補救的嚴重后果。另一方面，跨境這一因素的疊加更是阻礙了此種事后規制手段的有效實施。事后規制啟動的前提是發生實害結果(或至少產生危險)，而金融數據跨境場景中境外主體的危害行為和損害結果大多發生于境外。雖然針對侵犯我國國家安全、公共利益或者私人合法權益的行為，《網絡安全法》第75條、《數據安全法》第2條、《個人信息保護法》第42條等以及《刑法》第8條等均出于拓寬域外管轄范圍、強化數據主權的考慮而確立了保護管轄原則，但即便取得管轄，之后的域外調查取證、執行等依然道阻且長，在尋求民事救濟時還會涉及國際私法中的管轄法院確定、法律適用等難題，維權成本高、獲得救濟難。綜上，事后懲罰性規制只宜作為金融數據跨境規制的“退路”，而以合規為代表的預防性規制，才能有效降低金融企業違規數據出境行為所帶來的凈社會成本。有效的內部合規體系輔之以持續性的事中監督和精準化、嚴格化的事后問責，便可充分稀釋事前限制金融數據跨境自由流動的必要性。

金融企業通過合規來預防金融數據跨境風險，固然應主要著眼于跨境階段，但更為重要的是樹立風險預防全局觀，建立全流程金融數據合規體系。所謂全流程，是指金融企業的金融數據保護合規，要貫徹到數據業務的全線程，實現對數據生命周期的全覆蓋。對此，GDPR在其第25條確立了“設計和默認的數據保護”(data protection by design and by default)原則，主張在產品或服務設計之始就將個人數據保護嵌入其中，旨在借此將隱私保護納入各種處理個人數據的技術和應用程序的完整生命周期之中；我國《數據安全法》第27條也強調“建立健全全流程數據安全管理制度”。雖然金融數據的跨境流動主要涉及傳輸和提供，但是金融數據本身固有之生命周期鏈條上的每一步都環環相扣而不能孤立看待：一方面，各個環節之間具有風險傳導和放大效應，例如金融數據收集環節作為生命周期的“源頭”，一旦收集行為違規，之后的每一環節無論多么合規都無法洗滌違規的“原罪”，且隨著流程的推進，數量的匯集疊加跨境因素，更會放大先前環節違規行為的風險性；另一方面，金融數據具有廣泛的出境可能性，非以跨境傳輸與訪問為直接目的的處理活動同樣包含著潛在的間接出境風險。

企業合規的原意就是“遵循”，全流程金融數據合規體系的建立離不開全周期金融數據保護義務的賦予。在合規計劃中居于核心地位的合規政策，本質上就是外部行為義務的內部化。因此，只有賦予金融企業涵蓋金融數據出境“事前-事中-事后”的全周期保護義務，金融企業建立全流程金融數據合規體系才有規可依、有的放矢，從而使合規自治有了法治保障。目前，基于數據本身的物理屬性以及數據主體和處理者在控制力上的現實差距，我國《網絡安全法》《數據安全法》和《個人信息保護法》及其配套規范立足“行為主義”已從整體上針對金融企業等數據處理者作出了覆蓋數據生命周期的行為規范安排。同時，針對金融數據這類特殊數據，中國人民銀行還發布了《金融數據安全數據生命周期安全規范》，明確規定了金融數據采集、傳輸、存儲、使用、刪除等各階段的處理要求，用以指導金融機構建立完善的金融數據生命周期防護機制。當然，出境等數據生命周期各環節的具體保護要求，應以金融數據的分類分級為基本依據并結合金融企業能力現狀進行細化明確，既要未雨綢繆也要防止過猶不及。其中，個人金融數據以可識別性和去識別化、敏感性與脫敏為核心，而非個人金融數據則以其他保護法益的確認和危害程度的判斷為要點。

(三) 框架性規制：“規制-自我規制-元規制”的三環互動

全周期金融數據保護義務之下的金融企業數據跨境合規，仍停留在自我監管的階段，屬于金融企業對外部性公權規制的落實。此種“命令與控制型規制”(command and control regulation)之下相對被動的合規尚不能滿足金融數據跨境的規制要求：首先，由于我國金融數據跨境規制起步較晚，在立法現狀上表現為因缺少頂層設計系統而較為零散，尤其是在出境安全評估重要數據范圍不明確、缺乏執行細則的情況下，針對不同類別層級金融數據的出境要求尚未明晰，無法為金融企業直接提供明確的合規指引；其次，立法者等外部規制主體因其有限理性，面對金融數據數量的爆炸式增長和處理風險的不斷加劇，規制手段存在滯后性實屬必然。因故，加強金融企業的自我規制，是完善我國金融數據跨境規制體系的必由之路。

所謂金融企業的自我規制，強調在外部公權規制缺位的情況下，將命令和結果強加于自身。在自我規制過程中，金融企業既是自我的立法者，也是自我的監督執行者，在違規時還是自我的裁判者，從而實現了規制主體和規制對象雙重身份的合一。在金融數據跨境流動中，金融企業的自我規制具有如下優勢：第一，面對多場景的金融數據跨境，金融企業能夠根據自身特殊需求，利用專業經驗克服傳統外部公權規制的失靈，從而實現更具彈性與效率的動態規制；第二，金融企業更強的自主性往往伴隨著更高的服從性，從而在提高其主體責任感的同時更好實現金融數據跨境的規制目標；第三，在國家公共資源緊張的當下，金融企業的自我規制可以有效降低規制成本，減輕監管部門的行政負擔。然而，自我規制也并非完美，其在透明度、可靠性、問責性等方面均面臨質疑，甚至可能犧牲公共利益而滿足私人利益而被認為具有低公共性。因此，在自我規制和公權規制之間并不存在明確的二分法，而是存在一個連續統一體，純粹的自我規制同純粹的公權規制一樣都是不存在的。兩者并非相互替代之對立關系，而應交融互補。基于金融企業合規法治與自治的雙重視野，更為重要的是建立起“規制-自我規制-元規制”“三環”(triple loop)互動的規制框架。

首先，在金融企業自我規制的前端，必要的公權規制不可或缺。但是此種公權規制不應是傳統上大包大攬、事無巨細的介入干預，而應表現為一種重在設定原則目標的框架性規制，唯有如此才能適應既發揮自我規制的專業性和靈活性，又強調并用公權規制的基本趨勢。誠然，不能否認“宜細不宜粗”的金融數據跨境立法是提高安全效力的有力保障，也符合從粗放到精細的現代立法趨勢，在全周期金融數據保護義務的基礎之上，根據金融數據分類分級為不同金融企業設定差異化的出境權利義務本就體現了此種理念。然而，面對金融數據跨境本身處于快速發展的動態過程之中，為實現既確保法律到位以防社會失范，又能夠為新現象的發展留有余地，先行根據規制目標搭建框架性秩序的粗放型立法，以為金融企業的金融數據跨境自我規制的提供原則性指導，再逐步實現精細化立法，則是緩解當前規制落后與出境需求旺盛之間矛盾更為現實和有效的路徑。在與金融數據跨境相關的國際規則中，《亞太經合組織隱私框架》(APEC Privacy Framework，以下簡稱《隱私框架》)就是一個由一系列信息隱私原則構筑而成的保護框架，這固然有因其屬于推薦性指南而有待各國國內法進一步細化之考量，但根本上還是因為其本身就采取了以企業為中心的“數據控制者擔保模式”，因而只需以原則形式為企業的自我規制提供目標導向。我國《個人信息保護法》除了用“個人信息跨境提供的規則”這一專章為金融企業的個人金融數據跨境提供了明確的具體行為標準，其第一章“總則”中更是以6個條文規定了合法、正當、必要、誠信、目的限制、公開透明、質量、安全等8項基本原則，在確立個人信息保護框架的同時，有助于在具體規則闕如時為金融企業如何實現個人金融數據跨境提供補充解釋。此外，盡管各國具體規則各異，金融數據保護的基本原則卻有最大公約數可取，據此建立的合規框架可在金融企業因應數據跨境多向合規過程中兼具通用性與應變性。

其次，在金融企業自我規制的后端，需要加強“元規制”(meta-regulation)。所謂元規制，也被稱為后設規制，簡言之就是“對自我規制的規制”(the regulation of self-regulation)，即外部規制者在誘導規制對象針對公共問題發展內部自我規制的同時，通過各種激勵和懲罰手段來對自我規制進行必要的干預以避免市場失靈。因此，元規制本質上可以視為是一種具有回應性(responsive)的“強制型自我規制”(enforced self-regulation)。在此，國家的角色轉向承擔一種“小而美”的擔保責任，在將部分金融數據跨境規制的公共職能轉由金融企業履行的情況下，通過事后的評估和管制措施擔保其行為最終符合公共福祉。歐盟的GDPR就切實反映了此種元規制模式，第5條在規定了“個人數據處理原則”的基礎上要求數據控制者采取保護個人數據安全之合理技術手段和組織措施，一定程度上賦予了數據控制者自我規制的自由裁量權，但其中的透明性原則和可問責性原則顯然又為傳統命令與控制型規制中外部壓力的介入留下了必要通道。根據我國《個人信息保護法》第七章規定，金融企業若在個人金融數據出境過程中雖未違反第三章關于個人信息跨境提供的具體規則，但違反了總則所規定之原則，仍有可能承擔相應的法律責任。因此，一方面，金融企業要充分發揮自主性和能動性開展框架性原則之下的金融數據跨境合規并進行充分的自我評估；另一方面，國家機關在對金融企業自我規制進行規制時，既要確保相關原則配套問責機制的實現，也要在限縮性解釋的基礎上“禁止向一般條款逃逸”，以免過度加重金融企業合規負擔。由此才能在政府與金融企業的協同治理之下以期達成最佳的監管效能，實現“規制-自我規制-元規制”三環框架性規制之下法治與自治的良性互動。

圖1 金融企業數據跨境合規治理體系

綜上，在框架性的規制目標之下，從建立全流程金融數據合規體系的強制性合規義務，到外部處理規則和內部自我規制協調互補形成全周期金融數據保護義務，最后由事后問責機制提供懲罰救濟和激勵保障，一個以金融企業數據跨境合規為出發點和主抓手，貫穿“事前-事中-事后”呈現完整金字塔結構的金融數據保護規制體系得以成功構建(見圖1)。當然，前一部分中討論的金融數據與金融企業分類分級的雙向匹配認證是該規制體系構建的前提基礎，決定了體系內部的權限范圍與義務強度。

四、金融數據跨境行政監管：統一主體基礎上的創新與激勵

(一) 統一監管主體：多頭監管現實困境的出路

“連接良好的法律與自覺守法之間的通道是完整通暢的執法與監管。”一方面金融數據跨境流動立法需要行政監管部門進行細化執行，另一方面金融企業的合規自治也需要行政監管部門加以監督管理。基于我國《數據安全法》第6條所確立的“網信部門統籌監管+各行業主管部門分業監管”模式，當前金融企業的金融數據跨境流動面臨多頭監管的局面。由于統一監管機構的缺乏，網信部門和金融部門的監管細則不一致、執法標準各異，既存在重復監管，又易形成監管空隙，加劇了金融企業在金融數據跨境流動中的合規不確定性，進而加重其合規負擔。

網信部門針對金融數據跨境流動，總體上呈現出“以本地化為原則、以安全評估出境為例外”的規制思路。作為《網絡安全法》數據跨境安全評估機制的執行細則，國家網信辦制定的《評估辦法》延續了37條的要求，而作為配套標準的《評估指南》則將幾乎所有金融數據都歸入了重要數據的范疇。雖然《評估指南》至今仍未能落地，但其中已不難管窺網信部門針對金融數據跨境流動重安全而輕流動的規制思路且一以貫之。上述現象在某種程度上或可歸咎于網信部門缺乏對各行業發展情況和數據信息的專業認識。

金融部門作為金融領域的專業部門，雖通過各種規章監管金融數據跨境流動起步更早，但其規制思路則呈現出一定的搖擺橫跳。以中國人民銀行為例，2011年《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》(以下簡稱《通知》)對在中國境內收集的個人金融信息明確規定了本地化要求，雖存在但書，但在當時并未有例外規定的情況下，實質上就是完全禁止個人金融信息跨境。而時隔不久的《中國人民銀行上海分行關于銀行業金融機構做好個人金融信息保護工作有關問題的通知》(以下簡稱《新通知》)卻采取了與上述《通知》截然相反的立場，允許在滿足“業務必需+書面授權同意+保密義務”的情況下實現個人金融信息的自由跨境。隨后于2016年發布的《中國人民銀行金融消費者權益保護實施辦法》，吸收了《通知》與《新通知》的相關規定，實際上是直接將后者作為了前者的例外規定以滿足金融企業的業務需求，但還需“符合法律、行政法規和相關監管部門的規定”，如彼時已頒布的《網絡安全法》37條。2020年的《個人金融信息保護技術規范》則對基于業務需要的個人金融信息出境，提出了“符合法律規定+獲得明示同意+依規安全評估+明確監督保障”的多重并列要求，較之次年頒布的《個人信息保護法》中的個人信息跨境要求條件有過之而無不及。此外，若將金融數據跨境流動的監管職責完全交由金融主管部門，其固然可結合金融業發展需求發揮其專業優勢，不過亦可能因本行業利益發生監管俘獲或與其他行業產生監管競次，不利于保護金融數據安全。

隨著越來越多的國家開始對數據跨境流動展開規制，數據保護機構(data protection authori-ties，DPAs)的設立和合作也在逐年增加。在APEC的“跨境隱私規則體系”(CBPRS)之下，作為其重要組成部分的《隱私框架》建議其成員國應考慮建立和維護獨立的隱私執法機構，具備通過認證的隱私執法機構是該國企業申請加入該體系的先決條件。歐盟作為個人數據保護的先驅，在1995年就提出了各成員國須建立獨立監管機構的要求；隨后又于2001年宣布在歐盟層面設立獨立的數據保護專署(EDPS)；2016年更是在此基礎上成立了由上述各成員國監管機構和數據保護專署組成的歐盟數據保護委員會(EDPB)。其他還有如新加坡于2013年成立的個人數據保護委員會(PDPC)、日本于2015年設立的個人信息保護委員會(PIPC)、巴西于2020年成立的國家數據保護局(ANPD)，美國在一項名為《“控制我們的數據”法》(Control Our Data Act)的立法提案討論稿中也建議設立獨立的“消費者隱私保護和數據安全局”。

在此現實困境和國際趨勢下，我國也應設立獨立、權威、專業的數據監管機構并明確其法律地位，在網信部門與行業主管部門之間平衡安全與發展，一方面專門負責履行國內數據跨境流動規制等各項職能，另一方面密切加強國際監管合作與對接、強化域外執法；同時考慮到諸如金融數據等各專門行業領域數據的特殊性，可以分設相應的子機構在其統一領導之下開展工作。2023年《黨和國家機構改革方案》提出設立的國家數據局，不失為我國獨立數據監管機構的可行選擇，從而緩解當前各部門職能交叉、缺乏頂層設計等問題。但根據方案，目前其作為國家發改委管理的國家局，承擔的僅僅是協調推進數據基礎制度建設等數據領域的宏觀職能，而并未改變金融數據出境具體監管職能的離散現狀，未來能否以此為契機統合協調跨境數據流動的發展與監管職能，尚待進一步觀察。退一步而言，若考慮到新設獨立監管機構可能成本高、周期長、部門利益糾葛大，那么在維持分業監管模式下發揮金融主管部門在重要數據目錄和一般數據清單制定、金融數據出境正反面案例發布、金融企業數據安全管理認證等方面的主導作用，將網信部門的職責定位重新回歸并強化《數據安全法》第6條規定的“統籌協調”而弱化安全評估之外具體的監管執行，也是一種適合我國國情的解決當前因金融數據跨境監管職能不當配置所誘發之合規困境的替代方案。

(二) 監管科技創新：金融科技發展的必然要求

監管與創新總是水乳交融，呈現出一種既相互沖突又相互促進的關系。在金融數據跨境領域表現為：“金融科技”(FinTech)快速發展之下從“了解你的客戶”(KYC)到“了解你的數據”(KYD)的范式轉變正在逐字節地改變傳統規制模式，強烈要求“監管科技”(RegTech)的創新。具體言之，在金融科技助力下，金融業的數字化轉型日益加快，數據驅動的特征也日益明顯，這既是需要對金融數據跨境流動加強規制的根源所在，也對傳統監管構成了重大挑戰：首先，合規不僅對于企業來說是一項耗時耗力耗費的艱巨任務，對于監管機構而言更甚，金融數據跨境規制中全周期保護義務的賦予要求監管機構實現全流程監管，但是當前相對落后的監管手段受限于其自動化和集成性程度，無法實現對金融企業合規的實時全程監管。其次，在數據驅動的金融數字化進程中，監管機構在金融數據跨境流動監管中面對的是數量級極其龐大的金融數據，其種類和格式較先前大為豐富，加之金融科技的發展使得金融數據的跨境流動范圍更廣、速度更快、方式更為多樣，監管機構若無強大的數據分析能力和安全技術，則根本難以識別其中復雜的金融風險，更難言在風險發生時及時介入加以阻斷。總之，面對金融科技創新，監管能力若未得到有效改進，則監管失靈在所難免，進而誘發市場失靈。正基于此，USMCA在其“數字貿易”一章專門強調，考慮到數字貿易中的網絡安全威脅，各成員國應加強建設其負責網絡安全事件處置的國家機構的各項能力。綜上，在金融科技日新月異、金融數據跨境流動方興未艾的當下，除了統一監管主體之外，亟須通過監管科技創新變革監管手段、提高監管能力、提升監管效率。

更為重要的是，監管科技還有其面向企業合規的一面。監管科技在金融企業端可以表現為一種合規科技，即金融企業通過利用技術創新來更好地滿足合規要求、降低合規成本，這既是在金融數據跨境流動規制中金融企業負擔全周期保護義務、建設全流程合規體系的必然選擇，也是與行政端監管科技相匹配對接的應有之義。而且，監管科技的進步可以改變金融數據跨境流動立法的價值取向，從而更加注重以金融企業合規為中心而非“一刀切”地強調本地化。金融數據的跨境流動規制將隨著行政監管能力的變化發展呈現出動態性的特征，若能通過扎實提高監管技術水平來保障數據安全，想必也不會選擇制定容易惹人非議的本地化法規。因此，監管科技創新是建立以金融企業合規為中心的金融數據跨境流動規制體系、實現安全與自由價值平衡的基礎與保障。

金融數據跨境流動規制中的監管科技創新，必須實現“以數據監管為核心”。當前，為了在金融數據跨境中能夠實現對數據走向和總量的控制，準確分析識別各類風險，必要時及時抓取留存證據并采取強制脫敏或阻斷傳輸等措施，監管機構可以考慮提供統一的金融數據跨境傳輸通道平臺，輔之以區塊鏈、隱私計算等技術，實現金融數據跨境的防篡改、可追溯，同時兼顧金融企業的商業秘密保護需求。金融企業在金融跨境傳輸時本就需要借助第三方網絡數據公司提供相應的服務器和網絡傳輸通道，若轉由監管機構統一提供同價位、同質量的數據傳輸平臺，在不增加金融企業成本負擔的同時，既滿足了其金融數據出境需求，也可大幅提高監管機構的數據路由控制能力。但是，其中尚需要注意兩個問題：一是監管機構的數據安保責任，監管機構在依照法定職責通過統一跨境傳輸平臺對金融數據跨境進行監管過程中收集、使用的相關數據符合《數據安全法》第38條對“政務數據”的定義，故應當依照第39條之規定履行落實相應數據安保義務以保障政務數據安全；二是對行政壟斷的防范，監管機構向金融企業強制性指定統一的有償金融數據傳輸平臺可能涉及是否構成行政壟斷的爭議，對此監管機構應當明確其通過行政權限制競爭的界限應局限于為履行法律、法規授權的公共事務管理職能，其目的應在于謀求國家或社會的公共利益，如此方可排除濫用行政權力之質疑。

(三) 多重激勵機制構建：克服合規動力不足的監管策略

現代企業合規肇始于刑事合規，而刑事合規最重要的面向就是合規激勵，即以非與懲罰相孿生的獨立刑事利益促使企業建立有效的刑事風險防控體系。自2020年最高人民檢察院開始推動企業合規不起訴制度試點以來，刑事合規激勵在我國逐漸鋪開深入。金融企業實現金融數據跨境合規在現行法律體系下可能獲得的刑事利益包括無罪、不起訴、量刑從輕、強制措施優遇等。不過，現有刑事合規激勵實踐多針對傳統中小微企業，金融與數據合規在該領域的存在感依然偏低，法治化、場景化、標準化、精細化、普及化程度尚待提升。而在金融與數據兩股強監管趨勢匯流的背景下，金融企業數據跨境合規的行刑銜接問題日益突出。金融數據法益的多樣性、出境行為的復雜性、違規出境危害的重大性，加劇了金融企業數據犯罪治理的難度。然“冰凍三尺非一日之寒”，犯罪行為往往是行政違法行為的遞進。這一點從當前數據犯罪相關罪名多以空白規范引致行政義務就可見一斑，例如個人金融數據違規出境可能觸犯的侵犯公民個人信息罪即以“違反國家有關規定”為前提。面對實體層面的雙層違法和責任競合，金融企業數據跨境合規的行刑銜接不能再局限于簡單的移送對接，而應在“訴前-訴中-訴后”雙軌互動的基礎上強化雙重激勵。相較于單純的刑事合規激勵，行政合規激勵機制的構建既能在統一法秩序下通過激勵前置實現數據出境安全風險的防控關口前移，亦可在恩威并施下實現行政機關、司法機關與金融企業三者的協同共治。

平衡論指出，在現代行政法機制中唯有制約機制與激勵機制互相配合，方能實現行政法治與企業自治之間的良性互動。無論是強制合規義務的賦予，還是通過技術創新實現對合規的有效監管，都僅體現了制約的一面而顯激勵不足。因此，有必要在金融數據跨境流動規制領域將合規激勵機制引入行政執法程序，即行政監管部門為鼓勵金融企業建立起有效完善的全流程合規體系，在保留傳統事后懲罰機制的同時，確立以合規換取寬大行政處理的監管策略。通過將監管策略由側重威懾轉向側重激勵，化對抗為協作，以增強外部規制對內部合規的滲透性。

具體言之，一是將有效合規體系的建立作為法定的責任減免事由。基于金融數據本身所具有的復雜性、敏感性，即便金融企業努力建立了合規體系也難免“智者千慮必有一失”，若此時仍照常處罰，必將從客觀上導致金融企業不敢貿然從事金融數據跨境、也不愿建立合規體系。對此，在保留嚴刑峻法的基礎上，為了給予金融企業即便要付出成本也要制定和遵守合規計劃這樣的激勵，如果經營者制定實施了合理有效的合規計劃，應當基于其已履行了必要的監督義務而承認對其免責或減責的可能性。二是將合規計劃引入行政執法和解制度。所謂行政執法和解，是指立足于行使行政自由裁量權的正當性基礎，監管執法機構在執法過程中與行政相對人為消除行政爭議而訂立的一種公私融合的行政合同。行政執法和解是提高監管效能、減輕監管負擔的有效手段，因而成為域外行政執法中的慣用手段。據統計，美國證券交易委員會98%的執法案件都通過行政和解解決。在數據保護領域美國聯邦貿易委員會也曾與臉書公司就其使用欺騙手段非法獲取和共享用戶隱私數據的行為達成和解協議，在讓其支付50億美元巨額罰款的基礎上還對其施加了史無前例的業務運營新限制，要求重建多個合規渠道。在金融數據跨境流動這樣復雜的監管場景中，監管機構本就有較大的自由裁量空間，而將企業合規引入行政執法和解(包括將企業合規作為和解適用的前提或者作為和解協議條款)，可使行政執法和解的達成成為一套更多依靠金融企業內控優化的規范化體系，實現對金融數據跨境行政糾紛的源頭治理。

我國當前初步建立了上述對企業合規的行政激勵機制。在將企業合規作為法定責任減免事由方面，《證券公司和證券投資基金管理公司合規管理辦法》第36條明確將證券基金機構有效的合規管理作為了依法從輕、減輕處理乃至不予追究責任的條件，《行政處罰法》第32條也將“主動消除或者減輕違法行為危害后果”作為從輕或者減輕行政處罰的法定情節。在將企業合規引入行政執法和解方面，證監會于2015年發布的《行政和解試點實施辦法》(以下簡稱《試點辦法》)被認為是我國第一次在行政監管執法中引入行政和解，同時也在其中引入了合規機制，要求行政和解協議應當載明整改措施及其履行期限；隨后國務院于2021年頒布了《證券期貨行政執法當事人承諾制度實施辦法》，正式確立了本質上屬于行政執法和解的行政執法當事人承諾制度；證監會于2022年重新發布了《證券期貨行政執法當事人承諾制度實施規定》作為其實施細則，具體規定與前述《試點辦法》類似。

我國的上述規定雖可被視為初步構建起了金融企業合規的行政激勵機制，在監管執法實踐中也出現了少量案例，但就金融企業金融數據跨境合規的行政監管而言還存在不少問題：第一，上述規定目前仍多僅限于由證監會作為監管主體的證券執法領域，在當前金融數據控制者擴張的背景下適用范圍十分有限，是否適用于金融數據跨境監管領域也不無疑問；第二，上述部分規定其實并未直接明確將合規作為行政責任的減免事由或者行政和解的條件和內容，能否將合規納入其中還存在較大的解釋空間，因此未能發揮出推動企業合規的最大激勵作用。因此，我國仍需進一步推動在統一金融數據跨境流動監管主體之下構建起完整、普遍、明確、有效的多重行政激勵機制，并實現與刑事合規的有效銜接。

五、余論

阿爾文·托夫勒在《第三次浪潮》中指出：裹挾于歷史的滔滔不絕的變革浪潮之中，只有在前進過程中孜孜不倦地探求浪潮前鋒、識別變革前景，我們才能在嶄新的視角之下認清和掌控變革的形勢。當全球經濟成為一臺在“消耗數據-處理數據-生產數據”之間永續循環的數據永動機，如何對金融企業的金融數據跨境流動進行規制正是當前需要我們探求和識別的數字經濟浪潮的前鋒之一。對此，本文從金融企業合規治理這一嶄新視角，提出了在安全和自由利益平衡的數據本位立法之下，通過統一監管主體基礎上的監管科技創新與多重激勵機制，構建以預防性和框架性規制理念為指導、以金融企業內部強制合規為中心的金融數據跨境流動規制框架。但當前該框架若要真正落地，其中不少在實定法上仍處于模糊或空白地帶，甚至會產生沖突。面對這一復雜系統中的諸多不確定動態因素，貿然突破當前相對抑制的金融數據跨境監管現狀，可能造成覆水難收的風險局面。對此，建議可引入“監管沙盒”(regulatory sandbox)機制以實現治理體系創新與金融數據安全的雙贏。如果說包含三重維度的金融企業數據跨境合規治理體系是最終實現兼顧安全與發展規制目標的必要手段，那么監管沙盒則旨在創設一個被監視和受控制的相對隔離的試驗運行環境：監管機構在嚴守監管目標和底線、做好風險管理預案的前提下，通過事先設定原則標準和限制條件，允許經過甄選的金融企業在真實的市場業務場景中，以真實的金融數據與數據接收方為對象測試金融數據跨境流動全過程，以評估上述合規治理體系的成效和影響。其本質上與我國的試點機制類似，在小范圍針對性試點中包容創新、容錯糾錯，在總結經驗教訓的基礎上相機決策是否全面推廣。在金融數據跨境流動的相對安全觀之下，通過創造一個新的監管環境促進創新和未知風險方案之間的良好平，借助“雙層容錯”機制促成監管者與被監管者在可信可控、動態靈活的互動合作機制中發揮各自能動性持續矯正監管與市場之間的區隔，這恰恰與本文以金融企業合規為中心實現金融數據跨境安全和自由之間的平衡這一核心論點高度契合。

總而言之，數字金融的深入發展不可逆轉，“金融即數據”終成定局。面對金融與數據在全球化變局下不斷碰撞出新的火花，本文所提出的金融企業數據跨境合規治理體系試圖以一種多主體協同、多環節聯動的方式探求一條多目標平衡的金融數據跨境流動規制新路徑。然而作為典型的交叉領域，如何實現金融監管與數據治理的同步異構演進，進而協調一般金融監管與數字金融監管、一般數據治理與金融數據治理的政策目標與具體規則，最終達致和諧有效的全球金融數據治理新格局，是金融數據跨境流動規制所折射出的一個更為宏大復雜的命題。同時，技術的發展也同樣帶來了新問題。區塊鏈、云、人工智能、隱私計算等技術的發展，不僅可以為金融數據跨境傳輸使用提供更加高效安全的手段，甚至將突破金融數據跨境流動的基本范疇界定，這既是機遇也是挑戰，未來的金融數據跨境流動治理范式應作出何等因應，值得關注與進一步研究。

--原創文章--