数据安全对跨国证券监管的法律挑战与对策

　　摘　要：企业跨境上市及其跨境数据流动提高了金融业的开放程度，也引发了上市企业母国与东道国之间的跨境证券监管法律冲突，其中数据安全问题是焦点之一。具体表现在：一是数字经济的快速发展给数据安全提出了挑战，二是各国对跨境数据流动的不同主张形成了新的贸易壁垒，三是各国不同的数据监管规则产生了国际法律冲突，四是我国现行法律体系在数据跨境监管方面存在立法空白。为应对数据安全监管的挑战、完善跨国证券监管协调，上市公司母国要明确企业境外上市数据安全标准，东道国要明确外国企业上市数据安全规则，国家间要协调数据安全证券监管规则和司法管辖权。各国应加强合作、减少对抗，协调数据跨境监管国际规则的构建，探索跨境证券监管合作路径，以应对数字经济复杂化的新挑战。

　　关键词：证券监管;数据安全;跨境数据流动;中概股;VIE

　　一、引言

　　企业跨境上市及其跨境数据流动提高了金融业的开放程度，也对数据安全提出了挑战。以“滴滴事件”为代表的中概股跨境监管问题凸显了跨境证券监管中的数据安全问题，该问题属于跨国上市企业母国同东道国之间的证券监管法律冲突。中概股赴海外上市企业中多采用红筹上市架构，其中可变利益实体(VariableInterestEntity，以下简称VIE架构)是最常见的方式，即将境外上市主体与境内业务实体分离的同时，用协议构建前者对后者的控制，二者之间不是股权关系，而是合同关系(刘燕，2012)。

　　VIE架构能帮助外资有效规避政府管制和证券监管，以实现规避我国监管机构审查和境内业务境外上市之目的。VIE架构合法性一直存在争议，而且中美两国在中概股财务数据审计方面的冲突难以化解(黄凯，2021)。近期随着我国对境内企业境外上市的数据安全监管的加强，跨国证券监管中的数据安全问题值得深入探讨。

　　二、数据安全对跨国证券监管的法律挑战

　　(一)数字经济的快速发展给数据安全提出了挑战随着数字经济的不断发展变化，数据安全不再是传统的对数据信息的简单储存和保密，也不是单纯的财务数据，而是被赋予更为复杂的涵义。依据我国《数据安全法》的规定，数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

　　具言之，跨国证券监管中的数据安全，是指金融监管机构基于使数据使用更安全的核心目标，从数据保护、合规、管理层面，对数据完整性、保密性、可用性、合法性提出严格要求，以有效规范数据资产的访问、运营、传输、存储、删除等各个环节。例如，跨国公司内部业务数据传输与对外服务数据传输，商业数据跨境共享与传输，个人浏览网页记录，设备识别码与IP地址的录入，跨境运输的乘客姓名记录与地理位置数据，网络邮件、社交网络和其他电子通信的云储存与访问，国家政务信息数据共享与保密，cookie的发送与存放等。即使不包含个人数据的数据集，基于应用数据的方法，也可能对隐私政策产生潜在威胁。

　　数据安全已渗透到人们生产生活的方方面面，同国家安全、个人信息安全、商业数据保护密切相关，而不仅局限于商业秘密、财务数据范畴。金融数据的爆炸式增长超出传统数据监管范畴，部分企业和个人利用法律的滞后性谋取商业利益，造成金融市场数据使用的混乱(钟红，2021)。以“滴滴事件”为例，滴滴出行是一家提供出行服务的企业，其崛起改变了传统的线下打车的市场格局，利用大数据构建了线上与线下相融合的出行方式，推动服务C端消费者实现消费升级，同时掌握了海量用户的个人信息、网络身份识别信息、移动支付信息、个人位置信息、生物识别信息、车辆GPS信息以及我国高精度地图数据等大量重要数据。

　　从媒体相关报道来看，滴滴出行被网络安全审查的表面原因在于其跨境数据流动问题以及用户数据过度搜集问题，但究其本质或许在于国家对滴滴的潜在技术漏洞和数据泄露、滥用、损毁等风险的担忧。正是基于数据安全保护的考量，同样掌握高精度地图和地理测绘信息，宣称汽车智能化的特斯拉(Tesla)为实现数据存储本地化，针对中国市场在我国境内建立了数据中心①。2021年8月20日，我国国家互联网信息办公室等部门联合发布《汽车数据安全管理若干规定(试行)》，对数据处理者提出汽车运行所产生的数据要进行车内处理、脱敏处理、精度范围适用等要求，以防止数据的违法收集和违规滥用。

　　(二)各国对跨境数据流动的不同主张形成了新的贸易壁垒

　　跨境数据流动不仅推动了国际经济贸易的发展，也衍生了新的贸易壁垒，各国评估跨境数据传输、隐私政策、经济成本之间的关系越来越复杂。数据共享是实现数据价值最大化的重要路径，也是金融数据监管的重要方面，但国际层面并没有形成统一的数据共享标准。不论是数据寡头企业对数据共享的变相限制和垄断，抑或金融监管机构间有效数据共享和协调的缺失，均使得跨境数据流动和监管形成了较高的贸易壁垒，为监管套利和投机主义创造了机会。

　　数字贸易壁垒主要体现在强制本地化义务、市场进入限制、数据及个人隐私保护措施、消费者权益维护、知识产权保护、平台从业者法律责任不明确、内容审查以及数字贸易环境不健全等几大主要障碍(USTR，2017)，其中对数据本地化的探讨尤为激烈，诸多国际贸易协定都对此展开讨论。世界贸易组织(WTO)的谈判文本包含了禁止数据本地化的规定，认为数据本地化属于“不合理的歧视或变相限制的手段，或超出实际目标所需要的程度”之列。《全面与进步跨太平洋伙伴关系协定》(CPTPP)要求签署国允许数据跨境自由流动，鼓励数据保护制度之间的互操作性，认为各国都应允许开展业务的数据跨境传输。《美国—墨西哥—加拿大协议》(USMCA)不允许缔约方以“合法的公共政策目标”为由，对其他缔约第三方提出数据本地化的要求。

　　但《区域全面经济伙伴关系协定》(RCEP)允许成员国实施任何他们希望的国家监管限制，只要这些限制是以非歧视的方式实施的。据不完全统计，目前全球已有62个国家实施了144项数据本地化要求。以美国为代表的反对者则鼎力支持跨境数据流动的自由化，极力反对数据本地化，主张降低数字贸易障碍。而数据本地化的支持者认为，数据本地化能从源头阻止第三国政府给供应商施压以实现跨境数据的政治访问。欧盟始终强调对个人信息的保护，青睐于数据本地化措施，大力推崇间接和事实上的本地化，强调达成高标准规则和承诺以增加规制的可预见性。以中国为代表的诸多发展中国家在数据领域立法，倾向于属地管辖原则和数据本地化原则，重视对跨境数据传输自由流动的限制。不难发现，美国、欧盟、中国三大国际贸易巨头对跨境数据流动监管有着不同的主张和碎片化处理方式。

　　(三)各国不同的数据监管规则产生了国际法律冲突

　　诸多国家已经将数据跨境流动问题定位为国家安全层面的重要战略，各国积极制定相关的数据监管法律规则，以避免跨境数据流动标准方面不完全的互操作性所造成的潜在威胁。但由于各国在数字市场与需求方面的差异，各国在数据监管措施的选择上，不可避免地存在差异化选择现象，使得该议题在多边层面陷入僵局。国际组织的多样性、各法域法规间的不一致和不确定性，增加了数据跨境转移的复杂性，导致数据跨境自由流动难以确定适用性。

　　由于数据天然具有流动便利性，一国仅在本国范围内进行数据治理效果并不明显，规则的域外适用扩张变成必然趋势(孔庆江和于华溢，2020)。以中美之间法律冲突为例，2018年3月23日，美国国会通过了《清澄境外数据的合法使用法案》(以下简称CLOUD法案)，更新了美国执法机构请求通信服务提供商所保管数据的法律框架，赋予美国政府调取美国企业在境外存储的数据信息的执法权，明确了数据控制者应依据法案提供数据的义务。值得注意的是，美国执法跨境调取数据采用“数据控制者标准”，显然无视了数据存储所在国的法律机制。本质上，美国借由CLOUD法案对跨境数据流动治理施加域外长臂管辖，为其实施数据霸权铺设了法理基础，扩张了美国数据主权管辖的范围，强化了美国对跨境数据流动的控制力。

　　然而，我国倾向于属地管辖原则和数据本地化原则，重视数字贸易的属性，重点强调对关键信息基础设施运营者提出数据本地化及出境数据安全评估的要求，主张个人信息和重要数据的跨境流动需要经过母国评估。不难发现，同美国数字霸权主义不同，我国对跨境数据流动的态度在于，既支持跨境数据流动自由化，又强调数据安全系先决条件。中美之间愈演愈烈的法律冲突更直观体现在两国对跨国证券发行者首次公开募股(IPO)相关文件和资料管理的不同。

　　一方面，美国2020年通过的《外国公司问责法案》将矛头直指中概股企业，对在美上市的中概股公司提出了不合理的监管要求，明确要求外国赴美上市企业必须提供审计工作底稿，披露其是否由外国政府持有或控制，并规定在美上市的证券发行者若连续三年未接受美国上市公司会计监督委员会的审查，将禁止在美国任何交易所上市，面临退市风险。另一方面，我国新《证券法》不仅严格限制境外证券监督机构的调查取证活动，且明确任何单位或个人若要向境外提供与证券业务活动有关的文件和资料，必须经过国务院证券监督管理机构和国务院有关主管部门的同意。因此，赴美上市的中概股公司如果按照美国法律提交含审计底稿、用户数据等在内的IPO材料，将直接威胁着我国数据安全。

　　(四)我国现行法律体系在数据跨境监管方面存在立法空白

　　随着经济全球化的进程曲折反复，跨国证券监管日趋复杂，而始终处于灰色地带的中概股VIE架构则是历史遗留的关键问题。显然，我国对中概股监管的模糊态度以及对VIE架构的暧昧态度，是造成通过VIE架构远赴海外上市的证券发行企业陷入法律不确定性的重要因素。面对2021年以来我国对互联网企业、校外辅导行业实施的监管，美国证券交易委员会(SEC)主席詹斯勒(Gensler)于2021年7月30日表示，将对中概股企业信息披露作出更加严格的要求，明确中国企业赴美上市需获得中国政府许可的前提，并要求中概股证券发行者必须明确告知投资者其所发行股票系离岸壳公司股票，以提醒投资者中概股所面对的“中国政府采取行动而造成重大不确定性的风险”。

　　在国际税收改革制度引发的经济数字化税收挑战下，中概股企业对数据跨境传输的潜在威胁愈发强烈。但客观而言，目前中国不可能完全否认VIE架构的法律效力，也不可能完全禁止中国企业继续利用VIE架构赴美上市，也不可能要求在美国上市的中概股全部退市而回归国内上市(姜立文和杨克慧，2020)。

　　我国《数据安全法》着眼于数据处理与数据安全两个板块，明确了我国对数据安全保护的政策要求，积极回应了国内外数据竞争和保护的关键问题，扩大了审批制度的适用范围，在一定程度上填补了我国由来已久的数据安全监管领域的立法空白。虽然其中首次提出了数据自由流动原则，但也严格规定非经我国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于我国境内的数据，彰显了我国既坚持对外开放又坚守数据主权的底线思维。然而，《数据安全法》对跨境数据的监管仍呈现笼统、原则之态，在实际监管层面仍留有空白，不具有切实可操作性。

　　2021年8月17日国务院印发的《关键信息基础设施安全保护条例》，通过具体列举的方式对关键信息基础设施作了边界性的认定，但也仅对运营者提出原则性的责任义务要求，并未明确关键信息的保护目标、具体要求、细致措施。虽然国家网信办在滴滴风波后有针对性地发布了《网络安全审查办法(修订草案征求意见)》，在跨境数据流动监管层面进行了部分修订，但仍旧属于原则性的规制，并没有对各行业数据保护标准作出明确要求或限制，仅仅强调了我国确保“数据主权”、“严格限制跨境数据流动”的立场。一言以蔽之，我国现行法律体系缺乏对跨境数据流动相关申请审批的细则，给跨境证券发行企业合规带来了不确定性，亟需完善进一步的实施细则，以更好填补数据跨境监管立法空白。

　　三、完善跨国证券监管协调以应对数据安全问题的构想

　　(一)明确企业境外上市的母国数据安全标准

　　1.明确证券领域的信息数据保护标准证券领域数据保护的需求来源于国家安全、商业产业竞争、个人隐私保护等多维度。

　　中国人民银行2020年9月发布的《金融数据安全数据安全分级指南》(JR/T0197—2020)，根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度，将数据安全级别划分为5个等级。数据传输规则的构建应与数据分级分类制度相衔接，将数据分类分级制度贯穿于数据传输的各个流程，对不同级别的金融数据采取不同的金融监管措施。面对数据传输途径与场景的多样化，《网络安全审查办法(修订草案征求意见)》增加了第六条，明确规定掌握超过100万用户个人信息的运营者赴境外上市，必须向网络安全审查办公室申报网络安全审查。100万用户的门槛对互联网企业而言只是基础门槛，这就意味着许多中概股企业远赴境外上市前，都将面临网络安全审查这一事前审查。

　　《数据安全法》强调了对重要数据目录的监管，但数据应用场景的划分却并不明确。对此可以借鉴欧盟的相关经验。欧盟于2021年6月更新的标准合同条款(StandardContractualClauses，以下简称SCC)将通用条款与模块化方法有机结合，通过划分复杂的数据场景进行处理，以更好地满足现代数据处理需求，明确了数据传输的四种场景，增强了合同模板的灵活性，积极回应了各方间数据流动的现实需求。总之，在跨境证券发行企业的数据合规处理上，应明确跨境数据处理者应主动实施的具体合法性措施，提高金融数据监管的透明度，为监管实体提供可预测性，促进其他利益相关者间的有效沟通。

　　2.明确金融数据出境的评估审批要求

　　加快数据监管评估审批流程，缩短审批周期，是对合规成本的节约，这就必然要求对立法层面评估审批制度的细化。我国《数据安全法》提出了对跨境数据传输进行评估的要求，但并没有明确数据安全评估的具体审批要求，鲜有的几条涉及金融信息共享评估规则散见于未生效的征求意见稿、试行办法之列，在立法层面并未落实，在实践层面也难以落实明确的监管要求。

　　《个人信息保护法》虽明确要求基于业务需要的个人信息跨境提供，应当满足通过安全评估、个人信息保护认证或签订标准合同等条件，也明确了个人信息处理者事前进行个人信息保护影响评估的五种情形以及个人信息保护影响评估应当包含的内容，但仍未涉及相关主管部门审批的实施细则，评估的具体认定标准以及程序要求有待进一步论证和细化。由此，针对哪些数据允许出境，哪些不允许出境，哪些数据不需要进行安全评估，如何申请审批，哪个机构如何作出审批，如何处理境外执法部门传输数据的清算请求等问题，现行条例只是闪烁其词，并没有制定可行的规范细则。

　　法律的模糊语言或许可以使政府能够追溯管辖某些数据传输范围，但必然导致制度利益和合规成本间的失衡。为应对上述问题，一方面，在金融数据评估规则的制定中可以举例式明确不允许数据出境的具体场景，包括数据类型、数据处理目的、保存时限的界限等;另一方面，为节约监管部门的行政成本和提高评估审批的效率，可以从程序上着手对企业内部不涉及敏感信息的数据传输予以一定的审批减免，并具体公布程序减免的范围。

　　同时，涉及重要金融数据时，监管机构应对境外数据接收方的网络安全状态进行评估。评估其连接信息技术系统和网络运行的安全性，以及评估接收方在应对违规行为时是否设置自动保护措施;要有适当的程序来监控异常登录或敏感信息访问并及时报告异常事件，健全金融数据安全预警机制。

　　3.明确数据保护监管的行政主体

　　同欧盟建立专门信息数据保护监管部门不同，在我国金融业分业监管的格局下，我国在金融数据保护监管设置上分别设有网信部门和金融监管部门。

　　两个监管部门之间的监管规定衔接不紧密，甚至在内容上有所冲突，如两个监管部门对数据出境的基础立场就呈现一定差异，网信部门强调数据传输的出境以安全评估为例外，而金融监管部门则以“例外情形”笼统概之。监管部门立场的不一致，必然造成监管落实困境，难以避免监管冲突、套利和法律规避等情形发生。在关键信息基础设施的监督上，仅在《数据安全法》条例中指明由国家网信部门统筹协调，公安部门落实监督，其他相关部门配合工作，并未明确各部门具体的工作义务、要求。同样，《个人信息保护法》虽然设立了专章以规定履行个人信息保护职责的部门，明确了国家网信部门负责统筹协调的地位及职责，但其他监管部门的职责和部门间的配合机制仍缺乏可行性的规定。

　　明确专门的数据保护监管行政主体，不仅要明确各监管部门职责所在，也要明确建立事前审批、事中监督、事后监管的全流程监管要求(喻文光，2021)，以及各监管机构、部门之间的合作、互助问题。监管机构被授权人员对监管应用程序、网络工作平台、安全敏感信息的访问权限应当遵循最小够用原则加以严格控制，确保数据专事专用，明确监管者的责任，并针对越权访问、滥用职权、失职等行为制定清晰的问责机制。一个权责分明的数据监管制度化框架，有利于提升数据监管的透明度，更好落实良好的监管实践要求。为加快推动监管流程提速，可在发展数据分析技术的基础上，建立相对独立安全的监管系统，并有限度地在国内重点数据中心扩大数据在线检测试点范围，以实现重点、核心数据传输、访问、共享的监测。

　　(二)明确东道国数据安全标准

　　1.降低各法域间跨境数据流动的限制由于跨境数据传输在实践中的应用受到限制，诸多国家纷纷对国内法律进行修订，国家间也多选择缔结跨境调取数据双边协议以规制数据安全，但地缘政治及大国博弈等挑战不断冲击国际体系的脆弱性。国与国之间的法律适用差异明显，不仅增加了赴境外上市企业的合规难度，也提高了合规成本。例如，2021年3月美国SEC通过《外国公司问责法案》最终修正案，要求外国证券发行人披露企业注册人或经营实体的高管成员中中国共产党员名单以及是否由外国政府拥有或实际控制，该要求既模糊不清，也体现出明显的证券监管政治化。

　　如何界定所谓的外国政府“拥有”和“实际控制”、高管中党员的人数对“实际控制”的界定影响如何、发行人如何实施披露、披露党员哪些信息、披露信息如何存储等都存有巨大的不确定性。美国证券交易委员会(SEC)或公众公司会计监督委员会(PCAOB)对外国证券发行人所采取的审计检查同样缺乏透明度，而这也是我国担忧证券数据安全的主要因素之一。东道国不仅应明确其审计监管的各项披露要求，也应更多披露其对外国证券发行人采取的检查措施。此外，东道国也应提高第三国政府数据访问请求和流程控制的透明度，在有需要的情况下，开放咨询平台，以有序引导数据跨境监管的行进，站稳国际层面互操作性的总体立场。

　　尤其是，各国应明确重要数据可访问、转让的界限和标准，及时以透明的方式披露第三国政府请求数据访问的流程信息，维系各法域之间透明的、可信赖的数据流动，以实现跨境数据流动间的穿透式监管。实际上，在跨国证券数据监管层面，数据的安全并不单纯取决于数据的存储位置，数据本地化不仅难以阻挡数据的恶意访问，还会增加数据合规的复杂性，甚至反而会降低企业的数据保护能力，并遭致更多的网络攻击。数据传输的过分限制不仅是数据保护目标的落空，实际上也可能会导致对数据监管的限制。

　　正如《关于WTO电子商务谈判中跨境数据传输和数据本地化纪律的多行业声明》所倡议，为了提高数字经济的确定性和效益，任何协议的制定都应该约束不必要的或歧视性的数据本地化任务和数据传输限制。同时，东道国可考虑设置数据共享白名单机制，或借助数据中介服务，通过信任机制下信息技术和数据监管方式的共享，实现金融机构间重要数据的及时传达、有效沟通和合理协调，增强各法域框架间的互操作性，减少国际贸易壁垒的障碍。

　　(三)协调金融数据跨境中的司法管辖权

　　数字市场竞争在全球范围内愈演愈烈，为占领数字法治高地、扩张本国数字市场，各国纷纷展开数据监管、数字反垄断等措施。尤其是，随着美国发动长臂管辖的动机日益泛化，司法管辖权的争夺越发激烈。本国法律的域外适用可以视为一种单边措施，单边措施的本质是一国对外行使管辖权(孔庆江和于华溢，2020)。

　　在不可避免的数据跨境流动中的侵权与违约等事件中，明确金融数据跨境中的司法管辖权是解决争端的关键问题，有助于在跨境监管上实现高度的协调。为提高跨境数据监管在不同法域之间的互操作性，各国应尊重他国数据主权和司法管辖权，未经法律允许，不得擅自访问、传输在他国采集、生成的数据，也不得将上市企业在东道国产生的数据传输、存储在境内。以美国为例，《外国公司问责法案》并未谈及同PCAOB所要求识别审计员的外国司法管辖区的政府机构间的司法协调，仅片面以己方立场约定PCAOB享有域外长臂管辖权显然是不恰当的。

　　当然，司法管辖权的明确既不能由着各国各自为政，也不能过度强调东道国数据监管法律的适用，而是要在双边协议、多边协议的基础上，基于共同目标，友好协商，尽量避免跨境数据流动间马太效应的发生。对此，欧盟新SCC部分模板中所引入的“选择准据法和争议解决”条款，既明确了司法管辖权，又尊重了当事人的意思自治，且有利于实体争议的高效解决，提升裁决结果的可预测性，不失为一个好的选择。

　　参考文献：

　　[1]AaronsonSA,LeblondP.AnotherDigitalDivide:TheRiseofDataRealmsanditsImplicationsfortheWTO[J].JournalofInternationalEconomicLaw,2018,21(2).

　　[2]FayB.IntergovernmentalGroupofExpertsonE-commerceandtheDigitalEconomy,Fourthsession[R].2020.

　　[3]KnakeRK.WeaponizingDigitalTradeCreatingaDigitalTradeZonetoPromoteOnlineFreedomandCybersecurity[R].CouncilSpecialReportNo.88,2020.

　　[4]TheWorldEconomicForum.DataFreeFlowwithTrust(DFFT):PathstowardsFreeandTrustedDataFlows[R].TheWorldEconomicForum.2020.

　　[5]UnitedStatesTradeRepresentative.NationalTradeEstimateReportonForeignTradeBarriers[R].UnitedStatesTradeRepresentative,2017.

　　作者：姜立文，姜　欢