摘　要：企業跨境上市及其跨境數據流動提高了金融業的開放程度，也引發了上市企業母國與東道國之間的跨境證券監管法律沖突，其中數據安全問題是焦點之一。具體表現在：一是數字經濟的快速發展給數據安全提出了挑戰，二是各國對跨境數據流動的不同主張形成了新的貿易壁壘，三是各國不同的數據監管規則產生了國際法律沖突，四是我國現行法律體系在數據跨境監管方面存在立法空白。為應對數據安全監管的挑戰、完善跨國證券監管協調，上市公司母國要明確企業境外上市數據安全標準，東道國要明確外國企業上市數據安全規則，國家間要協調數據安全證券監管規則和司法管轄權。各國應加強合作、減少對抗，協調數據跨境監管國際規則的構建，探索跨境證券監管合作路徑，以應對數字經濟復雜化的新挑戰。

　　關鍵詞：證券監管;數據安全;跨境數據流動;中概股;VIE

　　一、引言

　　企業跨境上市及其跨境數據流動提高了金融業的開放程度，也對數據安全提出了挑戰。以“滴滴事件”為代表的中概股跨境監管問題凸顯了跨境證券監管中的數據安全問題，該問題屬于跨國上市企業母國同東道國之間的證券監管法律沖突。中概股赴海外上市企業中多采用紅籌上市架構，其中可變利益實體(VariableInterestEntity，以下簡稱VIE架構)是最常見的方式，即將境外上市主體與境內業務實體分離的同時，用協議構建前者對后者的控制，二者之間不是股權關系，而是合同關系(劉燕，2012)。

　　VIE架構能幫助外資有效規避政府管制和證券監管，以實現規避我國監管機構審查和境內業務境外上市之目的。VIE架構合法性一直存在爭議，而且中美兩國在中概股財務數據審計方面的沖突難以化解(黃凱，2021)。近期隨著我國對境內企業境外上市的數據安全監管的加強，跨國證券監管中的數據安全問題值得深入探討。

　　二、數據安全對跨國證券監管的法律挑戰

　　(一)數字經濟的快速發展給數據安全提出了挑戰隨著數字經濟的不斷發展變化，數據安全不再是傳統的對數據信息的簡單儲存和保密，也不是單純的財務數據，而是被賦予更為復雜的涵義。依據我國《數據安全法》的規定，數據安全是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。

　　具言之，跨國證券監管中的數據安全，是指金融監管機構基于使數據使用更安全的核心目標，從數據保護、合規、管理層面，對數據完整性、保密性、可用性、合法性提出嚴格要求，以有效規范數據資產的訪問、運營、傳輸、存儲、刪除等各個環節。例如，跨國公司內部業務數據傳輸與對外服務數據傳輸，商業數據跨境共享與傳輸，個人瀏覽網頁記錄，設備識別碼與IP地址的錄入，跨境運輸的乘客姓名記錄與地理位置數據，網絡郵件、社交網絡和其他電子通信的云儲存與訪問，國家政務信息數據共享與保密，cookie的發送與存放等。即使不包含個人數據的數據集，基于應用數據的方法，也可能對隱私政策產生潛在威脅。

　　數據安全已滲透到人們生產生活的方方面面，同國家安全、個人信息安全、商業數據保護密切相關，而不僅局限于商業秘密、財務數據范疇。金融數據的爆炸式增長超出傳統數據監管范疇，部分企業和個人利用法律的滯后性謀取商業利益，造成金融市場數據使用的混亂(鐘紅，2021)。以“滴滴事件”為例，滴滴出行是一家提供出行服務的企業，其崛起改變了傳統的線下打車的市場格局，利用大數據構建了線上與線下相融合的出行方式，推動服務C端消費者實現消費升級，同時掌握了海量用戶的個人信息、網絡身份識別信息、移動支付信息、個人位置信息、生物識別信息、車輛GPS信息以及我國高精度地圖數據等大量重要數據。

　　從媒體相關報道來看，滴滴出行被網絡安全審查的表面原因在于其跨境數據流動問題以及用戶數據過度搜集問題，但究其本質或許在于國家對滴滴的潛在技術漏洞和數據泄露、濫用、損毀等風險的擔憂。正是基于數據安全保護的考量，同樣掌握高精度地圖和地理測繪信息，宣稱汽車智能化的特斯拉(Tesla)為實現數據存儲本地化，針對中國市場在我國境內建立了數據中心①。2021年8月20日，我國國家互聯網信息辦公室等部門聯合發布《汽車數據安全管理若干規定(試行)》，對數據處理者提出汽車運行所產生的數據要進行車內處理、脫敏處理、精度范圍適用等要求，以防止數據的違法收集和違規濫用。

　　(二)各國對跨境數據流動的不同主張形成了新的貿易壁壘

　　跨境數據流動不僅推動了國際經濟貿易的發展，也衍生了新的貿易壁壘，各國評估跨境數據傳輸、隱私政策、經濟成本之間的關系越來越復雜。數據共享是實現數據價值最大化的重要路徑，也是金融數據監管的重要方面，但國際層面并沒有形成統一的數據共享標準。不論是數據寡頭企業對數據共享的變相限制和壟斷，抑或金融監管機構間有效數據共享和協調的缺失，均使得跨境數據流動和監管形成了較高的貿易壁壘，為監管套利和投機主義創造了機會。

　　數字貿易壁壘主要體現在強制本地化義務、市場進入限制、數據及個人隱私保護措施、消費者權益維護、知識產權保護、平臺從業者法律責任不明確、內容審查以及數字貿易環境不健全等幾大主要障礙(USTR，2017)，其中對數據本地化的探討尤為激烈，諸多國際貿易協定都對此展開討論。世界貿易組織(WTO)的談判文本包含了禁止數據本地化的規定，認為數據本地化屬于“不合理的歧視或變相限制的手段，或超出實際目標所需要的程度”之列。《全面與進步跨太平洋伙伴關系協定》(CPTPP)要求簽署國允許數據跨境自由流動，鼓勵數據保護制度之間的互操作性，認為各國都應允許開展業務的數據跨境傳輸。《美國—墨西哥—加拿大協議》(USMCA)不允許締約方以“合法的公共政策目標”為由，對其他締約第三方提出數據本地化的要求。

　　但《區域全面經濟伙伴關系協定》(RCEP)允許成員國實施任何他們希望的國家監管限制，只要這些限制是以非歧視的方式實施的。據不完全統計，目前全球已有62個國家實施了144項數據本地化要求。以美國為代表的反對者則鼎力支持跨境數據流動的自由化，極力反對數據本地化，主張降低數字貿易障礙。而數據本地化的支持者認為，數據本地化能從源頭阻止第三國政府給供應商施壓以實現跨境數據的政治訪問。歐盟始終強調對個人信息的保護，青睞于數據本地化措施，大力推崇間接和事實上的本地化，強調達成高標準規則和承諾以增加規制的可預見性。以中國為代表的諸多發展中國家在數據領域立法，傾向于屬地管轄原則和數據本地化原則，重視對跨境數據傳輸自由流動的限制。不難發現，美國、歐盟、中國三大國際貿易巨頭對跨境數據流動監管有著不同的主張和碎片化處理方式。

　　(三)各國不同的數據監管規則產生了國際法律沖突

　　諸多國家已經將數據跨境流動問題定位為國家安全層面的重要戰略，各國積極制定相關的數據監管法律規則，以避免跨境數據流動標準方面不完全的互操作性所造成的潛在威脅。但由于各國在數字市場與需求方面的差異，各國在數據監管措施的選擇上，不可避免地存在差異化選擇現象，使得該議題在多邊層面陷入僵局。國際組織的多樣性、各法域法規間的不一致和不確定性，增加了數據跨境轉移的復雜性，導致數據跨境自由流動難以確定適用性。

　　由于數據天然具有流動便利性，一國僅在本國范圍內進行數據治理效果并不明顯，規則的域外適用擴張變成必然趨勢(孔慶江和于華溢，2020)。以中美之間法律沖突為例，2018年3月23日，美國國會通過了《清澄境外數據的合法使用法案》(以下簡稱CLOUD法案)，更新了美國執法機構請求通信服務提供商所保管數據的法律框架，賦予美國政府調取美國企業在境外存儲的數據信息的執法權，明確了數據控制者應依據法案提供數據的義務。值得注意的是，美國執法跨境調取數據采用“數據控制者標準”，顯然無視了數據存儲所在國的法律機制。本質上，美國借由CLOUD法案對跨境數據流動治理施加域外長臂管轄，為其實施數據霸權鋪設了法理基礎，擴張了美國數據主權管轄的范圍，強化了美國對跨境數據流動的控制力。

　　然而，我國傾向于屬地管轄原則和數據本地化原則，重視數字貿易的屬性，重點強調對關鍵信息基礎設施運營者提出數據本地化及出境數據安全評估的要求，主張個人信息和重要數據的跨境流動需要經過母國評估。不難發現，同美國數字霸權主義不同，我國對跨境數據流動的態度在于，既支持跨境數據流動自由化，又強調數據安全系先決條件。中美之間愈演愈烈的法律沖突更直觀體現在兩國對跨國證券發行者首次公開募股(IPO)相關文件和資料管理的不同。

　　一方面，美國2020年通過的《外國公司問責法案》將矛頭直指中概股企業，對在美上市的中概股公司提出了不合理的監管要求，明確要求外國赴美上市企業必須提供審計工作底稿，披露其是否由外國政府持有或控制，并規定在美上市的證券發行者若連續三年未接受美國上市公司會計監督委員會的審查，將禁止在美國任何交易所上市，面臨退市風險。另一方面，我國新《證券法》不僅嚴格限制境外證券監督機構的調查取證活動，且明確任何單位或個人若要向境外提供與證券業務活動有關的文件和資料，必須經過國務院證券監督管理機構和國務院有關主管部門的同意。因此，赴美上市的中概股公司如果按照美國法律提交含審計底稿、用戶數據等在內的IPO材料，將直接威脅著我國數據安全。

　　(四)我國現行法律體系在數據跨境監管方面存在立法空白

　　隨著經濟全球化的進程曲折反復，跨國證券監管日趨復雜，而始終處于灰色地帶的中概股VIE架構則是歷史遺留的關鍵問題。顯然，我國對中概股監管的模糊態度以及對VIE架構的曖昧態度，是造成通過VIE架構遠赴海外上市的證券發行企業陷入法律不確定性的重要因素。面對2021年以來我國對互聯網企業、校外輔導行業實施的監管，美國證券交易委員會(SEC)主席詹斯勒(Gensler)于2021年7月30日表示，將對中概股企業信息披露作出更加嚴格的要求，明確中國企業赴美上市需獲得中國政府許可的前提，并要求中概股證券發行者必須明確告知投資者其所發行股票系離岸殼公司股票，以提醒投資者中概股所面對的“中國政府采取行動而造成重大不確定性的風險”。

　　在國際稅收改革制度引發的經濟數字化稅收挑戰下，中概股企業對數據跨境傳輸的潛在威脅愈發強烈。但客觀而言，目前中國不可能完全否認VIE架構的法律效力，也不可能完全禁止中國企業繼續利用VIE架構赴美上市，也不可能要求在美國上市的中概股全部退市而回歸國內上市(姜立文和楊克慧，2020)。

　　我國《數據安全法》著眼于數據處理與數據安全兩個板塊，明確了我國對數據安全保護的政策要求，積極回應了國內外數據競爭和保護的關鍵問題，擴大了審批制度的適用范圍，在一定程度上填補了我國由來已久的數據安全監管領域的立法空白。雖然其中首次提出了數據自由流動原則，但也嚴格規定非經我國主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于我國境內的數據，彰顯了我國既堅持對外開放又堅守數據主權的底線思維。然而，《數據安全法》對跨境數據的監管仍呈現籠統、原則之態，在實際監管層面仍留有空白，不具有切實可操作性。

　　2021年8月17日國務院印發的《關鍵信息基礎設施安全保護條例》，通過具體列舉的方式對關鍵信息基礎設施作了邊界性的認定，但也僅對運營者提出原則性的責任義務要求，并未明確關鍵信息的保護目標、具體要求、細致措施。雖然國家網信辦在滴滴風波后有針對性地發布了《網絡安全審查辦法(修訂草案征求意見)》，在跨境數據流動監管層面進行了部分修訂，但仍舊屬于原則性的規制，并沒有對各行業數據保護標準作出明確要求或限制，僅僅強調了我國確保“數據主權”、“嚴格限制跨境數據流動”的立場。一言以蔽之，我國現行法律體系缺乏對跨境數據流動相關申請審批的細則，給跨境證券發行企業合規帶來了不確定性，亟需完善進一步的實施細則，以更好填補數據跨境監管立法空白。

　　三、完善跨國證券監管協調以應對數據安全問題的構想

　　(一)明確企業境外上市的母國數據安全標準

　　1.明確證券領域的信息數據保護標準證券領域數據保護的需求來源于國家安全、商業產業競爭、個人隱私保護等多維度。

　　中國人民銀行2020年9月發布的《金融數據安全數據安全分級指南》(JR/T0197—2020)，根據金融業機構數據安全性遭受破壞后的影響對象和所造成的影響程度，將數據安全級別劃分為5個等級。數據傳輸規則的構建應與數據分級分類制度相銜接，將數據分類分級制度貫穿于數據傳輸的各個流程，對不同級別的金融數據采取不同的金融監管措施。面對數據傳輸途徑與場景的多樣化，《網絡安全審查辦法(修訂草案征求意見)》增加了第六條，明確規定掌握超過100萬用戶個人信息的運營者赴境外上市，必須向網絡安全審查辦公室申報網絡安全審查。100萬用戶的門檻對互聯網企業而言只是基礎門檻，這就意味著許多中概股企業遠赴境外上市前，都將面臨網絡安全審查這一事前審查。

　　《數據安全法》強調了對重要數據目錄的監管，但數據應用場景的劃分卻并不明確。對此可以借鑒歐盟的相關經驗。歐盟于2021年6月更新的標準合同條款(StandardContractualClauses，以下簡稱SCC)將通用條款與模塊化方法有機結合，通過劃分復雜的數據場景進行處理，以更好地滿足現代數據處理需求，明確了數據傳輸的四種場景，增強了合同模板的靈活性，積極回應了各方間數據流動的現實需求。總之，在跨境證券發行企業的數據合規處理上，應明確跨境數據處理者應主動實施的具體合法性措施，提高金融數據監管的透明度，為監管實體提供可預測性，促進其他利益相關者間的有效溝通。

　　2.明確金融數據出境的評估審批要求

　　加快數據監管評估審批流程，縮短審批周期，是對合規成本的節約，這就必然要求對立法層面評估審批制度的細化。我國《數據安全法》提出了對跨境數據傳輸進行評估的要求，但并沒有明確數據安全評估的具體審批要求，鮮有的幾條涉及金融信息共享評估規則散見于未生效的征求意見稿、試行辦法之列，在立法層面并未落實，在實踐層面也難以落實明確的監管要求。

　　《個人信息保護法》雖明確要求基于業務需要的個人信息跨境提供，應當滿足通過安全評估、個人信息保護認證或簽訂標準合同等條件，也明確了個人信息處理者事前進行個人信息保護影響評估的五種情形以及個人信息保護影響評估應當包含的內容，但仍未涉及相關主管部門審批的實施細則，評估的具體認定標準以及程序要求有待進一步論證和細化。由此，針對哪些數據允許出境，哪些不允許出境，哪些數據不需要進行安全評估，如何申請審批，哪個機構如何作出審批，如何處理境外執法部門傳輸數據的清算請求等問題，現行條例只是閃爍其詞，并沒有制定可行的規范細則。

　　法律的模糊語言或許可以使政府能夠追溯管轄某些數據傳輸范圍，但必然導致制度利益和合規成本間的失衡。為應對上述問題，一方面，在金融數據評估規則的制定中可以舉例式明確不允許數據出境的具體場景，包括數據類型、數據處理目的、保存時限的界限等;另一方面，為節約監管部門的行政成本和提高評估審批的效率，可以從程序上著手對企業內部不涉及敏感信息的數據傳輸予以一定的審批減免，并具體公布程序減免的范圍。

　　同時，涉及重要金融數據時，監管機構應對境外數據接收方的網絡安全狀態進行評估。評估其連接信息技術系統和網絡運行的安全性，以及評估接收方在應對違規行為時是否設置自動保護措施;要有適當的程序來監控異常登錄或敏感信息訪問并及時報告異常事件，健全金融數據安全預警機制。

　　3.明確數據保護監管的行政主體

　　同歐盟建立專門信息數據保護監管部門不同，在我國金融業分業監管的格局下，我國在金融數據保護監管設置上分別設有網信部門和金融監管部門。

　　兩個監管部門之間的監管規定銜接不緊密，甚至在內容上有所沖突，如兩個監管部門對數據出境的基礎立場就呈現一定差異，網信部門強調數據傳輸的出境以安全評估為例外，而金融監管部門則以“例外情形”籠統概之。監管部門立場的不一致，必然造成監管落實困境，難以避免監管沖突、套利和法律規避等情形發生。在關鍵信息基礎設施的監督上，僅在《數據安全法》條例中指明由國家網信部門統籌協調，公安部門落實監督，其他相關部門配合工作，并未明確各部門具體的工作義務、要求。同樣，《個人信息保護法》雖然設立了專章以規定履行個人信息保護職責的部門，明確了國家網信部門負責統籌協調的地位及職責，但其他監管部門的職責和部門間的配合機制仍缺乏可行性的規定。

　　明確專門的數據保護監管行政主體，不僅要明確各監管部門職責所在，也要明確建立事前審批、事中監督、事后監管的全流程監管要求(喻文光，2021)，以及各監管機構、部門之間的合作、互助問題。監管機構被授權人員對監管應用程序、網絡工作平臺、安全敏感信息的訪問權限應當遵循最小夠用原則加以嚴格控制，確保數據專事專用，明確監管者的責任，并針對越權訪問、濫用職權、失職等行為制定清晰的問責機制。一個權責分明的數據監管制度化框架，有利于提升數據監管的透明度，更好落實良好的監管實踐要求。為加快推動監管流程提速，可在發展數據分析技術的基礎上，建立相對獨立安全的監管系統，并有限度地在國內重點數據中心擴大數據在線檢測試點范圍，以實現重點、核心數據傳輸、訪問、共享的監測。

　　(二)明確東道國數據安全標準

　　1.降低各法域間跨境數據流動的限制由于跨境數據傳輸在實踐中的應用受到限制，諸多國家紛紛對國內法律進行修訂，國家間也多選擇締結跨境調取數據雙邊協議以規制數據安全，但地緣政治及大國博弈等挑戰不斷沖擊國際體系的脆弱性。國與國之間的法律適用差異明顯，不僅增加了赴境外上市企業的合規難度，也提高了合規成本。例如，2021年3月美國SEC通過《外國公司問責法案》最終修正案，要求外國證券發行人披露企業注冊人或經營實體的高管成員中中國共產黨員名單以及是否由外國政府擁有或實際控制，該要求既模糊不清，也體現出明顯的證券監管政治化。

　　如何界定所謂的外國政府“擁有”和“實際控制”、高管中黨員的人數對“實際控制”的界定影響如何、發行人如何實施披露、披露黨員哪些信息、披露信息如何存儲等都存有巨大的不確定性。美國證券交易委員會(SEC)或公眾公司會計監督委員會(PCAOB)對外國證券發行人所采取的審計檢查同樣缺乏透明度，而這也是我國擔憂證券數據安全的主要因素之一。東道國不僅應明確其審計監管的各項披露要求，也應更多披露其對外國證券發行人采取的檢查措施。此外，東道國也應提高第三國政府數據訪問請求和流程控制的透明度，在有需要的情況下，開放咨詢平臺，以有序引導數據跨境監管的行進，站穩國際層面互操作性的總體立場。

　　尤其是，各國應明確重要數據可訪問、轉讓的界限和標準，及時以透明的方式披露第三國政府請求數據訪問的流程信息，維系各法域之間透明的、可信賴的數據流動，以實現跨境數據流動間的穿透式監管。實際上，在跨國證券數據監管層面，數據的安全并不單純取決于數據的存儲位置，數據本地化不僅難以阻擋數據的惡意訪問，還會增加數據合規的復雜性，甚至反而會降低企業的數據保護能力，并遭致更多的網絡攻擊。數據傳輸的過分限制不僅是數據保護目標的落空，實際上也可能會導致對數據監管的限制。

　　正如《關于WTO電子商務談判中跨境數據傳輸和數據本地化紀律的多行業聲明》所倡議，為了提高數字經濟的確定性和效益，任何協議的制定都應該約束不必要的或歧視性的數據本地化任務和數據傳輸限制。同時，東道國可考慮設置數據共享白名單機制，或借助數據中介服務，通過信任機制下信息技術和數據監管方式的共享，實現金融機構間重要數據的及時傳達、有效溝通和合理協調，增強各法域框架間的互操作性，減少國際貿易壁壘的障礙。

　　(三)協調金融數據跨境中的司法管轄權

　　數字市場競爭在全球范圍內愈演愈烈，為占領數字法治高地、擴張本國數字市場，各國紛紛展開數據監管、數字反壟斷等措施。尤其是，隨著美國發動長臂管轄的動機日益泛化，司法管轄權的爭奪越發激烈。本國法律的域外適用可以視為一種單邊措施，單邊措施的本質是一國對外行使管轄權(孔慶江和于華溢，2020)。

　　在不可避免的數據跨境流動中的侵權與違約等事件中，明確金融數據跨境中的司法管轄權是解決爭端的關鍵問題，有助于在跨境監管上實現高度的協調。為提高跨境數據監管在不同法域之間的互操作性，各國應尊重他國數據主權和司法管轄權，未經法律允許，不得擅自訪問、傳輸在他國采集、生成的數據，也不得將上市企業在東道國產生的數據傳輸、存儲在境內。以美國為例，《外國公司問責法案》并未談及同PCAOB所要求識別審計員的外國司法管轄區的政府機構間的司法協調，僅片面以己方立場約定PCAOB享有域外長臂管轄權顯然是不恰當的。

　　當然，司法管轄權的明確既不能由著各國各自為政，也不能過度強調東道國數據監管法律的適用，而是要在雙邊協議、多邊協議的基礎上，基于共同目標，友好協商，盡量避免跨境數據流動間馬太效應的發生。對此，歐盟新SCC部分模板中所引入的“選擇準據法和爭議解決”條款，既明確了司法管轄權，又尊重了當事人的意思自治，且有利于實體爭議的高效解決，提升裁決結果的可預測性，不失為一個好的選擇。

　　參考文獻：

　　[1]AaronsonSA,LeblondP.AnotherDigitalDivide:TheRiseofDataRealmsanditsImplicationsfortheWTO[J].JournalofInternationalEconomicLaw,2018,21(2).

　　[2]FayB.IntergovernmentalGroupofExpertsonE-commerceandtheDigitalEconomy,Fourthsession[R].2020.

　　[3]KnakeRK.WeaponizingDigitalTradeCreatingaDigitalTradeZonetoPromoteOnlineFreedomandCybersecurity[R].CouncilSpecialReportNo.88,2020.

　　[4]TheWorldEconomicForum.DataFreeFlowwithTrust(DFFT):PathstowardsFreeandTrustedDataFlows[R].TheWorldEconomicForum.2020.

　　[5]UnitedStatesTradeRepresentative.NationalTradeEstimateReportonForeignTradeBarriers[R].UnitedStatesTradeRepresentative,2017.

　　作者：姜立文，姜　歡