跨境金融数据合作法律要点及案例简析

2023年10月18日，国家发展和改革委员会与香港金融管理局在第三届“一带一路”国际合作高峰论坛举行期间，签订关于支持中资企业跨境融资和推动香港债券市场发展的谅解备忘录，代表着内地与香港地区金融合作的进一步深入，也让人联想到近年众多的金融基础设施间跨境金融合作案例。以境内外金融基础设施跨境金融数据合作为例，由于其涉及到不同国家或地区的金融基础设施主体，并且合作的标的往往涉及合作方较为敏感和重要的金融信息，同时该等交易从合规角度来看亦较为复杂，涉及到各国境内金融基础设施本身的监督管理规定、金融信息服务以及数据出入境相关的法律法规等多个维度，因此应当更加注重合作相关的境内外法律要点及法律风险。

(一) 可能形成的法律关系

关于金融基础设施间的跨境金融数据许可及合作（以下简称“跨境金融数据许可”），从金融数据的法律性质角度来看，金融数据对应的“数据产权”概念，目前境内法律法规层面无明确界定，其具体内涵与外延尚有待揭示。一般认为，“产权”是经济学上的概念，不能简单地等同于法律上的财产权、所有权的概念。从目前不多的研究成果来看，大多数学者将其限定在知识产权领域，数据产权被视为一种新型的知识产权，虽然金融数据是否享有知识产权在很多法域亦不确定，但其毫无疑问具有如同专利权、著作权和商标权一样的人类“智慧成果”的属性。因此，依照目前境内的主流观点，金融数据具有一定的知识产权属性。我们理解该等跨境金融数据许可构成知识产权法律体系中的“许可使用”法律关系。当然也要考虑“许可使用”分为“独占许可”、“排他许可”、“普通许可”等类型，从而综合考虑具体适用的概念和类型。

(二) 须落实的协议体系

在金融数据许可阶段，许可方与被许可方通常需要签署金融数据许可使用协议，通常情况下，协议需包括以下主要内容：

• 标的金融数据概述及定义；

• 金融数据许可（需包括许可内容清单、是否为排他性许可、许可使用限制、许可使用的区域等）；

• 金融数据交付；

• 许可使用费支付；

• 许可方保证与责任（尤其需关注被许可数据的真实准确性，且需关注外国机构是否符合在中国境内提供金融信息服务许可的相关要求）；

• 培训和技术支持；

• 保密条款；

• 金融数据相关的标识及宣传事宜约定；

• 金融数据相关产品境内审批配合及信息披露约定；

• 金融数据的保护措施；

• 双方信息交流安排（需要结合境内金融基础设施相关的管理办法进行安排）；

• 风险防范条款（尤其需考虑长臂管辖、如何确保金融数据传输的稳定性和持续性、防范许可双方市场的风险传导、防范金融数据操作行为等重点风险事项）；

• 协议/许可期限（需要关注数据许可终止后相关金融产品交割的延续性问题）；

• 协议的不得让与；

• 违约责任；

• 不可抗力；

• 法律适用与争议解决；

• 通知及其他，等。

上述协议结构仅为类似跨境金融数据许可中的惯常形式，在实际操作过程中还需要根据双方所在地的法律法规及金融监管部门的要求、核心商业条款及考虑综合讨论决定协议的体例和内容，对于协议的要点内容会在下文重点问题中进行说明和阐述。

(三) 须关注的重点问题

1. 关于标的金融数据权利来源问题

首先，许可方对标的金融数据享有完整的处置权和所有权是跨境金融数据许可的前提条件。但是目前关于金融数据的权利归属各个法域内没有统一的界定，因此需要预先了解许可方所在国对于保护此类数据权利的相关法律法规，在明确了权利范围和权利来源之后，双方再就具体协议条款进行谈判。

其次，提示关注数据的权利是否来源于第三方。如是，则需考虑明确约定被许可方展示或使用数据时的限制要求（包括但不限于授权范围、使用限制等）并且审核授权文件是否合法且完整齐备。且应结合具体金融数据的权属或授权情况考虑许可协议的签署方等重要事项。

2. 明确金融数据许可使用的形式

通常情况下，许可使用分为排他性许可和非排他性许可。从被许可方的角度，排他许可的期限越长、许可使用的范围越广，则基于标的金融数据开发出的在境内市场发行的金融产品的潜在市场范围就越大，且在市场上更具有不可替代性。因此，在可行的情况下，建议被许可方在许可协议中尽量争取采用排他性许可方式并明确约定较为广泛的许可范围。

3. 明确衍生数据的权利归属

若境内金融基础设施（被许可方）对标的金融数据进一步加工，或在境内市场发行的金融产品的过程中产生了衍生数据，为免后续产生纠纷，建议协议双方就许可方是否允许对标的金融数据进一步加工、衍生数据的定义、衍生数据的权利归属进行全面的约定和明确。

4. 关注标的金融数据的稳定性和安全性

由于数据具有不断更新和流动的特性，在协议双方的许可使用协议有效期内，许可方应当确保标的金融数据稳定地提供，且应当持续确保标的金融数据的真实准确性、安全性可靠性及持续稳定性。在跨境金融数据许可协议中，建议考虑要求许可方对该等事项作出充分的承诺与保证，并约定相应的违约责任。同时，也建议约定建立一定的防范机制以预防许可方的数据操纵行为、许可方所在地极端的经济风险传导等风险。

5. 关注数据许可终止后相关金融产品交割问题

在许可协议履行期满后，可能存在依据标的金融信息开发出的相关金融产品未平仓或结算的情况。未免后续产生纠纷，建议协议双方就该等情况的处理方式做出约定，妥善处理后相关金融产品交割问题。例如在合同中约定“若本协议终止后，任何合同有未平仓合约，双方同意被许可方可以继续建立、上市、交易、清算、结算、销售和推销此类合同直至其期满，且许可方应继续定价、报价给被许可方，直至最后一份合同自然期满。”等类似条款。

6. 关注金融数据回传过程中的个人信息跨境传输合规

应当关注标的金融数据的回传是否涉及个人信息，以及与个人信息回传的配套措施是否已经落实到位。

以香港地区为例，香港早于1995年便通过了《个人资料（隐私）条例》（以下简称《条例》）。《条例》中涉及香港地区的数据跨境传输规则的第三十三条虽然至今还未正式实施，仍具有较强的参考意义。

根据《条例》第二条规定，《条例》所称“个人资料”（personal data）与我国“个人信息”概念相似但也存在不同，需要满足以下条件：直接或间接与在世的个人有关；从该资料可以切实可行地直接或间接地确认有关个人的身份；及该等资料系通过能够被切实可行地查阅和处理的方式存在。由该等定义可知《条例》所称“个人资料”相较于我国《中华人民共和国个人信息保护法》（以下简称《个保法》）以及欧盟《通用数据保护条例》（General Data Protection Regulation）中的“个人信息”而言，范围会更为狭窄一些。

就《条例》项下关于数据跨境传输的具体规则而言，根据《条例》第三十三条规定，香港个人资料原则上不得被传输至香港之外，除非满足获得特定个人对于其个人资料使用、向香港以外的地方进行移转的书面同意或其他法定条件。同时，资料使用者还需要注意遵守《条例》中已经正式实施的其他规定。因此，数据许可方向境内金融基础设施许可处理特定金融数据前，许可方应当明确该等金融数据的回传是否涉及个人资料的回传，若涉及，许可方是否已经就该等个人资料回传获得了特定个人的书面同意，且依据规定，被许可方作为资料使用者，应当已经就该等个人资料跨境回传采取必要的安全措施（如协议条款约定）和事前的尽职调查，并履行其他依据《条例》应尽的义务。

7. 关注标的金融数据在其所在法域内是否属于内幕消息

在跨境金融数据许可过程中，如果标的金融数据属于证券指数信息，建议金融基础设施对标的金融数据是否符合金融数据持有人所在国法律规定中的“内幕消息”定义、是否适用例外或豁免等情形进行研判，确保跨境金融数据许可符合许可方所在国法律披露内幕消息的相关规定。

以香港地区为例，根据《证券及期货条例》第XIVA部（披露内幕消息）307A的规定，内幕消息包括关于该等上市法团本身、其股东或高级人员、或其上市证券或其衍生工具的，并非普遍为惯常（或相当可能会）进行该法团上市证券交易的人所知，但一旦普遍为其所知，很有可能会对该等证券的价格造成重大影响的具体消息或资料。一旦符合相关定义并满足其他条件的，除非存在307D条规定的例外情况等情形的，境内金融基础设施应当在合理地切实可行的范围内，尽快向公众披露该消息，使得公众能平等、适时及有效地取得所披露的内部消息。

8. 许可方或需取得金融信息服务批准

《外国机构在中国境内提供金融信息服务管理规定》第二条规定“规定所称金融信息服务，是指向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场的信息和/或者金融数据的服务。”             

第四条规定“国务院新闻办公室为外国机构在中国境内提供金融信息服务的监督管理机关。外国机构在中国境内提供金融信息服务，必须经国务院新闻办公室批准。未经国务院新闻办公室批准的外国机构，不得在中国境内提供金融信息服务。”

根据相关法律法规，金融数据许可使用的交易可能被认定为前述在境内提供金融信息服务的行为，从而依照法律法规需要取得国务院新闻办公室的批准。若许可方（外国机构）未按照相关法律取得批准的，依据《外国机构在中国境内提供金融信息服务管理规定》第二十一条的规定，许可方可能会被责令改正，并面临警告和罚款等处罚。同时亦可考虑结合最新公布的获批机构名单综合考虑签约方及授权方事宜。

9. 关于境内外金融产品挂钩结算的域外管辖问题

以利用许可的金融信息发行期货产品为例，《中华人民共和国期货和衍生品法》第一百一十九条规定“境外期货交易场所上市的期货合约、期权合约和衍生品合约，以境内期货交易场所上市的合约价格进行挂钩结算的，应当符合国务院期货监督管理机构的规定。”

《期货交易所管理办法》第一百零二条规定“期货交易所授权境外期货交易场所上市挂钩境内合约价格结算的期货合约、期权合约和衍生品合约，应当进行市场影响评估，并与境外期货交易场所建立信息交流安排。

期货交易所应当选择所在国（地区）期货监管机构已与中国证监会签署监管合作谅解备忘录的境外期货交易场所开展授权合作。” 

前述规定系规制挂钩境内合约价格的境外产品，因为该种境外产品对于我国的金融市场可能产生巨大影响。同样的，若境内金融基础设施拟根据境外金融数据（例如股票行情指数）推出金融产品，一定程度上可以理解为境内的金融产品的价格与境外金融市场涨跌情况挂钩，该等境内金融产品将会影响境外金融市场，可能在属地区域存在对应的强制性规定。因此，建议境内金融基础设施注意对包括域外长臂管辖、是否需要当地监管部门报告/批准、是否需要建立信息交流机制、是否要求进行市场影响评估、对合作对方是否有限制要求在内的金融信息属地区域的强制性规定进行审查。

10. 是否涉及境外机构在境内营销

以利用许可的金融信息发行期货产品为例，《中华人民共和国期货和衍生品法》第一百二十二条规定“境外机构在境内从事期货市场营销、推介及招揽活动，应当经国务院期货监督管理机构批准，适用本法的相关规定。”

根据前述规定，若境内期货交易所开发的期货及衍生工具产品后续需要交易对方在境内营销的，提示注意需要经国务院期货监督管理机构批准。

11. 关于法律适用及争议解决方式的选择

由于跨境金融数据许可所涉不同的法域，因此需要考虑法律适用的问题。包括但不限于：

(1) 考虑到金融信息的特殊属性，合同双方所在国是否有强行法要求必须适用某一国的法律，若必须适用许可方所在地法律，应当评估适用当地法律对境内金融基础设施使用许可金融数据产生的潜在影响；

(2) 协议适用一国法律与金融监管强行法是否存在冲突；

(3) 考虑是否有可能选择第三地法律作为折中方案。

在选择争议解决方式时，建议综合考量包括裁决和执行的便利性、保密性、跨境承认与执行的难度等在内的多重因素。

1. 以“个人信息”为法律关系客体的重点关注问题

根据《个保法》第四条的规定，个人信息系指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。虽然跨境金融数据许可及合作主要涉及金融数据，但该等金融数据以及合作中被传输的文件资料中往往可能涵盖了诸如股东、投资人、董事等自然人的个人身份信息或财务信息等符合《个保法》对“个人信息”定义的数据。因此，合作双方也需要注意遵守我国有关个人信息保护的法律法规体系下对个人信息出境的相关规定。

根据《个保法》第三十九条、第五十五条第四款，以及《个人信息出境标准合同办法》第五条的规定，个人信息处理者向中华人民共和国境外提供个人信息的，应当（一）向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，（二）取得个人的单独同意，（三）事前进行个人信息保护影响评估，并对处理情况进行记录。

另外，根据《个保法》第三十八条规定以及具体实践，目前主要有三条个人信息出境的路径：（一）国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务。

(1) 数据出境安全评估路径

上述三条路径当中的国家网信部门组织的安全评估系指数据出境安全评估，根据《数据出境安全评估办法》第四条的规定，数据处理者向境外提供个人信息时，下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：（一）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；（二）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；（三）国家网信部门规定的其他需要申报数据出境安全评估的情形。因此，若跨境提供金融数据时满足上述任一条件的，必须通过数据出境安全评估才能在我国法律法规体系下实现数据跨境传输领域的合规性。只有在不符合上述条件时，才能通过个人信息保护认证或签订个人信息出境标准合同完成数据出境。

另外，根据《数据出境安全评估办法》第五条的规定，数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估以下事项：（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务；（六）其他可能影响数据出境安全的事项。

(2) 个人信息保护认证路径

对于未达到触发数据出境安全评估的标准的，便可以通过个人信息保护认证或者个人信息出境标准合同合法开展个人信息出境活动。根据《国家市场监督管理总局、国家互联网信息办公室关于实施个人信息保护认证的公告》，从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动，并按照《个人信息保护认证实施规则》实施认证。根据本所律师与中国网络安全审查技术与认证中心（China Cybersecurity Review Technology and Certification Center，以下简称“CCRC”）的沟通情况以及CCRC官网的内容，CCRC是目前负责个人信息保护认证的具体实施工作的机构。

(3) 个人信息出境标准合同路径

根据《个人信息出境标准合同办法》第四条的规定，个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：（一）非关键信息基础设施运营者；（二）处理个人信息不满100万人的；（三）自上年1月1日起累计向境外提供个人信息不满10万人的；（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。法律、行政法规或者国家网信部门另有规定的，从其规定。个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

2. 以“重要数据”为法律关系客体的重点关注问题

根据《数据出境安全评估办法》第十九条以及《中华人民共和国数据安全法》（以下简称《数据安全法》）第二十一条第三款的规定，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据；各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。在跨境金融数据许可及合作过程中，往往可能会由于涉及敏感行业、汇聚海量金融数据等情形而出现金融数据构成上述重要数据的可能性。因此，合作双方也需要注意遵守我国对重要数据出境的相关规定。

根据《数据出境安全评估办法》第四条的规定，数据处理者向境外提供重要数据的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。同时，数据处理者在申报数据出境安全评估前，应当依据《数据出境安全评估办法》第五条的规定开展数据出境风险自评估。鉴于金融数据以及证券数据相关行业标准之特殊性，金融基础设施是否涉及“重要数据”出境的判断，可以优先遵循“影响程度+影响对象”的判断标准明确金融基础设施数据资产的重要性，并进一步参考行业标准中给出的基本逻辑和数据类型举例。

金融数据中根据《JR/T 0223-2021 金融数据安全数据生命周期安全规范》的规定，凡5级金融数据，应仅在我国境内存储。凡该等数据涉及出境的，均可以参考适用数据出境安全评估中的“重要数据”出境相关规定。根据本所律师的实践经验，以及《JR/T 0197-2020 金融数据安全 数据安全分级指南》《JR/T 0158-2018 证券期货业数据分类分级指引》的相关规定，金融基础设施在数据出境合规性自评估工作的过程中，需要综合考量金融数据中的5级数据，以及金融数据中4级数据融合、汇聚后导致数据安全影响上升的情形，以及证券数据中的4级数据。

3. 根据所选择的数据出境合规路径所需要注意的重点问题

数据出境安全评估数据出境路径需要关注的重点问题包括但不限于：

(1) 一旦触发数据出境安全评估申报前提条件，则数据出境安全评估为法定强制性义务，必须开展对应的申报工作。数据出境安全评估的前提条件包括：数据处理者向境外提供重要数据；关键信息基础设施运营者向境外提供个人信息；处理100万人以上个人信息的数据处理者向境外提供个人信息；自上年1月1日起累计向境外提供10万人个人信息的数据处理者向境外提供个人信息；自上年1月1日起累计向境外提供1万人敏感个人信息的数据处理者向境外提供个人信息；国家网信部门规定的其他需要申报数据出境安全评估的情形。

(2) 金融领域内数据融合、汇聚而导致的数据安全等级上升情况。根据本项目下金融数据处理的背景，本项目下可能会出现特定行业标准下的3级、4级数据融合汇聚而提升为5级数据的情况。金融基础设施针对该等数据，应当设定对应的安全等级以及保护措施，同时，若是涉及该等数据出境的，应当如实进行申报。

(3) 数据出境风险自评估报告应当为申报之日前3个月内完成，且至申报之日未发生重大变化。因此，相关交易项下的数据出境风险自评估报告应当把握时间节点，在金融基础设施业务相对固化后及时开展。

个人信息出境标准合同数据出境路径需要关注的核心问题包括但不限于：

(1) 能够采取签订标准合同进行数据跨境传输的前提条件是金融基础设施属于非关键信息基础设施运营者、处理个人信息不满100万人、自上年1月1日起累计向境外提供个人信息不满10万人，并且自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

(2) 签订合同的双方必须是个人信息处理者以及实际上的数据接收方。

(3) 个人信息保护影响评估需要重点关注的事项包括：（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；（二）出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；（三）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；（四）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；（五）境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；（六）其他可能影响个人信息出境安全的事项。

(4) 个人信息保护影响评估工作需要在备案之日前3个月内完成，且至备案之日未发生重大变化。

个人信息保护认证数据出境路径需要关注的重要问题包括但不限于：

(1) 只有不属于《数据出境安全评估办法》第四条规定的以下情况的，才可以通过个人信息保护认证路径完成数据跨境传输：（一）处理者向境外提供重要数据；（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

(2) 开展数据处理活动需要符合《GB/T 35273-2020 信息安全技术 个人信息安全规范》的相关规定，包括但不限于个人信息收集、存储、使用、委托处理、共享、转让、公开披露、个人信息主体权利保护、应急事件处置、安全管理要求等。

4. 结合未来监管趋势需注意的重点关注问题

国家互联网信息办公室于2023年9月28日公布《规范和促进数据跨境流动规定（征求意见稿）》（以下简称《规定》），在相关通知中，国家互联网信息办公室明确指出《规定》的发布系出于保障国家数据安全，保护个人信息权益以及进一步规范和促进数据依法有序自由流动之目的。虽然该《规定》作为征求意见稿并未正式发布实施，但其仍能在一定程度上反映我国相关监管部门对数据跨境流动的监管趋势，即在平衡“促进正常国际贸易与商业交易”和“保障个人信息安全、国家安全”的过程中，逐渐合理放松相关监管要求。

针对个人信息，根据《规定》第五条、第六条的规定，预计一年内向境外提供不满1万人个人信息的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。预计一年内向境外提供1万人以上、不满100万人个人信息，与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的，可以不申报数据出境安全评估；向境外提供100万人以上个人信息的，应当申报数据出境安全评估。但是无论涉及个人信息主体的量级如何，只要是基于个人同意向境外提供个人信息的，均应取得个人信息主体同意。

根据上述要求可知，《规定》不再对个人信息出境与敏感个人信息出境作出区分，将所涉个人信息主体的量级划分在了1万人以及100万人，并且把计算的标准改为“预计一年内”提供的数量。这将大大降低数据处理者所需负担的合规义务，也将更有利于促进正常商业实践中的数据跨境流动。

针对重要数据，《规定》第二条规定，未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。因此，若《条例》生效，数据处理者将无需自行判断跨境金融数据是否构成重要数据，只要还未被相关部门、地区告知或公开发布为重要数据，就可以通过订立个人信息出境标准合同或通过个人信息保护认证进行数据出境。

此外，根据《规定》第三条、第四条的规定，不是在境内收集产生的个人信息向境外提供，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。符合以下情形之一的，同样不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：（一）为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的；（二）按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的；（三）紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的。

因此，若《规定》今后正式发布实施，数据处理者需要通过分析所涉个人信息主体量级、数据是否被告知或公开发布为重要数据、数据是否系于境内收集产生等因素来综合判断自身的合规义务。

就跨境金融数据许可使用交易本身而言，涉及到境内和境外不同地域的法律和规则。

首先，就境内法律而言，主要涉及两个部分：

第一部分为境外企业授权境内金融基础设施使用金融数据相关法律法规，主要涉及《外国机构在中国境内提供金融信息服务管理规定》《金融信息服务管理规定》等。相关法律法规对跨境金融数据许可过程中涉及到的审批/备案流程、审批机构、金融信息的内容限制、外国金融信息服务机构需具备的条件以及需提交的材料等均有明确规定。

第二部分为利用境外金融数据开发金融产品相关法律法规，主要涉及《中华人民共和国期货和衍生品法》《期货交易管理条例》《期货交易所管理办法》等。相关法律法规对利用标的境外金融数据开发在境内发行的金融产品做出规定，包括批准/注册机构、境内外金融产品挂钩结算、境外机构在境内营销的相关要求等。

其次，就境外法律而言，境内金融基础设施需要聘请境外律师并根据境外律师的建议梳理相关金融数据所在地对于金融数据出境许可的法律规定及限制，境内律师在境外律师的梳理成果基础上进行比对，寻找不同法域的法律规定之间存在的异同及要点，就差异部分协调交易双方进行谈判，以确保标的金融数据许可使用全流程及交易文件的合法合规及可履行。

此外，若本文所述的交易模式还涉及到境内金融信息向境外传输的，该部分主要涉及《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《数据出境安全评估办法》《个人信息出境标准合同办法》《规范和促进数据跨境流动规定（征求意见稿）》等相关法律法规。境内律师需要结合上述法律法规以及具体交易细节仔细梳理向境外提供的数据中是否含有个人信息或者重要数据，以及境内数据处理者自身是否属于关键信息基础设施运营者。若涉及个人信息或重要数据出境，或自身属于关键信息基础设施运营者的，需要依据相关法律法规履行申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证、获得个人信息主体单独同意、进行个人信息保护影响评估等义务。

(一) 上海钢联电子商务股份有限公司与芝加哥商品交易所公司签订数据授权许可协议^[注1]

【案例简述】

上海钢联电子商务股份有限公司(以下简称“上海钢联”) 与芝加哥商品交易所公司(Chicago Mercantile Exchange Inc.，以下简称“CME”)于 2012年1月19 日签订了《数据授权许可协议》，双方就黑色金属和相关原材料数据的授权等事项达成一致。鉴于CME希望使用上海钢联黑色金属和相关原材料数据用于设计、上市、清算以及结算各类CME衍生合约，包括期货、期货期权和掉期合约。上海钢联编制此等钢料价格数据并愿提供此等数据给CME作为前述用途，双方就相关事宜达成了具有法律效力的数据许可协议。

【案例简评】

该跨境金融数据许可虽然发生时间较早，但公告详细公示了数据许可协议要点，其中有多处值得关注和借鉴：

1. 该跨境金融数据许可为上海钢联授予CME境外独家、不可转让的许可；

2. 授权范围及费用涵盖了数据相关的商品名称、商标或服务标志等知识产权相关的具体信息；

3. 该跨境金融数据许可明确约定了终止后，任何合同有未平仓合约的，双方同意CME可以继续建立、上市、交易、清算、结算、销售和推销此类合同直至其期满，直至最后一份合同自然期满，从而妥善处理了终止后的合约履行问题。

(二) 上海证券交易所与韩国交易所签署更紧密合作谅解备忘录^[注2]

【案例简述】

2021年5月，上海证券交易所与韩国交易所签署了合作谅解备忘录，约定在指数领域开展合作。在两所合作框架下，中证指数有限公司与韩国交易所积极推进合作开发指数项目，首批3条指数于2021年12月20日正式发布，分别为中证韩交所中韩50指数、中证韩交所中韩新能源车指数和中证韩交所中韩半导体指数。

【案例简评】

此次沪韩两所开展跨境指数创新合作，有助于提升上证/中证指数系列的国际影响力和竞争力，发挥指数在中国资本市场对外开放进程中的作用，也将为中韩两国投资者配置对方市场资产提供新选择。由于具体的跨境金融数据许可细节未公示，我们理解该项目可能大致包括双方行情数据的交互许可以及后续合作开发新指数两个步骤。可以看出中国与其他国家的金融基础设施之间金融数据方面的合作在形式上逐渐呈现多元化的趋势，同时也逐渐地向更深层次的合作发展。而双方的合作模式越复杂越深入，也就意味着双方权利义务的关联度更高，更需要在协议等交易文件中对金融信息相关的确权、授权范围、授权期限、合作开发成果的归属等细节进行明确，同时也需要关注双方数据交互许可过程中的数据出入境合规，以规避未来可能发生的风险。

(三) 波罗的海交易所通过其市场数据子公司波罗的海交易所信息服务有限公司与郑州商品交易所签署谅解备忘录^[注3]

【案例简述】

波罗的海交易所通过其市场数据子公司波罗的海交易所信息服务有限公司（以下简称“波交所信息公司”）和郑州商品交易所（以下简称“郑商所”）签署谅解备忘录，双方将进一步加强交流，探索开展航运衍生品研发和上市等合作。双方就在中国境内研发巴拿马型干散货船运价指数（BPI指数）期货达成合作意向。BPI指数用于反映运输干散货的巴拿马型船在5条主要国际航线上的平均运价水平。

波罗的海交易所首席执行官马克·杰克森说：“我们很高兴与郑商所开展合作，期待在中国拓展业务，并支持新的市场主体运用以波罗的海交易所航运指数为标的的衍生品。BPI指数期货将为中国航运企业提供一种新的运价风险管理工具。干散货航运衍生品市场的增长也将为整个航运界带来长远利益。波交所信息公司受英国金融行为监管局监管，我们的基准指数接受审计，是可检验和完全中立的。”

【案例简评】

该案例的模式与本文所讨论的跨境数据许可模式基本一致，属于境外金融数据所有人许可境内金融基础设施使用其金融数据，并允许境内金融基础设施以标的金融数据为依据开发在境内市场上发行的金融产品。该案例亦未公示交易的具体流程和协议文本内容。但值得关注和借鉴的是，标的金融数据的准确性和持续性、标的金融数据清晰的所有权归属是类似项目中境内金融基础设施考察并最终选择许可方的重要因素，也是类似项目律师开展工作的关键切入点。