金融數據跨境流動的特殊規制

田翔宇

摘? ?要：金融數據作為特殊的數據類型，對其跨境流動的監管涉及數字經濟發展、金融穩定、國家安全、個人隱私與企業合法權益保護等諸多價值取向，其跨境流動模式的選擇需要基于本國金融發展現狀和金融監管實踐，要體現國家利益訴求、平衡多元價值取向。我國金融數據跨境流動的監管規則主要呈現出特殊規定與一般規定相結合、平衡多種價值的特點，同時存在對重要概念缺乏清晰界定、不同規則之間缺乏銜接、難以兼顧時效性的問題。在新的形勢下，我國應當制定統一協調的金融數據跨境規則，以利益平衡為導向進行金融數據流動分級分類監管，并積極參與全球數據流動規則制定，從而維護國家安全和利益。

關鍵詞：金融數據;跨境流動;特殊規制

DOI：10.3969/j.issn.1003-9031.2021.04.007

中圖分類號：F832? ? ? ? ? ? ?文獻標識碼：A? ? ? ? 文章編號：1003-9031（2021）04-0051-08

一、引言

數據是一個十分寬泛的概念，由于不同行業、不同領域的數據治理具有極強的專業性，無論是國外還是國內，對數據跨境流動普遍采用分業監管的模式。因金融數據的識別、分類、處理、評估都具有很強的專業性，我國2020年的《數據安全法（草案）》明確了金融業主管部門承擔本行業、本領域數據安全監管職責，對金融數據的跨境傳輸采取特殊規制措施。信息流與資金流一樣，都是重要生產要素，無論是銀行、保險、證券機構，還是金融基礎設施，抑或是監管機構都有大量專業而復雜的數據流動需求，金融數據跨境流動監管是金融監管框架的一部分，由金融業主管部門制定專門規則進行監管，是必然的選擇。相比于大部分行業，金融行業對于數據跨境流動的數量需求更大、速度要求更高。金融業是全球化特點極為突出的行業，金融機構的全球布局和集團化經營都決定了金融數據在幾乎所有經營場景下都可能涉及跨境流動問題。對金融機構而言，跨境支付清算、境外盡職調查、監管信息報送、機構風險管理、集團數字化經營等場景都涉及海量數據的跨境問題，各國金融主管部門和監管機構同樣在執法調查、反洗錢協作等領域存在數據傳輸的需求。另外，金融數據的跨境流動需要平衡的利益較多。一是金融數據往往包含較多的個人和機構客戶信息，敏感性較高、隱私性較強，其流動必須保證在一國范圍內充分保障信息的安全。二是金融機構沉積了海量的客戶數據，網絡攻擊、數據泄露等事件都可能會導致國家的金融安全和穩定受到嚴重破壞。三是金融數據的跨境流動又能夠創造巨大的經濟價值，這對于數字經濟的發展、經濟全球化的推進具有重要意義，數據流動的規制應明確，但不能沒有上限。四是金融機構的經營單元呈現出全球配置的趨勢，資金流、信息流具有全球流動的需要，合理規制金融數據跨境流動，對于國外金融機構參與中國金融市場建設，擴大金融開放，具有重要意義。

二、金融數據跨境流動的特殊規制思路

規制金融數據的跨境流動，其價值基礎在于維護國家安全、維護金融穩定、保護金融消費者合法權益。在數字經濟時代，數據本身對于金融機構來講是極為重要的生產要素，數據的跨境流動對于金融業而言創造的價值也是前所未有的。合理平衡多個價值訴求的手段就在于合理劃分金融數據跨境流動的范圍、金融數據流動的限度以及數據處理者的權利義務。

（一）美國模式：內外二元化規制

美國作為全球信息技術和金融業最為發達的國家，對于金融數據跨境自由流動的訴求最為強烈。在國際法層面，美國主導制定的一系列國際條約往往對金融數據的跨境流動采取特別規定以及“原則+例外”模式，即確立締約方保障金融服務領域數據跨境自由流動的義務，但也允許締約方基于一定的目的對數據的流動進行限制。如全面與進步跨太平洋伙伴關系協定（CPTPP）第11章金融服務章節就專門規定締約方可以基于公共政策目的，采取保護個人數據、個人隱私及個體記錄和賬戶機密的相關措施，并且可以出于審慎監管的目的要求金融機構指定企業作為數據接收方。

美國在國際條約和國內立法的態度取向上呈現出二元化的現象，即內部流動強調隱私保護和主張跨境自由流動并舉。一方面，美國在國際舞臺上持續發聲，反對嚴格規制數據的自由流動。美國貿易代表辦公室多次在中國WTO合規報告中對中國跨境數據流動監管措施提出批評，指責中國對美國企業在內的外國企業提出數據本地化要求，增加了美國企業進入中國市場的難度。另一方面，美國對包括金融業在內的重點行業的數據跨境流動采取了嚴格的立法規制，限制美國本土的數據流出。但美國國內立法的特點也或多或少體現了數據自由流動的價值導向，在聯邦層面缺少針對數據跨境流動的具體規制，而是側重于消費者隱私保護，在各州層面進行“精準監管”，這也進一步凸顯了數字經濟發展和消費者隱私保護之間的博弈和聯動。

在聯邦層面，美國法律對數據控制者的義務規定較為明確。《金融消費者隱私權法》明確規定了金融機構承擔保護消費者隱私權的法定義務。《格雷姆-里奇-比利雷法》（Gramm-Leach-Bliley Act，GLB Act）進一步明確了金融機構在處理消費者金融信息時需要遵守的義務，包括通知、選擇、市場公開、安全和執行。如金融機構如果向第三人披露消費者或客戶的非公開個人信息，必須通知消費者或客戶，并且這一通知必須向消費者告知隱私政策，賦予消費者選擇退出的權利。2017年，紐約州的新金融條例明確規定紐約內銀行針對任何可能危害數據的網絡事件需在72小時內向金融服務部報告。此類網絡數據包含勒索軟件與拒絕服務攻擊在內，銀行需有完備的網絡安全計劃，并雇傭首席信息安全官監管安全程序與維護。

除了金融領域的立法之外，美國在外國投資國家安全審查法規中也對數據的跨境流動做出了規定。美國《外國投資與國家安全法》（FINSA）和《外國投資風險審查現代化法案》（FIRRMA）賦予了美國外國投資委員會（CFIUS）審查收集美國公民個人敏感信息，并且以可能威脅美國國家安全的方式利用個人信息的投資。如果相關的投資可能涉及濫用美國公民個人信息的行為，則相關投資極有可能被CFIUS否決。

（二）歐盟模式：強隱私保護與接收地信息安全評估

與美國不同，歐盟將個人信息保護視為對基本權利的保護，采用人權與隱私保護先行的規制思路，在涉及歐盟公民個人信息向外部的流動問題上，采用了接收地信息安全評估模式，從而平衡數據流動和隱私保護的關系。接收地信息安全評估制度，也被稱為“第三國評估模式”，在允許數據向位于其他國家的個人或者組織進行流動之前，國家首先要對另一國的數據安全保護標準進行評估。美國曾經與歐盟簽訂《安全港》框架協議，使得美國公司有權通過協議接受歐盟個人信息保護法的約束，從而獲得歐盟成員方公民的個人信息數據。但安全港協議于2015年被歐洲法院宣告無效，原因就在于法院認為美國政府對存儲在美國境內服務器的數據進行監視和非法利用，從而使得美國無法證明自己對數據提供了充分保護。后來，美歐之間通過隱私盾協議達成了數據流動規則的共識。《通用數據保護條例》（GDPR）同樣延續了歐盟以往的立法，第Ccb/234五條要求在數據傳輸中對數據接收國的數據安全保護水平進行充分性的認定，禁止個人數據向未確定的數據保護國家或組織進行流動。安全評估的內容主要有：一是數據接收國或接收地的法治發展水平，如是否已經制定個人數據保護的專門法規、是否有明晰的數據跨境流動監管規則;二是是否存在專門的數據保護機關;三是該國所締結或參加的數據保護國際條約的情況。同時，GDPR第三章也專門規定了多項數據主體權利，并規定控制者應當按照規定幫助數據主體行使權利。數據主體權利主要細化為數據的訪問權、糾正權、擦除權（又稱“被遺忘權”）、限制處理權、拒絕權、自主決定權等。

在給予個人金融信息強保護的同時，歐盟也注重內部生產要素的自由流動，以此來推動統一大市場的構建。2015年，歐盟內部批準的《關于內部市場的支付服務指令（第2015/2366號）》規定，銀行在客戶明示同意的情況下應當將客戶信息開放給第三方支付服務商，在審慎監管的情況下，也允許由賬戶信息服務商跨境提供服務。

可見，美歐的金融數據流動總體上呈現出開放和自由的趨勢，但這樣的自由并非無條件、無限度，也絲毫不會削弱其對公民個人隱私的保護。無論是美國在國際法上對數據自由流動的主張還是歐盟對內部金融信息流動的保障，抑或是前者通過國家安全審查限制數據出境和后者對公民隱私權的強力保護，歸根結底，各國都是基于自身數據保護能力和數字經濟發展的國家利益來設計數據流動規則，從而確保自身所重視的價值利益被妥善平衡。

三、我國金融數據跨境流動規制特征

（一）金融特別規定嵌入網絡安全一般規定

我國對于金融數據跨境流動的特別規制采用的是“特殊規定+一般規定”的模式。一方面，金融數據的處理者必須遵守金融管理部門制定的數據流動規則;另一方面，相關金融機構也必須遵守網信部門關于數據跨境流動的一般性規定。

我國金融管理部門對于個人金融數據最初采取較為嚴格的本地化存儲要求。2011年人民銀行《關于銀行業金融機構做好個人金融信息保護工作的通知》第六條規定，在中國境內收集的個人金融信息的儲存、處理和分析應當在中國境內進行，除另有規定外，銀行業金融機構不得向境外提供境內個人金融信息。銀保監會《銀行業金融機構反洗錢和反恐怖融資管理辦法》規定，對依法履行反洗錢和反恐怖融資義務獲得的客戶身份資料和交易信息，非依法律、行政法規規定，銀行業金融機構不得向境外提供。《征信業管理條例》也規定，征信機構在中國境內采集的信息的整理、保存和加工，應當在中國境內進行;向境外組織或個人提供信息，應當遵守法律及有關規定。因為征信也屬于前文界定的個人金融信息的一種，我國法律對我國境內收集的個人金融數據采用的是原則上進行本地存儲和處理，例外情況下才能向境外提供。

2020年公開征求意見的《個人金融信息保護技術規范》是較為全面的金融數據跨境流動規則，盡管其只是行業技術規范，但明確了個人金融信息本地化存儲的原則，并規定了跨境流動的情形、接收方、數據主體權利、數據處理者義務、程序等事項。主要內容如下：數據的傳輸要符合“因業務需要，確需向境外機構傳輸”;數據接收方應當是總公司、母公司或分公司、子公司及其他為完成該業務所必需的關聯機構;符合國家法律法規及行業主管部門有關規定;獲得個人金融信息主體明示同意;應依據國家、行業有關部門制定的辦法與標準進行安全評估，確保境外機構數據安全保護能力達到國家、行業有關部門與金融業機構的安全要求;應與境外機構通過簽訂協議、現場核查等方式，明確并監督境外機構有效履行個人金融信息保密、數據刪除、案件協查等職責義務。

金融數據的跨境傳輸，除了要遵守金融行業規定，還必須遵守網信部門對于數據跨境流動的一般規定，這也正是上述技術規范中所提到的“符合國家法律法規”。《網絡安全法》第三十七條規定，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。從該條規定我們至少可以看出，《網絡安全法》中的數據本地化存儲要求針對的是“關鍵基礎設施的運營者”。但《個人信息和重要數據出境安全評估辦法（征求意見稿）》（以下簡稱《辦法（征求意見稿）》）并沒有全部沿用《網絡安全法》的規定，而是將數據本地化及安全評估的責任主體從《網絡安全法》規定的“關鍵信息基礎設施的運營者”擴展為全部的網絡運營者。

對于“個人信息”的含義，《辦法（征求意見稿）》中規定，個人信息的內涵有以下特點：以電子或其他方式記錄;單獨或與其他信息結合起來即可識別自然人的個人身份，并進行了不完全列舉 。而對于“重要數據”，《網絡安全法》并未對其具體內涵進行界定，《辦法（征求意見稿）》也僅指出重要數據與國家安全、經濟發展、社會公共利益密切相關。信息安全標準化技術委員會（“信安標委”）發布的第二版《信息安全技術 數據出境安全評估指南（征求意見稿）》（以下簡稱《指南（征求意見稿）》）則進一步對重要信息的含義進行了解釋。《指南（征求意見稿）》中的“重要數據”有以下特征：不涉及國家秘密;與國家安全、經濟發展和公共利益密切相關;數據的濫用、篡改可能導致一系列嚴重后果 。金融領域“重要數據”的含義體現在該文件的附錄 A（規范性目錄）第（七）條，即數據的泄露足以“影響或危害國家經濟秩序和金融安全”。但總的來說，對重要數據的規定目前還相對原則化，對數據處理者的預期保護并不足夠充分。

（二）體現價值平衡

正如《網絡安全法》第一條所言，數據立法的目的在于維護國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，并促進經濟社會信息化健康發展。無論是國際條約還是國內立法，我國在金融數據領域的數據安全立法，體現了我國政府對于平衡國家安全、數據主權、金融穩定、個人和企業權益保護并保障金融開放與發展的探索與努力。

我國參與締結的自由貿易協定和雙邊投資協定中，并無太多涉及金融數據流動的規則條款。2020年簽署的《區域全面經濟伙伴關系協定》（RCEP）第八章附件一規定，締約方不得采取措施阻止其領土內的金融服務提供者為進行日常營運所需的信息轉移，包括通過電子方式或其它方式進行數據轉移，但并不阻礙締約方的監管機構出于監管或審慎原因要求其領土內的金融服務提供者遵守與數據管理、存儲和系統維護、保留在其領土內的記錄副本相關的法律和法規，也不妨礙締約方保護個人數據、個人隱私，以及個人記錄和帳戶機密性的權利，但條件是此類措施不是為了規避締約方在該條約項下的義務。可見，我國已經逐步開始借鑒CPTPP中的數據流動規制思路，即確保日常運營需要的數據自由流動為原則，但又有條件地授予各國監管機構制定規則來限制數據流動的權利。盡管這一條款的規定并不足夠具體，但這一規制模式將會對后續我國的國內立法產生較大影響。

我國的立法模式總體上也體現出了對個人權利、國家安全與社會公共利益、數字經濟發展的兼顧。《網絡安全法》第三十七條所針對的數據是在中國境內收集和產生的“個人信息”和“重要數據”。因此，與某些僅關注個人信息跨境流動的國際規則不同，《網絡安全法》第37條對數據的保護是一種“雙元保護”，不僅局限于“個人信息”，還包括其他的“重要數據”。此外，《網絡安全法》第三十一條明確了金融機構屬于關鍵信息基礎設施，要進行重點保護。《網絡安全法》第三十七條采用的數據流動限制模式為“原則+例外”模式，即以個人信息和重要數據的本地化存儲為原則，安全評估為例外。原則上，滿足前述條件的個人信息和重要數據都應當在中國境內存儲，但如果確實需要向境外進行傳輸的，應當按照規定進行安全評估。安全評估的具體內容和措施并未在該法中詳細規定，而是采用了“另行規定”的處理方式。2019年發布的《個人信息出境安全評估辦法（征求意見稿）》對個人信息出境的評估做出了更為細化的規定，審查的內容既包括數據流動過程中對私主體權利的保護情況，也包括對國家安全和社會公共利益是否會存在影響。

四、存在的問題

（一）缺乏對重要數據等關鍵概念的清晰界定

前文提到，我國數據跨境流動監管體系的基本特點之一是個人信息和重要數據的“雙元保護”，但在立法進度上，對個人信息出境的規定明顯快于重要數據。如2017年有關部門已經就《辦法（征求意見稿）》公開征求意見，后續雖未出臺正式規定，但在2019年出臺《個人信息出境安全評估辦法（征求意見稿）》并征求意見。盡管2017年《指南（征求意見稿）》并未正式公布生效，但卻是唯一一部數據出境的國家標準指南征求意見稿。該征求意見稿所體現出的對重要數據的定義取向值得注意，但其對于金融領域重要數據的定義過于寬泛，包括了個人財產信息、賬戶信息等。這與個人金融信息高度重疊，實質上涵蓋了金融機構運營中的絕大多數數據類型。此外，現有的規則確立了數據跨境流動的“必要性”原則，但也沒有對何為“因業務需要確需向境外提供”的情形進行具體類型化，不利于為數據處理者提供合理預期。

（二）不同規則之間尚未做到清晰、協調、統一

《辦法（征求意見稿）》提出所有網絡運營者在向境外提供個人信息和重要數據時都需要進行安全評估，這實際上使得《網絡安全法》中“關鍵信息基礎設施”的概念已經失去了應有的意義。《個人信息保護法（草案）》明確了本人和個人信息處理者的權利義務、個人數據跨境提供的規則。首先，個人信息處理者應當具備以下四項條件之一才能進行跨境傳輸：通過網信部門的安全評估;經專業機構進行個人信息保護認證;與境外接收方訂立合同并監督其活動達到中國法的保護標準;法律、行政法規規定的其他條件。此外，數據處理者必須向個人告知境外接收方的身份、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使該法規定權利的方式等事項，并取得個人的單獨同意。這一草案提供的解決思路是值得借鑒的，即采用靈活的模式，讓在評估、認證、合同保護等措施中滿足其一。但如果按照目前將金融機構全部納入關鍵信息基礎設施運營者，那么就全部需要經過網信部門的安全評估，這使得“四選一”的靈活模式不能發揮應有的作用。因此，多個數據流動規范之間的是何適用關系仍舊需要繼續明確。當然，目前缺乏銜接和協調的規則大部分都是征求意見稿，并未真正執行，仍有調整的空間，因此數據流動立法既不能停滯不前，讓規則停留在宏觀的角度，也不能急于出臺而忽視了規范之間的協調統一。

（三）難以兼顧金融數據流動對時效性的特殊需求

即便不對個人金融信息的出境安全評估做出特殊規定，金融數據的出境也必須符合個人信息出境的一般規定。2019年征求意見的《個人信息出境安全評估辦法（征求意見稿）》提出的方案是數據處理者向省級網信部門提交安全評估材料，安全評估應當在15個工作日內完成，情況復雜的可以適當延長。這的確使得個人數據出境的程序變得清楚，但對于金融行業而言卻并不實用，因為金融市場信息瞬息萬變，金融風險處置、經營管理等操作對于數據的時效性要求很強，15個工作日的評估期限并不能夠滿足要求。退一步講，在現有的制度下任何的個人金融數據都需要滿足安全評估要求，也使得評估缺乏針對性，一定程度上犧牲了效率，容易造成金融數字壁壘。對于個人數據而言，金融管理部門的邏輯傾向于壓實數據處理者的責任，嘗試兼顧數據流動的便利性和安全性。網信部門的監管思路則更應將公共利益和個人保護放在一起，以安全為首要出發點制定規則，但不可避免地忽視了二者之間價值取向保護的不同，一定程度上難以兼顧效率。

五、金融數據跨境流動規制模式的改進建議

（一）制定統一的金融數據跨境流動特殊規則

隨著數字金融的發展和金融機構的全球布局，金融業數據的跨境流動規模呈現出爆炸性增長。對金融數據跨境流動的規制，本質上是公權力對金融經濟活動進行監管和干預，為了提升市場效率和透明度，這樣的干預應當力求做到協調統一。

一是注重不同部門規則之間的協調。我國網絡安全立法和金融數據立法起步較晚，目前已經形成“一般規定+特殊規定”的模式。但總體而言，由于分業監管的歷史原因，針對金融行業數據流動的專門規定較為分散，且互相之間并未實現合理銜接。我國金融數據跨境流動規則的構建，應當在數據流動整體框架之下賦予人民銀行、銀保監會、外管局等機構制定統一金融數據流動規則的權限，構建起清晰完整、層級分明的數據規則體系，并且做好與《網絡安全法》及其配套規則的銜接。如在《個人信息保護法（草案）》中就提到法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定，這實際上為金融業這類數據流動時效性要求較高的行業提供了可能的便利條件。

二是加快完善金融領域“重要數據”跨境流動規則。我國對重要數據的界定不夠明晰，與個人數據存在重疊情況且相關出境規則缺失。既然采用了個人信息和重要數據“雙元保護”的模式，那么就應該在金融領域也將這一思路貫徹到底。要進一步明確金融領域重要數據的流動程序，合理界定重要數據的范圍。目前金融業重要數據的定義采用的是損害評估的方法，指的是泄露足以“影響或危害國家經濟秩序和金融安全”的數據。因此，應當采取限縮解釋的方法，將重要數據嚴格限制在關乎保護公共利益、國家安全和金融安全的范圍內。如交易場所、登記結算系統的數據及商業性金融機構中足以影響系統性安全的數據庫等，避免將數量有限的、僅關乎個人利益、商業性利益的數據納入重要數據的范圍。在立法技術上，則可以沿用采用“部門規章+技術指南”方式，逐步細化，從而給數據處理者準確的預期。

三是關注當前數據處理者范圍擴張的趨勢。由于我國金融數據跨境流動既要接受金融業的特殊監管，又要遵守網絡安全的一般規定，因此哪些機構適用金融業特殊監管就至關重要。除了持牌金融機構以外，我國大量的金融科技公司和支付機構也同樣從事著個人金融數據的收集、處理活動。因此，本文認為應當牢固把握數據處理的金融屬性，正如采用《個人金融信息保護技術規范》中的思路，將所有從事金融信息處理的相關機構全部納入監管，從而合理識別數據處理者，實現從行業監管到行為監管。

（二）用利益平衡思維進行分層分類監管

要區分個人信息和重要數據的流動規則，按照數據種類、數據用途進行精細化評估。個人和企業客戶信息基于商業用途的流動，強調數據主體權利和接收地信息安全狀況評估。對出于監管原因以及重要數據的出境，則應當以國家間金融監管協調機制為基礎進行約定。《信息安全技術個人信息安全規范》采用定義+列舉方式，明確了個人信息和個人敏感信息的區別。對個人敏感信息，要采取加密、分開存儲、摘要存儲等方式進行存儲和傳輸。2020年央行發布的《個人金融信息保護技術規范》以信息遭到未經授權的查看或未經授權的變更后所產生的影響和危害為標準，將個人金融信息按敏感程度從高到低分為C3、C2、C1三個類別，明確提到應根據個人金融信息的不同類別，采用技術手段保證個人金融信息的存儲安全，但并未涉及數據在跨境傳輸的問題上有何不同。因此，在對個人信息和重要數據進行評級的同時，也應當為不同層級數據設置不同出境程序，從而實現數據出境的精準化監管。

之所以對金融領域個人信息、重要數據進行分級分類監管，分別施策，正是因為兩類數據所代表的利益價值不同，對于商業領域的私主體權利，很難斷言其直接影響金融安全與穩定，自然不適合用維護社會公共利益、國家安全的方式來保護，而應更多地采用強化數據主體權利、督促數據處理者完善自我監督機制的方式進行保護。此外，為了平衡安全與效率，我國也可以參照國際經驗，對安全港協議、白名單等工具進行大膽嘗試。

（三）積極參與國際數據流動規則構建

國家利益的多樣性，導致了各國國內金融數據立法的多元化和國際協調機制的碎片化。2020年我國政府提出的《全球數據安全倡議》呼吁各國應要求企業嚴格遵守所在國法律，不得要求本國企業將境外產生、獲取的數據存儲在境內。未經他國法律允許不得直接向企業或個人調取位于他國的數據。各國如因打擊犯罪等執法需要跨境調取數據，應通過司法協助渠道或其他相關多雙邊協議解決。國家間締結跨境調取數據雙邊協議，不得侵犯第三國司法主權和數據安全，這也是我國近年來在國際層面上提出數據安全和流動主張的典型。

我國實際上已經初步嘗試將個人信息出境的目的按照業務需要和執法司法原因進行了區分。《個人信息保護法（草案）》第四十一條規定，因國際司法協助或行政執法協助需要向境外提供個人信息的，應當經過有關主管部門批準。而因業務需要向境外提供的，則并不需要主管部門進行批準，這正是我國司法主權在數據流動領域的體現。《數據安全法（草案）》第三十三條也提到，境外執法機構要求調取存儲于中華人民共和國境內的數據的，有關組織、個人應當向有關主管機關報告，獲得批準后方可提供。中華人民共和國締結或者參加的國際條約、協定對外國執法機構調取境內數據有規定的，依照其規定。在跨境執法與司法協助的事項上，需要保護的利益是國家主權和安全，因此應當主要在國際法層面上采用條約等方式來解決。當前我國所締結的國際條約中，有關雙邊或多邊數據流動的條款較少，金融合作機制之下有關金融數據流動的特殊條款也較少，因此需要我國更加積極參與全球數據流動規則的構建，強化國際協調，維護國家數據主權和國家利益，促進金融數據高效安全流動。

（責任編輯：孟潔）

參考文獻：

[1]劉桂平.數字化經營：商業銀行的選擇[N].經濟日報，2020-10-13.

[2]馬蘭.金融數據跨境流動規制的核心問題和中國因應[J].國際法研究，2020（3）：82-101.

[3]李偉.我國金融數據跨境流動規則建設的思考與建議[J].中國銀行業，2020（1）：41-44.

[4]王遠志.我國銀行金融數據跨境流動的法律規制[J].金融監管研究，2020（1）：51-65.

[5]孫方江.跨境數據流動：數字經濟下的全球博弈與中國選擇[J].西南金融，2020（1）：3-13.

[6]馬其家，李曉楠.論我國數據跨境流動監管規則的構建[J].法治研究，2021（1）：92-102.

[7]程紅星，王超.金融市場基礎設施數據跨境流動法律問題研究[J].證券法律評論，2019（00）：180-190.

[8]姚前.數據跨境流動的制度建設與技術支撐[J].中國金融，2020（22）：27-29.

[9]于春敏.金融隱私保護政策“標準化”：美國經驗及對我國的啟示[J].中共福建省委黨校學報，2017（8）：88-94.