論粵港澳大灣區金融數據跨境流動治理機制

■李莉莎 彭子盈

引言

數字金融是數字經濟的重要組成部分，其依托區塊鏈等延伸擴展技術支撐數據流通、交易、治理、監管等環節，激發數據要素價值化、金融化的特質，在現代化經濟體系中發揮引導資源配置、調節經濟運行的重要作用，成為新型的“數據驅動式金融”（Data Driven Finance）。在數字化轉型的時代，隨著數據要素流通規則建設的進一步加快，金融數據跨境流動交易的重要性、價值性越發凸顯。金融數據跨境流動不僅促進了企業的國際化，而且有利于全球金融行業的迅速發展。金融數據涵蓋的信息類型廣泛，既有金融機構的經營業務數據、內部管理信息，也有大量的個人信息。其中，金融領域的個人信息，包括個人金融賬戶及賬戶內的交易信息、相關的金融服務機構收集的所有個人信息（如個人基本信息、生物識別信息、其他財產信息等），以及由此而衍生出的新的個人信息（如客戶畫像等）。需要注意的是，根據國家互聯網信息辦公室于2017 年發布的《個人信息和重要數據出境安全評估辦法（征求意見稿）》第十一條規定，并非所有個人金融信息都可跨境流轉，如對于未經個人信息主體同意，或可能侵害個人利益的數據不得跨境傳輸。金融數據作為基礎要素，具備應用于不同數據場景的潛力，而推動數字科技落地金融產業，有助于充分挖掘數據價值，實現從數據到智慧的縱深跨越。比如跨境理財通、助農金融、區塊鏈金融、普惠金融等運用，能夠精準捕捉融資需求，智慧服務民眾、產業，搭建多元化的融通服務通道，塑造金融科技新生態，打通科技成果轉化的“最后一公里”。不過，這種金融新范式也可能帶來新的問題。例如，“贏者通吃”①的極端規模收益率和極端規模效應，抑或是消費者個人數據保護和隱私保護②，以及最近幾年引發社會廣泛討論的市場壟斷、資本無序擴張、定價歧視、市場地位濫用、跨境洗錢犯罪③等問題。更為關鍵的是，金融數據及其治理還可能涉及金融穩定與金融安全等重要問題。當然，由于數字經濟、金融數據應用、金融科技處于迅速發展進程中，金融數據治理從整體上看仍處于初步探索階段[1]。

黨的二十大報告提出，要推進粵港澳大灣區建設，支持香港、澳門更好融入國家發展大局，完善金融、數據等安全保障體系建設，加快發展數字經濟，建設數字中國。隨著香港全球金融中心地位的鞏固和澳門特色金融的創新發展，以及深圳和廣州金融中心的持續深化建設，大灣區的金融圈逐漸成熟，為金融數據跨境流動帶來了巨大需求。但由于目前大灣區數據治理框架未能適配金融數據的公私屬性及大灣區區際機制的特殊性，規范體系不完善，監管規則標準不統一，數據共享平臺建設未健全以及數據流通環境的安全性未能得到有效保障，金融數據有序流動受到一定制約。因此，如何構建統籌兼顧金融數據安全保護和金融數據價值釋放的長效治理體系，以高效高質的金融監管策略推動金融市場創新、促進大灣區金融數據互聯互通，實現多層次、立體化的金融數據跨境流動是粵港澳大灣區實現金融數據有效治理的重大任務。

一、大灣區金融數據跨境流動治理的必要性和可行性分析

（一）必要性分析

1.實現金融創新與數據安全動態平衡。近年來，各類金融機構都在積極探索金融科技的應用，以降低合規成本、充分發揮數據資產價值、確保數據安全性，并提升數據治理能力。然而，盡管數字技術不斷進步，金融領域的本質和風險水平并未發生顯著變化。目前，網絡攻擊仍然對金融機構構成威脅，可能引發數據泄露和損毀的巨大風險，金融數據安全也是當前需要優先考慮的問題。因此，加快建設完善金融數據治理框架，推進全方位運用監管科技，強化數字化監管能力，對金融科技創新實施穿透式監管起到至關重要的作用。做好全面風險管理和安全保障，才能穩妥且審慎地推動金融科技創新，更高效、更安全地開展金融數據治理任務，并在更高層次上實現創新與監管的動態平衡。而且，維持兩者平衡十分關鍵，只有讓創新與監管相互促進、相輔相成，才能真正實現“金融+科技”的協同效應，達到“1+1>2”的效果。

2.推動我國跨境金融融合發展?；浉郯拇鬄硡^具有“一國兩制三法域”的區位特色，以及聯通國際數據流動的發展潛力。在這種背景環境下，大灣區金融數據跨境流動治理機制的完善，有助于深入推進大灣區建設、深化內地與港澳合作，從而進一步為中國乃至全球的跨區域（境）金融融合發展打造示范樣本。

3.維護金融數據主體的合法權益。隨著承載金融信息的數據愈加多元化、海量數據的不斷集聚以及數據處理技術的日益升級，金融數據不僅關系到個人財產安全，更關系到企業經營發展、經濟社會秩序穩定乃至國家安全。金融數據的泄露和不恰當使用不但會給信息主體的利益造成極大損失，而且囿于取證難、維權成本高，事后信息主體難以通過司法手段切實維護自身合法權益。因此，為確保大灣區金融信息主體的權益免受損害，有關責任部門制定明確可行的數據跨境流動規范尤為必要。

（二）可行性分析

1.大灣區具備政策優勢及經濟優勢。2019年以來，從國家層面到廣東省出臺的各種政策文件如《粵港澳大灣區發展規劃綱要》《廣東省數字經濟促進條例》《廣州市數據條例》《深圳經濟特區數據條例》等，為實現粵港澳大灣區數據有序跨境流動、推動區域經濟融合發展奠定了堅實的政策基礎。隨著“深港通”的開放、“跨境理財通”業務的成功落地，大灣區內地城市與香港的金融融合也在不斷地增強。香港特區政府的數字化經濟發展委員會還成立跨境數據合作小組，研究促進跨境數據合作的可行方法。2022 年6 月，香港金融管理局推出“商業數據通”，積極提升香港的數據基建，為香港打造更加安全順暢的互換數據生態圈提供了條件④。

2.港澳地區具備完備的立法體系。1995年，香港就出臺了體系完備的個人信息安全保護法——《個人資料（私隱）條例》（以下簡稱《條例》），后于2021 年修訂，即《2021 年個人資料（私隱）（修訂）條例》（以下簡稱《（修訂）條例》）。該《條例》是亞洲最早全面保障個人信息的法域之一，也是香港目前諸多數據條例中與內地現行的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）內容范圍最為接近的一部，其經多年實施所呈現的司法實踐效果和在反饋中積累的疑難問題，值得粵港澳大灣區在金融數據立法中參考借鑒，特別是關于個人資料轉移至境外的相關規定，可為大灣區制定類似數據出境的規定提供參照的范本。此外，澳門于2005年通過的《個人資料保護法》對流動至澳門以外區域的信息數據也進行了規制。

3.廣深兩地具備數據跨境試點基礎。2021年初，琶洲被選為廣州人工智能和數字經濟的試點地區，正式啟動數據生產要素統計核算試點工作。同年7月，廣州為促進數據治理、共享、利用，落實了“首席數據官”制度的試點工作，率先探索粵港澳大灣區數據跨境流動和深度融合的最優路徑。2022 年，廣州數據交易所和深圳數據交易所分別于9 月和12 月正式揭牌。據統計，深圳數據交易所目前已收錄入庫55 大類數據資源信息，涵蓋600 多個數據產品⑤。未來廣深兩個數據交易所將成為大灣區數據資源最豐富、流通支撐最有力的數據要素流通樞紐。由此可以看出，廣深兩地在促進數據要素流通方面開展的試點工作，為粵港澳大灣區探索數字經濟創新發展路徑、構建金融數據跨境流動治理體系提供了新思路。

二、大灣區金融數據跨境流動的治理現狀與挑戰

（一）治理現狀

1.在法律層面上，內地目前形成了“三大支柱、多層補充”的數據跨境流動法律體系（表1）。

2016 年頒布的《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）明確了個人數據和重要數據應當在境內存儲，因業務需要確需向境外轉移的，應按法律規定進行安全評估的基本要求⑥。2021年頒布的《個人信息保護法》《中華人民共和國數據安全法》（以下簡稱《數據安全法》），進一步規定了數據跨境流動的具體條件和評估情形，并對個人數據和重要數據的評估情形、數據分類分級保護制度、政府數據安全公開情形等做出了明確規定⑦。至此，上述三部法律共同構筑了我國數據跨境流動法律體系的“三大支柱”，為我國打開了數據跨境流動立法體系建設的新局面，也為后續規制金融數據跨境流動提供了制度依據⑧。香港在《（修訂）條例》中對個人資料出境做了相關規定，并設立個人資料私隱專員公署負責監管實施，要求除非符合書面同意、條例豁免、傳輸地法律與自有條例實質相似和目的相同等條件，個人資料原則上是不可被傳輸至香港以外[2]。然而，《（修訂）條例》第三十三條⑨對數據跨境傳輸的規管至今遲未實施，僅于2014 年及2022 年發布了兩份指引，為第三十三條的實施做了準備⑩。因此嚴格來說，香港并無規管跨境數據轉移的特定法律。澳門的《個人資料保護法》對敏感資料和個人資料做了區分，針對個人資料跨境轉移要求遵循“嚴格限制”的原則，即在將個人資料轉移到澳門以外的地方應同時滿足其第十九條規定的兩款條件：其一，接收轉移信息當地的法律體系能確保適當的保護程度；其二，信息轉移行為須同時遵守該法其他有關規定（第十九條第一款）。若不具備此兩項條件，則有關信息資料跨境轉移行為原則上被禁止[3]。此外，為進一步落實《網絡安全法》《數據安全法》《個人信息保護法》，國家接連制定了《網絡數據安全管理條例（征求意見稿）》《網絡安全審查辦法》《數據出境安全評估辦法》《移動互聯網應用程序信息服務管理規定》《個人信息出境安全評估辦法（征求意見稿）》《個人信息出境標準合同規定（征求意見稿）》《個人信息和重要數據出境安全評估辦法（征求意見稿）》等法規規章，對平臺數據監管、數據出境、應用程序提供等規則進行了規定，完善了“三法”數據安全規則體系，同時也體現了我國在數據出境安全評估與審查方式等內容上的不斷探索與優化的堅定決心[4]。在金融行業標準方面，基于金融數據保護的迫切需要，中國人民銀行自2020 年起陸續發布了《個人金融信息保護技術規范》《金融數據安全數據安全分級指南》《金融數據安全數據生命周期安全規范》《金融業數據能力建設指引》等標準。其中值得注意的是，《個人金融信息保護技術規范》進一步明確了個人金融信息的內涵范圍以及個人金融信息的重要性，其對個人金融信息的定義屬于《個人信息保護法》中規定的個人信息的范疇。同時，該規范將個人金融信息按敏感程度分為C3、C2、C1 三個類別，并規定了個人金融信息全生命周期各環節的安全防護要求，包括安全技術要求與安全管理要求?！督鹑跀祿踩珨祿踩旨壷改稀穭t對金融數據安全分級的目標、原則和范圍、數據安全定級的要素、規則和定級過程進行了明確，并給出了金融業機構典型數據定級規則供實踐參考。

表1 粵港澳三地關于數據跨境流動的重要法規梳理

2.在實踐層面上，聚焦粵港澳大灣區，數據的開放取得了較好的成效，如2019 年“琴澳通”跨境服務創新平臺、2021 年大灣區跨境數據互信互認平臺和2022年粵澳跨境數據驗證平臺的啟動使用，以及香港、澳門特區政府和大灣區內地九市政府數據開放平臺的開通，均為大灣區加快跨境金融數據便捷有序流動，探索建立開放型、合作型、示范型跨境金融服務打下了良好基礎。同時，為強化跨境金融機構的信息交流與監管協作，深圳已開啟跨境金融監管初期探索，率先創新跨境金融監管。2019 年2 月，深圳市前海地方金融監督管理局正式揭牌，作為廣東自由貿易試驗區首家地方金融監管機構，將致力探索構建大灣區金融監管溝通配合機制。此外，國家層面積極發布各項政策文件，為數據要素確權、流通、交易、管理等提供制度保障，有助于加速數據要素市場培育和價值釋放，夯實數字中國建設和數字經濟發展基礎，加快構建數據要素市場規則，完善治理體系。同時，廣東省政府、廣州市政府、深圳市政府也一致響應國家政策，圍繞金融等領域積極參與數據跨境流動國際規則制定、數據跨境安全治理等開展本土試點，積極探索我國數據跨境治理機制（表2）。

表2 國家及廣東省發布的關于數據要素相關政策梳理

可以看出，國家將金融領域數據跨境流動的規制置于極為關鍵的位置。通過不斷完善金融數據分類和分級保護的相關規則，在保障金融數據安全性前提下，國家正在積極探索與國際接軌的途徑，為我國與世界實現金融數據跨境有序、順暢流動消除障礙。

（二）治理挑戰

1.三地金融數據跨境流動規則不統一。一方面，目前全局數據統籌有待強化。一是盡管《個人信息保護法》和《數據安全法》的出臺備受關注，然而我國有關數據跨境流動的立法體系仍在建設完善過程中。現行有效規范主要為《數據安全法》《網絡安全法》和行業性規范，數量雖多，但數據保護立法未成體系化，行業性規范文件效力層級總體較低。二是現行有效規范在內容上主要以概括性指導為主，尚未配備具體的實施細則，同時安全評估制度有待進一步完善，有可能使金融數據的跨境流動面臨潛在的風險和漏洞。三是現行有效的法律規范主要強調重要信息的數據本地化存儲和處理，在具體運用中適用性還不夠強，對數字經濟時代個人信息的合理利用還要進一步明確。另一方面，大灣區數據跨境流動規則不銜接。雖然香港的《（修訂）條例》《跨境資料轉移條例》、澳門的《個人資料保護法》與內地的《網絡安全法》《個人信息保護法》等，分別對三地信息管理機構與數據信息范圍做出規范，但是這些法規用詞界定、適用范圍存在明顯差異，容易出現法律的交互重疊甚至沖突。例如從表3對比可知，一是三地關于“數據”的界定有所區別。香港《（修訂）條例》、澳門《個人資料保護法》沒有使用內地常用的“個人數據”或“個人信息”的概念，而是采用了“個人資料”一詞，內地則采用“數據”“個人信息”“重要數據”等名詞?！叮ㄐ抻啠l例》也未對“個人資料”進行細分，如敏感個人信息等。二是三地對于數據跨境轉移的條件仍不統一，且分別規定了不同的個人信息監督管理機構。三是相對于數據跨境流動條件較為寬松的港澳地區，內地的數據跨境監管規則嚴格，增加并細化了評估情形和審查評估內容的規定。這些規則的差異在一定程度上造成了粵港澳三地監管范圍和強度的不同。此外，在早期的信息化建設中，粵港澳大灣區的政務部門出于各自的業務需求，開發了多種不同的應用系統，導致信息系統呈現出多管理、多系統、多標準的復雜局面。在這一背景下，大灣區的信息系統缺乏統一數據資源整合標準，各部門之間的系統框架和標準存在不一致的情況。特別值得關注的是，在涵蓋三種法律體系的大灣區范圍內，由于各政府部門之間存在著數據對接的困難，這將引發數據匯聚規模較小、數據共享比例不高以及數據質量較低等問題。

2.金融數據監管機制難以協調統一。從目前大灣區金融監管的實踐來看，三地的金融監管協作機制普遍處于探索階段。內地數據跨境流動監管機構包括各級網信部門、各行業主管機構、法人、社會團體等，香港、澳門則分別設立個人資料私隱專員公署和個人資料保護辦公室監督管理數據跨境流動相關事務，導致跨部門協同中存在數據壁壘，進而削弱了數據保護和治理能力：其一，當各部門權責邊界不明確時，容易出現相互推諉、相互推脫等問題；其二，各行業主管部門標準難以統一，數據出境的評估標準主要依靠各部門自身判斷，容易導致評估標準存在不合理差異的問題；其三，目前三地的金融監管協作能力有待加強，粵港澳監管信息共享機制有待健全，金融監管信息仍然呈現“孤島”狀態[5]。此外，在跨境金融活動中，各地金融監管資源配置不均衡，特別在證券、保險、互聯網金融、民間融資等領域，由于監管能力和監管手段以及監管尺度不一，極易形成“金融洼地”[11]，吸引資金大量流入，或有可能導致金融風險。未來的粵港澳大灣區金融市場發展將高度融合、互聯互通，與此同時金融風險的跨區域性、交叉性和隱蔽性也將加大監管難度。有鑒于此，目前大灣區金融數據跨境傳輸的關鍵環節是如何實現現有部門和機構的跨境監管協調與合作，并銜接與重構當前的監管協作機制，否則難以有效發揮金融風險的事前預警和監管作用。

3.金融數據開放共享仍受多重制約。大灣區金融科技的發展潛力巨大，有望成為我國未來重要的人工智能和大數據應用中心，進而成為關鍵的數據源[12]。但大灣區依然存在“數據孤島”無法避免、金融數據開放進程緩慢、數據質量和數據安全得不到切實保障等問題，制約著金融數據等開放程度及交易的整體效率。盡管目前數據交易的效率相較過去已有大幅度提升，但數據交易平臺的業務范圍及交易效果仍會受制于政府、企業、科研機構等交易主體對數據的開放與共享程度[6]。以企業為例，隨著大灣區金融業的快速發展，一些金融科技巨頭利用其獨家技術優勢、強大的議價能力和顯著的互聯網馬太效應，不斷擴張商業版圖，累積海量的個人金融信息及交易數據，壟斷競爭市場，在一定程度上影響金融市場自由、公平的競爭秩序[7]。同時，這也反映出大型科技企業對目前金融數據擁有實際控制權和不加限制的數據使用權。這種金融數據市場壟斷極有可能引發“數據孤島”現象，導致三地的金融信息難以互聯互通，個人、企業、機構、政府不能及時獲知金融市場的動向，金融監管機構難以識別和處理金融風險，從而制約了大灣區金融數據產業的升級和發展。

三、大灣區金融數據跨境流動的治理邏輯與路徑

粵港澳大灣區要實現金融數據跨境流動治理效果最優化，暢通金融數據的有序流動，就必須考慮大灣區區際機制的特殊性及金融數據的本質屬性，采用多維度、分階段、立體化的治理模式，促進大灣區三地在金融數據治理領域的合作與趨同。

（一）金融數據的本質屬性

從治理邏輯的角度來看，金融數據的基本屬性——“公私屬性”是決定其治理方式的基本要素。追溯其根源，數據之所以能呈現公共性與私有性的雙重屬性，在于數據既可以成為個人獨占的私有財產，由其自行控制與處置，也能夠以公共物品的形態由社會共同享有，滿足公共資源分配的現實需求[8]。而金融數據既具備吸收金融資源的優勢，又繼承了數據的公私屬性。強調金融數據公共屬性與私有屬性之間的平等地位，為多元主體共治共理定下了公私兼顧的治理基調。金融數據的私有屬性最明顯地體現在內容的高度精確性，即無論是賬戶信息、身份信息還是交易信息，都可以直接或間接地指向特定的個體。因此，金融數據的主體比其他數據的主體更為清晰透明。金融數據的公共屬性則體現在：一是金融機構收集數據通常用于履行法定義務，如用于公共事業與行政管理；二是在特定金融數據的傳輸、使用過程中，數據須經過加工處理方可發揮數據的實際價值。在此過程中，數據完成了從私有財產到公共物品的屬性轉化，從而具備公共屬性[9]。

在治理實踐中，單一的公共部門獨立完成對立角色的轉化難度較大，唯有基于協同治理機制下多主體聯合共治，方可在公私兩者利益中取得平衡，從而達成治理目標。因此，治理機制的構建既不能忽視金融數據的私有屬性，需要將充分的金融數據權利授予個人或行業組織，同時也不能忽視其公共屬性，進而構建金融數據跨層級共治體系。這表明治理機制的主體已擴充至私人主體、其他利益相關者及行業組織，而不再拘泥于管制模式下的政府部門，意味著金融數據跨境流動的治理規則可反映多面向的利益需求。

（二）大灣區區際機制的特殊性

典型的世界級大灣區，如舊金山灣區、紐約灣區和東京灣區等，都是在區域內無根本制度性差異的前提下形成和發展的。而粵港澳大灣區涉及“三個法域”“三個關稅區”，是典型的跨行政區域制度和次國家尺度特殊城市群?；诖鬄硡^區際機制的特殊性，構建大灣區金融數據跨境流動治理機制是一個兼具多元性、差異性與沖突性的復雜系統工程。在這方面，歐盟的跨邊境合作模式給出了成效顯著、形式多樣的參考范例[13]。由于二者均涉及跨邊界的治理與權力的尺度重組，借鑒歐盟的跨邊界合作經驗，大灣區可以構建推動金融數據跨境有序流動的治理體系。具體而言，歐盟跨邊界合作是通過制度建設來構建滿足不同尺度下的跨境治理模式，以合作項目為依托促進各邊界地區之間的交往，建立非正式制度以協調復雜的多方關系[10]。

綜上所述，基于金融數據的公私屬性及大灣區區際機制的特殊性，大灣區金融數據跨境流動治理機制的構建可以從宏觀、中觀、微觀三個維度設計對應的治理機制：在宏觀層面上優化金融數據跨境流動的頂層架構，以包容有序的制度安排與規則銜接，降低三地建立統一數據法治體系的屏蔽效應；在中觀層面上創新監管體制，聯結不同監管部門、金融機構、行業組織等多方力量保障數據有序流動，以多尺度的合作空間有效改善粵港澳的金融監管及協作情況；在微觀層面上建立聯通三地的金融數據共享機制，在保障數據傳輸安全的前提下建設金融基礎設施、建立互聯互通的數據平臺，高效暢通三地數據共享開放渠道。

四、大灣區金融數據跨境治理機制的構建思路

（一）宏觀層面：優化大灣區金融數據跨境流動治理頂層架構

未來，深化粵港澳大灣區金融合作，需建立與經濟運行邏輯一致的頂層制度設計。由于粵港澳數據跨境流動制度規則尚未系統化，實現跨境數據有序流動，推動粵港澳三地金融數據跨境制度協同創新，必須減少三地潛在的制度壁壘、促進數據規則銜接和協調機制對接，通過規則制度的互認共認、相互借鑒，從“軟聯通”層面加快金融數據互聯互通。

首先，加強全局制度統籌?；浉郯拇鬄硡^金融數據跨境流動制度治理體系的構建需自上而下建立系統化、規范化的管理體系，推動三地參與金融數據治理的領導機構協同合作、完善法治體系、促進下級各部門聯合共治，并以政府引導為主，確保數據跨境流動的規范化運作。

其次，加強區域規則的銜接。粵港澳大灣區金融數據流動應確保港澳與內地的法例合理銜接。例如，加快修改和完善香港《（修訂）條例》，盡量與內地相關法律接軌，將“個人資料”定義范圍擴大至與《中華人民共和國個人信息保護法》中的“個人信息”一致，對“個人資料”分級分類，拉齊三地金融數據保護水平。同時，三地應立足金融數據確權，以法律的形式明確數據采集、存儲、共享的流程，以及金融數據的流通范圍、利益分配、流通規則、權責關系、保護對象等，確保有章可循。此外，鑒于三地法律及監管上的規制存在一定差異，大灣區內地可與港澳聯合制定一套符合三地監管規定的標準合同條款，可參考東盟《跨境數據流合約條文模板》，以內地的《標準契約條款》及香港的《跨境資料轉移：建議合約條文模板》為參考樣式。

最后，調整規制思路，落實執行具體細則。一是堅持金融核心系統本土化的基本原則，在守住金融數據安全底線的前提下，適度放開金融數據跨境流動，并研究探索金融數據跨境流動“白名單”新模式，允許若干類別數據自由進出，如低敏感性、較低安全級別的金融數據，可簡化數據出境的審核流程，切實實現數據開放和共享。二是明確規制思路調整的重點，針對《網絡安全法》“原則上禁止數據跨境流動，金融數據應當在本地存儲”，其例外情形為“因業務需要確需數據出境”的規定[11]，要對這些例外情形和條件進行明確和細化：哪些金融業務屬于此類“業務”范疇，哪些狀況屬于“確需”的狀況，此類數據出境需要遵循何種實體和程序規則，等等。三是加強大灣區三地金融監管部門和網信部門的監管協作及數據共享，形成監管合力，探索構建完備的覆蓋金融數據采集、處理、傳輸、保護等全流程的監管制度，以有效控制與防范金融數據跨境傳輸風險[12]。

（二）中觀層面：探索大灣區金融數據跨境流動創新監管體制

當前粵港澳大灣區在跨境金融數據流動監管領域還存在金融數據監管標準不協調不統一，金融數據監督和執法機構職能邊界模糊等問題。因此，大灣區金融數據跨境流動的監管體制亟須創新。

首先，推動大灣區出臺金融監管“軟法”。就大灣區而言，在“硬法”難以協調統一的情形下，采用金融監管“軟法”的優勢在于能在跨境金融監管過程中實現跨政府、跨區域的約束效果。國際法學者霍夫曼認為，“軟法”是指約束力比傳統法律或不具有任何約束力即所謂的“硬法”要弱的準法律文件[13]。在國際金融監管中，國際保險監督官協會（International Association of Insurance Supervisors）、國際證監會組織（International Organization of Securities Commissions）、巴塞爾銀行監管委員會（Basel Committee on Banking Supervision）等組織所創制的監管規范是典型的“軟法”，雖不具有形式上的法律強制約束力，但基于其專業、靈活、適應性強等特點，獲得了大多數成員方或非成員方的認同和遵循。因此，充分發揮地方政府、社會組織及中間機構的積極作用，可通過行為守則、方案、非正式準則、備忘錄等確立“軟法”的形式，加快粵港澳大灣區出臺金融監管“軟法”[14]。

其次，完善監督組織結構，明確監督機構職責。針對大灣區金融數據市場監管職能分散，各部門監管邊界不清，易形成多頭監管或監管空白的問題[14]，一是可以借鑒歐盟設立“歐洲數據保護監督委員會”（European Data Protection Board，EDPB）的做法，設立“粵港澳大灣區數據保護委員會”，以統籌協調不同地域、行業的數據監管工作，形成金融數據市場監管合力。二是可以成立由金融企業、行業協會以及專家團隊組成的第三方監管組織，防止數據監管機構濫用職權，并通過聚集金融研究人員、金融從業者的智慧資源，為粵港澳大灣區金融數據監管標準的制定提供智力支持[15]。

最后，創新開展跨境金融監管沙盒試點。粵港澳大灣區可以借鑒英國監管沙盒實踐的經驗，設立“粵港澳大灣區金融創新監管局”（簡稱“監管局”）管理沙盒，率先開展跨境金融數據監管的沙盒試驗工作。立足沙盒的運作機制，在監管局規定的范圍或條件下，大灣區的金融機構可直接開展業務，僅受監管局的監督與管理，從而突破行政區域管轄權的限制；同時，在沙盒管理的可控范圍內，按照相關監管規則及市場需求，共同開發區域內的商品銷售，共同承擔責任，共享收益。比如，傳統的保險公司無法通過跨國渠道進行商品交易，但在沙盒的運作模式下，保險公司、證券公司等金融機構均可開發創新產品，通過沙盒機制進行交易，實現跨境經營、監管與運作可控可防，為大灣區跨境金融數據監管體制的改革創新提供經驗。

（三）微觀層面：建立聯動粵港澳三地金融數據共享機制

粵港澳大灣區應建立金融數據平臺，構建金融數據共享開放機制，以推進三地在金融數據領域展開廣泛的交流，為金融數據跨境有序流動奠定堅實的基礎。

首先，由政府主導金融數據共享開放。一方面，建議香港、澳門、廣州、深圳等核心城市政府部門聯合成立金融數據流動聯通工作小組，協調推進數據共享應用工作，并高效解決金融數據協同存儲和生產等領域所遇到的問題；粵港澳大灣區的相關立法機構可積極合作，共同研究并建立一套統一的金融數據法律監管體系，確保有相應明確的監督管理機構、規范的數據共享流程提供指引，為數據共享的監管工作打下法律基礎。同時，大灣區應增加金融數據共享渠道，擴大金融數據共享范圍，彌補各平臺數據不足，提高監管效率，為市場主體提供安全、準確、快速的信息核查渠道。另一方面，各地政府部門機構可借鑒歐盟《數據治理法案》[15]中對公共部門機構所能共享數據類型的規定，明確開放共享金融數據的類型，推進大灣區金融數據開放目錄和互聯互通的金融數據開放平臺建設，為金融數據的開放利用助力。

其次，保障金融數據開放共享的環境安全可靠。未來大灣區金融數據的開放共享，可以通過構建金融數據可信流通機制，借鑒粵澳跨境數據驗證平臺基于區塊鏈底層平臺進行驗證的做法，利用區塊鏈具有去中心化、去信任化、不可篡改性和可追溯性等特點，為數據流通構建可確保數據真實可靠及隱私安全的傳輸環境[16]。具體的數據安全保密技術手段，應立足于粵港澳三地制度多樣性特點，建立契合高、中、低三種保密要求場景的統一數據流通環境（圖1）：在高保密場景下，實現數據“不出門”；在中保密場景下，實現數據“可用不可見”；在低保密場景下，實現數據“閱后即焚”[17]。不久前揭牌成立的深圳數據交易所正是為交易主體構建了“安全、可信、可控”的數據交易信息化系統，為探索跨境數據流通安全交易邁出了堅實的第一步。大灣區金融數據跨境流動除了要保障數據安全流動，同時也要兼顧數據交易如何更加規范高效的問題。未來大灣區應深入推進“首席數據官”制度，促進公共數據與社會數據匯聚融合、授權運營和加工處理，為數據進入流通交易環節創造利好條件。此外，大灣區要完善公共數據資產登記與評估制度，搭建數據資產管理運營平臺，建立涵蓋登記憑證、授權憑證、流通憑證的數據資產憑證體系；借助現有交易場所建設大灣區數據交易場所，健全跨境傳輸、交易流通、數據權益等基礎性制度規范。

最后，開展跨境金融數據共享試點項目，如通過對特定金融機構及公司之間的金融相關數據流動適當減少限制規定。在初始階段，該試點項目可以僅限于選定的大灣區城市內的數據流通，確保項目以漸進且風險可控的方式實施。而且，安全評估、認證和標準合同審查流程可簡化進行。目前香港特區政府已制定多項政策，積極促進大灣區金融服務業的聯系，包括跨境使用人民幣、投資及理財及保險產品，為跨境金融數據共享夯實基礎。

結語

隨著粵港澳三地的互聯網金融市場規模不斷壯大，特別是在“一帶一路”建設持續深入和人民幣國際地位不斷提升的背景下，金融數據的跨境流動也日趨頻繁，理順金融數據跨境流動治理路徑極具必要性。對于大灣區而言，一方面，要繼續健全對金融數據跨境流動的治理方式，完善更為高效的金融數據監管協作機制，構建足以融合與匯通三地金融數據、暢通金融數據跨境共享的渠道，保障數據流通安全穩定；另一方面，大灣區應推動政府、企業、個人等多方面協作來強化協同治理。粵港澳大灣區各地政府作為金融數據跨境流動的組織者，要通過監測各種金融數據來實現跨境數據的安全；企事業單位是數據的“處理者”，要確保數據在整個傳輸過程中的有序安全流動；個人作為數據的擁有者，應提高對自己隱私權的保護意識。本文主要在三個層面上提出了大灣區金融數據跨境流動的治理對策，但對于具體的制度要素以及三地之間協同治理機制的展開，仍有待進一步研究。

注釋：

①“贏者通吃”指由于具備規模效應、網絡效應、財富效應、指數增長效應，平臺經濟擁有大量的數據資產，累積巨量用戶，易形成壟斷。

②根據嘉銀保監罰決字〔2023〕5 號的行政處罰信息顯示，中行嘉興分行存在6 項主要違法違規行為，其中包括“違規泄露客戶信息”，原銀保監會嘉興監管分局對其處以罰款210萬元。

③根據Verizon 發布的《2020 年數據泄露調查報告》，2020 年全球數據泄露總成本平均為386 萬美元，其中金融機構反洗錢的重要數據之一的客戶個人身份信息（PII）是最昂貴的記錄信息，客戶PII 記錄每條丟失或被盜的平均成本為150美元。

④《商業數據通（CDI）》[DB/OL]，https://www.hkma.gov.hk/gb_chi/key-functions/international-financial-centre/fintech/research-and-applications/commercial-data-interchange/，訪問日期：2023年9月11日。

⑤《深圳數據交易所正式揭牌》[DB/OL]，2022 年11 月17日，http://gzw.sz.gov.cn/gkmlpt/content/10/10245/post_10245034.html#1904，訪問日期：2023年9月11日。

⑥參見《中華人民共和國網絡安全法》第三十七條：關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。

⑦參見《中華人民共和國個人信息保護法》第三十六條：國家機關處理的個人信息應當在中華人民共和國境內存儲；確需向境外提供的，應當進行安全評估。安全評估可以要求有關部門提供支持與協助。

⑧參見《中華人民共和國數據安全法》第十一條、第十八條、第二十一條、第二十三條、第三十條、第四十二條等。

⑨參見香港《2021 個人資料（私隱）（修訂）條例》第三十三條：明確禁止資料使用者把個人資料轉移到香港以外的地方，除非符合法律規定的條件。

⑩該指引分別為香港2014 年的《保障個人資料：跨境資料轉移指引》及2022 年的《跨境資料轉移指引：建議合約條文范本》。

[11]“金融洼地”來源于經濟學中“洼地效應”，即利用比較優勢，創造理想的經濟環境，使各類生產要素向交易成本較低的地區聚集。

[12]普華永道聯合中山大學數字治理研究中心發布的《粵港澳大灣區數字治理研究報告（2022）》中描述：目前大灣區“9+2”城市群總數據存儲量超過2500EB，約占全國的21.5%，商貿、港口、航運、物流、海關、商檢、醫療、金融、通信等領域數據規模均處于全國前列。

[13]跨邊界（跨越國家或地區行政邊界）合作，指在邊界兩側、地理相鄰的部分地區間的合作，涉及制度、法律、經濟、文化、教育等多領域。

[14]歐洲數據保護委員會的主要職責是保障《通用數據保護條例》在所有歐盟成員國的一致執行，以及在數據保護相關問題上向歐盟委員會提出建議。除此之外，委員會的職責還包括促進各成員國國家監管機構之間的合作，協助國家監管機構之間的爭議調解，并提出指導方針和建議。

[15]參見《數據治理法（Data Governance Act）》第三條（1）本章適用于公共部門機構持有的數據：（a）商業保密；（b）統計保密；（c）保護第三方的知識產權；（d）保護個人數據。（2）本章不適用于：（a）公共事業單位持有的數據；（b）公共廣播機構及其附屬機構，以及其他機構或附屬機構為履行公共廣播服務的職責而持有的數據；（c）文化機構和教育機構持有的數據；（d）因國家安全、防衛或公共安全理由而受保護的數據；（e）提供的數據不屬于相關成員國法律或其他具有約束力的規則所界定的公共部門機構公共任務范圍內的活動；或在沒有相關規則的情況下，按照該成員國的一般行政慣例定義可進行數據提供，前提是公共任務的范圍是透明的，并接受審查。