數字經濟時代跨境金融服務的數據風險及治理路徑

關鍵詞：跨境金融服務；金融服務數據；金融監管

中圖分類號：F832.2 文獻標識碼：A 文章編號：1000-176X（2024）08-0064-11

一、引言

由數字技術與商業模式創新融合而成的數字經濟正深度賦能跨境金融服務，重塑以商業實體為基礎的傳統經濟形態。云計算、人工智能、區塊鏈技術的應用將數字貨幣、平臺金融、跨境互聯網券商等概念嵌入跨境金融服務之中，為全球服務增長提供高能引擎［1］。作為承載跨境金融服務商業信息的載體，數據跨境流動伴隨著跨境金融服務的迅猛發展而日漸頻繁。與此同時，信息科技在金融服務領域的革新也帶來技術驅動式（Technology?Driven） 的數據風險，其強勢侵入體量龐大的國際數字貿易市場，既擾亂跨境金融服務的正常秩序、威脅跨境業務安全［2］，又對現有國際貿易規則和國際金融監管規則帶來嚴峻挑戰，引起理論界與實務界的高度關注。

2023年10月的中央金融工作會議指出，著力推進金融高水平開放，確保國家金融和經濟安全。堅持“引進來”和“走出去”并重，穩步擴大金融領域制度型開放。同年12月，《“數據要素×”三年行動計劃（2024—2026年）》（國數政策〔2023〕11號） 提出，提高金融抗風險能力，推進數字金融發展。這都突出強調了金融服務數據風險治理的重要性。當前，中國跨境金融服務涵蓋以跨境交付、境外消費和自然人流動等多種形式提供的跨境銀行、證券及保險業務，主要參與主體包括跨境金融機構、跨境金融投資者和新型的跨國技術服務公司等。根據商務部數據，中國2023年跨境金融服務進出口總量已達570. 3億元，近五年平均同比增長率高達10%。跨境金融服務的增長使其數據風險隨之增加，最為典型的是在“跨境打新”的熱潮下，中國金融投資者的個人數據經由跨境券商傳輸至境外，導致中國個人金融服務數據的批量泄露。然而，中國現階段的跨境金融服務監管依然停留在傳統的資本項目控制、牌照準入和負面清單設置等階段，金融監管規范的境外適用范圍模糊不清，對跨境金融服務缺乏專項性的執法行動。目前，一部分學者對跨境金融服務的貿易規則展開研究，探討金融服務數字化對貿易規則的影響［3］，另一部分學者聚焦金融服務數據跨境流動的法律規制，指出應增加自由協定中有關金融服務數據跨境流動的規則［4］。但是，上述研究未能深入剖析跨境金融服務數據風險類型及其帶來的挑戰，也忽視了國際金融監管規則與國內金融監管規則對于跨境金融服務數據風險治理的重要作用。

鑒于此，本文聚焦跨境金融服務數據風險，揭示跨境金融服務數據風險的類型及生成機理，探討國際數字貿易規則、國際金融監管規則和國內治理機制在應對跨境金融服務數據風險時面臨的挑戰。從國際數字貿易規則與國際金融監管規則視角，提出跨境金融服務數據風險的全球治理框架，并探求保障中國金融市場安全的路徑。本文的學術貢獻如下：其一，深度剖析數字經濟對跨境金融服務的具體影響，是對當前跨境金融服務數據風險治理研究的補充。其二，將國際數字貿易規則與國際金融監管規則相結合，為推動中國金融涉外法治建設、保障國家金融服務數據安全提供決策參考。

二、跨境金融服務數據風險的類型化審視

（一） 個人金融信息泄露風險

在數字經濟時代，跨境金融服務的載體普遍以數據的形式進行跨境流動，由此在個人與機構層面誘致數據風險。對于社會公眾，個人金融信息的泄露是首要的數據風險。當前，許多跨境金融服務業務是以金融消費者向跨境金融機構留存本人身份信息形式開展的。在“強實名制”認證的金融服務業務中，金融機構留存個人身份信息的行為將更加正當，從而增加個人金融信息被泄露的范圍與頻率。據報道，富途控股、老虎證券等跨境互聯網券商和資金清算商曾將中國境內客戶提交的個人金融信息泄露給境外金融服務供應商［5］。

在跨境金融服務市場，個人金融信息泄露風險的發生場景更加隱蔽。可能在未授權的情景下，跨境金融服務供應商以屏幕抓取式（Screen?Scrapping） 手段非法收集跨境金融消費者的身份、賬戶甚至財務信息。跨境金融服務供應商可使用金融消費者的登錄憑證，訪問其財務信息賬戶，然后手動或通過專門的軟件獲取相關信息，進而處理數據請求或執行交易。由于執行操作的地點往往在不受司法管轄的境外，不同于國內金融服務，這類個人金融信息的泄露行為難以確定。除此之外，個人金融信息被篡改或盜竊也是金融服務數據風險的表現之一。當前，跨境金融服務數據流動導致金融服務數據的處理主體增多，金融服務數據泄露風險增大，傳統的數據管理技術和措施難以降低跨境金融服務數據泄露風險。

對于金融機構，數據風險同樣源于個人金融信息的非法使用。傳統金融機構往往遵守嚴格的客戶信息內部存儲規定。但是，在開放銀行（Open Banking） 業務模式下，為提供多樣化的金融服務以形成競爭優勢，金融機構選擇擴充其收集的個人金融服務數據，并嘗試通過API端口與境外金融服務供應商進行數據共享，跨境金融服務供應商可接入金融機構的數據庫并與之共享數據。雖然在開放銀行業務模式下，金融服務數據的跨境流動可提供廣泛的金融服務共享、訪問和再利用，從而為消費者和企業帶來創新金融產品和優質金融服務［6］，但是，由于跨境金融服務供應商與金融機構并不處于同一司法管轄區，金融機構的個人金融信息可能被跨境販賣或超出同意范圍被跨境金融服務供應商濫用，增加合規風險［7］。在跨境金融服務場景下，金融信息的濫用與販賣已超出單一國家的監管范圍，在信息技術的支持下，增強犯罪分子的跨境作案能力。

（二） 金融機構業務運營風險

金融機構是跨境金融服務數據的使用者，遍布于全球的跨境金融機構在從事金融服務時需遵守國際協定或不同國家（地區） 的法律法規，從而增加了金融機構跨境業務的數據合規風險。利用QFII和QDII進行跨境金融投資的金融機構，應按照法律法規的要求向東道國或母國的監管機構提交投資數據報告，以確保其跨境投資行為符合相關國家（地區） 的法律法規。但是，由于不同國家（地區） 對于包含跨境投資在內的跨境金融服務的法律法規不同，特定國家（地區） 的報告模式難以在其他國家（地區） 適用，導致金融機構在處理跨境金融服務數據業務時需滿足不同國家（地區） 的合規要求［8］。不同國家（地區） 間因法律法規差異造成的合規風險使得跨境金融服務數據風險區別于國內金融服務數據風險，而在數字經濟時代，由于立法滯后和觀念差異，不同國家（地區） 法律法規不一致的情況更為普遍。

除了跨境金融服務數據的合規風險，跨境金融服務數據的準確性風險也是較為普遍的業務運營風險。在數字經濟時代，跨境金融服務數據的傳輸手段多種多樣，隨之衍生的準確性風險不容忽視。鑒于跨境金融服務多涉及其他國家（地區） 的市場經濟數據，若金融機構的海外分支機構或跨境金融服務的交易方所提供的數據來源缺失、精準度不高或存在錯誤，將影響跨境金融服務決策的準確性。跨境金融機構會選擇境外金融服務供應商的數據中心作為跨境金融服務數據傳輸的節點，數據可能遭到盜竊或篡改，進而造成跨境金融服務數據的部分丟失或錯誤，降低跨境金融服務數據的準確性［9］。金融業對數據實時性、完整性和連續性有較高的要求，跨境金融服務數據的存儲與保護需要金融機構具備最終保全的能力，否則可能威脅其業務運營安全。相較于國內金融服務數據，跨境金融服務數據對準確性的要求更高，跨境金融服務供應商位于境外，各國數據管理機構無法像對待國內金融服務數據一樣檢查境外金融服務數據的準確性。在數字經濟時代，金融服務數據種類及傳輸路徑的多樣化更加劇了跨境金融服務數據的準確性風險。

（三） 金融服務數據壟斷風險

基于低成本性和非競爭性，數據在生產和使用上極易產生遞增的價值回報，以大型科技公司（簡稱“Bigtech”） 為首的新型金融服務主體應運而生。Bigtech擁有全球范圍內活躍的金融客戶群，對內與對外的跨境金融服務數據流動愈加頻繁。特定行業內的金融服務數據伴隨業務集中而不斷聚集于同一主體，Bigtech利用數據、網絡和業務優勢加劇數據集約化。同時，Bigtech利用技術優勢，開發相同軟件或應用程序下的金融產品。金融產品的高度兼容性使跨境金融消費者付出更低的使用成本，對同一個境外金融服務供應商形成黏性。這不僅為境外金融服務供應商實現規模經濟創造便利條件，而且使其與金融業務相關的各種金融服務數據相互聚合，提高數據壟斷程度。當前，Bigtech日益增長的跨境金融服務加快了數據要素累積的速率，信息技術的應用突破了原有僅能在國內收集數據的地域限制，擺脫了國內反壟斷規制的束縛，使得對不同國家（地區） 的數據收集更加直接和便利。依托高壟斷性數據，Bigtech可在價格設置、流量入口、服務對象等領域占據顯著優勢，并通過協議等形式與跨境金融科技企業操縱更為隱蔽的共謀。例如，Bigtech利用壟斷地位調整自身定價并在跨境金融服務市場遏制競爭對手進入。同時，Bigtech還可通過技術手段，將數據資源轉換為更高級別的應用系統，提高操作等級，或直接設定特定門檻，拒絕其他跨境金融服務機構接入，對跨境金融服務市場的其他機構展開持續性的扼殺并購，逐步增加跨境金融服務數據的用戶來源［10］。此外，具有壟斷優勢的大型金融機構可進一步掩蓋個人金融信息泄露風險、金融機構業務運營風險，降低金融服務數據壟斷風險在外部被識別的可能性。

（四） 國家宏觀經濟安全風險

在國家宏觀安全方面，由于金融服務數據夾雜著個人、企業和社會的多類型化信息，相較于一般數據而言，其更具涉眾性和價值性，跨境金融服務數據對于國家宏觀經濟安全具有重要意義。但是，在信息技術應用背景下，區塊鏈、人工智能等應用拓寬了跨境金融服務供給渠道，增加了金融服務數據被暴露于危險網絡環境下的可能性，而數據處理主體又處于高度壟斷狀態，使單一機構遭受金融服務數據壟斷風險的損失可能拓展至國家宏觀經濟層面。從數據的信息內容來看，金融服務數據涵蓋的社會公眾流動、資金流動等信息可能積聚形成重要數據，從而間接造成信息安全隱患。境外金融機構或數據分析機構可通過采集、挖掘跨境金融服務數據，對境內金融交易及金融消費者進行畫像，據此推測中國金融市場整體運行態勢，深度分析金融各子行業、各地區的發展情況，對金融穩定和國家宏觀經濟安全造成嚴重威脅。此前，美歐等發達國家出臺多項數據法案及其否決的中資金融企業海外并購項目，均反映出其對跨境金融服務數據的擔憂。

三、數字經濟時代跨境金融服務數據風險的挑戰

（一） 對國際數字貿易規則的挑戰

由于各國數字經濟發展水平的不同、數字技術的地緣化傾向，國際數字貿易規則呈現碎片化、零散化的特征。作為服務的重要組成部分，跨境金融服務數據風險使國際數字貿易規則碎片化與金融服務主體集合化之間的矛盾愈加凸顯。在金融服務數據的跨境規則領域，以《全面與進步跨太平洋伙伴關系協定》（簡稱“CPTPP”） 和《美墨加協定》（簡稱“USMCA”） 為代表的美式規則注重信息的自由流動且涵蓋的主體更加寬泛，以歐盟與加拿大簽署的《綜合性經濟貿易協議》（簡稱“CETA”） 為代表的歐式規則強調金融服務數據的隱私保護權利，中式規則從國家安全角度出發，允許成員國監管機構要求金融服務提供者遵守數據本地化要求。在不同的跨境數據規則下，平臺化的跨境金融機構具備充足的動機選擇對業務發展最為有利的司法管轄區開展業務，如將數據密集型服務企業布局在美式規則的成員國領土內。這進一步滋生跨境金融監管套利現象，并引導不同區域之間數字貿易規則的“標準逐底”［11］，以降低本地區金融機構的準入條件。

基于碎片化的國際數字貿易規則，跨境金融服務數據風險在國際貿易市場上被逐步放大。其一，跨境金融機構可利用不同貿易協定標準的差異，規避個人金融信息傳輸保護的嚴格本地化要求，從而以“繞道”的形式將個人金融信息轉移至數據保護水平較低的國家［12］。其二，由于數字貿易規則存在于各締約方對跨境數據流動等事項的原則性締約文件之中。因此，數字貿易規則無法詳細規定跨境金融服務的數據流動保護條款。同時，金融服務數據的多樣性和動態性也可能超出數字貿易規則下的原則性保護范圍，造成某一締約方的境內金融服務機構權益受損。其三，金融領域內生成式人工智能的應用、去中心化金融等使數字貿易規則下數據例外以及相關審慎條款的界限更加模糊。在生成式人工智能應用于跨境金融服務的場景下，金融機構業務運營數據的泄露可能并不是由特定主體造成的，而是生成式人工智能基于多方整合的信息流形成的。其造成行為主體與法律責任主體的分離，即數字貿易規則中的跨境金融服務供應商、授權主體等與金融服務數據風險的實際制造者并不相同，這降低了數字貿易規則應用的可預期性。

（二） 對國內審慎監管機制的挑戰

各國金融市場的高度開放致使跨境金融服務數據風險由境外向境內迅速傳導，給國內的金融審慎監管機制帶來嚴峻挑戰。一方面，由于數字金融平臺的業務并非總是屬于金融服務的市場準入標準范圍內，并且服務類型的認定難題加大市場準入條件的選擇。因此，諸多新金融服務（New Financial Services） 本身仍處于“無證駕駛”狀態。同時，個別機構依托所在平臺在境外金融市場以“寬準入”的資格條件獲取金融業務牌照，進而利用網絡渠道向他國提供金融服務。例如，外匯保證金業務在中國屬于非法金融活動，但個別機構通過在境外設立外匯保證金業務平臺，再向中國境內提供外匯保證金服務，繞過市場準入限制。新金融服務條款在數字貿易規則中的應用，使新金融服務得以規避締約方的市場準入審查或外資安全審查而直接進入境內，增加境外金融服務機構收集金融服務數據的渠道，由此產生的跨境金融服務數據風險也考驗該國的內部監管［13］。另一方面，微觀審慎監管是以金融機構為主體，并基于此建立監管部門，然而，信息技術正實現各金融業務的平臺融合，這使得單一監管機構難以應對綜合化且超出機構監管范疇的跨境金融服務數據收集者。在中國，2023年新組建的國家金融監督管理總局（簡稱“金融監管總局”） 旨在統一除證券業之外的金融業監管，但依然難以解決監管對象錯配問題。與之相應，跨境數字金融服務平臺所產生的數據壟斷風險還給各國的反壟斷法及反不正當競爭法的規制帶來挑戰［14］Hoe0VkzfcutfSB2gh7GGZpm2QpjYiJjm2JK/RVGyRkg=，數據壟斷行為與跨境金融消費者保護、跨境市場界定等問題相互交織，既考驗國內金融監管與反壟斷執法的協同性，也對各國境外執法能力提出嚴格要求。

（三） 對國際金融監管規則的挑戰

跨境金融服務雖然以跨境貿易的形式存在，但其所生成的風險在本質上依舊是金融風險，對國際金融監管規則的沖擊十分明顯。

第一，各國金融市場的結構性差異給制定跨境金融服務數據監管標準帶來巨大挑戰。因為各國金融市場中的傳統金融機構受金融科技的影響程度不盡相同，以金融科技驅動的支付手段對中國、新加坡、印度等新興國家的影響遠大于持續依賴“華爾街”的美國。這將增加制定全球可接受并能夠廣泛實施的跨境金融服務數據監管標準的難度。即使最終出臺統一的跨境金融服務數據監管標準，但國際金融監管規則卻多以“國際軟法”的形式存在，且該形式并不代表成員國受到國際法的約束，降低跨境金融服務數據風險治理條款的合法性。

第二，國際金融監管的協調成本上升。“次貸危機”后建立的國際金融監管格局是由美歐等發達國家依賴其強大的金融資本所主導的。但是，隨著金融科技業務在新興經濟體中迅猛發展，發展中國家在與之相關的國際金融監管規則制定中的重要程度日益增加。在數字金融服務標準制定中，需要考慮更為全面的公共政策問題。國際金融權力的離散化趨勢提高了國際金融服務數據監管規則制定的協調成本，必須考慮新興經濟體在跨境金融服務領域中的利益分配問題，使其在國際金融服務數據監管規則的制定過程中發揮重要作用［15］。

第三，當前以共享模式和通行證模式為主的國際金融監管模式無法有效應對金融服務的數字化轉型及其數據風險［16］。共享模式是由東道國和母國共同監管，如《巴塞爾協議Ⅲ》下的跨國銀行監管。但是，鑒于數字化跨境金融服務已無須通過東道國的分支機構、子公司或合資企業進行，金融服務行為及其所包含的金融服務數據收集行為難以被界定為發生在東道國或母國的管轄區內。在通行證模式下，獲得特定國家授權的金融機構可在任何其他參與國內提供相同的服務而無需額外許可，如歐盟即采用此種模式，但該種監管模式建立在各國之間具有高度統一的金融監管合作的前提下，而目前各國跨境數字金融服務監管的嚴格程度卻存在顯著差異，該種模式極易造成金融服務數據監管標準的“逐底競爭”。

四、跨境金融服務數據風險的全球治理

跨境金融服務復雜的數據風險及其對國內、國際規則的挑戰迫使跨境金融服務數據風險的治理應置于全球治理與國內規制的雙向場景之內［17］。鑒于跨境金融服務數據風險在國際數字貿易與國際金融監管領域的交叉，應改變傳統單向性的治理思維，采取“貿易+監管”的融合治理模式。在治理層級與治理進路的雙重維度形成“國際+國內”“貿易+監管”的動態融合。同時，借鑒國外金融監管機構在應對跨境金融服務數據風險的監管經驗，既因應當前中國“雙循環”新發展格局下防范國際與國內的金融服務數據風險傳染，亦可協調多樣化的治理手段，從國際數字貿易與國際金融監管領域有效防范跨境金融服務數據風險。

（一） 國際協同治理跨境金融服務數據風險

無論是從國際數字貿易視角，還是從國際金融監管維度，跨境金融服務數據風險治理都要形成協同型的合作治理機制。

第一，在合作形式層面，WTO框架是全球最大且最為成熟的多邊貿易框架［18］，跨境金融服務數據風險治理需依托WTO框架進行數字貿易規則談判，避免區域貿易協定的碎片化難題。同時，嘗試在WTO框架之外共同創設規則作為傳統服務貿易的補充，以廓清金融服務貿易的范圍。自2017年采取聯合聲明行動（Joint Statement Initiatives，JSI） 以來，WTO成員已取得《電子商務聯合聲明》《服務貿易國內規制參考文件》等多項合作成果。可見，在WTO框架下開展跨境金融服務數據風險治理合作具備可行性。

第二，在合作規范層面，數字貿易協定可嘗試引入跨境金融服務數據風險的合作治理條款。雖然各國金融服務的數字風險程度不盡相同，但各國在治理金融服務數據風險的目標上具有一致性。在數字貿易協定中可將原則性的合作條款納入其中，并探索從信息交換、磋商等程序性條款切入，避免僵化的實體性標準對各締約方增加執行的約束條件，爭取化解各國在市場準入、國民待遇等條款上的分歧［19］。對于國際金融監管，金融穩定理事會（Financial Stability Board，FSB）、國際貨幣基金組織、巴塞爾銀行監管委員會等國際金融監管組織應在前期調研的基礎上，在特定領域內滿足不同類型國家的數據風險監管需求，從而為跨境金融服務數據風險治理制定監管目標與原則，促使各國金融監管機構形成有效的合作治理框架。

第三，在合作領域層面，跨境金融服務數據風險治理應選取跨境支付作為試點領域。數據風險的蔓延途徑之一是跨境支付的擴張。跨境支付涉及資本轉移、數據跨境流動、機構市場準入等［20］，且數字貨幣的支付媒介變革也增加了數據風險的復雜性，因而數字貿易規則的各締約方可在跨境支付領域開展深入合作，協調與金融服務數據風險相關的數字貿易規則。在該領域內，國際金融監管機構也已發布多項監管原則和路徑指引。例如，FSB于2021年10月發布的《G20關于加強跨境支付的路線圖——第一份綜合進展報告》。因此，各國金融監管機構可在上述框架下，共同研議、制定跨境支付的數據傳輸標準，在法定數字貨幣的數據治理規則方面達成較為統一的指導性合作協議。

（二） 明晰跨境金融服務數據的監管原則

金融服務創新的迭代速率和各國不同的風險狀況決定了金融服務數據風險的國際監管應以監管原則為主導，使金融服務的監管者與被監管者具有更高的靈活性。

第一，明確混合性監管原則。母國監管機構用實體監管（Entity?Based） 原則，東道國監管機構則用業務監管（Activity?Based） 原則，共同對跨境金融服務供應商進行監管。混合性監管原則能夠結合實體監管和業務監管的優勢，在避免跨境監管套利的前提下，幫助各國監管部門實現金融監管目標。

第二，采納動態性監管原則。國際金融監管組織及各國金融監管機構定期檢視與數字金融服務相關的法律法規，通過反思和迭代，適時改變監管政策。反思和迭代路徑既包括對數據風險政策的執行成效開展調研或總結，也包含對金融科技創新中心、監管沙盒、跨境監管網絡等智能化的政策反饋平臺的監控。例如， 國際金融監管機構于2019 年初設立的全球金融創新網絡（Global Financial Innovation Network） 平臺。相較于傳統的金融監管，該平臺更加注重加強監管者與被監管者之間的互動與交流，為增強信息技術在數據監管領域的應用提供空間。同時，還可提供跨境金融服務產品，提高數字金融的普惠程度。

第三，以自主性原則搭建監管職權分配模式。該原則主要以單邊承認制度決定國內監管規則，即一國可根據跨境金融服務供應商母國的監管制度與本國監管制度的相似性，自主決定是否單方面豁免跨境金融服務供應商適用其規則，在實踐中，通常變為替代合規制度［21］。單邊承認制度可依托各國跨境金融服務數據監管規則的相似性克服共享模式下的業務地域認定難題和通行證模式下的監管“逐底競爭”弊端。而且，單邊承認制度在賦予各國金融監管機構自主權后，通過監督、促進與交流，共同推動跨境金融服務數據監管規則的變更，以應對跨境金融服務的革新，最終有助于在區域范圍內形成規則趨同。

（三） 硬化跨境金融服務的數據軟法規則

單純依靠監管原則難以約束各成員國家（地區） 有效實施防范數字金融服務數據風險。因此，應通過國際金融軟法的“事實硬化”督促成員國家（地區） 履行。作為“次貸危機”后全球金融治理的核心，FSB需在充分吸納發展中成員國家（地區） 意見的基礎上，聯合專業性國際金融監管組織，討論跨境個人金融信息保護和跨境金融服務數據壟斷等方面的監管原則和技術標準［22］。各成員國家（地區） 雖然可對軟法部分自行選擇實施，但在提出保留意見的情況下，成員國家（地區） 內部的實施標準不得低于FSB的最低金融監管標準［23］。在具體實施層面，FSB可根據監管標準及各成員國家（地區） 金融市場的差異，為各成員國家（地區） 設置差異化的不遵守就解釋（Comply or Explain） 半強制性義務，規定不遵從上述標準的成員國家（地區） 應履行合理且充分解釋的法定義務［24］。倘若該成員國家（地區） 拒絕解釋或解釋無法通過FSB的審查，則可將其列入不合作國家（地區）（Non?Cooperative Jurisdiction，NCJ），并對該成員國家（地區） 的金融機構施行更為嚴格的監管標準［25］。

除對成員國家（地區） 增加義務外，國際金融監管組織亦可設置功能與地域的分類分級標準，將同時滿足特定標準的跨境金融服務供應商，如在特定區域內開展數字貨幣支付業務的機構，或從事壟斷性金融信息服務的跨國機構，直接列為風險治理對象。國際金融監管組織可要求其在跨境服務運營中針對業務程序及相關的信息安全搭建適當的跨境金融服務數據風險評估管理系統，并指導其定期發布數據風險評估的結果。同時，可在信息披露中突出顯著的跨境金融服務數據風險和本機構為防范跨境金融服務數據風險計劃采取的補救措施。若特定跨境金融服務供應商不履行或怠于履行此項披露義務，則可將其注冊地或主要經營地列為NCJ，從國家層面倒逼其履行相關義務。

五、跨境金融服務數據風險規制的中國因應

（一） 積極參與跨境數字貿易規則的制定

為了應對復雜多變的跨境金融服務數據風險，作為數字金融服務蓬勃發展的新興經濟體，中國應積極參與數字貿易規則條款的談判。

第一，中國應主動參與涉及跨境金融服務領域的國際規則研議。在規則制定時，中國應立足于新興經濟體的金融服務創新與風險防范需求，堅持以實現國家金融安全與服務貿易自由化之間的平衡為出發點，深入參與金融服務貿易的規則談判，與美歐等發達國家開展數字貿易規則對話。在規則議定過程中，中國可參考新加坡數字貿易規則，增加非約束性條款的使用比例。在數據本地化條款下為各國預留安全例外的內容，強調雙邊分歧應盡量通過雙邊友好協商的形式解決，利用數字貿易規則領域的例外條款為數據風險的管轄權劃分等事宜提供多邊協作的平臺。同時，新加坡在數字金融服務協定中也強調運用監管科技。例如，在新加坡與澳大利亞的數字貿易協定中將金融科技拓展至監管科技，共同提出使用簡化的許可證程序和監管沙盒［26］。此外，中國應成立包含金融監管機構、金融服務貿易專家和金融風險管理實務專家的數字貿易規則專家組，不定期召開協商會議，通過集體討論的形式向數字貿易規則制定者提交意見。

第二，中國可嘗試在區域層面，尤其是在亞太地區構建數字貿易規則。具體有兩條路徑：一是借鑒新加坡的數字貿易規則，通過制定數字貿易規則并將規則條款或其升級版內嵌于雙邊貿易協定之中，再與其他國家（地區） 簽定貿易協定從而擴大適用范圍［27］。二是基于中國現有的貿易合作區域、組織和區域，如“一帶一路”、亞太經合組織、中國—東盟自由貿易區等，率先制定數字金融服務規則。由于這些國家（地區） 與中國具備長期的貿易合作關系，且在數字金融服務應用上與中國具有較高的相似性，與這些國家（地區） 合作制定數字貿易規則的可行性更大。

（二） 重塑跨境金融服務數據的監管機制

目前，外資金融機構的市場準入逐漸放開，增加了跨境金融服務數據風險的傳染渠道。雖然中國已構建了外資準入審查制度，但僅以準入行業和持股比例作為審查標準已無法匹配金融市場的開放程度，更難以排除跨境金融服務數據風險隱患。因此，中國需在國民待遇原則與最惠國待遇原則的基礎上，構建金融安全審查機制。事實上，國家金融安全問題早已引起國家決策層的高度重視。在黨的十八大之后，中共中央政治局已就國家金融安全開展首次集體學習，“堅持統籌金融開放和安全”也被2023年中央金融工作會議列為金融市場開放的基本要求。在數據安全審查領域，金融安全審查機制的重點審查對象應包括并購發起人為外資的Bigtech，以及被并購者為中國金融基礎設施和第三方支付機構的并購行為。重點審查內容涵蓋上述主體的數據傳輸身份識別、數據傳輸安全保障等。既應避免掌握中國金融服務數據的第三方支付機構被并購為外國金融機構的子公司，也需對主體業務項下的數據安全風險進行有效的評估與檢測。中國可參考美國聯邦金融機構審查委員會（Federal Financial Institutions Examination Council，FFIEC） 的規則，對所有訪問金融機構信息系統和數據的用戶進行嚴格的身份識別，并加強高風險用戶的身份信息識別。關注影響金融機構信息系統、數據、用戶賬戶的跨境服務威脅。基于風險偏好和金融機構容忍度的內部標準，制定接受風險或采取額外補救措施的決定。除在準入、身份識別環節設置審查門檻外，金融安全審查機制還需關注重要金融服務數據目錄的制定、敏感或超過特定數量的金融服務數據跨境傳輸、跨境販賣等行為。

在風險處置階段，中國應加強金融監管的境外執法權建設。正在修訂的《中華人民共和國銀行業監督管理法》、新組建的國家金融監督管理總局為統合跨境金融服務的境外執法權提供規范與主體層面的條件。中國可嘗試在國家金融監督管理總局內部增設信息技術監管司與國際監管司，以法律法規的形式賦予其必要的跨境執法權，使其能夠在跨境金融服務數據風險處置過程中收集必要的證明材料。同時，在具備跨境執法權的基礎上，中國金融監管機構可在職權范圍內與國外貿易機構、金融監管機構合作，通過簽署數字貿易協議、金融監管合作備忘錄，或參與FSB、國際貨幣基金組織、巴塞爾銀行監管委員會等國際金融監管組織的集體性會議，相互交換金融監管信息并請求有效的跨境執法協助，減少跨境金融服務數據風險。

（三） 完善金融服務數據風險的跨境監管手段

第一，中國應將數字化的金融科技企業和金融服務納入金融審慎監管框架。對于金融科技企業，應根據其資本特征、業務模式、風險集聚效應等要素，搭建與之相匹配的審慎監管框架。金融監管應重點關注金融科技企業的內部數據風險管理，包括個人金融信息采集與保存情況、金融服務數據跨境審批、金融服務數據庫網絡安全保護實施情況等。在數據有效性層面，英國金融審慎監管局（Prudential Regulation Authority，PRA） 將金融服務數據的風險管控分為定量數據（監管匯報）、臨時數據和管理信息，其中，管理信息是針對大型金融機構或金融科技企業的風險數據，此類數據的搜集正是為了彌補個別機構在標準化數據（定量數據） 上的缺陷。對于數字化更高、專業性更強的跨境金融服務，中國目前則可通過修訂《商業銀行資本管理辦法（征求意見稿）》等金融規范性文件，將數據、網絡安全等信息技術指標逐漸融入金融機構的資本管理標準之中，最終將其納入金融審慎監管框架之內。

第二，在金融服務數據安全保護領域，中國應盡快制定金融服務領域的重要數據目錄，并且在自由貿易試驗區推行金融服務數據跨境流通的正、負面清單制度。目前，中國在金融領域的重要數據目錄尚未出臺。中共中央、國務院已下發的綱領性文件，賦予上海浦東新區開展對重要數據目錄的先行先試工作。例如，《中共中央 國務院關于支持浦東新區高水平改革開放打造社會主義現代化建設引領區的意見》等。上海浦東新區的金融監管機構可把握重要金融服務數據目錄出臺的契機，制定本地區內的重要金融服務數據目錄，并推廣至全國，防范境外金融機構準入后的數據風險擴散。《上海市落實〈全面對接國際高標準經貿規則推進中國（上海） 自由貿易試驗區高水平制度型開放總體方案〉的實施方案》指出，在國家數據跨境傳輸安全管理制度框架下，金融機構可以向境外傳輸日常經營所需的數據，中國（上海） 自由貿易試驗區臨港新片區也已針對公募基金跨境場景下的一般數據制定清單和目錄。在制定清單和目錄時，國家數據局應聯合中國人民銀行、國家金融監督管理總局、中國證券業監督管理委員會，將跨境金融服務中采集量較大、敏感性較強或涉及國家金融安全的數據列入重要數據目錄，并細化重要數據目錄內的金融服務數據跨境流動。上述目錄的制定應充分考量中國跨境金融服務市場的現實需求和國家金融服務數據安全目標，確保跨境金融服務處在合理的跨境數據流動范圍內。應妥善處理自由貿易試驗區授權、各地規則不統一等細節問題，避免為實現金融服務數據安全目標而阻礙跨境金融機構業務的正常開展。

第三，在國內宏觀審慎監管政策框架下，為了防范系統性金融風險，對跨境金融服務數據的監管還應進一步加強監管科技（Regtech） 的應用。特別在跨境金融服務數據風險預警、度量和監測等領域，Regtech可實時報送金融監管所需的風險信息。同時，Regtech還可基于所收集數據生成智能化報告，由此協助監管機構實現追蹤監管對象變化和監管數據整合的雙重目標，提高審慎監管效率。在生成式人工智能不斷發展的背景下，中國也可嘗試將金融監管工具與生成式人工智能相結合，解決跨境金融服務數據風險治理難題。例如，英國金融審慎監管局近期正在嘗試創建ChatPRA，通過有效的人工智能協調，依托可視化數據（包括建模輸出） 實現跨境金融服務數據風險的有效防控。

（四） 增強中國金融市場制度型開放的法治保障

加強涉外法治建設既是以中國式現代化全面推進強國建設、民族復興偉業的長遠所需，也是推進高水平對外開放、應對外部風險挑戰的當務之急。堅持在法治基礎上推進高水平對外開放，是數字經濟時代防范金融服務數據風險跨境傳染的必然選擇。當前，全球化的金融市場由各國開放的金融市場構成，開放的各國金融市場是國際金融市場的一部分。由于各國金融市場相互開放連接成為全球金融市場，一國市場所生風險易于傳染到境外。特定國家金融市場的風險通常構成風險跨境傳播的土壤，而跨境傳染又轉而成為境外風險輸入國內的渠道。通過連接國際金融法與國內金融法的路徑以探尋規避跨境金融服務內外數據風險治理路徑。在跨境金融市場，國際規則通常需要借助國內規則予以實施，而一國特別是擁有國際規則制定話語權的國家的國內規則會影響國際規則的制定。中國制定有效治理跨境金融服務數據風險的國內法律制度，既可為中國參與金融服務治理國際規則的制定提供基礎，也是打造跨境金融服務數字化法律治理制度中不可或缺的重要組成部分。

六、結語

在數字經濟時代，跨境金融服務的數字化轉型加劇數據風險的發生概率，個人金融信息泄露風險、金融機構業務運營風險、金融服務數據壟斷風險和國家宏觀經濟安全風險已成為跨境金融服務的新式風險。由于各國金融市場間的聯系日益緊密，“便捷”跨境金融服務數據風險的傳播，給國際數字貿易規則與國際金融監管規則的適用帶來挑戰。這不僅凸顯了數字貿易規則碎片化與金融服務主體集合化之間的矛盾，而且突破各國國內金融監管的傳統治理范圍，增加了國際金融監管規則的適用難度和協調成本。為因應跨境金融服務數據風險及其挑戰，本文提出搭建“國際+國內”“貿易+監管”雙層復合型治理路徑。在國際層面，國際協同治理跨境金融服務數據風險，明晰跨境金融服務數據的監管原則并硬化跨境金融服務數據的軟法規則。對于中國而言，應積極參與國際數字貿易規則制定，重塑跨境金融服務數據的監管機制，完善金融服務數據風險的跨境監管手段、增強中國金融市場制度型開放的法治保障。