全球視角下的金融數據保護：國際金融中心的挑戰與應對

隨著我國改革開放的持續深化，在構建以國內大循環為主體、國內國際雙循環相互促進的新發展格局的要求下，高質量推進國際金融中心建設已成為一項日益重要的任務。同時，數據作為新型生產要素，在金融業的數字化轉型、智能化升級和現代化治理中發揮著顯著作用。因此，在高水平對外開放的背景下，確保金融數據安全已成為推動國際金融中心建設的關鍵環節。

金融數據保護在國際金融中心建設中的重要意義

加強金融數據保護不僅關乎金融安全和市場秩序，更是提升金融中心綜合實力和國際競爭力的核心要素。深入分析可以發現，在金融全球化和數字化深入發展的時代，加強金融數據保護可以概括為支撐國際金融中心全方位建設的“五個力”。

一是增強市場信心的推動力。金融數據保護是構建市場信任機制的關鍵基石，直接影響國際金融中心的吸引力和競爭力。完善的數據保護體系和清晰透明的數據使用規則能夠有效降低信息泄露風險，保障金融交易的安全性和隱私性，從而增強國內外投資者、金融機構和企業對金融中心的信心。信心是正向預期的基礎。市場信心的增強不僅能夠吸引更多的國際資本和金融機構進駐，還能促進金融創新和業務發展，形成積極的正反饋機制。

二是提升金融監管的約束力。加強數據保護體系的建設可以讓金融監管更加有的放矢。一方面，完善的數據保護體系能夠規范金融機構的數據使用行為，增強監管的針對性和有效性，從而維護金融市場的公平、公正和有序運行；另一方面，通過建立健全的數據保護機制，金融監管部門不僅能夠更加全面、及時地掌握市場動態，提高風險識別和預警能力，還能提升跨境監管合作的效率和深度，為應對全球金融風險挑戰提供有力支持。

三是激活金融發展的創新力。良好的金融數據保護環境為金融科技創新提供了重要支撐。在數據安全得到保障、數據治理規則得到明確的前提下，金融機構可以更加積極地探索大數據、人工智能等新技術在金融領域的應用。同時，完善的數據保護機制還能促進金融機構之間的數據共享和協作創新，形成開放、協同的金融創新生態系統。這種持續創新的能力將成為金融中心在國際競爭中獲得優勢的關鍵因素。

四是加強國際合作的影響力。建立符合國際標準的金融數據保護機制，是深化國際金融合作的重要前提。首先，與國際接軌的金融數據保護機制可以促進跨境數據流動的規范化和便利化，為國際金融業務的開展提供有力支持；其次，在推動建立符合國際標準的金融數據保護機制過程中，金融中心可以通過參與全球金融數據治理規則的制定，在國際金融體系中發揮更大的話語權和影響力；最后，健全的數據保護機制還能增強與其他國際金融中心的互信，促進跨境金融創新和合作，共同應對全球金融挑戰。

五是維護金融穩定的控制力。金融數據安全事關國家金融安全。在金融全球化和數字化的背景下，金融數據已成為國家重要資源。加強金融數據保護能夠有效防范數據泄露、跨境數據不當流動等風險，維護國家金融主權和安全。通過建立健全的數據分類分級管理制度和跨境數據流動審查機制，可以在促進數據有序流動的同時，確保關鍵金融數據的自主可控。這種平衡發展與安全的能力，是國際金融中心在復雜國際環境中保持長期競爭力的關鍵所在。同時，完善的數據保護體系還能夠增強金融體系的韌性，提高應對金融危機和外部沖擊的能力，從而為金融中心的長期穩定發展提供有力保障。

全球視角下金融數據保護面臨的主要挑戰

建設國際金融中心要站在全球視角下統籌開放與安全、發展與安全兩組關系。具體而言，在金融數據保護領域，國際金融中心建設面臨的挑戰可歸納為“內與外”“新與舊”“拓與守”“攻與防”四個矛盾。

一是內與外的矛盾，即本土數據保護需求與國際規則之間的矛盾。這一矛盾體現了金融數據安全保護在國家主權與全球化趨勢之間的張力。各國基于國家安全考慮，傾向于強化本土數據主權保護，制定嚴格的數據保護政策。然而，國際金融體系的互聯互通本質上要求金融數據能夠在安全的前提下自由跨境流動。這種矛盾導致了國內政策與國際規則的沖突，影響了金融機構的跨境業務開展，同時也給國際金融中心的建設帶來了挑戰。在這種情況下，如何平衡國家數據主權與國際金融體系的開放性需求，成為一個需要深入研究的問題。

二是新與舊的矛盾，即技術飛速創新與監管規則陳舊之間的矛盾。這一矛盾反映了全球金融科技發展與監管體系之間的不對稱性。近年來，人工智能、區塊鏈、云計算等新興技術不斷突破金融數據應用的邊界，創造出新的業務模式和數據使用場景。與之相對的是，傳統的監管框架滯后于技術發展，難以及時響應新技術帶來的風險和挑戰。監管滯后性可能導致監管真空，增加金融系統的潛在風險。同時，過時的監管規則也可能抑制創新，阻礙金融科技的健康發展，進而影響本國金融行業的整體競爭力。如何在保障金融穩定的同時不阻礙創新，成為監管機構亟須應對的關鍵問題。

三是拓與守的矛盾，即金融數據業務拓展與隱私保護之間的矛盾。這一矛盾體現了數據價值挖掘與個人權益保護的博弈。金融機構為了提升服務質量、創新產品模式，需要深度挖掘和廣泛應用用戶數據。在需求的驅使下，金融機構不斷拓展數據的邊界，甚至可能突破用戶的隱私底線。與此同時，用戶對個人隱私和數據安全的訴求日益強烈，法律法規對個人信息保護的要求也越來越嚴格。這種矛盾使得金融機構在全球范圍內更加傾向于在金融數據監管規則清晰且完善的國家開展金融創新業務。如何保障金融機構充分利用數據價值的同時，有效保護金融消費者隱私，成為金融數據應用領域的核心監管問題。

四是攻與防的矛盾，即網絡安全威脅提升與防御能力之間的矛盾。這一矛盾反映了金融數據安全防護的動態博弈特性。隨著金融業務數字化程度的提高，網絡攻擊手段不斷升級，呈現出復雜性、隱蔽性和持續性的特點。新型攻擊手段如高級持續性威脅（APT）、供應鏈攻擊等，對傳統的安全防御體系構成了挑戰。同時，金融機構開展跨國業務也面臨更加復雜的國際網絡安全環境。例如，2023年11月，中國工商銀行在美全資子公司遭勒索軟件攻擊，導致部分系統中斷。近年來，針對金融行業的網絡攻擊技術快速發展，對金融體系的穩定性形成嚴重威脅。如何在不斷升級的安全威脅面前，推動金融機構構建有效的防御體系，成為金融監管面臨的又一持續性挑戰。

域外國際金融中心的金融數據保護實踐經驗

作為全球金融活動的樞紐，國際金融中心在金融數據保護方面的實踐不僅關乎其自身競爭力，還對全球金融監管趨勢產生深遠影響。通過分析典型國際金融中心在金融數據保護領域的創新實踐和監管經驗，可以深入了解國際金融中心應對金融數據保護挑戰時的多元策略和前瞻思維，為我國高質量建設國際金融中心提供有益參考。

新加坡：建立高規格金融數據保護標準，兼容其他司法管轄區數據保護要求

目前，全球金融數據治理缺乏統一框架，金融數據跨境流通缺乏統一標準。但是，全球主要經濟體制定的數據保護規則一般會要求數據跨境流動的目的地具備同等程度的數據保護水平。因此，作為國際金融中心，新加坡致力于采取高規格金融數據保護標準，以適應國際主流金融數據保護和跨境流通規則。首先，新加坡《個人信息保護法案》（PDPA）要求跨境數據傳輸的接收方提供與PDPA“可比較的保護”，保持與其他司法管轄區的兼容性；其次，2020年PDPA修正案新增個人數據攜帶權和數據傳輸義務相關內容，與歐盟《通用數據保護條例》（GDPR）等國際標準趨同；最后，引入強制性數據泄露通知制度，與歐美等主要司法管轄區做法一致。此外，新加坡金融管理局積極參與全球中央銀行數字貨幣（CBDC）的全球治理框架和標準體系建設，是國際清算銀行批發型央行數字貨幣項目（wCDBC projects）最多的央行。另外，新加坡還是全球首個數字經濟區域協定——《數字經濟伙伴關系協定》（DEPA）的發起者，盡管其中除有關電子支付的相關條款外，該協定不適用于金融服務。

紐約：動態更新金融數據監管規則，確保與金融領域技術迭代相同步

面對金融科技的快速迭代，紐約努力確保監管框架與行業技術進步保持一致。通過定期審查和修訂網絡安全法規，紐約為金融機構提供最新、最相關的指導，以應對不斷演變的網絡威脅和技術挑戰。例如，紐約州金融服務管理局（NYDFS）已經對2017年發布、2019年全部生效的“網絡安全法規”（23 NYCRR 500）進行了兩輪修訂，分別于2020年4月和2023年11月通過州政府審議通過。通過頻繁更新法規，NYDFS確保了監管框架能夠及時響應金融科技的快速變化，從而更好地保護消費者權益，維護金融體系的安全和穩定。此外，NYDFS在每次修訂后都會公布正式通知和公眾意見評估，為金融機構提供了充分的時間來適應新的監管要求。

倫敦：增強金融機構網絡彈性能力，應對金融體系網絡安全挑戰

當前，網絡安全監管已經從第一代發展到第二代。前者注重建立網絡風險管理方法和控制能力，后者引入了“假定被攻破”的思維模式，更注重提高網絡彈性能力，為金融機構和監管機構提供管理網絡風險的工具。作為國際金融中心，倫敦高度重視金融體系的網絡安全和運營彈性。英國監管機構采取了一系列措施，旨在提升金融機構的網絡彈性能力，以應對日益復雜的網絡安全威脅。首先，建立“受控、定制化、情報驅動的網絡安全測試”（CBEST）測試框架，評估系統重要性金融機構的網絡彈性。英格蘭銀行、審慎監管局（PRA）和金融行為監管局（FCA）共同實施CBEST項目，通過情報主導的滲透測試方法，模擬網絡攻擊者行為，評估金融機構重要業務服務的網絡彈性。其次，制定全面的網絡彈性監管要求，涵蓋網絡安全戰略、事件響應和恢復計劃、威脅情報共享、彈性測試、第三方依賴性風險管理等多個方面。最后，推動行業合作和情報共享，通過發布CBEST主題報告，將監管項目中獲得的經驗教訓廣泛分享給整個英國金融部門。

加強金融數據保護，推動我國國際金融中心建設的建議

一是構建數據安全與開放互聯相協調的金融數據治理框架。建議在保證數據安全的基礎上，積極參與全球金融數據治理規則制定，推動建立多邊互信機制。可考慮在上海自貿試驗區先行先試，探索建立數據分類分級保護制度，對非敏感數據實施更加開放的跨境流動政策。同時，加強與主要金融中心的監管合作，建立數據跨境流動的互信互認機制，在保障國家安全的前提下，促進金融數據的有序流動。此外，可借鑒上海臨港新片區數據跨境服務中心的經驗，探索金融版本的數據跨境流動“綠色通道”模式，為金融機構開展跨境業務提供便利。

二是建立適應金融科技創新的動態監管機制。建議通過“監管沙盒”等創新監管工具，為新技術、新業務提供試錯空間。同時，加強監管科技應用，提升監管的智能化、精準化水平。可考慮在上海建立全金融市場的風險管理與壓力測試中心，運用大數據、人工智能等技術提升金融風險識別、預警和處置能力。此外，建議建立監管規則的定期評估和更新機制，確保監管框架能夠及時響應技術發展帶來的新挑戰。

三是完善金融數據價值利用與隱私保護的平衡機制。建議在立法層面明確金融數據的權屬和使用邊界，為金融機構合法利用數據提供法律保障。結合《上海市數據條例》，可考慮在上海臨港新片區內探索法規框架，明確金融機構在數據收集、使用、存儲、傳輸等環節的合規要求。同時，鼓勵金融機構采用隱私計算、聯邦學習等技術，在保護個人隱私的前提下實現數據價值的深度挖掘和利用。此外，可探索建立金融數據授權和收益共享機制，讓用戶更多地參與到數據價值創造和分配過程中，從而在保護隱私和促進創新之間尋求平衡。

四是構建多層次、協同化的金融數據安全防御體系。建議推動金融機構建立縱深防御的安全架構，涵蓋網絡、應用、數據等多個層面。同時，加強跨境金融網絡安全合作，建立信息共享和聯合防御機制。可考慮在上海建立金融網絡安全協同創新中心，整合金融機構、安全廠商、研究機構等多方資源，共同應對復雜的網絡安全威脅。此外，建議加強金融關鍵信息基礎設施保護，建立常態化的安全評估和演練機制，提升金融體系的整體安全韌性。

（周道許為清華大學五道口金融學院金融安全研究中心主任，陳放為清華大學五道口金融學院金融安全研究中心研究專員，蔣斯凡為中國國際金融公司研究部分析員。責任編輯/王茅）