個人金融數據跨境流動的規制困境與紓解路徑研究

摘 要：個人金融數據跨境流動已成為全球數字經濟不可或缺的一部分，也是全球數字經濟中金融領域合作與發展的重要紐帶。鑒于個人金融數據的特性，我國發布了《網絡安全法》《數據安全法》和《個人信息保護法》等一系列法律，逐步在健全數據跨境流動的法律框架。但現行規制仍面臨缺乏專項的保護立法，法律保護體系不完善以及與國際規則銜接性不足等困境，限制了我國在跨境金融數據流動的發展與國際合作。對此我國應堅持統籌發展與安全的原則，從加速推進專項法律的制定工作、提升法律體系的完備性、深化與國際規則的銜接等方面尋求紓解路徑，為個人金融數據的跨境流動提供切實可行的監管方案，促進個人金融跨境數據安全、合規和高效地流動，加快完善個人金融數據跨境流動體系。

關鍵詞：個人金融數據；數據跨境流動；法律規制；規制困境

一、引言

隨著數字經濟的蓬勃發展，數據要素作為數字經濟時代的核心競爭力，與土地、勞動力、資本和技術等要素一同構成了經濟增長的新支柱。由于個人金融數據具有高敏感性以及高安全性要求的特性，不僅是個人財富和隱私的核心組成部分，更與國家的金融穩定和信息安全息息相關，因此世界各國都格外關注個人金融數據的安全。以歐盟為例，通過實施《通用數據保護條例》（GDPR）來應對個人金融信息泄露與濫用的潛在風險。這一條例規定了對個人數據的收集、存儲、處理和傳輸等方面的嚴格要求，并對違反條例的行為設立了高額的罰款。而且要求金融機構在收集和使用個人金融數據時，必須獲得個人的明確同意，以及必須實施適當的技術和管理措施以保障數據的安全性。同樣的，隨著中國金融市場的不斷發展和個人金融數據跨境流動的速度加快，我國也越來越重視個人金融數據的安全。2021年8月20日，我國頒布了《個人信息保護法》，在個人信息的收集、使用、處理和保護等方面有了更加嚴格和細化的規定。為了對數據流動實施更全面的保護，2021年9月1日我國又頒布了《數據安全法》，其明確了數據安全的范圍、原則、制度和責任，以此確保金融數據在全球化背景下能夠安全、合法地跨境流動。但是從我國現行規則來看，仍面臨著個人金融跨境數據的高效利用與嚴格保護的權衡挑戰。因此，筆者擬梳理現行個人金融數據跨境流動規制的不完善之處，并結合實際國情，探討紓解路徑，以期能夠平衡我國個人金融數據跨境流動的安全性和流動性。

二、優化個人金融數據跨境流動規制的亟需性

（一）保護個人隱私和數據安全

數字貿易的快速興起使得全球數據正以指數級的速度迅速增長，并且所涵蓋的信息類型也日益多樣化。當前在金融數據泄露事件頻發且其影響范圍日益擴大的背景下，不合規的個人金融數據跨境流動嚴重損害了個人隱私權和經濟利益。并且在隱私權的流動、交易、泄露可以創造價值的時候，這會導致個人隱私權被侵犯的可能性增加［1］。個人金融數據包含諸多敏感信息，例如個人身份信息、交易詳情和財產狀況等。人們在日常生活中辦理金融業務時金融機構會收集客戶的各類數據，涵蓋各種個人自然信息，如銀行卡密碼、支付密碼、賬戶登錄密碼等等。在數據跨境流動過程中，接收數據的境外實體可能會濫用這些數據，例如進行未經授權的營銷活動、身份盜竊或欺詐行為，這些都會對個人隱私造成極大的危害。

加強數據跨境流動的監管可以防止數據在傳輸過程中被非法訪問和竊取，確保數據的安全性，以及減少數據被濫用的風險，避免個人隱私被侵犯。歐美等國都在不斷出臺系列文件旨在保護個人在金融數據跨境流動中的隱私權。歐洲在保護個人隱私領域歷史悠久，并且積累了大量的經驗，歐洲理事會在1950年就對政府的個人信息收集和利用進行嚴格監管，實現對個人信息的利用方式、權利賦予、數據分類等明確規范［2］。在互聯網和大數據技術的迅速發展下，個人數據的收集、處理和使用變得日益頻繁，由此也引發了對個人隱私和數據安全的擔憂。最終歐盟在2016年通過了GDPR，并在2018年5月25日正式開始實施。同樣的，美國作為金融數據中心的重要樞紐，也較早的關注了對于個人金融數據的保護。美國不僅在國內出臺各種法案、措施，而且積極參與多邊協定以此保護數據隱私。我國在推動數字經濟快速發展的過程中，也要強化對個人金融數據跨境流動的監管，兼顧數據流動與隱私保護的平衡，以實現兩者之間的協調發展。

（二）應對數字經濟全球化

完善個人金融數據跨境的規制是應對數字經濟全球化的關鍵一步。隨著數據加速在全球范圍內流動，其帶來的數據隱私、數據安全、數據孤島、數據鴻溝，以及數字地緣政治等多重挑戰，嚴重掣肘了數據要素價值的釋放［3］。對于個人隱私和國家數據主權安全的風險也日益凸顯，因此促使各國和地區加快制定相關規則以規范跨境數據流動。為了充分發揮數字經濟的作用以及數據流動的價值，歐洲、美國等國家一直積極推動國際談判進程，牽頭參與制定數據跨境流動的國際協定。但各國（地區）的立法框架和數據保護標準之間有著顯著的差異和分歧，關于個人金融跨境數據流動的基礎性規則尚未形成統一的共識。在國際層面，諸邊協定與貿易協定成為促進跨境數據流動的主要合作形式，在很大程度上都依賴于政府間談判［4］。這些協定通常涉及數據保護、數據本地化、數據訪問和傳輸、數據共享和跨境執法等多個方面，例如在亞太經濟合作組織（APEC）的框架下，中國積極參與了跨境隱私規則體系的構建，這一體系不僅為數據的跨國（境）流動提供了促進機制，同時對個人隱私進行了嚴格保護。此外，在國際數據治理領域，歐盟與美國之間達成了具有里程碑意義的數據隱私框架協議，即歐盟-美國隱私保護框架（EU-US Privacy Shield），為雙方的數據流通提供了明確的隱私保護準則。

需要注意的是，雖然我國也參與了一些國際數據跨境流動規則的談判，但由于我國起步較晚，國內規則尚不完善，在對外的數據主權國際合作上，無論在參與雙邊或者多邊的談判上都較歐美顯得被動［5］。為了提升國際金融數據治理體系中我國的影響力以及充分發揮金融數據跨境流動的潛力，中國應積極加強與其他國家的對話與合作，共同制定符合各方利益的數據跨境流動規則，不僅要順應國際合作與交流的趨勢，還要深刻把握國內發展的獨特性。當前金融領域的數字化進程不斷加速，我國亟須加速構建和完善國內的個人金融跨境數據管理體系，增強個人金融數據管理能力，以此作為在國際金融數據治理領域發揮更大作用的堅實基礎。

三、我國個人金融數據跨境流動的規制困境分析

（一）專項立法缺失

習近平總書記指出：“在當今互聯網經濟時代，數據就是新的生產要素，是基礎性資源和戰略性資源，也是重要生產力。”數據要素跨境流動是釋放數據紅利、打造新發展格局戰略支點的重要支撐。為了充分利用數據要素，保證發展的同時保障數據安全，我國推出了《網絡安全法》《數據安全法》以及《個人信息保護法》等重要法律文件，在數據治理方面的法規體系和法律基礎得到了顯著的加強和完善。但是我國個人金融數據法律規范還是比較混亂，分散在多部法律之中，缺失保護個人金融數據跨境流動的專項法律［6］。例如，《網絡安全法》規定了個人信息和重要數據的境內存儲要求和在特定條件下數據出境的安全評估流程，以及《個人信息保護法》也提出了關于個人信息處理的規定，其中包括個人信息的跨境提供；在中國人民銀行發布的《關于銀行業金融機構做好個人金融信息保護工作的通知》中，確立了個人金融信息跨境傳輸的基本原則，即“一般禁止，例外許可”，這一規定較為粗糙，對例外情形的規定不夠詳盡；《征信業管理條例》重申了個人金融信息跨境流動的原則，但同樣存在規定不夠具體、執行效果偏弱的問題。這些法律法規和標準從不同角度對個人金融數據的保護提出了要求，但缺乏一個統一的、全面的立法框架來專門針對個人金融數據的跨境流動問題。

出現這類問題的原因在于：首先，對于個人金融數據跨境流動的規制中國起步較晚，相應的法律法規體系還在不斷完善和發展中。隨著金融科技的快速發展，新的業務模式和數據處理實踐不斷涌現，這要求法律規范能夠及時更新以適應新的挑戰。其次，個人金融數據跨境流動涉及多個國家和地區的法律法規，不同國家之間的法律差異和監管標準不一致，這給立法工作帶來了很大的挑戰。要制定一項有效的專項立法，需要充分考慮各國法律制度的差異和協調，這需要大量的研究和協商工作。除此之外，個人金融數據跨境流動還涉及隱私保護、數據安全、經濟利益等多個方面，這些方面需要平衡和協調。在制定專項立法時，需要充分考慮各方利益訴求，確保立法既能夠保護個人隱私和數據安全，又能夠促進金融行業的健康發展。

（二）法律保護體系不完善

我國個人金融跨境流動的法律保護體系的不完善性是源自法律法規制定環節的不足，這種缺陷在薄弱的監管機制環節被進一步放大，加上被侵權后救助手段不健全所共同導致。

首先分析法律規制方面的不足之處，從前述可知個人金融數據跨境流動尚無專門的立法。目前過于分散的規范文件難以形成較為完整的治理規則框架［7］。由于我國的金融業實行分業經營、分業監管的模式，每個部門出臺文件的目的、內容都各不相同，因此難以形成統一的全面治理和協同治理體系。這種碎片化的管理方式不僅影響了治理效率，更造成了不同文件之間的規則沖突，從而在一定程度上削弱了個人金融數據跨境流動法律保護體系的有效性和一致性。

其次我國監管機制的體系性有待增強。一方面，由于缺乏統一的監管標準和程序，不同監管部門在執行職能時可能會遇到規則不一致的情況。例如，中國人民銀行可能會根據其制定的規則來監督金融機構的跨境數據流動，然而國家互聯網信息辦公室則可能會依據另一套不同的規章制度來監管互聯網領域的跨境信息流動。這種不一致可能導致金融機構在遵守規定時感到困惑，也會導致監管部門之間的職責界限不明確，出現監管重疊或監管空白的問題。另一方面，監管機構之間的合作機制仍需進一步發展。在跨境數據流動的監管中需要金融監管部門、網絡安全部門以及個人信息保護部門等多個機構的通力合作，協調機制不完善會導致對某些類型的金融數據跨境流動監管不到位，或者對同一類型的數據流動出現重復監管導致金融機構的合規成本增加。

除此之外，還存在救濟措施缺陷的問題。跨境數據流動涉及不同國家的法律體系，當侵權行為發生在國外時國內法律難以適用，而國際法律援助和司法協助機制尚不健全，導致救濟途徑不暢。而且個人金融數據跨境流動中的侵權行為往往技術性較強，受害者難以獲取有效證據，加之數據在多個司法管轄區流轉，使得舉證和認證過程異常復雜。

法律保護體系的缺陷可能使數據在跨境過程中面臨更大的風險。缺乏明確的法律規制和救濟途徑使得數據泄露和濫用的可能性增加。而且監管機構在執行上可能因法律規定的模糊性而難以有效監督和打擊侵權行為，降低了法律的威懾力。當侵權行為發生時受損害方難以獲得充分的法律支持與補償時，這會使得其合法權利無法得到有效的維護。同時，企業可能因合規成本上升而影響其國際競爭力，而消費者對金融服務的信任度也可能因此下降，這些都進一步加劇了跨境數據流動的法律風險，影響了整個金融數據市場的健康發展。

（三）與國際規則銜接性不足

金融數據跨境流動的全球規則制定對于各國在數字產業和治理領域中爭奪領導權具有重要意義。為了推動本國數字經濟的增長以及數據的自由流通，包括美國、歐盟和中國在內的主要經濟體積極地參與到國際協議的制定過程中，力圖推廣自己的數據跨境傳輸規則和標準。在2021年的11月份，中國遞交了加入《數字經濟伙伴關系協定》（DEPA）的申請，展現了中國政府致力于推進數據跨國界流動、加速數字貿易經濟的全面發展的目標。中國在《區域全面經濟伙伴關系協定》（RCEP）的金融數據的跨境流動與處理方面確立了國民待遇原則。這一原則確保了在RCEP成員國之間金融數據的流動不應受到無理的限制，除非出于監管、審慎監管、個人隱私保護或保密性維護等合法理由，是我國規則制定的一大突破。

盡管如此，我國的監管原則與國際立場之間還有著較大的差異性，我國更趨謹慎和保守［8］。例如CPTPP數據跨境流動的例外條款規定允許成員國出于合法公共政策目標而對數據流動施加限制，但必須確保這些限制是合理且公平的，其對限制數據的流動的條件極為嚴格。相較之下，中國對于數據跨境的規定則設置了較多的限制。根據《數據安全法》，關鍵信息基礎設施的經營者在境內運營中搜集和創建的個人資料及關鍵數據都應當存儲在境內。若因業務需求必須將信息傳輸至境外，相關運營者需實施安全性評估。《個人信息保護法》亦對此類情況設定了相似的規定，即在必須跨境傳輸個人信息的場合，應滿足安全評估。參與制定或者申請加入國際規則的必備條件之一是需要使國內制度與國際規則相銜接［9］。因此，我國需要在國際層面增強協作與協調，以促進形成更加一致和明確的國際規則與標準。

四、完善我國個人金融數據跨境流動規制的建議

（一）加速推進專項法律的制定工作

由于個人金融數據跨境流動的規制分散在多項不同的法律法規中，這給跨境金融服務的開展和個人數據保護帶來了諸多挑戰。分散的規制體系導致了法律適用的不確定性，而且也增加了監管的難度和復雜性。并且當今個人金融信息泄露的事件多發，更需要加快專門立法的進程，以建立統一、明確、有效的個人金融數據跨境流動規制體系，來確保個人在跨境金融服務中的合法權益得到充分保障。加速推進專項法律的制定工作是保障個人金融數據跨境流動安全的關鍵舉措。

一方面，立法內容的針對性至關重要。專項法律的制定需要緊密結合個人金融數據跨境流動的實際需求和問題，確保法律條款能夠精準地解決關鍵問題。具體而言，需要深入研究跨境金融服務的現狀和挑戰，分析個人金融數據跨境流動中存在的風險點，如數據泄露、非法獲取、濫用等，并針對性地制定防范措施和監管要求。同時，還需要考慮不同國家和地區的法律體系差異，確保專項法律能夠與國際接軌，促進跨境金融服務的順利開展。另一方面，專項法律的制定需要注重法律之間的協調性和一致性。個人金融信息跨境流動的監管工作覆蓋了眾多法律領域，并由不同的監管機構負責，因此在擬定專門的法規時，必須深入考慮其與現行相關法律法規的銜接和配合。通過加強法律之間的協調性和一致性，可以提高法律的執行效率和監管效果，更好地保障個人金融數據跨境流動的安全和合規。

（二）提升法律體系的完備性

完備的法律體系能夠為個人金融數據流動提供堅實的法律保障，有必要加強對個人金融數據流動法律體系的研究和完善以滿足數字時代的發展需求。針對監管機制缺乏體系性的問題，我國金融數據跨境流動的監管主體分散，且未能實現有效的職能劃分，因此需要建立一個能統籌金融數據跨境流動全局、協調各監管主體職責的機構，能夠協調各監管主體之間的工作，避免監管重疊和盲區，確保監管工作的連貫性和一致性［10］。還可以制定統一的監管標準和程序。例如，可以通過制定更加詳細的操作指南、建立跨部門的協調小組或者制定統一的數據分類標準等方式來提高監管效率和效果。除此之外，推動監管透明度也是改善個人金融數據流動監管機制的重要措施。

另外對于救濟措施存在缺陷的問題。筆者認為可以從以下幾個方面改善：第一，強化跨國法律合作機制。目前，各國在個人金融數據保護方面的法律法規存在很大的差異性，這使得跨境維權往往會面臨法律適用和司法管轄的難題。因此我們需要積極推動國際社會加強合作，制定統一的個人金融數據保護標準。例如，借鑒歐盟的《通用數據保護條例》（GDPR），推動各國在數據收集、使用、存儲和傳輸等方面達成共識，形成國際統一的數據保護規范。當個人金融數據遭受跨境侵權時，受害者可以依據這些統一標準，在任一國家提起訴訟，維護自己的合法權益。第二，完善跨境維權機制，跨境維權還常會遇到程序復雜、維權成本高昂的問題，對此可以構建一個跨國維權的服務平臺，以簡化程序并降低維權成本。類似于《網絡刑事司法協助公約》的國際維權機制，為被侵權者提供便利的維權途徑和法律支持，從而減輕其維權的成本負擔。同時，我們還應加強跨國司法協助，確保跨境侵權案件能夠得到及時、公正的處理。例如，可以建立跨國司法互助協議，加強各國法院之間的合作，共同打擊跨境金融數據侵權行為。最后還要確保被侵權者能夠得到賠償。這樣，一方面可以震懾潛在的侵權者，降低跨境金融數據侵權行為的發生率；同時也為受損害方提供充分的補救措施，以維護其合法權利。通過這些措施的實施，可以為受害者提供更加全面、有效的保護，以此維護個人金融數據的安全和權益。

（三）深化與國際規則的銜接

數字經濟的快速增長使得金融數據跨境成為全球規則制定的重要議題。由于全球各國的經濟發展水平、隱私觀念以及信息技術等都存在顯著差異，同時存在著數據主權、國家數據安全和經濟利益等多重因素的交織，各國之間進行著復雜的博弈，導致了個人數據跨境流動的模式呈現出明顯的立場差異，反映了各國在這一問題上的不同取向和利益訴求，因此全球范圍內尚未制定出一個統一多邊數據跨境協議。為了保障數據的安全和自由流動，以及適應金融市場和監管的實際需求，我國有必要采取國際層面的協調和合作［11］。國際社會一直積極尋求合作機制來推動個人金融數據跨境流動規則的妥協與共識。習近平總書記提出，“主動參與國際組織數字經濟議題談判，開展雙多邊數字治理合作，維護和完善多邊數字經濟治理機制，及時提出中國方案，發出中國聲音”［12］。因而，我國要積極參與甚至引導國際個人金融數據跨境流動規則的探討與制定，為國際數據流動治理體系提供中國智慧和方案。

首先，我國要堅持平衡數據保護和數據流動的原則，既確保個人金融數據安全又最大限度的減少對數據自由流動的限制。我國現行的個人金融數據本地化政策過于嚴苛，不僅加大了金融機構的合規成本，也降低了金融市場活力［13］。對此，我國應該綜合考量國內金融市場的發展、存在的風險、信息技術水平、國際規則等因素循序漸進的放開對個人金融數據跨境的流動，以此更好的釋放跨境金融數據的活力。此外，在進一步與國際規則銜接的過程中，中國應當合理全面地利用解釋手段，包括但不限于文本解釋和目的解釋等［9］。不僅可以更加準確地把握相關國際規則的核心要義，同時也能有助于減少誤解和分歧，確保國內法律規范與相關國際標準之間的兼容性，推動全球數據治理體系的完善。最后，我國應堅持開放包容的態度，推動形成更加廣泛、深入的國際合作，深度參與國際協定的制定過程，加強與其他國家的溝通與協作，展現我國在推動個人金融數據跨境傳輸治理體系改革與完善方面的堅定立場。

五、結語

個人金融數據的跨境流動不僅為全球金融市場注入了新的動力，同時也為各國帶來了前所未有的監管壓力。當今歐美等國在全球數據治理體系中扮演著關鍵角色，歐盟通過實施GDPR，已經成為全球數據隱私保護的典范。美國也通過其在金融和科技領域的領先地位在個人金融數據跨境治理中擁有著顯著的影響力。中國現有的數據跨境監管體系存在著較多的問題，已經對數字產業的流動和發展產生了阻礙。未來，中國應在確保個人隱私權和國家數據安全得到充分保障的前提下，加強與其他國家或地區金融數據跨境規制的合作與交流，推動個人金融數據跨境治理體系的規則制定、標準制定和合作機制建設，在國際上及時提出中國方案、發出中國聲音，積極促進全球個人金融數據跨境治理體系的完善。

參考文獻：

［1］ 馬力.數據跨境流動背景下數據隱私的界定及其性質歸屬識別［J］.科學咨詢（科技·管理），2021（1）：72-74.

［2］ 魏偉珍，陳啟梅，張冬榮.歐美個人數據保護政策及對我國數據保護的啟示［J］.高科技與產業化，2023（10）：38-43.

［3］ 梁宇.中美全球數據治理的分歧、原因與后果［J］.南京郵電大學學報（社會科學版），2024，26（1）：41-50.

［4］ 陳穎，薛瀾.全球跨境數據流動治理的演進與趨勢［J］.國際經濟合作，2024，40（2）：55-66+93.

［5］ 陳斌彬，王斌楠.數據主權視閾下我國數據出境的法律規制及完善［J］.華僑大學學報（哲學社會科學版），2024（2）：49-63.

［6］ 郭德香，李曉豫.我國個人金融數據跨境流動的法治保障［J］.河南財經政法大學學報，2022，37（6）：80-88.

［7］ 郭靂.數字化時代個人金融數據治理的“精巧”進路［J］.上海交通大學學報（哲學社會科學版），2022，30（5）：15-27.

［8］ 張繼紅.金融數據跨境流動的法律監管［J］.數字法治，2023（6）：135-148.

［9］ 葉傳星，閆文光.論中國數據跨境制度的現狀、問題與紓困路徑［J］.北京航空航天大學學報（社會科學版），2024，37（1）：57-71.

［10］ 王永杰，馮佳龍.我國金融數據跨境流動規制研究［J］.安徽商貿職業技術學院學報，2023，22（4）：51-57.

［11］ 李萬強，吳佳芮.金融數據跨境流動的法律規制與中國方案［J］.南通大學學報（社會科學版），2023，39（5）：80-88.

[12] 人民網.加強數字經濟國際合作 推動全球數字治理變革[EB/OL].[2022-09-06].http：//theory.people.com.cn/n1/2022/0906/c405

31-32520239.html.

［13］ 藺捷，田晨.個人金融數據跨境流動規制研究［J］.上海大學學報（社會科學版），2021，38（6）：95-107.