個人金融數據跨境流通監管轄制

摘" 要：隨著數字科技與金融服務深度融合，個人金融數據跨境流動趨勢急劇擴大。為有效管理數據流動，全球各國通過法律體系加強對個人數據跨境流動的監管，旨在有效管理本國數據資源。然而，當前我國傳統的金融分業監管模式已無法適應這一變化，導致在個人金融數據跨境流動監管方面面臨諸多困難。通過分析分業監管與數據流動之間的制度沖突，并在此基礎上，提出在我國現有法律框架下，調整傳統監管模式，實施統一監管，以平衡數據保護與流動自由之間的矛盾，從而提高跨境數據流動的監管效果。

關鍵詞：個人金融數據；數據跨境流動；金融規制；分業監管

中圖分類號：D996

文獻標識碼：A

doi：10.3969/j.issn.1672-2272.202411107

基金項目：海南省哲學社會科學規劃課題“自由與安全視角下自貿港跨境數據流動監管研究”（HNSK（QN）24-92）

作者簡介：程千帆（1998-），男，海南大學法學院碩士研究生，研究方向：國際經濟法、數據法學、人工智能治理；張曉萍（1990-），女，博士，海南師范大學法學院副教授，研究方向：跨境數據流動、知識產權。

Regulatory Jurisdiction Over the Cross-Border Flow of Personal Financial Data

Cheng Qianfan1， Zhang Xiaoping2

（1.School of Law， Hainan University， Haikou 570228， China; 2.School of Law， Hainan Normal University， Haikou 571158， China）

Abstract：With the deep integration of digital technology and financial services， the trend of cross-border flow of personal financial data has expanded dramatically. In order to effectively manage data flows， countries around the world have strengthened the regulation of cross-border flows of personal data through their legal systems， aiming to control their own data resources. However， China’s traditional financial regulation model has been unable to adapt to this change， resulting in many difficulties in regulating the cross-border flow of personal financial data. This paper analyzes the institutional conflict between the separation supervision and data flow， and on this basis， proposes to adjust the traditional supervision mode and implement unified supervision under the existing legal framework in China， so as to balance the contradiction between data protection and freedom of movement， so as to improve the supervision effect of cross-border data flow.

Key Words：Personal Financial Data; Cross-Border Data Flows; Financial Regulation; Separate Supervision

0" 引言

隨著數字經濟快速發展，個人金融數據跨境流動成為全球金融體系的重要議題。金融數據跨境流動推動了全球金融市場的融合，但也帶來了數據安全、隱私保護和國家安全等一系列挑戰。在推動數據自由流動和加強數據保護之間尋求平衡，已成為各國面臨的重要問題。

國內外學者和政策制定者圍繞這一問題展開了廣泛研究。國外，歐盟通過《通用數據保護條例》（GDPR）嚴格規范數據跨境流動，強調個人隱私保護；而美國則主張數據自由流動，以促進全球數字經濟開放；與此同時，俄羅斯等國家則更注重數據主權，實施數據本土化政策，限制數據跨境流動［1］。

國內方面，隨著我國金融市場開放和數字經濟興起，個人金融數據跨境流動的監管問題日益凸顯。我國傳統的金融分業監管模式已無法適應這一變化，導致監管體系在面對跨境數據流動時缺乏協調性和有效性。現有監管框架存在一定的制度沖突，尤其是在數據保護和自由流動之間的平衡問題上，仍缺乏有效的法律和技術支持［2］。

基于以上背景，本文旨在研究我國個人金融數據跨境流動的監管問題，分析當前分業監管模式的不足，通過借鑒國際經驗以及結合我國實際情況，提出適應中國國情的監管框架，以期為未來的跨境數據流動提供理論依據和政策建議。

1" 我國分業監管格局存在的問題

受限于傳統個人金融數據監管的局限性思維，歷史背景下形成的分業監管格局在現實適用中存在諸多不足，其主要表現為根本性制度沖突、現實性監管困難、制度性監管乏力。

1.1" 分業監管的制度沖突

1.1.1" 分業間監管標準未形成一致性

我國金融分業監管模式下，各監管部門職責分工不明確，導致在金融數據跨境流動的監管中缺乏統一標準。銀行、保險和證券等行業的監管機構各自為政，協作不足，導致跨境數據保護措施不一致，增加了監管盲區和數據流動風險。例如，我國的《數據安全法》（2021）引入數據分級分類管理作為行業治理的依據，但在實際執行中，數據治理與分級標準間缺乏協同。中國人民銀行發布的《個人金融信息保護技術規范》（2020）（以下簡稱《技術規范》）中C3類數據雖被定義為高度敏感，但其風險評估范圍局限于主體財產信息，未觸及國家或公共社會層面的影響。而中國證監會公布的《證券期貨業數據分類分級指引》（2018）（以下簡稱《證期數據指引》）中，對風險評估要素和影響程度的考量也未充分覆蓋國家和社會風險。此外，國家互聯網信息辦公室實施的《數據出境安全評估辦法》（2022）未針對不同類別的數據設立差異化標準，導致難以根據風險級別采取相應的規制措施。這種缺乏一致性的監管模式使得跨境數據治理中的法律適用混亂，既無法明確數據流動的合法性和安全要求，也無法有效應對部門規范間的制度沖突［3］。

1.1.2" 數據治理體系未形成整體性

我國當前的數據治理體系因傳統分業監管的局限性而顯得較為松散，缺乏統一的“金融數據治理法”［4］。涉及金融數據治理的文件和標準多達10余項，但缺乏有效協同，治理目標和策略存在差異。例如，《中華人民共和國民法典》（2021）僅規定了信息披露需明確“目的、方式和范圍”，而中國人民銀行發布的《金融消費者權益保護實施辦法》（2020）（以下簡稱《消保辦法》）則加入了“內容和可能后果”的相關要求。這種不一致導致金融機構在實際執行中經常面臨困惑。此外，現行法律法規的層級不一，法律效力較低。《消保辦法》作為部門規章，覆蓋面有限，主要適用于金融行業，而《技術規范》則側重消費者保護，兩者均未能充分體現統一的金融數據治理原則。這種規則分散且效力不一的現狀，削弱了數據治理的整體性和實效性。

1.2" 分業監管的現實困難

1.2.1" 數據處理主體加速擴張

近年來，隨著全球金融市場快速發展，特別是在跨境支付和數字貨幣領域，數據處理主體呈現加速擴張趨勢，涵蓋銀行、支付服務提供商、科技公司等多種類型。金融科技企業的迅速崛起，推動了跨境支付與數據處理業務的規模化和全球覆蓋范圍的擴大。2019年《美國—日本數字貿易協定》明確，將金融服務提供者的定義擴展至包括傳統金融機構和其他受監管的服務企業。然而，我國現有的17個自由貿易協定中并未對個人金融數據跨境轉移作出明確規定，也缺乏對數據處理主體的清晰界定。2020年，中國人民銀行發布的《技術規范》首次提出，將持牌金融機構以及涉及金融數據處理的其他機構定義為金融業機構，并要求所有金融服務提供者，包括提供技術支持的非金融機構，遵循統一的監管規范［5］。然而，我國的《網絡安全法》（2017）及其他技術規范對銀行業、保險業等領域的監管義務存在差異，未能覆蓋非傳統金融機構的數據跨境行為。我國亟須進一步完善法律法規，明確金融數據處理者的概念和范圍，構建統一協調的監管框架。

1.2.2" 跨境數據流動隱蔽性加深

隨著加密技術和數據流動技術的進步，跨境數據流動的隱蔽性顯著加深。數據通過復雜的網絡節點和多層次的加密方式傳輸，增加了監管部門追蹤和識別數據流動的難度。尤其是在跨境金融交易中，數據流經多個國家和地區，增加了隱蔽性和監管挑戰。數據主權要求一國可以自主獨立進行數據處理，但在當前的國際貿易交流中，跨域數據流動根深蒂固，跨域貿易與交流涉及多方參與和協商，這種多邊參與加大了數據監管的困難度和冗雜性。依據IDC的預測，2025年全球數據總量將增長至175ZB（1ZB=10萬億億字節），而這一數據在2023年僅為32.85ZB［6］。全球數據總量的快速膨脹也預示了數字經濟背后的巨大市場潛力，而數據作為新時代經濟增長的動力引擎，在提振經濟、增強國家競爭力等方面的作用愈加重要。將國內互聯網金融擴展至跨境互聯網金融領域，此時的數據信息在跨域流動中將進入到各個國家，現實的數據監管情況也將愈加復雜。在網絡技術空前發展、數據全球化的現實背景下，全球數據信息的交匯流通將使得數據跨境流動成為時代必然。

1.2.3" 跨境數據流量增長背景下的監管困境

全球跨境數據流量在過去十年增長了超過10倍，特別是自2018年以來，全球數據總量的年復合增長率將達到26.9%。預計到2025年，全球數據總量將達到175 ZB，跨境金融數據占據較大比例［6］。這一指數級增長反映了全球數字經濟的快速發展與跨境業務需求的增加。然而，跨境數據流動的快速增長也帶來了諸多監管挑戰。監管標準不統一使得跨境數據流動分業監管難度加大。2023年《規范和促進數據跨境流動規定（征求意見稿）》發布，旨在解決數據出境安全評估和合同備案問題，并豁免少量個人信息的評估備案，以降低企業合規成本。然而，該規定也增加了事中事后監管難度，且可能對敏感個人信息的監管標準放寬。特別是國家互聯網信息辦公室公布的《促進和規范數據跨境流動規定》（2024）與《數據出境安全評估辦法》（2022）的沖突，表明維持傳統金融監管強度在跨境數據流動中面臨挑戰。隨著網絡與現實世界的融合，海量數據的分類監管成為緊迫需求。目前，我國在金融數據跨境流動和分類監管方面的不協調，加劇了預測個人金融數據流動風險的難度。

1.3" 分業監管的無序現象

1.3.1" 分業分權下的權責不清

金融監管模式主要分為統一監管和分業監管兩種。統一監管有助于實現規模效益和降低監管成本，但其單一結構難以有效整合監管目標，且存在官僚化、低效和監管真空等問題。分業監管則有利于促進金融創新，但容易產生監管交叉、管轄爭議和“監管套利”等問題，難以有效應對系統性風險。我國的金融監管模式經歷了多次變革。從新中國成立初期的央行統一監管，到“一行三會”的分業監管，再到2018年銀監會與保監會合并為銀保監會。最終，2023年5月銀保監會更名為國家金融監督管理總局，形成了現行的“一行一局一會”模式。盡管分業監管促進了行業發展，但也導致了監管職能分散、權責不清等問題，亟須進行有效整合和優化［7］。

1.3.2" 分業分權下未形成統一監管制度

金融市場的不斷發展和金融創新的實踐深刻影響著一國的金融監管模式。新中國成立初期，由于我國金融市場尚未市場化，金融監管由人民銀行一家負責，承擔著“金融監管、市場調控、微觀銀行”三重職能。隨著我國金融市場逐步建立和經濟建設推進，金融監管職能也逐步分化，人民銀行職能逐漸轉向央行職能，專注于宏觀金融調控。而在金融市場日益繁榮的過程中，分業監管模式逐漸成為主流，這一轉變標志著金融行業的細分化，使得央行難以對整個市場進行有效的全面監管。

為解決監管職能重疊和監管真空問題，2023年5月，由人民銀行、國家金融監督管理總局和證監會三大機構組成的國家金融監督管理總局，分別負責金融監管標準的制定、銀行及非銀行金融機構的監管，以及證券市場主體的監管［8］。然而，由于缺乏統一的“金融數據治理法”和專門負責數據內容審核的部門，導致在跨境數據流動的監管中，職能錯位、監管交叉和責任不清等問題依然突出。金融監管部門之間的“九龍治水”現象，導致了監管效率低下，執行力受到影響。

例如，《個人信息保護法》（2021）和《數據安全法》在數據處理處罰方面存在交叉，且兩部法律的位階差異使得適用法律時產生沖突。盡管《個人信息保護法》規定了更高的罰款上限，但《數據安全法》對相同問題的處罰范圍卻不同，這使得實際操作中難以明確適用的法律規定。此外，《個人信息保護法》第50條規定的信息主體訴訟條件過于狹窄，僅限于“拒絕行使權利”時提起訴訟，實際上限制了信息主體的救濟范圍。各部門的規章和文件雖然在某些方面有明確規定，但在執行過程中，缺乏可操作性和實踐效用，導致數據治理規則的適用存在困難。

1.3.3" 分業分權未能覆蓋新興業態

從我國當前的金融市場融資來看，間接投融資發展顯著高于直接投融資，盡管央行在我國最早開展金融數據監管，但隨著金融市場發展和混業經營的深化，新興金融業態體系進一步加大了金融數據治理難度，而央行受限于傳統金融治理限制只能在銀行業以及征信管理等領域推進治理。總的來說，當前我國在金融市場監管的整體層面上缺乏負責主管金融數據治理的專門部門，這也是導致同一金融事項往往需要同時滿足兩個以上金融監管部門合規要求的根本原因，無形增加了受監管主體的合規成本［9］。

綜上，如前所述監管格局受到跨境數據流動的沖擊將大大影響其監管效果。這是由于數據和信息的頻繁跨境流動引起的必然結果，分業監管在對內監管時能發揮其優勢，但對外進行監管時難免捉襟見肘。因此，個人金融數據跨境流動分業監管需要進行調整。

2" 個人金融數據跨境監管流動的特殊性

個人金融數據跨境流動的特殊性表現在國家安全、市場需求以及個人隱私保護等多個層面。這些特殊性直接影響了數據跨境流動的監管設計［10］。在國家層面，數據主權與跨境數據自由流動的沖突使得監管政策需要在數據安全與全球化之間尋求平衡。在市場層面，國際化業務的需求推動了數據跨境流動的加速，這對現有監管框架提出了更高的要求。這些分析為后續提出統一監管框架和政策建議提供了理論依據。

2.1" 國家層面

2.1.1" 維護國家金融安全

伴隨著金融數據跨境流動呈指數級的快速增長，以美國為代表的科技發達國家憑借其在數據分析、處理、儲存等方面的技術優勢，通過大型金融數據分析平臺試圖阻斷數據權益在全球的平衡分配，搶占數據紅利，為中小金融科技機構設置障礙；又或者通過對他國的脫敏或未脫敏金融數據進行非法收集以維持其數據霸權，對國內金融市場和我國數據主權形成了極大威脅。而國家金融安全的維護目標在于確保國家的金融利益不受侵犯，保護國家的金融主權不被侵蝕破壞。個人金融數據作為整體金融數據體系的核心部分，不僅關系到個人隱私、企業機密、社會管理，甚至關乎國家安全，他國甚至可以通過跨國訂單數據來推測一國購買力、行業經營情況等。

2.1.2" 夯實數據主權應對他國長臂管轄

全球各國對跨域金融數據流動的規制不盡相同，部分國家通過立法強化對數據流動的控制，并施加長臂管轄［11］。例如，歐盟《通用數據保護條例》（GDPR）擴大了管轄范圍，對未設實體但向歐盟居民提供服務或監測其行為的非歐盟企業施加數據保護義務；《GDPR適用指南》進一步明確，無論企業設址何地，數據處理活動均需符合GDPR規定。美國《CLOUD法案》同樣通過跨境數據管控，授權政府獲取全球范圍內由美國企業控制的數據。為應對他國擴展數據管轄權并保護個人金融數據，我國需加強數據主權建設，制定有效的保護機制，防止敏感數據被不當獲取。

2.2" 市場層面

2.2.1" 金融市場國際化與數據安全的平衡

我國金融市場正加速雙向開放，以滿足國際化及數據化的需求。國務院金融穩定發展委員會于2019年推出的11項對外開放政策，允許外資設立評級機構、投資商業銀行理財子公司、與中資銀行或險企共設外控理財子公司等。然而，金融市場進一步開放帶來了數據安全隱患。一些境外機構通過非法手段（如網絡爬蟲）獲取國內金融市場的大量數據，并將其用于非法貸款風控或債務催收等活動。因此，在推進開放政策落實的同時，亟須加強監管，制定明確的指引和實施細則，以規范金融數據跨境流通行為，確保數據安全。

2.2.2" 個人金融數據保護與市場誠信監督

金融法的核心在于促進信息透明、糾正信息不對稱并明確數據處理的邊界［12］。在互聯網金融時代，個人金融數據的保護已成為跨境數據流動監管的重要組成部分。金融機構對市場和客戶數據的依賴是確定其風險敞口的關鍵，例如通過收集交易數據來報告可疑交易并配合金融情報機構的工作。因此，建立有效的監管機制是確保個人金融數據安全流通和維護市場誠信的關鍵。監管部門應強化對金融機構及相關企業的監督，確保其依法合規運營，并對違規行為進行及時處罰，以維護金融體系的健康發展。

2.3" 其他層面

2.3.1" 維護數據主體的合法權益

金融全球化的深化使個人金融數據泄露事件頻發，如韓國金融機構信息泄露和馬來西亞凍結匯豐銀行中石油賬戶等案例。這些事件直接損害了金融信息主體的利益，且因跨國司法取證困難和維權成本高，往往難以通過司法救濟實現權益保障。因此，需要制定明確且可操作的規則，既規范跨境數據流動，也確立責任機構，以保障數據主體的合法權益。

2.3.2" 對境外監管與司法行為的必要配合

國際司法與監管行為對金融數據跨境流動的促進作用不容忽視。一些國家要求境外機構提供資金來源、交易記錄等消費者數據，例如美國聯邦法院基于訴訟管轄權要求外國銀行提供境外存儲的金融數據［13］。美國《CLOUD法案》規定，提供電子通訊或計算服務的企業必須按要求提供數據，即使數據存儲于境外。此外，為打擊恐怖主義和洗錢等跨國犯罪，不少國家通過雙邊或多邊協議要求他國金融機構提供相關數據。因此，個人金融數據的跨境監管需要在保障本國數據主權的同時，與國際監管和司法實踐保持必要的配合。

3" 域外參考：他國監管模式的有效性分析

近年來，國際協定推動了跨境數據流動的新趨勢。CPTPP（《全面與進步跨太平洋伙伴關系協定》）和RCEP（《區域全面經濟伙伴關系協定》）減少數據壁壘，促進數字服務貿易；歐盟通過GDPR設立隱私保護高標準；美國以USMCA（《美墨加協定》）推動數據自由流動；俄羅斯則強調數據本土化以確保國家安全。這些實踐為中國跨境數據流動監管提供了重要借鑒。

3.1" 以主張跨境自由流動為前提的美國模式

3.1.1" 以自由流動為基礎

美國的數字化和信息化發展全球領先，在風險可控的前提下，其主張金融數據跨境自由流動，以實現數據流動帶來的巨大經濟效益。其立法模式采取分散化結構，涵蓋公私領域及聯邦與州級立法，重視隱私保護與公共利益的平衡。例如，《隱私權法》（The Privacy Act of 1974）規定了政府獲取個人信息的權限；《電子通訊隱私法》（ECPA 1986）限制了公共部門未經授權的監聽通訊權限。在私人領域，立法依據行業特性制定了針對性的規則，如《公平信用報告法》與《金融服務現代化法》（Financial Services Modernization Act of 1999）［14］通過分行業的數據存儲和跨境流動規定，細化對個人金融數據跨境流動的監管。結合中國金融分業監管模式與跨境流動實踐，美國的經驗對推動我國跨境金融數據的共享提供了參考。

3.1.2" 以行業自律為根本

美國利用其先進的信息產業，發展了獨特的行業自律模式，逐漸形成各類行業組織。這些組織制定行業準則和隱私執行標準，指導數據流動管理。例如，美國在線隱私聯盟（Online Privacy Alliance， OPA）等涉及商業秘密和服務客戶飲食保護的組織在關于商業秘密和消費者保護上，推出行業指引和隱私認證等標準。如OPA在1998年發布的《在線隱私指引》要求成員符合既定保護標準，結合聯邦貿易委員會的隱私保護原則，制定相關規范，確保成員達到審核標準［15］。這種自律規則加強了個人數據跨境流動的管理。

3.1.3" 以國際締約為轄制

通過國際協作，美國提升了其在跨境數據治理領域的影響力。以跨境隱私保護規則（CBPR）為基礎，美國通過雙邊及多邊協定，如《美日韓自由貿易協定》與《美墨加協定》（USMCA），實現跨區域數據流動的擴展。同時，與歐盟合作建立了一系列隱私保護機制，如《隱私盾框架》和《歐盟-美國數據隱私框架》（DPF），通過“充分性決定”推動歐美間數據的自由流動。這樣的協定不僅強化了美國的法律影響力，也擴大了其對全球企業數據傳輸規則的控制權。

綜上所述，美國在跨域數據流動治理方面通過締結國際協議實現長臂管轄，拓展法案的境外治理能力。通過特定法案加強域外數據控制，降低跨域數據治理的門檻，擴展對全球企業的司法調取權限。此外，美國通過加強對個人數據相關外資企業的審查，保護國民數據主權，并通過自主數據治理排除外國競爭者。其形成的監管模式是“分業監管，事后追懲”，通過靈活的跨境數據規則促進數據流動，侵權時則采取司法追責。

3.2" 人權和隱私權保護先行的歐盟模式

3.2.1" 以人權優先為原則

歐盟以基本人權為政治根本，始終強調公民隱私保護，在數據跨境治理體系設置中貫徹此原則。通過推動數據保護立法，歐盟試圖在內部消除障礙，促進數據自由流通。《里斯本條約》等核心條約的修訂強化了數據治理框架，為統一內部數據治理體系奠定基礎。《服務貿易總協定》成為服務貿易透明自由的根本保障，支持歐盟在數字領域建立單一化市場，形成對外統一的全球競爭策略。此外，歐盟《通用數據保護條例》（GDPR）設定的隱私保護標準為中國在加強個人數據保護方面提供了重要參考。

3.2.2" 以完善的法律體系為保障

自20世紀80年代起，歐盟陸續推出一系列涉及個人數據保護的法案，如《關于個人數據自動化處理保護公約》《歐盟基本權利憲章》《電子通信領域個人數據處理和隱私保護指令》等，明確了跨境數據處理規范。2018年，GDPR標志著歐盟數據保護法制的重塑，提出了數據轉移權、被遺忘權等新權利，顯著擴大了歐盟的域外數據管轄范圍。GDPR要求，個人數據通常只能流向具有同等數據保護水平的國家（如阿根廷、加拿大），否則需獲得數據主體同意或滿足特定條件。各成員國基于這些框架制定了本國相關法律，如法國《云計算數據保護指南》和德國《聯邦數據保護法》［16］。此外，歐盟細化了充分性保護認定、安全保障等措施，構建了完善的數據跨境流動管理體系。

3.2.3" 以集中審查、獨立監管為規制路徑

歐盟采用聯盟集中審查與成員國獨立監管相結合的雙層監管模式。聯盟層面，設立數據保護委員會和歐洲數據保護專員公署，負責監督成員國立法和執法效果，并協調各國監管機構。成員國層面，各國設置獨立的數據保護機構，如法國國家信息自由委員會（CNIL）等，負責執行歐盟政策并進行數據侵害救濟。這一體系形成了“聯盟指導－成員國監管”的協同機制。在跨境數據治理中，歐盟維持“充分性保護”認定原則，通過約束性企業規則（BCRs）、合同標準條款和國際協議等措施確保數據流動安全，同時以數據主體明確同意、履行合同義務或公共利益為跨境數據傳輸基礎，實現數據的“事前保護”［17］。

綜合來看，歐盟將個人數據視為一項基本權利，堅持“人權與隱私優先，其次是數據自由流動”的原則。其“第三國評估模式”要求根據接收國的數據保護水平進行充分性評估，考量因素包括法治水平、數據保護機構的存在及國際條約參與情況。此外，《關于內部市場的支付服務指令》規定，銀行可在客戶授權下向第三方支付機構開放信息，但需遵守審慎監管。這一監管模式結合聯盟統一監督與成員國獨立執行，不僅實現了監管協調，還有效平衡了數據流動自由與隱私保護。

3.3" 國家安全優先的俄羅斯模式

3.3.1" 以國家安全為根本訴求

俄羅斯以國家安全為核心訴求，將數據視為公共當局需集中管理和控制的共享資源。在這種模式下，金融機構及個人數據處理者的控制權受到嚴格限制，以保護數據生成者的利益。俄羅斯的數據治理以限制數據流動和本地化存儲為主要特點，確保數據跨境流動的安全性和國家主權的完整性。早在2006年，俄羅斯通過《關于信息、信息技術和信息保護法》與《俄羅斯聯邦個人數據法》，對個人數據的跨境傳輸設定了嚴格的保護要求［18］。這些法規明確安全閥條款，允許國家機關出于國家安全考量限制或禁止數據跨境傳輸。在“棱鏡門”事件引發全球網絡安全關注的背景下，俄羅斯于2014年修訂立法，進一步強化數據存儲和處理的本土化要求，并明確規定數據處理不得危害國家安全或公共利益。2016年的立法更新還將金融隱私保護納入國家安全范疇，加強了對信貸領域隱私侵權的監控。

3.3.2" 以高頻修法應對數據格局

面對國際形勢的快速變化，俄羅斯通過密集的立法活動應對新興數據治理挑戰。從1995年的《關于信息、信息化和信息保護法》到隨后的《聯邦個人數據法》《聯邦安全局法》等，俄羅斯逐步將個人數據治理與國家安全戰略相結合。尤其是在“棱鏡門”事件后，俄羅斯迅速修訂《俄羅斯聯邦個人數據法》，頒布《外國投資法》和《個人數據保護法（2014）》等法規，從安全角度加強對個人數據跨境流動的監管。俄羅斯采取嚴格的行政手段，包括檢查、處罰等，對數據跨境流通施加高壓管理。通過設立專門的保護部門，對數據塊的流動進行全過程監管，確保跨境流動的政策法規得到有效實施。俄羅斯的高頻修法模式致力于通過強化本地化和前置性限制手段，實現國家安全和數據保護的雙重目標。

俄羅斯建立了以強制認證為核心的跨境數據流動管控體系，同時借鑒歐盟經驗，構建數據進出安全通道。通過白名單制度，俄羅斯允許與其簽訂數據流通協議的國家在符合安全要求的前提下，自由進行數據流動。對于未被納入白名單的國家，跨境數據流動僅限于特殊情況，如數據主體明確授權、合同履行需求或保護公民生命健康等緊急情形。此種設計在強化數據保護安全性的同時，也適度保障了數據流動的靈活性。俄羅斯的本土化策略，如要求在本國存儲和處理數據的規定，為其他國家平衡數據安全與流動自由提供了重要啟示。

俄羅斯的跨境數據監管模式以“對外統一監管，對內分業精準監管”為核心。在對外政策中，俄羅斯通過白名單制度和國際條約，限制不安全數據流入；對內則嚴格控制數據源頭，并推動網絡技術和數據產品的本土化使用。此外，通過加強對涉及國家安全領域的外資信息流入的審查，俄羅斯進一步確保了金融、軍事和高科技行業的數據安全。與美國、歐盟相比，俄羅斯的政策立場具有更強的限制性。美國主張數據自由流動以推動全球數據經濟，但在隱私保護上有所不足；歐盟強調數據保護的合規性與國際標準統一，允許在滿足隱私保護要求的條件下促進數據自由流通。而俄羅斯則通過嚴格限制數據流動，以保障國家主權和安全。結合3種模式的經驗，中國在制定自身跨境數據流動機制時，可通過協調數據安全與經濟發展，在確保數據主權的同時，構建靈活的跨境數據流動政策，推動金融數據全球化。

4" 中國金融數據跨境監管制度優化

根據前文分析，當前我國金融數據跨境流動的主要挑戰在于分業監管導致的標準不統一和監管盲區［19］。為解決這一問題，本文建議建立一個由國家數據局牽頭的統一監管框架，統籌人民銀行、國家金融監督管理總局、證監會等部門的職責分工，制定跨境數據流動的統一標準。這不僅能夠增強監管協調性，還能有效保護個人金融數據安全，促進數據在全球范圍內自由流動。同時，借鑒歐盟GDPR的經驗，進一步細化個人金融數據保護的法律法規，確保在數據跨境流動中個人隱私得到充分保護。

4.1" 分業監管模式調整

在2020年之前，我國數據治理模式類似美國，由少數大公司收集并交易消費者行為數據。但隨著“共同富裕”理念的提出和相關立法政策的實施，我國逐漸強調通過中央控制遏制個人金融數據的過度集中。當前數據管理政策的目標包括：①追求社會、經濟和金融穩定，同時維護國家安全；②通過發展內部數字市場，促進創新和增強競爭力。然而，由于尚未形成體系化的數據流動法律框架，完全自由的個人金融數據跨境流通可能進一步惡化國內市場競爭環境，阻礙我國金融業參與國際競爭，并對金融消費者和經濟發展產生負面影響。

為此，我國需從嚴限制個人金融數據跨境流動，并調整監管模式。在實現“事前、事中、事后”全鏈條監管的同時，應適當放寬部分跨境流動規則［20］。建議由國家數據局統一監管與國際協調，人民銀行、國家金融監督管理總局和證監會分別負責宏觀審慎監管、金融機構監管及證券市場監管，形成統一監管與分業監管相結合的模式。此外，政府應從直接治理者轉向規則和標準制定者。

4.2" 明確個人金融數據跨境流動的監管范圍

厘清個人金融數據與個人金融信息的界限是明確個人金融數據范圍的前提。盡管“數據”和“信息”在詞義上存在明顯區別，但部分法規如《個人金融信息保護技術規范》（2020）對個人金融信息已有所界定。個人金融數據可理解為金融機構及管理機構在業務開展和日常經營中產生或獲得的個人信息數據。建議以《技術規范》第3.1條的規定為依據，將持牌機構處理的數據范圍作為判斷標準，堅持持牌經營原則，將位于法律監管真空地帶的非持牌機構業務納入監管范圍，并通過功能監管、行為監管和穿透式監管全面覆蓋“個人金融數據處理”范疇。

結合我國金融行業現狀與國際立法經驗，我國應建立科學、可持續的跨境個人金融數據保護體系。針對不同場景的跨境流動需求，采取差異化保護模式，同時明確各監管機構的職責范圍。建議設立統一的跨境個人金融數據監管牽頭部門，依據《黨和國家機構改革方案》（2023）第三項第十四條，將國家數據局作為國家層面專門負責金融數據流通的機構。國家數據局應協同央行、金融監管總局、證監會、公安部等部門，構建聯合執法機制，統一監管標準。此外，將工信部納入協同治理體系，以防范因科技企業外包服務導致數據泄露或濫用問題。通過強化數據協作與共享，統一個人金融數據監管標準，提升數據出境安全審查效率，防范監管風險，實現更高質效的協同治理。

4.3" 制定統一的監管標準

我國應整合現有信息規范法律體系，解決法律位階較低及交叉沖突問題，完善統一的個人金融數據監管標準。如前所述，歐盟和俄羅斯以安全為核心進行統一立法，有效保障數據流通安全；美國則通過分散式立法，結合綱領性規范，制定個人金融數據跨境監管標準，兼顧全球化與數據治理話語權。我國可參考這些模式，針對不同群體、公私部門及行業，明確立法規范和操作細則［21］。

在立法時需重點考量以下方面：首先，明確個人金融數據保護概念，區分公開與非公開信息，確保保護范圍并促進數據開發。其次，建立聯合監管機制，加強部門協作，提升監管效率與有效性。同時，提高立法可操作性，制定審查內容、風險責任分配及跨境流通條件的具體規定，提供法律支撐。最后，完善權利救濟機制，強化民事賠償與行政刑事處罰。在個人信息侵權中，適用基于過錯推定的舉證責任分配制度，降低信息主體維權難度。對于規模性侵權事件，可由公訴機關提起公益訴訟，強化對個人金融數據的保護。

4.4" 實行個人金融數據分類監管

當前，《網絡安全法》作為我國個人金融數據跨境流通的監管基礎，僅對跨境數據流通提出原則性規定，缺乏具體的實操性［22］。我國個人金融數據的跨境需求主要分為商業和監管兩類：前者指銀行等金融機構因業務需要進行的數據跨境流通；后者指滿足境外分支所在國監管要求的數據披露需求。建議以《技術規范》的分級方式為基礎，結合跨境流動需求進行分類監管，并細化出境審查的標準，包括行業、類別、層次和區域等維度，明確評估主體責任與具體管理要求。

對于商業需求的跨境流動，應滿足以下條件：①業務基礎，即數據跨境流通是為了履行金融消費者合同所必需的；②客戶明示授權；③合法性審查，確保數據符合必要性、合理性及合法性要求；④分支機構與母公司簽訂標準數據保護條款，確保跨境數據的安全性和法律合規。此外，跨境傳輸的個人信息應去除個體識別屬性，確保隱私得到保護。

根據《技術規范》，建議按數據敏感度將個人金融數據分為C3、C2、C1三類。C3和C2類別數據原則上僅可在我國境內儲存，C1類別數據在通過安全評估后可跨境流動。對于C3和C2類別數據，允許根據業務需求設定例外情形，并在進行安全評估后決定是否允許跨境流通。

在跨境司法與執法協作方面，我國應在國際協議中審慎納入數據調取規則，構建便捷的司法和執法取證通道，維護數據安全與國家利益。同時，依托“一帶一路”等國際平臺，推廣中國標準的個人金融數據跨境流通規則，提升我國在全球數字流通領域的影響力，推動國際規則向中國標準靠攏。

5" 結語

個人金融數據跨境流通動是金融機構國際化業務的重要一環，數據無序流動將為行業安全和國家安全埋下隱患。未來，我國在個人金融數據跨境流通規制完善過程中，應明晰個人金融數據跨境流動相關范疇，優化個人金融數據跨境流動具體規制措施，明確相關法律規制范圍，在個人金融數據跨境流動與風險防控之間尋找最佳平衡，為個人金融數據跨境流動提供更有效的監管制度。

參考文獻：

［1］" 何波.俄羅斯跨境數據流動立法規則與執法實踐［J］.大數據，2016，2（6）：129-134.

［2］" 郭靂.數字化時代個人金融數據治理的“精巧”進路［J］.上海交通大學學報（哲學社會科學版），2022，30（5）：15-27.

［3］" 蔣昊禹.金融數據出境行為的合法性認定研究［J］.征信，2022，40（2）：28-35.

［4］" 邢會強.大數據時代個人金融信息的保護與利用［J］.東方法學，2021（1）：47-60.

［5］" 金融標準全文公開系統.個人金融信息保護技術規范［EB/OL］.（2020-02-13）［2025-02-14］.https：//cfstc.pbc.gov.cn/bzgk/detail/？id=0amp;bzId=1856.

［6］" 新華網.鄭偉：促進數據產業高質量發展文件發布，數據存儲成為重點發展方向［EB/OL］.（2025-01-03）［2025-02-14］.http：//www.news.cn/tech/20250103/deaa64fe8cb0405 3a0090514e613287e/c.html.

［7］" 蘇海雨.金融科技背景下金融數據監管模式構建［J］.科技與法律，2020（1）：68-75.

［8］" 崔琳，周方偉，李軍林.統一監管還是分業監管——基于不完全契約的視角［J］.金融評論，2019，11（6）：68-85，122.

［9］" 鄭劍輝.粵港澳大灣區數字金融協同發展對策研究［J］.科技創業月刊，2023，36（7）：131-136.

［10］" 董克，吳佳純，馬廷燦.我國數據出境安全風險要素體系研究［J］.情報理論與實踐，2024，47（6）：49-59.

［11］" 劉妍，冉從敬.金融數據跨境監管的國際策略與中國進路［J］.金融評論，2023，15（4）：109-123，126.

［12］" 朱蕓陽.個人金融信息保護的邏輯與規則展開［J］.環球法律評論，2021，43（6）：56-73.

［13］" 洪延青.“法律戰”旋渦中的執法跨境調取數據：以美國、歐盟和中國為例［J］.環球法律評論，2021，43（1）：38-51.

［14］" 邵國松，黃琪.人工智能中的隱私保護問題［J］.現代傳播（中國傳媒大學學報），2017，39（12）：1-5.

［15］" 李丹.個人數據跨境流動中的隱私權保護之國際沖突與中國方案［D］.北京：外交學院，2022.

［16］" 冉從敬，劉瑞琦，何夢婷.國際個人數據跨境流動治理模式及我國借鑒研究［J］.信息資源管理學報，2021，11（3）：30-39.

［17］" 鐘紅，楊欣雨.金融數據跨境流動安全與監管研究［J］.新金融，2022（9）：38-44.

［18］" 周念利，李金東.俄羅斯出臺的與貿易相關的數據流動限制性措施研究——兼談對中國的啟示［J］.國際商務研究，2020，41（3）：85-96.

［19］" 馬蘭.金融數據跨境流動規制的核心問題和中國因應［J］.國際法研究，2020（3）：82-101.

［20］" 求是.習近平：不斷做強做優做大我國數字經濟［EB/OL］.（2022-01-15）［2025-02-14］.http：//www.qstheory.cn/dukan/qs/2022-01/15/c_1128261632.htm.

［21］" 許多奇.個人數據跨境流動規制的國際格局及中國應對［J］.法學論壇，2018，33（3）：130-137.

［22］" 郭德香，李曉豫.我國個人金融數據跨境流動的法治保障［J］.河南財經政法大學學報，2022，37（6）：80-88.

（責任編輯：周" 媛）