我國金融數(shù)據(jù)跨境流動規(guī)制研究

王永杰，馮佳龍

我國金融數(shù)據(jù)跨境流動規(guī)制研究

王永杰，馮佳龍

（浙江理工大學(xué) 法政學(xué)院，杭州 310018）

近年來，我國數(shù)據(jù)領(lǐng)域立法進(jìn)程明顯加快，初步構(gòu)建了金融數(shù)據(jù)跨境流動規(guī)制基本框架。但現(xiàn)有金融數(shù)據(jù)跨境流動法律規(guī)制尚不完善，表現(xiàn)在立法不夠明確、缺乏可操作性、與區(qū)域協(xié)定不夠兼容等方面，難以滿足跨境流動的現(xiàn)實需要。域外，歐美等國通過簽訂雙邊或區(qū)域協(xié)定的方式爭奪金融數(shù)據(jù)跨境流動規(guī)制主導(dǎo)權(quán)。我國有必要進(jìn)一步完善金融數(shù)據(jù)跨境流動規(guī)制措施，提高立法明確性和可操作性，為實現(xiàn)對接國際規(guī)則、提高國際話語權(quán)打下堅實基礎(chǔ)。

金融數(shù)據(jù)；跨境流動；安全評估；數(shù)據(jù)本地化；法律規(guī)制

一、引言

2022年，全球47個主要經(jīng)濟(jì)體數(shù)字經(jīng)濟(jì)規(guī)模達(dá)到38.71萬億元，較上一年增長5.1萬億元，同比增長15.6%；第三產(chǎn)業(yè)數(shù)字經(jīng)濟(jì)增加值占行業(yè)增加值比重為45.3%。伴隨著跨境貿(mào)易、跨境金融服務(wù)等經(jīng)濟(jì)活動的不斷擴(kuò)張，金融數(shù)據(jù)跨境流動的需求日益增加，大幅提高了全球貨物貿(mào)易，以及金融服務(wù)效率，在金融行業(yè)已成為常態(tài)化業(yè)務(wù)需求。而大數(shù)據(jù)、5G通信、區(qū)塊鏈和云計算等新技術(shù)的發(fā)展帶來傳統(tǒng)金融數(shù)據(jù)的數(shù)字化和信息化，使得以往的監(jiān)管措施已難以滿足現(xiàn)實需要，加上金融數(shù)據(jù)涉及的信息敏感，在進(jìn)行數(shù)據(jù)收集、傳輸、處理、使用時，帶來的風(fēng)險也隨之提高。一旦出現(xiàn)數(shù)據(jù)泄露、丟失、被盜等情況，不僅會對個人隱私安全構(gòu)成隱患，甚至?xí){國家安全，造成難以挽回的損失。“棱鏡門”事件的揭露使得各國不得不考慮如何保護(hù)金融數(shù)據(jù)跨境流動帶來的安全問題。而目前全球統(tǒng)一的數(shù)據(jù)跨境流動規(guī)則尚未形成，各國都在按照自身利益需要制定金融數(shù)據(jù)跨境流動規(guī)則。因此，完善我國對金融數(shù)據(jù)跨境流動的規(guī)制體系具有積極意義。

二、我國金融數(shù)據(jù)跨境流動規(guī)制的立法現(xiàn)狀

隨著《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》（以下簡稱《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》）的施行，我國逐步形成以上述三大法律為主體，以《數(shù)據(jù)出境安全評估辦法》（以下簡稱《評估辦法》）、《數(shù)據(jù)安全管理辦法》等行政法規(guī)和部門規(guī)章為補充的數(shù)據(jù)跨境流動規(guī)制體系。[1]《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》（《數(shù)據(jù)安全分級指南》）、《個人金融信息保護(hù)技術(shù)規(guī)范》《金融消費者權(quán)益保護(hù)實施辦法》等行業(yè)規(guī)范對金融數(shù)據(jù)跨境流動及數(shù)據(jù)本地化做出了更為詳盡的規(guī)定。

（一）數(shù)據(jù)本地化的規(guī)制

我國實行數(shù)據(jù)本地化主要以個人信息安全和國家安全為考量，強制部分?jǐn)?shù)據(jù)在境內(nèi)存儲?！毒W(wǎng)絡(luò)安全法》第37條要求關(guān)鍵信息基礎(chǔ)設(shè)施（以下簡稱“關(guān)基”）的經(jīng)營者在收集和生成個人數(shù)據(jù)和重要數(shù)據(jù)時，必須將其存儲在境內(nèi)。這項規(guī)定的對象是“關(guān)基”的運營者。[2]《數(shù)據(jù)安全法》對數(shù)據(jù)跨境流動做出了更加明確的分類規(guī)定，該法第31條規(guī)定，“關(guān)基”運營者收集和產(chǎn)生的重要數(shù)據(jù)出境應(yīng)遵守《網(wǎng)絡(luò)安全法》相關(guān)要求；其他數(shù)據(jù)處理者收集和產(chǎn)生的重要數(shù)據(jù)出境安全管理辦法，則由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定。[3]《個人信息保護(hù)法》第36條規(guī)定，國家機(jī)關(guān)處理的個人信息應(yīng)當(dāng)在境內(nèi)存儲；第40條要求“關(guān)基”運營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者必須將個人信息存儲在境內(nèi)?？傮w而言，我國數(shù)據(jù)本地化要求對象主要是“關(guān)基”產(chǎn)生或收集的數(shù)據(jù)、特定行業(yè)數(shù)據(jù)，以及個人信息數(shù)據(jù)。

針對金融數(shù)據(jù)本地化，2011年中國人民銀行《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》第6條規(guī)定，銀行業(yè)金融機(jī)構(gòu)在處理個人金融信息時必須在中國境內(nèi)進(jìn)行，除法律法規(guī)或中國人民銀行另有規(guī)定外，不得將境內(nèi)個人金融信息提供給境外機(jī)構(gòu)。[4]2011年中國人民銀行上海分行發(fā)布的《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作有關(guān)問題的通知》也對個人金融信息的處理和保護(hù)進(jìn)行了規(guī)定，在例外情況下，比如為客戶辦理業(yè)務(wù)目的并得到客戶授權(quán)或同意的情況下，可以向海外總行、母行或分行提供個人金融數(shù)據(jù)。2019年中國銀保監(jiān)會《銀行業(yè)金融機(jī)構(gòu)反洗錢和反恐怖融資管理辦法》規(guī)定，銀行業(yè)金融機(jī)構(gòu)在履行反洗錢和反恐怖融資義務(wù)時，獲得的客戶身份資料和交易信息不得非法提供給境外機(jī)構(gòu)，除非法律法規(guī)另有規(guī)定。2020年中國人民銀行《個人金融信息保護(hù)技術(shù)規(guī)范》延續(xù)了中國對金融數(shù)據(jù)出境的管理措施，要求在提供金融產(chǎn)品或金融服務(wù)過程中，收集和產(chǎn)生的個人金融信息應(yīng)在中國境內(nèi)儲存、處理和分析。[4]2021年中國人民銀行《JR/T0223-2021金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》的7.3“數(shù)據(jù)存儲”規(guī)定，我國境內(nèi)產(chǎn)生和收集的金融數(shù)據(jù)應(yīng)當(dāng)在本地進(jìn)行存儲和處理，以確保國家安全和個人信息安全。在我國境內(nèi)產(chǎn)生的5級數(shù)據(jù)應(yīng)僅在我國境內(nèi)存儲，國家及行業(yè)主管部門另有規(guī)定除外。

（二）數(shù)據(jù)出境安全評估的規(guī)制

金融數(shù)據(jù)與個人信息安全、公共利益、國家安全等密切相關(guān)，原則上要求在境內(nèi)儲存，但我國也規(guī)定了允許金融數(shù)據(jù)跨境流動的情形，即在對金融數(shù)據(jù)依法進(jìn)行安全評估后可以出境。數(shù)據(jù)出境安全評估制度是防范流動風(fēng)險的關(guān)鍵一環(huán)，多部法律法規(guī)、技術(shù)規(guī)范都規(guī)定了須經(jīng)安全評估的情形。我國《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》等法律在一般法律層面上規(guī)定了數(shù)據(jù)跨境流動的安全評估要求。例如，《網(wǎng)絡(luò)安全法》第37條規(guī)定：“因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)機(jī)關(guān)制定的辦法進(jìn)行安全評估。”《個人信息保護(hù)法》規(guī)定個人信息處理者向境外傳輸個人信息的條件，包括：（1）通過網(wǎng)信部門組織的安全評估；（2）按照網(wǎng)信部門的規(guī)定進(jìn)行個人信息保護(hù)認(rèn)證；（3）按照網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)。[5]因此，需要向境外提供數(shù)據(jù)的企業(yè)或機(jī)構(gòu)，必須遵守相關(guān)法律法規(guī)，進(jìn)行安全評估和認(rèn)證，確保數(shù)據(jù)傳輸?shù)陌踩院秃戏ㄐ浴?/p>

在行業(yè)技術(shù)規(guī)范層面，2020年中國人民銀行《個人金融信息保護(hù)技術(shù)規(guī)范》規(guī)定，金融數(shù)據(jù)僅可以在“滿足法律法規(guī)、獲得個人同意、開展安全評估、實現(xiàn)有效監(jiān)督”的基礎(chǔ)上允許向境外傳輸。這體現(xiàn)出我國對于金融數(shù)據(jù)跨境流動的慎重態(tài)度。

基于數(shù)據(jù)出境安全評估的需要，2022年《評估辦法》全面系統(tǒng)地規(guī)定了具體要求。《評估辦法》適用對象為“在境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行評估的個人信息”?！对u估辦法》第4條規(guī)定了需要申報出境安全評估的具體情形，分別是：（1）向境外提供重要數(shù)據(jù)；（2）“關(guān)基”運營者或者處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息；（3）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息。

《評估辦法》規(guī)定評估方式為“數(shù)據(jù)處理者風(fēng)險自評估和安全評估相結(jié)合”，即數(shù)據(jù)處理者先進(jìn)行自我風(fēng)險評估，再由國家網(wǎng)信部門對數(shù)據(jù)跨境流動進(jìn)行評估。對于數(shù)據(jù)處理者自我風(fēng)險評估，《評估辦法》要求審查以下事項：（1）數(shù)據(jù)出境的目的、規(guī)模、敏感程度，以及可能帶來的風(fēng)險（包括但不限于篡改、破壞、丟失、非法利用等風(fēng)險；（2）數(shù)據(jù)接收方是否具備相應(yīng)能力保障數(shù)據(jù)安全；（3）數(shù)據(jù)處理者和接收方相關(guān)責(zé)任義務(wù)承擔(dān)是否明確。對于國家網(wǎng)信部門的安全評估，《評估辦法》規(guī)定主要考量因素為：（1）數(shù)據(jù)出境的目的、方式和范圍；（2）境外接收方的數(shù)據(jù)安全保護(hù)政策、網(wǎng)絡(luò)安全環(huán)境，以及數(shù)據(jù)保護(hù)水平是否達(dá)到我國要求，個人信息權(quán)益能否得到充分有效保障；（3）數(shù)據(jù)出境的數(shù)量、種類、敏感程度，以及出境后可能帶來的風(fēng)險；（4）數(shù)據(jù)處理者和接收方相關(guān)責(zé)任義務(wù)承擔(dān)是否明確。[6]

金融數(shù)據(jù)對國家安全、公共利益具有舉足輕重的地位，因此，金融數(shù)據(jù)（包括個人金融信息和消費者金融信息）既屬于《網(wǎng)絡(luò)安全法》所稱的“關(guān)鍵基礎(chǔ)設(shè)施”產(chǎn)生的數(shù)據(jù)，也屬于“重要數(shù)據(jù)”，因此上述數(shù)據(jù)出境安全評估制度同樣適用于金融數(shù)據(jù)。

三、我國金融數(shù)據(jù)跨境流動規(guī)制存在的問題

金融領(lǐng)域數(shù)字化和全球化快速發(fā)展給金融數(shù)據(jù)跨境流動的監(jiān)管帶來了挑戰(zhàn)。雖然我國已經(jīng)出臺了一系列法律規(guī)范，但隨著金融領(lǐng)域的不斷演進(jìn)創(chuàng)新和互聯(lián)網(wǎng)科技的不斷更迭，現(xiàn)有法律框架顯得不甚完善，難以適應(yīng)實際需求。立法不夠明確、缺乏可操作性，以及在對接區(qū)域協(xié)定存在兼容性障礙等已經(jīng)成為亟待解決的重要問題。

（一）金融數(shù)據(jù)跨境流動規(guī)制立法不夠明確

我國《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》規(guī)定重要數(shù)據(jù)需要經(jīng)安全評估才能出境，但上述三部法律皆沒有對重要數(shù)據(jù)進(jìn)行界定?！对u估辦法》規(guī)定重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經(jīng)濟(jì)運行、社會穩(wěn)定、公共健康和安全等的數(shù)據(jù)，但此抽象的定義不足以滿足安全評估工作的實際需要?？鐕髽I(yè)的數(shù)據(jù)流動包括個人消費數(shù)據(jù)、產(chǎn)品信息數(shù)據(jù)和業(yè)務(wù)信息數(shù)據(jù)等不同敏感程度的數(shù)據(jù)?！稊?shù)據(jù)安全法》旨在建立一套完善的數(shù)據(jù)分級分類保護(hù)機(jī)制，但未能有效地將個人信息與重要信息，以及其他商業(yè)信息區(qū)分開來。

我國多部法律法規(guī)規(guī)定“確因業(yè)務(wù)需要，經(jīng)過安全評估后方可準(zhǔn)予出境”，但是對“確因業(yè)務(wù)需要”的具體情形并沒有予以詳細(xì)說明。目前，僅有《個人金融信息保護(hù)技術(shù)規(guī)范》及《金融消費者權(quán)益保護(hù)實施辦法》對“因業(yè)務(wù)需要”進(jìn)行了解釋，但也不夠詳盡。含糊不清的規(guī)定使得金融機(jī)構(gòu)難以獲得正常業(yè)務(wù)需要的金融數(shù)據(jù)。另外，不同規(guī)范對評估的適用條件不一致導(dǎo)致實踐操作容易出現(xiàn)混亂。例如，《個人金融信息保護(hù)技術(shù)規(guī)范》只規(guī)定一種情形需要開展數(shù)據(jù)出境安全評估，即向集團(tuán)關(guān)聯(lián)機(jī)構(gòu)之間跨境傳輸金融數(shù)據(jù)；而《評估辦法》則將所有金融數(shù)據(jù)跨境傳輸都納入出境評估范疇。

在實踐中，金融數(shù)據(jù)控制者一般可以分為三類，分別是：（1）銀行、證券公司、保險公司等傳統(tǒng)持牌金融機(jī)構(gòu)；（2）第三方支付機(jī)構(gòu)、外包金融服務(wù)機(jī)構(gòu)等持牌的非金融機(jī)構(gòu)；（3）信息技術(shù)提供商、風(fēng)控服務(wù)解決方案提供商等為持牌金融機(jī)構(gòu)提供基礎(chǔ)支持服務(wù)的企業(yè)。2020年《個人金融信息保護(hù)技術(shù)規(guī)范》規(guī)定，“金融業(yè)機(jī)構(gòu)”包括兩類機(jī)構(gòu)：一類是由國家金融監(jiān)管部門監(jiān)督管理的持牌金融機(jī)構(gòu)，另一類是涉及個人金融信息處理的相關(guān)機(jī)構(gòu)。前述第三類金融數(shù)據(jù)控制者被排除在規(guī)范之外。另外，金融數(shù)據(jù)控制者應(yīng)當(dāng)在金融信息收集、處理、跨境傳輸?shù)拳h(huán)節(jié)承擔(dān)并嚴(yán)格履行數(shù)據(jù)安全保護(hù)義務(wù)，降低金融數(shù)據(jù)不當(dāng)使用的風(fēng)險?！秱€人金融信息保護(hù)技術(shù)規(guī)范》較為具體地規(guī)定了金融數(shù)據(jù)控制者在數(shù)據(jù)收集、處理和銷毀方面的安全保護(hù)義務(wù)，但該技術(shù)規(guī)范未能詳細(xì)規(guī)定金融數(shù)據(jù)控制者在跨境傳輸方面的安全保護(hù)義務(wù)。

2023年，國家網(wǎng)信辦出臺了《個人信息出境標(biāo)準(zhǔn)合同辦法》，并制訂了個人信息出境標(biāo)準(zhǔn)合同。該標(biāo)準(zhǔn)合同約定了個人信息處理者的義務(wù)、境外接收方的義務(wù)、個人信息主體的權(quán)利、救濟(jì)方法、合同解除及違約責(zé)任等條款。該標(biāo)準(zhǔn)合同是針對一般意義上的個人信息跨境流動而制訂的。金融數(shù)據(jù)跨境流動具有自身的特殊性，該標(biāo)準(zhǔn)合同不一定完全適用，金融管理部門應(yīng)盡快出臺“金融數(shù)據(jù)出境標(biāo)準(zhǔn)合同”。

（二）金融數(shù)據(jù)跨境流動規(guī)制立法缺乏可操作性

我國從國家安全、公共利益、個人信息保護(hù)等層面構(gòu)建了金融數(shù)據(jù)安全保障體系，但我國對金融數(shù)據(jù)跨境流動規(guī)制依然存在著可操作性不強的問題。

我國金融數(shù)據(jù)跨境流動規(guī)制立法過于概括，執(zhí)法機(jī)構(gòu)和企業(yè)難以準(zhǔn)確理解與規(guī)范操作，增加了實施的不確定性。如《評估辦法》要求重要數(shù)據(jù)、達(dá)到評估要求的敏感信息出境須經(jīng)安全評估，但目前對于重要數(shù)據(jù)、敏感信息的識別仍不明確。實施細(xì)則的缺乏使得執(zhí)法機(jī)構(gòu)對違規(guī)行為處罰更為隨意，增加了執(zhí)法的主觀性。

金融數(shù)據(jù)跨境流動涉及復(fù)雜的技術(shù)，現(xiàn)行法律規(guī)范滯后于快速發(fā)展的金融科技，無法監(jiān)管新生的金融業(yè)務(wù)模式。例如，虛擬貨幣交易所具有復(fù)雜的技術(shù)架構(gòu)和業(yè)務(wù)模式涉及資金安全、反洗錢、客戶隱私等重要問題。許多國家的法律尚未明確對虛擬貨幣交易所進(jìn)行規(guī)范，導(dǎo)致監(jiān)管滯后和法律適應(yīng)性不足。在這種情況下，監(jiān)管機(jī)構(gòu)往往只能依靠現(xiàn)有的法律去處理虛擬貨幣交易所的問題，使得監(jiān)管機(jī)構(gòu)在保護(hù)投資者利益、防范金融風(fēng)險和維護(hù)金融穩(wěn)定變得更為困難。

由于金融業(yè)務(wù)的全球化，各國之間需要數(shù)據(jù)共享。我國金融數(shù)據(jù)跨境流動規(guī)制立法尚未完全整合到國際標(biāo)準(zhǔn)和框架中，這給跨境合作帶來了阻礙。我國金融機(jī)構(gòu)需要與其他國家的金融機(jī)構(gòu)進(jìn)行數(shù)據(jù)共享，以便開展合規(guī)性審查、反洗錢監(jiān)管等合作。實踐中數(shù)據(jù)共享遭遇較大阻礙。一方面，某些國家可能要求根據(jù)其國家法律提供特定類型的金融數(shù)據(jù)，但這與中國現(xiàn)行法律規(guī)定的數(shù)據(jù)保護(hù)要求存在差異。另一方面，不同國家之間的數(shù)據(jù)安全要求也可能存在差異，這些差異阻礙了數(shù)據(jù)跨境流動，影響了中國金融機(jī)構(gòu)與其他國家金融機(jī)構(gòu)之間的數(shù)據(jù)共享和跨境合作。

我國金融數(shù)據(jù)跨境流動的有關(guān)規(guī)定分散在不同效力等級的法律規(guī)范中。不同法律規(guī)范之間不能有效銜接甚至相互沖突時，該法律規(guī)范難以執(zhí)行或遵守。例如，《網(wǎng)絡(luò)安全法》規(guī)定了個人信息和重要數(shù)據(jù)的概念，《評估辦法》將金融行業(yè)的“重要數(shù)據(jù)”定義為包括但不限于自然人、法人和其他組織收集和產(chǎn)生的金融信息。這兩個法律規(guī)范對重要數(shù)據(jù)的界定不完全相同，《評估辦法》難以有效承接《網(wǎng)絡(luò)安全法》的規(guī)定。[6]此外，現(xiàn)行法律規(guī)范對金融數(shù)據(jù)進(jìn)行分級分類的方法有兩種：一是《網(wǎng)絡(luò)安全法》將數(shù)據(jù)分為三類，即重要數(shù)據(jù)、敏感數(shù)據(jù)和一般數(shù)據(jù)。重要數(shù)據(jù)是指與國家安全和公共利益密切相關(guān)的數(shù)據(jù)；敏感數(shù)據(jù)是指如果泄露可能會對數(shù)據(jù)主體造成不良影響的數(shù)據(jù)。二是《數(shù)據(jù)安全分級指南》根據(jù)金融數(shù)據(jù)遭受破壞后的影響對象和所造成的影響程度，將數(shù)據(jù)安全級別從高到低劃分為5級、4級、3級、2級、1級。這兩種不同的數(shù)據(jù)分類無法銜接，使得安全評估工作難以開展。

（三）我國立法與區(qū)域協(xié)定對接的兼容性不足

我國正在申請加入《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》（CPTPP）和《數(shù)字經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（DEPA）。我國金融數(shù)據(jù)跨境流動規(guī)則與上述區(qū)域協(xié)定相關(guān)規(guī)則存在沖突。CPTPP中有關(guān)金融數(shù)據(jù)跨境流動規(guī)制的內(nèi)容主要規(guī)定在第十一章“金融服務(wù)”章節(jié)的“信息傳輸”條款中。該章節(jié)要求各締約方允許境內(nèi)的外資金融機(jī)構(gòu)出于日常業(yè)務(wù)經(jīng)營活動所需進(jìn)行跨境數(shù)據(jù)傳輸。DEPA第4.3.2條規(guī)定不得以在其領(lǐng)土內(nèi)使用或設(shè)置計算設(shè)施為條件限制在該締約方開展業(yè)務(wù)[8]，第4.3.3條規(guī)定任何一方為實現(xiàn)合法公共政策目標(biāo)而采取或維持的措施不得構(gòu)成任意或不合理歧視或?qū)Q(mào)易構(gòu)成變相限制，也不得對信息傳輸施加超出實現(xiàn)目標(biāo)所需限度的限制。無論DEPA還是CPTPP都要求盡可能允許數(shù)據(jù)跨境自由流動，不得加以限制，各締約方應(yīng)當(dāng)允許出于商業(yè)目的的數(shù)據(jù)跨境傳輸，僅允許有條件和有限度的例外。我國對數(shù)據(jù)跨境流動的規(guī)定主要采取限制性措施為主。根據(jù)我國相關(guān)法律法規(guī)，“關(guān)基”運營者向境外提供個人信息和重要數(shù)據(jù)，必須進(jìn)行數(shù)據(jù)出境安全評估?！稊?shù)據(jù)安全法》規(guī)定其他數(shù)據(jù)處理者在境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)也需要數(shù)據(jù)出境安全評估?！秱€人信息保護(hù)法》規(guī)定個人信息處理者在向境外提供個人信息時應(yīng)當(dāng)遵守的特定約束條件。[9]這樣的規(guī)定有助于保障數(shù)據(jù)安全，避免個人信息和重要數(shù)據(jù)泄露，維護(hù)公共利益和國家安全。但這些規(guī)定與區(qū)域協(xié)定鼓勵數(shù)據(jù)跨境自由流動的原則相沖突，也難以適用CPTPP與DEPA的例外條款。

DEPA第4.4.3條規(guī)定禁止將計算設(shè)施作為在另一締約方內(nèi)開展業(yè)務(wù)的前提條件。我國為了保障國家安全和個人信息安全，規(guī)定重要數(shù)據(jù)必須存儲在境內(nèi)?！毒W(wǎng)絡(luò)安全法》規(guī)定收集和生成的個人信息和重要數(shù)據(jù)應(yīng)存儲在境內(nèi)?！秱€人信息保護(hù)法》規(guī)定個人信息處理量達(dá)到規(guī)定數(shù)量的個人信息處理者應(yīng)將個人信息存儲在境內(nèi)，國家機(jī)關(guān)處理的個人信息也應(yīng)存儲在境內(nèi)。我國數(shù)據(jù)本地化的要求主要適用于關(guān)鍵基礎(chǔ)設(shè)施、特定行業(yè)和個人數(shù)據(jù)。DEPA第4.4.3條強調(diào)不得對任一締約方實現(xiàn)合法公共政策目標(biāo)構(gòu)成妨礙，即使該締約方采取了與數(shù)據(jù)本地化規(guī)則不一致的措施，除非該措施不構(gòu)成歧視、限制貿(mào)易或?qū)τ嬎阍O(shè)施使用或位置設(shè)置施加不合理限制。[10]DEPA認(rèn)同數(shù)據(jù)存儲非強制本地化，但DEPA對例外條款的設(shè)置嚴(yán)格，不僅要求基于合法公共政策目標(biāo)而且要求必須在合理限度內(nèi)才能適用。我國個人信息本地化要求在必要性上可能無法滿足DEPA的要求。

在一些具體標(biāo)準(zhǔn)方面，我國立法與區(qū)域協(xié)定也存在一定差距。以CPTPP為例，CPTPP第11.13.10規(guī)定另一締約方的金融機(jī)構(gòu)（包括金融機(jī)構(gòu)的投資者、金融服務(wù)提供者）提出的與提供金融服務(wù)相關(guān)的申請，監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)在120天內(nèi)作出決定。關(guān)于在我國，外資銀行、保險公司或證券公司設(shè)立分支機(jī)構(gòu)的申請周期，最常見的申請批準(zhǔn)時間分別為8個月和6個月，兩者均長于 CPTPP 的規(guī)定。我國金融數(shù)據(jù)跨境流動規(guī)制與上述兩個區(qū)域協(xié)定還存在一定差距，為我國加入該兩個區(qū)域協(xié)定增加了難度。

四、金融數(shù)據(jù)跨境流動規(guī)制的域外經(jīng)驗

目前，國際社會尚未形成統(tǒng)一的金融數(shù)據(jù)跨境流動規(guī)制體系。相較于其他國家，美國和歐盟的規(guī)則更為完善，在全球范圍內(nèi)具有更大影響力和話語權(quán)。

（一）美國金融數(shù)據(jù)跨境流動的規(guī)制

美國數(shù)字產(chǎn)業(yè)發(fā)展迅速，在全球具有極大的優(yōu)勢和話語權(quán)。為了能夠更好地實現(xiàn)金融數(shù)據(jù)跨境流動帶來的經(jīng)濟(jì)價值，美國更加重視自由開放的跨境金融數(shù)據(jù)流動環(huán)境。

美國的法律體系由聯(lián)邦法律和州法律兩個層面組成。在聯(lián)邦立法層面，美國沒有制定統(tǒng)一的金融數(shù)據(jù)保護(hù)法，而是分行業(yè)、分領(lǐng)域立法，通過行業(yè)自律的方式規(guī)制金融數(shù)據(jù)跨境流動。在金融消費領(lǐng)域，1978年《金融消費者隱私權(quán)法》規(guī)定了金融消費者隱私權(quán)保障措施，明確金融機(jī)構(gòu)保障金融消費者隱私的法律義務(wù)。1999年《金融服務(wù)現(xiàn)代法案》詳細(xì)規(guī)定了金融機(jī)構(gòu)如何收集、保護(hù)和處理金融消費者個人信息。在此基礎(chǔ)上，2000年《消費者金融信息隱私法》更強調(diào)了《金融服務(wù)現(xiàn)代化法案》對金融機(jī)構(gòu)的要求。

在州法律層面，2017年紐約州《23 NYCRR 500》要求受其監(jiān)管的金融機(jī)構(gòu)制定并實施保護(hù)消費者金融數(shù)據(jù)的網(wǎng)絡(luò)安全計劃，定期評估安全風(fēng)險，根據(jù)評估結(jié)果制定相應(yīng)的安全保護(hù)策略。2018年加州《消費者隱私保護(hù)法》（CCPA）規(guī)定了消費者享有對其個人數(shù)據(jù)的訪問權(quán)、刪除權(quán)和知情權(quán)等權(quán)利，金融機(jī)構(gòu)不得隨意泄露、披露收集到的數(shù)據(jù)。

此外，美國通過訂立雙邊、多邊自由貿(mào)易協(xié)定的方式向其他國家和地區(qū)推行金融數(shù)據(jù)跨境自由流動理念。2012年，《美韓自由貿(mào)易協(xié)定》規(guī)定：為滿足金融機(jī)構(gòu)日常業(yè)務(wù)數(shù)據(jù)處理需要，雙方應(yīng)允許對方金融機(jī)構(gòu)跨境傳輸數(shù)據(jù)。2015年，由美國主導(dǎo)的《跨太平洋戰(zhàn)略經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（TPP）首次將限制數(shù)據(jù)本地化寫入?yún)f(xié)議文本。2018年，美國與墨西哥、加拿大簽署的《美墨加協(xié)定》（USMCA）第19.12條明確禁止計算機(jī)設(shè)備本地化。

（二）歐盟金融數(shù)據(jù)跨境流動的規(guī)制

由于歷史傳統(tǒng)的影響，歐盟極其重視個人隱私保護(hù)。1980年，OECD發(fā)布了《隱私保護(hù)與個人數(shù)據(jù)跨境流動準(zhǔn)則》（OECD準(zhǔn)則），旨在保護(hù)個人隱私和數(shù)據(jù)安全。1995年歐盟頒布了《個人數(shù)據(jù)的處理與自由流動指令》（“95指令”），確立了“充分保護(hù)原則”，規(guī)定成員國只有在第三國能夠提供充分保護(hù)的前提下才能傳輸個人數(shù)據(jù)。“充分保護(hù)原則”要求數(shù)據(jù)流向的目的國必須達(dá)到歐盟認(rèn)可的充分保護(hù)水平。2016年歐盟通過了《一般數(shù)據(jù)保護(hù)條例》（GDPR）?？傮w而言，GDPR繼承了“95指令”確立的“充分保護(hù)原則”，規(guī)定歐盟成員國之間數(shù)據(jù)可以自由流動，數(shù)據(jù)流向非歐盟成員國需要滿足更加嚴(yán)格的標(biāo)準(zhǔn)。除了“充分保護(hù)”標(biāo)準(zhǔn)之外，GDPR為作出適當(dāng)保障措施的國家提供了兩種數(shù)據(jù)跨境流動的方案，分別是標(biāo)準(zhǔn)合同條款（SCCs）和約束性公司規(guī)則（BCPs）。此外，GDPR還規(guī)定了在獲得用戶明確同意或者為了公共利益考量等情形下，允許歐盟將個人數(shù)據(jù)傳輸出境。

金融數(shù)據(jù)極其重要，理應(yīng)另立法律進(jìn)行特殊規(guī)制，歐盟并未對其進(jìn)行單獨立法，原因包括以下兩點：（1）歐盟制定的以GDPR為基礎(chǔ)的高標(biāo)準(zhǔn)個人數(shù)據(jù)保護(hù)體系能夠全面、高標(biāo)準(zhǔn)地規(guī)制金融數(shù)據(jù)的跨境流動；（2）在偏重個人隱私保護(hù)之外，歐盟仍然期望借助數(shù)據(jù)跨境流動的開放舉措實現(xiàn)內(nèi)部數(shù)據(jù)自由流動以充分發(fā)揮其經(jīng)濟(jì)價值。

綜上所述，美國和歐盟在對待金融數(shù)據(jù)上各有其特點。主要包括：（1）金融數(shù)據(jù)監(jiān)管模式：美國和歐盟的金融數(shù)據(jù)監(jiān)管模式存在明顯的差異。美國國內(nèi)金融數(shù)據(jù)保護(hù)立法和監(jiān)管雖然在一定程度上受到各州法律的差異影響，但總體而言更加注重市場導(dǎo)向、行業(yè)自律和事后追責(zé)等，要求金融機(jī)構(gòu)采取各種措施限制金融數(shù)據(jù)的廣泛流動，以降低金融隱私權(quán)受到侵害的風(fēng)險；而歐盟則以全面、統(tǒng)一的GDPR為框架，更加注重保護(hù)個人數(shù)據(jù)的權(quán)利保護(hù)，尤其是隱私權(quán)。（2）跨境數(shù)據(jù)流動。美國對金融數(shù)據(jù)跨境流動的限制相對寬松，而歐盟對金融數(shù)據(jù)跨境流動有更嚴(yán)格的限制。歐盟要求金融機(jī)構(gòu)必須將數(shù)據(jù)存儲在歐盟境內(nèi)，并且必須遵守GDPR的規(guī)定，而美國則更加傾向于促進(jìn)數(shù)據(jù)的跨境流動，以更好地利用數(shù)據(jù)的經(jīng)濟(jì)價值。（3）數(shù)據(jù)流動范圍。如前文所述，美國已經(jīng)與其他國家和地區(qū)簽署了多項跨境數(shù)據(jù)流動協(xié)議，并且逐步放開數(shù)據(jù)的跨境自由傳輸限制，盡可能減少數(shù)據(jù)的本地存儲。相比之下，美國的數(shù)據(jù)流動范圍更廣，傾向于在全球范圍內(nèi)進(jìn)行數(shù)據(jù)流動，以獲得更多的商業(yè)機(jī)會。而歐盟則更加注重數(shù)據(jù)的安全和隱私，因此對數(shù)據(jù)流動范圍進(jìn)行了嚴(yán)格的限制。根據(jù)GDPR的規(guī)定，只有在滿足一系列條件的情況下，個人數(shù)據(jù)才能被傳輸?shù)綒W盟以外的第三國。這些條件主要涉及第三國能夠達(dá)到適當(dāng)?shù)碾[私保護(hù)水平，目前只有少數(shù)幾個國家如加拿大、新西蘭和瑞士等得到了歐盟的認(rèn)可。

總之，美國和歐盟在對待金融數(shù)據(jù)上有不同的監(jiān)管模式、法律制度、流動范圍及安全和隱私保護(hù)。這些差異反映了兩個地區(qū)不同的政治、經(jīng)濟(jì)和文化背景，也體現(xiàn)了在全球化和數(shù)字化時代，金融數(shù)據(jù)跨境流動與保護(hù)所面臨的復(fù)雜挑戰(zhàn)和機(jī)遇。

五、完善我國金融數(shù)據(jù)跨境流動規(guī)制的建議

與美歐等發(fā)達(dá)國家或地區(qū)相比，我國數(shù)據(jù)跨境流動的法律規(guī)制相對滯后。為了適應(yīng)快速增長的數(shù)據(jù)跨境流動需求和滿足數(shù)據(jù)跨境流動的現(xiàn)實需要，并有效應(yīng)對可能帶來的潛在金融風(fēng)險，我國有必要進(jìn)一步加強和完善金融數(shù)據(jù)跨境流動的規(guī)則體系。

（一）明確重要概念和數(shù)據(jù)控制者保護(hù)義務(wù)

我國需要進(jìn)一步明確金融領(lǐng)域重要數(shù)據(jù)的范圍，合理制定與之相應(yīng)的跨境流動細(xì)則。目前，我國主要采用損害評估的方法對重要數(shù)據(jù)進(jìn)行分類，即評估如果發(fā)生泄漏是否會對國家金融安全和正常的經(jīng)濟(jì)秩序。[11]因此，可以通過限制解釋將重要數(shù)據(jù)限制在公共利益、國家安全和金融安全領(lǐng)域。

尚未明確“確因業(yè)務(wù)需要”的具體定義使得金融數(shù)據(jù)跨境流動的“例外情形”變得模糊不清。我國需要完善金融數(shù)據(jù)跨境流動的評估機(jī)制，使“例外許可”在實踐中更易推廣。具體而言，我國應(yīng)當(dāng)明確金融數(shù)據(jù)跨境流動的前提條件，并針對不同類型的跨境流動情形予以歸類和審慎評估。我們可將金融數(shù)據(jù)的常見流動情形歸為三類：（1）基于日常商業(yè)運營的需要，向集團(tuán)總部跨境傳輸數(shù)據(jù)；（2）基于外部審計等需求，向第三方轉(zhuǎn)移數(shù)據(jù)；（3）基于境外監(jiān)管要求，向金融監(jiān)管部門轉(zhuǎn)移數(shù)據(jù)。[6]根據(jù)不同的流動目的，設(shè)置相應(yīng)的評估條件，以提高跨境實踐的可操作性。

我國應(yīng)當(dāng)明確金融數(shù)據(jù)控制者的范圍及其數(shù)據(jù)跨境傳輸安全保護(hù)義務(wù)。數(shù)據(jù)安全保護(hù)義務(wù)來源于個人隱私保護(hù)，但又與之不同。通常情況下，個人隱私受到侵犯主要集中在數(shù)據(jù)的收集方式和利用方式，數(shù)據(jù)保護(hù)規(guī)則適用于整個數(shù)據(jù)處理過程，數(shù)據(jù)保護(hù)范圍比個人隱私保護(hù)范圍更廣。從數(shù)據(jù)生命全周期（數(shù)據(jù)采集、存儲、傳輸與交換到銷毀）來看，金融數(shù)據(jù)跨境傳輸處于周期的中端。要實現(xiàn)金融數(shù)據(jù)的安全跨境流動，需要前端的數(shù)據(jù)收集、中端的數(shù)據(jù)跨境流動以及后端的數(shù)據(jù)應(yīng)用三部分密切合作。在前端，金融機(jī)構(gòu)應(yīng)該有一個完整和有效的數(shù)據(jù)治理架構(gòu)；在后端，數(shù)據(jù)控制者應(yīng)確保數(shù)據(jù)接收者有足夠的數(shù)據(jù)保護(hù)水平。在進(jìn)行數(shù)據(jù)跨境傳輸時，金融數(shù)據(jù)控制者既要承擔(dān)自身數(shù)據(jù)的安全保護(hù)義務(wù)，也要承擔(dān)客戶信息安全保護(hù)義務(wù)。我國應(yīng)當(dāng)學(xué)習(xí)美國紐約州《金融服務(wù)公司網(wǎng)絡(luò)安全要求》和歐盟GDPR要求數(shù)據(jù)控制者“以風(fēng)險為導(dǎo)向”，在跨境傳輸金融數(shù)據(jù)時承擔(dān)數(shù)據(jù)安全保護(hù)義務(wù)，定期評估自身網(wǎng)絡(luò)和信息安全以及客戶信息安全存在的潛在風(fēng)險，并提交合規(guī)證書。數(shù)據(jù)控制者必須嚴(yán)格遵守通知客戶的義務(wù)，GDPR要求數(shù)據(jù)控制者在出現(xiàn)可能對數(shù)據(jù)主體權(quán)利造成危害的跨境傳輸行為時通知監(jiān)管機(jī)構(gòu)以進(jìn)行“事先檢查”。

（二）統(tǒng)一監(jiān)管以優(yōu)化安全審查

由于歷史原因和分行業(yè)監(jiān)管的影響，我國金融數(shù)據(jù)跨境流動的監(jiān)管主體分散，且未能實現(xiàn)有效的職能劃分，亟待建立一個能統(tǒng)籌金融數(shù)據(jù)跨境流動全局、協(xié)調(diào)各監(jiān)管主體職責(zé)的機(jī)構(gòu)。基于此，國家數(shù)據(jù)局的組建是應(yīng)有之義。

我國可以制定金融數(shù)據(jù)跨境流動的標(biāo)準(zhǔn)合同優(yōu)化審查制度。標(biāo)準(zhǔn)化合同是指將金融數(shù)據(jù)保護(hù)義務(wù)通過合同化的形式轉(zhuǎn)化為私法上的義務(wù)。例如，在管理個人信息跨境流動方面，網(wǎng)信部制定的標(biāo)準(zhǔn)合同被規(guī)定為個人信息出境的法律依據(jù)。金融領(lǐng)域的數(shù)據(jù)跨境流動可借鑒該做法，制定對應(yīng)的標(biāo)準(zhǔn)合同以簡化出境評估流程。根據(jù)我國《評估辦法》的規(guī)定，在進(jìn)行出境安全評估時，評估機(jī)構(gòu)特別重視境內(nèi)金融機(jī)構(gòu)與境外接收者簽訂的合同，重點審查合同中金融數(shù)據(jù)保護(hù)的相關(guān)條款，包括雙方的權(quán)利義務(wù)和責(zé)任、金融數(shù)據(jù)主體保護(hù)能力以及權(quán)利救濟(jì)方式等。通過整合相關(guān)數(shù)據(jù)保護(hù)要求和主管部門對金融數(shù)據(jù)的特別監(jiān)管要求，我國可以制定金融數(shù)據(jù)出境標(biāo)準(zhǔn)合同。這樣既能為金融機(jī)構(gòu)提供合規(guī)指導(dǎo)，又可以分散對出境安全評估的壓力，從而進(jìn)一步優(yōu)化評估流程。

（三）積極參與國際數(shù)據(jù)流動規(guī)則以增進(jìn)國際話語權(quán)

目前我國嚴(yán)格限制金融數(shù)據(jù)跨境流動的理念并不符合全球化的發(fā)展趨勢，不利于我國融入?yún)^(qū)域體系。應(yīng)適當(dāng)放寬對金融數(shù)據(jù)跨境流動的限制以應(yīng)對數(shù)字經(jīng)濟(jì)全球化。實行更加開放的金融數(shù)據(jù)跨境流動需要相關(guān)的配套措施，如完善金融數(shù)據(jù)有效監(jiān)管、確定金融數(shù)據(jù)跨境傳輸?shù)哪康呐c條件、細(xì)化數(shù)據(jù)控制者保護(hù)義務(wù)等。我國應(yīng)明確金融數(shù)據(jù)跨境流動基本原則，審慎制定金融數(shù)據(jù)本地化規(guī)則，實現(xiàn)更加開放的金融數(shù)據(jù)跨境流動規(guī)制體系，減少對接區(qū)域協(xié)定的障礙。

強調(diào)金融數(shù)據(jù)跨境自由流動并不意味著我國放棄采取限制金融數(shù)據(jù)跨境流動的措施，我國可以援引CPTPP、DEPA的例外條款。理解和援引區(qū)域協(xié)定中的例外條款對維護(hù)我國數(shù)據(jù)主權(quán)、平衡利益與風(fēng)險有著重要意義。我國數(shù)據(jù)出境安全評估制度需要滿足區(qū)域協(xié)定對數(shù)據(jù)跨境自由流動的高標(biāo)準(zhǔn)要求或者需要滿足合法公共政策例外、安全例外、不構(gòu)成歧視等例外條款。因此，我國要加強限制措施的透明度和可預(yù)測性。我國應(yīng)建立明確的標(biāo)準(zhǔn)和程序，使金融數(shù)據(jù)出境安全評估制度的實施更加透明、可預(yù)測。我國應(yīng)確保司法監(jiān)督和審查機(jī)制的有效性。我國應(yīng)建立獨立的司法審查程序，以便對數(shù)據(jù)出境安全評估制度的決定進(jìn)行監(jiān)督和審查，確保評估機(jī)構(gòu)的評估工作符合法律要求，同時為數(shù)據(jù)主體提供保護(hù)其權(quán)益的救濟(jì)途徑。

歐盟和美國能夠在全球數(shù)字貿(mào)易規(guī)則中享有主導(dǎo)權(quán)，與其完善的內(nèi)部數(shù)字貿(mào)易治理體系密不可分。我國數(shù)字經(jīng)濟(jì)規(guī)模僅次于美國，但是無論是話語權(quán)還是國際規(guī)則制定參與度都與歐美有著不小的差距。我國對接區(qū)域協(xié)定雖是挑戰(zhàn)，更是機(jī)遇。我國應(yīng)當(dāng)向區(qū)域協(xié)定看齊，加快數(shù)字貿(mào)易治理體系構(gòu)建進(jìn)程，這不僅是我國加入CPTPP與DEPA的必然要求，也是我國深度參與全球數(shù)據(jù)跨境流動規(guī)則制定、掌握國際話語權(quán)的必要舉措。

六、結(jié)語

金融數(shù)據(jù)跨境流動在推動全球金融業(yè)、經(jīng)濟(jì)貿(mào)易發(fā)展的同時，也會對國家安全、金融安全和個人隱私保護(hù)等權(quán)益形成威脅?；跉v史傳統(tǒng)、規(guī)制理念的不同，各國采取了不同的數(shù)據(jù)跨境流動的規(guī)制措施。歐盟以維護(hù)公民個人隱私為導(dǎo)向，采取“充分性保護(hù)”的規(guī)制方式，對個人數(shù)據(jù)和信息保護(hù)要求較高；美國以經(jīng)濟(jì)發(fā)展為價值取向，主張數(shù)據(jù)跨境自由流動。目前我們正處于數(shù)字經(jīng)濟(jì)時代，金融數(shù)據(jù)全球融通是大勢所趨。雖然各國對金融數(shù)據(jù)跨境流動規(guī)制方式存在差異，但在全球化的浪潮下也不得不選擇相互合作，而在WTO談判受阻、國際上難以形成統(tǒng)一的金融數(shù)據(jù)跨境流動規(guī)則的情況下，通過達(dá)成雙邊協(xié)定或者區(qū)域協(xié)定的方式來完成部分地區(qū)規(guī)則的統(tǒng)一是目前較為可行的選擇。對我國而言，金融數(shù)據(jù)跨境流動同樣帶來了機(jī)遇和挑戰(zhàn)，把握好國家安全、經(jīng)濟(jì)發(fā)展、個人隱私保護(hù)之間的平衡對我國金融數(shù)據(jù)跨境流動規(guī)制未來發(fā)展、參與全球規(guī)則構(gòu)建、提升國際話語權(quán)有著重要意義。在國內(nèi)層面，我國應(yīng)當(dāng)積極完善金融數(shù)據(jù)跨境流動規(guī)制體系；在國際層面，我國應(yīng)當(dāng)對標(biāo)CPTPP和DEPA等區(qū)域協(xié)定，提高自身話語權(quán)，為將來構(gòu)建統(tǒng)一的全球金融數(shù)據(jù)跨境流動規(guī)則貢獻(xiàn)中國力量。

[1]王婷.我國金融數(shù)據(jù)跨境流動機(jī)制現(xiàn)狀與因應(yīng)之策[J].對外經(jīng)貿(mào)，2022（11）：74-77+105.

[2]彭德雷，張子琳. 數(shù)字時代金融數(shù)據(jù)跨境流動的風(fēng)險與規(guī)制研究[J].國際商務(wù)研究，2022（1）：14-25.

[3]洪延青.國家安全視野中的數(shù)據(jù)分類分級保護(hù)[J].中國法律評論，2021（5）：71-78.

[4]王遠(yuǎn)志.我國銀行金融數(shù)據(jù)跨境流動的法律規(guī)制[J].金融監(jiān)管研究，2020（1）：51-65.

[5]藺捷，田晨.個人金融數(shù)據(jù)跨境流動規(guī)制研究[J].上海大學(xué)學(xué)報，2021（6）：95-107.

[6]王春暉.數(shù)據(jù)安全出境評估規(guī)則與適用——《數(shù)據(jù)出境安全評估辦法》解讀[J].南京郵電大學(xué)學(xué)報，2022（4）：1-10.

[7]馬蘭.金融數(shù)據(jù)跨境流動規(guī)制的核心問題和中國因應(yīng)[J].國際法研究，2020（3）：82-101.

[8]孫南翔.CPTPP數(shù)字貿(mào)易規(guī)則:制度博弈、規(guī)范差異與中國因應(yīng)[J].學(xué)術(shù)論壇，2022（5）：44-53.

[9]文洋，王霞.中國申請加入DEPA的焦點問題與政策研究[J].開放導(dǎo)報，2022（4）：101-111.

[10]張曉君，屈曉濛.RCEP數(shù)據(jù)跨境流動例外條款與中國因應(yīng)[J].政法論叢，2022（3）：109-119.

[11]田翔宇.金融數(shù)據(jù)跨境流動的特殊規(guī)制[J].海南金融，2021（4）：51-58+87.

Research on regulation of cross-border flow of financial data in China

Wang Yongjie，F(xiàn)eng Jialong

In recent years, the legislative process of our country's data field has been accelerated obviously, and the basic regulatory framework of cross-border flow of financial data has been preliminarily constructed. However, the existing legal regulation on cross-border flow of financial data is not perfect, which is manifested in the lack of clear legislation, lack of operability and incompatibility with regional agreements. Abroad, Europe and the United States and other countries through the signing of bilateral or regional agreements to fight for financial data cross-border flow of regulatory leadership. It is necessary for our country to further improve the regulatory measures for the cross-border flow of financial data, enhance the clarity and Operability of legislation, and lay a solid foundation for aligning international rules and enhancing the international voice.

Financial data; Cross-border flows; Safety Assessment; Data Localization; Regulation by law

2023-07-22

國家社會科學(xué)基金青年項目（18CFX048）；

王永杰（1972－ ），男，安徽淮南人，浙江理工大學(xué)法政學(xué)院副教授，博士，主要從事國際經(jīng)濟(jì)法研究。

10.13685/j.cnki.abc. 000722

F49；D922.16；F832.6

A

1671-9255（2023）04-0051-07