硕士论文 个人金融数据跨境流动的法律规制

摘 要

随着数字化时代的来临以及经济全球化的不断深化，数字技术与金融服务的深度融合已逐渐成为一个不可逆转的发展方向。个人金融业务也逐渐从传统银行领域向互联网金融发展。在此背景之下，个人金融数据跨境流动已逐渐成为一种普遍现象，而由此所带来的问题也日益凸显。个人金融数据的跨境流动影响着个人、金融行业及国家的利益，目前，国内外对个人金融数据的定义还未明确规定，存在与个人金融信息概念混用的情形，必须对个人金融数据的相关概念进行明确界定。基于个人金融数据的特殊属性以及跨境流动的场景多元性，如何完善法律规制成为一大难题。对个人金融数据跨境流动的法律规制，本质上是国家公权力对金融市场和经济社会生活实施的法律限制措施，其立足于国家与社会经济的发展，并且应当维持在一个合适的界限之内。近几年，随着相关法律法规的陆续发布，我国一直在努力平衡数据跨境流动的“自由性”和“安全性”。在这一过程中，我国对个人金融数据跨境流动的法律规制也经历了从绝对的本地化要求到有条件跨境流动的演变。这一变化体现出我国对于个人金融数据跨境流动的重视程度逐渐提升，同时也反映出个人金融数据跨境问题的复杂性及多样化趋势。然而，从我国当前的规制状况来看，仍然面临着规制主体与规制对象范围有待统一与完善、规制措施未有效衔接、未进行多元跨境场景区别化规制、权利救济机制不完备、在国际个人金融数据跨境规制中话语权不足等多方面的困境。这些问题严重影响了个人金融数据跨境流动的效率和安全，为了更好地规范我国个人金融数据的跨境流动，应该通过制定专项立法完善规制对象范围与规制漏洞、统一监管部门并推动多方共同监管、构建并完善区别化法律规制措施、强化个人权利救济机制、加强国际谈判等方式，制定并优化针对个人金融数据跨境流动的中国规制方案。

AbstractWith the advent of the digital age and the continuous deepening of economicglobalization, the deep integration of digital technology and financial services hasgradually become an irreversible development direction. Personal financial business hasgradually developed from traditional banking to Internet finance. In this context, thecross-border flow of personal financial data has gradually become a common phenomenon,and the problems it brings are becoming increasingly prominent. The cross-border flow ofpersonal financial data affects the interests of individuals, the financial industry, and thecountry. Currently, there is no clear definition of personal financial data at home andabroad, and there are situations where it is mixed with the concept of personal financialinformation. Therefore, it is necessary to clearly define the relevant concepts of personalfinancial data. Based on the special attributes of personal financial data and the diversityof cross-border flow scenarios, how to improve legal regulations has become a majorchallenge. The legal regulation of cross-border flow of personal financial data isessentially a legal restriction measure implemented by the state's public power on thefinancial market and economic and social life. It is based on the development of thecountry and social economy and should be maintained within an appropriate boundary. Inrecent years, with the successive release of relevant laws and regulations, China has beenstriving to balance the "freedom" and "security" of cross-border data flow. In this process,China's legal regulations on cross-border flow of personal financial data have alsoundergone an evolution from absolute localization requirements to conditionalcross-border flow. This change reflects the increasing emphasis on cross-border flow ofpersonal financial data in China, as well as the complexity and diversification ofcross-border issues related to personal financial data. However, from the currentregulatory situation in our country, we still face various difficulties such as the need tounify and improve the scope of regulatory subjects and regulatory objects, ineffectiveconnection of regulatory measures, lack of differentiated regulation in diversecross-border scenarios, incomplete rights relief mechanisms, and insufficient discoursepower in cross-border regulation of international personal financial data. These issuesseriously affect the efficiency and security of cross-border flow of personal financial data.In order to better regulate the cross-border flow of personal financial data in China, speciallegislation should be formulated to improve the scope of regulatory objects and regulatoryloopholes, unify regulatory departments and promote multi-party joint supervision,construct and improve differentiated legal regulatory measures, strengthen individualrights relief mechanisms, and strengthen international negotiations. China shouldformulate and optimize regulatory plans for cross-border flow of personal financial data.Key words：Data law，Financial Law，Personal financial data，Data flows across 。

目录

摘要

Abstract

绪论

第一章 个人金融数据跨境流动的概念界定与规制基础

第二章 我国个人金融数据跨境流动法律规制的现状

第三章 我国个人金融数据跨境流动法律规制的困境

第四章 个人金融数据跨境流动法律规制的域外经验

第五章 我国个人金融数据跨境流动法律规制的完善途径

结论

参考文献

绪 论

一、选题缘起在数字化的时代背景下，各国间的竞争领域已经从传统的自然资源范畴逐渐拓展至数字经济的范畴。以“大数据”为代表的新兴数据技术与实体经济深度融合，已成为全球新一轮科技革命与产业变革的重要驱动力量，对社会生活各方面产生了重大影响。在数字时代背景下，个人金融数据类型多样，包括电子交易记录、网络借贷信息、信用卡消费信用记录等等。在所有类型的数据当中，个人金融数据因其庞大的规模和巨大的价值创造潜能，已经成为数字化时代经济和社会发展的核心因素。但是，伴随着金融技术的进步和新型金融模式的持续扩展，众多的金融实体和科技企业面临数据泄露和管理失误等一系列问题。个人金融数据在使用过程中存在着诸多风险隐患。不恰当地管理个人的金融数据不仅有可能引发直接的经济损害和个人信息泄露等问题，还可能危及国家安全。因此，在数字经济的发展过程中，数字经济的安全考量和安全保障必不可少。数字经济是改变国际竞争格局的关键力量，作为数据大国，中国面临着数据跨境流动需求与数据跨境规则缺失之间的矛盾。近几年来，伴随着一系列相关法律的陆续颁布与实施，我国在数据治理体系和法律基础方面得到了进一步的丰富和完善。然而，在个人金融数据跨境流动的规制方面，我国的规制仍然存在一定的不足之处。基于以上背景，选择"个人金融数据跨境流动的法律规制"作为论文选题，通过对该选题的研究，希望能够为我国个人金融数据跨境流动的法律规制提供有益的参考和建议。二、研究综述国内研究综述：个人金融数据跨境流动的相关概念方面：陈志武对个人金融数据与跨境流动的含义进行了阐述，他认为金融数据可以被分类为多个种类，这其中既包括个人金融数据，也包括由金融交易所生成的数据。①朱芸阳的观点是，金融机构提供金融服务与产品时，个人金融信息是必不可少的个人信息。①邢会强表示，从身份、财务和预期层面对个人的金融信息进行分类可使其范围更清晰。②李东方和李耕坤表示，个人金融信息具有极强的可识别性，包括个人身份、资产、信誉以及其他相关衍生信息。由金融机构在业务中收集，是个人信息的特殊组成部分。③黄伟的观点是，个人金融信息的跨境流动大体上可以被分类为三大类：首先，境内外金融机构旨在跨国金融交易而发起的跨境；其次，应一国的司法或行政要求，金融机构向有关部门传输存储在境外的数据。最后，为了完成特定目标以及保证国际和谐，基于国家与国家（国际组织）之间已达成的协议，共享个人金融信息。此外，个人金融信息跨境流动还包括自然人、法人及其他机构间的流动。④个人信息保护课题组将个人数据跨境流动界定为，通过可使数据被境外第三方知晓的方法，数据控制主体将数据从境内传送至境外。⑤从理论上讲，个人数据资料可以包括自然人的生物特征和行为记录，但由于各国法律规定不一致，因此对个人数据资料跨境流动的规制也存在差异。关于如何对个人金融数据跨境流动进行规制：高富平认为，从本质上而言，保护个人信息就是保护法律利益，并非给予个体在个人信息方面某种形式的权益以达到保护的目的。⑥在互联网金融发展迅速、技术日新月异的背景下，传统的个人信息保护制度已无法满足新时代的需求，无法匹配个人信息利用新方式，因为其建立在个人主义之上，以保护自然人为核心，没有考虑个人信息所携带的社会性和公共性，无法全面反映个人信息的法律属性。因此，必须以公共领域为依托，重构个人信息保护机制。⑦高山行、刘伟奇的观点是，严格的限制数据跨境或完全禁止会造成以下问题：将大量数据本地储，会造成数据高度密集，进而使我国难以处理不法分子的对数据的攻击；同时由于数据来源不同，各国之间的数据共享会存在一定程度上的障碍，从而可能使国家利益受到损失。再者，如果严格限制国内数据流向国外，这可能会导致国内市场受到外部市场的刺激，使境内机构丧失国际竞争力，境内消费者无法在国际竞争中获得好处，进而导致国家经济衰退。过于严苛地限制跨境可能会导致其他国家基于平等原则采取相同的限制措施，并可能触发国际间的冲突。①邢会强持有这样的观点：个人身份和财产信息的财产权益属于个人，因为这两种信息是个人自己主动整理和提交的，个人信息的保护应该从自然人自身出发，以隐私权为核心进行保护。在个人金融数据的安全防护上，除了要求数据提供者严格履行保密职责外，还需要在数据的整个生命周期中实施全面的保护措施，通过实施差异化的安全策略，确保个人金融数据在各个环节的安全性。②在国内，数据跨境流动的法律议题研究，以《网络安全法》的实施为分界线，可以被划分为两个主要阶段。该法正式实施之前，学者们多侧重于研究数据跨境流动中存在的安全风险及其应对措施。在国内，文献的主要焦点是从民法和电子商务的角度出发，对相关数据和信息的管理与保障进行深入探讨。随着我国社会经济发展水平不断提高，互联网技术迅猛发展,“个人金融数据”已经成为一个新兴的概念，并逐渐引起人们的重视。随着《网络安全法》的实施，学术领域开始更加关注新法规的解读和应用，同时对外国的相关法律和实践的研究也达到了一个新的高峰。其中关于个人金融数据概念的划分是一个重要问题。在国内，关于“个人金融数据”的确切定义尚不清晰，只有少数具有代表性的法律对“个人金融信息”给出了明确的定义。由于各国立法模式不同，个人金融信息的具体含义也有很大差异，因而，对这一术语进行比较分析是必要的。部分学者倾向于在个人金融信息和个人金融数据之间做出区分，而另一部分学者则认为两者在本质上并无显著差异，因此没有对这两个概念进行明确区分。在国际上，关于个人数据跨境流动一直都是各国立法关注的热点之一。随着我国经济的持续增长，如何在个人数据的跨境流动中实现自由与安全之间的平衡成为了学术界的热议话题。为此，我国陆续推出了与数据安全相关的法规。尽管我国的个人金融数据已经从绝对的本地化要求发展到了有条件的跨境流动，但对于个人金融数据跨境的管理和规范仍然处于初级阶段，仍存在诸多问题，规制措施仍然有待完善。

如何对个人金融数据跨境流动进行规制方面：Aaronson Susan 表示，国家安全与数据主体的权益都是立法对个人数据跨境传输自由进行限制时所必须考虑的要素。③Julian Rotenberg 基于数据跨境流动的新商业模式推动数字贸易的增长，政府以及公民更加重视对个人隐私数据的关注，在此背景之下为了保护公民的个人隐私安全，世界各国逐渐加强对数据跨境流动的监管力度。④Edward J.Janger 持有的观点是，当金融机构想要与非关联方分享个人信息时，必须首先获得客户的明确授权。⑤DavidA.Tallman 指出，当个人数据跨境的接收与发起主体共同担责的情况下，一方面会增大来自欧盟的境外数据接收者面临的法律诉讼风险，另一方面会导致经济富裕又无过错的企业为合作伙伴的行为负责，因为其风险承受能力较差。⑥Paul M.Schwartz 持有这样的观点：在保护社会稳定和个人隐私时，用户有权处理自己的个人金融信息或者随时决定退出。此外，还需要重视市场参与者在信息披露和监管方面的责任。⑦Andrew D.Ketter 提出，为了确保客户和消费者的个人信息安全，可以考虑实施信息保护、客户反馈以及身份验证等多种策略。⑧Yakovleva Svetlana 和 Kristina Irion 认为推动全球数字贸易发展的全球数据跨境流动理念成为了国际贸易组织讨论的热点话题之一，通过对欧盟数据保护立法的研究认为欧盟当前严格的数据保护模式有时候成为阻碍数字贸易发展的壁垒。①Mira Burri 认为，通过对美国与欧盟的规制规则的研究，为了能够促进各国之间的数据跨境传输，必须制定并完善国际个人数据跨境传输的规制规则。②自上世纪 80 年代起，国外的学者开始研究数据的跨国流动，这与 OECD 指南的发布有着密切的关联。随着互联网时代的到来以及信息技术在国际经济中应用程度的不断加深，数据跨境流动已经成为各国经济发展不可忽视的重要组成部分，也引起了学术界的广泛关注。研究数据的跨国流动时，明显地展现出了各国的独特性。在对各国数据流动管制政策进行分析的基础上发现，各国都有自己独特的数据保护理念。在全球范围内，数据流动的保护规则还未完全建立，欧盟和美国是数据保护不同模式的代表。欧盟以数据基本权利为核心，制定综合性个人信息保护法案，强调保护个人权利，认为不能以牺牲公民隐私权为代价促进经济发展，在欧盟的范围内，研究的焦点主要集中在分析和完善本身数据的跨国保护法律体系上。美国则采取“自由市场结合强监管”模式，对个人金融数据跨境流动的限制日趋宽松，原因在于金融数据跨境顺畅流动对美国经济和金融至关重要。在未来的自由贸易协议中，美国仍然会努力推动金融数据的跨国流通，而欧盟在这方面已经取得了较大进展，鉴于欧盟在这一领域的相关法律具有显著的影响，美国学者也因此对欧盟的相关法规表现出了浓厚的兴趣。通过梳理美国与欧盟关于个人金融数据跨境方面的法律规定及实践做法，发现二者既有共性又有差异，两种模式相互竞争又存在着融合，为我国提供了有益参考。

三、难点、思路、方法、创新点难点：1.国内外多数研究仍然停留在一般意义上的数据跨境流动问题上，仅有少数文献将其研究范围扩展到个人金融数据。2.我国个人金融数据跨境流动主要受到信息和数据管理普适性规定以及金融业专门性法律规范的双重规制，所涉及的法律规范数量多、范围广。3.数据跨境流动的“自由”和“安全”此消彼长，如何权衡和协调两者是世界各国所面临的价值难题。4.随着数据时代和互联网技术的不断进步，个人金融数据的跨境风险也在持续增长和变化，因此，法律规制框架必须与时俱进，针对现状和未来趋势不断进行更新和完善。思路：1.界定相关概念并分析规制基础。区分“个人金融数据”与“个人金融信息”；分析个人金融数据的特殊性进而厘清其与个人数据的区别；界定数据跨境流动的基本概念，并进行跨境场景的分析。最后，对规制基础进行分析。2.从国内立法与签订的经贸协定等方面梳理我国规制现状，并对最新发布的意见稿进行分析，寻求有益提示。3.根据我国规制现状，分析现行法律规制存在的困境。4.针对困境，通过对欧盟、美国、日本规制模式的分析，寻求对我国个人金融数据跨境流动法律规制的有益借鉴。5.结合境外经验，针对我国的规制困境提出相应完善途径。方法：1.文献研究法：通过对国内外文献与研究的分析，明确不同文献资料研究的侧重点，深入了解相关领域学者对个人金融数据概念和对跨境活动进行法律规制的观点，归纳总结学术成果，积累理论基础。2.规范分析法：为了我国能够构建更为合理的规则框架，对现行规范进行整合与分析，对新旧规范进行对比，探究合理性以及所存在的问题。3.比较研究法：各国在经济、政治、历史、法律传统、价值取向等方面上存在一定的差异，导致各国关于个人金融数据跨境流动的立法，既相似之处，也有其独特之处。故通过对不同国家规制模式的比较分析，深入了解各国在个人金融数据跨境流动方面的做法和经验，有助于我国在制定个人金融数据跨境流动的法律规制时，结合本国实际情况，借鉴国际经验，制定更加科学合理和具有针对性的规定。创新点：1.理论中对个人金融数据的多元跨境场景以及通过场景完善区别化规制措施鲜有研究，本文将对此进行深入分析与探究。2.规制理论方面，从个人控制、机构控制到国家控制的视角，逐步进行分析。3.通过对新规的分析，寻求有益于个人金融数据跨境的规制提示。4.欧盟和美国作为数据跨境流动规制的两种代表模式，本文除了针对以上两种典型模式的研究，还引入了作为制定全球跨境数据流动规则的新兴力量——日本，为我国规制方案提供更多先进、有益经验。5.在完善规制途径方面，改变单一规制路径，追求多元主体协同规制，同时注重各方主体利益的平衡；除事前监管，同时注重完善事后权利救济途径，从而更好地解决规制难题。

第一章 个人金融数据跨境流动的概念界定与规制基础

第一节 个人金融数据的概念界定与特殊性

日常运营管理中，各种金融机构及其关联机构生成或所需的个人数据。二、个人金融数据的特殊性分析个人金融数据是一种特殊的个人数据，作为个人数据的组成部分，个人金融数据具有人格性，即通过个人金融数据能够反映、识别个人信息主体。除此之外，个人金融数据还具有私人性，主要体现在其与金融消费者的资产状态、消费能力、购买行为以及个人信誉等敏感个人隐私息息相关。而个人金融数据与其他一般个人数据相比的特殊之处，主要源于其金融性质，这导致个人金融数据还具有一般个人数据所不具备的财产性和公共性。1.个人金融数据的财产性。金融机构掌握着大量的个人金融数据，并且可以通过分析、整合金融消费者的个人金融数据优化业务能力、提高机构的交易水平以及提高自身竞争力，进而获得巨大的经济利益，甚至在获得金融消费者同意的情况下可以通过第三方机构对数据的分析挖掘数据的潜在价值。金融机构基于法律规范在事实上占有、控制、使用着个人金融数据，并且具有控制与利用的意图，符合民法的占有理论，个人金融数据已成为企业的一项特殊财产，承认企业对其具有一定的财产权利，有利于推动数据的合法合规流通，保障数据主体的权益以及为法律规制提供必要支持。①2.个人金融数据的公共性。个人金融数据关系到金融市场的发展与稳定，同时影响着社会与国家的稳定。当个人金融数据影响到公众乃至国家利益时，如为了识别出高利贷款、洗钱等与金融安全有关的问题，金融机构可以越过“个人同意”强制收集与个人有关的数据。②一般的个人数据通常只会影响个人的利益，而个人金融数据涉及到一定的公共利益，因此具有一定的公共性。当为了保护公众利益的情况下，个人金融数据和公共数据将会产生交集，公共管理和服务机构要求金融数据控制者打开数据库端口而获得的部分个人金融数据，将会被纳入到公共数据的范畴，并受公共数据法律体系的约束和调整。但是个人金融数据并不是公共数据，两者在概念上依然存在着一定差异。公共数据是由具有有效授权的公共管理和服务机构，在管理公共事务过程中所收集而产生的数据，而个人金融数据并不符合该情形。由于个人金融数据的特殊性，针对其跨境流动的法律规制应该区别于其他一般个人数据。

分析一、个人金融数据的概念界定目前，“个人金融数据”的定义尚未被明确界定，“个人金融信息”作为与之相似的概念，二者经常出现被混淆适用的情况。①例如：在《个人金融信息（数据）保护试行方法》中，并没有区分使用这两个概念；而《中国人民银行金融消费者权益保护实施办法》将与金融消费者有关的信息统称为“个人金融信息”，而没有使用“个人金融数据”这个概念。由于两个概念之间存在一定的相似性，但是从词义角度，两者实际上存在着一定的差别，故有必要对“个人金融数据”和“个人金融信息”两个概念进行明确的区分，否则将二者混用，将会导致现实监管与规制中出现矛盾与误解。1.“信息”与“数据”的概念分析。《个人信息保护法》将“个人信息”定义为“通过电子或者其他形式记录的与已识别或者可识别的自然人相关的各种信息”，《数据安全法》对“数据”的定义是“以电子形式或其他途径对信息进行的记录”，由此可见，“信息”与“数据”的定义有着相似之处。但是，“数据”更加强调的是数据未经过处理和筛选的一种原始状态，而“信息”则代表了一种更高的层次，是对数据进行排序、细化、整合等一系列处理后所得出的。2.“个人金融信息”的概念分析。目前，境内外对“个人金融信息”的概念进行了不同的界定。美国将“个人金融信息”定义为“非公开信息”，即消费者在金融交易或者接受的服务中，其身份相关的金融信息是由金融消费者提供给金融机构的，并且是只有金融机构与金融消费者双方知晓。因此，美国认为个人金融信息通常无法通过公开渠道获得，具有一定的私密性。对于“个人金融信息”的概念，我国将其界定为是金融机构在商业活动中或者是通过其他方式收集到的个人信息。比较两国对“个人金融信息”的概念定义的异同，会发现个人金融信息是金融机构在提供产品或者服务过程中所采集获得的针对特定自然人的具体信息，并且这些信息由金融机构进行控制和处理。

第二节 数据跨境流动的概念界定与场景

分析一、数据跨境流动的概念界定截至今日，全世界对“数据跨境流动”概念的界定还未达成一致。联合国跨国公司中心认为“数据跨境流动”是，跨越国界对储存在计算机中的机器可读数据进行处理、存储和检索。经济合作与发展组织将其界定为：个人数据跨越国界流动。各国一般将其解释为：数据在国家或地区之间以数字化形式进行点对点的传输。数据在国际间的跨境流动一般呈现三种形式：一是数据直接跨境，即数据直接从境内传输到境外以及直接在境外采集数据，这也是最常见的数据跨境形式。二是数据间接跨境，即允许境外主体直接访问境内存储的数据，在此情况下，数据虽然没有跨越国界流动，但是境外仍然可以访问。第三种方式是直接将数据转移给，虽然位置位于境内但实际上未在其境内注册或不属于其司法管辖范围的主体。二、数据跨境流动的场景分析在数据跨境流动必须遵循一个重要的原则，即目的限制原则。该原则禁止金融机构对数据进行任何与目的不符的处理行为，认为金融机构收集数据的目的必须特定、明确并且合法。因此在研究跨境流动时，目的是一个重要因素。根据目的对场景进行划分，跨境流动的场景大致可以分为两种类型：一是基于日常商业行为进行数据跨境的场景，二是基于境外监管或司法行为进行数据跨境的场景。其中，第一类场景又可以细分为三个具体的场景。1.基于日常商业行为进行数据跨境的场景跨境汇款与支付场景，是个人金融数据跨境流动的重要形式之一，也是最常见且频繁的场景。境内汇款账户的开户行为了完成汇款、支付业务，将个人金融数据传输至境外收款账户的开户行以及收款账户持有者。由于支付、汇款时需要确认支付、汇款人身份，传输的个人金融数据是个人身份信息。此外，还可能存在第三方支付平台参与其中，该情况下由平台将个人金融数据传输至境外的分支机构、收款方，以及收款方银行的开户行。跨境投资场景，旨在使客户能够在境外开立投资账户参与境外投资，为客户提供更多的投资选择和机会。此时，由开展投资业务的金融机构在境内的实体将个人金融数据传输给其在境外的实体。委托处理场景，金融机构为了进一步挖掘数据的潜在商业价值，将搜集的个人金融数据委托给境外信息处理机构，进行整合、分析、处理，为其提供了更多的数据分析和应用可能性。此时，境内金融机构作为个人金融数据的传输者，境外数据处理机构作为接收者。2.基于境外监管或司法行为进行数据跨境的场景基于境外监管或司法行为进行个人金融数据跨境的场景是指境内外资金融机构为遵守境外金融监管部门的规定，满足其监管、司法要求而进行的跨境流动。此时由境内金融机构将相关个人金融数据传输至境外金融监管部门。该场景下的数据能否进行跨境与个人金融数据的具体类型，视两国金融监管部门之间的监管合作协议而定。①因此，在此情况下，金融机构需要遵循国际规定和合作安排，以确保数据传输的合规性和安全性。

第三节 个人金融数据跨境流动的规制基础

个人金融数据跨境流动的规制基础包括从自主控制到机构控制，再到社会控制的过程。一、个人控制信息自决权，是个人对个人信息的自主决定，包括决定信息公开与否、公开的程度，以及如何使用信息。个人信息的收集、处理和转让应在合法和必要的前提下进行，同时必须尊重和保护个人的信息自决权。个人信息权利的核心内容是在信息收集过程中，必须获得个人的明确同意，以体现对个人隐私和尊严的尊重和保护，由此引发的传统个人信息自主控制论成为了国际上的主流观点，许多国家都将“用户同意”作为处理个人信息合法的判断基础。②这无疑有力地保障了个人在信息处理中的自主性，但是却带来了另一个问题，由于隐私条款冗长且复杂，且存在大量的例外条件，缺少专业知识一般用户可能选择不阅读或者无法理解其中的条款意思，并且只有同意了隐私条款，用户才能进行其所期望的业务，由此，可能不得不选择同意，这导致“同意”虚化，并且金融机构后续可以以用户已同意隐私条款来规避责任。

第五章 我国个人金融数据跨境流动法律规制的完善途径

第一节 制定专项立法完善规制对象范围与规制不足我国越来越注重对数据安全与个人隐私安全的保护，陆续出台了多部规制个人数据的法律规范，但是仍然缺少针对金融领域个人数据的专门性立法。金融领域是影响国计民生的重要领域并且具有一定的特殊性，应该对其加以关注。目前，个人金融数据跨境受到多部法律规范的共同规制，导致出现规制混乱与不足的情况，既不利于数据跨境安全也不利于数据跨境自由，因此，必须加快制定专项立法规制个人金融数据的跨境活动。对于专项立法的制定，有以下几点需要进行特别关注。一、坚持基本原则并调整规制思路我国对于个人金融数据跨境传输坚持在安全基础上进行数据跨境自由流动的原则。在专项立法时，应该坚持在此原则之上进行法律规制，注重对数据跨境安全的保障。因为，对金融业发展的支持不能以牺牲个人隐私安全、市场稳定、公众安全以及国家安全为代价。我国对个人金融数据跨境规制的规制思路从绝对本地化到一定条件下的跨境传输，从我国近年来的相关数据立法可以看出，适当放宽数据跨境条件限制是整体趋势。美国、日本，以及严格保护个人隐私权利的欧盟，都在积极探索数据自由跨境的途径，可见促进数据自由流动也符合全球整体数据流动趋势。并且，个人金融数据比一般的个人数据更加强调流动的重要性。个人金融数据跨境的商业价值有目共睹，只有在流动中个人金融数据的真正价值才能得以体现，因此，在专项立法中，应该考虑如何对个人金融数据跨境流动的严苛条件进行适当松绑，调整过去的对跨境予以严格限制的思路。在针对个人金融数据的跨境进制定专门性法律规范时，必须以维护国家利益为出发点，贯彻国家总体安全观，积极寻求安全与自由的平衡，在保障个人金融数据安全跨境的基础上，尽可能实现个人金融数据的跨境自由。二、完善规制对象范围通过专项立法完善当前规制对象的空缺。《技术规范》以及将涉及个人金融信息处理的相关机构也纳入规制对象范围，拓展了数据控制者的范围，虽有所完善，但是依然存在漏洞，在此基础之上，应将仍游离于规制之外的为金融机构提供基础业务支持而处理金融数据的非持牌机构纳入规制对象的范围。随着金融与数字科技的发展，规制对象范围不断更新、扩大，除了将上述机构纳入规制范围，还需要持续关注新型规制对象的出现，及时将其纳入规制范围，避免出现规制漏洞。三、引入白名单机制与标准合同机制如前文所述，欧盟模式的白名单机制能够提升数据跨境的灵活性和便利性，在个人金融数据专项立法中可以考虑适用该机制。由于白名单机制需要经过专门、严格的认证、评估，因此，并不会像意见稿中的数据“负面清单”一样导致个人金融数据没有事前监管的保障。欧盟的“充分性认定”是世界上最为严格的数据保护水平认定，可以在结合我国具体实际基础上借鉴其认定条件。在认定与评估白名单时，可以重点关注以下几点：数据保护水平是否达到我国的最低标准水平、国内立法水平是否较高以及相关法律规范是否完备、权利救济机制是否较为完善以及是否与我国签订的有关协议等。并且，当“白名单”中的数据控制者损害了公民、金融机构、公共利益甚至我国国家安全需要追究其责任时，需要有完备的责任追究机制以及域外执法机制，因此，还后续还需要进一步完善此方面的规范。此外，将标准合同引入到金融领域具有一定的可行性，目前适用于一般个人数据的《个人信息出境标准合同办法》已经颁布，个人金融数据与一般数据不同，其敏感度与影响力较大，设计个人金融数据跨境流动的标准合同需要更加严格，可以参考一般数据的标准合同的制定以及目前欧盟现行的三套标准合同模板，在此基础上进行适当的调整，如增加金融机构数据安全保障责任等，有利于降低数据传输成本，落实有关主体责任。

第二节 优化规制主体并推动社会

参与监管一、优化监管部门设置金融行业层面，面对金融业混业经营现状，避免监管空白，建议改变传统分业监管格局，统一金融业监管部门。将央行设置为负责金融数据监管的专门机构，对个人金融数据跨境流动进行整体性的监管。因为银行作为典型的金融业机构，掌握着大量个人金融数据，跨境活动也是最为频繁，央行在制定金融数据规制标准方面有着丰富实践，并且在治理银行业机构的个人金融数据跨境过程中累积了一定经验。与此同时，可以由证监会等部门协助央行监管工作，建立央行牵头，其他部门联合协作的监管机制。根据我国相关法律规定，由网信部门统筹金融监管部门的数据跨境规制工作，因此，网信部门应该加强与央行以及其他金融业部门之间的合作，帮助划分、协调各金融业部门之间的工作与职责，促进执法力度与规制标准的规范与统一，优化规制主体的设计。

结 论

数据是数字时代重要的生产要素，不仅与个人隐私息息相关，还深刻影响金融业的发展甚至国家的安全。随着国际合作的不断深入，为了金融机构能够顺利开展业务，个人金融数据跨境流动不可避免，但是随之而来的问题是数据泄露风险大大增加。对个人金融数据跨境流动进行有效地规制，成为影响社会发展的重要问题以及世界关注的热点问题。我国近年来陆续颁布多部数据相关法律规范，正是旨在对数据跨境的行为进行监管与规制，体现了我国对数据跨境安全的重视。但是我国在此方面的法律规制仍处于起步阶段，面临着多重困境。法律是社会关系的调节器，应及时对大数据时代下的个人金融数据跨境流动活动进行有效地规制。完善我国个人金融数据跨境流动的法律规制，必须以“在安全基础上的数据跨境自由流动”原则为基础，加快专项立法的制定，使个人金融数据在跨境流动时有法可依，完善规制对象范围；统一监管部门并推动多元主体共同监管，形成监管合力；衔接分级分类制度与安全评估制度，构建区别化法律规制措施，并且通过多元场景分析对其进行细化、完善；强化个人权利救济机制使金融消费者权利得到有效保障；加强国际谈判与协作，尽快提出中国方案。随着技术的不断迭代，规制途径也必须与时俱进，随之更新、完善。同时，由于个人金融数据跨境流动涉及多方利益，需要谨慎地进行调整。因此，我国必须根据数据技术与金融业的发展现状，保持审慎态度，进一步探索、完善个人金融数据跨境的法律规制。

参考文献

（一）中文著作类

[1] 陈志武. 金融的逻辑[M]. 北京: 国际文化出版社, 2009.

[2] 韩龙. 国际金融法前沿问题[M]. 北京: 清华大学出版社社, 2010.

[3] 科林·斯科特. 规制、治理与法律: 前沿问题研究[M]. 安永康, 译. 北京: 清华大学出版社,2018.

[4] 高富平. 个人数据保护和利用国际规制: 渊源与趋势[M]. 北京: 法律出版社 2016.

[5] 张继红. 大数据时代金融信息的法律保护[M]. 北京: 法律出版社, 2019.

[6] 个人信息保护课题组. 个人信息保护国际比较研究[M]. 北京: 中国金融出版社, 2017.

[7] 罗斯科·庞德. 通过法律的社会控制、法律的任务[M]. 沈宗灵, 董世忠, 译. 北京: 商务出版社, 1984.

（二）中文期刊类

[1] 朱芸阳. 个人金融信息保护的逻辑与规则展开[J]. 环球法律评论, 2021, 43(06): 56-73.

[2] 邢会强. 大数据时代个人金融信息的保护与利用[J]. 东方法学, 2021, 79(01): 47-60.

[3] 李东方, 李耕坤. 数字经济时代个人金融信息的经济法分析与对策——从“立法碎片化”到《个人金融信息保护法》[J]. 中国政法大学学报, 2023(01): 201-215.

[4] 黄伟. 个人金融信息跨境转移的法律规制——欧盟实践及其借鉴[J]. 中国金融, 2013(19):87-88.

[5] 高富平. 论个人信息保护的目的——以个人信息保护法益区分为核心[J]. 法商研究, 2019,36(01): 93-104.

[6] 高富平. 个人信息保护: 从个人控制到社会控制[J]. 网络信息法学研究, 2018(02): 159-190.

[7] 高山行, 刘伟奇. 数据跨境流动规制及其应对——对《网络安全法》第三十七条的讨论[J].西安交通大学学报(社会科学版), 2017, 37(02): 85-91.

[8] 蔺捷, 田晨. 个人金融数据跨境流动规制研究[J]. 上海大学学报(社会科学版), 2021, 38(06):95-107.

[9] 包晓丽. 数据产权保护的法律路径[J]. 中国政法大学学报, 2021(03): 117-127.

[10] 衣俊霖. 论公共数据国家所有[J]. 法学论坛, 2022, 37(04): 107-118.

[11] 马兰. 金融数据跨境流动规制的核心问题和中国因应[J]. 国际法研究, 2020(03): 82-101.

[12] 任龙龙. 论同意不是个人信息处理的正当性基础[J]. 政治与法律, 2016(01): 126-134.

[13] 杨芳. 个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体[J]. 比较法研究,2015(06):