个人金融数据跨境流动规制研究

蔺 捷1， 田 晨2 

（1.上海对外经贸大学 法学院，上海201620；

2.湖南启元律师事务所，长沙410007）

摘要：随着数字科技与金融服务的深度融合，个人金融数据跨境流动已成为不可逆趋势。域外数据立法试图以规制的方式寻求个人金融数据跨境自由流动同个人金融数据保护两者之间的平衡。我国个人金融数据经历了从绝对本地化要求到有条件跨境流动的过程。个人金融数据跨境流动规制面临多重困境：个人金融数据跨境流动规范不清晰和不统一；个人金融数据跨境流动安全审查未引入针对金融行业的考量因素；个人金融数据跨境流动国际规则制定中难以形成我国影响力。在未来完善个人金融数据跨境流动规制的进程中，“进” 应树立动态的个人金融数据价值观，细化个人金融数据跨境流动具体规制措施，为个人金融数据跨境流动的不同场景构建区别化的规制模式；“退”则通过识别个人金融数据跨境流动过程中的不同法益，在现行法律体系框架下积极寻求和探索综合且多元的个人金融数据保护路径。

关键词：个人金融数据；数据跨境流动；数据流动自由；数据保护；金融规制

一、引言

在数字经济时代，国与国之间在资源上的竞争，将从原先的自然资源领域扩展到数 字经济领域。［1］而数字经济的发展离不开数字经济的安全考量和安全保障，数字经济的发展与安全应并行不悖。随着大数据采集、储存、分析挖掘等技术的发展以及 5G 基站、互联网数据中心等新型基础设施的建设，数据已成为数字经济下的核心资源。数字经济时代下，个人数据已成为企业经营活动的基础资料，并能够实时连接入云、人工智能、互联网商业、社交媒介等终端。在企业跨境经营的助推下，个人数据跨越国界的转移成为大势所趋。而“棱镜门事件”后，个人数据出境①后引发的个人隐私泄露、个人数据安全等问题，促使各主权国家意识到传统的法律体系、安全保障设施等基础设施已无法跟上高速发展中的科技创新。对此，国家主权向网络空间延伸，演化出了诸如“数据主权” “网络主权”“信息主权”等概念，［2］为各国采取立法措施限制个人数据自由流动提供合法性基础。近年来，数据本地化立法明显增多，［3］个人数据有限流动的态势愈加显著，各国也逐步通过提升数据立法技术、参与国际数据跨境流动治理等方式提高各国在数据治理中的话语权。

2020 年 5 月，中共中央、国务院发布《关于新时代加快完善社会主义市场经济体制的意见》，提出“加快培育发展数据要素市场，建立数据资源清单管理机制，完善数据权属界定、开放共享、交易流通等标准和措施，发挥社会数据资源价值”。健全数据要素市场已成为当前社会主义市场经济体制改革的重要组成部分。2021年6月10日，第十三届全国人大常委会第二十九次会议表决通过《中华人民共和国数据安全法》（以下简称《数据安全法》）。2021 年 8 月 20 日，第十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）。这两部立法成为继《中华人民共和国网络安全法》（以下简称《网络安全法》）和《中华人民共和国民法典》（以下简称《民法典》）后我国个人信息和数据保护的主要法律依据。而在个人金融数据立法方面，我国较早对银行业个人金融数据跨境流动提出规制要求。随着电子商务的发展，我国金融数据经历了从绝对本地化要求到有条件跨境流动的发展过程，［4］但严格的个人金融数据本地化、滞后的个人金融数据跨境流动规制模式以及国内外个人金融数据跨境流动规制的断层，对拓宽境内金融机构业务范围、吸引境外资本流入国内将产生负面作用。因此，我国在建立健全个人金融数据跨境流动规制过程中，有必要树立起科学、可持续性的个人金融数据跨境流动规制理念，采取有针对性和灵活性的个人金融数据跨境流动规制模式，同时积极利用个人金融数据跨境流动活动与现行法律保护体系的耦合关系，实现对个人金融数据跨境流动活动的多元保护，提升我国个人金融数据跨境流动的治理能力，强化我国在国际个人金融数据跨境流动规制理论与实践中的影响力和号召力。

①国际上常用的“trans-border flow of personal data”或“trans-border data flow”等表述可译为“个人数据跨境流动”。而我国公布的《个人信息和重要数据出境安全评估办法（征求意见稿）》与《个人信息出境安 全评估办法（征求意见稿）》使用了“个人数据和重要信息出境安全”这一表述；《数据安全法》共计一次提及“向境外提供”，两次提及“出境安全管理”；《个人信息保护法》共计三次提及“向境外提供”。为与国内表述相统一，在后文立足于我国现有个人信息和重要数据跨境流动规制措施，沿用“出境”这一表述。

二、我国个人金融数据跨境流动规制现状

在数据跨境流动愈加频繁的今天，不论从跨国集团业务的需求，还是从监管需求来看，个人数据跨境流动已成为不可逆趋势。然而数据这把双刃剑，其对个人、社会和国家带来的利益和损害都是难以估量的 。2015 年 7 月 1 日起施行的《中华人民共和国国家安全法》首次将“数据安全”纳入国家安全范畴，强调“重要领域信息系统及数据的安全可控”。2016 年 11 月 7 日，第十二届全国人大常委会第二十四次会议通过了《网络安全法》，明确将金融行业视为“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”，并提出了个人信息和重要数据出境安全评估的要求。《数据安全法》和《个 人信息保护法》也重申了此项要求。①与《数据安全法》和《网络安全法》更加侧重国家安 全与公共安全不同，《个人信息保护法》属于私法上个人权利保护的分支，更加侧重对个人信息权益的保障，而《数据安全法》更具规范企业数据管理及完善国家数据治理的公法色彩。因此，两者在后续适用中应当相辅相成，互为补充。

在金融领域，我国早期的个人金融数据跨境流动规制散见于国务院部门的规范性文件中。近年来，随着科学技术的发展以及数据立法的迭代，出台和更新个人金融数据 跨境流动相关规范的需求也显得尤为迫切。而个人金融数据不仅具有高敏感性和高价值性，也是金融机构开展业务的基础资料之一，与国家金融安全休戚相关。因此，有必要对个人金融数据跨境流动进行规制。在对个人金融数据跨境流动进行规制的过程中，一方面要注重保护个人金融数据和个人金融隐私，同时还应确保合理的数据流动下的经济效益。［5］ 然而，我国尚未明确规定个人数据的范围及个人数据权。域外立法中对个人数据与个人信息不加区分，本文亦采用此种表述，将个人数据与个人信息相等同， 结合《个人信息保护法》和《数据安全法》的相关规定展开论述。

（一）我国国内个人金融数据跨境流动规制现状

中国人民银行（以下简称“央行”）在2011年1月21日发布的《关于银行业金融机构做好个人金融信息保护工作的通知》中首次使用了“个人金融信息”这一概念。《个人信息保护法》将个人信息定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”；而《数据安全法》中对数据的定义则是“任何以电子或者其他方式对信息的记录”。由此来看，数据是信息的载体，而个人金融数据常表现为个人金融信息。

1.一般性的个人金融数据跨境流动规制

我国《民法典》明确区分了“个人信息” 和“数据”。②从法条表述来看，我国对个人信息的保护，既不同于美国将个人信息纳入隐私保护法律体系，［6］也与欧盟将个人数据视为基本人权存在显著区别。［7］在我国现行立法中，对数据权属尚无明确规定。仅在 2022 年 1 月 1 日起将施行的《深圳经济特区数据条例》中，明确规定自然人对个人数据享有法律、行政法规及本条例规定的人格权益，而自然人、法人和非法人组织则对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。

①即《数据安全法》第三十一条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集 和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中 华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有 关部门制定。”《个人信息保护法》第四十条规定：“关键信息基础设施运营者和处理个人信息达到国家 网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境 内。确需向境外提供的，应当通过国家网信部门组织的安全评估。” 

②详见《民法典》第一千零三十四条及第一百二十七条之规定。

根据《网络安全法》的规定，个人信息和重要数据仅在“因业务需要，确需向境外提供”并通过相应的安全评估才可出境。据此，个人信息出境安全评估制度将成为我国个人金融数据跨境流动的主要规制手段。①就此制度，我国互联网信息办公室先后于2017 年 4 月 11 日和 2019 年 4 月 13 日公布了《个人信息和重要数据出境安全评估办法（征求意见稿）》（以下简称“《2017 征求意见稿》”）和《个人信息出境安全评估办法（征求意见稿）》（以下简称“《2019征求意见稿》”）。然而截至目前，我国该出境安全评估制度的具体内容尚未落地。具体见表1。

①即《网络安全法》第三十七条：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

与《2017征求意见稿》相较，《2019征求意见稿》在命名及内容上，仅对“个人信息”加以规定。这主要是基于我国对个人信息与数据定位的变化：将个人信息、个人信息安全置于个体层面，着力保障个人对信息的控制权，而将数据、数据安全置于国家层面，防止恶意使用对国家安全造成威胁。

2.特殊性的个人金融数据跨境流动规制

从我国金融机构管理部门颁布的有关个人金融数据管理规则来看，我国金融监管部门对个人金融数据跨境流动的规制经历了从绝对本地化要求到有条件跨境流动的过程。表2梳理了我国金融行业中为个人金融数据跨境提供原则或规则的法律文件或行业标准。

（二）我国签署的自由贸易协定中个人金融数据跨境流动规制

2020 年 11 月 15 日，第四次区域全面经济伙伴关系协定领导人会议以视频方式举行，我国同日本、韩国、澳大利亚、新西兰和东盟十国共同签署了《区域全面经济伙伴关系协定》（Regional Comprehensive Economic Partner-ship，RCEP），其中第八章附件一“金融服务”的第九条是“信息转移与信息处理”，规定缔约方不得采取措施阻止其领土内的金融服务提供者为进行日常运营所需的信息转移，包括通过电子方式或其他方式进行数据转移。但是，这一规定并不阻止一缔约方的监管机构出于监管或审慎原因要求其领土内的金融服务提供者遵守与数据管理、存储和系统维护、保留在其领土内的记录副本相关的法律和法规，只要此类要求 不被用作规避一缔约方在本协定项下之承诺或义务的手段；也不限制一缔约方保护个人数据、个人隐私，以及个人记录和账户机密性的权利，包括根据其法律和法规进行保 护的权利，只要此类权利不被用作规避一缔约方在本协定项下的承诺或义务的手段；也不得解释为要求一缔约方允许与其未作出承诺相关的跨境提供或者境外消费服务；包括允许本地金融服务提供者作为委托人通过中介机构或作为中介机构提供金融信息转移和金融数据处理业务。

由此，我国基本认可了目前国际组织普遍倡导的“提供个人金融数据跨境流动便利，消除不必要的数据流动阻碍”的做法，并在许多自由贸易试验区试点数据港及有条件的跨境数据流动。［8］从我国目前签订的与个人数据流动相关的自由贸易协定时间和内容来看，我国在数据贸易、个人数据跨境流动等方面的规定仍处于起步阶段：一方面，协定尚未明确“出于监管或审慎原因”下数据保留的具体情形及保留程度；另一方面，协定中缺乏与个人数据跨境侵权等相呼应的救济渠道以及司法协作等程序性规定，难以真正维护数据安全以及释放数据红利。

三、我国个人金融数据跨境流动规制困境

随着全球数字经济的兴起，数据从对信息的记载形式逐渐转化成具有独立经济价值的一种利益形态。《网络安全法》实施以前，个人金融数据跨境流动规制内含禁止出境的基本理念。我国新近出台的相关法律文件虽有创新，但仍依托《网络安全法》下个人信息与关键数据出境安全评估制度，仅在“业务需求+客户同意+安全评估+履行数据安全义务”等多重前提下，个人金融数据跨境流动才被认可。作为金融行业推荐性规范的《个人金融信息保护技术规范》，其中对向境外提供个人金融信息提出了四点具体要求：第一，应符合国家法律法规及行业主管部门有关规定；第二，应获得个人金融信息主体明示同意；第三，应依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估，确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求；第四，应与境外机构通过签订协议、现场核查等方式，明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务。综上来看，金融数据本地化仍然是跨境流动规则的主流思想。然而，严苛的“数据本地化”政策在国际社会饱受诟病。［9］从未来个人金融数据跨境流动的发展来看，我国长期采取过于严苛的个人金融数据本地化政策，将增大金融机构的合规成本，降低金融市场活力，消减金融机构国际化发展的信心，从而引发个人金融数据跨境流动的新风险。

从国内现行立法来看，个人金融数据跨境流动规制存在不清晰、不统一的情况。造成这一现象的原因主要有两个：一是数据与个人信息在定义上存在重合。从前述《个人信息保护法》和《数据安全法》对相关概念的定义可以看出，个人信息和数据在范围上或具有一致性。具体到金融领域，2019年10月央行曾向各银行下发《个人金融信息（数据）保护试行办法（初稿）》，其中对个人金融信息与个人金融数据并未加区分。此外，自2020年9月23日起施行的金融行业标准《金融数据安全 数据安全分级指南》结合了《个人金融信息保护技术规范》中对个人金融信息的分类，①将C1、C2、C3类别的个人金融信息归入不同安全等级的金融数据之中。这些都侧面反映出我国金融管理部门存在混用个人金融信息与个人金融数据的情形。二是个人信息与重要数据出境安全评估制度尚未落地。由上文可知，金融行业作为《网络安全法》下的关键信息基础设施，对个人金融数据出境适用《网络安全法》下个人信息和重要数据出境安全评估制度。而在《2019征求意见稿》后，我国个人信息与重要数据出境安全评估制度迟迟没有落地。而尚未落地的这一制度延续的仍然是一种笼统的、具有普适性的审查方式。个人金融数据是具有高敏感性、高价值、受损后后果更严重的重要数据，应受到更多基于行业安全和国家安全的关注和考量，对其跨境流动规制也应增加行业针对性的审查因素。

从自由贸易协定来看，《区域全面经济伙伴关系协定》的签署表明了我国对金融服务领域数据开放的意愿和信心。在规制客体上，各国普遍采取或个人数据或个人信息的表述，域外个人数据与个人信息在内涵上具有一致性，而我国个人信息与数据的相关立法旗帜鲜明地表明了个人信息和数据将采取有差别的保护模式。《数据安全法》更多地停留在数据管理层面，尚未就数据的权属予以明确。而《个人信息保护法》中也并未提及数据与个人信息之间的关系。个人数据是否可以取得与个人信息同等的保护？个人数据能否归属于个人数据提供者？这些在现行的基础法中都不得而知。如何有效衔接国内规则与国际规则，避免出现歧义或误解将成为未来我国完善个人金融数据跨境流动规制的焦点问题。

四、完善我国个人金融数据跨境流动规制的路径

新出台的《个人信息保护法》在个人信息出境规则上有了新的发展：第一，其区分了关键信息基础设施运营者在境内收集和 产生的个人信息、国家机关处理的个人信息与一般信息基础设施运营者在跨境提供规则上的要求；②第二，增加了个人信息提供者的知情权；③第三，提出了个人信息限制或禁止提供的两种情形；④

②详见《个人信息保护法》第四十条、第三十六条和第三十八条之规定。 

③详见《个人信息保护法》第三十九条之规定。

④详见《个人信息保护法》第四十二条和第四十三条之规定。

第四，回应了外国司法或执法机构关于提供存储于境内个人信息的请求。①在细分行业——个人金融数据领域内，央行等下发的有关个人金融数据管理、个人金融数据跨境提供的文件在推动实践发展的同时也为后续两部新法的实施奠定基础。结合国内现状及国际经验，我国个人金融数据跨境流动规制之“进”在于形成科学、可持续的规制思路，以全球化的视野和生态性的逻辑实现个人金融数据跨境流动规制措施的多样化和灵活化，针对不同场景下的个人金融数据跨境流动采取有区别的保护模式；我国个人金融数据跨境流动规制之“退”在于通过识别个人金融数据跨境流动过程中的不同法益，在现行法律保护体系框架下积极寻求和探索综合且多元的个 人金融数据保护路径。

①详见《个人信息保护法》第四十一条之规定。

（一）个人金融数据跨境流动规制之进路

应当明确的是，数据本地化与数据自由并非互不相容，而在于我们如何在国家数据主权、公司利益与用户隐私安全的冲突之间达成平衡与协调，又能接受多高的透明度、放弃哪种程度的数据流动自由以换取何种水平的隐私安全。

虽然我国金融业发展距离欧美等国家或地区尚有差距，个人金融数据跨境流动的迫切性与经济收益的普遍性也尚不明显，但随着我国金融开放程度的不断加深以及全球金融混业经营业态的持续，大规模、高频次的个人金融数据流动将成为大势所趋。我国拥有个人金融数据应用的广泛场景，但在个人金融数据保护领域的发展却相对滞后，这一断层一定程度上影响了我国数据贸易等相关产业的发展速度，也影响了国际社会对我国个人金融数据应用领域发展前景的预判。因此，未来我国的数据立法不仅要考虑本土金融产业的利益诉求，也要考虑国内数据立法的溢出效应，以先进的法律制度吸引国际资本，提升金融产业发展信心。

1.树立动态的金融数据价值观

数字技术引发的问题并不限于是否立法，更在于采取何种价值序列、以何种方式立法以及如何与既有法律监管体系相协调。从世界范围来看，数据安全与数据自由流动的天平，是随着个人金融数据的时代价值而 出现摇摆的。过分主张数据主权和机械地限制个人金融数据的跨境流动，既无法实现当今时代对国家、产业发展的利益诉求，也无法实现数字时代下个人金融数据的潜在价值。只有避免了比规制成本更大的损失或者取得了更大的利益时，对个人金融数据跨境流动的规制才能被视为正当和合理的。［10］因此，尽管实施数据本地化策略有其正当性，但将这一策略绝对化也将产生更大的负面作用，［11］可能造成新的“数字贸易壁垒”。［12］

故而，看待个人金融数据跨境流动规制应当展现出动态性、灵活性的特征，它将随着国内信息技术水平以及行业数据控制、保护能力而时刻变通和发展。我国拥有完整的信息产业链以及丰富的个人金融数据资源和应用场景。但整体上而言，信息技术基础能力及数据处理、分析能力又落后于美国和欧盟等国家和地区。因此，完全自由的个人金融数据跨境流动制度将恶化我国金融业的竞争业态，不利于我国金融业长期稳定发展。反观我国现行的个人金融数据跨境流动规制措施，其不加区分个人金融数据跨境流动场景且存在过于严苛的情况，也可能将我国金融市场逼入“数据孤岛”的境地：国 内金融业机构难以对等地拓展域外业务、参与国际化的竞争，金融消费者也无法享受全球规模效应下带来的好处，给经济发展带来负面影响。［13］

各国优先保护本国数据利益和本国金融利益的需求，也直接决定了各国在个人数据传输上的基本立场。我国个人金融数据本地化政策由来已久，限制金融数据的跨境流动根源于金融风险的传导性、信息不对称性和金融业的战略重要性。［14］ 从国际上来看，欧盟和美国创建了个人数据跨境流动规制的两大立法范式。此两大范式之间既相互竞争，又相互妥协和融合。［15］ 因此，有必要适当放宽个人金融数据跨境流动规则，确保国内金融机构能对等地拓展对外业务、参与国际化竞争， 国内金融消费者能享受到全球规模效应下的益处。同时这一放宽应当循序渐进，与我国数字贸易水平、信息技术开发能力、个人隐私保护能力等相协同、相匹配。

2.明确个人金融数据跨境流动具体规制措施

前述可知，在我国现行有效的法律文件中，缺少对数据权利以及数据归属的明确规定。这既造成了我国个人金融数据跨境流动规制的尴尬局面，也影响了我国国内规制客体与国际跨境数据流动规制客体保持一致性。因此，未来应当在个人信息与数据、重要数据之间作出明确且清晰的界定。同时，尽快落地个人信息和重要数据安全评估制度，从而明确个人金融数据出境规制的具体措施。

此外，在后续的个人金融数据出境治理中，我国可在个人信息和重要数据安全评估制度之内，进一步细化个人金融数据出境具体规制措施，提高对我国个人金融数据跨境流动的保障效果。一方面，应当体现出个人 金融数据的专业性和特殊性。另一方面，积极利用现有个人金融数据的分级分类，构建多样的、灵活的个人金融数据出境规制模式。如通过个人金融数据的分级分类对出境的个人金融数据采取差异化的规制路径。结合《个人金融信息保护技术规范》之分类， 将《个人金融信息保护技术规范》中规定 C1 类别的数据，包括客户账户开立时间、开户机构，以及基于账户信息产生的支付标记信息等，主要供机构内部使用，对这一类别的 个人金融信息应当放宽限制条件，可原则上经数据主体明示同意和数据传输方内部评估后即可实现自由出境；C2类别的数据则是为可识别特定主体身份或金融状况的个人金融信息，以及用于金融产品与服务的关键信息，可基于业务需要，在得到数据主体明示同意、存在个人金融信息出境保护等相关契约以及通过主管部门安全评估后方可出境；C3 类别敏感程度最高、权利被侵害后的影响也最大，目前并不适宜放宽个人金融数据出境的门槛。在此基础上，可分别设置具有差异化的出境要件要求，如“明示同意”要件上：对 C1类别可采取点击“同意”、主动勾选等方式予以表示，并附加信息传输方的对个人信息出境目的、出境方式等说明义务；对C2类别除对个人信息出境说明义务外，信息传输方只有收到个人金融信息主体做出书面或电子形式的声明后，个人金融信息方可出境。考虑到两种或两种以上不同类别的个人金融数据相混合的情形，首先可采取 解构措施，对不同类别的个人金融数据依照相应规则进行传输，无法分离的应当选择可适用的相较严格的数据出境规制措施。

值得注意的是，数据脱敏作为个人数据跨境传输的一项数据安全处理措施尚未得到充分重视。数据脱敏技术是一种可以通过数据变形方式对敏感数据进行处理，从而最大限度地减少敏感数据泄露的风险并在保护用户隐私数据的前提下，使数据挖掘、分析的价值实现最大化。［16］ 因此，适当地使用数据脱敏技术，可以有效地减少敏感数据在采集、传输、使用等环节中的暴露，降低敏感数据泄露的风险，尽可能降低数据泄露造 成的危害。在涉及大数据分析应用的领域，企业需要在保证数据安全及合规的前提下，依旧能够保有数据的可用性及可增值性。数据脱敏技术将成为企业合规的重要技术手段。具体来看，其在高度依赖信息技术的金融行业中具有广泛的应用前景，但受制于目前数据脱敏技术的发展，该项技术并未得到对等程度的使用，未来将其作为数据安全措施应用于个人金融数据跨境流动具有可行性。

3.区分个人金融数据跨境流动的不同场景

从域外立法经验来看，欧盟的《通用数据保护条例》和美国的《消费者隐私权利法案》就是将个人数据权利放置于不同的跨境传输场景中区别对待，区别保护。如欧盟的《通用数据保护条例》中便区分了“基于充分性的转移”与“不具备充分性的转移”。［17］通过划分不同个人金融数据跨境流动场景，增加更多可实现个人数据跨境转移的条件或情形，［18］ 以此赋予个人金融数据跨境流动更 多的灵活性和便利性。同时，个人金融数据的跨境流动本身就是一种经济性活动，如果 法律规制不能因势利导，只是简单施加各种禁止性或者强制性规定，势必因为激励不相容影响有效实施。［19］ 因此，个人金融数据跨境流动的不同场景和不同规制模式，可以帮助行政机关与金融机构之间就个人金融数据的跨境流动进行相互激励，同时实现个人金融数据跨境流动安全与效率的双重要求。未来可适当增设个人金融数据跨境流动的场景，消除不必要的个人金融数据跨境流动障碍。

（二）个人金融数据跨境流动规制之退路

个人数据具有人格权属性并蕴含着巨大的财产价值和经济利益。［20］ 除了上述直接作用于个人金融数据跨境流动规制的建议外，通过识别、规范个人金融数据跨境流动的各个环节和利益，①采用多维度的法律规则予以规范，即我国个人金融数据本地化之 “退”，如利用合同法、侵权法、竞争法等保护路径实现对个人金融数据跨境流动活动的规范和调整，都将进一步优化个人金融数据保护体系。

①如学者高富平提出：个人信息保护领域中的利益涉及两个方面、三种利益，即个人信息本身所附着的 信息主体的个人利益，以及与个人信息处理紧密结合的信息使用者（数据控制者）的利益和公共利益。详见高富平：《个人信息使用的合法性基础——数据上利益分析视角》，载《比较法研究》2019年第2期 第72-85页。

1.合同法路径下的保护

20世纪80年代的法国，广泛运用于数据跨境流动活动中的标准合同条款（Standard Contractual Clause），［21］实质上是利用国内合同法对个人信息跨境传输予以保护。这一应用也被现代国家广泛接纳并成为重要的个人数据跨境流动模式之一。欧盟委员会先后于 2001 年 6 月、2002 年 1 月、2004 年 12 月公布的三套可供欧盟境内数据控制者向第三国数据控制者转移数据自由使用的标准合同条款，以及 1997年 4月我国香港特区个人资料隐私专员公署发布的《向香港境外转移个人数据的格式合同》都受此影响。这一合同模板的公布强化了国家对数据传输安全标准的掌控，有利于实现国家对实现个人隐私保护的预期。这些合同模版的出台和应用也在一定程度上缓解了国内数据法严苛要求与个人数据自由流动需求之间的矛盾，降低了个人数据跨境传输中的缔约成本，落实跨境个人数据传输责任，促进个人数据跨境流动规制的融合和统一。根据《个人信息保护法》第三十八条的规定，“个人信息处理者因业务等需要，确需向中华人民共 和国境外提供个人信息的，应当具备下列条件之一：……（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方 的权利和义务”。我国已明确将标准合同列为一般性个人信息跨境流动的合法途径之一，虽其尚未被应用于金融领域，但未来公布的标准合同条款及原则将为个人金融数据跨境合同的设计提供参考依据。

2.侵权责任法路径下的保护

个人数据蕴含的财产利益在大数据时代中得到了充分放大。我国《民法典》将个人信息、数据作为民事权益的一种加以规定，而《民法典》的侵权责任编以侵害民事权益的民事关系为调整对象，保障民事主体的合法权益不受侵犯。因此，个人金融数据的保护也自然落入侵权责任编的保护范围之中，适用一般跨境侵权案件的举证责任和赔偿标准。我国目前互联网数据、信息侵权纠纷数量不多，却已涉及多种类型纠纷，如互联网服务供应商与用户的纠纷、第三人公开个人信息产生的纠纷等。未来，在探索个人数据跨境侵权纠纷的解决措施方面，需进一步明确“个人数据跨境侵权”的定义和基本类型，充分利用国际私法中的连接点，确立侵权管辖地，并尝试对已有的权利进行视角转换，适时将数据处理者的义务转化为数据主体相应的权利。

3.竞争法路径下的保护

个人数据是网络运营者开展业务活动的重要业务资料，掌握了个人金融数据就能充分挖掘出个体的经济实力、金融消费偏好等信息，个人金融数据的商业价值由此体现。作为商业竞争的有效信息，个人金融数据理应被覆盖于竞争法保障范围之下。而个人金融数据可以有两种不同的保护模式：其一是个人金融数据作为商业秘密采取的保护，个人金融数据的商业价值不言而喻， 同时网络运营商也会通过相应的安全保障措施以避免数据泄露等数据安全问题，并对收集的个人金融数据享有控制权。因此，商业秘密制度可以在很大程度上保护企业的数据信息和数据文件。［22］ 另一种保护模式源 于一般性的竞争法规定。未来个人金融数据出境活动将成为金融机构开展国际业务的重要环节。而经营者扰乱市场竞争秩序，损害其他经营者或者消费者合法权益的行为，将受到《中华人民共和国反不正当竞争法》和《中华人民共和国反垄断法》等相关法律的规制。因此，从经济法效率与公平的观点出发看待个人金融数据出境活动，有利于将公平、有序的市场竞争环境延伸至我国金融市场中去。

五、结语

从全球范围看，数据流动对全球经济增长的贡献已经超过传统的国际贸易和投资。各国都对数据跨境流动表达高度关切。而个人金融数据出境一直是金融机构国际化业务的重要一环，无序流动将为行业安全和国家安全埋下隐患。未来，我国在个人金融数据出境规制的完善过程中，有必要引入动 态化的价值判断，明晰个人金融数据跨境流动的相关范畴，优化个人金融数据跨境流动具体规制措施，构建不同出境场景下的规制模式，并对个人金融数据出境环节中牵涉的利益诉求辅以现行合同法、侵权责任法、竞争法的保护措施，以此挖掘和发挥数据资源的价值，实现个人金融数据开放与个人金融 数据安全的双赢。此外，个人金融数据跨境 流动也是金融创新的强力支撑，有必要在个人金融数据跨境流动活动中加强国际合作，在数据跨境流动与风险防控之间寻找最佳平衡，为个人金融数据跨境流动提供更有效的制度安排和技术支持。

参考文献：

［1］ 阎学通 . 数字时代的中美战略竞争［J］. 世 界政治研究，2019（2）：1-18，208-209.

［2 ] David R Johnson， David Post. Law and Borders: The Rise of Law in Cyberspace［J］. Stanford Law Review，1996（5）: 1367-1402. 

[ 3 ] Erica Fraser. Data Localisation and the Balkanisation of the Internet［J］. SCRIPTed， 2016（3）: 359-373. 

［4］ 温树英 . 数据本地化要求的困境与对策:以 金融服务贸易为例［J］. 国际经济法学刊， 2021（2）：14-26.

［5］ 黄宁，李杨“. 三难选择”下跨境数据流动规 制的演进与成因［J］. 清华大学学报（哲学 社会科学版），2017（5）：172-182，199.

［6］ Gregory Shaffer. The Power of EU Collective Action: The Impact of EU Data Privacy Regulation on US Business Practice ［J］. European Law Journal，1999（4）: 419-437. 

［7］ 齐爱民 . 拯救信息社会中的人格：个人信息 保护法总论［M］. 北京：北京大学出版社， 2009：173.

［8］ 王中美 . 跨境数据流动的全球治理框架：分 歧与妥协［J］. 国际经贸探索，2021（4）：98- 112.

［9］Anupam Chander， Uyên P Lê. Data Nationalism［J］. Emory Law Journal，2015 （3）: 677-740. 

［10］ 韩龙 . 金融法与国际金融法前沿问题［M］. 北京：清华大学出版社，2010：37.

［11］ 许多奇 . 论跨境数据流动规制企业双向合规的法治保障［J］. 东方法学，2020（2）：185-197.

［12］ Mira Burri. Should There Be New Multilateral Rules for Digital Trade？［EB/OL］（. 2013-12- 30）［2021-05-28 ]. http://e15initiative. org/ publications/should-there-be-new-multilate ral-rules-for-digital-trade/.

［13］ 高山行，刘伟奇 . 数据跨境流动规制及其应 对——对《网络安全法》第三十七条的讨论 ［J］. 西安交通大学学报（社会科学版），2017 （2）：85-91.

［14］ 马兰 . 金融数据跨境流动规制的核心问题 和中国因应［J］. 国际法研究，2020（3）：82- 101.

［15］ 许多奇 . 个人数据跨境流动规制的国际格 局及中国应对［J］. 法学论坛，2018（3）：130-137.

［16］ 叶水勇 . 数据脱敏技术的探究与实现［J］. 电力信息与通信技术，2019（4）：23-27.

［17］ 丁晓东 . 什么是数据权利？——从欧洲《一 般数据保护条例》看数据隐私的保护［J］. 华东政法大学学报，2018（4）：39-53.

［18］ 高富平 . 个人数据保护和利用国际规制：渊 源与趋势［M］. 北京：法律出版社，2016：135.

［19］ 周汉华 . 探索激励相容的个人数据治理之 道——中国个人信息保护法的立法方向 ［J］. 法学研究，2018（2）：3-23.

［20］ 张继红 . 个人数据跨境传输限制及其解决 方案［J］. 东方法学，2018（6）：37-48.

［21］ Lingjie Kong. Data Protection and Transborder Data Flow in the European and Global Context ［J］. The European Journal of International Law，2010（2）: 446-448.

［22］ 纪海龙 . 数据的私法定位与保护［J］. 法学研究，2018（6）：72-91.

编辑：朱千慧    

校对：寇宇宁    

审核：李孝弟