摘 要

隨著數字化時代的來臨以及經濟全球化的不斷深化，數字技術與金融服務的深度融合已逐漸成為一個不可逆轉的發展方向。個人金融業務也逐漸從傳統銀行領域向互聯網金融發展。在此背景之下，個人金融數據跨境流動已逐漸成為一種普遍現象，而由此所帶來的問題也日益凸顯。個人金融數據的跨境流動影響著個人、金融行業及國家的利益，目前，國內外對個人金融數據的定義還未明確規定，存在與個人金融信息概念混用的情形，必須對個人金融數據的相關概念進行明確界定。基于個人金融數據的特殊屬性以及跨境流動的場景多元性，如何完善法律規制成為一大難題。對個人金融數據跨境流動的法律規制，本質上是國家公權力對金融市場和經濟社會生活實施的法律限制措施，其立足于國家與社會經濟的發展，并且應當維持在一個合適的界限之內。近幾年，隨著相關法律法規的陸續發布，我國一直在努力平衡數據跨境流動的“自由性”和“安全性”。在這一過程中，我國對個人金融數據跨境流動的法律規制也經歷了從絕對的本地化要求到有條件跨境流動的演變。這一變化體現出我國對于個人金融數據跨境流動的重視程度逐漸提升，同時也反映出個人金融數據跨境問題的復雜性及多樣化趨勢。然而，從我國當前的規制狀況來看，仍然面臨著規制主體與規制對象范圍有待統一與完善、規制措施未有效銜接、未進行多元跨境場景區別化規制、權利救濟機制不完備、在國際個人金融數據跨境規制中話語權不足等多方面的困境。這些問題嚴重影響了個人金融數據跨境流動的效率和安全，為了更好地規范我國個人金融數據的跨境流動，應該通過制定專項立法完善規制對象范圍與規制漏洞、統一監管部門并推動多方共同監管、構建并完善區別化法律規制措施、強化個人權利救濟機制、加強國際談判等方式，制定并優化針對個人金融數據跨境流動的中國規制方案。

AbstractWith the advent of the digital age and the continuous deepening of economicglobalization, the deep integration of digital technology and financial services hasgradually become an irreversible development direction. Personal financial business hasgradually developed from traditional banking to Internet finance. In this context, thecross-border flow of personal financial data has gradually become a common phenomenon,and the problems it brings are becoming increasingly prominent. The cross-border flow ofpersonal financial data affects the interests of individuals, the financial industry, and thecountry. Currently, there is no clear definition of personal financial data at home andabroad, and there are situations where it is mixed with the concept of personal financialinformation. Therefore, it is necessary to clearly define the relevant concepts of personalfinancial data. Based on the special attributes of personal financial data and the diversityof cross-border flow scenarios, how to improve legal regulations has become a majorchallenge. The legal regulation of cross-border flow of personal financial data isessentially a legal restriction measure implemented by the state's public power on thefinancial market and economic and social life. It is based on the development of thecountry and social economy and should be maintained within an appropriate boundary. Inrecent years, with the successive release of relevant laws and regulations, China has beenstriving to balance the "freedom" and "security" of cross-border data flow. In this process,China's legal regulations on cross-border flow of personal financial data have alsoundergone an evolution from absolute localization requirements to conditionalcross-border flow. This change reflects the increasing emphasis on cross-border flow ofpersonal financial data in China, as well as the complexity and diversification ofcross-border issues related to personal financial data. However, from the currentregulatory situation in our country, we still face various difficulties such as the need tounify and improve the scope of regulatory subjects and regulatory objects, ineffectiveconnection of regulatory measures, lack of differentiated regulation in diversecross-border scenarios, incomplete rights relief mechanisms, and insufficient discoursepower in cross-border regulation of international personal financial data. These issuesseriously affect the efficiency and security of cross-border flow of personal financial data.In order to better regulate the cross-border flow of personal financial data in China, speciallegislation should be formulated to improve the scope of regulatory objects and regulatoryloopholes, unify regulatory departments and promote multi-party joint supervision,construct and improve differentiated legal regulatory measures, strengthen individualrights relief mechanisms, and strengthen international negotiations. China shouldformulate and optimize regulatory plans for cross-border flow of personal financial data.Key words：Data law，Financial Law，Personal financial data，Data flows across 。

目錄

摘要

Abstract

緒論

第一章 個人金融數據跨境流動的概念界定與規制基礎

第二章 我國個人金融數據跨境流動法律規制的現狀

第三章 我國個人金融數據跨境流動法律規制的困境

第四章 個人金融數據跨境流動法律規制的域外經驗

第五章 我國個人金融數據跨境流動法律規制的完善途徑

結論

參考文獻

緒 論

一、選題緣起在數字化的時代背景下，各國間的競爭領域已經從傳統的自然資源范疇逐漸拓展至數字經濟的范疇。以“大數據”為代表的新興數據技術與實體經濟深度融合，已成為全球新一輪科技革命與產業變革的重要驅動力量，對社會生活各方面產生了重大影響。在數字時代背景下，個人金融數據類型多樣，包括電子交易記錄、網絡借貸信息、信用卡消費信用記錄等等。在所有類型的數據當中，個人金融數據因其龐大的規模和巨大的價值創造潛能，已經成為數字化時代經濟和社會發展的核心因素。但是，伴隨著金融技術的進步和新型金融模式的持續擴展，眾多的金融實體和科技企業面臨數據泄露和管理失誤等一系列問題。個人金融數據在使用過程中存在著諸多風險隱患。不恰當地管理個人的金融數據不僅有可能引發直接的經濟損害和個人信息泄露等問題，還可能危及國家安全。因此，在數字經濟的發展過程中，數字經濟的安全考量和安全保障必不可少。數字經濟是改變國際競爭格局的關鍵力量，作為數據大國，中國面臨著數據跨境流動需求與數據跨境規則缺失之間的矛盾。近幾年來，伴隨著一系列相關法律的陸續頒布與實施，我國在數據治理體系和法律基礎方面得到了進一步的豐富和完善。然而，在個人金融數據跨境流動的規制方面，我國的規制仍然存在一定的不足之處。基于以上背景，選擇"個人金融數據跨境流動的法律規制"作為論文選題，通過對該選題的研究，希望能夠為我國個人金融數據跨境流動的法律規制提供有益的參考和建議。二、研究綜述國內研究綜述：個人金融數據跨境流動的相關概念方面：陳志武對個人金融數據與跨境流動的含義進行了闡述，他認為金融數據可以被分類為多個種類，這其中既包括個人金融數據，也包括由金融交易所生成的數據。①朱蕓陽的觀點是，金融機構提供金融服務與產品時，個人金融信息是必不可少的個人信息。①邢會強表示，從身份、財務和預期層面對個人的金融信息進行分類可使其范圍更清晰。②李東方和李耕坤表示，個人金融信息具有極強的可識別性，包括個人身份、資產、信譽以及其他相關衍生信息。由金融機構在業務中收集，是個人信息的特殊組成部分。③黃偉的觀點是，個人金融信息的跨境流動大體上可以被分類為三大類：首先，境內外金融機構旨在跨國金融交易而發起的跨境；其次，應一國的司法或行政要求，金融機構向有關部門傳輸存儲在境外的數據。最后，為了完成特定目標以及保證國際和諧，基于國家與國家（國際組織）之間已達成的協議，共享個人金融信息。此外，個人金融信息跨境流動還包括自然人、法人及其他機構間的流動。④個人信息保護課題組將個人數據跨境流動界定為，通過可使數據被境外第三方知曉的方法，數據控制主體將數據從境內傳送至境外。⑤從理論上講，個人數據資料可以包括自然人的生物特征和行為記錄，但由于各國法律規定不一致，因此對個人數據資料跨境流動的規制也存在差異。關于如何對個人金融數據跨境流動進行規制：高富平認為，從本質上而言，保護個人信息就是保護法律利益，并非給予個體在個人信息方面某種形式的權益以達到保護的目的。⑥在互聯網金融發展迅速、技術日新月異的背景下，傳統的個人信息保護制度已無法滿足新時代的需求，無法匹配個人信息利用新方式，因為其建立在個人主義之上，以保護自然人為核心，沒有考慮個人信息所攜帶的社會性和公共性，無法全面反映個人信息的法律屬性。因此，必須以公共領域為依托，重構個人信息保護機制。⑦高山行、劉偉奇的觀點是，嚴格的限制數據跨境或完全禁止會造成以下問題：將大量數據本地儲，會造成數據高度密集，進而使我國難以處理不法分子的對數據的攻擊；同時由于數據來源不同，各國之間的數據共享會存在一定程度上的障礙，從而可能使國家利益受到損失。再者，如果嚴格限制國內數據流向國外，這可能會導致國內市場受到外部市場的刺激，使境內機構喪失國際競爭力，境內消費者無法在國際競爭中獲得好處，進而導致國家經濟衰退。過于嚴苛地限制跨境可能會導致其他國家基于平等原則采取相同的限制措施，并可能觸發國際間的沖突。①邢會強持有這樣的觀點：個人身份和財產信息的財產權益屬于個人，因為這兩種信息是個人自己主動整理和提交的，個人信息的保護應該從自然人自身出發，以隱私權為核心進行保護。在個人金融數據的安全防護上，除了要求數據提供者嚴格履行保密職責外，還需要在數據的整個生命周期中實施全面的保護措施，通過實施差異化的安全策略，確保個人金融數據在各個環節的安全性。②在國內，數據跨境流動的法律議題研究，以《網絡安全法》的實施為分界線，可以被劃分為兩個主要階段。該法正式實施之前，學者們多側重于研究數據跨境流動中存在的安全風險及其應對措施。在國內，文獻的主要焦點是從民法和電子商務的角度出發，對相關數據和信息的管理與保障進行深入探討。隨著我國社會經濟發展水平不斷提高，互聯網技術迅猛發展,“個人金融數據”已經成為一個新興的概念，并逐漸引起人們的重視。隨著《網絡安全法》的實施，學術領域開始更加關注新法規的解讀和應用，同時對外國的相關法律和實踐的研究也達到了一個新的高峰。其中關于個人金融數據概念的劃分是一個重要問題。在國內，關于“個人金融數據”的確切定義尚不清晰，只有少數具有代表性的法律對“個人金融信息”給出了明確的定義。由于各國立法模式不同，個人金融信息的具體含義也有很大差異，因而，對這一術語進行比較分析是必要的。部分學者傾向于在個人金融信息和個人金融數據之間做出區分，而另一部分學者則認為兩者在本質上并無顯著差異，因此沒有對這兩個概念進行明確區分。在國際上，關于個人數據跨境流動一直都是各國立法關注的熱點之一。隨著我國經濟的持續增長，如何在個人數據的跨境流動中實現自由與安全之間的平衡成為了學術界的熱議話題。為此，我國陸續推出了與數據安全相關的法規。盡管我國的個人金融數據已經從絕對的本地化要求發展到了有條件的跨境流動，但對于個人金融數據跨境的管理和規范仍然處于初級階段，仍存在諸多問題，規制措施仍然有待完善。

如何對個人金融數據跨境流動進行規制方面：Aaronson Susan 表示，國家安全與數據主體的權益都是立法對個人數據跨境傳輸自由進行限制時所必須考慮的要素。③Julian Rotenberg 基于數據跨境流動的新商業模式推動數字貿易的增長，政府以及公民更加重視對個人隱私數據的關注，在此背景之下為了保護公民的個人隱私安全，世界各國逐漸加強對數據跨境流動的監管力度。④Edward J.Janger 持有的觀點是，當金融機構想要與非關聯方分享個人信息時，必須首先獲得客戶的明確授權。⑤DavidA.Tallman 指出，當個人數據跨境的接收與發起主體共同擔責的情況下，一方面會增大來自歐盟的境外數據接收者面臨的法律訴訟風險，另一方面會導致經濟富裕又無過錯的企業為合作伙伴的行為負責，因為其風險承受能力較差。⑥Paul M.Schwartz 持有這樣的觀點：在保護社會穩定和個人隱私時，用戶有權處理自己的個人金融信息或者隨時決定退出。此外，還需要重視市場參與者在信息披露和監管方面的責任。⑦Andrew D.Ketter 提出，為了確保客戶和消費者的個人信息安全，可以考慮實施信息保護、客戶反饋以及身份驗證等多種策略。⑧Yakovleva Svetlana 和 Kristina Irion 認為推動全球數字貿易發展的全球數據跨境流動理念成為了國際貿易組織討論的熱點話題之一，通過對歐盟數據保護立法的研究認為歐盟當前嚴格的數據保護模式有時候成為阻礙數字貿易發展的壁壘。①Mira Burri 認為，通過對美國與歐盟的規制規則的研究，為了能夠促進各國之間的數據跨境傳輸，必須制定并完善國際個人數據跨境傳輸的規制規則。②自上世紀 80 年代起，國外的學者開始研究數據的跨國流動，這與 OECD 指南的發布有著密切的關聯。隨著互聯網時代的到來以及信息技術在國際經濟中應用程度的不斷加深，數據跨境流動已經成為各國經濟發展不可忽視的重要組成部分，也引起了學術界的廣泛關注。研究數據的跨國流動時，明顯地展現出了各國的獨特性。在對各國數據流動管制政策進行分析的基礎上發現，各國都有自己獨特的數據保護理念。在全球范圍內，數據流動的保護規則還未完全建立，歐盟和美國是數據保護不同模式的代表。歐盟以數據基本權利為核心，制定綜合性個人信息保護法案，強調保護個人權利，認為不能以犧牲公民隱私權為代價促進經濟發展，在歐盟的范圍內，研究的焦點主要集中在分析和完善本身數據的跨國保護法律體系上。美國則采取“自由市場結合強監管”模式，對個人金融數據跨境流動的限制日趨寬松，原因在于金融數據跨境順暢流動對美國經濟和金融至關重要。在未來的自由貿易協議中，美國仍然會努力推動金融數據的跨國流通，而歐盟在這方面已經取得了較大進展，鑒于歐盟在這一領域的相關法律具有顯著的影響，美國學者也因此對歐盟的相關法規表現出了濃厚的興趣。通過梳理美國與歐盟關于個人金融數據跨境方面的法律規定及實踐做法，發現二者既有共性又有差異，兩種模式相互競爭又存在著融合，為我國提供了有益參考。

三、難點、思路、方法、創新點難點：1.國內外多數研究仍然停留在一般意義上的數據跨境流動問題上，僅有少數文獻將其研究范圍擴展到個人金融數據。2.我國個人金融數據跨境流動主要受到信息和數據管理普適性規定以及金融業專門性法律規范的雙重規制，所涉及的法律規范數量多、范圍廣。3.數據跨境流動的“自由”和“安全”此消彼長，如何權衡和協調兩者是世界各國所面臨的價值難題。4.隨著數據時代和互聯網技術的不斷進步，個人金融數據的跨境風險也在持續增長和變化，因此，法律規制框架必須與時俱進，針對現狀和未來趨勢不斷進行更新和完善。思路：1.界定相關概念并分析規制基礎。區分“個人金融數據”與“個人金融信息”；分析個人金融數據的特殊性進而厘清其與個人數據的區別；界定數據跨境流動的基本概念，并進行跨境場景的分析。最后，對規制基礎進行分析。2.從國內立法與簽訂的經貿協定等方面梳理我國規制現狀，并對最新發布的意見稿進行分析，尋求有益提示。3.根據我國規制現狀，分析現行法律規制存在的困境。4.針對困境，通過對歐盟、美國、日本規制模式的分析，尋求對我國個人金融數據跨境流動法律規制的有益借鑒。5.結合境外經驗，針對我國的規制困境提出相應完善途徑。方法：1.文獻研究法：通過對國內外文獻與研究的分析，明確不同文獻資料研究的側重點，深入了解相關領域學者對個人金融數據概念和對跨境活動進行法律規制的觀點，歸納總結學術成果，積累理論基礎。2.規范分析法：為了我國能夠構建更為合理的規則框架，對現行規范進行整合與分析，對新舊規范進行對比，探究合理性以及所存在的問題。3.比較研究法：各國在經濟、政治、歷史、法律傳統、價值取向等方面上存在一定的差異，導致各國關于個人金融數據跨境流動的立法，既相似之處，也有其獨特之處。故通過對不同國家規制模式的比較分析，深入了解各國在個人金融數據跨境流動方面的做法和經驗，有助于我國在制定個人金融數據跨境流動的法律規制時，結合本國實際情況，借鑒國際經驗，制定更加科學合理和具有針對性的規定。創新點：1.理論中對個人金融數據的多元跨境場景以及通過場景完善區別化規制措施鮮有研究，本文將對此進行深入分析與探究。2.規制理論方面，從個人控制、機構控制到國家控制的視角，逐步進行分析。3.通過對新規的分析，尋求有益于個人金融數據跨境的規制提示。4.歐盟和美國作為數據跨境流動規制的兩種代表模式，本文除了針對以上兩種典型模式的研究，還引入了作為制定全球跨境數據流動規則的新興力量——日本，為我國規制方案提供更多先進、有益經驗。5.在完善規制途徑方面，改變單一規制路徑，追求多元主體協同規制，同時注重各方主體利益的平衡；除事前監管，同時注重完善事后權利救濟途徑，從而更好地解決規制難題。

第一章 個人金融數據跨境流動的概念界定與規制基礎

第一節 個人金融數據的概念界定與特殊性

日常運營管理中，各種金融機構及其關聯機構生成或所需的個人數據。二、個人金融數據的特殊性分析個人金融數據是一種特殊的個人數據，作為個人數據的組成部分，個人金融數據具有人格性，即通過個人金融數據能夠反映、識別個人信息主體。除此之外，個人金融數據還具有私人性，主要體現在其與金融消費者的資產狀態、消費能力、購買行為以及個人信譽等敏感個人隱私息息相關。而個人金融數據與其他一般個人數據相比的特殊之處，主要源于其金融性質，這導致個人金融數據還具有一般個人數據所不具備的財產性和公共性。1.個人金融數據的財產性。金融機構掌握著大量的個人金融數據，并且可以通過分析、整合金融消費者的個人金融數據優化業務能力、提高機構的交易水平以及提高自身競爭力，進而獲得巨大的經濟利益，甚至在獲得金融消費者同意的情況下可以通過第三方機構對數據的分析挖掘數據的潛在價值。金融機構基于法律規范在事實上占有、控制、使用著個人金融數據，并且具有控制與利用的意圖，符合民法的占有理論，個人金融數據已成為企業的一項特殊財產，承認企業對其具有一定的財產權利，有利于推動數據的合法合規流通，保障數據主體的權益以及為法律規制提供必要支持。①2.個人金融數據的公共性。個人金融數據關系到金融市場的發展與穩定，同時影響著社會與國家的穩定。當個人金融數據影響到公眾乃至國家利益時，如為了識別出高利貸款、洗錢等與金融安全有關的問題，金融機構可以越過“個人同意”強制收集與個人有關的數據。②一般的個人數據通常只會影響個人的利益，而個人金融數據涉及到一定的公共利益，因此具有一定的公共性。當為了保護公眾利益的情況下，個人金融數據和公共數據將會產生交集，公共管理和服務機構要求金融數據控制者打開數據庫端口而獲得的部分個人金融數據，將會被納入到公共數據的范疇，并受公共數據法律體系的約束和調整。但是個人金融數據并不是公共數據，兩者在概念上依然存在著一定差異。公共數據是由具有有效授權的公共管理和服務機構，在管理公共事務過程中所收集而產生的數據，而個人金融數據并不符合該情形。由于個人金融數據的特殊性，針對其跨境流動的法律規制應該區別于其他一般個人數據。

分析一、個人金融數據的概念界定目前，“個人金融數據”的定義尚未被明確界定，“個人金融信息”作為與之相似的概念，二者經常出現被混淆適用的情況。①例如：在《個人金融信息（數據）保護試行方法》中，并沒有區分使用這兩個概念；而《中國人民銀行金融消費者權益保護實施辦法》將與金融消費者有關的信息統稱為“個人金融信息”，而沒有使用“個人金融數據”這個概念。由于兩個概念之間存在一定的相似性，但是從詞義角度，兩者實際上存在著一定的差別，故有必要對“個人金融數據”和“個人金融信息”兩個概念進行明確的區分，否則將二者混用，將會導致現實監管與規制中出現矛盾與誤解。1.“信息”與“數據”的概念分析。《個人信息保護法》將“個人信息”定義為“通過電子或者其他形式記錄的與已識別或者可識別的自然人相關的各種信息”，《數據安全法》對“數據”的定義是“以電子形式或其他途徑對信息進行的記錄”，由此可見，“信息”與“數據”的定義有著相似之處。但是，“數據”更加強調的是數據未經過處理和篩選的一種原始狀態，而“信息”則代表了一種更高的層次，是對數據進行排序、細化、整合等一系列處理后所得出的。2.“個人金融信息”的概念分析。目前，境內外對“個人金融信息”的概念進行了不同的界定。美國將“個人金融信息”定義為“非公開信息”，即消費者在金融交易或者接受的服務中，其身份相關的金融信息是由金融消費者提供給金融機構的，并且是只有金融機構與金融消費者雙方知曉。因此，美國認為個人金融信息通常無法通過公開渠道獲得，具有一定的私密性。對于“個人金融信息”的概念，我國將其界定為是金融機構在商業活動中或者是通過其他方式收集到的個人信息。比較兩國對“個人金融信息”的概念定義的異同，會發現個人金融信息是金融機構在提供產品或者服務過程中所采集獲得的針對特定自然人的具體信息，并且這些信息由金融機構進行控制和處理。

第二節 數據跨境流動的概念界定與場景

分析一、數據跨境流動的概念界定截至今日，全世界對“數據跨境流動”概念的界定還未達成一致。聯合國跨國公司中心認為“數據跨境流動”是，跨越國界對儲存在計算機中的機器可讀數據進行處理、存儲和檢索。經濟合作與發展組織將其界定為：個人數據跨越國界流動。各國一般將其解釋為：數據在國家或地區之間以數字化形式進行點對點的傳輸。數據在國際間的跨境流動一般呈現三種形式：一是數據直接跨境，即數據直接從境內傳輸到境外以及直接在境外采集數據，這也是最常見的數據跨境形式。二是數據間接跨境，即允許境外主體直接訪問境內存儲的數據，在此情況下，數據雖然沒有跨越國界流動，但是境外仍然可以訪問。第三種方式是直接將數據轉移給，雖然位置位于境內但實際上未在其境內注冊或不屬于其司法管轄范圍的主體。二、數據跨境流動的場景分析在數據跨境流動必須遵循一個重要的原則，即目的限制原則。該原則禁止金融機構對數據進行任何與目的不符的處理行為，認為金融機構收集數據的目的必須特定、明確并且合法。因此在研究跨境流動時，目的是一個重要因素。根據目的對場景進行劃分，跨境流動的場景大致可以分為兩種類型：一是基于日常商業行為進行數據跨境的場景，二是基于境外監管或司法行為進行數據跨境的場景。其中，第一類場景又可以細分為三個具體的場景。1.基于日常商業行為進行數據跨境的場景跨境匯款與支付場景，是個人金融數據跨境流動的重要形式之一，也是最常見且頻繁的場景。境內匯款賬戶的開戶行為了完成匯款、支付業務，將個人金融數據傳輸至境外收款賬戶的開戶行以及收款賬戶持有者。由于支付、匯款時需要確認支付、匯款人身份，傳輸的個人金融數據是個人身份信息。此外，還可能存在第三方支付平臺參與其中，該情況下由平臺將個人金融數據傳輸至境外的分支機構、收款方，以及收款方銀行的開戶行。跨境投資場景，旨在使客戶能夠在境外開立投資賬戶參與境外投資，為客戶提供更多的投資選擇和機會。此時，由開展投資業務的金融機構在境內的實體將個人金融數據傳輸給其在境外的實體。委托處理場景，金融機構為了進一步挖掘數據的潛在商業價值，將搜集的個人金融數據委托給境外信息處理機構，進行整合、分析、處理，為其提供了更多的數據分析和應用可能性。此時，境內金融機構作為個人金融數據的傳輸者，境外數據處理機構作為接收者。2.基于境外監管或司法行為進行數據跨境的場景基于境外監管或司法行為進行個人金融數據跨境的場景是指境內外資金融機構為遵守境外金融監管部門的規定，滿足其監管、司法要求而進行的跨境流動。此時由境內金融機構將相關個人金融數據傳輸至境外金融監管部門。該場景下的數據能否進行跨境與個人金融數據的具體類型，視兩國金融監管部門之間的監管合作協議而定。①因此，在此情況下，金融機構需要遵循國際規定和合作安排，以確保數據傳輸的合規性和安全性。

第三節 個人金融數據跨境流動的規制基礎

個人金融數據跨境流動的規制基礎包括從自主控制到機構控制，再到社會控制的過程。一、個人控制信息自決權，是個人對個人信息的自主決定，包括決定信息公開與否、公開的程度，以及如何使用信息。個人信息的收集、處理和轉讓應在合法和必要的前提下進行，同時必須尊重和保護個人的信息自決權。個人信息權利的核心內容是在信息收集過程中，必須獲得個人的明確同意，以體現對個人隱私和尊嚴的尊重和保護，由此引發的傳統個人信息自主控制論成為了國際上的主流觀點，許多國家都將“用戶同意”作為處理個人信息合法的判斷基礎。②這無疑有力地保障了個人在信息處理中的自主性，但是卻帶來了另一個問題，由于隱私條款冗長且復雜，且存在大量的例外條件，缺少專業知識一般用戶可能選擇不閱讀或者無法理解其中的條款意思，并且只有同意了隱私條款，用戶才能進行其所期望的業務，由此，可能不得不選擇同意，這導致“同意”虛化，并且金融機構后續可以以用戶已同意隱私條款來規避責任。

第五章 我國個人金融數據跨境流動法律規制的完善途徑

第一節 制定專項立法完善規制對象范圍與規制不足我國越來越注重對數據安全與個人隱私安全的保護，陸續出臺了多部規制個人數據的法律規范，但是仍然缺少針對金融領域個人數據的專門性立法。金融領域是影響國計民生的重要領域并且具有一定的特殊性，應該對其加以關注。目前，個人金融數據跨境受到多部法律規范的共同規制，導致出現規制混亂與不足的情況，既不利于數據跨境安全也不利于數據跨境自由，因此，必須加快制定專項立法規制個人金融數據的跨境活動。對于專項立法的制定，有以下幾點需要進行特別關注。一、堅持基本原則并調整規制思路我國對于個人金融數據跨境傳輸堅持在安全基礎上進行數據跨境自由流動的原則。在專項立法時，應該堅持在此原則之上進行法律規制，注重對數據跨境安全的保障。因為，對金融業發展的支持不能以犧牲個人隱私安全、市場穩定、公眾安全以及國家安全為代價。我國對個人金融數據跨境規制的規制思路從絕對本地化到一定條件下的跨境傳輸，從我國近年來的相關數據立法可以看出，適當放寬數據跨境條件限制是整體趨勢。美國、日本，以及嚴格保護個人隱私權利的歐盟，都在積極探索數據自由跨境的途徑，可見促進數據自由流動也符合全球整體數據流動趨勢。并且，個人金融數據比一般的個人數據更加強調流動的重要性。個人金融數據跨境的商業價值有目共睹，只有在流動中個人金融數據的真正價值才能得以體現，因此，在專項立法中，應該考慮如何對個人金融數據跨境流動的嚴苛條件進行適當松綁，調整過去的對跨境予以嚴格限制的思路。在針對個人金融數據的跨境進制定專門性法律規范時，必須以維護國家利益為出發點，貫徹國家總體安全觀，積極尋求安全與自由的平衡，在保障個人金融數據安全跨境的基礎上，盡可能實現個人金融數據的跨境自由。二、完善規制對象范圍通過專項立法完善當前規制對象的空缺。《技術規范》以及將涉及個人金融信息處理的相關機構也納入規制對象范圍，拓展了數據控制者的范圍，雖有所完善，但是依然存在漏洞，在此基礎之上，應將仍游離于規制之外的為金融機構提供基礎業務支持而處理金融數據的非持牌機構納入規制對象的范圍。隨著金融與數字科技的發展，規制對象范圍不斷更新、擴大，除了將上述機構納入規制范圍，還需要持續關注新型規制對象的出現，及時將其納入規制范圍，避免出現規制漏洞。三、引入白名單機制與標準合同機制如前文所述，歐盟模式的白名單機制能夠提升數據跨境的靈活性和便利性，在個人金融數據專項立法中可以考慮適用該機制。由于白名單機制需要經過專門、嚴格的認證、評估，因此，并不會像意見稿中的數據“負面清單”一樣導致個人金融數據沒有事前監管的保障。歐盟的“充分性認定”是世界上最為嚴格的數據保護水平認定，可以在結合我國具體實際基礎上借鑒其認定條件。在認定與評估白名單時，可以重點關注以下幾點：數據保護水平是否達到我國的最低標準水平、國內立法水平是否較高以及相關法律規范是否完備、權利救濟機制是否較為完善以及是否與我國簽訂的有關協議等。并且，當“白名單”中的數據控制者損害了公民、金融機構、公共利益甚至我國國家安全需要追究其責任時，需要有完備的責任追究機制以及域外執法機制，因此，還后續還需要進一步完善此方面的規范。此外，將標準合同引入到金融領域具有一定的可行性，目前適用于一般個人數據的《個人信息出境標準合同辦法》已經頒布，個人金融數據與一般數據不同，其敏感度與影響力較大，設計個人金融數據跨境流動的標準合同需要更加嚴格，可以參考一般數據的標準合同的制定以及目前歐盟現行的三套標準合同模板，在此基礎上進行適當的調整，如增加金融機構數據安全保障責任等，有利于降低數據傳輸成本，落實有關主體責任。

第二節 優化規制主體并推動社會

參與監管一、優化監管部門設置金融行業層面，面對金融業混業經營現狀，避免監管空白，建議改變傳統分業監管格局，統一金融業監管部門。將央行設置為負責金融數據監管的專門機構，對個人金融數據跨境流動進行整體性的監管。因為銀行作為典型的金融業機構，掌握著大量個人金融數據，跨境活動也是最為頻繁，央行在制定金融數據規制標準方面有著豐富實踐，并且在治理銀行業機構的個人金融數據跨境過程中累積了一定經驗。與此同時，可以由證監會等部門協助央行監管工作，建立央行牽頭，其他部門聯合協作的監管機制。根據我國相關法律規定，由網信部門統籌金融監管部門的數據跨境規制工作，因此，網信部門應該加強與央行以及其他金融業部門之間的合作，幫助劃分、協調各金融業部門之間的工作與職責，促進執法力度與規制標準的規范與統一，優化規制主體的設計。

結 論

數據是數字時代重要的生產要素，不僅與個人隱私息息相關，還深刻影響金融業的發展甚至國家的安全。隨著國際合作的不斷深入，為了金融機構能夠順利開展業務，個人金融數據跨境流動不可避免，但是隨之而來的問題是數據泄露風險大大增加。對個人金融數據跨境流動進行有效地規制，成為影響社會發展的重要問題以及世界關注的熱點問題。我國近年來陸續頒布多部數據相關法律規范，正是旨在對數據跨境的行為進行監管與規制，體現了我國對數據跨境安全的重視。但是我國在此方面的法律規制仍處于起步階段，面臨著多重困境。法律是社會關系的調節器，應及時對大數據時代下的個人金融數據跨境流動活動進行有效地規制。完善我國個人金融數據跨境流動的法律規制，必須以“在安全基礎上的數據跨境自由流動”原則為基礎，加快專項立法的制定，使個人金融數據在跨境流動時有法可依，完善規制對象范圍；統一監管部門并推動多元主體共同監管，形成監管合力；銜接分級分類制度與安全評估制度，構建區別化法律規制措施，并且通過多元場景分析對其進行細化、完善；強化個人權利救濟機制使金融消費者權利得到有效保障；加強國際談判與協作，盡快提出中國方案。隨著技術的不斷迭代，規制途徑也必須與時俱進，隨之更新、完善。同時，由于個人金融數據跨境流動涉及多方利益，需要謹慎地進行調整。因此，我國必須根據數據技術與金融業的發展現狀，保持審慎態度，進一步探索、完善個人金融數據跨境的法律規制。

參考文獻

（一）中文著作類

[1] 陳志武. 金融的邏輯[M]. 北京: 國際文化出版社, 2009.

[2] 韓龍. 國際金融法前沿問題[M]. 北京: 清華大學出版社社, 2010.

[3] 科林·斯科特. 規制、治理與法律: 前沿問題研究[M]. 安永康, 譯. 北京: 清華大學出版社,2018.

[4] 高富平. 個人數據保護和利用國際規制: 淵源與趨勢[M]. 北京: 法律出版社 2016.

[5] 張繼紅. 大數據時代金融信息的法律保護[M]. 北京: 法律出版社, 2019.

[6] 個人信息保護課題組. 個人信息保護國際比較研究[M]. 北京: 中國金融出版社, 2017.

[7] 羅斯科·龐德. 通過法律的社會控制、法律的任務[M]. 沈宗靈, 董世忠, 譯. 北京: 商務出版社, 1984.

（二）中文期刊類

[1] 朱蕓陽. 個人金融信息保護的邏輯與規則展開[J]. 環球法律評論, 2021, 43(06): 56-73.

[2] 邢會強. 大數據時代個人金融信息的保護與利用[J]. 東方法學, 2021, 79(01): 47-60.

[3] 李東方, 李耕坤. 數字經濟時代個人金融信息的經濟法分析與對策——從“立法碎片化”到《個人金融信息保護法》[J]. 中國政法大學學報, 2023(01): 201-215.

[4] 黃偉. 個人金融信息跨境轉移的法律規制——歐盟實踐及其借鑒[J]. 中國金融, 2013(19):87-88.

[5] 高富平. 論個人信息保護的目的——以個人信息保護法益區分為核心[J]. 法商研究, 2019,36(01): 93-104.

[6] 高富平. 個人信息保護: 從個人控制到社會控制[J]. 網絡信息法學研究, 2018(02): 159-190.

[7] 高山行, 劉偉奇. 數據跨境流動規制及其應對——對《網絡安全法》第三十七條的討論[J].西安交通大學學報(社會科學版), 2017, 37(02): 85-91.

[8] 藺捷, 田晨. 個人金融數據跨境流動規制研究[J]. 上海大學學報(社會科學版), 2021, 38(06):95-107.

[9] 包曉麗. 數據產權保護的法律路徑[J]. 中國政法大學學報, 2021(03): 117-127.

[10] 衣俊霖. 論公共數據國家所有[J]. 法學論壇, 2022, 37(04): 107-118.

[11] 馬蘭. 金融數據跨境流動規制的核心問題和中國因應[J]. 國際法研究, 2020(03): 82-101.

[12] 任龍龍. 論同意不是個人信息處理的正當性基礎[J]. 政治與法律, 2016(01): 126-134.

[13] 楊芳. 個人信息自決權理論及其檢討——兼論個人信息保護法之保護客體[J]. 比較法研究,2015(06):