粵港澳大灣區金融數據跨境流動：現實問題與法治進路

馮澤華 劉志輝

摘? ?要：金融是現代經濟的重要組成部分。在數字要素高速流動的大數據時代，金融數據是關乎粵港澳大灣區高質量發展的重要戰略資源。當前，粵港澳三地的金融數據跨境流動需求日益增長，借助“數字灣區”建設之機，推動粵港澳大灣區金融數據跨境流動有助于加快“兩個市場一類規則的三種演化”。運用“事前—事中—事后”全過程思維進行分析，發現粵港澳大灣區金融數據跨境流動面臨規則銜接、組織監管、權利保障等困境?；浉郯娜匾诵嗡堋傲⒎?組織+權利”的三維法治路徑，通過點面結合的立法規制、上下貫通的組織監管以及共殊相融的權利保障實現粵港澳大灣區金融數據安全有序的跨境流動。

關鍵詞：金融數據；粵港澳大灣區；數據跨境流動；數字經濟

中圖分類號：F830? ?文獻標識碼：B? 文章編號：1674-2265（2024）05-0067-10

DOI：10.19647/j.cnki.37-1462/f.2024.05.007

金融發展與國家安全、社會經濟和民生福祉息息相關，是國家發展的重要一環。在中國金融體制機制改革走向縱深化、精細化的過程中，傳統金融市場與新興金融市場規?？偭坎痪獾慕Y構性問題愈發明顯（吳騰華和胡耀元，2022）[1]。截至2022年底，我國數據存儲量達724.5EB，全球占比達14.4%①。金融數據是囊括金融行業所有數據的大的集合概念，既包括金融機構收集的原始數據，也包括其處理加工后的信息（王婷，2022）[2]。我國是數據大國，如何充分發揮數據存量優勢，保障金融數據跨境流動安全有序，是促進數字經濟與新興金融業態發展面臨的重大挑戰?；浉郯拇鬄硡^作為改革開放的前沿之地，經濟發展呈現出明顯的金融化特征。截至2021年6月，落戶香港地區的金融科技實驗室、虛擬銀行、虛擬保險公司、虛擬資產交易平臺等金融科技企業超600家（中央人民政府駐香港特別行政區聯絡辦公室，2021）[3]。2022年3月，粵澳跨境數據驗證平臺的金融信息板塊在粵澳兩地上線試運行，探索跨境數字服務融合的創新路徑。據估計，珠三角九市有300萬家中小微企業，2021年珠三角九市GDP占廣東省GDP的55%（Hang Seng Bank，2023）[4]。金融數據跨境流動可以方便企業進行跨境貸款和投融資活動，對跨境金融數據進行技術性分析后，還可以掌握消費者偏好、企業生產經營情況和灣區經濟發展狀況，提供極為重要的信息資源和經濟情報。在經濟貿易全球化、金融市場國際化和數字灣區建設的背景下，保護個人信息、規制金融數據跨境流動、維護國家數據主權是推動大灣區經濟社會持續健康發展的內在要求。當前，與金融數據跨境流動有關的研究頗豐，但多數研究將金融數據跨境流動的語境限于中國與其他國家之間，較少在“一國兩制三法系”的特殊法秩序下進行討論。本文以大灣區金融數據跨境流動的制度理性為切入點，分析大灣區金融數據跨境流動對大灣區、國家和世界的重要作用，并結合事前、事中和事后的過程視角審視大灣區金融數據跨境面臨的現實困境，探索實現大灣區金融數據安全有序跨境流動之法治進路。

一、粵港澳大灣區金融數據跨境流動的制度理性

在大數據時代，人工智能、云計算、區塊鏈、大模型等新興技術的發展使得金融數據突破了地域空間和物理存儲的限制，為實現金融數據異地存取和跨境流動提供了有力的技術支撐。粵港澳大灣區金融數據跨境流動將有助于推動“兩個市場一類規則的三種演化”。從大灣區層面來看，金融數據跨境流動應結合實際情況，推動跨境規則的制度化發展。

（一）金融市場全球化：金融數據跨境流動的世界格局

金融數據是國際金融市場的關鍵變量和重要因素，其跨境流動關系到金融市場的全球化發展。面對涉及國家安全與數據主權的金融數據跨境流動問題，不同國家的政策態度和監管要求并不相同。從全球發展格局來看，發達國家與發展中國家對數據的跨境規制表現出明顯分歧，分為自由流動與本土化兩種立法思路（孫方江，2021）[5]，對應兩類監管模式：一類是發達國家或地區倡導數據自由流動的開放監管模式，如美國、歐盟等；另一類是發展中國家維護國家數據主權的嚴格規制模式，如中國、俄羅斯、印度等。隨著治理能力的提高和治理體系的完善，中國不斷強化數據跨境流動的規制。然而，無論粵港澳大灣區采取何種監管模式對待金融數據跨境流動問題，最終都將以殊途同歸的方式推動國際金融市場的深層次交融發展，構筑金融市場全球化之世界格局。

開放監管模式具有雙重意蘊：一是數據跨境的開放，象征著數據自由流動；二是數據跨境流動的開放監管，意味著寬松和異質性較強的數據跨境監管政策及措施。美國為實現金融數據跨境自由流動，簽訂了《北美自由貿易協議》（NAFTA）、《美墨加三國協議》（USMCA）、《美韓自由貿易協定》、《跨境隱私規則體系》（CBPR）、《跨太平洋戰略經濟伙伴關系協定》（TPP）、《隱私盾協議》等一系列高標準國際經貿規則。以美國為代表的發達國家基于其在國際金融市場的主導地位，提倡金融數據自由流動并實行“長臂管轄”，目的是促使金融數據最大程度地向本國聚攏，以挖掘金融數據背后的市場價值。如2015年的《跨太平洋戰略經濟伙伴關系協定》，美國第一次將限制數據本地化寫入其中，規定成員國應當允許個人數據跨境流動（范思博，2024）[6]。盡管美國已于2017年退出該協定，但依然可以從中看出其對金融數據自由跨境流動的態度。發達國家依托跨境金融數據產生巨大經濟效益的背后，是發展中國家面臨的國家安全與數據主權上的嚴重風險。鑒于粵港澳大灣區的重要戰略定位以及金融數據對經濟社會的基礎性意義，大灣區可以參考發達國家對金融數據跨境監管的做法，區分金融數據的國內“跨境”與國際跨境情形，形成“內松外嚴”的金融數據跨境監管政策體系。換言之，大灣區對內地與港澳間的金融數據跨境流動，可以采取寬松的開放監管措施，保障數據要素在粵港澳三地的互聯互通，以便充分挖掘并發揮金融數據背后的經濟價值，推動大灣區經濟社會的高質量發展；而對于國際間金融數據跨境流動，則需采取嚴格的限制性監管舉措，在確保國家安全的前提下，提高金融市場的國際化水平。

嚴格規制金融數據跨境流動，實施數據本地化存儲策略是發展中國家在數字經濟時代維護國家安全與數據主權的必要舉措。一些發展中國家關鍵數據處理的配套基礎設施不完善，大數據、云計算、人工智能等數據存儲與流轉技術不發達，加之對數據的引流能力不強，倘若完全放開管制，或將導致關鍵數據向發達國家傾向性大規模輸出，削弱國家數據存量優勢和數字經濟競爭力，甚至威脅國家安全。整體而言，中國在金融數據跨境治理上采取的是數據本地化存儲策略。嚴格的數據本地化要求會增加金融機構的經營成本，但其并未完全限制數據跨境流動，在安全可控原則下，滿足數據本地化的要求和相應條件，部分數據跨境仍是可行的（李萬強和吳佳芮，2023）[7]。金融市場是數字時代下大灣區經濟發展的新場域，激發金融數據的流動活力與市場價值對粵港澳大灣區經濟高質量發展意義重大。大灣區在堅定不移維護國家安全與數據主權、嚴格規制金融數據跨境流動的同時，也要充分發揮金融數據對灣區經濟的助推作用，積極打造國內金融市場“新高地”。當前，橫琴粵澳深度合作區、前海深港現代服務業合作區和南沙自貿片區的金融改革不斷取得新突破，我國香港交易所、廣州期貨交易所、深圳證券交易所等重要金融基礎設施不斷完善，“深港通”、債券通和“跨境理財通”的范圍進一步擴大，持續深化了大灣區金融市場與國際金融市場的共融共通。

（二）數據市場統一化：金融數據跨境流動的國家導向

近年來，數字中國建設成效顯著。截至2022年底，全國已成立48家數據交易機構。不僅數據安全管理制度體系加快構筑，數據出境安全評估、數據安全管理認證等配套制度也加快建立。如《個人信息出境標準合同規定（征求意見稿）》公開征求意見，力求規范個人信息出境活動，保護個人信息權益①。數據生產要素的供給、創新開發利用和市場化流通是數據要素統一市場建設不可或缺的組成部分。《關于加快建設全國統一大市場的意見》指出，要加快培育統一的技術和數據市場。

誠然，金融數據跨境流動之靈活性與數據要素市場建設之統一性要求并行不悖。統一數據要素市場建設并不意味著全國各地的數據要素市場發展步調一致，而象征著各地在宏觀制度框架內，結合實際情況對數據要素市場進行整體規劃與具體建設。金融數據跨境流動在數據要素開發利用、市場暢通、產業升級、區域協調發展等方面具有重要作用，是促進全國統一大市場建設的新動能。大灣區擁有一國兩制、三個關稅區、三個法域的獨特優勢，可以成為我國數據跨境治理的“試驗田”，通過探索數據跨境規則銜接和機制對接，有助于破除區域間數據壁壘，激發數據要素賦能統一大市場建設，為實現全國統一大市場提供經驗（廣東外語外貿大學粵港澳大灣區研究院課題組，2022）[8]?；浉郯拇鬄硡^在探索建立金融數據跨境安全有序流動新機制的過程中，可通過結合自身特殊區情和數據跨境流動規律，從宏觀角度整體謀劃和通盤考慮金融數據跨境流動問題，賦能全國統一數據要素市場的形成和完善。

我國對金融數據跨境流動持謹慎態度，出臺了一系列法律規范，約束金融數據跨境流動，為形成全國統一的數據要素大市場提供了制度依據（見表1）。《網絡安全法》整體上奠定了數據本地化存儲的底色，強調網絡安全等級保護制度和對關鍵信息基礎設施的重點保護，規定金融行業和領域的關鍵信息基礎設施運營者收集與產生的個人信息和重要數據應境內存儲②?！稊祿踩ā费永m了數據本地化存儲策略，適用《網絡安全法》對關鍵信息基礎設施運營者收集和產生的個人信息和重要數據的相關規定，明確了金融數據安全監管主體，彌補了我國數據保護規則缺乏域外效力的缺陷③?！秱€人信息保護法》從嚴規制金融賬戶等敏感個人信息的處理，規定向境外提供個人信息時應滿足“開展評估、進行信息保護認證、訂立合同”三個條件之一，確立了具有附款條件的“個人信息轉移權”④。

（三）跨境規則制度化：金融數據跨境流動的大灣區要求

在金融市場全球化與數據市場統一化的浪潮中，中國對金融數據跨境流動所采取的謹慎態度在維護數據安全的同時，也在一定程度上抑制了海量金融數據在粵港澳大灣區便捷流動中的價值釋放。現階段，粵港澳大灣區應牢牢把握新發展機遇，通過促進數據跨境流動建構國內國際市場交互機制，推動形成國內國際市場雙循環新發展格局。鑒于金融數據蘊含的豐富經濟價值以及大灣區的重大發展戰略定位，對數據流動的規制更應審慎處理。一方面，金融數據不同于一般數據，其在粵港澳大灣區的跨境流動應受到更嚴格的制度約束；另一方面，基于“一國兩制”基本國策和三個司法管轄區的特殊區情，金融數據在珠三角九市、香港地區和澳門地區之間的互聯互通，應結合自身情況，為金融數據跨境流動制定更合理的政策制度并采取更科學的監管措施，推動金融數據跨境流動的規范化、制度化發展。

數字灣區建設需要制度先行，制度保障是實現金融數據跨境流動安全有序的前提，而金融數據跨境流動的規范化發展是制度發揮效用的結果。建立粵港澳大灣區金融數據跨境流動規則，不僅可以促進金融數據有序跨境流動，還有利于實現維護國家安全與促進數字經濟發展的動態平衡。在國家數據跨境安全管理的頂層設計下，基于大灣區實際探尋制度彈性與發展空間成為大灣區金融數據跨境流動的內在要求。近年來，為更好回應金融數據跨境流動的大灣區要求，金融數據跨境流動的相關政策制度相繼出臺（見表2），為數字灣區建設與金融數據跨境流動提供了行動指南，促使數據跨境規則朝著制度化的方向發展。

二、粵港澳大灣區金融數據跨境流動的現實困境

在堅決維護國家主權、安全、發展利益的語境下，金融數據跨境流動面臨更為復雜的發展形勢?，F階段，傳統與非傳統國家安全問題交織頻發，數據跨境流動、數字主權、金融監管等領域的安全問題日益凸顯。運用“事前—事中—事后”的過程思維檢視金融數據跨境流動，不難發現規則銜接不暢、監管控制不力、權利保障不足是當前大灣區金融數據跨境流動面臨的現實問題。

（一）事前規制：金融數據跨境流動規則銜接不暢

粵港澳大灣區“一國兩制三法域”的特殊法秩序在賦予金融數據流動跨境性質的同時，也帶來了金融數據跨境規則的銜接問題。整體而言，粵港澳三地關于金融數據跨境流動的規范體系存在一定差異（見表3），亟待推動相關規則銜接、機制對接。如《個人信息出境標準合同辦法》規定個人信息處理者通過訂立標準合同的方式向境外提供個人信息的，應滿足其為非關鍵基礎信息運營者的條件⑤。而《粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引》并未對個人信息處理者的范圍作出限定。此外，對于內地與澳門地區之間的個人信息跨境流動，當前尚無政策文件對個人信息跨境流動標準合同等事項作出規定和指引。

大灣區金融數據跨境規則銜接不暢的問題主要表現為相關法律規范對金融數據的針對性和數據跨境的統一性規定不足（見表4）。其一，金融數據的針對性規定欠缺。一方面，內地相關法律規范對金融數據概念的界定不清晰?！毒W絡安全法》《數據安全法》對“金融等重要行業和領域”的抽象概括并未準確定義該關鍵信息基礎設施涉及的數據類型。此外，我國數據分類分級保護制度和重要數據目錄尚未完全建立⑥，金融數據是否屬于“關鍵信息基礎設施的運營者收集和產生的個人信息和重要數據”未得到明確。僅規定“重點保護領域”而非數據類型的做法雖然給予了數據保護更廣闊的制度發展空間，但也應意識到，內地相關法律缺乏對金融數據的針對性規定，金融數據的法律定位模糊。對于金融數據跨境流動的具體問題，還需訴諸金融監管部門制定的金融數據管理規則⑦。另一方面，香港和澳門地區的法律規范缺少對金融數據跨境流動的專門性規定，根據香港地區的《個人資料（私隱）條例》，個人資料的范圍十分廣泛，個人金融數據與在世人相關，通過個人金融數據可以間接確定個人身份，因而“個人金融信息”當屬個人資料之列。然而，基于個人金融信息的重要性和特殊性，其卻未在《個人資料（私隱）條例》中受到特別規定，僅作為個人資料適用本條例的一般規定。澳門地區的《個人資料保護法》對個人資料的定義與香港類似，并且同樣未對作為個人資料之一的個人金融數據作出特別規定。

其二，數據跨境的統一性規定不足。香港地區的《個人資料（私隱）條例》第三十三條體現了嚴格的數據跨境流動規制與個人隱私保護要求，然而，該條目前尚未實施，為實現大灣區金融數據跨境自由流動留下了豐富的實踐空間。澳門地區的《個人資料保護法》第十九條確立了個人資料跨境的附條件原則和“把關者”原則。內地基于保障數據主權和維護國家安全的要求，重點保護關鍵信息基礎設施運營者收集和產生的個人信息和重要數據，明確該類數據應本土化存儲，不過并非完全禁止數據出境，只要滿足數據出境安全管理的相關條件，如通過安全評估等，金融數據仍可跨境流動⑧?！痘浉郯拇鬄硡^（內地、香港）個人信息跨境流動標準合同》《數據出境安全評估辦法》等法律文件和政策文件的出臺，將促進數據出境和推動大灣區金融數據跨境流動安全有序的實現。

（二）事中控制：金融數據跨境流動監管存在缺陷

各行業數據的跨界聯通與深層次交融在為數字經濟的現代化提供了必要條件的同時也對數據保護和數據跨境監管提出了更高要求。當前，大灣區數字經濟發展日新月異，數據要素市場不斷擴大，金融數據跨境流動持續加快。如何達成維護國家安全與促進經濟高質量發展的動態平衡，是大灣區金融數據跨境監管面臨的重要課題。與新時代數據監管標準相比，當前大灣區的金融數據跨境監管水平仍有較大提升空間。第一，金融數據跨境監管主體不明、監管權限不清。從監管主體來看，首先，由于香港地區和澳門地區的數據跨境規則偏重原則性規定，僅從宏觀上規定了相關組織和人員保護個人資料的職責，未明確與金融數據跨境監管相關的事宜。例如，香港地區個人資料隱私專員須就個人資料保護條例的遵守情況進行監管⑨，澳門地區公共當局承擔個人資料處理預先監控的職責⑩。其次，盡管《數據安全法》明確規定內地金融主管部門承擔本行業、本領域的數據安全監管職責?，但金融數據跨境監管與日常金融數據安全監管不同，其通常涉及跨區域、跨部門的行政事務，而“金融主管部門”的規定太過寬泛，未明確內地的金融數據跨境監管主體。從監管權限來看，在金融數據跨境監管主體不明確的情景下，遑論金融數據跨境監管權限。但整體而言，內地現行法律規范既沒有明確金融主管部門在履行數據安全監管職責過程中享有的權利，也沒有為其權利行使制定可行性細則。香港地區個人資料隱私專員可以雇用符合相關條件的人士，協助其履行職能及行使權利，個人資料（隱私）咨詢委員會可以就任何與個人資料私隱相關的事宜向個人資料隱私專員提出意見?。澳門地區亦未明確規定公共當局實行預先監控時所享有的權限及應承擔的職責。最后，金融數據跨境流動涉及各類復雜法律問題，如果僅依靠原則性法律規制金融數據跨境流動，將會導致監管權限不足、監管部門權限重疊、監管執行尺度不一等問題（鐘紅和楊欣雨，2022）[9]。隨著粵港澳三地跨域合作的深入，前海、橫琴、南沙等重大合作平臺的建設將對金融科技監管和創新要素流動提出更高要求，粵港澳三地缺乏對金融數據跨境監管的明確規定是金融數據跨境規則體系尚未完全建立的直接體現。

第二，缺少金融數據跨境監管合作?；浉郯娜亟鹑诒O管資源配置不均衡，特別是在證券、保險、互聯網金融等領域，由于監管能力、手段以及尺度不一，極易形成“金融洼地”，吸引大量資金流入，導致金融風險（李莉莎和彭子盈，2023）[10]。從監管合作體系來看，尚未建立統一的大灣區金融數據跨境流動主管部門。金融數據跨境政務分屬三地不同部門各自管理，有關部門遵循不同的金融數據跨境監管規則，金融數據跨境監管容易陷入地方保護主義，挫傷三地金融數據跨境流動的積極性。從監管合作機制來看，尚未建立金融數據跨境監管合作機制。盡管金融數據跨境監管面臨監管主體不明確和監管權限不清晰等困境，但大灣區仍然可以在現有組織框架下，通過厘清相關部門的監管職責和權力結構、加強金融數據跨境政務信息的互聯互通、共同制定適用于粵港澳的標準化監管方案等方式，探索建立有效的金融數據跨境監管合作機制，回應金融數據跨境的最新監管需求。例如，在金融科技創新監管方面，中國人民銀行、香港金融管理局和澳門金融管理局簽署了《關于在粵港澳大灣區深化金融科技創新監管合作的諒解備忘錄》，將中國人民銀行金融科技創新監管工具、香港金融管理局金融科技監管沙盒和澳門金融管理局創新金融科技試行項目的監管要求進行聯網對接，深化粵港澳三地的金融科技創新交流合作。《河套深港科技創新合作區深圳園區發展規劃》亦指出，要推動兩地相關機構利用內地金融科技創新監管工具與香港金融管理局金融科技監管沙盒的聯網對接，以便利其依托一站式平臺在香港地區和內地分別測試跨境金融科技項目。此外，河套深港科技創新合作區積極探索大數據、云計算等技術在金融領域的規范運用，深化數據要素市場化配置改革，加快金融業務范式創新。如此一來，不僅可以促進大灣區數字金融的發展，提升金融服務質效，還可以更好地帶動金融支持大灣區建設。

（三）事后保障：金融數據跨境流動中個人信息權利救濟困難

近年來，我國個人隱私保護、數據安全管理、數據跨境流動規制的力度不斷增強。然而，由于當前粵港澳金融數據跨境規則尚未實現有效銜接，加之金融數據跨境的統一主管部門尚未建立，一旦發生個人金融信息泄露，個人信息權益或得不到切實保障。

第一，粵港澳三地對個人信息權利的界定不一。內地《網絡安全法》與《數據安全法》并未明確規定個人在關鍵信息基礎設施運行中所享有的權利，《個人信息保護法》基于對個人信息的嚴格保護，明確了個人在個人信息處理活動中享有知情權、決定權、查閱權、附條件的“個人信息轉移權”等權利?。對于澳門地區和香港地區而言，澳門地區的《個人資料保護法》專章規定資料當事人享有信息權、查詢權、反對權、不受自動化決定約束的權利、損害賠償權?。香港地區的《個人資料（私隱）條例》僅對相關調查及執法權力作出規定?，未明確資料當事人享有的權利。由于粵港澳三地缺乏對個人信息權利的統一性規定，面對三個司法管轄區的特殊區情，難免會產生法律適用的障礙，在受到非法侵害時，個人信息權利的維護或面臨困境。

第二，缺乏個人信息權利救濟機制。個人信息處理者通過某些手段得到處理個人信息的機會，人們或許意識到自己的個人信息被收集，但他們并不清楚信息會被怎樣處理、最終用在何處。個人信息處理者利用信息和技術不對稱的優勢，最大程度吸取個人信息在數字市場中的經濟價值，而處于信息技術劣勢地位的用戶無法防范應對，逐步失去對個人信息的掌控權（馮澤華和王依菲，2022）[11]。個人信息權利包括救濟權，用以救濟被侵害的原權利。整體而言，當前針對金融數據跨境的個人信息權利救濟機制尚未建立，內地數據安全管理規則僅對相關主體的違法責任予以明確?，如警告、罰款、沒收違法所得等，呈現出明顯的安全本位和責任導向。然而，消極地由相關部門進行事后處罰并不能充分保障個人信息權益，公民在個人信息權利受到侵犯或個人信息處理者因行政機關的違法行為致使相關權益受損時，應享有法律救濟的權利。此外，雖然澳門地區的《個人資料保護法》規定資料當事人享有損害賠償權，有權向負責處理資料的實體要求獲得所受損失的賠償?，但并未進一步規定資料處理實體拒絕賠償時，資料當事人可選擇的救濟舉措。綜而觀之，當前亟須構建個人信息權利救濟機制，細化個人信息權利救濟規則，推動粵港澳三地個人信息權利救濟規則的有效銜接、機制對接。

三、粵港澳大灣區金融數據跨境流動的法治路徑

法律是治國之重器，良法是善治之前提?；浉郯娜卦诜e極構建完善的數據安全保護制度的同時，也須加快制定有助于數據要素便利流動和優化配置的跨境規則，探尋國家安全和經濟社會發展的最佳平衡點。“立法+組織+權利”的三維法治路徑可為大灣區金融數據跨境安全有序的流動提供堅實保障。

（一）點面結合的立法規制：推進金融數據跨境流動的立法協同

從立法實踐來看，針對當前金融數據跨境流動法律體系不完善的問題，需要在加強數據安全、個人信息保護的同時，進一步明確和細化金融數據跨境的相關規定，實現由面到點的立法規制。首先，國家要重視公民個人隱私的保護，完善數據安全管理的頂層設計，建構具有中國特色、彰顯中國智慧的數據跨境流動規則體系。其次，內地要推動相關主管部門組織制定本行業、領域的數據分類分級管理制度與重要數據目錄，為實現金融數據的針對性保護提供制度依據?？赏ㄟ^制定金融數據跨境評估標準、技術規范、監管方案等方式，彌補現行法律對金融數據跨境適用性不強的暫時性問題。最后，香港地區和澳門地區不僅要推動金融數據跨境規則與內地的銜接，如兩地個人資料（隱私）的范圍應與內地個人信息的規定趨同化，還要積極出臺規范金融數據跨境的政策制度，進一步打牢金融數據跨境流動的規范基礎。

從立法模式來看，針對當前粵港澳三地金融數據跨境規則不一致的問題，需要加強金融數據安全管理的法治協同，倡導試行區域示范法，實現由點到面的立法協調。大灣區金融數據跨境規則的立法協同分為中央主導協調、單方協調、自主聯合協調模式。由于大灣區具有多元制度差異，統一立法將面臨重重困難。數據立法不涉及《立法法》規定的法律保留事項，地方立法機關可以自行立法，通過構建區域示范法機制實現金融數據跨境規則的自主聯合協調，是可行的路徑選擇。區域示范法是指復合法域國家的部分區域為促進法治協調而制定的供該區域內不同法域作為立法指南的法律文本，具有區際適用性的特點，有助于促進不同法域的法律協同化發展，彰顯區域政府間立法協調的自主性（馮澤華和杜承銘，2021）[12]?？梢圆扇∠纫缀箅y的策略，在粵港澳三地相關政府部門的指導下，由相關法律專家學者以及金融、數據行業協會的實務工作者聯合組成起草課題組，負責起草金融數據跨境規則的區域示范法。借助區域示范法調適大灣區金融數據跨境規則的立法差異，有利于打通統一立法過程中可能出現的堵點問題，形成制度合力。同時，粵港澳三地可根據區域示范法的相關規定，及時轉化立法或者作出其他契合本地具體情況的規則銜接安排。

（二）上下貫通的組織監管：構建金融數據跨境流動統籌監管體系

大灣區金融數據跨境統籌監管體系的構建，可以從“無縫隙政府理論”的組織形式與流程再造中得到啟發?！盁o縫隙政府”的組織形式再造是指對科層制組織形式進行合理改造，如建立由不同職能部門人員組成的跨職能團隊和通才團隊，精簡政府部門人員數量，消除部門之間的壁壘。組織流程再造是指以最大限度滿足公眾服務需求為出發點，運用信息技術等將各方面系統整合起來，塑造出完整、優化的工作流程和服務價值增加流程。在此過程中，并聯工序代替了串聯工序，串聯工序代替了不同部門的工作環節（尚虎平和韓清穎，2014）[13]。大灣區可以在組織流程再造的前提下，通過確保“主要序列的流動”，將以職能為導向的傳統金融管理機構調整為以過程為導向的無縫隙金融數據跨境統籌監管機構。

第一，創新大灣區金融數據跨境監管體系，構建三級組織架構，實現從上到下的金融數據跨境流動統籌監管。對于跨區域協調監管而言，可以在明確相關部門職能范圍和權力結構的基礎上，通過粵港澳三地分別派遣主要官員等方式，組建“粵港澳大灣區數據安全委員會”作為金融數據跨境流動的協同治理機構。對于跨部門監管合作而言，實踐中由于大灣區金融數據跨境流動涉及國家網信辦、國家數據局、國家金融監督管理總局等機構的職責分工與深層次運作機理，加之大灣區金融數據跨境監管部門仍未明確，如果由上述部門分別管理金融數據跨境事務，很可能出現“多頭管理”等低效率現象。因此，可以探索建立“國家金融監督管理總局領導、國家網信辦和國家數據局指導、以協同治理機構為核心、地方金融監管部門為抓手”的三級金融數據跨境統籌監管組織體系。其中，地方金融監管部門包括廣東省地方金融管理局、香港金融管理局、澳門金融管理局（見圖1）。

第二，建立數據跨境監管合作機制，自下而上激活金融數據跨境監管合作的內生動力。實際上，地方熟悉本地區金融運作情況，通過地方自主聯合的方式推動金融數據跨境監管合作，或許比中央主導的效果更好。粵港澳三地相關部門可以在確保金融數據安全的前提下，積極開展跨域合作，推動金融數據跨境自由流動，充分釋放金融數據的市場價值與經濟活力。需要注意的是，香港地區和澳門地區實行獨立的稅收制度，自行制定貨幣金融政策，保障金融市場和各類金融機構的經營自由，并依法進行管理和監督?。金融數據跨境管理事務屬于香港地區和澳門地區高度自治的范圍，兩地享有較大自主權。相對而言，珠三角九市的金融事務管理自主權較小。比如，廣州市地方金融管理局要接受廣州市人民政府和廣東省地方金融管理局的領導。因此，為深化地方金融數據跨境監管合作，可由地方請求中央授權，促進相關規則銜接。

（三）共殊相融的權利保障：保障金融數據跨境流動的個人權益

《一般數據保護條例》采取兩種方式定義個人數據權利內容，一種是明確定義個人數據權利，另一種是對個人數據權利進行簡要描述而不定義名稱。與此對應，我國個人信息權利分為明確定義的訪問權、修正權、刪除權、限制處理權、數據可攜權、反對權等顯性的個人信息權利以及相關的模糊隱性個人信息權利（盛小平和唐筠杰，2022）[14]。雖然我國法律對個人信息概念的界定均采用列舉式，但保護范圍并不一致。此外，盡管公民的個人信息保護意識不斷增強，但主動維權實踐較少，維權難度大的情況仍然存在（王穎，2021）[15]。

對于金融數據跨境流動中的個人信息權利保障而言，個人信息權利為共相，個人信息權利的救濟是個人信息權利的重要內容，是事物的一個方面，為殊相。既要明確個人信息權利的共相認識，也要進一步提高對個人信息權利救濟之殊相認識?？梢酝ㄟ^協同立法、制定區域示范法與技術規范等方式，明確個人信息權利的內涵、外延，規定個人信息權利救濟的途徑、方式與條件。如《粵港澳大灣區（內地、香港）個人信息跨境流動標準合同》對個人信息主體、接收方接受個人信息主體維護權利的形式作出規定，個人信息權利主體可以依法向內地或者香港有管轄權的法院提起訴訟；接收方接受個人信息主體不僅可以向國家互聯網信息辦公室、廣東省互聯網信息辦公室、香港特別行政區政府創新科技及工業局、政府資訊科技總監辦公室、香港個人資料私隱專員公署等相關監管機構投訴，還可以向內地或者香港有管轄權的法院提起訴訟?。個人信息權利保障對大灣區金融數據跨境流動具有重要意義：一方面，依法保障個人信息權利可以激發公民參與數據跨境流動的積極性，從而間接促進金融數據的跨境自由流動；另一方面，建立個人信息權利救濟機制的過程，亦是保護公民個人隱私、維護國家數據主權與安全的過程。大灣區作為新時代改革開放的“先行示范區”，有必要也有條件先行先試，以金融數據跨境流動為試驗樣本，探索保障公民個人信息權益之法治進路。

四、結語

在數字經濟時代，金融數據愈發成為數字中國與數字灣區建設的“助推器”。不同于一般的數據跨境流動，粵港澳大灣區金融數據跨境流動因其特殊的地理區位和數據類型，應受到更為廣泛的關注。當前，國家層面對大灣區金融數據跨境流動展開了初步探索，出臺了一系列法律規范，但尚未深度破除金融數據跨境規則銜接、機制對接的制度性壁壘，導致大灣區金融數據跨境流動面臨立法規制、組織監管、權利保障等層面的現實問題。橫琴、前海、南沙、河套深港合作區等重大合作平臺可以成為探索大灣區金融數據跨境流動法治路徑的理想沙盒，在結合大灣區實際，借鑒吸收數據跨境治理有益域外經驗的前提下，可通過點面結合的立法規制、上下貫通的組織監管以及共殊相融的權利保障為合作區的金融數據跨境流動提供多維度的法治保障。同時，總結并推廣合作區金融數據跨境治理的先行經驗，可以為大灣區金融數據跨境流動的安全有序和國家數據跨境治理能力的現代化打牢基礎。

注：

①詳見《數字中國發展報告（2022年）》。

②詳見《網絡安全法》第三十一條、第三十七條。

③詳見《數據安全法》第二條、第六條、第三十一條。

④詳見《個人信息保護法》第二十八條、第三十八條、第四十五條。

⑤詳見《個人信息出境標準合同辦法》第四條。

⑥《數據安全法》第二十一條，明確國家建立數據分類分級保護制度，對數據實行分類分級保護，同時國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。但目前我國數據分類分級保護制度和重要數據目錄尚未完全建立。

⑦如中國人民銀行《關于銀行業金融機構做好個人金融信息保護工作的通知》將個人金融信息劃分為個人身份信息、個人財產信息、個人賬戶信息、個人信用信息、個人金融交易信息等七類?！秱€人金融信息保護技術規范》則將個人金融信息按照敏感程度由高到低分為C3、C2、C1三個類別。《中國人民銀行金融消費者權益保護實施辦法》在界定消費者金融信息范圍的前提下，明確消費者金融信息的處理包括消費者金融信息的收集、存儲、使用、加工、傳輸、提供、公開等。

⑧如《個人信息保護法》第三十八條規定，個人信息處理者向境外提供個人信息的，應滿足三個條件之一：一是通過國家網信部門組織的安全評估；二是按照國家網信部門的規定經專業機構認證個人信息保護；三是按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務。

⑨詳見《個人資料（私隱）條例》第八條。

⑩詳見《個人資料保護法》第二十二條。

?詳見《數據安全法》第六條。

?詳見《個人資料（私隱）條例》第九條、第十一條。

?詳見《個人信息保護法》第四十四條、第四十五條。

?詳見《個人資料保護法》第三章。

?詳見《個人資料（私隱）條例》第9A部。

?詳見《網絡安全法》第六章、《數據安全法》第六章。

?詳見《個人資料保護法》第十四條。

?詳見《香港特別行政區基本法》第二條、第一百零六條、第一百零八條、第一百一十條；《澳門特別行政區基本法》第二條、第一百零四條、第一百零六條、第一百零七條。

?詳見《粵港澳大灣區（內地、香港）個人信息跨境流動標準合同》第四條、第五條。

參考文獻：

[1]吳騰華，胡耀元.中美金融市場結構比較及其對中國的啟示 [J].國際商務研究，2022，43（05）.

[2]王婷.我國金融數據跨境流動機制現狀與因應之策 [J].對外經貿，2022，（11）.

[3]中央人民政府駐香港特別行政區聯絡辦公室.“金融科技2025”策略公布 香港金融科技產業發展添翼[EB/OL].（2021-06-10）.http：//www.locpg.gov.cn/jsdt/2021-06/16/c_1211202683.htm.

[4]Hang Seng Bank.Greater Bay Area SME Report： A Story of Resilience and Opportunity[R/OL].（2023-01-10）.https：//www.bain.com/globalassets/noindex/2023/bain_brief

_greater_bay_area_sme_report_a_story_of_resilience_and_opportunity.pdf.

[5]孫方江.跨境數據流動：數字經濟下的全球博弈與中國選擇 [J].西南金融，2021，（01）.

[6]范思博.個人金融數據跨境流動的治理研究 [J/OL].重慶大學學報（社會科學版），2024-01-27.

[7]李萬強，吳佳芮.金融數據跨境流動的法律規制與中國方案 [J].南通大學學報（社會科學版），2023，39（05）.

[8]廣東外語外貿大學粵港澳大灣區研究院課題組，申明浩，申幺等.數據跨境有序流動何以賦能統一大市場建設——基于粵港澳大灣區建設視角分析 [J].國際經貿探索，2022，38（11）.

[9]鐘紅，楊欣雨.金融數據跨境流動安全與監管研究 [J].新金融，2022，（09）.

[10]李莉莎，彭子盈.論粵港澳大灣區金融數據跨境流動治理機制 [J].城市觀察，2023，（05）.

[11]馮澤華，王依菲.個人信息轉移權的確立動因與生成條件[J].青年記者，2022，（11）.

[12]馮澤華，杜承銘.粵港澳大灣區行政法治協調的立法進路 [J].法治論壇，2021，（01）.

[13]尚虎平，韓清穎.我國“無縫隙政府”建設的成就與未來——以無縫隙政府工具為標準的評估 [J].中國行政管理，2014，（09）.

[14]盛小平，唐筠杰.我國個人信息權利與歐盟個人數據權利的比較分析：基于《個人信息保護法》與GDPR[J].圖書情報工作，2022，66（06）.

[15]王穎.個人信息權利保護的法律困境與完善措施[J].青年記者，2021，（21）.