金融数据跨境流动的特殊规制
2021-06-29田翔宇
田翔宇
摘 要:金融数据作为特殊的数据类型,对其跨境流动的监管涉及数字经济发展、金融稳定、国家安全、个人隐私与企业合法权益保护等诸多价值取向,其跨境流动模式的选择需要基于本国金融发展现状和金融监管实践,要体现国家利益诉求、平衡多元价值取向。我国金融数据跨境流动的监管规则主要呈现出特殊规定与一般规定相结合、平衡多种价值的特点,同时存在对重要概念缺乏清晰界定、不同规则之间缺乏衔接、难以兼顾时效性的问题。在新的形势下,我国应当制定统一协调的金融数据跨境规则,以利益平衡为导向进行金融数据流动分级分类监管,并积极参与全球数据流动规则制定,从而维护国家安全和利益。
关键词:金融数据;跨境流动;特殊规制
DOI:10.3969/j.issn.1003-9031.2021.04.007
中图分类号:F832 文献标识码:A 文章编号:1003-9031(2021)04-0051-08
一、引言
数据是一个十分宽泛的概念,由于不同行业、不同领域的数据治理具有极强的专业性,无论是国外还是国内,对数据跨境流动普遍采用分业监管的模式。因金融数据的识别、分类、处理、评估都具有很强的专业性,我国2020年的《数据安全法(草案)》明确了金融业主管部门承担本行业、本领域数据安全监管职责,对金融数据的跨境传输采取特殊规制措施。信息流与资金流一样,都是重要生产要素,无论是银行、保险、证券机构,还是金融基础设施,抑或是监管机构都有大量专业而复杂的数据流动需求,金融数据跨境流动监管是金融监管框架的一部分,由金融业主管部门制定专门规则进行监管,是必然的选择。相比于大部分行业,金融行业对于数据跨境流动的数量需求更大、速度要求更高。金融业是全球化特点极为突出的行业,金融机构的全球布局和集团化经营都决定了金融数据在几乎所有经营场景下都可能涉及跨境流动问题。对金融机构而言,跨境支付清算、境外尽职调查、监管信息报送、机构风险管理、集团数字化经营等场景都涉及海量数据的跨境问题,各国金融主管部门和监管机构同样在执法调查、反洗钱协作等领域存在数据传输的需求。另外,金融数据的跨境流动需要平衡的利益较多。一是金融数据往往包含较多的个人和机构客户信息,敏感性较高、隐私性较强,其流动必须保证在一国范围内充分保障信息的安全。二是金融机构沉积了海量的客戶数据,网络攻击、数据泄露等事件都可能会导致国家的金融安全和稳定受到严重破坏。三是金融数据的跨境流动又能够创造巨大的经济价值,这对于数字经济的发展、经济全球化的推进具有重要意义,数据流动的规制应明确,但不能没有上限。四是金融机构的经营单元呈现出全球配置的趋势,资金流、信息流具有全球流动的需要,合理规制金融数据跨境流动,对于国外金融机构参与中国金融市场建设,扩大金融开放,具有重要意义。
二、金融数据跨境流动的特殊规制思路
规制金融数据的跨境流动,其价值基础在于维护国家安全、维护金融稳定、保护金融消费者合法权益。在数字经济时代,数据本身对于金融机构来讲是极为重要的生产要素,数据的跨境流动对于金融业而言创造的价值也是前所未有的。合理平衡多个价值诉求的手段就在于合理划分金融数据跨境流动的范围、金融数据流动的限度以及数据处理者的权利义务。
(一)美国模式:内外二元化规制
美国作为全球信息技术和金融业最为发达的国家,对于金融数据跨境自由流动的诉求最为强烈。在国际法层面,美国主导制定的一系列国际条约往往对金融数据的跨境流动采取特别规定以及“原则+例外”模式,即确立缔约方保障金融服务领域数据跨境自由流动的义务,但也允许缔约方基于一定的目的对数据的流动进行限制。如全面与进步跨太平洋伙伴关系协定(CPTPP)第11章金融服务章节就专门规定缔约方可以基于公共政策目的,采取保护个人数据、个人隐私及个体记录和账户机密的相关措施,并且可以出于审慎监管的目的要求金融机构指定企业作为数据接收方。
美国在国际条约和国内立法的态度取向上呈现出二元化的现象,即内部流动强调隐私保护和主张跨境自由流动并举。一方面,美国在国际舞台上持续发声,反对严格规制数据的自由流动。美国贸易代表办公室多次在中国WTO合规报告中对中国跨境数据流动监管措施提出批评,指责中国对美国企业在内的外国企业提出数据本地化要求,增加了美国企业进入中国市场的难度。另一方面,美国对包括金融业在内的重点行业的数据跨境流动采取了严格的立法规制,限制美国本土的数据流出。但美国国内立法的特点也或多或少体现了数据自由流动的价值导向,在联邦层面缺少针对数据跨境流动的具体规制,而是侧重于消费者隐私保护,在各州层面进行“精准监管”,这也进一步凸显了数字经济发展和消费者隐私保护之间的博弈和联动。
在联邦层面,美国法律对数据控制者的义务规定较为明确。《金融消费者隐私权法》明确规定了金融机构承担保护消费者隐私权的法定义务。《格雷姆-里奇-比利雷法》(Gramm-Leach-Bliley Act,GLB Act)进一步明确了金融机构在处理消费者金融信息时需要遵守的义务,包括通知、选择、市场公开、安全和执行。如金融机构如果向第三人披露消费者或客户的非公开个人信息,必须通知消费者或客户,并且这一通知必须向消费者告知隐私政策,赋予消费者选择退出的权利。2017年,纽约州的新金融条例明确规定纽约内银行针对任何可能危害数据的网络事件需在72小时内向金融服务部报告。此类网络数据包含勒索软件与拒绝服务攻击在内,银行需有完备的网络安全计划,并雇佣首席信息安全官监管安全程序与维护。
除了金融领域的立法之外,美国在外国投资国家安全审查法规中也对数据的跨境流动做出了规定。美国《外国投资与国家安全法》(FINSA)和《外国投资风险审查现代化法案》(FIRRMA)赋予了美国外国投资委员会(CFIUS)审查收集美国公民个人敏感信息,并且以可能威胁美国国家安全的方式利用个人信息的投资。如果相关的投资可能涉及滥用美国公民个人信息的行为,则相关投资极有可能被CFIUS否决。
(二)欧盟模式:强隐私保护与接收地信息安全评估
与美国不同,欧盟将个人信息保护视为对基本权利的保护,采用人权与隐私保护先行的规制思路,在涉及欧盟公民个人信息向外部的流动问题上,采用了接收地信息安全评估模式,从而平衡数据流动和隐私保护的关系。接收地信息安全评估制度,也被称为“第三国评估模式”,在允许数据向位于其他国家的个人或者组织进行流动之前,国家首先要对另一国的数据安全保护标准进行评估。美国曾经与欧盟签订《安全港》框架协议,使得美国公司有权通过协议接受欧盟个人信息保护法的约束,从而获得欧盟成员方公民的个人信息数据。但安全港协议于2015年被欧洲法院宣告无效,原因就在于法院认为美国政府对存储在美国境内服务器的数据进行监视和非法利用,从而使得美国无法证明自己对数据提供了充分保护。后来,美欧之间通过隐私盾协议达成了数据流动规则的共识。《通用数据保护条例》(GDPR)同样延续了欧盟以往的立法,第Ccb/234五条要求在数据传输中对数据接收国的数据安全保护水平进行充分性的认定,禁止个人数据向未确定的数据保护国家或组织进行流动。安全评估的内容主要有:一是数据接收国或接收地的法治发展水平,如是否已经制定个人数据保护的专门法规、是否有明晰的数据跨境流动监管规则;二是是否存在专门的数据保护机关;三是该国所缔结或参加的数据保护国际条约的情况。同时,GDPR第三章也专门规定了多项数据主体权利,并规定控制者应当按照规定帮助数据主体行使权利。数据主体权利主要细化为数据的访问权、纠正权、擦除权(又称“被遗忘权”)、限制处理权、拒绝权、自主决定权等。
在给予个人金融信息强保护的同时,欧盟也注重内部生产要素的自由流动,以此来推动统一大市场的构建。2015年,欧盟内部批准的《关于内部市场的支付服务指令(第2015/2366号)》规定,银行在客户明示同意的情况下应当将客户信息开放给第三方支付服务商,在审慎监管的情况下,也允许由账户信息服务商跨境提供服务。
可见,美欧的金融数据流动总体上呈现出开放和自由的趋势,但这样的自由并非无条件、无限度,也丝毫不会削弱其对公民个人隐私的保护。无论是美国在国际法上对数据自由流动的主张还是欧盟对内部金融信息流动的保障,抑或是前者通过国家安全审查限制数据出境和后者对公民隐私权的强力保护,归根结底,各国都是基于自身数据保护能力和数字经济发展的国家利益来设计数据流动规则,从而确保自身所重视的价值利益被妥善平衡。
三、我国金融数据跨境流动规制特征
(一)金融特别规定嵌入网络安全一般规定
我国对于金融数据跨境流动的特别规制采用的是“特殊规定+一般规定”的模式。一方面,金融数据的处理者必须遵守金融管理部门制定的数据流动规则;另一方面,相关金融机构也必须遵守网信部门关于数据跨境流动的一般性规定。
我国金融管理部门对于个人金融数据最初采取较为严格的本地化存储要求。2011年人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》第六条规定,在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行,除另有规定外,银行业金融机构不得向境外提供境内个人金融信息。银保监会《银行业金融机构反洗钱和反恐怖融资管理办法》规定,对依法履行反洗钱和反恐怖融资义务获得的客户身份资料和交易信息,非依法律、行政法规规定,银行业金融机构不得向境外提供。《征信业管理条例》也规定,征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行;向境外组织或个人提供信息,应当遵守法律及有关规定。因为征信也属于前文界定的个人金融信息的一种,我国法律对我国境内收集的个人金融数据采用的是原则上进行本地存储和处理,例外情况下才能向境外提供。
2020年公开征求意见的《个人金融信息保护技术规范》是较为全面的金融数据跨境流动规则,尽管其只是行业技术规范,但明确了个人金融信息本地化存储的原则,并规定了跨境流动的情形、接收方、数据主体权利、数据处理者义务、程序等事项。主要内容如下:数据的传输要符合“因业务需要,确需向境外机构传输”;数据接收方应当是总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构;符合国家法律法规及行业主管部门有关规定;获得个人金融信息主体明示同意;应依据国家、行业有关部门制定的办法与标准进行安全评估,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求;应与境外机构通过签订协议、现场核查等方式,明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务。
金融数据的跨境传输,除了要遵守金融行业规定,还必须遵守网信部门对于数据跨境流动的一般规定,这也正是上述技术规范中所提到的“符合国家法律法规”。《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,應当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。从该条规定我们至少可以看出,《网络安全法》中的数据本地化存储要求针对的是“关键基础设施的运营者”。但《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称《办法(征求意见稿)》)并没有全部沿用《网络安全法》的规定,而是将数据本地化及安全评估的责任主体从《网络安全法》规定的“关键信息基础设施的运营者”扩展为全部的网络运营者。
对于“个人信息”的含义,《办法(征求意见稿)》中规定,个人信息的内涵有以下特点:以电子或其他方式记录;单独或与其他信息结合起来即可识别自然人的个人身份,并进行了不完全列举 。而对于“重要数据”,《网络安全法》并未对其具体内涵进行界定,《办法(征求意见稿)》也仅指出重要数据与国家安全、经济发展、社会公共利益密切相关。信息安全标准化技术委员会(“信安标委”)发布的第二版《信息安全技术 数据出境安全评估指南(征求意见稿)》(以下简称《指南(征求意见稿)》)则进一步对重要信息的含义进行了解释。《指南(征求意见稿)》中的“重要数据”有以下特征:不涉及国家秘密;与国家安全、经济发展和公共利益密切相关;数据的滥用、篡改可能导致一系列严重后果 。金融领域“重要数据”的含义体现在该文件的附录 A(规范性目录)第(七)条,即数据的泄露足以“影响或危害国家经济秩序和金融安全”。但总的来说,对重要数据的规定目前还相对原则化,对数据处理者的预期保护并不足够充分。
(二)体现价值平衡
正如《网络安全法》第一条所言,数据立法的目的在于维护国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,并促进经济社会信息化健康发展。无论是国际条约还是国内立法,我国在金融数据领域的数据安全立法,体现了我国政府对于平衡国家安全、数据主权、金融稳定、个人和企业权益保护并保障金融开放与发展的探索与努力。
我国参与缔结的自由贸易协定和双边投资协定中,并无太多涉及金融数据流动的规则条款。2020年签署的《区域全面经济伙伴关系协定》(RCEP)第八章附件一规定,缔约方不得采取措施阻止其领土内的金融服务提供者为进行日常营运所需的信息转移,包括通过电子方式或其它方式进行数据转移,但并不阻礙缔约方的监管机构出于监管或审慎原因要求其领土内的金融服务提供者遵守与数据管理、存储和系统维护、保留在其领土内的记录副本相关的法律和法规,也不妨碍缔约方保护个人数据、个人隐私,以及个人记录和帐户机密性的权利,但条件是此类措施不是为了规避缔约方在该条约项下的义务。可见,我国已经逐步开始借鉴CPTPP中的数据流动规制思路,即确保日常运营需要的数据自由流动为原则,但又有条件地授予各国监管机构制定规则来限制数据流动的权利。尽管这一条款的规定并不足够具体,但这一规制模式将会对后续我国的国内立法产生较大影响。
我国的立法模式总体上也体现出了对个人权利、国家安全与社会公共利益、数字经济发展的兼顾。《网络安全法》第三十七条所针对的数据是在中国境内收集和产生的“个人信息”和“重要数据”。因此,与某些仅关注个人信息跨境流动的国际规则不同,《网络安全法》第37条对数据的保护是一种“双元保护”,不仅局限于“个人信息”,还包括其他的“重要数据”。此外,《网络安全法》第三十一条明确了金融机构属于关键信息基础设施,要进行重点保护。《网络安全法》第三十七条采用的数据流动限制模式为“原则+例外”模式,即以个人信息和重要数据的本地化存储为原则,安全评估为例外。原则上,满足前述条件的个人信息和重要数据都应当在中国境内存储,但如果确实需要向境外进行传输的,应当按照规定进行安全评估。安全评估的具体内容和措施并未在该法中详细规定,而是采用了“另行规定”的处理方式。2019年发布的《个人信息出境安全评估办法(征求意见稿)》对个人信息出境的评估做出了更为细化的规定,审查的内容既包括数据流动过程中对私主体权利的保护情况,也包括对国家安全和社会公共利益是否会存在影响。
四、存在的问题
(一)缺乏对重要数据等关键概念的清晰界定
前文提到,我国数据跨境流动监管体系的基本特点之一是个人信息和重要数据的“双元保护”,但在立法进度上,对个人信息出境的规定明显快于重要数据。如2017年有关部门已经就《办法(征求意见稿)》公开征求意见,后续虽未出台正式规定,但在2019年出台《个人信息出境安全评估办法(征求意见稿)》并征求意见。尽管2017年《指南(征求意见稿)》并未正式公布生效,但却是唯一一部数据出境的国家标准指南征求意见稿。该征求意见稿所体现出的对重要数据的定义取向值得注意,但其对于金融领域重要数据的定义过于宽泛,包括了个人财产信息、账户信息等。这与个人金融信息高度重叠,实质上涵盖了金融机构运营中的绝大多数数据类型。此外,现有的规则确立了数据跨境流动的“必要性”原则,但也没有对何为“因业务需要确需向境外提供”的情形进行具体类型化,不利于为数据处理者提供合理预期。
(二)不同规则之间尚未做到清晰、协调、统一
《办法(征求意见稿)》提出所有网络运营者在向境外提供个人信息和重要数据时都需要进行安全评估,这实际上使得《网络安全法》中“关键信息基础设施”的概念已经失去了应有的意义。《个人信息保护法(草案)》明确了本人和个人信息处理者的权利义务、个人数据跨境提供的规则。首先,个人信息处理者应当具备以下四项条件之一才能进行跨境传输:通过网信部门的安全评估;经专业机构进行个人信息保护认证;与境外接收方订立合同并监督其活动达到中国法的保护标准;法律、行政法规规定的其他条件。此外,数据处理者必须向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使该法规定权利的方式等事项,并取得个人的单独同意。这一草案提供的解决思路是值得借鉴的,即采用灵活的模式,让在评估、认证、合同保护等措施中满足其一。但如果按照目前将金融机构全部纳入关键信息基础设施运营者,那么就全部需要经过网信部门的安全评估,这使得“四选一”的灵活模式不能发挥应有的作用。因此,多个数据流动规范之间的是何适用关系仍旧需要继续明确。当然,目前缺乏衔接和协调的规则大部分都是征求意见稿,并未真正执行,仍有调整的空间,因此数据流动立法既不能停滞不前,让规则停留在宏观的角度,也不能急于出台而忽视了规范之间的协调统一。
(三)难以兼顾金融数据流动对时效性的特殊需求
即便不对个人金融信息的出境安全评估做出特殊规定,金融数据的出境也必须符合个人信息出境的一般规定。2019年征求意见的《个人信息出境安全评估办法(征求意见稿)》提出的方案是数据处理者向省级网信部门提交安全评估材料,安全评估应当在15个工作日内完成,情况复杂的可以适当延长。这的确使得个人数据出境的程序变得清楚,但对于金融行业而言却并不实用,因为金融市场信息瞬息万变,金融风险处置、经营管理等操作对于数据的时效性要求很强,15个工作日的评估期限并不能够满足要求。退一步讲,在现有的制度下任何的个人金融数据都需要满足安全评估要求,也使得评估缺乏针对性,一定程度上牺牲了效率,容易造成金融数字壁垒。对于个人数据而言,金融管理部门的逻辑倾向于压实数据处理者的责任,尝试兼顾数据流动的便利性和安全性。网信部门的监管思路则更应将公共利益和个人保护放在一起,以安全为首要出发点制定规则,但不可避免地忽视了二者之间价值取向保护的不同,一定程度上难以兼顾效率。
五、金融数据跨境流动规制模式的改进建议
(一)制定统一的金融数据跨境流动特殊规则
随着数字金融的发展和金融机构的全球布局,金融业数据的跨境流动规模呈现出爆炸性增长。对金融数据跨境流动的规制,本质上是公权力对金融经济活动进行监管和干预,为了提升市场效率和透明度,这样的干预应当力求做到协调统一。
一是注重不同部门规则之间的协调。我国网络安全立法和金融数据立法起步较晚,目前已经形成“一般规定+特殊规定”的模式。但总体而言,由于分业监管的历史原因,针对金融行业数据流动的专门规定较为分散,且互相之间并未实现合理衔接。我国金融数据跨境流动规则的构建,应当在数据流动整体框架之下赋予人民银行、银保监会、外管局等机构制定统一金融数据流动规则的权限,构建起清晰完整、层级分明的数据规则体系,并且做好与《网络安全法》及其配套規则的衔接。如在《个人信息保护法(草案)》中就提到法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定,这实际上为金融业这类数据流动时效性要求较高的行业提供了可能的便利条件。
二是加快完善金融领域“重要数据”跨境流动规则。我国对重要数据的界定不够明晰,与个人数据存在重叠情况且相关出境规则缺失。既然采用了个人信息和重要数据“双元保护”的模式,那么就应该在金融领域也将这一思路贯彻到底。要进一步明确金融领域重要数据的流动程序,合理界定重要数据的范围。目前金融业重要数据的定义采用的是损害评估的方法,指的是泄露足以“影响或危害国家经济秩序和金融安全”的数据。因此,应当采取限缩解释的方法,将重要数据严格限制在关乎保护公共利益、国家安全和金融安全的范围内。如交易场所、登记结算系统的数据及商业性金融机构中足以影响系统性安全的数据库等,避免将数量有限的、仅关乎个人利益、商业性利益的数据纳入重要数据的范围。在立法技术上,则可以沿用采用“部门规章+技术指南”方式,逐步细化,从而给数据处理者准确的预期。
三是关注当前数据处理者范围扩张的趋势。由于我国金融数据跨境流动既要接受金融业的特殊监管,又要遵守网络安全的一般规定,因此哪些机构适用金融业特殊监管就至关重要。除了持牌金融机构以外,我国大量的金融科技公司和支付机构也同样从事着个人金融数据的收集、处理活动。因此,本文认为应当牢固把握数据处理的金融属性,正如采用《个人金融信息保护技术规范》中的思路,将所有从事金融信息处理的相关机构全部纳入监管,从而合理识别数据处理者,实现从行业监管到行为监管。
(二)用利益平衡思维进行分层分类监管
要区分个人信息和重要数据的流动规则,按照数据种类、数据用途进行精细化评估。个人和企业客户信息基于商业用途的流动,强调数据主体权利和接收地信息安全状况评估。对出于监管原因以及重要数据的出境,则应当以国家间金融监管协调机制为基础进行约定。《信息安全技术个人信息安全规范》采用定义+列举方式,明确了个人信息和个人敏感信息的区别。对个人敏感信息,要采取加密、分开存储、摘要存储等方式进行存储和传输。2020年央行发布的《个人金融信息保护技术规范》以信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害为标准,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,明确提到应根据个人金融信息的不同类别,采用技术手段保证个人金融信息的存储安全,但并未涉及数据在跨境传输的问题上有何不同。因此,在对个人信息和重要数据进行评级的同时,也应当为不同层级数据设置不同出境程序,从而实现数据出境的精准化监管。
之所以对金融领域个人信息、重要数据进行分级分类监管,分别施策,正是因为两类数据所代表的利益价值不同,对于商业领域的私主体权利,很难断言其直接影响金融安全与稳定,自然不适合用维护社会公共利益、国家安全的方式来保护,而应更多地采用强化数据主体权利、督促数据处理者完善自我监督机制的方式进行保护。此外,为了平衡安全与效率,我国也可以参照国际经验,对安全港协议、白名单等工具进行大胆尝试。
(三)积极参与国际数据流动规则构建
国家利益的多样性,导致了各国国内金融数据立法的多元化和国际协调机制的碎片化。2020年我国政府提出的《全球数据安全倡议》呼吁各国应要求企业严格遵守所在国法律,不得要求本国企业将境外产生、获取的数据存储在境内。未经他国法律允许不得直接向企业或个人调取位于他国的数据。各国如因打击犯罪等执法需要跨境调取数据,应通过司法协助渠道或其他相关多双边协议解决。国家间缔结跨境调取数据双边协议,不得侵犯第三国司法主权和数据安全,这也是我国近年来在国际层面上提出数据安全和流动主张的典型。
我国实际上已经初步尝试将个人信息出境的目的按照业务需要和执法司法原因进行了区分。《个人信息保护法(草案)》第四十一条规定,因国际司法协助或行政执法协助需要向境外提供个人信息的,应当经过有关主管部门批准。而因业务需要向境外提供的,则并不需要主管部门进行批准,这正是我国司法主权在数据流动领域的体现。《数据安全法(草案)》第三十三条也提到,境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的,依照其规定。在跨境执法与司法协助的事项上,需要保护的利益是国家主权和安全,因此应当主要在国际法层面上采用条约等方式来解决。当前我国所缔结的国际条约中,有关双边或多边数据流动的条款较少,金融合作机制之下有关金融数据流动的特殊条款也较少,因此需要我国更加积极参与全球数据流动规则的构建,强化国际协调,维护国家数据主权和国家利益,促进金融数据高效安全流动。
(责任编辑:孟洁)
参考文献:
[1]刘桂平.数字化经营:商业银行的选择[N].经济日报,2020-10-13.
[2]马兰.金融数据跨境流动规制的核心问题和中国因应[J].国际法研究,2020(3):82-101.
[3]李伟.我国金融数据跨境流动规则建设的思考与建议[J].中国银行业,2020(1):41-44.
[4]王远志.我国银行金融数据跨境流动的法律规制[J].金融监管研究,2020(1):51-65.
[5]孙方江.跨境数据流动:数字经济下的全球博弈与中国选择[J].西南金融,2020(1):3-13.
[6]马其家,李晓楠.论我国数据跨境流动监管规则的构建[J].法治研究,2021(1):92-102.
[7]程红星,王超.金融市场基础设施数据跨境流动法律问题研究[J].证券法律评论,2019(00):180-190.
[8]姚前.数据跨境流动的制度建设与技术支撑[J].中国金融,2020(22):27-29.
[9]于春敏.金融隐私保护政策“标准化”:美国经验及对我国的启示[J].中共福建省委党校学报,2017(8):88-94.
