■李莉莎 彭子盈

引言

数字金融是数字经济的重要组成部分，其依托区块链等延伸扩展技术支撑数据流通、交易、治理、监管等环节，激发数据要素价值化、金融化的特质，在现代化经济体系中发挥引导资源配置、调节经济运行的重要作用，成为新型的“数据驱动式金融”（Data Driven Finance）。在数字化转型的时代，随着数据要素流通规则建设的进一步加快，金融数据跨境流动交易的重要性、价值性越发凸显。金融数据跨境流动不仅促进了企业的国际化，而且有利于全球金融行业的迅速发展。金融数据涵盖的信息类型广泛，既有金融机构的经营业务数据、内部管理信息，也有大量的个人信息。其中，金融领域的个人信息，包括个人金融账户及账户内的交易信息、相关的金融服务机构收集的所有个人信息（如个人基本信息、生物识别信息、其他财产信息等），以及由此而衍生出的新的个人信息（如客户画像等）。需要注意的是，根据国家互联网信息办公室于2017 年发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》第十一条规定，并非所有个人金融信息都可跨境流转，如对于未经个人信息主体同意，或可能侵害个人利益的数据不得跨境传输。金融数据作为基础要素，具备应用于不同数据场景的潜力，而推动数字科技落地金融产业，有助于充分挖掘数据价值，实现从数据到智慧的纵深跨越。比如跨境理财通、助农金融、区块链金融、普惠金融等运用，能够精准捕捉融资需求，智慧服务民众、产业，搭建多元化的融通服务通道，塑造金融科技新生态，打通科技成果转化的“最后一公里”。不过，这种金融新范式也可能带来新的问题。例如，“赢者通吃”①的极端规模收益率和极端规模效应，抑或是消费者个人数据保护和隐私保护②，以及最近几年引发社会广泛讨论的市场垄断、资本无序扩张、定价歧视、市场地位滥用、跨境洗钱犯罪③等问题。更为关键的是，金融数据及其治理还可能涉及金融稳定与金融安全等重要问题。当然，由于数字经济、金融数据应用、金融科技处于迅速发展进程中，金融数据治理从整体上看仍处于初步探索阶段[1]。

党的二十大报告提出，要推进粤港澳大湾区建设，支持香港、澳门更好融入国家发展大局，完善金融、数据等安全保障体系建设，加快发展数字经济，建设数字中国。随着香港全球金融中心地位的巩固和澳门特色金融的创新发展，以及深圳和广州金融中心的持续深化建设，大湾区的金融圈逐渐成熟，为金融数据跨境流动带来了巨大需求。但由于目前大湾区数据治理框架未能适配金融数据的公私属性及大湾区区际机制的特殊性，规范体系不完善，监管规则标准不统一，数据共享平台建设未健全以及数据流通环境的安全性未能得到有效保障，金融数据有序流动受到一定制约。因此，如何构建统筹兼顾金融数据安全保护和金融数据价值释放的长效治理体系，以高效高质的金融监管策略推动金融市场创新、促进大湾区金融数据互联互通，实现多层次、立体化的金融数据跨境流动是粤港澳大湾区实现金融数据有效治理的重大任务。

一、大湾区金融数据跨境流动治理的必要性和可行性分析

（一）必要性分析

1.实现金融创新与数据安全动态平衡。近年来，各类金融机构都在积极探索金融科技的应用，以降低合规成本、充分发挥数据资产价值、确保数据安全性，并提升数据治理能力。然而，尽管数字技术不断进步，金融领域的本质和风险水平并未发生显著变化。目前，网络攻击仍然对金融机构构成威胁，可能引发数据泄露和损毁的巨大风险，金融数据安全也是当前需要优先考虑的问题。因此，加快建设完善金融数据治理框架，推进全方位运用监管科技，强化数字化监管能力，对金融科技创新实施穿透式监管起到至关重要的作用。做好全面风险管理和安全保障，才能稳妥且审慎地推动金融科技创新，更高效、更安全地开展金融数据治理任务，并在更高层次上实现创新与监管的动态平衡。而且，维持两者平衡十分关键，只有让创新与监管相互促进、相辅相成，才能真正实现“金融+科技”的协同效应，达到“1+1>2”的效果。

2.推动我国跨境金融融合发展。粤港澳大湾区具有“一国两制三法域”的区位特色，以及联通国际数据流动的发展潜力。在这种背景环境下，大湾区金融数据跨境流动治理机制的完善，有助于深入推进大湾区建设、深化内地与港澳合作，从而进一步为中国乃至全球的跨区域（境）金融融合发展打造示范样本。

3.维护金融数据主体的合法权益。随着承载金融信息的数据愈加多元化、海量数据的不断集聚以及数据处理技术的日益升级，金融数据不仅关系到个人财产安全，更关系到企业经营发展、经济社会秩序稳定乃至国家安全。金融数据的泄露和不恰当使用不但会给信息主体的利益造成极大损失，而且囿于取证难、维权成本高，事后信息主体难以通过司法手段切实维护自身合法权益。因此，为确保大湾区金融信息主体的权益免受损害，有关责任部门制定明确可行的数据跨境流动规范尤为必要。

（二）可行性分析

1.大湾区具备政策优势及经济优势。2019年以来，从国家层面到广东省出台的各种政策文件如《粤港澳大湾区发展规划纲要》《广东省数字经济促进条例》《广州市数据条例》《深圳经济特区数据条例》等，为实现粤港澳大湾区数据有序跨境流动、推动区域经济融合发展奠定了坚实的政策基础。随着“深港通”的开放、“跨境理财通”业务的成功落地，大湾区内地城市与香港的金融融合也在不断地增强。香港特区政府的数字化经济发展委员会还成立跨境数据合作小组，研究促进跨境数据合作的可行方法。2022 年6 月，香港金融管理局推出“商业数据通”，积极提升香港的数据基建，为香港打造更加安全顺畅的互换数据生态圈提供了条件④。

2.港澳地区具备完备的立法体系。1995年，香港就出台了体系完备的个人信息安全保护法——《个人资料（私隐）条例》（以下简称《条例》），后于2021 年修订，即《2021 年个人资料（私隐）（修订）条例》（以下简称《（修订）条例》）。该《条例》是亚洲最早全面保障个人信息的法域之一，也是香港目前诸多数据条例中与内地现行的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）内容范围最为接近的一部，其经多年实施所呈现的司法实践效果和在反馈中积累的疑难问题，值得粤港澳大湾区在金融数据立法中参考借鉴，特别是关于个人资料转移至境外的相关规定，可为大湾区制定类似数据出境的规定提供参照的范本。此外，澳门于2005年通过的《个人资料保护法》对流动至澳门以外区域的信息数据也进行了规制。

3.广深两地具备数据跨境试点基础。2021年初，琶洲被选为广州人工智能和数字经济的试点地区，正式启动数据生产要素统计核算试点工作。同年7月，广州为促进数据治理、共享、利用，落实了“首席数据官”制度的试点工作，率先探索粤港澳大湾区数据跨境流动和深度融合的最优路径。2022 年，广州数据交易所和深圳数据交易所分别于9 月和12 月正式揭牌。据统计，深圳数据交易所目前已收录入库55 大类数据资源信息，涵盖600 多个数据产品⑤。未来广深两个数据交易所将成为大湾区数据资源最丰富、流通支撑最有力的数据要素流通枢纽。由此可以看出，广深两地在促进数据要素流通方面开展的试点工作，为粤港澳大湾区探索数字经济创新发展路径、构建金融数据跨境流动治理体系提供了新思路。

二、大湾区金融数据跨境流动的治理现状与挑战

（一）治理现状

1.在法律层面上，内地目前形成了“三大支柱、多层补充”的数据跨境流动法律体系（表1）。

2016 年颁布的《中华人民共和国网络安全法》（以下简称《网络安全法》）明确了个人数据和重要数据应当在境内存储，因业务需要确需向境外转移的，应按法律规定进行安全评估的基本要求⑥。2021年颁布的《个人信息保护法》《中华人民共和国数据安全法》（以下简称《数据安全法》），进一步规定了数据跨境流动的具体条件和评估情形，并对个人数据和重要数据的评估情形、数据分类分级保护制度、政府数据安全公开情形等做出了明确规定⑦。至此，上述三部法律共同构筑了我国数据跨境流动法律体系的“三大支柱”，为我国打开了数据跨境流动立法体系建设的新局面，也为后续规制金融数据跨境流动提供了制度依据⑧。香港在《（修订）条例》中对个人资料出境做了相关规定，并设立个人资料私隐专员公署负责监管实施，要求除非符合书面同意、条例豁免、传输地法律与自有条例实质相似和目的相同等条件，个人资料原则上是不可被传输至香港以外[2]。然而，《（修订）条例》第三十三条⑨对数据跨境传输的规管至今迟未实施，仅于2014 年及2022 年发布了两份指引，为第三十三条的实施做了准备⑩。因此严格来说，香港并无规管跨境数据转移的特定法律。澳门的《个人资料保护法》对敏感资料和个人资料做了区分，针对个人资料跨境转移要求遵循“严格限制”的原则，即在将个人资料转移到澳门以外的地方应同时满足其第十九条规定的两款条件：其一，接收转移信息当地的法律体系能确保适当的保护程度；其二，信息转移行为须同时遵守该法其他有关规定（第十九条第一款）。若不具备此两项条件，则有关信息资料跨境转移行为原则上被禁止[3]。此外，为进一步落实《网络安全法》《数据安全法》《个人信息保护法》，国家接连制定了《网络数据安全管理条例（征求意见稿）》《网络安全审查办法》《数据出境安全评估办法》《移动互联网应用程序信息服务管理规定》《个人信息出境安全评估办法（征求意见稿）》《个人信息出境标准合同规定（征求意见稿）》《个人信息和重要数据出境安全评估办法（征求意见稿）》等法规规章，对平台数据监管、数据出境、应用程序提供等规则进行了规定，完善了“三法”数据安全规则体系，同时也体现了我国在数据出境安全评估与审查方式等内容上的不断探索与优化的坚定决心[4]。在金融行业标准方面，基于金融数据保护的迫切需要，中国人民银行自2020 年起陆续发布了《个人金融信息保护技术规范》《金融数据安全数据安全分级指南》《金融数据安全数据生命周期安全规范》《金融业数据能力建设指引》等标准。其中值得注意的是，《个人金融信息保护技术规范》进一步明确了个人金融信息的内涵范围以及个人金融信息的重要性，其对个人金融信息的定义属于《个人信息保护法》中规定的个人信息的范畴。同时，该规范将个人金融信息按敏感程度分为C3、C2、C1 三个类别，并规定了个人金融信息全生命周期各环节的安全防护要求，包括安全技术要求与安全管理要求。《金融数据安全数据安全分级指南》则对金融数据安全分级的目标、原则和范围、数据安全定级的要素、规则和定级过程进行了明确，并给出了金融业机构典型数据定级规则供实践参考。

表1 粤港澳三地关于数据跨境流动的重要法规梳理

2.在实践层面上，聚焦粤港澳大湾区，数据的开放取得了较好的成效，如2019 年“琴澳通”跨境服务创新平台、2021 年大湾区跨境数据互信互认平台和2022年粤澳跨境数据验证平台的启动使用，以及香港、澳门特区政府和大湾区内地九市政府数据开放平台的开通，均为大湾区加快跨境金融数据便捷有序流动，探索建立开放型、合作型、示范型跨境金融服务打下了良好基础。同时，为强化跨境金融机构的信息交流与监管协作，深圳已开启跨境金融监管初期探索，率先创新跨境金融监管。2019 年2 月，深圳市前海地方金融监督管理局正式揭牌，作为广东自由贸易试验区首家地方金融监管机构，将致力探索构建大湾区金融监管沟通配合机制。此外，国家层面积极发布各项政策文件，为数据要素确权、流通、交易、管理等提供制度保障，有助于加速数据要素市场培育和价值释放，夯实数字中国建设和数字经济发展基础，加快构建数据要素市场规则，完善治理体系。同时，广东省政府、广州市政府、深圳市政府也一致响应国家政策，围绕金融等领域积极参与数据跨境流动国际规则制定、数据跨境安全治理等开展本土试点，积极探索我国数据跨境治理机制（表2）。

表2 国家及广东省发布的关于数据要素相关政策梳理

可以看出，国家将金融领域数据跨境流动的规制置于极为关键的位置。通过不断完善金融数据分类和分级保护的相关规则，在保障金融数据安全性前提下，国家正在积极探索与国际接轨的途径，为我国与世界实现金融数据跨境有序、顺畅流动消除障碍。

（二）治理挑战

1.三地金融数据跨境流动规则不统一。一方面，目前全局数据统筹有待强化。一是尽管《个人信息保护法》和《数据安全法》的出台备受关注，然而我国有关数据跨境流动的立法体系仍在建设完善过程中。现行有效规范主要为《数据安全法》《网络安全法》和行业性规范，数量虽多，但数据保护立法未成体系化，行业性规范文件效力层级总体较低。二是现行有效规范在内容上主要以概括性指导为主，尚未配备具体的实施细则，同时安全评估制度有待进一步完善，有可能使金融数据的跨境流动面临潜在的风险和漏洞。三是现行有效的法律规范主要强调重要信息的数据本地化存储和处理，在具体运用中适用性还不够强，对数字经济时代个人信息的合理利用还要进一步明确。另一方面，大湾区数据跨境流动规则不衔接。虽然香港的《（修订）条例》《跨境资料转移条例》、澳门的《个人资料保护法》与内地的《网络安全法》《个人信息保护法》等，分别对三地信息管理机构与数据信息范围做出规范，但是这些法规用词界定、适用范围存在明显差异，容易出现法律的交互重叠甚至冲突。例如从表3对比可知，一是三地关于“数据”的界定有所区别。香港《（修订）条例》、澳门《个人资料保护法》没有使用内地常用的“个人数据”或“个人信息”的概念，而是采用了“个人资料”一词，内地则采用“数据”“个人信息”“重要数据”等名词。《（修订）条例》也未对“个人资料”进行细分，如敏感个人信息等。二是三地对于数据跨境转移的条件仍不统一，且分别规定了不同的个人信息监督管理机构。三是相对于数据跨境流动条件较为宽松的港澳地区，内地的数据跨境监管规则严格，增加并细化了评估情形和审查评估内容的规定。这些规则的差异在一定程度上造成了粤港澳三地监管范围和强度的不同。此外，在早期的信息化建设中，粤港澳大湾区的政务部门出于各自的业务需求，开发了多种不同的应用系统，导致信息系统呈现出多管理、多系统、多标准的复杂局面。在这一背景下，大湾区的信息系统缺乏统一数据资源整合标准，各部门之间的系统框架和标准存在不一致的情况。特别值得关注的是，在涵盖三种法律体系的大湾区范围内，由于各政府部门之间存在着数据对接的困难，这将引发数据汇聚规模较小、数据共享比例不高以及数据质量较低等问题。

2.金融数据监管机制难以协调统一。从目前大湾区金融监管的实践来看，三地的金融监管协作机制普遍处于探索阶段。内地数据跨境流动监管机构包括各级网信部门、各行业主管机构、法人、社会团体等，香港、澳门则分别设立个人资料私隐专员公署和个人资料保护办公室监督管理数据跨境流动相关事务，导致跨部门协同中存在数据壁垒，进而削弱了数据保护和治理能力：其一，当各部门权责边界不明确时，容易出现相互推诿、相互推脱等问题；其二，各行业主管部门标准难以统一，数据出境的评估标准主要依靠各部门自身判断，容易导致评估标准存在不合理差异的问题；其三，目前三地的金融监管协作能力有待加强，粤港澳监管信息共享机制有待健全，金融监管信息仍然呈现“孤岛”状态[5]。此外，在跨境金融活动中，各地金融监管资源配置不均衡，特别在证券、保险、互联网金融、民间融资等领域，由于监管能力和监管手段以及监管尺度不一，极易形成“金融洼地”[11]，吸引资金大量流入，或有可能导致金融风险。未来的粤港澳大湾区金融市场发展将高度融合、互联互通，与此同时金融风险的跨区域性、交叉性和隐蔽性也将加大监管难度。有鉴于此，目前大湾区金融数据跨境传输的关键环节是如何实现现有部门和机构的跨境监管协调与合作，并衔接与重构当前的监管协作机制，否则难以有效发挥金融风险的事前预警和监管作用。

3.金融数据开放共享仍受多重制约。大湾区金融科技的发展潜力巨大，有望成为我国未来重要的人工智能和大数据应用中心，进而成为关键的数据源[12]。但大湾区依然存在“数据孤岛”无法避免、金融数据开放进程缓慢、数据质量和数据安全得不到切实保障等问题，制约着金融数据等开放程度及交易的整体效率。尽管目前数据交易的效率相较过去已有大幅度提升，但数据交易平台的业务范围及交易效果仍会受制于政府、企业、科研机构等交易主体对数据的开放与共享程度[6]。以企业为例，随着大湾区金融业的快速发展，一些金融科技巨头利用其独家技术优势、强大的议价能力和显著的互联网马太效应，不断扩张商业版图，累积海量的个人金融信息及交易数据，垄断竞争市场，在一定程度上影响金融市场自由、公平的竞争秩序[7]。同时，这也反映出大型科技企业对目前金融数据拥有实际控制权和不加限制的数据使用权。这种金融数据市场垄断极有可能引发“数据孤岛”现象，导致三地的金融信息难以互联互通，个人、企业、机构、政府不能及时获知金融市场的动向，金融监管机构难以识别和处理金融风险，从而制约了大湾区金融数据产业的升级和发展。

三、大湾区金融数据跨境流动的治理逻辑与路径

粤港澳大湾区要实现金融数据跨境流动治理效果最优化，畅通金融数据的有序流动，就必须考虑大湾区区际机制的特殊性及金融数据的本质属性，采用多维度、分阶段、立体化的治理模式，促进大湾区三地在金融数据治理领域的合作与趋同。

（一）金融数据的本质属性

从治理逻辑的角度来看，金融数据的基本属性——“公私属性”是决定其治理方式的基本要素。追溯其根源，数据之所以能呈现公共性与私有性的双重属性，在于数据既可以成为个人独占的私有财产，由其自行控制与处置，也能够以公共物品的形态由社会共同享有，满足公共资源分配的现实需求[8]。而金融数据既具备吸收金融资源的优势，又继承了数据的公私属性。强调金融数据公共属性与私有属性之间的平等地位，为多元主体共治共理定下了公私兼顾的治理基调。金融数据的私有属性最明显地体现在内容的高度精确性，即无论是账户信息、身份信息还是交易信息，都可以直接或间接地指向特定的个体。因此，金融数据的主体比其他数据的主体更为清晰透明。金融数据的公共属性则体现在：一是金融机构收集数据通常用于履行法定义务，如用于公共事业与行政管理；二是在特定金融数据的传输、使用过程中，数据须经过加工处理方可发挥数据的实际价值。在此过程中，数据完成了从私有财产到公共物品的属性转化，从而具备公共属性[9]。

在治理实践中，单一的公共部门独立完成对立角色的转化难度较大，唯有基于协同治理机制下多主体联合共治，方可在公私两者利益中取得平衡，从而达成治理目标。因此，治理机制的构建既不能忽视金融数据的私有属性，需要将充分的金融数据权利授予个人或行业组织，同时也不能忽视其公共属性，进而构建金融数据跨层级共治体系。这表明治理机制的主体已扩充至私人主体、其他利益相关者及行业组织，而不再拘泥于管制模式下的政府部门，意味着金融数据跨境流动的治理规则可反映多面向的利益需求。

（二）大湾区区际机制的特殊性

典型的世界级大湾区，如旧金山湾区、纽约湾区和东京湾区等，都是在区域内无根本制度性差异的前提下形成和发展的。而粤港澳大湾区涉及“三个法域”“三个关税区”，是典型的跨行政区域制度和次国家尺度特殊城市群。基于大湾区区际机制的特殊性，构建大湾区金融数据跨境流动治理机制是一个兼具多元性、差异性与冲突性的复杂系统工程。在这方面，欧盟的跨边境合作模式给出了成效显著、形式多样的参考范例[13]。由于二者均涉及跨边界的治理与权力的尺度重组，借鉴欧盟的跨边界合作经验，大湾区可以构建推动金融数据跨境有序流动的治理体系。具体而言，欧盟跨边界合作是通过制度建设来构建满足不同尺度下的跨境治理模式，以合作项目为依托促进各边界地区之间的交往，建立非正式制度以协调复杂的多方关系[10]。

综上所述，基于金融数据的公私属性及大湾区区际机制的特殊性，大湾区金融数据跨境流动治理机制的构建可以从宏观、中观、微观三个维度设计对应的治理机制：在宏观层面上优化金融数据跨境流动的顶层架构，以包容有序的制度安排与规则衔接，降低三地建立统一数据法治体系的屏蔽效应；在中观层面上创新监管体制，联结不同监管部门、金融机构、行业组织等多方力量保障数据有序流动，以多尺度的合作空间有效改善粤港澳的金融监管及协作情况；在微观层面上建立联通三地的金融数据共享机制，在保障数据传输安全的前提下建设金融基础设施、建立互联互通的数据平台，高效畅通三地数据共享开放渠道。

四、大湾区金融数据跨境治理机制的构建思路

（一）宏观层面：优化大湾区金融数据跨境流动治理顶层架构

未来，深化粤港澳大湾区金融合作，需建立与经济运行逻辑一致的顶层制度设计。由于粤港澳数据跨境流动制度规则尚未系统化，实现跨境数据有序流动，推动粤港澳三地金融数据跨境制度协同创新，必须减少三地潜在的制度壁垒、促进数据规则衔接和协调机制对接，通过规则制度的互认共认、相互借鉴，从“软联通”层面加快金融数据互联互通。

首先，加强全局制度统筹。粤港澳大湾区金融数据跨境流动制度治理体系的构建需自上而下建立系统化、规范化的管理体系，推动三地参与金融数据治理的领导机构协同合作、完善法治体系、促进下级各部门联合共治，并以政府引导为主，确保数据跨境流动的规范化运作。

其次，加强区域规则的衔接。粤港澳大湾区金融数据流动应确保港澳与内地的法例合理衔接。例如，加快修改和完善香港《（修订）条例》，尽量与内地相关法律接轨，将“个人资料”定义范围扩大至与《中华人民共和国个人信息保护法》中的“个人信息”一致，对“个人资料”分级分类，拉齐三地金融数据保护水平。同时，三地应立足金融数据确权，以法律的形式明确数据采集、存储、共享的流程，以及金融数据的流通范围、利益分配、流通规则、权责关系、保护对象等，确保有章可循。此外，鉴于三地法律及监管上的规制存在一定差异，大湾区内地可与港澳联合制定一套符合三地监管规定的标准合同条款，可参考东盟《跨境数据流合约条文模板》，以内地的《标准契约条款》及香港的《跨境资料转移：建议合约条文模板》为参考样式。

最后，调整规制思路，落实执行具体细则。一是坚持金融核心系统本土化的基本原则，在守住金融数据安全底线的前提下，适度放开金融数据跨境流动，并研究探索金融数据跨境流动“白名单”新模式，允许若干类别数据自由进出，如低敏感性、较低安全级别的金融数据，可简化数据出境的审核流程，切实实现数据开放和共享。二是明确规制思路调整的重点，针对《网络安全法》“原则上禁止数据跨境流动，金融数据应当在本地存储”，其例外情形为“因业务需要确需数据出境”的规定[11]，要对这些例外情形和条件进行明确和细化：哪些金融业务属于此类“业务”范畴，哪些状况属于“确需”的状况，此类数据出境需要遵循何种实体和程序规则，等等。三是加强大湾区三地金融监管部门和网信部门的监管协作及数据共享，形成监管合力，探索构建完备的覆盖金融数据采集、处理、传输、保护等全流程的监管制度，以有效控制与防范金融数据跨境传输风险[12]。

（二）中观层面：探索大湾区金融数据跨境流动创新监管体制

当前粤港澳大湾区在跨境金融数据流动监管领域还存在金融数据监管标准不协调不统一，金融数据监督和执法机构职能边界模糊等问题。因此，大湾区金融数据跨境流动的监管体制亟须创新。

首先，推动大湾区出台金融监管“软法”。就大湾区而言，在“硬法”难以协调统一的情形下，采用金融监管“软法”的优势在于能在跨境金融监管过程中实现跨政府、跨区域的约束效果。国际法学者霍夫曼认为，“软法”是指约束力比传统法律或不具有任何约束力即所谓的“硬法”要弱的准法律文件[13]。在国际金融监管中，国际保险监督官协会（International Association of Insurance Supervisors）、国际证监会组织（International Organization of Securities Commissions）、巴塞尔银行监管委员会（Basel Committee on Banking Supervision）等组织所创制的监管规范是典型的“软法”，虽不具有形式上的法律强制约束力，但基于其专业、灵活、适应性强等特点，获得了大多数成员方或非成员方的认同和遵循。因此，充分发挥地方政府、社会组织及中间机构的积极作用，可通过行为守则、方案、非正式准则、备忘录等确立“软法”的形式，加快粤港澳大湾区出台金融监管“软法”[14]。

其次，完善监督组织结构，明确监督机构职责。针对大湾区金融数据市场监管职能分散，各部门监管边界不清，易形成多头监管或监管空白的问题[14]，一是可以借鉴欧盟设立“欧洲数据保护监督委员会”（European Data Protection Board，EDPB）的做法，设立“粤港澳大湾区数据保护委员会”，以统筹协调不同地域、行业的数据监管工作，形成金融数据市场监管合力。二是可以成立由金融企业、行业协会以及专家团队组成的第三方监管组织，防止数据监管机构滥用职权，并通过聚集金融研究人员、金融从业者的智慧资源，为粤港澳大湾区金融数据监管标准的制定提供智力支持[15]。

最后，创新开展跨境金融监管沙盒试点。粤港澳大湾区可以借鉴英国监管沙盒实践的经验，设立“粤港澳大湾区金融创新监管局”（简称“监管局”）管理沙盒，率先开展跨境金融数据监管的沙盒试验工作。立足沙盒的运作机制，在监管局规定的范围或条件下，大湾区的金融机构可直接开展业务，仅受监管局的监督与管理，从而突破行政区域管辖权的限制；同时，在沙盒管理的可控范围内，按照相关监管规则及市场需求，共同开发区域内的商品销售，共同承担责任，共享收益。比如，传统的保险公司无法通过跨国渠道进行商品交易，但在沙盒的运作模式下，保险公司、证券公司等金融机构均可开发创新产品，通过沙盒机制进行交易，实现跨境经营、监管与运作可控可防，为大湾区跨境金融数据监管体制的改革创新提供经验。

（三）微观层面：建立联动粤港澳三地金融数据共享机制

粤港澳大湾区应建立金融数据平台，构建金融数据共享开放机制，以推进三地在金融数据领域展开广泛的交流，为金融数据跨境有序流动奠定坚实的基础。

首先，由政府主导金融数据共享开放。一方面，建议香港、澳门、广州、深圳等核心城市政府部门联合成立金融数据流动联通工作小组，协调推进数据共享应用工作，并高效解决金融数据协同存储和生产等领域所遇到的问题；粤港澳大湾区的相关立法机构可积极合作，共同研究并建立一套统一的金融数据法律监管体系，确保有相应明确的监督管理机构、规范的数据共享流程提供指引，为数据共享的监管工作打下法律基础。同时，大湾区应增加金融数据共享渠道，扩大金融数据共享范围，弥补各平台数据不足，提高监管效率，为市场主体提供安全、准确、快速的信息核查渠道。另一方面，各地政府部门机构可借鉴欧盟《数据治理法案》[15]中对公共部门机构所能共享数据类型的规定，明确开放共享金融数据的类型，推进大湾区金融数据开放目录和互联互通的金融数据开放平台建设，为金融数据的开放利用助力。

其次，保障金融数据开放共享的环境安全可靠。未来大湾区金融数据的开放共享，可以通过构建金融数据可信流通机制，借鉴粤澳跨境数据验证平台基于区块链底层平台进行验证的做法，利用区块链具有去中心化、去信任化、不可篡改性和可追溯性等特点，为数据流通构建可确保数据真实可靠及隐私安全的传输环境[16]。具体的数据安全保密技术手段，应立足于粤港澳三地制度多样性特点，建立契合高、中、低三种保密要求场景的统一数据流通环境（图1）：在高保密场景下，实现数据“不出门”；在中保密场景下，实现数据“可用不可见”；在低保密场景下，实现数据“阅后即焚”[17]。不久前揭牌成立的深圳数据交易所正是为交易主体构建了“安全、可信、可控”的数据交易信息化系统，为探索跨境数据流通安全交易迈出了坚实的第一步。大湾区金融数据跨境流动除了要保障数据安全流动，同时也要兼顾数据交易如何更加规范高效的问题。未来大湾区应深入推进“首席数据官”制度，促进公共数据与社会数据汇聚融合、授权运营和加工处理，为数据进入流通交易环节创造利好条件。此外，大湾区要完善公共数据资产登记与评估制度，搭建数据资产管理运营平台，建立涵盖登记凭证、授权凭证、流通凭证的数据资产凭证体系；借助现有交易场所建设大湾区数据交易场所，健全跨境传输、交易流通、数据权益等基础性制度规范。

最后，开展跨境金融数据共享试点项目，如通过对特定金融机构及公司之间的金融相关数据流动适当减少限制规定。在初始阶段，该试点项目可以仅限于选定的大湾区城市内的数据流通，确保项目以渐进且风险可控的方式实施。而且，安全评估、认证和标准合同审查流程可简化进行。目前香港特区政府已制定多项政策，积极促进大湾区金融服务业的联系，包括跨境使用人民币、投资及理财及保险产品，为跨境金融数据共享夯实基础。

结语

随着粤港澳三地的互联网金融市场规模不断壮大，特别是在“一带一路”建设持续深入和人民币国际地位不断提升的背景下，金融数据的跨境流动也日趋频繁，理顺金融数据跨境流动治理路径极具必要性。对于大湾区而言，一方面，要继续健全对金融数据跨境流动的治理方式，完善更为高效的金融数据监管协作机制，构建足以融合与汇通三地金融数据、畅通金融数据跨境共享的渠道，保障数据流通安全稳定；另一方面，大湾区应推动政府、企业、个人等多方面协作来强化协同治理。粤港澳大湾区各地政府作为金融数据跨境流动的组织者，要通过监测各种金融数据来实现跨境数据的安全；企事业单位是数据的“处理者”，要确保数据在整个传输过程中的有序安全流动；个人作为数据的拥有者，应提高对自己隐私权的保护意识。本文主要在三个层面上提出了大湾区金融数据跨境流动的治理对策，但对于具体的制度要素以及三地之间协同治理机制的展开，仍有待进一步研究。

注释：

①“赢者通吃”指由于具备规模效应、网络效应、财富效应、指数增长效应，平台经济拥有大量的数据资产，累积巨量用户，易形成垄断。

②根据嘉银保监罚决字〔2023〕5 号的行政处罚信息显示，中行嘉兴分行存在6 项主要违法违规行为，其中包括“违规泄露客户信息”，原银保监会嘉兴监管分局对其处以罚款210万元。

③根据Verizon 发布的《2020 年数据泄露调查报告》，2020 年全球数据泄露总成本平均为386 万美元，其中金融机构反洗钱的重要数据之一的客户个人身份信息（PII）是最昂贵的记录信息，客户PII 记录每条丢失或被盗的平均成本为150美元。

④《商业数据通（CDI）》[DB/OL]，https://www.hkma.gov.hk/gb_chi/key-functions/international-financial-centre/fintech/research-and-applications/commercial-data-interchange/，访问日期：2023年9月11日。

⑤《深圳数据交易所正式揭牌》[DB/OL]，2022 年11 月17日，http://gzw.sz.gov.cn/gkmlpt/content/10/10245/post_10245034.html#1904，访问日期：2023年9月11日。

⑥参见《中华人民共和国网络安全法》第三十七条：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

⑦参见《中华人民共和国个人信息保护法》第三十六条：国家机关处理的个人信息应当在中华人民共和国境内存储；确需向境外提供的，应当进行安全评估。安全评估可以要求有关部门提供支持与协助。

⑧参见《中华人民共和国数据安全法》第十一条、第十八条、第二十一条、第二十三条、第三十条、第四十二条等。

⑨参见香港《2021 个人资料（私隐）（修订）条例》第三十三条：明确禁止资料使用者把个人资料转移到香港以外的地方，除非符合法律规定的条件。

⑩该指引分别为香港2014 年的《保障个人资料：跨境资料转移指引》及2022 年的《跨境资料转移指引：建议合约条文范本》。

[11]“金融洼地”来源于经济学中“洼地效应”，即利用比较优势，创造理想的经济环境，使各类生产要素向交易成本较低的地区聚集。

[12]普华永道联合中山大学数字治理研究中心发布的《粤港澳大湾区数字治理研究报告（2022）》中描述：目前大湾区“9+2”城市群总数据存储量超过2500EB，约占全国的21.5%，商贸、港口、航运、物流、海关、商检、医疗、金融、通信等领域数据规模均处于全国前列。

[13]跨边界（跨越国家或地区行政边界）合作，指在边界两侧、地理相邻的部分地区间的合作，涉及制度、法律、经济、文化、教育等多领域。

[14]欧洲数据保护委员会的主要职责是保障《通用数据保护条例》在所有欧盟成员国的一致执行，以及在数据保护相关问题上向欧盟委员会提出建议。除此之外，委员会的职责还包括促进各成员国国家监管机构之间的合作，协助国家监管机构之间的争议调解，并提出指导方针和建议。

[15]参见《数据治理法（Data Governance Act）》第三条（1）本章适用于公共部门机构持有的数据：（a）商业保密；（b）统计保密；（c）保护第三方的知识产权；（d）保护个人数据。（2）本章不适用于：（a）公共事业单位持有的数据；（b）公共广播机构及其附属机构，以及其他机构或附属机构为履行公共广播服务的职责而持有的数据；（c）文化机构和教育机构持有的数据；（d）因国家安全、防卫或公共安全理由而受保护的数据；（e）提供的数据不属于相关成员国法律或其他具有约束力的规则所界定的公共部门机构公共任务范围内的活动；或在没有相关规则的情况下，按照该成员国的一般行政惯例定义可进行数据提供，前提是公共任务的范围是透明的，并接受审查。