中評社╱題:粵港澳大灣區金融數據跨境流動規則的構建與協調──以歐盟和美國經驗為鏡鑒 作者:談蕭(廣州),法學博士、廣東外語外貿大學法學院教授
【摘要】粵港澳大灣區具有探索我國金融數據跨境流動規則的獨特優勢,但目前尚存在遵循制度不同、標準差異較大、制度銜接較差等法律難題。探尋外國經驗發現,歐盟涉及多關境、多司法區,美國則有高度發達的市場經濟體制,二者的金融數據跨境流動共享規則,對於大灣區具有鏡鑒價值。在金融數據跨境流動共享的立法理念上,歐盟強調個人數據嚴格保護基礎上的跨境流動或共享,美國則強調共享基礎上的個人數據權利保護;在金融數據跨境流動共享的監管模式上,歐盟是主動型監管,美國是限制型監管。二者的共性規則有:金融數據流動共享“知情-同意”規則;明確的金融數據流動共享者法律義務與責任;高效協調的金融數據流動共享監管機制。歐盟和美國的經驗能給大灣區帶來防範個人金融數據流動共享法律風險、構建金融數據流動共享法律規則、協調金融數據流動共享監管機制等方面的啟示。大灣區需要強化金融數據管理制度的對接、提升金融數據跨境流動的法律保護水平、構建金融數據流動聯合監管機制。
金融數據蘊含著極大的商業價值,這一價值的釋放取決於安全前提下的數據高效流動。在數字金融背景下,如何通過金融數據跨境流動以實現其商業價值,需要在合法合規的框架內尋求平衡數據流動與數據安全、金融監管的可行路徑。粵港澳大灣區作為我國開放程度最高和數字經濟高速發展的區域之一,加之地處“一國兩制三法域”的特殊制度和法律環境之中,對於我國探索金融數據跨境流動規則,具有得天獨厚的優勢。然而,由於粵港澳大灣區三地在個人信息保護、立法理念與司法執法等方面存在較大差異,金融數據跨境流動仍面臨法律規則銜接不暢、法治保障不足等諸多困難。
一、粵港澳大灣區金融數據跨境流動存在的法律問題
(一)金融數據跨境流動所遵循的制度不同
根據《網絡安全法》《數據安全法》《個人信息保護法》與《數據出境安全評估辦法》等相關規定,大灣區內地九市向境外提供金融數據,必須在數據出境風險自評估基礎上,通過國家網信部門組織的數據出境安全評估。香港《個人資料條例》指定香港個人資料私隱專員公署為個人資料保護主管機構,並規定移轉至香港以外地方的個人資料,必須符合轉移“白名單”條件,即轉移目的地必須有完善的資料保護制度,資料當事人必須書面同意,資料使用者必須採取合理防範措施等。2014年,個人資料私隱專員公署公佈《保障個人資料:跨境資料轉移指引》,對包括白名單機制、個人資料權利主體書面同意、避免對個人資料權利主體不利行動影響及其他豁免情形,就《個人資料條例》適用原則、範圍和主體進行了解讀,並對相應流程作了一系列指引。澳門《個人資料保護法》則規定,衹在遵守該法且法律體系能確保接收轉移資料安全情況下,方可將個人資料轉移到澳門以外的地方,而判斷安全的決定主體是“公共當局”,即澳門個人資料保護辦公室,但截至目前該辦公室尚未承認任何一個國家或地區具有“適當程度”保護能力。該法還規定了例外情況,認定主管機關作出個人信息跨境轉移決定,個人信息被合法公開登記,或經保護主管機關審查許可後跨境轉移,資料控制者“確保有足夠保障他人的私人生活、基本權利和自由機制,尤其通過適當的合同條款確保這些權利行使”;另外,基於特定目的進行個人資料跨境流動,如維護公共安全、預防犯罪、刑事偵查和制止刑事違法及保障公共衛生需要,則無需保護主管機關介入。①
(二)金融數據出境與保護標準差異較大
在金融數據出境與保護標準方面,內地依據《個人信息保護法》第38條、第40條以及國家網信辦《數據出境安全評估辦法》第4條的規定,關鍵信息基礎設施運營者、數據處理者,處理個人信息100萬人以上,自上年1月1日起纍計向境外提供10萬人以上,或敏感個人信息1萬人以上,均需經網信部門組織數據出境安全評估。非以上情況的,需在專業機構對個人信息保護認證的基礎上,按照國家網信部門制定的標準與境外接收方訂立合同,然後依據內地締結或參加的國際條約或協定出境。香港和澳門尚未出台體系化的個人數據出境管理制度。香港《個人資料條例》於1995年制定,其中第33條對個人資料跨境轉移有諸多限制。2014年和2022年,香港個人資料私隱專員公署先後發佈《保障個人資料:跨境資料轉移指引》和《跨境資料轉移指引:建議合約條文範本》,但均為行政指引,不具有強制實行效力。澳門雖無相關規定,但在實踐中已發生多起對個人資料轉移出境未向澳門個人資料保護辦公室申報的行政處罰案例。
(三)金融數據保護和出境制度銜接較差
首先,在金融數據作為個人信息的範圍方面,內地《個人信息保護法》中的“個人信息”概念與香港《個人資料條例》和澳門《個人資料保護法》中的“個人資料”概念的範圍差別較大。大灣區內地九市依法認定的“個人信息”強調的是“已識別”和“可識別”信息,即包括個人具體身份信息和個人關聯信息,而對於敏感個人信息,依據內地《個人信息保護法》也有非常嚴格的保護要求。香港《個人資料條例》第2條規定的個人資料,是指直接或間接與在世個人有關,直接或間接地可確定有關個人身份,存在形式予以查閱及處理切實可行。澳門《個人資料保護法》規定的個人資料,則是指包括聲音、影像、識別編號及其他任何可反映資料當事人特徵,進而確定資料當事人的信息。
其次,在金融數據作為個人信息的保護義務方面,香港《個人資料條例》和澳門《個人資料保護法》均無內地《個人信息保護法》規定的“單獨同意”、“合規審計”、“影響評估”等要求,也未對指定個人信息保護負責人、處理行為等加以規定。
再次,在金融數據作為個人信息保護的法律責任方面,三地的行政處罰規定也不同。內地《個人信息保護法》規定的罰金最高,責任單位罰款可高達人民幣5000萬元或上年度營業額的5%,直接責任人可處10萬元以上100萬元以下罰款;香港《個人資料(私隱)條例》規定首次可判處第5級罰款(即罰款50000元港幣)及監禁2年,如屬持續犯罪則每日加罰1000元港幣,其後相同犯罪可處第6級罰款及監禁2年,屬持續犯罪則每日加罰2000元港幣;澳門《個人資料保護法》規定的處罰最輕,責任單位最高可處20萬澳門元罰款,但對具體責任人則無明確處罰的規定。
二、歐盟、美國金融數據流動共享的立法理念、監管模式及共性規則
(一)立法理念
1.歐盟:嚴格保護個人數據基礎上的流動與共享
歐盟於2016年頒佈、2018年生效的《通用數據保護條例》(General Data Protection Regulation,以下簡稱GDPR),是歐盟針對個人數據保護的全面性核心立法。據此,歐盟採用一部涵蓋各行業的通用法律的形式對數據開展保護,也就是說,個人金融數據與其他類型個人數據無異,同樣受到GDPR的約束。②
GDPR在立法理念上,將個人數據權利作為一項基本人權,強調數據收集與共享的合法性,保護自然人基於個人數據所享有的權利。GDPR在涉及個人數據處理的領域,對於收集與共享的目的和數據限度都有相應的限制性規定。GDPR還規定了個人數據權利主體“同意”的構成要件,強調“同意”應是個人數據權利主體在自由意志下所作出的意思表示。
GDPR大幅增加了個人數據主體的權利,強化和明確了數據控制者及處理者分別必須承擔的責任和義務,將數據保護常態化和系統化。此外,在歐盟GDPR項下,數據主體具有知情、糾正、刪除以及反對等權利。在個人數據共享方面,GDPR還單獨設一章,增加了數據控制者的義務和責任,提高了用戶同意的標準,並為數據控制者增設了數據洩露告知、要對隱私影響評估等義務。同時,為了保護個人隱私,GDPR特別強調了對數據控制者的行為監管。GDPR還明確規定數據控制者在個人數據收集與共享中的義務,並規定其處理個人數據的目的須滿足合理性的要求。
2.美國:共享基礎上加強個人數據權利保護
推動個人數據共享與利用始終是美國金融領域立法的主要目標。在特定的金融領域,該理念得到廣泛認同,與其他機構共享金融數據的範圍和條件也在逐步擴大,以便更好地服務於金融市場。美國聯邦《金融服務現代化法案》(The Gramm-Leach-Bliley Act, GLBA)制訂目的就是為了推動金融市場的發展與競爭,同時該法案對金融機構與關聯機構和非關聯機構之間的“同意”形式採取區分原則,③主要體現在:該法案對關聯機構採取“無需同意”和非關聯機構採取“默示同意”兩種授權方式。
為了回應社會對金融隱私保護存在的擔憂,各州也通過立法確立各自的隱私保護法和數據安全法,其中2018年通過的《加州消費者隱私法》(California Consumer Privacy Act,CCPA)是美國州層面消費者隱私法立法的一個重要里程碑,它雖是立足於州層面,但被認為是美國該領域立法的標杆。該項法案明確了收集加州消費者個人數據的企業的適用範圍,擴展了個人信息的定義,並強化了對消費者隱私的保護,賦予消費者對企業使用數據情況的知情權以及拒絕、刪除、修改數據等權利。而後的《2020年加州隱私權法》(California Privacy Rights Act,以下簡稱CPRA)規定,如果某企業收集個人數據並出售或共享給第三方,或披露給服務提供者、承包商用於商業目的,該企業必須與第三方、服務提供者或承包商簽署信息安全保護協定。在協定中,應當明確規定個人數據的處理和使用方式,以及收集和使用個人數據的目的,以及被收集者的權利。此外,CPRA還創新性地提出,利用與個人資料相關的行政罰款來設立“消費者隱私基金”,用以折抵由州法院、總檢察長以及加利福尼亞州保護署為執行CPRA所需的開支。④
(二)監管模式
1.歐盟:主動型監管
主動型監管的國家是全球推動個人金融數據流動共享的主力,歐盟無疑是最積極的推動者。歐盟在2016年就推出了歐盟支付服務指令PSD2(Payment Service Directive 2),旨在促進歐盟金融市場的開放和穩定性,提高支付服務的安全性,保護金融消費者的利益,並鼓勵創新。它要求歐盟境內的支付服務提供者提供開放的支付服務,以及利用技術和服務來改善支付服務的安全性和數據保護。
歐盟設立了“歐盟數據保護理事會(European Data Protection Board,以下簡稱EDPB)——各成員國數據監管機構——數據處理者內部的數據保護專員”三級數據監管機構。第一,EDPB是歐盟最高級別的、獨立的個人數據監管機構,其主要職責是對個人數據安全進行宏觀監管,對歐盟GDPR在各成員國實施標準進行統一,以及對各成員國之間的分歧進行協調,並提出建設性建議或作出最終決定。第二,各成員國監管機構對其轄區範圍內的數據控制者和處理者所開展的數據處理活動進行監管,並確保其行為符合GDPR及其上級機構制定的規定,以確保各項規章制度得到貫徹執行,並能夠在必要的時候對數據處理活動作出相應的決策。⑤第三,數據處理者內部的數據保護專員是由數據處理者自行指定的專門負責數據保護事務的職位或部門,負責監督和管理組織內部個人數據的處理和保護。GDPR還要求雇員數量超過250人的大型企業必須設立數據保護官。因此,這三級數據監管機構之間存在著緊密的聯繫,這在提高數據監管權力運行效率、加強個人數據保護和數據合規利用等方面都發揮了非常關鍵的作用,也充分體現出保護個人數據的價值取向。
2.美國:限制型監管
美國對本國金融科技公司,採取的是“按部就班”的功能性監管,即不論金融科技公司以何種形態出現,衹要其具有金融公司的本質屬性,就將其所涉及的金融業務按照其功能納入現行金融監管體制之中。因此,在美國金融科技公司被當成金融公司一樣監管,美國這種限制性監管是相對比較嚴格的。正因為如此,美國眾多科技界巨頭都未曾像中國的一樣大規模涉入金融領域,這也導致美國出現大量的優秀的金融科技公司,但沒有出現大型的金融科技巨無霸。美國的金融市場很大,金融機構服務完善和普及,但對金融科技公司來說,沒有太多的發展空間。優秀的金融科技公司發展到一個新的高度時,將遭遇市場規模、金融牌照和數據瓶頸等困境。美國也在反思,相對嚴格的金融科技監管是否阻礙了其創新和發展。目前美國監管趨勢在逐步調整和鬆綁,推動金融數據流動共享就是其中一項舉措。
(三)共性規則
1.金融數據流動共享“知情-同意”規則
雖然美國和歐盟採納了不同的立法理念,但本質上二者都在“同意”的形式上在加強對個人數據的權益保護。“知情-同意”規則是個人數據保護中的“帝王”條款,也是個人金融數據流動或共享法律規制的核心。金融數據權益是具有公法性質的私權利,對於私權利的保護應當充分尊重其意思自治。為避免將對個人金融數據流動共享的方式被認定為“概括授權”,應注意避免將金融消費者個人數據共享的授權條款直接勾選為同意;在取得金融消費者授權時應明確金融數據授權的目的、方式和範圍;允許客戶撤回金融數據授權的同意,以及避免採用“相關信息”等模糊不清的表述。因此,在個人金融數據流動共享的過程中,還應嚴格遵循“知情-同意”規則。
2.金融數據流動共享者的法律義務與責任
歐盟和美國在相關的立法文書中,都規定了金融機構的責任和義務,明確了作為數據處理者,金融機構所應當承擔的責任。美國法律規定了金融機構處理個人數據的條件和範圍,以及必須以合理的方式向金融消費者提供隱私權保護的相關政策,同時也強調了金融機構必須以合理的方式向個人數據主體進行通知,以便保護金融消費者的隱私權和數據安全,違反此類規定的金融機構需承擔法律責任。歐盟法律規定,金融機構對個人數據的合法性使用,必須經數據主體本人授權、履行法定職責,並要求採取必要性保護措施。
3.高效協調的金融數據流動共享監管機制
在監管模式上,歐盟傾向於設立專門的個人數據保護的專職機構,並強調監管的全面性和協調性,其優勢在於將金融數據流動或共享的監管權集中於一個監管機構,從而使得監管執法的標準、程序更加統一,有助於提升監管的效率。美國的金融監管則比較注重市場自我調節和監管,強調市場的自由度和競爭力,也重視行業自律組織的作用,通過行業協會等組織進行自律監管。
三、歐盟、美國經驗對粵港澳大灣區的可鑒之處
(一)防範個人金融數據流動共享法律風險
1.保障金融消費者的知情選擇權
一方面,在消費者與金融機構之間的契約關係中,數據作為合同客體,必須要尊重金融消費者的意思自治。當在數據被金融機構所掌控時,金融機構有責任保護金融數據主體隱私和人格,在進行數據共享前,金融機構應當以通俗易懂的語言,真實、準確地向金融消費者披露可能影響其決策的信息,法律也應當賦予金融消費者擁有權利介入數據共享環節,以保護金融消費者的數據權益並及時控制對其數據權益可能造成損害的處理行為。這是數據共享中數據主體行使知情權的一種表現。另一方面,在數據處於金融機構控制時,金融機構也需要明確,數據主體依然享有自主選擇權,可以根據法律規定以及個人意願來選擇是否同意進行數據共享。在特定情況下,金融機構進行金融數據流動共享仍然需要告知金融消費者並由其做出最後決策。
2.規範隱私保護計算技術的應用
隱私保護計算是隱私權保護下金融數據流動共享的技術實現路徑。隱私保護計算一般通過三個環節保證數據和模型隱私,具體做法如下:首先,通過對原始數據進行去標識化處理,以確保合作的第三方機構無法通過數據逆向推導出數據主體的身份,但要盡可能地保留數據的“信息價值”,做到共享數據的“可算不可識”。其次,提升數據和模型計算環境的安全性,確保全程安全可控,可以通過硬件化、安全沙箱、存取控制、數據脫敏、流轉管控、即時風控和行為審計等手段實現安全性。再次,保護數據中涉及的隱私,在不暴露原始數據的情況下進行數據流動、共享和價值提取,可採用智慧計算技術,如多方安全計算、差分隱私和聯邦學習等方法實現數據的“可用不可見”。⑥
3.建立金融數據流動共享前置風險評估制度
歐美的經驗表明,風險評估制度能夠有效檢測各方金融數據主體的安全保障能力。但該制度難以得到真正地貫徹實施,因為風險評估規範作為行業標準對金融機構往往並不具備強制效力。為此,應當引入風險評價機制,用行政強制力來保障風險評估的執行。此外,對金融機構的合規措施進行內外部評估,可以在一定程度上減輕金融機構的合規成本。
(二)構建金融數據流動共享法律規則
1.優化“知情-同意”授權規則
首先,應遵循“三重授權”的規則。“三重授權”方法要求在進行個人數據共享時,需要獲取三次授權,即共享個人數據需取得三次授權,分別對應數據權利人對數據控制者收集個人數據的授權,數據控制者對其他控制者的授權以及數據權利人對數據控制者共享個人數據的授權。⑦
其次,應當優化知情同意授權模式。金融機構可以採用簡化的流程和介面,減少授權的步驟和介面的複雜性,向金融消費者披露數據的實際使用情況;同時,可以提供更加多樣化的知情同意授權方式,如單項選擇、分級授權等。
最後,適當使用“即時同意”規則。金融機構在超出原始數據收集的目的和許可權的前提下,運用原有金融數據,結合深度挖掘和分析技術,發掘數據之間的關聯性和規律性,以獲取新的價值。此時,金融機構應該獲得金融消費者的“即時同意”才能進行二次利用包括共享行為。
2.厘清個人金融數據流動共享者的義務與責任
針對金融數據流動共享者的義務,具體要求如下:(1)數據共享前:應當簽訂數據共享協定,告知數據主體共享目的及第三方機構類型並取得授權,確保數據主體的知情權;還應當加強對數據接收方的盡職調查,確保其具備合法的資質。(2)數據共享中:應對數據的共享情況進行精確的記載,包括共享的日期、規模、目的,以及數據接收方的基本情況等;採取必要的安全措施,確保金融數據在共享過程中的安全性和保密性,防範數據洩露、篡改和丟失等風險。(3)數據共享後:應按照《網絡安全法》的要求保存共享記錄不少於6個月。
金融數據流動共享涉及的主體多元,在金融消費者的個人數據權利受到侵害時,應當確定侵權責任主體,並對不同責任主體的責任承擔方式進行判斷。從是否有金融消費者授權來看,金融數據跨境流動可能引發兩種類型的糾紛:第一種是金融機構或第三方機構未經金融消費者授權,故意或者重大過失地向他人共享金融數據。金融消費者若提起違約之訴,則可依據合同條款有權要求金融機構承擔違約責任。金融消費者若提起侵權之訴,則可以依據侵權責任原理要求金融機構和第三方機構承擔對外連帶責任。第二種是在經過金融消費者授權下,金融機構或第三方機構故意或者重大過失地超出授權範圍共享數據。金融消費者有權根據合同條款提起違約之訴,也可以在規定時期內對共享行為進行合法性追認,但這種約定不能對抗法律法規的強制性規定。此外,如果金融消費者在財產或者人格方面受到侵害,金融機構和第三方機構存在共同侵權,金融消費者有權要求其承擔連帶責任。
3.制定第三方機構審核與認證規則
為從源頭上防控風險,對於數據的共享對象是第三方機構的情況。首先,應要求第三方機構取得相關的牌照或者具有合格資質。在審核第三方機構提交的申請材料時,金融機構需要核查其營業執照是否寫明確定的營業範圍,並檢查其內部控制水平和技術能力等方面的資質,同時加強對金融消費者的數據授權安全保護。⑧可以參考歐盟相關規定,在准入管理方面,加強對第三方機構的指導和制定規範,包括但不限於以下措施:對第三方機構實施資質管理,如設定帳戶存取權限;並制定由金融機構和第三方機構承擔因消費者帳戶缺陷或欺詐行為造成的損失的責任分配方案。⑨其次,應當設立“黑名單”機制。將有數據運營異常記錄的第三方機構列入在金融機構的黑名單,如果第三方機構採取補救措施消除負面影響,則可以請求從黑名單中刪除。同時,“黑名單”應由各類金融機構共享,以消除由於信息不對稱帶來的損害。再次,應引進第三方機構的驗證制度。在第三方機構發起的數據轉移請求時,可以通過“用戶名和密碼”進行“單一驗證”,針對隱私風險較高的數據,應實施“用戶名和密碼+電子郵件複驗”的“雙重驗證”,例如先使用用戶名和密碼登錄,再以電子郵件或文本消息進行重複驗證。
(三)協調金融數據流動共享監管機制
1.推進機構監管與功能監管相結合
隨著金融新業態的蓬勃發展,粵港澳大灣區金融數據監管需要考慮兩個方面的問題:一是要考慮對金融數據的共享行為進行監管不會過分抑制金融的發展與創新;二是功能監管和機構監管兩種模式的結合過程中,應考慮取捨什麼、如何取捨、取捨到什麼程度的問題。我國金融控股公司的出現也更多地參照了美國模式,在功能監管建立的初期採取美國傘式功能監管。待監管水平達到一定程度後,再向功能監管中的雙峰模式或歐盟統一監管模式逐漸轉變,這應該是比較合理的路徑。
2.細化金融數據反壟斷監管規則
首先,要制定金融數據壟斷的具體判定標準。可以從以下考慮:一方面,針對特定金融市場,明確參與市場的主體及其所擁有的數據;另一方面,需要考慮金融數據壟斷行為對金融市場和金融消費者的影響,包括價格、品質、創新等方面。衹有綜合考慮以上因素,才能夠對金融數據壟斷進行準確判定。其次,完善對金融數據的反壟斷監管的法律。為此,可以從以下三個方面入手:其一,建立金融數據的反壟斷法律框架,包括法律法規、監管規則和執法機構等。其二,明確金融數據反壟斷監管的對象和範圍。針對金融數據壟斷行為,需要明確監管對象為金融機構和互聯網金融平台等經營者,並且監管範圍需要覆蓋金融數據的收集、共享、使用、銷售等環節。其三,加強金融數據反壟斷執法力度,制定有力的懲罰規則。
四、粵港澳大灣區金融數據跨境流動規則構建與協調的基本路徑
(一)建立粵港澳大灣區金融數據跨境流動制度的協調對接機制
金融數據多為敏感性數據,不僅涉及個人隱私權保護,還可能涉及國家安全。粵港澳大灣區有必要建立相互協調的金融數據分類、分級保護制度,並對重要金融數據建立聯合認定和識別機制,加強保護。首先,建立粵港澳協調互認的金融數據分類分級制度,明確一般金融數據和重要金融數據的識別標準,並能在大灣區內互認,為大灣區內金融數據跨境流動奠定制度和標準基礎。其次,建立粵港澳聯合金融數據跨境流動評估機制,並適當簡化大灣區內金融數據跨境流動評估程序,對於一般金融數據,在嚴格保護個人隱私權的基礎上,制定相對寬鬆的跨境流動評估程序;對於重要金融數據,僅在大灣區範圍內流動的,除涉及國家安全事項需要單獨評估外,也盡可能簡化評估程序。再次,鼓勵大灣區金融機構在處理數據跨境流動時,採用數據脫敏技術,在技術層面降低金融數據的敏感性和跨境流動的安全風險。
(二)提升粵港澳大灣區金融數據跨境流動的法律保護水準
因應數字經濟、數字金融的飛速發展,粵港澳大灣區在數據跨境流動的法律保護方面,均已初步出台了一些法律規定,已經有一定的法律基礎,但對於金融數據的跨境流動,法律保護水平尚不高。內地有關金融數據法律保護的立法和實踐,目前尚處於摸索階段,澳門由於金融市場不夠發達,在此領域的立法和司法實踐稍顯滯後,而香港在普通法體系下,對個人隱私有著較高的法律保護標準,同時在司法層面,香港的判例法傳統對此也有較好的調適性和靈活應對性。因此,提升大灣區金融數據跨境流動的法律保護水平,大灣區內地九市和澳門均應該以香港的規則、制度和司法實踐為基準,在立法和司法上,不僅要儘快消除三地的法律保護水平差,更要對標歐盟、美國等先進地區,提升法律保護能力。
(三)加強粵港澳大灣區金融數據跨境流動監管和執法合作
大灣區需要強化金融數據跨境流動安全和個人信息保護的聯合監管及執法協作。在聯合監管層面,大灣區金融監管部門要建立數據跨境流動的聯合監管機制,加強監管標準和流程的對接協調、監管信息的共享、監管措施的協助,必要時應建立跨境聯合監管機制。在執法協作層面,大灣區金融執法部門要建立數據跨境流動的信息共享與聯合調查機制,在執法證據搜集、執法信息共享、處罰措施協助等方面,進行充分的合作。
註釋:
①楊曉偉、張譽馨、賈丹:《粵港澳大灣區數據跨境流動的挑戰與對策研究》,《工業信息安全》2023年第4期。
②洪延青:《個人金融信息收集和共享的基本原理:基於中美歐規則的展開》,《中國銀行業》2019年第12期。
③See Steven R. Roach, William R. J. Schuerman, Privacy Year in Review: Recent Developments in the Gramm-Leach Bliley Act, Fair Credit Reporting Act, and Other Acts Affecting Financial Privacy, A Journal of Law and Policy for the Information Society, Vol. 1, 2005, pp385-390.
④許娟、黎浩田:《個人金融信息風險民事責任的實現》,《江蘇社會科學》2022年第1期。
⑤彭德雷、張子琳:《數字時代金融數據跨境流動的風險與規制研究》,《國際商務研究》2022年第1期。
⑥張曄:《隱私計算:讓數據“可用不可見”》,《科技日報》2023年4月10日第2版。
⑦王利明:《數據共享與個人信息保護》,《現代法學》2019年第1期。
⑧陳振雲:《我國金融數據治理法律構建的三個維度》,《貴州大學學報(社會科學版)》2022年第5期。
⑨趙吟:《開放銀行模式下個人數據共享的法律規制》,《現代法學》2020年第3期。
(全文刊載於《中國評論》月刊2024年5月號,總第317期,P63-70)
