中评社╱题:粤港澳大湾区金融数据跨境流动规则的构建与协调──以欧盟和美国经验为镜鉴 作者:谈萧(广州),法学博士、广东外语外贸大学法学院教授
【摘要】粤港澳大湾区具有探索我国金融数据跨境流动规则的独特优势,但目前尚存在遵循制度不同、标准差异较大、制度衔接较差等法律难题。探寻外国经验发现,欧盟涉及多关境、多司法区,美国则有高度发达的市场经济体制,二者的金融数据跨境流动共享规则,对于大湾区具有镜鉴价值。在金融数据跨境流动共享的立法理念上,欧盟强调个人数据严格保护基础上的跨境流动或共享,美国则强调共享基础上的个人数据权利保护;在金融数据跨境流动共享的监管模式上,欧盟是主动型监管,美国是限制型监管。二者的共性规则有:金融数据流动共享“知情-同意”规则;明确的金融数据流动共享者法律义务与责任;高效协调的金融数据流动共享监管机制。欧盟和美国的经验能给大湾区带来防范个人金融数据流动共享法律风险、构建金融数据流动共享法律规则、协调金融数据流动共享监管机制等方面的启示。大湾区需要强化金融数据管理制度的对接、提升金融数据跨境流动的法律保护水平、构建金融数据流动联合监管机制。
金融数据蕴含着极大的商业价值,这一价值的释放取决于安全前提下的数据高效流动。在数字金融背景下,如何通过金融数据跨境流动以实现其商业价值,需要在合法合规的框架内寻求平衡数据流动与数据安全、金融监管的可行路径。粤港澳大湾区作为我国开放程度最高和数字经济高速发展的区域之一,加之地处“一国两制三法域”的特殊制度和法律环境之中,对于我国探索金融数据跨境流动规则,具有得天独厚的优势。然而,由于粤港澳大湾区三地在个人信息保护、立法理念与司法执法等方面存在较大差异,金融数据跨境流动仍面临法律规则衔接不畅、法治保障不足等诸多困难。
一、粤港澳大湾区金融数据跨境流动存在的法律问题
(一)金融数据跨境流动所遵循的制度不同
根据《网络安全法》《数据安全法》《个人信息保护法》与《数据出境安全评估办法》等相关规定,大湾区内地九市向境外提供金融数据,必须在数据出境风险自评估基础上,通过国家网信部门组织的数据出境安全评估。香港《个人资料条例》指定香港个人资料私隐专员公署为个人资料保护主管机构,并规定移转至香港以外地方的个人资料,必须符合转移“白名单”条件,即转移目的地必须有完善的资料保护制度,资料当事人必须书面同意,资料使用者必须采取合理防范措施等。2014年,个人资料私隐专员公署公布《保障个人资料:跨境资料转移指引》,对包括白名单机制、个人资料权利主体书面同意、避免对个人资料权利主体不利行动影响及其他豁免情形,就《个人资料条例》适用原则、范围和主体进行了解读,并对相应流程作了一系列指引。澳门《个人资料保护法》则规定,只在遵守该法且法律体系能确保接收转移资料安全情况下,方可将个人资料转移到澳门以外的地方,而判断安全的决定主体是“公共当局”,即澳门个人资料保护办公室,但截至目前该办公室尚未承认任何一个国家或地区具有“适当程度”保护能力。该法还规定了例外情况,认定主管机关作出个人信息跨境转移决定,个人信息被合法公开登记,或经保护主管机关审查许可后跨境转移,资料控制者“确保有足够保障他人的私人生活、基本权利和自由机制,尤其通过适当的合同条款确保这些权利行使”;另外,基于特定目的进行个人资料跨境流动,如维护公共安全、预防犯罪、刑事侦查和制止刑事违法及保障公共卫生需要,则无需保护主管机关介入。①
(二)金融数据出境与保护标准差异较大
在金融数据出境与保护标准方面,内地依据《个人信息保护法》第38条、第40条以及国家网信办《数据出境安全评估办法》第4条的规定,关键信息基础设施运营者、数据处理者,处理个人信息100万人以上,自上年1月1日起累计向境外提供10万人以上,或敏感个人信息1万人以上,均需经网信部门组织数据出境安全评估。非以上情况的,需在专业机构对个人信息保护认证的基础上,按照国家网信部门制定的标准与境外接收方订立合同,然后依据内地缔结或参加的国际条约或协定出境。香港和澳门尚未出台体系化的个人数据出境管理制度。香港《个人资料条例》于1995年制定,其中第33条对个人资料跨境转移有诸多限制。2014年和2022年,香港个人资料私隐专员公署先后发布《保障个人资料:跨境资料转移指引》和《跨境资料转移指引:建议合约条文范本》,但均为行政指引,不具有强制实行效力。澳门虽无相关规定,但在实践中已发生多起对个人资料转移出境未向澳门个人资料保护办公室申报的行政处罚案例。
(三)金融数据保护和出境制度衔接较差
首先,在金融数据作为个人信息的范围方面,内地《个人信息保护法》中的“个人信息”概念与香港《个人资料条例》和澳门《个人资料保护法》中的“个人资料”概念的范围差别较大。大湾区内地九市依法认定的“个人信息”强调的是“已识别”和“可识别”信息,即包括个人具体身份信息和个人关联信息,而对于敏感个人信息,依据内地《个人信息保护法》也有非常严格的保护要求。香港《个人资料条例》第2条规定的个人资料,是指直接或间接与在世个人有关,直接或间接地可确定有关个人身份,存在形式予以查阅及处理切实可行。澳门《个人资料保护法》规定的个人资料,则是指包括声音、影像、识别编号及其他任何可反映资料当事人特征,进而确定资料当事人的信息。
其次,在金融数据作为个人信息的保护义务方面,香港《个人资料条例》和澳门《个人资料保护法》均无内地《个人信息保护法》规定的“单独同意”、“合规审计”、“影响评估”等要求,也未对指定个人信息保护负责人、处理行为等加以规定。
再次,在金融数据作为个人信息保护的法律责任方面,三地的行政处罚规定也不同。内地《个人信息保护法》规定的罚金最高,责任单位罚款可高达人民币5000万元或上年度营业额的5%,直接责任人可处10万元以上100万元以下罚款;香港《个人资料(私隐)条例》规定首次可判处第5级罚款(即罚款50000元港币)及监禁2年,如属持续犯罪则每日加罚1000元港币,其后相同犯罪可处第6级罚款及监禁2年,属持续犯罪则每日加罚2000元港币;澳门《个人资料保护法》规定的处罚最轻,责任单位最高可处20万澳门元罚款,但对具体责任人则无明确处罚的规定。
二、欧盟、美国金融数据流动共享的立法理念、监管模式及共性规则
(一)立法理念
1.欧盟:严格保护个人数据基础上的流动与共享
欧盟于2016年颁布、2018年生效的《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR),是欧盟针对个人数据保护的全面性核心立法。据此,欧盟采用一部涵盖各行业的通用法律的形式对数据开展保护,也就是说,个人金融数据与其他类型个人数据无异,同样受到GDPR的约束。②
GDPR在立法理念上,将个人数据权利作为一项基本人权,强调数据收集与共享的合法性,保护自然人基于个人数据所享有的权利。GDPR在涉及个人数据处理的领域,对于收集与共享的目的和数据限度都有相应的限制性规定。GDPR还规定了个人数据权利主体“同意”的构成要件,强调“同意”应是个人数据权利主体在自由意志下所作出的意思表示。
GDPR大幅增加了个人数据主体的权利,强化和明确了数据控制者及处理者分别必须承担的责任和义务,将数据保护常态化和系统化。此外,在欧盟GDPR项下,数据主体具有知情、纠正、删除以及反对等权利。在个人数据共享方面,GDPR还单独设一章,增加了数据控制者的义务和责任,提高了用户同意的标准,并为数据控制者增设了数据泄露告知、要对隐私影响评估等义务。同时,为了保护个人隐私,GDPR特别强调了对数据控制者的行为监管。GDPR还明确规定数据控制者在个人数据收集与共享中的义务,并规定其处理个人数据的目的须满足合理性的要求。
2.美国:共享基础上加强个人数据权利保护
推动个人数据共享与利用始终是美国金融领域立法的主要目标。在特定的金融领域,该理念得到广泛认同,与其他机构共享金融数据的范围和条件也在逐步扩大,以便更好地服务于金融市场。美国联邦《金融服务现代化法案》(The Gramm-Leach-Bliley Act, GLBA)制订目的就是为了推动金融市场的发展与竞争,同时该法案对金融机构与关联机构和非关联机构之间的“同意”形式采取区分原则,③主要体现在:该法案对关联机构采取“无需同意”和非关联机构采取“默示同意”两种授权方式。
为了回应社会对金融隐私保护存在的担忧,各州也通过立法确立各自的隐私保护法和数据安全法,其中2018年通过的《加州消费者隐私法》(California Consumer Privacy Act,CCPA)是美国州层面消费者隐私法立法的一个重要里程碑,它虽是立足于州层面,但被认为是美国该领域立法的标杆。该项法案明确了收集加州消费者个人数据的企业的适用范围,扩展了个人信息的定义,并强化了对消费者隐私的保护,赋予消费者对企业使用数据情况的知情权以及拒绝、删除、修改数据等权利。而后的《2020年加州隐私权法》(California Privacy Rights Act,以下简称CPRA)规定,如果某企业收集个人数据并出售或共享给第三方,或披露给服务提供者、承包商用于商业目的,该企业必须与第三方、服务提供者或承包商签署信息安全保护协定。在协定中,应当明确规定个人数据的处理和使用方式,以及收集和使用个人数据的目的,以及被收集者的权利。此外,CPRA还创新性地提出,利用与个人资料相关的行政罚款来设立“消费者隐私基金”,用以折抵由州法院、总检察长以及加利福尼亚州保护署为执行CPRA所需的开支。④
(二)监管模式
1.欧盟:主动型监管
主动型监管的国家是全球推动个人金融数据流动共享的主力,欧盟无疑是最积极的推动者。欧盟在2016年就推出了欧盟支付服务指令PSD2(Payment Service Directive 2),旨在促进欧盟金融市场的开放和稳定性,提高支付服务的安全性,保护金融消费者的利益,并鼓励创新。它要求欧盟境内的支付服务提供者提供开放的支付服务,以及利用技术和服务来改善支付服务的安全性和数据保护。
欧盟设立了“欧盟数据保护理事会(European Data Protection Board,以下简称EDPB)——各成员国数据监管机构——数据处理者内部的数据保护专员”三级数据监管机构。第一,EDPB是欧盟最高级别的、独立的个人数据监管机构,其主要职责是对个人数据安全进行宏观监管,对欧盟GDPR在各成员国实施标准进行统一,以及对各成员国之间的分歧进行协调,并提出建设性建议或作出最终决定。第二,各成员国监管机构对其辖区范围内的数据控制者和处理者所开展的数据处理活动进行监管,并确保其行为符合GDPR及其上级机构制定的规定,以确保各项规章制度得到贯彻执行,并能够在必要的时候对数据处理活动作出相应的决策。⑤第三,数据处理者内部的数据保护专员是由数据处理者自行指定的专门负责数据保护事务的职位或部门,负责监督和管理组织内部个人数据的处理和保护。GDPR还要求雇员数量超过250人的大型企业必须设立数据保护官。因此,这三级数据监管机构之间存在着紧密的联系,这在提高数据监管权力运行效率、加强个人数据保护和数据合规利用等方面都发挥了非常关键的作用,也充分体现出保护个人数据的价值取向。
2.美国:限制型监管
美国对本国金融科技公司,采取的是“按部就班”的功能性监管,即不论金融科技公司以何种形态出现,只要其具有金融公司的本质属性,就将其所涉及的金融业务按照其功能纳入现行金融监管体制之中。因此,在美国金融科技公司被当成金融公司一样监管,美国这种限制性监管是相对比较严格的。正因为如此,美国众多科技界巨头都未曾像中国的一样大规模涉入金融领域,这也导致美国出现大量的优秀的金融科技公司,但没有出现大型的金融科技巨无霸。美国的金融市场很大,金融机构服务完善和普及,但对金融科技公司来说,没有太多的发展空间。优秀的金融科技公司发展到一个新的高度时,将遭遇市场规模、金融牌照和数据瓶颈等困境。美国也在反思,相对严格的金融科技监管是否阻碍了其创新和发展。目前美国监管趋势在逐步调整和松绑,推动金融数据流动共享就是其中一项举措。
(三)共性规则
1.金融数据流动共享“知情-同意”规则
虽然美国和欧盟采纳了不同的立法理念,但本质上二者都在“同意”的形式上在加强对个人数据的权益保护。“知情-同意”规则是个人数据保护中的“帝王”条款,也是个人金融数据流动或共享法律规制的核心。金融数据权益是具有公法性质的私权利,对于私权利的保护应当充分尊重其意思自治。为避免将对个人金融数据流动共享的方式被认定为“概括授权”,应注意避免将金融消费者个人数据共享的授权条款直接勾选为同意;在取得金融消费者授权时应明确金融数据授权的目的、方式和范围;允许客户撤回金融数据授权的同意,以及避免采用“相关信息”等模糊不清的表述。因此,在个人金融数据流动共享的过程中,还应严格遵循“知情-同意”规则。
2.金融数据流动共享者的法律义务与责任
欧盟和美国在相关的立法文书中,都规定了金融机构的责任和义务,明确了作为数据处理者,金融机构所应当承担的责任。美国法律规定了金融机构处理个人数据的条件和范围,以及必须以合理的方式向金融消费者提供隐私权保护的相关政策,同时也强调了金融机构必须以合理的方式向个人数据主体进行通知,以便保护金融消费者的隐私权和数据安全,违反此类规定的金融机构需承担法律责任。欧盟法律规定,金融机构对个人数据的合法性使用,必须经数据主体本人授权、履行法定职责,并要求采取必要性保护措施。
3.高效协调的金融数据流动共享监管机制
在监管模式上,欧盟倾向于设立专门的个人数据保护的专职机构,并强调监管的全面性和协调性,其优势在于将金融数据流动或共享的监管权集中于一个监管机构,从而使得监管执法的标准、程序更加统一,有助于提升监管的效率。美国的金融监管则比较注重市场自我调节和监管,强调市场的自由度和竞争力,也重视行业自律组织的作用,通过行业协会等组织进行自律监管。
三、欧盟、美国经验对粤港澳大湾区的可鉴之处
(一)防范个人金融数据流动共享法律风险
1.保障金融消费者的知情选择权
一方面,在消费者与金融机构之间的契约关系中,数据作为合同客体,必须要尊重金融消费者的意思自治。当在数据被金融机构所掌控时,金融机构有责任保护金融数据主体隐私和人格,在进行数据共享前,金融机构应当以通俗易懂的语言,真实、准确地向金融消费者披露可能影响其决策的信息,法律也应当赋予金融消费者拥有权利介入数据共享环节,以保护金融消费者的数据权益并及时控制对其数据权益可能造成损害的处理行为。这是数据共享中数据主体行使知情权的一种表现。另一方面,在数据处于金融机构控制时,金融机构也需要明确,数据主体依然享有自主选择权,可以根据法律规定以及个人意愿来选择是否同意进行数据共享。在特定情况下,金融机构进行金融数据流动共享仍然需要告知金融消费者并由其做出最后决策。
2.规范隐私保护计算技术的应用
隐私保护计算是隐私权保护下金融数据流动共享的技术实现路径。隐私保护计算一般通过三个环节保证数据和模型隐私,具体做法如下:首先,通过对原始数据进行去标识化处理,以确保合作的第三方机构无法通过数据逆向推导出数据主体的身份,但要尽可能地保留数据的“信息价值”,做到共享数据的“可算不可识”。其次,提升数据和模型计算环境的安全性,确保全程安全可控,可以通过硬件化、安全沙箱、存取控制、数据脱敏、流转管控、即时风控和行为审计等手段实现安全性。再次,保护数据中涉及的隐私,在不暴露原始数据的情况下进行数据流动、共享和价值提取,可采用智慧计算技术,如多方安全计算、差分隐私和联邦学习等方法实现数据的“可用不可见”。⑥
3.建立金融数据流动共享前置风险评估制度
欧美的经验表明,风险评估制度能够有效检测各方金融数据主体的安全保障能力。但该制度难以得到真正地贯彻实施,因为风险评估规范作为行业标准对金融机构往往并不具备强制效力。为此,应当引入风险评价机制,用行政强制力来保障风险评估的执行。此外,对金融机构的合规措施进行内外部评估,可以在一定程度上减轻金融机构的合规成本。
(二)构建金融数据流动共享法律规则
1.优化“知情-同意”授权规则
首先,应遵循“三重授权”的规则。“三重授权”方法要求在进行个人数据共享时,需要获取三次授权,即共享个人数据需取得三次授权,分别对应数据权利人对数据控制者收集个人数据的授权,数据控制者对其他控制者的授权以及数据权利人对数据控制者共享个人数据的授权。⑦
其次,应当优化知情同意授权模式。金融机构可以采用简化的流程和介面,减少授权的步骤和介面的复杂性,向金融消费者披露数据的实际使用情况;同时,可以提供更加多样化的知情同意授权方式,如单项选择、分级授权等。
最后,适当使用“即时同意”规则。金融机构在超出原始数据收集的目的和许可权的前提下,运用原有金融数据,结合深度挖掘和分析技术,发掘数据之间的关联性和规律性,以获取新的价值。此时,金融机构应该获得金融消费者的“即时同意”才能进行二次利用包括共享行为。
2.厘清个人金融数据流动共享者的义务与责任
针对金融数据流动共享者的义务,具体要求如下:(1)数据共享前:应当签订数据共享协定,告知数据主体共享目的及第三方机构类型并取得授权,确保数据主体的知情权;还应当加强对数据接收方的尽职调查,确保其具备合法的资质。(2)数据共享中:应对数据的共享情况进行精确的记载,包括共享的日期、规模、目的,以及数据接收方的基本情况等;采取必要的安全措施,确保金融数据在共享过程中的安全性和保密性,防范数据泄露、篡改和丢失等风险。(3)数据共享后:应按照《网络安全法》的要求保存共享记录不少于6个月。
金融数据流动共享涉及的主体多元,在金融消费者的个人数据权利受到侵害时,应当确定侵权责任主体,并对不同责任主体的责任承担方式进行判断。从是否有金融消费者授权来看,金融数据跨境流动可能引发两种类型的纠纷:第一种是金融机构或第三方机构未经金融消费者授权,故意或者重大过失地向他人共享金融数据。金融消费者若提起违约之诉,则可依据合同条款有权要求金融机构承担违约责任。金融消费者若提起侵权之诉,则可以依据侵权责任原理要求金融机构和第三方机构承担对外连带责任。第二种是在经过金融消费者授权下,金融机构或第三方机构故意或者重大过失地超出授权范围共享数据。金融消费者有权根据合同条款提起违约之诉,也可以在规定时期内对共享行为进行合法性追认,但这种约定不能对抗法律法规的强制性规定。此外,如果金融消费者在财产或者人格方面受到侵害,金融机构和第三方机构存在共同侵权,金融消费者有权要求其承担连带责任。
3.制定第三方机构审核与认证规则
为从源头上防控风险,对于数据的共享对象是第三方机构的情况。首先,应要求第三方机构取得相关的牌照或者具有合格资质。在审核第三方机构提交的申请材料时,金融机构需要核查其营业执照是否写明确定的营业范围,并检查其内部控制水平和技术能力等方面的资质,同时加强对金融消费者的数据授权安全保护。⑧可以参考欧盟相关规定,在准入管理方面,加强对第三方机构的指导和制定规范,包括但不限于以下措施:对第三方机构实施资质管理,如设定帐户存取权限;并制定由金融机构和第三方机构承担因消费者帐户缺陷或欺诈行为造成的损失的责任分配方案。⑨其次,应当设立“黑名单”机制。将有数据运营异常记录的第三方机构列入在金融机构的黑名单,如果第三方机构采取补救措施消除负面影响,则可以请求从黑名单中删除。同时,“黑名单”应由各类金融机构共享,以消除由于信息不对称带来的损害。再次,应引进第三方机构的验证制度。在第三方机构发起的数据转移请求时,可以通过“用户名和密码”进行“单一验证”,针对隐私风险较高的数据,应实施“用户名和密码+电子邮件复验”的“双重验证”,例如先使用用户名和密码登录,再以电子邮件或文本消息进行重复验证。
(三)协调金融数据流动共享监管机制
1.推进机构监管与功能监管相结合
随着金融新业态的蓬勃发展,粤港澳大湾区金融数据监管需要考虑两个方面的问题:一是要考虑对金融数据的共享行为进行监管不会过分抑制金融的发展与创新;二是功能监管和机构监管两种模式的结合过程中,应考虑取舍什么、如何取舍、取舍到什么程度的问题。我国金融控股公司的出现也更多地参照了美国模式,在功能监管建立的初期采取美国伞式功能监管。待监管水平达到一定程度后,再向功能监管中的双峰模式或欧盟统一监管模式逐渐转变,这应该是比较合理的路径。
2.细化金融数据反垄断监管规则
首先,要制定金融数据垄断的具体判定标准。可以从以下考虑:一方面,针对特定金融市场,明确参与市场的主体及其所拥有的数据;另一方面,需要考虑金融数据垄断行为对金融市场和金融消费者的影响,包括价格、品质、创新等方面。只有综合考虑以上因素,才能够对金融数据垄断进行准确判定。其次,完善对金融数据的反垄断监管的法律。为此,可以从以下三个方面入手:其一,建立金融数据的反垄断法律框架,包括法律法规、监管规则和执法机构等。其二,明确金融数据反垄断监管的对象和范围。针对金融数据垄断行为,需要明确监管对象为金融机构和互联网金融平台等经营者,并且监管范围需要覆盖金融数据的收集、共享、使用、销售等环节。其三,加强金融数据反垄断执法力度,制定有力的惩罚规则。
四、粤港澳大湾区金融数据跨境流动规则构建与协调的基本路径
(一)建立粤港澳大湾区金融数据跨境流动制度的协调对接机制
金融数据多为敏感性数据,不仅涉及个人隐私权保护,还可能涉及国家安全。粤港澳大湾区有必要建立相互协调的金融数据分类、分级保护制度,并对重要金融数据建立联合认定和识别机制,加强保护。首先,建立粤港澳协调互认的金融数据分类分级制度,明确一般金融数据和重要金融数据的识别标准,并能在大湾区内互认,为大湾区内金融数据跨境流动奠定制度和标准基础。其次,建立粤港澳联合金融数据跨境流动评估机制,并适当简化大湾区内金融数据跨境流动评估程序,对于一般金融数据,在严格保护个人隐私权的基础上,制定相对宽松的跨境流动评估程序;对于重要金融数据,仅在大湾区范围内流动的,除涉及国家安全事项需要单独评估外,也尽可能简化评估程序。再次,鼓励大湾区金融机构在处理数据跨境流动时,采用数据脱敏技术,在技术层面降低金融数据的敏感性和跨境流动的安全风险。
(二)提升粤港澳大湾区金融数据跨境流动的法律保护水准
因应数字经济、数字金融的飞速发展,粤港澳大湾区在数据跨境流动的法律保护方面,均已初步出台了一些法律规定,已经有一定的法律基础,但对于金融数据的跨境流动,法律保护水平尚不高。内地有关金融数据法律保护的立法和实践,目前尚处于摸索阶段,澳门由于金融市场不够发达,在此领域的立法和司法实践稍显滞后,而香港在普通法体系下,对个人隐私有着较高的法律保护标准,同时在司法层面,香港的判例法传统对此也有较好的调适性和灵活应对性。因此,提升大湾区金融数据跨境流动的法律保护水平,大湾区内地九市和澳门均应该以香港的规则、制度和司法实践为基准,在立法和司法上,不仅要尽快消除三地的法律保护水平差,更要对标欧盟、美国等先进地区,提升法律保护能力。
(三)加强粤港澳大湾区金融数据跨境流动监管和执法合作
大湾区需要强化金融数据跨境流动安全和个人信息保护的联合监管及执法协作。在联合监管层面,大湾区金融监管部门要建立数据跨境流动的联合监管机制,加强监管标准和流程的对接协调、监管信息的共享、监管措施的协助,必要时应建立跨境联合监管机制。在执法协作层面,大湾区金融执法部门要建立数据跨境流动的信息共享与联合调查机制,在执法证据搜集、执法信息共享、处罚措施协助等方面,进行充分的合作。
注释:
①杨晓伟、张誉馨、贾丹:《粤港澳大湾区数据跨境流动的挑战与对策研究》,《工业信息安全》2023年第4期。
②洪延青:《个人金融信息收集和共享的基本原理:基于中美欧规则的展开》,《中国银行业》2019年第12期。
③See Steven R. Roach, William R. J. Schuerman, Privacy Year in Review: Recent Developments in the Gramm-Leach Bliley Act, Fair Credit Reporting Act, and Other Acts Affecting Financial Privacy, A Journal of Law and Policy for the Information Society, Vol. 1, 2005, pp385-390.
④许娟、黎浩田:《个人金融信息风险民事责任的实现》,《江苏社会科学》2022年第1期。
⑤彭德雷、张子琳:《数字时代金融数据跨境流动的风险与规制研究》,《国际商务研究》2022年第1期。
⑥张晔:《隐私计算:让数据“可用不可见”》,《科技日报》2023年4月10日第2版。
⑦王利明:《数据共享与个人信息保护》,《现代法学》2019年第1期。
⑧陈振云:《我国金融数据治理法律构建的三个维度》,《贵州大学学报(社会科学版)》2022年第5期。
⑨赵吟:《开放银行模式下个人数据共享的法律规制》,《现代法学》2020年第3期。
(全文刊载于《中国评论》月刊2024年5月号,总第317期,P63-70)
