Research on Legal Theory and Practice
             法律理论与实践研究


             Capital One 建立一个 1.9 亿美元的结算基金并提供其他救济服务。此外，2021
             年 8 月 16 日 T-Mobile 宣布，一名黑客非法访问了超过 7600 万美国公民的个人
             数据，并就此事件提起了多起数据泄露集体诉讼，2022 年 7 月 T-Mobile 在密苏

             里州联邦法院的听证会上同意就数据泄露和随后的集体诉讼达成 3.5 亿美元的和
             解。在这三个案例中，企业的业务范围均覆盖全球多个国家，且前两个案例的数
             据泄露范围涉及多国公民。根据诉讼案可知，这三家企业均因未能有效保护用户
             数据安全致使用户数据未经授权而被非法利用或处于被非法利用的危险之中，其

             中 Capital One 数据泄露案件的黑客佩奇·汤普森还在 2019 年 4 月发布了如何获
             取公司凭证以提取更多数据的说明。从上述案例不难发现，因数据传输技术等原
             因，跨境数据流动存在个人数据泄露的风险，如何保护个人数据安全，避免数据

             未经授权获取或使用是数据跨境流动监管必须直面的又一问题。
                  当然，在保护个人数据的同时也要注意统筹发展和安全。个人数据保护规则
             的制定和实施要同经济社会的发展相适应。对此，有研究根据数据产权配置对市
             场经济发展的影响得出结论：产权的最优配置关键取决于数据的价值，即取决于
             产生数据的市场和使用数据的市场之间的相对权重，当产生数据的市场权重更大

             时，应当尽可能保护个人的数据权利；当使用数据的市场权重更大时，应尽可能
             鼓励个人授权企业使用数据，促进社会经济的发展。国内学者也指出：“要在个
             人信息保护与大数据发展之间实现平衡”，并且“应在立法层面平衡数据交易与

             个人信息权利保护之间的关系”。因此，如何在促进数字经济发展的同时保护个
             人数据安全是数据跨境流动在个人数据保护层面提出的全新法治挑战。

                 三、金融数据跨境流动的规制模式

                 （一）欧盟模式：以数据权利为中心

                  欧盟在 1995 年发布《个人数据保护指令》，首次明确数据“充分保护”原则，
             认为数据权利和隐私权等权利保护优先于数据自由流动。随着大数据和人工智能
             的发展，2016 年欧盟公布《通用数据保护条例》，实施更为细化和精密的数据保护，

             把数据权利作为基本人权进行保护，确立了欧盟数据保护的规制体系。具体到金
             融领域，在严格的跨境规制体系下，金融数据跨境流动需求日益加大。对此，欧
             盟亦逐渐在可管控的前提下，探索金融数据的自由跨境流动。2015 年欧盟通过《支
             付服务指令》，针对金融数据的跨境流动作出规制。该指令规定，在审慎监管的



             48