沈伟：金融数据安全保护的价值平衡与制度建构——安全与普惠的张力弥合

普惠金融为金融数据安全保护提供了新的价值锚点。如何在引入数据要素的过程中平衡普惠金融发展和金融数据安全之间的关系，尤其是在当前数字金融和金融科技快速发展的背景之下实现安全和发展两种价值维度之间的“再平衡”，避免因过度追求金融数据安全而抑制普惠金融发展和金融创新，或因偏重追求普惠金融覆盖面而造成风险累积，是数据要素赋能普惠金融高质量发展的难题。本文试图剖析金融数据要素赋能下的普惠金融发展与金融数据安全之间的价值张力、冲突以及二者的平衡进路。

一、平衡普惠金融语境中数据安全与创新的三重面向

中国人民银行与世界银行联合发布的《全球视野下的中国普惠金融：实践、经验与挑战》报告将普惠金融定义为“个人、小微企业能够获取和使用一系列合适的金融产品和服务，这些金融产品和服务对消费者而言便捷安全，对提供者而言商业可持续”。由此可见，普惠金融的关键在于有可得性、多样性和适当性的产品，具有商业可行性与可持续性，以及安全和责任意识。金融业与信用风险密切相关，本质上是人们在信息和数据基础上进行投资风险分配的市场和机制。金融数据是普惠金融提供商进行智能服务、智能营销、智能风控的基础性资源，在金融服务数字化转型过程中扮演着不可或缺的角色。金融科技赋能普惠金融的核心在于通过金融数据治理突破传统的“金融排斥”，其需要流动性、应用性和可信性兼具的金融数据驱动型普惠金融发展框架。金融数据的这三种特性既是释放金融数据普惠价值的核心维度，也是防控数据风险、保障创新可持续的重要维度。数字时代的数据资产金融化，特别是数据估值，有赖于数据场景拆分、数据市场化定价和数据交易成交定价等金融化运作。

（一）数据流动性：数据共享的普惠价值与安全底线

传统金融模式之下，各金融机构之间相对孤立，信息不对称等问题导致小微企业、低收入群体能够享受的金融服务质量较低，甚至会陷入融资难、融资贵的困境。在数字经济背景之下，金融业态发生了显著变化，金融数据对数字金融的运营效率、资源配置和财富创造更为重要。数据要素惟有流通才能最大化数据价值。普惠金融要求不同金融机构之间实现金融数据共享，打破数据流动壁垒，促进金融数据在多元主体内外部之间的交互，以便为更多群体提供更为优质的金融服务。互联网和数据计算技术的发展使金融数据成为一种基础要素、底层资产甚至是基础设施，为普及金融服务、产品和资源提供了新的数据驱动力。在金融机构内部，各部门之间通常基于自身业务需求收集、存储和使用数据，但存在数据分散、标准不一的现象，这导致数据的最大价值难以发挥。金融数据作为重要的金融资源，其共享能够最大化数据的市场价值、降低金融机构的运营成本，进而帮助更多金融消费者和中小企业获得优质金融服务，促进普惠金融发展。

当前“安全为首、共享为辅”的监管理念得到强调，保护数据安全和消费者利益成为金融监管的核心目标，但这也在一定程度上忽略了金融数据的市场价值，不利于提升金融服务的可获得性和普惠性。例如，《数据安全法》虽然坚持以数据开发利用和产业发展促进数据安全，并以数据安全保障数据开发利用和产业发展，但是其整体规则脉络仍然以安全保障为核心，无法通过金融数据共享实现普惠金融这一目标。2025年中国人民银行发布的《中国人民银行业务领域数据安全管理办法》（下称《管理办法》）沿用了“谁管业务，谁管业务数据，谁管数据安全”的原则，通过数据分类分级管理制度，构建了覆盖管理制度、技术防护措施和防控机制的三维体系。全流程业务数据安全管理体系对数据安全有利，但是执行成本和合规成本都比较高。数据的流通属性产生了更复杂的风险网络，强化了金融科技去中心化（decentralization）、去中介化、高度融合的特质。数据不当应用所造成的数据安全与隐私风险会影响国家金融安全和金融消费者利益保护，甚至存在引发系统性风险的可能。

（二）数据应用性：技术赋能的创新空间与风险红线

金融交易的过程就是金融数据处理的过程，金融数据的充分利用能够显著提升金融业务处理的质效，实现金融资源优化配置、推动普惠金融发展。金融机构通过深度挖掘和灵活应用金融数据，不仅能够更好地了解市场和客户需求，还能够创新性地设计和推出新型金融产品和服务。

普惠金融在成本可控的条件之下为有金融服务需求的社会各阶层和群体提供金融服务，小微企业、农民等是其重点服务对象。个体经营者、线下摊位、零售码商或其他灵活就业群体都是普惠金融的服务对象。小微企业在经营过程中面临融资成本高、渠道少、门槛高和流程繁复等问题，农民在生产中也面临自然风险和市场风险等诸多不确定因素。金融机构借助大数据等数字技术收集并分析小微企业的经营数据、交易流水，抓取农民的生产数据、生产习惯等信息，观测金融消费者的行为模式和需求偏好，设计专门服务于小微企业和农民的金融产品。例如，数字普惠金融能够筹集、培育耐心资本，为初创期专精特新企业引入符合企业长远发展需要的长期性融资，在缓解财务风险的同时最大限度便利公司运营与技术创新。农业现代化和数字农业要求物联网、大数据、云计算等技术在农村得到广泛应用，掌上银行、智能化设备、定制化金融教育产品等数字普惠金融技术有助于农村革新金融生态，促进乡村全面振兴。数字普惠保险能够为农村产业升级和农民自主创新提供经济扶持和风险保障，缩小城乡居民收入差距，提高乡村治理水平。数字普惠金融还有助于改善农民工的就业环境并促进农民工高水平就业，进而起到良好的公共服务作用，推动实现共同富裕。数据显示，数字金融具有促进农村家庭消费、缓解农村家庭消费不平等的重要作用。

数字普惠金融对金融机构的增益不容小觑。金融数据的深度挖掘和人工智能化正在不断更新迭代金融产品和服务，并推动了平台金融、智能投顾、大数据征信等新金融业态的发展。凭借强大的数据处理能力，机器学习模型为金融机构选择潜在客户、优化产品设计、准确评估风险、识别欺诈行为并优化交易策略提供了更为高效的风险评估手段。金融机构利用机器学习模型对金融数据进行深度分析，既能涵盖用户的个人身份信息、交易信息、信用信息等传统数据信息，又可囊括社交媒体行为、网络消费习惯等新型数据。通过动态实时跟踪用户行为变化，及时捕捉行为偏好和风险信号，金融机构可以迅速调整风险控制策略，有效降低违约风险，保障金融机构资产安全。金融科技还可以赋能银行等金融机构的数字化转型，在降低信用风险的同时，拓展业务，吸引中小微企业用户。银行经营情况的优化又能够反过来提升其发贷积极性，在金融机构和金融消费者之间形成相互促进的正向循环。

金融创新的推动力正是来自对金融数据的深入理解和灵活应用。这种创新不仅推动了金融业务的发展，也提高了金融体系的效率和适应性。然而，与传统金融相比，金融数据的灵活应用存在更大的数据和网络安全风险敞口，包括网络系统与存储中心泄露引起的金融数据安全风险、用户信息与个人隐私类金融数据的泄漏风险，可能遭遇黑客攻击、账户资金被盗等金融数据犯罪风险，也可能纵容算法歧视、加剧金融排斥。

（三）数据可信性：数据质量的效能支撑与治理规范

有效的数据治理制度包括数据定价、数据链和数据集合、数据筛选、数据产权和数据控制等内容。无论是从交易主体身份识别到交易资信评估，从交易指令传递到交易结果确认的金融交易过程，还是金融监管部门对金融市场运行、金融主体经营和金融违规风险的监管，都有赖于数据。数据质量是决定数据治理效能的最基本因素。随着金融机构的数字化转型，数字操纵所带来的风险要大于信用风险。大规模应用人工智能（Artificial Intelligence，AI）、过度依赖第三方服务商和地缘数字竞争使得金融机构面临新的脆弱性。高质量金融数据对金融机构的决策制定和风险管理等环节至关重要，在普惠金融的有效开展中扮演关键角色，其核心价值体现在准确性、完整性、一致性、时效性等多个维度。在普惠金融业务开展过程中，小微企业的财务管理规范性不足，数据失真、记录错误、传输失误等情况时有发生。小微企业、农民等普惠金融主要受众群体的金融需求通常具有多样性和复杂性，金融数据完整性是确保金融产品和服务符合金融服务对象需求的关键，金融数据准确性则是确保金融交易低风险的基础。金融消费者处理金融数据的能力和技术有限，无法有效挖掘金融数据的价值和产生规模聚合效应，与金融机构之间存在信息不对称。金融数据的一致性既要求不同场景、不同系统、不同时间收集的数据一致，也要求金融数据各个环节的监管标准和程序统一，确保央地金融数据治理部门的政策和执法具有协同性和一致性。金融数据的时效性要求金融机构掌握市场和用户的动态变化，作出及时和有针对性的调整。

当下金融数据治理过程中，数据质量参差不齐是一个突出问题。金融数据质量问题会严重影响金融机构对用户的准确评估，增加运营风险，阻碍金融产品的创新与优化，降低金融服务效率，并最终制约普惠金融的可持续发展。部分金融机构收集的数据存在较严重的数据存储冗余、数据内容失准、数据收集失范、数据完整性和一致性不高等问题。中小银行联盟、金融科技50人论坛等联合发布的《2024中小银行金融科技发展研究报告》显示，40％的受访银行在数字化层面的投入产出较低，34.29%的受访银行存在对数字金融理解不到位的问题，完整实施数字金融规划布局并已取得成效的银行总量仅占全体受访银行的1.43％，70％的受访银行在数据处理、应用、分析、治理等方面缺乏配套的专业人才，高达80％的受访银行不具有完善的模型和算法等新技术管理体制。根据毕马威的统计，在金融业监管中，数据质量处罚事由仍占较大比重。金融数据收集与共享、综合应用、数据安全问题等成为制约高质量金融数据获取并发挥潜能的关键。

征信替代数据是一种改善金融数据治理、提升数据传输效率的创新机制。所谓征信替代数据，是指在借贷数据等传统数据类型之外建立的足以证明个人和企业信用状况的数据类型。目前，我国征信系统高度依赖传统政务、司法信息的电子化、公式化，存在对金融科技公司缺乏监管、对数据收集对象有发生侵权的风险、征信数据要素具有被垄断的可能性等一系列问题，需要搭建多元控制、多主体协同的数据治理架构，完善分类分级数据安全保障和数据处理负面清单制度。在绿色经济、“双碳目标”背景之下，消费端碳普惠数据治理即碳减排数据等一系列标准尺度下的个人碳税、个人碳配额等法律制度对普惠金融数据治理具有启发意义，有助于开发绿色经济数智治理、完善气候正义法治，并最终推动我国经济产业全面绿色转型。总之，金融数据治理存在多种新场景、新模式，其中的问题与发展潜力还有待进一步探索与发掘。

二、普惠金融发展与金融数据安全的内生张力

金融市场和金融体系的发展存在多元目标，实现普惠金融发展是其中之一，其需要与促进实体经济发展、优化金融资源配置、维护经济稳定等其他目标相互配合。《民营经济促进法》规定了可获得性、便利性、风险防范与处置以及加强信用管理等重要目标，勾勒了普惠金融所具有的发展、分配和安全三重价值。此外，普惠金融还是金融监管手段，存在着与其他监管手段、财政手段以及税收手段相互配合、协调的矛盾。例如，无差异化的强监管可能会加重金融机构实施普惠金融的合规成本，进而抑制普惠金融的发展。因此，差异化和平衡式监管是与普惠金融的发展目标相称的监管方式。

普惠金融和金融数据安全之间的内生张力本质上是金融创新与风险防控、金融效率与金融安全之间的动态博弈。普惠金融发展和金融数据安全之间的动态关系表现在以下四个维度。

（一）数据收集广度与隐私保护深度之间的张力

国务院2015 年印发的《推进普惠金融发展规划（2016-2020年）》提出了普惠金融的“覆盖率、可获得性和满意度”要求。简言之，普惠金融的核心目的是“普”和“惠”，弱势群体、家庭和小微企业都有可以获得金融服务的机会，增加不同群体对金融资源的可得性，使金融资源能惠及这些群体，进而减少贫困、改善民生、促进经济发展。金融数据在“普”和“惠”两个方面都可以有所贡献。就“普”而言，包括通过整合多维度金融数据，填补传统“信用评估”空白，利用交易记录、社交信息、物流轨迹、生物特征等更为广泛的金融数据精准刻画被传统金融边缘化群体的“信用画像”，提高金融产品和服务的覆盖率。就“惠”而言，金融数据既可以呈现出群体间、区域间的利益格局，揭示金融监管和金融资源分配过程中的利益失衡问题，又可以被用于优化激励机制，借助金融科技提升监管精准度。显然，金融数据是影响普惠金融体系公平性和安全性的关键变量。

但是，金融发展、金融资源分配、金融安全三者之间三元悖论，难以同时实现。金融数据收集广度的不断扩大可能导致隐私泄露。金融机构在收集和向外提供金融数据时，受到《个人信息保护法》中“最小必要原则”的约束，按照业务发展的需求赋予金融服务提供商最小数据处理权限，这与普惠金融的数据广度需求之间存在冲突。根据《2023年数据泄露风险年度报告》，金融行业是2023年发生公民个人信息泄露事件数量最多的行业。2024年12月，江苏省通信管理局发布《2024年第5批关于侵害用户权益行为的APP通报》，其中涉及五家银行，侵权行为包括“违规收集个人信息；超范围收集个人信息；APP强制、频繁、过度索取权限”等，具有行业代表性，揭示了普惠金融导致的数据侵权问题。现有的数据商业模式主要是平台交易模式，数据在采集和加密后由第三方管理和交易。这种模式虽然解决了数据互信、数据保护及数据共性的矛盾，但范围比较狭小。将来的发展方向是数据银行模式，减少第三方的介入，增加数据供需两端的交互。另外，数字普惠金融监管的约束机制和激励机制之间也存在紧张关系。数字金融可以降低金融监管和合规成本，但是也会产生数据安全风险、技术操作风险和信息不对称风险。

（二）数据共享效率与数据流动监管之间的张力

数据的整体价值大于每一部分的价值之和。加强数字经济法治建设，建立健全数据要素交易、确权、共享等方面的制度规则，促进金融数据共享，是实现普惠金融的核心驱动力，有利于促进金融高质量发展。在金融市场的集中度不断增加的趋势之下，确保金融安全、金融稳定、投资者保护是金融监管的优先目标。总体上，我国金融数据监管过于强调安全保障，与普惠金融所追求的数据共享之间存在一定张力。金融数据共享必须遵守《金融数据安全数据安全分级指南》《关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》《数据安全技术数据分类分级规则》等一系列规范性文件，不过，这些数据分级分类均是从风险防控角度出发的，尚未明确界定可共享的金融数据类别。2025年4月，中国人民银行等六部门联合发布的《促进和规范金融业数据跨境流动合规指南》聚焦跨境支付、跨境汇款、跨境开户等活动，扩展形成47类可免于申报数据出境安全评估的金融业务场景，但仍对跨境金融数据项清单进行严格限制。这些监管措施旨在保护金融消费者的数据和隐私安全，却在一定程度上阻碍了金融数据流动，降低了金融数据的共享效率，增加了金融机构的运营和时间成本。数据的收集和使用成本可能会被转嫁给普惠金融业务的目标群体，增加金融产品和服务的费用，违背普惠金融的成本可负担原则。

（三）科技创新速度与风险防控滞后之间的张力

金融科技的进步和信任强化作用在经由数据要素市场建设推动普惠金融发展中发挥着关键作用。重大科技创新通常与重大金融创新相互耦合催生产业革命。数字经济时代，数据作为关键生产要素进入生产函数参与价值创造过程，并在科技、产业与金融一体化循环中发挥独特作用，成为金融体系进行资源配置的核心要素。以数据为基础的金融科技在推动数据驱动型金融业态和普惠金融发展的同时，也对传统金融风险防控体系带来了挑战。《管理办法》构建了“普遍义务+例外豁免”的双层规范框架，在基础性安全保护要求之外，设置了从轻或减轻行政处罚的条款。这种责任分配安全港制度在一定程度上为数据处理者提供了容错空间，但与风险社会的逻辑又存在摩擦。金融科技创新通常追求“快速更新迭代”和“市场竞争优势”，然而，金融风险防控体系又难以实现同步建立与完善，因此二者之间经常会出现“节奏错位”。随着金融科技深化创新，金融风险的形式和扩散方式也日益复杂，传统金融风险防控体系难以满足保障金融安全的现实需求。这种“创新快、防控慢”的节奏错位，不仅会威胁金融消费者的资金、隐私、数据安全，降低其对金融科技的信任，也可能影响金融市场稳定。例如，区块链金融应用场景难以兼顾安全、去中心化、可扩展性的多维度要求，只能在确保金融安全的基础上尽可能寻求另外两个维度的平衡点，这反而背离了金融科技高效、便利、普及化的初衷。

（四）数据“贫困陷阱”和金融数据垄断之间的张力

大型金融机构与金融科技公司凭借其技术优势、议价能力和网络溢出效应，不断扩大金融消费群体和业务范围，积累了大量金融数据，形成数据寡头垄断的市场格局。这种垄断格局在技术层面表现为依托算法和算力优势形成对金融数据收集和处理能力的垄断，在市场层面则表现为利用网络效应和生态闭环形成“数据沉淀”的渠道垄断，在制度层面反映为由于数据产权界定模糊而造成的数据控制权垄断。大型机构的数据资产呈现指数级增长，中小机构则陷入数据“贫困陷阱”，其直接后果是普惠金融业务的结构性失衡，许多金融消费者无法获得成本更低、效率更高、类型更为多样的金融产品和服务。

在拓展金融业务覆盖面、提升金融服务可得性的过程中，普惠金融对金融数据的广泛采集、跨域共享与技术驱动提出了更高的要求。金融数据安全则以其制度规范、技术防护与监管约束不断回应这些挑战，二者在互动中产生了结构性张力。这种张力不仅体现为制度之间的碰撞，还表现为技术进步与监管滞后的动态失衡。然而矛盾并非不可调和，张力也并非绝对对立。在制度设计与技术演进的互动过程中，普惠金融与金融数据安全在相互作用之下逐渐发展出彼此依托、共同演化的共生关系，因此能够通过制度安排与技术革新实现互促共进。

三、普惠金融与金融数据安全的共生逻辑

普惠金融与金融数据安全之间存在紧密的“共生逻辑”，影响着金融安全与金融效率协同演进的态势。金融数据安全是普惠金融的基础，金融数据的应用为普惠金融赋能，增强其可持续性，同时普惠金融的发展也拓宽了金融数据治理的应用场景。

（一）金融数据加强普惠金融的可持续性

传统普惠金融缺乏商业上的可持续性，而建立在金融科技基础之上的新型金融模式为普惠金融的发展提供了新的可能。

一方面，数据具有增值效应。数据作为关键生产要素，具备流动性强、规模效应大、边际成本低等独特属性。借助金融数据，金融机构可以摆脱传统时空限制，将提供金融产品和服务的场所从线下延伸至线上，通过移动应用和网络平台开展在线开户、信贷审批、支付结算等金融业务。这既能节省运营费用，降低金融产品和服务的门槛与成本，又能扩大普惠金融覆盖范围、降低排他性，改善“中小微弱”群体面临的金融产品和服务稀缺状况，实现市场下沉。例如，数字众筹、加密货币、在线移动银行、基于区块链的交易平台等金融科技，扩大了金融包容性，增加了不同群体获得金融产品和服务的机会，能为更大范围的群体提供金融支持。

另一方面，数据具有信息对称效应。普惠金融的创新应用旨在减少信息不对称、提高金融交易效率、加快金融业转型升级、实现规模经济效应，其需要包括各类金融基础设施、金融服务主体在内的整个金融生态参与共建，金融数据恰恰是维系现代金融生态高效运转的关键要素。受普惠金融的目标群体与业务性质的影响，金融机构在开展普惠金融业务时应更加注重合理配置资源、审慎防范风险。金融数据的动态实时性既增强了金融机构的资源配置能力，又提高金融的风险防范能力，有利于保障普惠金融发展的安全性与可持续性。

（二）金融数据安全是普惠金融的基础

在金融科技蓬勃发展的时代背景下，普惠金融“立足机会平等要求和商业可持续原则，以可负担的成本为有金融服务需求的社会各阶层和群体提供适当、有效的金融服务”。一方面，金融数据安全作为底层支撑，是确保普惠金融稳健运行、可持续发展的关键所在。金融数据安全在普惠金融中所处的基础性地位体现于多个方面。从保障金融交易真实到维护金融机构信誉，再到增强金融市场活力，金融数据安全起着不可替代的作用，对提升金融体系韧性至关重要。例如，隐私计算技术的兴起为金融数据治理提供了新范式，有助于实现金融数据安全。隐私计算指通过技术手段保护数据所有者的数据隐私，在保证不泄露数据提供方原始数据的前提下对数据进行分析计算，确保数据“可用不可见”的一系列信息技术。金融业是隐私计算应用最为集中、落地场景最为丰富的行业之一。为了精准评估用户风险、开发具有针对性的金融产品和服务，金融机构在开展普惠金融业务时需要整合多源数据，潜在的数据滥用和泄漏风险成为主要障碍，直接隐患是用户资金安全受到威胁。从实践来看，隐私计算能够确保数据流通的可控与可追溯，支撑金融交易的真实与合规，同时为金融数据的接入、存储、分析和共享提供安全高效的可信数据空间，既能够减少因数据泄露损害机构信誉的可能性，又可以在安全前提下促进共享合作，提高金融市场服务普惠金融的能力。通过赋权和规范，金融数据安全实现了技术治理手段和方法的法治化，而技术治理也要在法律治理的框架下展开，避免技术风险和技术滥用。

另一方面，普惠金融能优化金融安全的监管逻辑。普惠金融是金融业态的发展导向，过度的金融安全规制可能会阻碍普惠金融发展，这要求监管者在金融安全与发展两种价值取向之间寻求平衡。以我国银行业为例，银行数据规则高度重视风险防范，忽略数据市场价值和共享潜力，客观上阻碍了数字普惠金融的发展。我国应当在金融服务可获得性、金融消费者数据可携权制度、银行数据共享知情同意制度、银行数据中介监管规则方面提出针对性优化方案，兼顾金融安全与发展。数字技术的发展和应用能助力普惠金融发展。比如，区块链、隐私计算等数字技术能保障金融交易的安全性，提升风险防控的准确性，增强金融体系韧性，助力普惠金融发展。

（三）普惠金融拓宽了金融数据治理的应用场景

普惠金融的推进为金融业拓宽金融服务覆盖面提供了更多元的需求场景，成为金融数据治理持续优化升级的强大驱动力，小微企业、农民、城镇低收入人群是普惠金融的重点服务对象。在为小微企业提供金融服务的过程中，由于财务数据透明度较低、信用记录不完善等问题，金融机构需要更全面、更精准的金融数据以评估风险、提供服务。为保障金融数据安全，金融数据治理在加密存储、访问控制等方面不断升级，通过区块链、隐私计算等数字技术对源于小微企业的金融数据进行加密存储，确保数据的不可篡改性，在不泄露原始数据的前提下实现金融数据的联合分析与利用。该举措不仅保障了金融数据的安全，更降低了金融机构的信用风险。为了满足农民的金融服务需求，金融机构需要收集和利用大量与农业生产、农民生活相关的数据，如土地面积、农作物产量、家庭收支等。农民在获取金融服务的过程中，面临网络基础设施薄弱、数据安全意识淡薄等问题。为保障金融数据安全，金融数据治理采用数据本地化存储的方式，建立农村金融数据共享平台，减少数据传输过程中的风险。这不仅提高了农村金融服务的效率，更有助于缩小城乡金融差距，减少金融排斥，增强金融体系韧性。

随着普惠金融业务的拓展，金融数据的规模呈现指数级增长，金融数据的多样性和复杂性也不断增加，传统监管方式难以满足数字时代的监管需求。数字技术对金融发展产生赋能作用，通过金融工具、金融机构和金融资本数字化机制扩展了金融活动空间，降低了数字金融行为成本、产生了全社会性质的金融数据网络，金融数据治理的应用场景日趋广泛、多元。2008年金融危机后，为了降低金融机构的合规成本，监管科技（RegTech）应运而生。凭借云计算、大数据、AI、区块链等技术，监管科技能够自动生成监管报告，降低交易成本，增强金融反欺诈和反洗钱能力，回应前端场景的治理需求。其中，金融科技“监管沙盒”是监管机构探索运用监管科技的典型实践。2015年，英国金融行为监管局（Financial Conduct Authority, FCA）初次应用“监管沙盒”这一新型工具，该工具的设计初衷便包含对普惠金融场景治理需求的响应，将金融科技创新、金融风险防范、金融消费者保护、信息披露等作为开展“监管沙盒”测试的条件，确保监管措施不阻碍金融科技的创新步伐。《北京市促进金融科技发展规划（2018年-2022年）》提出，探索推动以“监管沙盒”为核心的金融科技监管创新试点落地。2020年1月，中国人民银行印发《金融科技发展规划（2022-2025年）》，要求“发挥好试点对全局性转型升级的示范、突破、带头作用”、“全面提升金融数字化转型广度与深度”。通过“监管沙盒”，金融机构可以实时跟踪普惠金融业务的运行情况，收集海量金融数据，利用大数据、区块链等数字技术挖掘和分析金融数据，及时发现、提前预警可能出现的金融风险。这些技术不仅提升了监管效能，还为金融创新提供了合理的监管框架，进而确保金融创新处于安全轨道上。

四、金融数据安全的平衡发展进路

数字时代，传统普惠金融正迭代升级为数字普惠金融。《2016数字普惠金融白皮书》认为，“大数据、云计算以及移动互联网等数字技术应用到普惠金融领域，能显著提升普惠金融的获得性，有效扩大金融服务的覆盖面。”2024年12月20日财新智库等发布的《中国数字普惠金融发展报告》则指出，“数字普惠金融作为数字技术驱动的普惠金融新模式，具有共享、便捷、低成本、低门槛等特点，与传统金融服务形成有机互补。”然而，数字普惠金融的快速发展也面临监管适配不足、数据流动规制模糊、技术赋能不充分等现实挑战，亟需通过国际经验借鉴、监管创新与技术生态建构破解难题，探索金融数据监管的平衡之术与改进方向。

（一）域外制度实践借鉴

数字普惠金融的发展并非孤立实践，而是全球金融转型的共同趋势。中国当前面临的数据共享与隐私保护平衡、中小机构数据获取难、跨主体协同效率低等核心问题，美欧等数字金融发达经济体已通过制度探索形成初步解决方案。作为数字普惠金融与金融数据治理的领先法域，美欧在市场准入规则、数据开放机制、数据共享生态、风险防控工具等方面的落地实践，为我国将“挑战”转化为“监管创新突破点”提供了具象参考。

美国重视普惠金融发展。随着全球金融市场的兴起，美国实行金融宽松政策。过度授信和同业挤兑使银行从事大量高风险信贷业务，打包销售不含抵押物的贷款和以上述贷款为担保的证券，导致2008年次贷危机爆发。为了在进一步保障金融活动安全性的同时促进金融业务发展，美国优化了金融货币和数据流通监管，修改完善以银行法为代表的金融法律和金融资管制度。例如，《多德-弗兰克华尔街改革与消费者保护法》要求金融机构以结构化、机器可读格式的方式为消费者提供数据，提升银行数据共享便捷性。2016年12月，美国货币监理署发布《探讨向金融科技公司发放特殊目的国家银行牌照》，宣布降低“非银机构进入金融服务业的竞争壁垒”，为金融科技公司从事部分银行业务提供了制度便利。爱荷华州制定了有利于消费者权益保护的汇款转移支付规则，试图加强移动货币转移支付的透明度。商业银行创设公私合伙一般账户项目，为更多消费者接触银行通用账户提供便利。

美联储还主导对美国金融体系的金融能力测量和综合压力测试。具体而言，综合压力测试主要针对境内大型银行控股公司与外国银行机构中间控股公司，以评估资本充足性、资本规划过程为测量手段，测试结果可供公司参考，可期优化股息支付、股票回购、兼并收购等资本规划行为。这种测试在定性层面包括风险管理、内部控制和公司治理，在定量层面就未来九个季度的资本表现和资本率等数据进行参数和模型预测。在进行压力测试的同时，美联储也收集关键金融机构的资产负债数据，建立金融全行业数据标准，可供在促进公司数据治理的同时分析研判金融监管从宏观到微观的传递机制。

近期，美国推动金融普惠的典型手段是替代数据的应用，即通过借贷信息以外的非传统征信数据的使用打破“安全至上”的排斥性。美国金融系统信用评估机制正面临转型，移动银行和机器学习技术促进了替代数据获取、银行信贷能力优化、贷款业务范围扩大。公司通过电子商务平台从事借贷、保险和储蓄业务，平台的数据获取和分析能力有助于为更多新用户提供信用评分，从而便于商家了解个人支付能力和消费意愿。替代数据和美国金融业务、金融监管机构的结合为普惠金融的发展提供了新的契机。美国是较早以自愿、去监管模式开展银行数据共享业务的法域之一。为了构建具有互操作性的金融数据共享生态，美国早在2018年就成立了金融数据交易所，银行、金融科技公司和数据服务商自发参与其中，构建银行数据共享标准。

欧盟在普惠金融层面也有新进展。欧洲传统金融数据规则存在保护数据主权的倾向，这导致大型银行垄断客户数据，中小机构难以充分获得数据，开展普惠金融业务存在障碍。2018年初，欧盟颁布《支付服务指令修正案》（Payment Services Directive, PSD2），采取要求银行向非银行机构开放账户访问的数据监管模式，金融机构负有向第三方服务提供商开放数据访问的义务。以提供支付启动服务和账户信息服务为必要，第三方服务提供商能够访问账户信息。承袭20世纪90年代意大利、比利时、德国等国家“向小型银行和第三方机构公开账户信息”的数据规范，这些规定促进了金融数据的流通和共享，进一步推动了金融服务业的开放度和竞争力。PSD2还要求金融机构具备强身份验证措施、赋予消费者投诉权利并完善数据隐私泄露的事后处理机制。

欧盟早在2020年就考虑建立欧洲数字金融平台，增强金融数据在监管部门和市场主体之间的交互。欧盟进一步明确了个人数据权利的具体应用场景。2022年《数字市场法》（Digital Markets Act）将大型数字平台界定为数字“看门人”，严格监管数字“看门人”垄断数据市场、排除限制竞争、危害消费者利益的行为。在欧盟理事会2023年通过的《关于公平访问和使用数据的统一规则的条例》（The Regulation on Harmonised Rules on Fair Access to and Use of Data）中，欧盟排除了联网产品的“数据库特别权利”，使数据持有者无法对联网产品行使专有权和绝对控制权。欧盟还设立了中小微企业数据提供义务豁免制度以及显失公平合同清理制度，以切实提高金融数据普惠程度。欧盟2023年6月公布的《金融数据访问框架》明确消费者和中小企业可授予第三方机构访问银行的权利，扩大银行数据共享范围，从支付账户数据扩大到金融客户数据。

欧盟对境内中小微企业提供专项金融支持，实现了普惠金融的制度配套。早在1957年《欧洲共同体条约》（Treaty Establishing the European Community）出台时，其第157条就规定了欧共体和各成员国负有鼓励中小企业创新发展的普遍义务。21世纪，欧盟先后通过了2000年《欧洲小企业宪章》（European Charter for Small Enterprises）、2006年“欧盟扶持中小企业”系列政策和2008年《欧洲小企业法案》（Small Business Act for Europe），提出完善欧盟内部市场法规一致性、提高金融自由流动水平，为中小微企业提供专项资助、结构基金资助、金融工具和中小企业国际化资助等4类资助机制，确立扶持中小微企业的10项基本原则。在数字化转型趋势下，作为金融支持中小企业的核心机构，欧洲商业银行改进了银政合作和银银合作机制，引入一系列供给普惠金融制度的金融科技。例如，“数字鞋盒”（Digital Shoebox）App能帮助中小企业扫描存储、自动分析、数字化管理收据账单，完成收入支出流水做账和平台转账操作。西班牙桑坦德银行、大众银行等主要金融机构推出“1|2|3”专业服务，客户能通过该项服务定制数字产品，实现金融服务多样化。亚马逊网络服务开发的云计算环境也被逐步应用于欧盟数字普惠场景。

欧盟还以数字货币为监管对象和监管载体，加强对数字经济支付交易模式的管控。欧盟以《电子货币指令》（E-Money Directive）和《支付服务指令》（Payment Services Directive）为核心监管法规，要求发行机构满足电子货币开展、审慎监管、发行与赎回的全流程合规要求。非支付型加密资产则可能适用金融工具监管规定，受到《招股说明书指令》（Prospectus Directive）、《透明度指令》（Transparency Directive）、《金融工具市场指令》（Markets in Financial Instruments Directive）等金融监管指令的约束。在这一过程中，欧盟综合考量了金融稳定、数据隐私保护和普惠金融需求等监管原则，梳理了约束数据提供商、使用者和金融数据流转过程的有效规定。

欧盟是数字监管的领先法域，形成了“布鲁塞尔效应”，跨国公司、外国平台公司和外国政府不得不寻求合规或进行效仿。但是，欧盟的数字监管已经带来了合规成本过高的问题，欧盟成员国和欧盟企业都意识到数字监管规则已经制约了欧盟数据市场和欧盟企业的发展。鉴于此，欧盟于2025年11月19日发布多项数字综合改革提案，启动了一揽子数字监管制度改革，涵盖人工智能监管、数据使用规则、数字身份认证等方面，目的是简化合规，提升欧盟的数字竞争力。欧盟数字监管的这一动向更说明数字监管需要平衡不同价值目标，通过制度性松绑，激活数字市场。比如，提案修订了数据主体权利请求的滥用防范、直接收集场景下隐私通知义务的豁免、数据泄露通报机制、自动化决策规则等。

（二）本土规制逻辑的优化平衡

在借鉴域外经验的基础上，结合中国的制度语境与数字普惠金融的发展阶段，监管者可以优化金融数据监管的核心逻辑，重点破解“数据流动与安全”“创新与风险”“垄断与普惠”三对矛盾，进而形成适配本土的规则体系。

美欧等经济体的制度探索，正在从金融数据集中模式向以联合存储和分析为主的模式转变，这为我国的规则优化提供了直接参照，核心启示集中在监管模式与数据流动两大维度。

对金融机构、科技公司等利益攸关者实施灵活管制是促进金融创新的新思路。

英国较早推出《数字经济战略（2015-2018）》《英国数字战略（2017）》《国家数据战略（2020）》，推进英国数字化转型，允许乃至鼓励科技公司在2018年脱欧后的工业数字化战略中起到带头作用。美国早在1996年就出台了《正派通信法案》（Communications Decency Act），该法案第230条明确科技公司就其在互联网上发表的内容有豁免权。全球范围内，对加密金融存在三种监管方法，构成监管竞争。第一种是以美国证券交易委员会（Securities and Exchange Commission, SEC）所采取的方法为代表的“霸权主义”或“连贯主义”方法，即试图“将现有的法律延伸并应用于创新产品”，不进行制度上的重大调整。SEC对首次代币发行（Initial Coin Offering, ICO）的态度即具有这种特征。SEC试图将代币纳入证券“投资合同”类目，沿用现行制度进行监管。第二种是自律监管方法，即监管机构“不扩大监管范围，避免将加密资产纳入其监管”。英国金融行为监管局、新加坡金融管理局采用这种监管模式，避免直接划定监管范围，其实质上是一种促进代币交易的“隐性许可”。第三种是以马耳他《虚拟金融资产法》为代表的授权制度。这种监管模式不仅允许代币交易、推动代币交易合法化，还为ICO等交易事项定制法律规范，制度性促进加密货币、实用性货币、证券代币、ICO门户网站、数字资产交易所等数字金融业态的发展。三种模式在国际金融监管领域展开竞争，呈现出从“霸权主义”到自律监管再到授权模式的转型。金融监管的宽松化和制度“竞次”属性（“要么不设标准，要么与适用于传统金融经济的标准相比降低标准”）正成为趋势。

在数据流动层面，美国和欧盟探索出“积极赋权”与“消极宽松”两种有效路径。从促进金融数据流动、鼓励金融交易的角度来看，从宽监管、灵活规制更有利于金融数据市场的发展繁荣。美国和欧盟在数据隐私保护实践中引入了积极促进金融数据流动的规则。个人隐私被视为一种数据财产权。在自身数据得不到保护的情况下，公司将不愿与其他市场参与者共享数据，其更可能保留自己拥有和控制的数据，且最初收集数据的可能性也更低。在功利主义视角下，对数据进行赋权保护是为了更好地发展经济、激励创新。早在2016年《通用数据保护条例》（General Data Protection Regulation,GDPR）出台之前，欧盟内部就有制定统一数据保护法律的声音，区块链社区也可以建立完备的数据保护规则，以满足欧盟数字经济的需求。通过取得个人信息“所有权”，数据主体能够从信息公开制度中获得更多的经济补偿，还会因每次信息披露预期带来的隐私成本而获益。这种信息交换带来的经济增量也是数字经济活力的重要组成部分。美国《开放政府数据法》强调公共数据资源的免费开放，联邦政府负有开放公共数据的义务。欧盟《公共数据数字化公开决议》和“开放数据战略”也有类似规定，公共数据要向社会免费公开。这些规定有利于公共数据市场价值的释放和发挥。

美国和欧盟也存在以消极、反面立法形式起到促进金融数据流动、鼓励金融交易效果的领域。相较于积极促进规则，消极促进规则着眼于放宽数据监管，以期起到同鼓励交易规则类似的效果。欧盟GDPR规定了“数据被遗忘权”（Data Right to be Forgotten），数据主体据之有权要求控制者履行删除数据主体个人信息的义务。美国法律并未明文规定被遗忘权。“美国隐私法是一套拼凑而成的法律体系，对个人资料收集几乎没有任何限制”。在GDPR出台的同期，美国法在数据隐私保护方面存在空白地带，仅有2018年《加州消费者隐私法》（California Consumer Privacy Act,CCPA）对消费者隐私权利作了部分规定。一旦数据信息超出国内法和国际条约有关规定的管辖范围，相关主体将在事实上不再享有数据隐私保护。同时，由于GDPR或CCPA仅保护个人数据隐私，非个人数据隐私未能得到即时针对性监管，只能依赖各地民商法和知识产权法中的相关条款获得保护。这种立法层面的宽泛性为企业金融交易提供了空间。总体而言，在数据隐私保护层面，美国和欧盟等都展开了制度探索。中国《数据安全法》初创数据评估、报告、信息共享、监控和预警的国家系统机制。《全球数据安全倡议》提出全球数字治理应遵循多边主义、安全与发展、公平与正义三大原则。法国是首个对关键基础设施运营商施加新的网络安全规则的西方国家。英国建立了跨部门信息共享的政府知识网络系统，在央地垂直管理模式下协调、管理、收集并发布国家数据。新加坡则试图实现数据信息处理一站式服务。在上述治理经验基础上，学界开始探索新型治理机制和治理模式。例如，有学者提出可以在金融法和数据法领域已有的安全港制度［如2000年美欧跨境数据流动《安全港协议》（Safe Harbor）、2016年《隐私盾协议》（EU-US Privacy Shield）和2022年《跨大西洋数据隐私框架》（Trans-Atlantic Data Privacy Framework）相关条款］的基础上，采用各方分担风险的“比例分成型”安全港机制，建立多元主体准入和全过程评估制度，最终实现对金融数据的技术治理。又如，针对金融数据的公法和私法双重维度、数据和信息双重内容、管理和控制双重目标，实施分级、分类、分层治理制度，形成协调金融监管和数据治理、法律治理和技术治理的制度框架，使金融数据治理体系更趋清晰合理。金融数据规制不再依赖严格的限制性制度规范，而是在促进金融发展、鼓励金融活动需求的倒逼下日趋宽严相济、灵活细腻、有针对性。

针对“创新与风险”矛盾，我国应坚持“包容审慎”的灵活监管。金融创新应服务于金融消费者，利益攸关者应注意合规和消费者保护，通过包容性、自治性监管模式实现自我监管，最终使国家和市场可以相互赋能，协同发展。针对“数据流动与安全”矛盾，可构建“赋权+划界”的双重机制。在《个人信息保护法》“最小必要原则”基础上，借鉴美欧“数据财产权”理念，明确数据主体的知情、收益、删除等权利，消除数据共享顾虑；同时对个人敏感金融数据严格监管，对非个人数据简化规制，实现 “流动有保障、安全有底线”。针对“垄断与普惠”矛盾，应强化“反垄+扶持”的平衡导向，借鉴欧盟《数字市场法》对 “看门人”的监管经验，明确大型金融机构与科技平台的数据开放义务，确立中小微企业数据提供豁免制度，避免数据垄断加剧金融排斥，保障普惠金融的结构性平衡。

（三）AI赋能金融数据生态系统建构

技术是将“规制逻辑”转化为“实践效果”的核心载体，尤其是AI技术的广泛应用，能为金融数据监管创新提供“效率提升+风险防控+普惠赋能”的多重价值，构建适配数字普惠金融的技术生态。在以AI、机器学习方法为主的金融科技2.0时代，财务数据和非财务数据集合的“替代数据”给数据治理带来了新的命题。“替代数据”固然可以让金融服务更加自动化和个性化，但是也削弱了消费者和监管者对个人数据的控制能力，甚至让信贷市场的少数群体边缘化从而成为数字剥削对象。技术治理借助新技术的开发和采用来应对数据领域的挑战、减少监管压力。这也呼应金融数据网络化、扁平化、多中心化、分散化的特点，体现金融数据风险治理的技术性和系统性内核，适配数据民主化趋势。

AI技术在金融领域的应用场景广泛，AI赋能数字金融机制有广阔的应用空间。对AI技术的合理引导与科学监管有助于促进金融业务的发展。AI技术能完成批量资料整理、案件要素提取等工作，具有自主分析和提供方案能力，可以大幅度提升司法机关处理金融交易类案件的能力。智能合约可以保障法院对金融数据的有效管理，准确识别逾期、违约混合型不良贷款的处置问题。数字金融转型的一大支柱是数据的大规模使用，AI具有数据收集、处理和分析能力，能够深度介入金融活动，具有“没有人类偏见”的数据处理效能。为了使AI对金融服务发挥更为积极、正面的作用，各地金融监管部门纷纷采取技术治理措施。欧洲监管机构于2018年出台了关于大数据的最终报告，提出以既有“数据保护、网络安全和消费者保护立法”规制大数据风险，鼓励欧盟主体开展“定期监控的稳健流程、透明的消费者补偿机制”等数据实践。新加坡金融管理局于2018年提出新的公平、道德、问责和透明度原则（FEAT），以指导对AI金融数据分析的合理、负责任使用。荷兰央行于2019年发布了包含健全性、问责制及FEAT四大原则在内的SAFEAT原则，进一步细化指导原则。中国香港金融管理局等也制定了隐私治理框架或消费者保护原则。总之，在治理层面，AI技术尤其是生成式AI技术能够赋能金融数据治理，在实践中形成技术风险防控、法律权责配置、市场协同调解和伦理治理嵌入的多元价值复合型治理结构。AI不仅有助于满足数字经济对金融效率的要求，还能够通过与应用场景的密切结合节省监管资源，进而将技术治理和金融治理两重架构整合为AI金融治理规范，提升治理效能。

2024年4月举行的全国数据工作会议指出，“提升数据资源开发利用水平。发挥公共数据资源开发利用的示范效应，持续探索企业数据、个人数据开发利用新路径，全力推动‘数据要素×’行动，着力繁荣数据开发利用生态。”“数据要素×”或“数字技术＋”模式是数字时代普惠金融的有力保障。“数据要素×”是指能在经济金融活动中发挥重要作用的数字资产、数据产品和数据资本，其具有“技术-经济”特征，能够起到业务协同优化、决策复用增效、产品融合创新等功能。“数据要素×金融服务”能够优化金融基础设施、搭建金融决策与风控模型、供给高质量金融数据产品。“数字技术＋”则是指科技金融具有全方位多方面优化产业结构的作用。例如，“数字技术＋货币”机制可以开发数字货币和虚拟资产、加快流通速率，“数字技术＋信用”机制可以借助区块链等技术提供征信便利、提升融资效能，“数字技术＋风控”机制可以促进货币回流、抑制金融结构性风险，“数字技术＋普惠”机制则可以为普惠金融营造创新生态、优化资源配置。“数据要素×”或“数字技术＋”对数字社会的影响深刻而长远，对普惠金融和金融数据安全需求作出了建设性回应，值得数字经济制度设计者和规则开发者充分重视。

法律科技平台为各方提供高效的线上磋商渠道，加速数据移转、合约缔结和交易达成过程。法律科技公司还能开发“执行计算机编程任务的工作流逻辑”，“参与数据库存储操作”，通过与外部数据和软件系统的连接存储、运行金融数据代码的元软件（Metasoftware）技术，在金融贷款相关主体间分享DLT记载信息、根据银行和法院的需求定制服务类目，以“全流程记录、全节点见证、全链路可信、全方位协同和全过程提效”的方式充分利用金融数据，打造兼顾经济利益、法律价值和监管功能的金融数据社会治理网络。

结  语

2022年，中国人民银行发布的《金融科技发展规划（2022-2025年）》和原银保监会发布的《关于银行业保险业数字化转型的指导意见》都强调金融机构数字化转型和技术驱动的金融创新。金融监管也要实现数字化和技术驱动。监管科技能够利用大数据、AI、区块链、智能合约等技术和算法确保法律服务专业化、自动化、智能化，提高金融合规性，鼓励金融活动。在我国金融个人贷款和征信领域，监管科技已被广泛应用于金融科技治理。例如，区块链技术可增强放贷过程的透明度和可追溯性、提高贷款审查准确性和可靠性。数字化智能程序能够简化贷款申请程序、确保贷款人知悉交易细节。区块链技术能够应用于信息中介和资料共享平台，建立基于非对称密码技术、共识机制和去中心化治理的征信服务媒介。该媒介在保证信息真实有效的同时，能够降低信息泄露或被窃取风险，强化个人数据隐私保护，便利中小企业融资，促进金融数据流动。

在数字金融不断发展的当下，国际上的金融数据监管平衡主要存在以下路径。一是监管者采取“监管沙盒”、“边试边学”方法、特殊章程等手段维持对新业态的关注。二是监管侧重于加强竞争，如国际证监会组织第18条关于获取关键基础设施供应商服务的相关原则、美国《萨班斯-奥克斯利法案》（Sarbanes-Oxley Act）的审计要求等。三是监管机构通过监管委托等安排进行适度干预，如英国金融服务管理局的代码审查制度。四是完善金融基础设施，设立金融数据流通交易平台或者改善其运行。有些监管机构要求公共机构通过持有平台部分或全部“所有权”的方式来管理数据信息，将金融平台作为公用事业加以监管，比如美国《多德-弗兰克法案》第8章有关金融市场公用事业的规定。美国、英国、新加坡等国家通过开放银行构建特定应用程序和服务的商业模式，促使银行与第三方开发者共享、利用客户授权的数据。这些制度选项为我国促进金融数据的市场化利用、金融平台发展、跟进有利于消费者权益保障的普惠金融监管提供了参考和借鉴，有助于实现金融发展和金融安全的平衡。