银行监管数据跨境流动规则的博弈与合作

■ 张旭光

（西北政法大学 陕西西安 710063）

互联网、大数据、区块链等数字信息技术的发展，推动了银行业及其监管的数字化转型，数据也成为这一行业的关键性生产要素。在新冠肺炎疫情、地缘冲突等因素叠加影响下，银行机构在跨境数据传输过程中不仅要受到本国监管，还面临着东道国基于业务需求、国家安全、反垄断、反洗钱的监管。完善本国银行业监管数据跨境流动规则，在多边合作框架下建立起国家间银行监管数据交换与分享机制，实现跨国银行数据双边合规、监管当局透明合作、银行数据自由流动三者之间的平衡，具有重要的理论与现实意义。

一、银行监管数据跨境流动的理论前提

（一）数据及相关概念的界定

研究和制定银行监管信息跨境流动的规则，首先必须厘清“信息”“数据”与“银行监管信息”等术语的基本含义和范畴。从理论上来看，数据是指对客观事物的符号表示，是用于表示客观事物的原始素材，如图形、符号、数字、字母等。它不仅包括传统媒介上数据内容的数字化呈现，还包括数字信息系统直接产生的数据元素。信息是一种经过加工、分析和整合的特定化数据。数据是信息的来源和动力，信息是数据加工后系统化的产物。数据既包括原始的数据，也包括加工和处理后形成的信息，数据监管比信息监管范围更大。在实际运用过程中，信息与数据区分并不严格。数据的传播、分享和处理呈现出“多流程、交互式”特征。由于信息的递归现象，对于某些主体是有意义的信息，对另一些主体则是没有直接利用价值的数据，用户需要对数据再加工才能成为对他们有用的信息。在大多数情况下，“数据”和“信息”是可以相互替代的一对概念。

随着我国金融业尤其是银行业的逐渐发展壮大，涉及的跨境业务管理和信息数据交流极为频繁，银行机构在业务流程中收集、使用、处理和传输了大量金融数据，很多都是涉及国家金融安全和个人隐私的，在跨境传输中泄露和被违法使用的风险很大，金融数据也就成为银行监管的重点对象。银行机构日常业务中不仅要收集个人的身份、信用等金融数据，还要处理企业以及自身业务经营中产生的机构数据，所以从广义上来讲，监管当局需要对“银行境内外处理、使用和传输”上述几类金融数据进行监管。其中最值得关注的应是个人在银行的金融数据，因为这不仅关乎个人的隐私权，还关系到一国金融市场的消费者的“投资画像”和市场稳定。如果消费者投资情绪不稳定，造成群体非理性事件，对我国这种高储蓄率、高贷款率的国家来讲，银行业发生系统性金融风险的概率也将提高。

（二）厘清银行监管数据的范围

厘清银行监管数据及跨境流动的各种途径，完善银行等金融数据的分级分类制度，有助于制定有针对性的监管方案，实现有效监管目标。

就银行监管数据来讲，既包括各类银行机构在经营中所产生和收集的相关数据，还包括各国银行业监管机构所掌握的金融数据。一是银行机构的金融数据。各国目前基本认同以数据内容为标准的分类方式，即银行机构数据主要包括个人身份信息、交易信息、信用信息和其他衍生信息。个人身份信息即有关个人的姓名、性别、身份证号、职业、联系方式等区分与寻找特定个体的信息，这些信息事关个人隐私保护，一旦泄露或者滥用，会违反一国个人信息和数据安全等法律法规。个人的交易信息主要是银行在办理对私业务时所收集、使用和处理的数据。这两种基本信息对银行日常业务的开展十分重要。欧盟《通用数据保护条例》（以下简称GDPR）和美国的《格雷姆-里奇-比利雷法案》（以下简称GLB 法案）都允许集团向第三方提供这两种个人信息。而我国《银行业金融机构反洗钱和反恐怖融资管理办法》第28条以例外规定禁止了相关数据的跨境提供。至于信用信息，则是对个人偿还信贷能力的一个评价，美国2003年《公平和准确信贷交易法》（以下简称FACTA）规定，限制使用与个人信誉、信用状况、一般信誉、个人特征或决定性信用、雇佣或保险资格相关的信息。我国于2013年颁布的《征信业管理条例》规定，中国公民的所有征信信息都须在境内处理和存储。二是银行监管机构的有关数据。其主要是指各国央行和银行监管机构所获取的关键信息，如各国央行的货币、信贷、征信、汇率、衍生品及反洗钱等宏、微观统计和监管数据，各国银行监管机构的统计和披露信息、资产状况、监管评级、机构治理和风险预警等监管数据。监管当局的上述信息事关国家安全、公共利益、个人隐私，对预警和处置金融风险，维护一国乃至国际金融市场稳定具有重要作用。次贷危机以后，国际金融监管趋紧，各国都开始意识到微观个体监管模式的弊端，转而更加注重本国金融业宏观审慎的系统性监管模式。与此同时，开始加强国际金融监管协调与合作，通过信息交换与共享，及时预警和处置相关风险，保持全球金融业稳定。后疫情时期，金融业全面进行数字化转型，倒逼监管机构改革，建立行业内风险预警和监管系统及数据处理中心，由此产生了大量的监管信息。巴塞尔委员会指出，各国银行监管当局应加强合作，完善本国银行监管部门、母国与东道国监管机构之间的合作机制，实现国内、国际银行业安全、稳健、透明与可持续发展目标。

（三）银行监管数据跨境流动的必要性

经济合作与发展组织（OECD）1980年发布《关于隐私保护与个人数据国际流动的指针的建议书》，将“数据跨境流动”定义为“点到点的跨越国家、政治疆界的数字化数据传递”，并提出了国内、国际跨境数据流通所适用的原则，大多数国家将其纳入本国相关法律法规中。

一是维护国家安全的现实需要。数据作为数字经济时代的关键生产要素，不仅事关发展要素变革、经济效率提升和治理，还涉及到国际秘密、军事安全等关键信息，事关一国的稳定和安全大局，各国监管机构基本都会实施严格的禁止、限制条件，以维护数据和网络主权。美国一方面坚定支持数据跨境自由流动并将大量本国数据规则上传至国际层面，另一方面，在军事、科技、重要金融业实施“双重标准”，既严格要求本国相关数据本地化并禁止跨境传输，又以国家安全、反洗钱和反垄断等借口强行要求外国机构及其境外分支机构提供相关数据。欧盟也制定了一套严格、审慎的跨境数据流动监管法规。为进一步控制数据流动风险，欧盟正在完善其金融数据分类分级和监管标准。我国近两年修订、实施了诸多法律法规，以加强对个人金融信息的使用、流动和保护。

二是保护个人信息的内在要求。大多数国家的宪法和民法都规定了个人隐私和通信自由权，个人信息（数据）保护法和消费者权益保护法又规定了个人的相关权利。数字时代银行在办理个人业务时，会获取诸多个人信息，既包括基本身份信息和交易信息，也包括个人资信和财务状况的信用信息，这些信息不仅有利于银行把握客户群体走向、控制业务风险，还能在大数据分析基础上形成“群体画像”，进而针对不同群体进行智能投顾，达到精准金融服务和业务拓展的双重目标。个人信息自身的“敏感、保密、易受侵害、不易维权”的特征，要求个人要有积极维护权利的意识，还要求机构数据控制者要严格遵守收集、使用、处理和传输个人信息的法定义务。

三是为了满足各国银行监管的需要。数字信息技术的出现，为互联网经济向数字经济转型提供了动力和方向，庞大的数字经济体量所产生的量级数据，对各个监管部门都提出了新的挑战。一方面，银行机构收集了大量个人信息并予以存储和使用，有关监管机构该如何对这些数据进行界定、分类分级，制定何种监管法规才能有助于合法合理的收集、使用、处理、交易和流动这类数据，以及如何实现数据保护与数据价值最大化的平衡，成为监管改革的重点。另一方面，按照巴塞尔委员会《核心原则评价方法》规定，为促进国际银行业监管安全、稳定、透明和独立，各国银行监管机构有必要建立国内部门间的合作与信息共享机制，构建与各国银行监管机构合作、信息交换、分享、保密的双边安排，确保国家间银行监管信息畅通、风险透明，为国际银行业风险防范与健康发展营造稳定环境。

四是国际银行业发展的内在要求。国家间贸易往来日益密切，商业银行分支机构遍布全球各地，大型跨国银行机构基于业务和发展的需求，往往需要跨国传输相关金融数据。主要表现为以下几种情况：一是集团总部基于内部管理和业务需求，需要对其全球业务等相关数据进行整合和管理。如果属于日常业务交流中的商业性、非敏感信息，在符合监管当局的各项要求，并且母公司与分支机构有数据传输协议时，监管当局应当允许。二是基于金融集团财务审计的并表需要，各金融机构往往会按年或特定目的进行审计报告，这对银行机构经营、国家监管都至关重要，国际上对此类数据传输持不同的态度。有些对总部集团和第三方机构附以相同的传输条件，有些对第三方机构提出更为严格的监管要求，有些严格禁止向第三方机构提供金融数据。

二、各国银行监管数据跨境流动规则的博弈与合作

由于经济体量、发展模式和水平的不同，各经济体采用了不同的监管模式，制定了特色鲜明的数据跨境流动监管法规和制度。欧盟对数据收集、使用和传输持极为严格的监管态度，而美国倡导在合法合规基础下的数据流动和共享。我国则居于二者之间。近年来，发达经济体、发展中国家通过数据监管和司法主权在利益让渡中进行博弈，制定了大量本地区的数据监管规则，并进行广泛推广，值得我国借鉴和学习。

（一）欧盟的“统一立法”模式

银行业作为金融数据控制者中最有代表性的金融行业，其全球化经营的特征也最为明显，因此本文试图通过分析欧盟对银行跨境传输金融数据的有关规定，来探究欧盟模式下规制金融数据跨境流动的立场与逻辑。

欧盟长期以来都将“人权和隐私保护”作为其数据立法的重点。在相关法规没有出台前，各种原则性规定充当着保护个人信息权利的最高准则。例如《欧洲人权公约》第8条规定了个人隐私和通信自由，不受非法侵害的权利。1981年欧洲理事会通过了《关于自动处理的个人数据保护公约》，成为全球有关数据保护的第一份具有国际约束力的国际法律文书，比较全面地规定了数据流动的基本原则、跨境流动的特殊规定和国际协调机制。1995年欧盟委员会通过了95/46/EC指令，进一步促进了个人隐私保护与成员国数据的自由流动。2016年的《通用数据保护条例（GDPR）》基本替代了95/46/EC指令，增加了个人数据权利，对个人数据做了更为细致的分类和分级，提出了比较系统的跨境数据流动条件和程序。为了统一监管，欧盟设立了欧盟数据保护委员会（以下称EDPB）来解决成员国范围内的数据传输和监管争议。欧盟《支付服务指令II》其中第94条明确规定，支付机构获取和传输个人支付数据时必须以95/46/EC指令为依据，且需获得个人的明确同意和授权。

（二）美国的“分散立法”模式

与欧盟不同，美国采用“分行业、分层级”的立法模式，联邦在各细分行业法案中规定了专门的数据和隐私保护条款，各州也会根据本州实际情况制定一些综合性或专门性的隐私数据保护法规。其中涉及银行等金融数据的相关法规主要包括以下几部法案：

1933年的《联邦证券法》规定了公司数据保护与防止泄露的义务，成为金融消费者保护的重要法规之一。《公平信用报告法（2018年修订）》规定了在信用报告机构报告消费者信用信息时需准确及免受错误信息影响的义务。1999年的《金融现代化法案》规定，非经消费者同意不能将非公开的个人信息用于对外共享和营销。2010年的《多德-弗兰克华尔街改革和消费者保护法》禁止对金融消费者实施欺诈和不公平的交易行为，并设立了消费者金融保护局专门进行监管和保护。2018年的《澄清海外合法使用数据法案》规定了域外数据管辖，通过双边协议和司法协助，用户可直接访问外国的电子数据。2019年的《国家安全与个人数据保护法提案》限制本国境内企业和个人数据跨境流向。美国对数据采取了一定的保护措施，但其并不排斥数据跨境流动，反而注重数据经济价值的最大化，为了实现这一目标，美国积极签署诸多双（多）边贸易协定，以《美墨加协定》为例，其禁止数据存储本地化，禁止限制合理范围内的跨境数据传输。

（三）中国的“双轨立法”模式

我国对于跨境数据传输一直持谨慎态度，相关立法明确规定了数据跨境传输及本地化的有关条款。近几年，相关立法也在不断完善，形成了“公法与私法并重”的双轨立法模式，同时辅以行政法规、各行业部门规章及其他的规范性文件。

从上位法来看，我国《数据安全法》第21、31和36条将数据分级分类的具体权限下放至各行业部门，关键设施的数据存储设备须位于我国境内，需要跨境传输的数据必须经过国家有关部门的网络和安全审查。至于基于国际司法协助产生的数据流动请求，我国依照管理会审查双边有无相关条约、协定或者互惠先例。《数据安全法》还强调了相关主体在数据“收集、使用、处理”方面的安全义务及责任。此外，我国《个人信息保护法》详细规定了有关信息收集、使用处理的基本原则、禁止性规定和补救措施。

中国人民银行、银保监会和证监会等部门出台了大量的金融监管规定。如《征信业管理条例》第24条规定了有关境内征信信息本地化存储和加工的基本原则，还提出了有关信息跨境提供时需满足我国法律、行政法规和行业规定的基本要求，即符合必要性、合理性、合法性的要求。《中国人民银行金融消费者权益保护实施办法》明确规定了个人金融信息的范围，即身份信息、财产信息、账户信息、信用信息、交易信息及其他相关信息，第29条要求有关机构在处理相关金融信息时应当遵循上述三个要求，给予消费者相关信息收集、处理和使用的同意和知情权，明确了有关机构收集方式的透明性与合法性限度。

（四）各国银行监管数据跨境流动规则的博弈与合作

1.欧美监管规则的博弈与合作。欧美在参与国际经贸合作的同时，也在积极推行自己的相关规则，争夺国际数据治理话语权。欧盟自GDPR颁布实施以来，一改其严格的数据流动规制，转而积极向全球推广“欧盟模式”，通过GDPR中数据传输的“充分性认定原则”，给加拿大、日本等12个国家以“充分性”认定，为这些经济体在实施同等数据保护水平基础上与欧盟成员国进行跨境数据传输奠定了基础。美国在2011年推出“跨境数据自由流动”模式，并将《跨境隐私规则》《全球跨境隐私规则宣言》成功上传至APEC系统内部，相较于GDPR，其数据保护门槛较低，执行机制更富有弹性，作为推动亚太地区数据流动的区域性制度安排，成为许多国家参与国际数据治理的首选，这对欧洲模式进入亚太地区带来极大的挑战。这两种模式并非完全对立，它们在很多方面都有借鉴和融合。欧盟过去的跨境数据流动规则过于严格，不利于跨境数据流动及其经济价值的发挥，在这一点上GDPR借鉴了美国模式的一些做法。而美国在跨境数据自由流动的基础上也制定了诸多关于个人隐私、国家安全的法规，为有效降低数据跨境流动风险提供保障。欧美通过谈判签署《欧美隐私盾协议》，旨在数据安全的前提下促进两地区数据跨境流动。2020年7月，由于美国有关监视制度不尊重欧盟公民权利，并将其国家利益置于欧盟公民个人利益之上，欧盟法院判决欧美之间签署的“隐私盾”协议无效。所以欧盟和美国的新一轮谈判还需对双方的权利义务进行重大修改。

表1 欧、美、印、中金融数据相关立法比较

2.发展中国家监管规则的博弈与合作。虽然欧美等发达经济体具有国际数据监管规则的主要话语权，但发展中国家数字经济发展潜力足、体量大，后发制度和规则优势明显，能够形成符合自身发展状况的数据法规。由于发展水平不同，数据对不同国家的敏感和重要程度不同，发展中国家之间及与发达国家之间容易产生数据监管冲突。但单就发达经济体的高标准规则而言，其又可成为发展中国家立法的蓝本，有助于减少发展中国家的学习和试错成本。印度近年来先后推出大量有关个人数据保护及数据存储本地化的法规，并呈现“严格限制”的特点。2018年7月，印度监管当局发布了《个人数据保护法提案（2019）》，其在很大程度上借鉴GDPR中有关域外管辖权、敏感个人数据及个人可携带权、被遗忘权的规定。在数据监管方面，印度和欧盟类似，但较欧盟更为严格，这在一定程度上有了与欧盟数据监管当局合作的基础。但是对美国、中国和其他发展中国家而言则意味着更高更严的数据壁垒和合作成本。而且，印度相继缺席APEC、RCEP、CPTPP等区域性贸易协定，不认可有关自由贸易与数据跨境流动的主张，无论是基于国内产业保护还是国家安全、数据安全的考量，都无益于国家间的开放与发展。近两年我国加大了对跨境数据的国家安全和个人隐私等方面的审查，在APEC跨境隐私规则框架下，我国又积极参与了亚太地区国家间“基于可信的数据流通”。

3.各国银行监管当局的博弈与合作。在制定和实施数据流动相关规则时，各国金融监管机构都是基于本国的金融安全和稳定来考量，而要维护全球银行业稳定，避免发生系统性金融风险，则需要各国的共同努力。首先，为保护金融消费者权益和本国的金融安全，各国不得不制定相关金融消费者权益保护、数据安全法和反洗钱等方面的法规。其次，银行机构的跨国经营和国际监管需要使各国监管当局合作和信息共享成为必然，巴塞尔协议对各国银行监管当局提出了基本要求，即要积极推进本国各部门之间合作与信息共享的恰当安排，东道国与母国金融监管当局通过实行信息交换与分享的双（多）边安排，提高国际银行业监管的透明度，从而达到国际金融监管合作与相关数据合规、安全跨境流动的目的。

三、跨境银行监管数据流动与中国的法律因应

作为贸易与经济大国，中国制定本国的数据监管法律法规，积极参与国际规则的制定与国际合作，在维护本国数据主权的基础上，释放数据的内在价值具有重要意义。

（一）统一立法体系，细化相关条款

我国虽有金融数据保护的基本法律和行业法规、规章，但是如何在具体运用中将二者无缝衔接则是关键。第一，银行金融数据分级分类应与上位法保持一致，行业内、企业间也应该保持相关标准的相对一致性，按照《个人金融信息保护技术规范》中有关个人信息分级分类标准，采取不同的跨境传输要求，明确个人数据权利属性，使公民个人维权路径多元化。第二，金融机构在跨境金融数据传输过程中遵守法定义务及完善追责机制，能有效监管数据控制、使用者的行为，保护数据安全。第三，在上位法的指引下，通过具体规则来补充金融机构客户信息和机构数据跨境流动监管细则，实现银行等金融机构数据监管的全覆盖。第四，细化数据跨境流动规则具体条文。我国相关法律法规对个人数据与其跨境传输的规定基本类似，即满足“合法性、合理性、必要性”且不涉及国家安全，经过审查后就可以跨境传输，但我国境内收集的数据必须存储在中国境内。我国现行法律对“合法性”的规定较为详细，“合理性与必要性”方面则需要中国人民银行和银保监会等部门，在考虑用途、目的、传输手段、业务类型、影响程度等要素的基础上制定有针对性的审查标准。最后，明确数据法权属性。我国有关法律规定中并没有明确提出“个人数据权利属性”，不利于个人数据的权利保护。我国可借鉴欧美等国的做法，明确个人数据权利的属性，以便于确定其对应的救济途径，被侵害主体最终应以“人身权”纠纷来维护自身的数据权益，还是以“财产权”纠纷来得到应有的救济。

（二）统一监管主体，明确监管权限

目前，我国数据监管主体呈现“分散式、多层级”的特征，银行数据安全和跨境传输监管的机构众多，既包括国家互联网信息办公室、国家安全领导机构，又包括中国人民银行、银保监会等部门，再加上金融行业本身的分业特点，形成了数据监管主体之间权力交叉、重叠甚至冲突的监管局面。

首先，为实现我国银行业的统一、有序监管，可以在人民银行、银保监会、国家安全和其他有关部门合作的基础上，通过各部门数据权利的让渡，将金融数据权利集中到某个机构统一监管，其他银行业务监管则由原管辖机关负责，由让渡机关负责涉及本部门的监管数据的备案、审核和监督。

一方面各部门之间建立信息共享机制。银行业务数据、机构自身数据以及监管部门的货币政策、宏观微观审慎监管数据需要相互流动和共享才能破除信息不对称，实现监管透明、一体的目标。中国人民银行、银保监会等监管部门之间需要建立数据监管合作与共享的便利化安排，签订相应的共享协议，明确划分各自的权利与义务，按照数据类型和级别采取不同的衡量标准来共享数据。各部门可以在合作的基础上，建立银行监管数据中心，纳入统一监管框架，所涉部门间可以通过相互授权使用数据，银行机构则可以通过申请审查使用相关数据。

（三）回应外国制裁，维护数据主权

作为全球第二大经济体和贸易大国，我国银行分支机构遍布全球，基于业务、母国和东道国的监管要求，其数据跨境传输需求量十分庞大，其中有些是基于正常业务需要，有些是监管当局的要求，这些数据在符合有关法律法规的基础上是可以正常传输的。但是美国以国际政治、安全等理由对我国有关银行机构频频采用不合理的审查手段和制裁措施，严重制约我国银行业国际化经营。2019年，美国对三家中资银行分支机构进行调查，认为三家机构违反了《爱国者法案》，从而直接判决中资银行向其提供本地存储的相关客户数据。这无疑侵害了我国的司法主权、数据主权和企业利益。我国应以《中华人民共和国反洗钱法》《中华人民共和国反外国制裁法》《数据安全法》为支撑积极维护数据主权。首先，要积极回应外国对我国的无端金融制裁和数据强制获取，必要情况下可基于本国法律对外国机构予以同等制裁，但要审慎使用，以防止引发一系列的金融风险。其次，通过金融、外交等官方部门与制裁国当局进行交涉，表明我国立场，必要时可协助调查，坚决维护中方金融机构的合法权益和中国司法主权、数据主权完整与外国监管机构的合作与数据交换安排协议。最后，我国应在放宽外资银行准入，推动中国银行机构在境外设置分支机构的同时，做好国家安全、数据安全审查和反洗钱、反垄断调查，营造宽严相济的金融和跨境数据流动环境。

（四）合规治理，加强风险控制

做好数据合规管理和风险控制，对促进银行高效监管、推动跨境数据合法、合理、必要的流动和抵制外国政府不当制裁具有重要意义。

一是加强数据合规治理。银行作为数据控制者，要遵守国内网络安全、数据安全、个人信息保护、反洗钱等法律法规的相关义务。在此基础上，制定集团内数据分类手册、数据治理合规框架和操作标准，定期开展数据合规审查。在跨国经营和数据传输过程中，做好东道国尽职调查工作，熟悉监管当局关于银行合规经营和数据流动的相关法规，确保数据境内外存储和传输的安全、保密、合法、合规。

二是完善风险控制机制。在合规经营的基础上，银行机构还应做好数据跨境流动的风险预警与控制。要采取适当的技术保证数据存储和使用的安全，在跨境传输过程中要确保其满足“合法、合理、必要和目的正当”的要求，接收方要做好数据保密和处理工作。应做好风险隔离和业务审查，确保境内外业务没有涉及与东道国政治或经济利益冲突的制裁方；如果有，应尽早与本国监管当局沟通，做好风险隔离，必要时应做好被制裁准备，如数据备份、替代性业务、机构转移、风险资金启用，寻求替代性合作机构等。

三是数据跨境要审慎传输。银行数据跨境传输不能有求必应。机构首先应审查其目的和用途是否正当，如果是日常业务需求或是母国监管的需要，则符合母国和东道国的基本条件就可以进行相关传输。如果属于第三方审计机构或东道国监管的要求，则应进行审慎选择，基于第三方审计传输需要母国与东道国的审查，对此应是持附条件准许的态度。对于东道国的监管要求，如果是基于合理审查要求且符合母国相关数据保护法规，则可以分享相关数据。如果是基于制裁或是涉及母国国家安全、个人隐私等关键数据，则可以在拒绝的基础上请求母国相关监管机构出面协商，最终不予传输或通过筛选和脱敏后予以传输。

（五）参与国际合作，构建国际规则

数据作为各国经济发展的关键生产要素，具有不可估量的价值。银行业作为一国战略产业，其数据更关乎国家安全与金融稳定。我国应在学习和借鉴欧美等国数字监管规则的基础上，制定符合本国国情的数据监管法规，积极利用双（多）边平台，倡导国际银行监管数据跨境流动的中国方案。首先，我国可利用巴塞尔协议委员会平台，在“一带一路”倡议下，与沿线国家银行监管当局积极签署双边监管合作谅解备忘录和监管合作协议，细化银行监管数据交换、分享和保密条款。在此基础上，可以试图建立“一带一路”框架下的区域性银行监管合作规则，在符合条件的情形下上传相关规则至国际规则框架之中，形成跨境银行监管数据流动的“区域样板”。其次，各监管当局可以借鉴G20和APEC组织模式，确定正式或非正式会谈形式的区域银行业监管组织框架，在维护本国数据主权和利益的前提下，与各国在银行数据监管和数据流动方面达成共识。最后，我国在RCEP、CPTPP等多边数字贸易协定与双边数字贸易协定的谈判和修订中，应积极维护以中国为代表的发展中国家的利益，在银行监管和相关数据流动条款中体现中国的主张和立场，为包括银行业在内的数字服务业国际化发展奠定基础。