构建数据监管法律制度

数据是金融科技的核心，当前的金融体系已经从“了解你的客户”转变为“了解你的数据”。^[10]2018年5月欧盟《通用数据保护条例》（General Data Protection Regulation，下文简称GDPR）正式生效，尽管该条例属于欧盟条例，保护范围为欧盟境内或欧盟公民的数据和隐私，但是由于人的自由流动和“场地”（location）宽泛的解释，使得GDPR的适用范围获得极大的延伸。2018年7月，欧盟委员会（European Commission）对谷歌公司（Google）开具43亿欧元的反垄断罚单；2018年12月意大利竞争局（Competition Authority）以使用用户数据作为商业目的为由，对脸书（Facebook）处以1000万欧元的罚款。^[11]为避免重蹈脸书和谷歌公司的覆辙，全球凡涉及处理欧盟境内或欧盟公民数据的科技公司不得不研读GDPR的规则，通过“合规”以避免高额的处罚。面对加州的科技巨头因为数据合规问题遭到欧盟的连番处罚，美国加州立法机关通过《加利福尼亚消费者隐私权法案》（The California Consumer Privacy Act，下文简称CCPA），以修正《加利福尼亚民法典》（California Civil Code）第三和第四部分与隐私相关的内容。^[12]为保护居民数据的隐私权，建立数据监管法律制度成为欧美国家的立法趋势。我国在建立健全金融科技监管基本规则体系中，数据监管与隐私保护是其中重要一环。下文对欧盟GDPR和美国CCPA两部数据监管法律进行分析，以对我国建立数据监管法律制度提供一些有益经验。