1、 前言 PREFACE 备受关注的金融数据跨境流动 随着改革开放的不断深入, 中国经济与�����世界经济之间的联系越来越密切, 尤其是2001年中国加入世 界贸易组织后, 中国融入经济全球化的步伐加快, 中国企业与居民与世界各个国家与地区的贸易与 交往日趋频繁, 其从事跨境经济活动所产生的数据往往是跨越国界的。 金融是经济的血脉, 越来越多 的跨境贸易等经济活动随之也带来了对跨境金融的强烈需求。 而提供金融服务的金融机构, 一方面 在提供金融服务时, 期望能够获得客户的各类相关数据为其获取客户、 经营决策提供支持, 另一方面, 出于合�����规管理的需要, 也需要数据履行相关的义务。 同时, 洗钱等金融犯罪活
2、动也由于科技的发展以 及金融服务业的全球化而变得日益复杂化, 各国监管机构之间也很自然的在数据交换方面有着强烈 的诉求。 因此, 从业务、 合规、 监管三�����方面看, 金融数据跨境流动必不可少。 另外, 金融数据的跨境流动在带来便利的同时, 也潜藏着一系列风险。 金融数据与个人隐私及企业合 法权益、 公共权益乃至国家安全紧密相关, 数据的跨境流动也必然意味着风险的复杂化、 扩大化及不 可控倾向。 为了应对上述数据跨境需求与风险控制之间的矛盾, 保护金融数据安全, 实现风险可控, 在金融数据 的跨境流动方面, 我国立法者及金融监管部门多年来进行了大������量的积极探索, 近年更是愈加频繁, 2015年至20
3、20年关于与金融数据跨境流动有关的文件数量是2000年至2015年所出台文件数量总和 的两倍还多 (如下图) 。 从这些规范性文件中, 我们梳理出了两条监管思路, 一是金融行业监管部门的 数据跨境规制体系, 二是 网络安全法 的数据跨境规制体系。 图表 1: 数据跨境传输有关规范性文件数量 金融行业监管部门数据跨境规制体系 01 纵向分析 02 监管层次1: 数据本地化的要求 02 监管层次2: 数据出境要求 06 监管层次3: 数据保密要求������ 09 监管层次4: 其他数据跨境活动要求 13 横向分析 14 网络安全法 数据跨境规制体系 17 主体: 关键信息基础设施运营者 (CIIO) 17
4、客体: 个人信息/重要数据 ������22 要求: 安全评估 27 网络安全法 数据跨境规制体系小结 28 结语 29 参考文章 30 附录 31 相关规范性文件 31 目录 CONTENTS 金融行业监管部门数据跨境规制体系 根据我们对金融行业监管部门数据跨境流动方面的规范性文件的检索 和分析, 我们将金融行业的监管分为四个层次, 分别为: 数据本地化的要 求、 数据出境的要求、 数据保密要求以及其他数据跨境要求。 下文将进行 纵向、 横向的交叉分析和要点提示, 以期能为金融机构从业者提供内部 数据治理及数据������全球化部署这一 “必修课” 提供参考和帮助。 图表 2: 不同类别的规范性文件数量 01 纵向
5、分析 监管层次1: 数据本地化的要求 1.1数据本地化要求条文梳理 02 1 2 3 5 4 03 6 7 8 9 10 11 12 04 13 14 15 16 1.2数据本地化要求要点提示 1.2.1数据本地化可以理解为对数据信息的境内 存储要求, 通过要求相关数据信息在某国家或区 域范围内进行存储, 来实现对特定数据信息相对 独立自主的占用、 处理、 管理效果。 1.2.2数据本地化的要�������求并非近年才有。 通过上表 我们可以看到, 2006年银监会在 电子银行行业务 管理办法 中, 已就中资银行的相关运营系统和 服务器做出了设置在境内的要求。 除金融数据以 外, 我们还检索到1982年 关
6、于对外合作开采海 洋石油资源资料管理的规定 中要求 “运往国外 的原始资料, 在复制或使用完毕后, 应及时运回中 国境内保存” 。 也即, 在数据信息的跨境流动还未 像当下如此便捷和频繁的时期, 国家已对特定数 据信息做出了本地化的要求。 1.2.3数据本地化不仅针对数据信息还针对数据 信息的载体。 比如, 上表中 中国人民银行关于银 行业金融机构做好个人金融信����息保护工作的通 知 中的数据本地化客体是 “个人金融信息” , 但 电子银行业务管理办法 、 央行上海分行 关于银 行业金融机构做好个人金融信息保护工作有关问 题的通知 、中国银行业监督管理委员会中资商 业银行行政许可事项实施办法 、非
7、银行支付机 构网络支付业务管理办法 等文件都对相关金融 机构或第三方支付机构的运营系统/业务处理系 统/存储数据设备这类数据信息的载体做出设置 在境内的要求。 1.2.4数据本地化存储的方式一般包括境内物理 服务器或云服务器。 在 “数据上云” 越来越普遍的 当下, 我们也应关注到如果使用云服务存储数据 信息应当如何应对数据本地化的要求。 尽管目前 我们还未检索到对 “境内存储” 的存储方式作出明 确规定的金融行业监管规范性文件, 但从2018年 8月 国务院办公厅关于加强政府网站域名管理 的通知 中提出的, 对于 “自行建设运维的������政府网 站服务器不得放在境外; 租用网络虚拟空间的, 所 租用
8、的空间应当位于服务商的境内节点” 我们可 以分析出, 如果相关数据信息有境内存储要求, 且企业选择云服务器进行存储的情况下, 应当注 重选择服务商境内节点所提供的云服务。 05 监管层次2: 数据出境要求 2.1数据出境要求条文梳理 06 1 2 3 4 2.2数据出境要求要点提示 2.2.1��������对于个人金融信息出境的要求逐步明确。 对比上表中规范性文件对于个人金融信息出境的限 制要求, 我们可以看到如下图中的变化。 一方面对于个人金融信息出境的限制不再一刀切, 将金融 机构跨境开展业务的需要纳入跨境传输监管的考量因素之中; 另一方面, 出境的条件要求逐渐增多, 以严格把控个人金融信息跨境传输可能
9、出现的风险。 07 5 6 7 8 2.2.2数据信息的范围可解释空间较大, 需要从 业机构审慎把握。 数据出境要求主要涉及的数据 信息类型包括个人金融信息、 企业和个人信用信 息、 证券业务活动有关的文件或资料、 因反洗 钱/反恐怖融资义务获取的客户身份资料和交易 信息, 其中前三类信息的范围规定都较为宽泛, 留有较大的解释空间。 如, 对个人金融信息的范 围限定上, 相关文件都有类似 “金融机构在与 个人建立业务关系过程中获取、 保存的其他个 人信息” 、“ 及其他反映特定个人某些情况的信 息” 的 “兜底条款” ; 同样的, 企业和������个人的信用 信息范围在 征信业管理条例 中并未有明确规
10、定, 但根据 个人信用信息基础数据库管理������暂行 办法 , 个人信息包括 “个人基本信息、 个人信贷 交易信息以及反映个人信用状况的其他信息” 。 2.2.3关注金融行业标准 JR/T0171-2020个人 金融信息保护技术规范(以下简称 “ 规范 ” ) 。 规范 是今年2月13日由央行发布的推荐性行 业标准, 是对金融行业有关主体在个人金融信息 安全管理和安全技术方面的指导建议。 虽然 规 范 在效力上属于推荐性行业标准, 并无强制执 行力, 但是金融行业监管部门很可能将 规范 作为参考依据, 在具体的执法行动或监督检查 中适用。 对于 “个人金融信息” 的出境而言,规 范 第7.1.3条的要
11、求严苛, 并且 “开展安全评估” 的具体流程以及 “境外机构的数据安全保护能 力达标” 的具体要求还有待明确, 但足以体现央 行对于��������个人金融信息出境方面的监管的�����精细化 和审慎, 应当引起金融机构的足够关注。 此外, 根据 规范 第7.1.3条的提示, 金融机构也应关 注国家、 行业有关部门制定办法与标准以开展 “个人金融信息出境安全评估” 。 2.2.4关注消费者金融信息跨境传输规定的变化。 央行在今年9月15日发布的 中国人民银行金融 消费者权益保护实施办法 中, 不仅没有保留 2019年12月改文件征求意见稿中关于我国消费 者金融信息境内存储和跨境传输的规定, 同时也 删去了2016年版本
12、中关于个人金融信息境内存 储和跨境传输的规定,�������� 如下表。 我们分析, 央行 删除跨境传输规定, 不代表此后个人 (消费者) 除法律法规及中国人民银行另有规定+不得提供 业务需要+授权同意+向总/分/母/子行+境外机构保密义务 业务需要+明示同意+向必要关联机构+符合监管规定+开展安全评估+境外机构数据安全保护 能力达标+签订协�����议/现场核查等措施确保对境外机构的保密、 删除、 案件协查义务 08 监管层次3: 数据保密要求 3.1数据保密要求条文梳理 金融信息的跨境传输不再受到相关监管, 而是可能为国家、 行业有关部门制定的个人信息、 个人金融 信息跨境传输的规定预留立法空间: 首先, 未来央行
13、可能在正式出台的 个人金融信息 (数据) 保护试 行办法 或类似文件中规定个人金融信息跨境传输的规制要求。 其次, 银行������业金融机构很可能被列 为关键信息基础设施运营者, 因此在个人信息跨境传输上可受制于 网络安全法 及配套法律法规 的规定。 最后,个人信息保护法 的出台, 也可能对个人信息的保护和跨境传输做出进一步的规定。 09 10 1 2 3 4 5 6 7 8 11 10 9 11 12 13 14 3.2数据保密要求要点提示 2.2.1�������对于个人金融信息出境的要求逐步明确。 对比上表中规范性文件对于个人金融信息出境 的限制要求, 我们可以看到如下图中的变化。 一方面对于个人金融信息出境的
14、限制不再一刀 切, 将金融机构跨境开展业务的需要纳入跨境传 输监管的考量因素之中; 另一方面, 出境的条件要 求����逐渐增多, 以严格把控个人金融信息跨境传输 可能出现的风险。 3.2.1相关主体在进行数据跨境传输时不能忽视 对传统数据保密合规义务的履行。 保密义务的内 涵为 “除法律法规另有规定外, 不得向任何单位 或者个人提供” 此类数据信息。 严格来看, 这种金 融行业数据保密的要求制约着数据跨境传输至 其他主体的情形。 此外,“法律法规的另有规定” 也一般指的是公权力介入要求提供相关数据信 息的情形。 3.2.2数据保密是金融机构较为传统的合规要求。 在21世纪初, 金融行业数据跨境流动还
15、未像现 在如此频繁以及受到重视的时候, 监管就要求金 融机构就负有为存款账户信息、 因反洗钱/反恐 怖融资获知的客户身份资料、 交易信息、 个人信 用信息等数据信息进行保密的义务。 3.2.3数据保密要求的义务主体扩大。 虽然我国 金融科技发展起源可追溯至上世纪90年代, 但 从上表我们可以看到,在2000年至2010年间, 数 据保密义务的主体主要为传统持牌金融机构, 如银行、 信托投资公司、 证券公司、 期货经纪公 司、 保险公司等。 即使, 2006年 反洗钱法 规定 “特定非金融机构” 也�����应当对 “因反洗钱获取的客 户身份资料和交易信息” 履行保密义务, 但并未 明确 “特定非金融机构
16、” 有哪些, 并�������且在第35条中 明确 “应当履行反洗钱义务的特定非金融机构 的范围、 其履行反洗钱义务和对其监督管理的 具体办法, 由国务院反洗钱行政主管部�������门会同国 务院有关部门制定。 ” 在2003年以后, 电子商务 在我国开始兴起, 非银行支付机构登上舞台。 在 接下来的十年间, 互联网技术与金融行业进一 步加速融合, 蓬勃发展。 为应对高速发展过程中 不断涌现的问题, 在2010年至今, 监管部门针对 非银行支付机构、 互联网金融从业机构以及信用 评级机构, 制定了对客户身份和交易信息、 消费 者金融信息、 个人隐私信息、 网络借贷中出借人 和借款人信息等数据信息的保密要求, “特定非
17、金融机构” 的范围逐步清晰。 其实, 不限于数据 保密的要求, 由于互联网金融以及金融科技的 迅猛发展,“特定非金融机构” 掌握的数据量激增 和数据重要程度提升, 针对 “特定非金融机构” , 在对数据信息的跨境传输上的其他要求 (如数据 本地化要求、 数据出境的要求) 上, 也日渐向传统 持牌金融机构靠拢。 12 监管层次4:其他数据跨境活动要求 4.1条文梳理 13 ! 2 1 3 4 5 6 横向分析 在对上述四个监管层次的要求进行横向对比分析后, 我们认为需要关注以����下方面: 1.数据本地化要求与数据出境要求 我们认为, 数据本地化要求和数据出境要求都是监管部门通过行政方式干预数据跨境流
18、动的限制 性手段, 但是两者的侧重点不同。 综合比对数据本地化要求和数据出境要求我们可以看到, 存在三 种组合形式 (如下表) : 一是可以在境外存储, 但境内也应存储; 二是仅要求在境内存储, 但未限制跨 境传输; 三是要求境内存储, 同时限制/禁止跨境传������输。 4.2要点分析 4.2.1由监管部门直接负责的数据信息跨境传输。 上表中的前三个文件列举了三种情形下的数据 跨境传输将由相关监管部门进行负责, 金融机构 在其中如有数据信息跨境传输行为, 需要接受监 管部门的监督指导或批准: 一是向境外反洗钱机 构提供信息和资料; 二是应对境外协助执行的反 洗钱或反恐怖融资案件; 三是向境外提供证券
19、业务活动有关的文件和资料���。�������� 4.2.2境外分支机构的数据信息提供义务。 通过 上表中的后三个文件我们可以看到, 境外分支机 构在开展业务的过程中, 为开展业务以及履行 反洗钱/反恐怖融资义务, 将进行客户身份识别、 客户身份资料和交易记录保存等工作。 在此过 程中, 可能存在两种形式向境外监管部门提供 数据信息, 一是由境外分支机构直接提供相关 数据信息; 二是, 境外分支机构将相关数据信息 传输至境内总行/总部保存的, 可能需要由总 行/总部向提供相关数据信息。 由于第二种形式, 与 “由监管部门直接负责的数据信息跨境传输” 的情形存在重合, 建议金融机构同样在相关监 管部门的监督和指导下进
20、行。 14 2. 对传统数据保密要求的突破效果 同时, 我们也关注到一些规范性文件关于数据跨境传输的规定, 实质上产生了对传统数据保密要求的 突破效果。 例如下表中, 2000年国务院发布的规定中对个人存款账�����户数据做出保密的要求; 2011年1月 央行的文件中要求 “银行业金融机构不得向境外提供境内个人金融信息” , 且根据该文件, 个人金融信 息包含了个人账户信息。 但2011年5月央行上海分行的文件对前述两个文件都做出了突破, 允许�����母行 与子行之间在满足一定条件下跨境传输个人金融信息。 法律意义上, 母行和子行是不同法人主体, 也 即, 子行向母行 (或母行向子行) 传输数据信息, 可以理
21、解为保密主体向其他单位传输数据信息, 是突 破了保密要求的。 但央行上海分行的文件提出, 对于母行与子行之间在满足 “业务必需+客户同意+确保 保密” 的条件下, 跨境提供境内个人金融信息可不视为违规。 此后, 央行在2020年发布的 JR/T0171-2020 个人金融信息保护技术规范 , 在确认上海分行的该种数据跨境传输条件框架下, 又添加了签订协议、 现场核查等要求, 在一定程度上 “抵消” 了传统的数据保密合规要求对数字化时代下数据需要在业务 关联度较高的不同法人主体间跨境传递的 ����“负面影响” 。 15 16 网络安全法 数据跨境规制体系 网络安全法(以下简称 “网安法” ) 数据跨境
2�����2、规制体系主要是以其第三 十七条为中心展开的 “关键信息基础设施的运营者在中华人民共和国 境内运营中收集和产生的个人信息和重要数据应当在境内存储, 因业务 需要, 确需向境外提供的, 应当按照国家网信部门会同国务院�������有关部门制 定的办法进行安全评估; 法律、 行政法规另有规定的, 依照其规定。 ” 为便于研究, 我们将该条拆分为如下表中的结构, 并在下文中对在业务过 程中困扰企业较多的1) 主体关键信息基础设施运营者, 2) 客体 个 人信息/重要数据以及3) 要求安全评估这三项要素作出分析。 主体: 关键信息基础设施运营者 (CIIO) 根据网安法第31条至39条,“关键信息基础设施的运营者”(
23、以下简称 “CIIO” ) 在个人信息和重要数据的跨境流动上受到较多限制, 以及较一般网络运营 者, CIIO对于所持有的关键信息基础设施 (以下简称 “ CII” ) 负有更多的安 全保护义务, 因此对于网络运营者来说, 明晰自身是否运营CII意义重大。 17 我们将与CII有关的重要文件或监管部门重要行动脉络进行了梳理, 如下表: 18 根据我们对上表中的CII有关动态及规范性文件 的研究和分析, 我们认为金融机构从业������人员需 要关注以下要点: 1.金融机构所运行、 管理的网������络设施和信息系统 一直作为关键信息基础设施监管涉及的重要对象 从上表我们可以看到,“金融” 一直作为重要行业 和领域被
24、屡次提及, 国家标准 信息安全技术 关 键信息基础设施网络安全保护基本要求 (报批 稿) 试点工作所选取的12家单位亦包含了金融 机构。 2.将可能由央行科技司具体负责金融业的关键 信息基础������设施识别认定工作 根据网安法第32条以及今年7月公安部发布 贯 彻落实网络安全等级保护制度和关键信息基础 设施安全保护制度的指导意见 , 我们基本可以 明确, 将由公安部指导和监督关键信息基础设施 的安全保护工作; 重要行业和领域的主管、 监管 部门负责制定本行业、 本领域CII认定规则并报 公安部备案; 主管、 监管部门根据CII认定规则识 别本行业、 本领域的CII, 并将认定结果报给公安 部并通知CI
25、IO。 另根据央行在2019年2月发布的 中国人民银�������行职能配置、 内设机构、 人员编制 规定 , 科技司将负责金融����业的CII建设工作。 综合 来看, 金融行业领域内, 很可能由央行科技司主 要负责金融行业内CII的个认定规则制定与认定 工作, 并将规则与认定结果报公安部。 19 3. 关键信息基础设施安全保护条例 预计今年 将会出台 根据国务院办公厅今年6月份发布的 国务院2020 年立法工作计划 , 国务院2020年拟制定、 修订 的行政法规包括 关键信息基础设施安全保护条 例 , 由网信办、 工信部、 公安部起草。 4.关注 贯彻落实网络安全等级保护制度和关键 信息基础设施安全保护制度的指
26、导意见(以下 简称 “ 关保等保指导意见 ” ) 根据结合有关文件的解读, 我们认为需要明确 关保等保指导意见 传达出的如下信息: 4.1关键信息基础������设施的保护 (以下简称 “关保” ) 是在 “等保2.0” 基础之上实行的重点保护 根据网安法第31条对于关键信息基础设施 “在网 络安全等级保护制度的基础上, 实行重点保护” , 以及 关保等保指导意见 工作目标中提出的 “在贯彻落实网络安全等级保护制度的基础上, 关键信息基础设施涉及的关键岗位人员管理、 供应链安全、 数据安全、 应急处置等重点安全保 护措施得到有效落实, 关键信息基础设施安全防 护能力明显增强” , 我们看出, 如果说等保是
27、面向 网络运营者的普遍义务, 那么关保则是针对CII������O 的特殊义务; 同样的, 等�����保面向的一般的网络设 施和信息系统, 关保则是面向承载着重要行业 和领域的关键业务的网络设施和信息系统。 4.2等保与关保的异同点 另外根据我们对涉及等保有关国家标准与关保 有关国家标准的对比梳理, 我们认为有以下异 同点, 可以帮助大家理解等保与关保的关系, 以 及认识关保: 4.2.1关保和等保的对象都是网络设施和信息系 统, 区别在于: 等保面向的一般的网络设施和信 息系统, 包括: 基础信息网络、 云计算平台/系统、 大数据应用/平台/资源、 物联网 (IoT) 、 工业控制 系统和采用移动互联技术的系统
28、等; 关保则是 面向承载着重要行业和领域的关键业务的网络 设施和信息系统,关保和等保指导意见 还特 别提出 “基础网络、 大型专网、 核心业务系统、 云 平台、 大数据平����台、 物联网、 工业控制系统、 智能 制造系统、 新型互联网、 新兴通讯设施等” 应作为 重点保护对象纳入CII范围。 4.2.2义务主体上, 等保2.0体系下, 网络安全 等级保护义务是基础的、 普遍适用的, 但关保针 对重要行业领域。 义务要求上, 关保的要求显然较等保要求更高。 4.2.3关保和等保范围都将按照认定规则和一定 流程、 程序来进行识别认定, 区别在于: 等保的 20 认定规则由 GB/T 28448-201
29、9 信息安全技术网 络安全等级保护测评要求 等国家标准明确, 但 关保的认定规则需要由相应行业、 领域的主管或 监管部门制定, 是否公开还不明确。 4.2.4关保和等保范围都将由专门机构来识别认 定, 区别在于: 等保的测评认定可由公安部认可 的测评服务单位提供, 但关保的认定将由相应行 业、 领域的主管或监管部门负责。 4.2.5等保和关保的指导监督����工作都由公安机关 �������负责, 区别在于: 等保二级以上的网络运营者只需 要至县级以上公安机关备案; 但关保的备案是由相 应行业领域的主管或监管部门报公安部备案。 4.2.6保密要求上, 我们认为, 一般对于通过等保 测评认定的评级结果没有保密要求;
30、但是鉴于CII 与国家安全、 国计民生、 公共利益极为相关, 因此, 某网络设施和信息系统是否被认定为关键信息 基础设施这一信息很可能是保密的。 5.关注 信息安全技术 关键信息基础设施边界 确定方法 (征求意见稿) (以下简称 “ 边界确定 方法 �����” ) 前不久发布的 边界确定方法 为我们展现了CII 边界确定的方法 (如下图) 。 此外, 根据该文件, 我们也需要关注到, 1) 由 “行业主管部门认定的 关键业务” 是确定CII边界的前提, 以及2) 由于关 键业务是发展变化的, 相应的CII边界也应作出 及时调整。 21 客体: 个人信息/重要数据 根据网安法第31条至39条,“关键信息
31、基础设施的运营者”(以下简称 “CIIO” ) 在个人信息和重要数 据的跨境流动上受到较多限制, 以及较一般网络运营者, CIIO对于所持有的关键信息基础设施 (以下简称 “ CII” ) 负有更多的安全保护义务, 因此对于网络运营者来说, 明晰自身是否运营CII 意义重大。 1.个人信息 关于个人信息的定义和范围, 网安法、GB/T 35273-2020信息安全技术 个人信息安全规�����范 (以下简称 “ 个人信息规范 ” ) 都给了较为明确定义, 特别是 个人信息规范 , 提供了判定 某项信����息是否属于个人信息的两条参考路径:“一是识别, 即从信息到个人, 由信息本身的特 殊性识别出特定自然人,
32、个人信息应有助于识别出特定个人。 二是关联, 即从个人到信息, 如 已知特定自然人, 由该特定自然人在其活动中产生的信息(如个人位置信息、 个人通话记录、 个人浏览记录等)即为个人信息。 符合上述两种情形之一的信息, 均应判定为个人信息。 ” 此 外,个人信息规范 的附录A给出了个人信息的举例, 其中与金融行业较为相关是 “个人财产 信息” , 包括 “银行账户、 鉴别信息(口令)、 存款信息(包括资金������数量、 支付收款记录等)、 房产信 息、 信贷记录、 征信信息、 交易和消费记录、 流水记录等, 以及虚拟货币、 虚拟交易、 游戏类兑 换码等虚拟财产信息” 。 此外, 根据我们为金融机构提供数
33、据合规服务的经验, 对于 个人信息规范 已列举出的个人 信息类型, 需要按照关于个人信息保护的有关规定进行收集使用等处理行为, 这一点并无太 多争议, 但对于一些还未明确列举是否是个人信息, 比如带有预测成分的个人用户画像, 其 属性判定就需要依照前述 “两条参考路径” 以及监管动向进行具体判定。 2.重要数据 我们对 “重要数据” 有关的�����重要文件梳理如下表: 22 23 根据我们对上表中 “重要数据” 有关内容的研 究和分析, 我们认为金融机构从业人员需要 关注以下要点: 2.1关注 金融数据安全 数据安全分级指南 (送审稿) (以下简称 “ 分级指南 ” ) 分级指南 对于金融行业从业者在
34、进行数据 分级以及数据治理较具有参考价值, 其结合 影响对象、 影响程度因素, 将金融数据分为1 至5级, 其中有关重要数据的内容摘录如下表。 从中我们认为可以解读出如下几个要点: 2.1.1重要数据的占比小。 按照 分级指南 对金融数据的分级, 重要数据属于其第5级数 据, 我们认为其在金融机构数据中的占比非 常小。 2.1.2金融业重要数据一旦遭到破坏的影响 对象为国家安全和公众权益。 对于国家安全, 影响轻微即可能属于重要数据, ������对于公众权 益, 需要造成非常严重的影响才可能属于重 要数据。 按照此种影响对象和影响程度的考 量, 破坏仅对个人权益或企业权益造成影响的 数据, 不足以被认定
35、为重要数据。 重要数据 一般不包括企业生产经营和内部管理信息、 个人信息等。 2.1.3汇聚后的个人数据可能构成重要数据。 分级指南 附录C对于 “海量信息汇聚得到的 衍生特征数据” 这一重要数据包含的内容描 述为: 汇聚后覆盖多省市的金融消费者真实 交易信息。 2.1.4重要数据与关键信息基础设施的关系。 根据 分级指南 附录C的表述, 我们可归结出 两条关系: 1) 一旦被破坏, 将危害关键信息基 础设施, 属于重要数据; 2) 关键信息基础设施 的网络安全缺������陷信息 (网络设备、 服务器、 信 息系统等有关漏洞信息) 属于重要数据。 24 2.2对于泄露仅影响到个人权益和企业权益的, 一般
36、不认为是重要数据 根据监管部门最新的文件, 重要数据一旦泄露, 其影响对象是国家安全或公共利益。 实际上, 监管部 门关于重要数据的认定范围经历了一个 “窄-宽-窄” 的过程 (如下表) , 其中2017年8月网信办采取的 标准过�������于宽泛, 目前监管部门已不再采取该种标准。 25 2.3关注 数据安全法 (草案) 释放的信号 根据 数据安全法 (草案) 第19条、 第25条和第 28条, 我们认为需要关注如下内容: 2.3.1重要数据是在数据分级分类基础上进行的 重点保护。 2.3.2不同地区、 不同部门、 不同行业将分别制定 重要数据保护目录。 2.3.3将有配套的关于数据安全的法律、 行政法
37、规 的规定和国家标准的强制性要求。 2.3.4重要数据的处理者注意需要设立数据安全 负责人和管理机构, 落实数据安全保护责任。 2.3.5重要数据的处理者应当定期开展有关重要 数据的风险评估。 2.4 信息安全技术 重������要数据识别指南 关于重要 数据的分类标准很可能将不再沿用行业分类的 方式 根据中国信通院安全研究所数据安全研究部副 主任陈湉所撰 对 数据安全法 的理解和认识|重 要数据如何保护 , 我们了解到拟定的 信息安全 技术 重要数据识别指南“简化了重要数据定义、 明确提出了重要数据的主要分布; 不再延用行 业分类的方式, 而是从数据的作用、 受破坏后可 能带来的影响等角度, 将重要数据
38、分为国民经济����� 运行类、 安保类、 自然资源与环境类、 健康类、 敏感技术类、 用户类及政府工作秘密类。 ” 26 要求: 安全评估 我们对数据出境安全评估的有关内容梳理如下表: 根据上表, 关于数据出境的安全评估, 2017年出台 个人信息和重要数据出境安全评估办法 (征求意 见稿) (以下简称 “ 2017出境评估办法 ” ) 及其配套的国家标准 信息安全技术 数据出境安全评估 指南 (征求意见稿) (以下简称 “ 2017出境评估指南 ” ) 采取的是 “网络运营者自评估+行业主管或 监管部门安全评估” 的模式, 这可作为行业从业者可预期的数据出境的评估模式参考。 但鉴于 2017 出境评
39、估办法 和 2017出境评估指南 至今未再修订, 其关于重要数据、 需要进行数据出境评估的 主体范围认定上已与目前监管思路和文件产生较大出入, 因此该两份文件关于安全评估的义务主体 层面的内容还需谨慎对待。 27 网络安全法 数据跨境规制体系小结 根据对网安法监管体系下数据出境的分析我们可以看出, 首先, 在主体上, 关键信息基础设施及其 运营者的认定存在一个过程, 尽管金融机构被认定为CIIO的可能性较大, 但并不意味着其持有的所 有网络设施和信息系统都将被认定为CII, 且今年公安部的指导监督下CII的识别认定工作应当会较 之前有较大进展; 其次, 在客�������体层面, 关于个人信息的范围认定趋于
40、明确; 关于重要数据的范围认定 上还需等待相关文件出台, 但其影响对象应当为 “国家安全” 和 “公众权益” 这一方向逐渐明确, 也即 意味着 “重要数据” 并不会在一个企业的数据比例中占比非常大。 再次, 对于数据出境评估所需要依 据安全评估办法, 还有待相关文件出台。 28 结语 通过对 “金融行业监管部门数据跨境规制” 和 “ 网络安全法 数据跨境规制” 两 个监管体系有关规范性文件的梳理和要点提示我们可以看到: 金融行业监管这条线下, 数据跨境流动监管要求主要是控制与 “人” 有关的数据 信息及业务运营或处理系统, 主要处理的是金融行业有关主体因跨境开展业务 产生的数据�����跨境传输需求与将
41、控制金融数据跨境传输所带来的风险之间的矛 ������盾, 监管要求散布于多部文件之中较为庞杂, 但相对�������明确, 便于金融行业从业者 把握。 其中特别需要提示的是, 应当密切关注央行 个人金融信息 (数据) 保护试 行办法 或类似文件的出台, 将很有可能涉及个人金融信息的出境规制。 网安法监管这条线下, 数据跨境流动监管要求主要是控制CIIO的个人信息和重 要数据, 主要处理的是不限于金融行业在内的重要领域、 行业的数据跨境传输 需求与控制数据跨境传输给国家安全、 社会公共利益所带来的风险之间的矛盾, 涉及的规范性文件不多, 但具体要求还都有待关保工作的开展和有关文件的 出台来进一步的明确。 此外, 我们也
42、发现了这两条线之间的连接点, 也是殊途同归之处, 都在于 “数据 出境安全评估制度” 。 根据网安法第37条, CIIO的个人信息和重要数据出境将 有赖于 “国家网信部门会同国务院有关部门制定的办法进行安全评估。 根据金 融行业标准 JR/T0171-2020个人金融信息保护技术规范 , 金融机构应依据 29 国家、 行业有关部门制定的办法与标准开展个人金融信息出境安全评估。 但截 至目前安全评估的依据和流程都还不清晰。 对于金融行业从业者来说, 两条线各有侧重、 互为补充, 虽然法定义务有待细化 和统一, 但脉络已经显现, 两条������线都需要保持关注。 最后, 从跨境数据����流动的监管政策体系变化能看
43、到, 我国监管机构的立场与时 俱进, 根据技术发展和金融业务的实际需求而不断调整。 从一开始 “一刀切” 地 限制数据出境, 后来逐渐有条件地允许合规流动, 到现在形成一套较为完整的 体系来规范引导, 体现了创新监管、 分层监管、 精准监管的演进历程。 由此, 监���� 管政策一方面服务好了跨境金融的市场需求, 另一方面也满足了跨境监管合 作的要求。 未来, 金融跨境数据的流动一定会持续完善, 我们将继续保持密切 关注。 参考文章 1.上海市法学会江翔宇课题组 金融数据跨境流动立法与监管的比较研究报告 2.马兰 金融数据跨境流动规制的核心问题和中国因应 , 载 国际法研究 2020 年第3期 3.袁
44、立志 冯坚坚 银行业金融数据出境的监管框架与脉络 4.李伟 我国金融数据跨境流动规则建设的思考与建议 30 附录 ��������相关规范性文件 1. 个人存款账户实名制规定 国务院2000.3.20发布 2. 人民币银行结算账户管理办法 中国人民银行2003.4.10发布 3. 个人信用信息基础数据库管理暂行办法 中国人民银行2005.8.18发布 4. 电子银行业务管理办法 中国银行业监督管理委员会2006.1.26发布 5. 反洗�����钱法 全国人民代表大会常务委员会2006.10.31发布 6. 金融机构反洗钱规定 中国人民银行2006.11.14发布 7. 中国人民银行关于证券期货业和保险业金融机构严格执
45、行反洗钱规定防范洗钱风险的通知 中国人民银行2007.1.30发布 8. 中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知 中国人民银行2011.1.21发布 9. 关于银行业金融机构做好个人金融信息保护工作有关问题的通知 中国人民银行上海分行2011.5.12发布 10. 关于调整证券资格会计师事务所申请条件的通知 财政部、 中国证券监督管理委员会2012.1.21发布 11. 支付机构反洗钱和反恐怖融资管理办法 中国人民银行2012.3.5发布 12. 保险公�������司财会工作规范 中国保险监督管理委员会2012.7.1发布 13. 征信业管理条例 国务院2013.1.21发布 14. 非银行支付机构网络支付业务管理办法 中国人民银行2015.12.28发布 15. 网络借贷信息中介机构业务活动管理暂行办法 中国银行业监督管理委员会、 工业和信息化部、 公安部、 国家互联网信息办 公室2016.8.17发布 16. 网络安全法 全国人民代表大会常务委员会2016.11.7发布 17. 个人信息和重要数据出境安全评估办�����法 (征求意见稿) 国家互联网信息办公室2017.4.11发布
sgpjbg002
工作日 8:30 - 17:30
报告分类
