作者:金茂律师事务所 万波 律师 王书玥 律师助理
引言:《数据出境安全评估办法》的整改期已经届满,今年年初,全国首个获批数据出境安全评估案例落地北京,为医疗领域的首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目。与此同时,其他诸如民航、金融、汽车等各领域机构的数据出境安全评估申报也在持续进行着。本文将目光聚焦于金融领域的数据出境,对该领域的数据出境合规要点先进行一个综述。
一、什么是“金融数据”?
金融数据反复出现在各类政策法规中,如中国人民银行印发的《金融科技发展规划(2022―2025年)》中提出要“深化金融数据要素应用”,国家网信办出台的《金融信息服务管理规定》将金融信息服务界定为:“向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场的信息和/或者金融数据的服务。”但该等政策法规均未明确金融数据的内涵和范围。
尝试对金融数据进行界定的文件是中国人民银行于2020年9月23日发布并实施的《金融数据安全 数据安全分级指南(JR/T 0197-2020)》(以下简称“《金融数据分级指南》”),按该标准的定义,“金融数据”是指“金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据”。
在上述《金融数据分级指南》的4.3条中,通过具体举例的方式界定了金融数据安全定级的适用范围:
上述《金融数据分级指南》的附录A中更是对金融业机构典型的数据进行了梳理、归类和细分,包括了客户数据、业务数据、经营数据、监管数据等主要类别:
二、金融数据可否出境?
中国人民银行2011年1月发布的《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》原则上禁止银行业金融机构向境外提供其在中华人民共和国境内收集的个人金融信息,例外是法律法规及中国人民银行相关规定允许,但实际上未明确规定例外情形。
中国人民银行2016年12月发布的《中国人民银行金融消费者权益保护实施办法》确立了金融机构(包括银行业金融机构、其他金融机构和非银行支付机构)金融信息出境“业务必需+客户授权+境外关联机构+保密”特别规定。但前述2016年《中国人民银行金融消费者权益保护实施办法》已于2020年11月1日废止。而中国人民银行2020年9月发布、自2020年11月1日起施行的《中国人民银行金融消费者权益保护实施办法》删除了有关金融机构金融信息出境监管的上述规定。
中国人民银行2020年2月发布的金融行业标准《个人金融信息保护技术规范》引入金融业机构(包括持牌金融机构和涉及个人金融信息处理的相关机构)金融信息出境安全评估制度,并延续规定个人金融信息出境“业务必需+客户授权+境外关联机构+保密”四要件规则。
2022年11月11日,中国银保监会发布了《中华人民共和国银行业监督管理法(修订草案征求意见稿)》,该征求意见稿第八条中新增了有关银行业金融机构数据出境的监管规定:“银行业金融机构不得擅自向境外提供与业务有关的相关文件、资料、数据,法律、行政法规、国务院银行业监督管理机构另有规定的除外。”上述要求意味着金融监管部门对金融机构数据出境相关规制的重视程度得到了进一步加强。
因此,总体而言,我们认为,在中国人民银行监管方面,目前的监管仍然延续了 “业务必需+客户授权+境外关联机构+保密”四要件规则,但目前还只是在理论上所确定的监管大方向,对于如何落地实施并未建立可操作化的指引。比如,对于“例外情形”的审核,如何确定审批主体,是由中国人民银行总行、省分行审批还是让金融机构自评估,没有规定;还有,如何确定此处的“关联机构”,怎么理解“完成业务所必需”,同样没有说明。
当然,在中国人民银行的上述统领文件下,具体到银行、保险、信托、消费金融、金融租赁、证券、期货、地方金融组织等不同的业态层面,又会面临不尽相同的监管规则,我们会在今后的文章中分行业进行展开讨论。
三、有哪些通用的数据出境路径?
根据《个人信息保护法》和《数据出境安全评估办法》的规则,数据出境主要包括了三个合规路径:
1、路径一:数据出境风险自评估+数据出境安全评估
根据2022年9月1日起生效的《数据出境安全评估办法》可知,应当申报数据出境安全评估的情形包括:(1)数据处理者向境外提供重要数据;(2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(4)国家网信部门规定的其他需要申报数据出境安全评估的情形。
《数据出境安全评估办法》还规定了数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估,并明确了重点评估事项,包括:(1)数据出境的目的、范围、方式等的合法性、正当性、必要性;(2)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;(3)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;(4)数据安全和个人信息权益是否能够得到充分有效保障;(5)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;(6)遵守中国法律、行政法规、部门规章情况;(7)国家网信部门认为需要评估的其他事项。
根据《数据出境安全评估办法》的规定,企业可通过“数据出境风险自评估+数据出境安全评估”的方式实现数据出境合规,该路径也对应了《个人信息保护法》第38条第(一)项的“通过国家网信部门组织的安全评估”的个人信息跨境应符合的前置条件。
2、路径二:个人信息保护认证
根据信安标委发于2022年12月16日发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(以下简称“《认证规范》”),其明确了个人信息保护认证适用于“个人信息处理者开展个人信息跨境处理活动” 。《认证规范》规定了个人信息保护认证制度的适用情形、认证方式、基本原则、处理规则等内容,但未对实施个人信息保护认证的具体机构与流程等详细内容进行明确,有待后续相关配套法规的出台以提供更为清晰的操作指引。
3、路径三:订立标准合同+个人信息保护影响评估
对应《个人信息保护法》第38条第(三)项规定的“按照国家网信部门制定的标准合同与境外接收方订立合同”这一个人信息跨境合规路径,网信办在2023年2月22日出台了《个人信息出境标准合同办法》(以下简称“《标准合同》”),并自2023年6月1日起生效。
《标准合同》规定了采取该路径进行个人信息出境的适用情形:(1)非关键信息基础设施运营者;(2)处理个人信息不满100万人的;(3)自上年1月1日起累计向境外提供个人信息不满10万人的;(4)自上年1月1日起累计向境外提供敏感个人信息不满1万人的;(5)法律、行政法规或者国家网信部门另有规定的,从其规定。同时还规定开展个人信息保护影响评估,并明确了评估的重点内容。
四、金融领域数据出境的要点
针对金融数据,如前所述,其不仅包括了金融机构的经营业务数据、内部管理信息,更包括了大量的个人信息。对于大型的跨国金融机构以及我国涉及跨境业务的金融机构而言,在实际业务场景中,诸如跨国银行使用同一套业务系统进行数据传输、境外金融机构采集境内个人金融信息等等,都涉及金融数据,包括个人金融信息的出境。
在众多新规范、标准不断出台的背景下,金融机构在进行数据出境时应注重以下要点:
1、明确自身的机构性质——是否属于关键信息基础设施运营者
根据2021年9月1日生效的《关键信息基础设施安全保护条例》第2条的规定,“关键信息基础设施”是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。
《网络安全法》第37条则规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”
因此金融机构首先应根据行业主管部门、监督管理部门的认定,确定自身的业务系统等是否属于关键信息基础设施,而自己是否属于关键信息基础设施的运营者。鉴于金融监管部门对数据出境采取本地化原则,金融机构需详细评估数据出境的必要性。
2、明确出境的数据性质——是否属于重要数据、个人金融信息
除了明确自身是否属于关键信息基础设施运营者外,金融机构还应明确拟出境的数据是否属于重要数据、个人信息。
(1)重要数据
根据《金融数据分级指南》的规定,重要数据是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能产生严重后果的数据。
关于金融领域重要数据的识别,早在2017年公布的《信息安全技术 数据出境安全评估指南(征求意见稿)》的附录《重要数据识别指南》A.19中,就规定了金融领域的重要数据,包括但不限于:(1)金融机构安全信息;(2)自然人、法人和其他组织金融信息;(3)中央银行、金融监管部门、外汇管理部门工作中产生的不涉及国家秘密的工作秘密。
重要数据可包括宏观特征数据、海量信息汇聚得到的衍生特征数据、行业监管机构决策和执法过程中的数据,以及关键信息基础设施网络安全缺陷信息等,比如汇聚后覆盖多省份的金融消费者真实交易信息,具体在《金融数据分级指南》的附录C中进行了列举和说明(见下图)。重要数据一般不包括企业生产经营和内部管理信息、个人金融信息等。
(2)个人金融信息
《个人金融信息规范》在第7.1.3(d)条规定:“在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息,应在境内存储、处理和分析。因业务需要,确需向境外机构(含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构)提供个人金融信息的,应依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求;应与境外机构通过签订协议、现场核查等方式,明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务。”该规范延续了金融数据原则上本地化的要求,同时详细规定了境外机构的职责和义务。
根据《个人金融信息规范》中的定义,“个人金融信息”是指“金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息”。需注意,《个人金融信息规范》中的“个人金融信息”包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息,即包含了某些类别的个人信息。金融机构可根据《个人金融信息规范》的第4条“个人金融信息概述”中具体的分类与列举来识别个人金融信息。
而金融机构拟出境数据的类别的意义,在于出境合规路径的选择。针对重要数据而言,其只能选择“数据出境风险自评估+数据出境安全评估”的路径,而对于个人金融信息的出境,则前文所述的三条路径均有可能适用。
3、建立健全数据合规体系——数据生命周期安全管理
回到数据出境合规的起点,归根结底在于金融机构自身的数据管理合规性。金融机构应时刻完善自身的数据合规体系,根据《个人金融信息保护技术规范》《金融数据安全 数据安全分级指南(JR/T 0197-2020)》等等一系列法律法规的规定,不断提升自身的数据保护水平,加强数据安全防护技术能力建设,保障数据跨境流动安全,建立建全数据全生命周期的安全管理。
五、结语
由于金融数据的固有属性,其倾向于被认定为重要数据,而一些大型金融机构则可能被认定为关键信息基础设施运营者,加上金融数据原则上本地化的主流思想,金融机构进行金融数据出境的合规成本并不低廉。
2020年11月15日,我国同日本、韩国、澳大利亚、新西兰和东盟十国共同签署了《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partner-ship,RCEP),其中第八章“金融服务”的第9条为“信息转移与信息处理”,规定了“缔约方不得采取措施阻止其领土内的金融服务提供者为进行日常运营所需的信息转移,包括通过电子方式或其他方式进行数据转移”。由此,我国基本认可了目前国际组织普遍倡导的“提供个人金融数据跨境流动便利,消除不必要的数据流动阻碍”的做法。
数据要流动起来才能产生价值,相信在不久的未来,相关监管部门将不断出台更为明确的规范,让金融数据在合规体系的框架下,进行有序的流动,发挥其最大的价值。