作者：金茂律师事务所  万波 律师  王书玥 律师助理 

引言：在前一篇《金融领域数据出境（综述）》中，我们对金融领域数据出境的要点进行了归纳分析，并梳理了三条通用的数据（个人信息）出境合规路径。在本篇中，我们将细化行业，针对银行业金融数据出境的合规要点进行一个简要分析。

一、银行业数据范畴概览

银行业金融数据通常包括个人金融信息、金融业重要数据以及其他数据，如业务数据等。

根据中国人民银行于2020年9月23日发布的《金融数据安全 数据安全分级指南（JR/T 0197—2020）》（以下简称“《金融数据分级指南》”）可知，个人金融信息是指“金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息”。此处特别注明，个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。

根据2022年1月13日信安标委最新公布的《信息安全技术 重要数据识别指南（征求意见稿）》（以下简称《识别指南》征求意见稿）可知，重要数据指“以电子方式存在的，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据”。对于识别重要数据的基本原则，《识别指南》征求意见稿在第一点中指出，聚焦安全影响：从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据，只对组织自身而言重要或敏感的数据不属于重要数据，如企业的内部管理相关数据。即，若某银行规模较大，其掌握的海量业务数据即有可能被行业监管部门认定为重要数据，除此之外，基于海量个人信息形成的统计数据、衍生数据也有可能属于重要数据。

在《金融数据分级指南》的附录A《数据定级规则参考表》中，我们得以窥见较为详细的银行业金融数据归类和细分内容。表格的部分内容见下：

二、银行业金融数据出境相关法规概览

银行业金融数据出境的监管，主要由金融监管部门（如央行、银保监会）和网信部门组成，除了数据合规领域我们耳熟能详的《网络安全法》《数据安全法》及《个人信息保护法》外，历年来亦出台了一系列法律法规：

根据中国人民银行于2011年发布的《关于银行业金融机构做好个人金融信息保护工作的通知》（以下简称“17号文”），确立了个人金融信息出境的“本地化为原则+例外允许”这一基本监管框架。但对于哪些“例外情形”可以允许出境，17号文仅规定“除法律法规及中国人民银行另有规定”，并未详细说明，这在实务中对国内众多的外资银行以及国内银行跨境业务的开展带来了一定困扰。

于是在17号文发布四个月后，中国人民银行上海分行紧急发布《关于银行业金融机构做好个人金融信息保护工作有关问题的通知》（以下简称“110号文”）。110号文指出，17号文所称的“例外情形”是指“为客户办理业务所必需，且经客户书面授权或同意，境内银行业金融机构向境外总行、母行或分行、子行提供境内个人金融信息的，可不认为违规。银行业金融机构应当保证其境外总行、母行或分行、子行为所获得的个人金融信息保密”。简言之，满足“业务必需+客户同意+关联机构+保密”四要件，可允许个人金融信息出境。但值得注意的是，110号文的发文主体是央行上海分行，适用对象限于上海地区的银行，存在的一定的区域局限性。

中国人民银行在2016年发布的《金融消费者权益保护实施办法》在第33条对110号文的精神予以认可，并将适用范围扩大到银行业金融数据以外的金融数据，规定：“在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，金融机构不得向境外提供境内个人金融信息。境内金融机构为处理跨境业务且经当事人授权，向境外机构（含总公司、母公司或者分公司、子公司及其他为完成该业务所必需的关联机构）传输境内收集的相关个人金融信息的，应当符合法律、行政法规和相关监管部门的规定，并通过签订协议、现场核查等有效措施，要求境外机构为所获得的个人金融信息保密。”自此，个人金融信息出境的监管模式确定为“原则禁止，以业务必需+客户同意+关联机构+保密为例外”。

但在2019年底，中国人民银行发布了《金融消费者权益保护实施办法（征求意见稿）》，上述2016版本中的第33条被整体删除，而现行有效的《金融消费者权益保护实施办法》为2020年发布的版本，旨在强调金融消费者对于金融信息的知情权和自主选择权。

原2016年版本中的《金融消费者权益保护实施办法》第33条的内容则体现在了中国人民银行于2020年2月13日发布的《个人金融信息保护技术规范（JR/T 0171-2020）》第7.1.3（d）条：“在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息，应在境内存储、处理和分析。因业务需要，确需向境外机构（含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构）提供个人金融信息的，应依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估，确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求；应与境外机构通过签订协议、现场核查等方式，明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务。”

对于银行业的重要数据出境，则应遵守《网络安全法》第37条确立的“本地存储为原则”以及“确有需要+安全评估”的合规框架。该条的适用对象为关键信息基础设施的运营者，适用范围为个人信息和重要数据。对于关键信息基础设施的运营者的认定，根据《关键信息基础设施安全保护条例》（以下简称“《关基保护条例》”）的规定，重要行业和领域的主管部门、监督管理部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。即，银行业关键信息基础设施的运营者的认定工作，由银行业的主管部门、监管部门负责实施，如银保监会等。如被认定为关键信息基础设施的运营者，则应严格遵守《关基保护条例》等法律法规的规定，履行更为严格的数据保护及出境管理合规工作。

三、银行业金融数据出境场景及合规要点

就外资银行而言，例如集团内部员工的个人信息传输、境内主体的跨境业务的开展、向境外总部进行数据传输等等，均有可能涉及到数据出境的情况。而对于国内银行而言，在进行一些跨境交易业务、跨境投资等跨境业务时，也不可避免地涉及到数据出境的情形。

对于目前三条数据出境合规路径 已在前文《金融领域数据出境合规要点（综述）》中进行了说明，在此不再赘述。除了满足我国对于数据出境的合规监管要求之外，以下将对一些银行业的特殊合规要点结合业务场景进行简要提示。

1、跨境业务

最典型的跨境业务就是境外汇款。不论处于个人客户的需求或者是企业客户跨境贸易结算等其他需求，该过程中涉及的相关支付信息、金融信息都会出境。而此类数据出境需求，不应当进行过于严格的限制，否则将严重阻碍银行跨境业务的正常开展。但银行应严格落实“告知—同意”的信息授权原则，强化数据授权监管，并实时更新相关授权协议、隐私政策。

2、境外监管

在一些外资银行的总部所在国，与我国监控反洗钱、监管金融数据的要求相类似，亦存在当地制定的反洗钱监管规则或其他数据合规管理要求，往往会要求外资银行向境外总部传输客户的个人金融数据或报送业务数据。

在涉及个人金融数据的对外传输时，外资银行应根据《个人信息出境标准合同办法》以及《数据出境安全评估办法》的规定，关注订立标准合同或申报数据出境安全评估的流程，重点关注个人信息保护影响评估和境外接收方义务的问题。

对于个人金融信息之外的业务数据，则可能落入“重要数据”的范畴。银行应根据各类行业标准、国家标准中的规定，识别需要出境的数据是否属于重要数据，若确定为“重要数据”，则应根据《数据出境安全评估办法》的规定，采取“数据出境风险自评估+申报数据出境安全评估”的合规路径。若银行被行业主管部门、监管部门认定为关键信息基础设施的运营者，还应根据《关基保护条例》履行更为严格的安全保护义务。

3、委托处理

随着数据量的日益增长，银行委托其他机构处理金融数据的需求也随之产生，银行可能会选择委托外部的数据服务商处理数据，以减轻自身的数据处理压力。根据17号文的规定，在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行，除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。因此，境内数据的委托处理原则上仅能在境内进行，不得委托境外机构处理、分析。

四、结语

目前各类银行跨境数据传输的各业务场景交互融合，通过线上系统进行流转处理，且业务间数据存在交叉传输的情况，导致在全球化业务开展过程中涉及的数据跨境流动频繁且复杂，这对境内外系统管理与数据传输的保护提出更高的合规要求。银行金融数据的出境监管仍以“本地化为原则+例外允许”为主要格局，除了满足境内的合规监管要求外，银行还应中的关注数据接收国对于金融数据的监管要求，注意各国银行法对客户资料的保密义务要求，并且强化内部的数据合规管理。