2020中国金融数据跨境流动监管政策报告-观稻中茂律师事务所+微众-202009.pdf

前言 PREFACE备受关注的金融数据跨境流动随着改革开放的不断深入，中国经济与世界经济之间的联系越来越密切，尤其是2001年中国加入世界贸易组织后，中国融入经济全球化的步伐加快，中国企业与居民与世界各个国家与地区的贸易与交往日趋频繁，其从事跨境经济活动所产生的数据往往是跨越国界的。金融是经济的血脉，越来越多的跨境贸易等经济活动随之也带来了对跨境金融的强烈需求。而提供金融服务的金融机构，一方面在提供金融服务时，期望能够获得客户的各类相关数据为其获取客户、经营决策提供支持，另一方面，出于合规管理的需要，也需要数据履行相关的义务。同时，洗钱等金融犯罪活动也由于科技的发展以及金融服务业的全球化而变得日益复杂化，各国监管机构之间也很自然的在数据交换方面有着强烈的诉求。因此，从业务、合规、监管三方面看，金融数据跨境流动必不可少。另外，金融数据的跨境流动在带来便利的同时，也潜藏着一系列风险。金融数据与个人隐私及企业合法权益、公共权益乃至国家安全紧密相关，数据的跨境流动也必然意味着风险的复杂化、扩大化及不可控倾向。为了应对上述数据跨境需求与风险控制之间的矛盾，保护金融数据安全，实现风险可控，在金融数据的跨境流动方面，我国立法者及金融监管部门多年来进行了大量的积极探索，近年更是愈加频繁，2015年至2020年关于与金融数据跨境流动有关的文件数量是2000年至2015年所出台文件数量总和的两倍还多（如下图）。从这些规范性文件中，我们梳理出了两条监管思路，一是金融行业监管部门的数据跨境规制体系，二是 网络安全法 的数据跨境规制体系。图表 1：数据跨境传输有关规范性文件数量金融行业监管部门数据跨境规制体系 01 纵向分析 02监管层次1：数据本地化的要求 02监管层次2：数据出境要求 06 监管层次3：数据保密要求 09监管层次4：其他数据跨境活动要求 13横向分析 14 网络安全法 数据跨境规制体系 17 主体：关键信息基础设施运营者（CIIO）17客体：个人信息/重要数据 22要求：安全评估 27网络安全法 数据跨境规制体系小结 28结语 29参考文章 30附录 31相关规范性文件 31目录 CONTENTS金融行业监管部门数据跨境规制体系根据我们对金融行业监管部门数据跨境流动方面的规范性文件的检索和分析，我们将金融行业的监管分为四个层次，分别为：数据本地化的要求、数据出境的要求、数据保密要求以及其他数据跨境要求。下文将进行纵向、横向的交叉分析和要点提示，以期能为金融机构从业者提供内部数据治理及数据全球化部署这一“必修课”提供参考和帮助。图表 2：不同类别的规范性文件数量01 纵向分析监管层次1：数据本地化的要求1.1数据本地化要求条文梳理021235403678910111204131415161.2数据本地化要求要点提示1.2.1数据本地化可以理解为对数据信息的境内存储要求，通过要求相关数据信息在某国家或区域范围内进行存储，来实现对特定数据信息相对独立自主的占用、处理、管理效果。1.2.2数据本地化的要求并非近年才有。通过上表我们可以看到，2006年银监会在 电子银行行业务管理办法 中，已就中资银行的相关运营系统和服务器做出了设置在境内的要求。除金融数据以外，我们还检索到1982年 关于对外合作开采海洋石油资源资料管理的规定 中要求“运往国外的原始资料，在复制或使用完毕后，应及时运回中国境内保存”。也即，在数据信息的跨境流动还未像当下如此便捷和频繁的时期，国家已对特定数据信息做出了本地化的要求。1.2.3数据本地化不仅针对数据信息还针对数据信息的载体。比如，上表中 中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知 中的数据本地化客体是“个人金融信息”，但电子银行业务管理办法、央行上海分行 关于银行业金融机构做好个人金融信息保护工作有关问题的通知、中国银行业监督管理委员会中资商业银行行政许可事项实施办法、非银行支付机构网络支付业务管理办法 等文件都对相关金融机构或第三方支付机构的运营系统/业务处理系统/存储数据设备这类数据信息的载体做出设置在境内的要求。1.2.4数据本地化存储的方式一般包括境内物理服务器或云服务器。在“数据上云”越来越普遍的当下，我们也应关注到如果使用云服务存储数据信息应当如何应对数据本地化的要求。尽管目前我们还未检索到对“境内存储”的存储方式作出明确规定的金融行业监管规范性文件，但从2018年8月 国务院办公厅关于加强政府网站域名管理的通知 中提出的，对于“自行建设运维的政府网站服务器不得放在境外；租用网络虚拟空间的，所租用的空间应当位于服务商的境内节点”我们可以分析出，如果相关数据信息有境内存储要求，且企业选择云服务器进行存储的情况下，应当注重选择服务商境内节点所提供的云服务。05监管层次2：数据出境要求2.1数据出境要求条文梳理0612342.2数据出境要求要点提示2.2.1对于个人金融信息出境的要求逐步明确。对比上表中规范性文件对于个人金融信息出境的限制要求，我们可以看到如下图中的变化。一方面对于个人金融信息出境的限制不再一刀切，将金融机构跨境开展业务的需要纳入跨境传输监管的考量因素之中；另一方面，出境的条件要求逐渐增多，以严格把控个人金融信息跨境传输可能出现的风险。0756782.2.2数据信息的范围可解释空间较大，需要从业机构审慎把握。数据出境要求主要涉及的数据信息类型包括个人金融信息、企业和个人信用信息、证券业务活动有关的文件或资料、因反洗钱/反恐怖融资义务获取的客户身份资料和交易信息，其中前三类信息的范围规定都较为宽泛，留有较大的解释空间。如，对个人金融信息的范围限定上，相关文件都有类似“金融机构在与个人建立业务关系过程中获取、保存的其他个人信息”、“及其他反映特定个人某些情况的信息”的“兜底条款”；同样的，企业和个人的信用信息范围在 征信业管理条例 中并未有明确规定，但根据 个人信用信息基础数据库管理暂行办法，个人信息包括“个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息”。2.2.3关注金融行业标准 JR/T0171-2020个人金融信息保护技术规范（以下简称“规范”）。规范 是今年2月13日由央行发布的推荐性行业标准，是对金融行业有关主体在个人金融信息安全管理和安全技术方面的指导建议。虽然 规范 在效力上属于推荐性行业标准，并无强制执行力，但是金融行业监管部门很可能将 规范作为参考依据，在具体的执法行动或监督检查中适用。对于“个人金融信息”的出境而言，规范 第7.1.3条的要求严苛，并且“开展安全评估”的具体流程以及“境外机构的数据安全保护能力达标”的具体要求还有待明确，但足以体现央行对于个人金融信息出境方面的监管的精细化和审慎，应当引起金融机构的足够关注。此外，根据 规范 第7.1.3条的提示，金融机构也应关注国家、行业有关部门制定办法与标准以开展“个人金融信息出境安全评估”。2.2.4关注消费者金融信息跨境传输规定的变化。央行在今年9月15日发布的 中国人民银行金融消费者权益保护实施办法 中，不仅没有保留2019年12月改文件征求意见稿中关于我国消费者金融信息境内存储和跨境传输的规定，同时也删去了2016年版本中关于个人金融信息境内存储和跨境传输的规定，如下表。我们分析，央行删除跨境传输规定，不代表此后个人（消费者）除法律法规及中国人民银行另有规定+不得提供业务需要+授权同意+向总/分/母/子行+境外机构保密义务业务需要+明示同意+向必要关联机构+符合监管规定+开展安全评估+境外机构数据安全保护能力达标+签订协议/现场核查等措施确保对境外机构的保密、删除、案件协查义务08监管层次3：数据保密要求3.1数据保密要求条文梳理金融信息的跨境传输不再受到相关监管，而是可能为国家、行业有关部门制定的个人信息、个人金融信息跨境传输的规定预留立法空间：首先，未来央行可能在正式出台的 个人金融信息（数据）保护试行办法 或类似文件中规定个人金融信息跨境传输的规制要求。其次，银行业金融机构很可能被列为关键信息基础设施运营者，因此在个人信息跨境传输上可受制于 网络安全法 及配套法律法规的规定。最后，个人信息保护法 的出台，也可能对个人信息的保护和跨境传输做出进一步的规定。09101234567811109111213143.2数据保密要求要点提示2.2.1对于个人金融信息出境的要求逐步明确。对比上表中规范性文件对于个人金融信息出境的限制要求，我们可以看到如下图中的变化。一方面对于个人金融信息出境的限制不再一刀切，将金融机构跨境开展业务的需要纳入跨境传输监管的考量因素之中；另一方面，出境的条件要求逐渐增多，以严格把控个人金融信息跨境传输可能出现的风险。3.2.1相关主体在进行数据跨境传输时不能忽视对传统数据保密合规义务的履行。保密义务的内涵为“除法律法规另有规定外，不得向任何单位或者个人提供”此类数据信息。严格来看，这种金融行业数据保密的要求制约着数据跨境传输至其他主体的情形。此外，“法律法规的另有规定”也一般指的是公权力介入要求提供相关数据信息的情形。3.2.2数据保密是金融机构较为传统的合规要求。在21世纪初，金融行业数据跨境流动还未像现在如此频繁以及受到重视的时候，监管就要求金融机构就负有为存款账户信息、因反洗钱/反恐怖融资获知的客户身份资料、交易信息、个人信用信息等数据信息进行保密的义务。3.2.3数据保密要求的义务主体扩大。虽然我国金融科技发展起源可追溯至上世纪90年代，但从上表我们可以看到,在2000年至2010年间，数据保密义务的主体主要为传统持牌金融机构，如银行、信托投资公司、证券公司、期货经纪公司、保险公司等。即使，2006年 反洗钱法 规定“特定非金融机构”也应当对“因反洗钱获取的客户身份资料和交易信息”履行保密义务，但并未明确“特定非金融机构”有哪些，并且在第35条中明确“应当履行反洗钱义务的特定非金融机构的范围、其履行反洗钱义务和对其监督管理的具体办法，由国务院反洗钱行政主管部门会同国务院有关部门制定。”在2003年以后，电子商务在我国开始兴起，非银行支付机构登上舞台。在接下来的十年间，互联网技术与金融行业进一步加速融合，蓬勃发展。为应对高速发展过程中不断涌现的问题，在2010年至今，监管部门针对非银行支付机构、互联网金融从业机构以及信用评级机构，制定了对客户身份和交易信息、消费者金融信息、个人隐私信息、网络借贷中出借人和借款人信息等数据信息的保密要求，“特定非金融机构”的范围逐步清晰。其实，不限于数据保密的要求，由于互联网金融以及金融科技的迅猛发展，“特定非金融机构”掌握的数据量激增和数据重要程度提升，针对“特定非金融机构”，在对数据信息的跨境传输上的其他要求（如数据本地化要求、数据出境的要求）上，也日渐向传统持牌金融机构靠拢。12监管层次4：其他数据跨境活动要求4.1条文梳理13!213456 横向分析在对上述四个监管层次的要求进行横向对比分析后，我们认为需要关注以下方面：1.数据本地化要求与数据出境要求我们认为，数据本地化要求和数据出境要求都是监管部门通过行政方式干预数据跨境流动的限制性手段，但是两者的侧重点不同。综合比对数据本地化要求和数据出境要求我们可以看到，存在三种组合形式（如下表）：一是可以在境外存储，但境内也应存储；二是仅要求在境内存储，但未限制跨境传输；三是要求境内存储，同时限制/禁止跨境传输。4.2要点分析4.2.1由监管部门直接负责的数据信息跨境传输。上表中的前三个文件列举了三种情形下的数据跨境传输将由相关监管部门进行负责，金融机构在其中如有数据信息跨境传输行为，需要接受监管部门的监督指导或批准：一是向境外反洗钱机构提供信息和资料；二是应对境外协助执行的反洗钱或反恐怖融资案件；三是向境外提供证券业务活动有关的文件和资料。4.2.2境外分支机构的数据信息提供义务。通过上表中的后三个文件我们可以看到，境外分支机构在开展业务的过程中，为开展业务以及履行反洗钱/反恐怖融资义务，将进行客户身份识别、客户身份资料和交易记录保存等工作。在此过程中，可