微眾銀行：2020中國金融數據跨境流動監管政策報告(40頁).pdf

《微眾銀行：2020中國金融數據跨境流動監管政策報告(40頁).pdf》由會員分享，可在線閱讀，更多相關《微眾銀行：2020中國金融數據跨境流動監管政策報告(40頁).pdf（40頁珍藏版）》請在三個皮匠報告上搜索。

1、 前言 PREFACE 備受關注的金融數據跨境流動 隨著改革開放的不斷深入， 中國經濟與世界經濟之間的聯系越來越密切， 尤其是2001年中國加入世 界貿易組織后， 中國融入經濟全球化的步伐加快， 中國企業與居民與世界各個國家與地區的貿易與 交往日趨頻繁， 其從事跨境經濟活動所產生的數據往往是跨越國界的。 金融是經濟的血脈， 越來越多 的跨境貿易等經濟活動隨之也帶來了對跨境金融的強烈需求。 而提供金融服務的金融機構， 一方面 在提供金融服務時， 期望能夠獲得客戶的各類相關數據為其獲取客戶、 經營決策提供支持， 另一方面， 出于合規管理的需要， 也需要數據履行相關的義務。 同時， 洗錢等金融犯罪活

2、動也由于科技的發展以 及金融服務業的全球化而變得日益復雜化， 各國監管機構之間也很自然的在數據交換方面有著強烈 的訴求。 因此， 從業務、 合規、 監管三方面看， 金融數據跨境流動必不可少。 另外， 金融數據的跨境流動在帶來便利的同時， 也潛藏著一系列風險。 金融數據與個人隱私及企業合 法權益、 公共權益乃至國家安全緊密相關， 數據的跨境流動也必然意味著風險的復雜化、 擴大化及不 可控傾向。 為了應對上述數據跨境需求與風險控制之間的矛盾， 保護金融數據安全， 實現風險可控， 在金融數據 的跨境流動方面， 我國立法者及金融監管部門多年來進行了大量的積極探索， 近年更是愈加頻繁， 2015年至20

3、20年關于與金融數據跨境流動有關的文件數量是2000年至2015年所出臺文件數量總和 的兩倍還多 （如下圖） 。 從這些規范性文件中， 我們梳理出了兩條監管思路， 一是金融行業監管部門的 數據跨境規制體系， 二是 網絡安全法 的數據跨境規制體系。 圖表 1： 數據跨境傳輸有關規范性文件數量 金融行業監管部門數據跨境規制體系 01 縱向分析 02 監管層次1： 數據本地化的要求 02 監管層次2： 數據出境要求 06 監管層次3： 數據保密要求 09 監管層次4： 其他數據跨境活動要求 13 橫向分析 14 網絡安全法 數據跨境規制體系 17 主體： 關鍵信息基礎設施運營者 （CIIO） 17

4、客體： 個人信息/重要數據 22 要求： 安全評估 27 網絡安全法 數據跨境規制體系小結 28 結語 29 參考文章 30 附錄 31 相關規范性文件 31 目錄 CONTENTS 金融行業監管部門數據跨境規制體系 根據我們對金融行業監管部門數據跨境流動方面的規范性文件的檢索 和分析， 我們將金融行業的監管分為四個層次， 分別為： 數據本地化的要 求、 數據出境的要求、 數據保密要求以及其他數據跨境要求。 下文將進行 縱向、 橫向的交叉分析和要點提示， 以期能為金融機構從業者提供內部 數據治理及數據全球化部署這一 “必修課” 提供參考和幫助。 圖表 2： 不同類別的規范性文件數量 01 縱向

5、分析 監管層次1： 數據本地化的要求 1.1數據本地化要求條文梳理 02 1 2 3 5 4 03 6 7 8 9 10 11 12 04 13 14 15 16 1.2數據本地化要求要點提示 1.2.1數據本地化可以理解為對數據信息的境內 存儲要求， 通過要求相關數據信息在某國家或區 域范圍內進行存儲， 來實現對特定數據信息相對 獨立自主的占用、 處理、 管理效果。 1.2.2數據本地化的要求并非近年才有。 通過上表 我們可以看到， 2006年銀監會在 電子銀行行業務 管理辦法 中， 已就中資銀行的相關運營系統和 服務器做出了設置在境內的要求。 除金融數據以 外， 我們還檢索到1982年 關

6、于對外合作開采海 洋石油資源資料管理的規定 中要求 “運往國外 的原始資料， 在復制或使用完畢后， 應及時運回中 國境內保存” 。 也即， 在數據信息的跨境流動還未 像當下如此便捷和頻繁的時期， 國家已對特定數 據信息做出了本地化的要求。 1.2.3數據本地化不僅針對數據信息還針對數據 信息的載體。 比如， 上表中 中國人民銀行關于銀 行業金融機構做好個人金融信息保護工作的通 知 中的數據本地化客體是 “個人金融信息” ， 但 電子銀行業務管理辦法 、 央行上海分行 關于銀 行業金融機構做好個人金融信息保護工作有關問 題的通知 、中國銀行業監督管理委員會中資商 業銀行行政許可事項實施辦法 、非

7、銀行支付機 構網絡支付業務管理辦法 等文件都對相關金融 機構或第三方支付機構的運營系統/業務處理系 統/存儲數據設備這類數據信息的載體做出設置 在境內的要求。 1.2.4數據本地化存儲的方式一般包括境內物理 服務器或云服務器。 在 “數據上云” 越來越普遍的 當下， 我們也應關注到如果使用云服務存儲數據 信息應當如何應對數據本地化的要求。 盡管目前 我們還未檢索到對 “境內存儲” 的存儲方式作出明 確規定的金融行業監管規范性文件， 但從2018年 8月 國務院辦公廳關于加強政府網站域名管理 的通知 中提出的， 對于 “自行建設運維的政府網 站服務器不得放在境外； 租用網絡虛擬空間的， 所 租用

8、的空間應當位于服務商的境內節點” 我們可 以分析出， 如果相關數據信息有境內存儲要求， 且企業選擇云服務器進行存儲的情況下， 應當注 重選擇服務商境內節點所提供的云服務。 05 監管層次2： 數據出境要求 2.1數據出境要求條文梳理 06 1 2 3 4 2.2數據出境要求要點提示 2.2.1對于個人金融信息出境的要求逐步明確。 對比上表中規范性文件對于個人金融信息出境的限 制要求， 我們可以看到如下圖中的變化。 一方面對于個人金融信息出境的限制不再一刀切， 將金融 機構跨境開展業務的需要納入跨境傳輸監管的考量因素之中； 另一方面， 出境的條件要求逐漸增多， 以嚴格把控個人金融信息跨境傳輸可能

9、出現的風險。 07 5 6 7 8 2.2.2數據信息的范圍可解釋空間較大， 需要從 業機構審慎把握。 數據出境要求主要涉及的數據 信息類型包括個人金融信息、 企業和個人信用信 息、 證券業務活動有關的文件或資料、 因反洗 錢/反恐怖融資義務獲取的客戶身份資料和交易 信息， 其中前三類信息的范圍規定都較為寬泛， 留有較大的解釋空間。 如， 對個人金融信息的范 圍限定上， 相關文件都有類似 “金融機構在與 個人建立業務關系過程中獲取、 保存的其他個 人信息” 、“ 及其他反映特定個人某些情況的信 息” 的 “兜底條款” ； 同樣的， 企業和個人的信用 信息范圍在 征信業管理條例 中并未有明確規

10、定， 但根據 個人信用信息基礎數據庫管理暫行 辦法 ， 個人信息包括 “個人基本信息、 個人信貸 交易信息以及反映個人信用狀況的其他信息” 。 2.2.3關注金融行業標準 JR/T0171-2020個人 金融信息保護技術規范（以下簡稱 “ 規范 ” ） 。 規范 是今年2月13日由央行發布的推薦性行 業標準， 是對金融行業有關主體在個人金融信息 安全管理和安全技術方面的指導建議。 雖然 規 范 在效力上屬于推薦性行業標準， 并無強制執 行力， 但是金融行業監管部門很可能將 規范 作為參考依據， 在具體的執法行動或監督檢查 中適用。 對于 “個人金融信息” 的出境而言，規 范 第7.1.3條的要

11、求嚴苛， 并且 “開展安全評估” 的具體流程以及 “境外機構的數據安全保護能 力達標” 的具體要求還有待明確， 但足以體現央 行對于個人金融信息出境方面的監管的精細化 和審慎， 應當引起金融機構的足夠關注。 此外， 根據 規范 第7.1.3條的提示， 金融機構也應關 注國家、 行業有關部門制定辦法與標準以開展 “個人金融信息出境安全評估” 。 2.2.4關注消費者金融信息跨境傳輸規定的變化。 央行在今年9月15日發布的 中國人民銀行金融 消費者權益保護實施辦法 中， 不僅沒有保留 2019年12月改文件征求意見稿中關于我國消費 者金融信息境內存儲和跨境傳輸的規定， 同時也 刪去了2016年版本

12、中關于個人金融信息境內存 儲和跨境傳輸的規定， 如下表。 我們分析， 央行 刪除跨境傳輸規定， 不代表此后個人 （消費者） 除法律法規及中國人民銀行另有規定+不得提供 業務需要+授權同意+向總/分/母/子行+境外機構保密義務 業務需要+明示同意+向必要關聯機構+符合監管規定+開展安全評估+境外機構數據安全保護 能力達標+簽訂協議/現場核查等措施確保對境外機構的保密、 刪除、 案件協查義務 08 監管層次3： 數據保密要求 3.1數據保密要求條文梳理 金融信息的跨境傳輸不再受到相關監管， 而是可能為國家、 行業有關部門制定的個人信息、 個人金融 信息跨境傳輸的規定預留立法空間： 首先， 未來央行

13、可能在正式出臺的 個人金融信息 （數據） 保護試 行辦法 或類似文件中規定個人金融信息跨境傳輸的規制要求。 其次， 銀行業金融機構很可能被列 為關鍵信息基礎設施運營者， 因此在個人信息跨境傳輸上可受制于 網絡安全法 及配套法律法規 的規定。 最后，個人信息保護法 的出臺， 也可能對個人信息的保護和跨境傳輸做出進一步的規定。 09 10 1 2 3 4 5 6 7 8 11 10 9 11 12 13 14 3.2數據保密要求要點提示 2.2.1對于個人金融信息出境的要求逐步明確。 對比上表中規范性文件對于個人金融信息出境 的限制要求， 我們可以看到如下圖中的變化。 一方面對于個人金融信息出境的

14、限制不再一刀 切， 將金融機構跨境開展業務的需要納入跨境傳 輸監管的考量因素之中； 另一方面， 出境的條件要 求逐漸增多， 以嚴格把控個人金融信息跨境傳輸 可能出現的風險。 3.2.1相關主體在進行數據跨境傳輸時不能忽視 對傳統數據保密合規義務的履行。 保密義務的內 涵為 “除法律法規另有規定外， 不得向任何單位 或者個人提供” 此類數據信息。 嚴格來看， 這種金 融行業數據保密的要求制約著數據跨境傳輸至 其他主體的情形。 此外，“法律法規的另有規定” 也一般指的是公權力介入要求提供相關數據信 息的情形。 3.2.2數據保密是金融機構較為傳統的合規要求。 在21世紀初， 金融行業數據跨境流動還

15、未像現 在如此頻繁以及受到重視的時候， 監管就要求金 融機構就負有為存款賬戶信息、 因反洗錢/反恐 怖融資獲知的客戶身份資料、 交易信息、 個人信 用信息等數據信息進行保密的義務。 3.2.3數據保密要求的義務主體擴大。 雖然我國 金融科技發展起源可追溯至上世紀90年代， 但 從上表我們可以看到,在2000年至2010年間， 數 據保密義務的主體主要為傳統持牌金融機構， 如銀行、 信托投資公司、 證券公司、 期貨經紀公 司、 保險公司等。 即使， 2006年 反洗錢法 規定 “特定非金融機構” 也應當對 “因反洗錢獲取的客 戶身份資料和交易信息” 履行保密義務， 但并未 明確 “特定非金融機構

16、” 有哪些， 并且在第35條中 明確 “應當履行反洗錢義務的特定非金融機構 的范圍、 其履行反洗錢義務和對其監督管理的 具體辦法， 由國務院反洗錢行政主管部門會同國 務院有關部門制定。 ” 在2003年以后， 電子商務 在我國開始興起， 非銀行支付機構登上舞臺。 在 接下來的十年間， 互聯網技術與金融行業進一 步加速融合， 蓬勃發展。 為應對高速發展過程中 不斷涌現的問題， 在2010年至今， 監管部門針對 非銀行支付機構、 互聯網金融從業機構以及信用 評級機構， 制定了對客戶身份和交易信息、 消費 者金融信息、 個人隱私信息、 網絡借貸中出借人 和借款人信息等數據信息的保密要求， “特定非

17、金融機構” 的范圍逐步清晰。 其實， 不限于數據 保密的要求， 由于互聯網金融以及金融科技的 迅猛發展，“特定非金融機構” 掌握的數據量激增 和數據重要程度提升， 針對 “特定非金融機構” ， 在對數據信息的跨境傳輸上的其他要求 （如數據 本地化要求、 數據出境的要求） 上， 也日漸向傳統 持牌金融機構靠攏。 12 監管層次4：其他數據跨境活動要求 4.1條文梳理 13 ! 2 1 3 4 5 6 橫向分析 在對上述四個監管層次的要求進行橫向對比分析后， 我們認為需要關注以下方面： 1.數據本地化要求與數據出境要求 我們認為， 數據本地化要求和數據出境要求都是監管部門通過行政方式干預數據跨境流

18、動的限制 性手段， 但是兩者的側重點不同。 綜合比對數據本地化要求和數據出境要求我們可以看到， 存在三 種組合形式 （如下表） ： 一是可以在境外存儲， 但境內也應存儲； 二是僅要求在境內存儲， 但未限制跨 境傳輸； 三是要求境內存儲， 同時限制/禁止跨境傳輸。 4.2要點分析 4.2.1由監管部門直接負責的數據信息跨境傳輸。 上表中的前三個文件列舉了三種情形下的數據 跨境傳輸將由相關監管部門進行負責， 金融機構 在其中如有數據信息跨境傳輸行為， 需要接受監 管部門的監督指導或批準： 一是向境外反洗錢機 構提供信息和資料； 二是應對境外協助執行的反 洗錢或反恐怖融資案件； 三是向境外提供證券

19、業務活動有關的文件和資料。 4.2.2境外分支機構的數據信息提供義務。 通過 上表中的后三個文件我們可以看到， 境外分支機 構在開展業務的過程中， 為開展業務以及履行 反洗錢/反恐怖融資義務， 將進行客戶身份識別、 客戶身份資料和交易記錄保存等工作。 在此過 程中， 可能存在兩種形式向境外監管部門提供 數據信息， 一是由境外分支機構直接提供相關 數據信息； 二是， 境外分支機構將相關數據信息 傳輸至境內總行/總部保存的， 可能需要由總 行/總部向提供相關數據信息。 由于第二種形式， 與 “由監管部門直接負責的數據信息跨境傳輸” 的情形存在重合， 建議金融機構同樣在相關監 管部門的監督和指導下進

20、行。 14 2. 對傳統數據保密要求的突破效果 同時， 我們也關注到一些規范性文件關于數據跨境傳輸的規定， 實質上產生了對傳統數據保密要求的 突破效果。 例如下表中， 2000年國務院發布的規定中對個人存款賬戶數據做出保密的要求； 2011年1月 央行的文件中要求 “銀行業金融機構不得向境外提供境內個人金融信息” ， 且根據該文件， 個人金融信 息包含了個人賬戶信息。 但2011年5月央行上海分行的文件對前述兩個文件都做出了突破， 允許母行 與子行之間在滿足一定條件下跨境傳輸個人金融信息。 法律意義上， 母行和子行是不同法人主體， 也 即， 子行向母行 （或母行向子行） 傳輸數據信息， 可以理

21、解為保密主體向其他單位傳輸數據信息， 是突 破了保密要求的。 但央行上海分行的文件提出， 對于母行與子行之間在滿足 “業務必需+客戶同意+確保 保密” 的條件下， 跨境提供境內個人金融信息可不視為違規。 此后， 央行在2020年發布的 JR/T0171-2020 個人金融信息保護技術規范 ， 在確認上海分行的該種數據跨境傳輸條件框架下， 又添加了簽訂協議、 現場核查等要求， 在一定程度上 “抵消” 了傳統的數據保密合規要求對數字化時代下數據需要在業務 關聯度較高的不同法人主體間跨境傳遞的 “負面影響” 。 15 16 網絡安全法 數據跨境規制體系 網絡安全法（以下簡稱 “網安法” ） 數據跨境

22、規制體系主要是以其第三 十七條為中心展開的 “關鍵信息基礎設施的運營者在中華人民共和國 境內運營中收集和產生的個人信息和重要數據應當在境內存儲， 因業務 需要， 確需向境外提供的， 應當按照國家網信部門會同國務院有關部門制 定的辦法進行安全評估； 法律、 行政法規另有規定的， 依照其規定。 ” 為便于研究， 我們將該條拆分為如下表中的結構， 并在下文中對在業務過 程中困擾企業較多的1） 主體關鍵信息基礎設施運營者， 2） 客體 個 人信息/重要數據以及3） 要求安全評估這三項要素作出分析。 主體： 關鍵信息基礎設施運營者 （CIIO） 根據網安法第31條至39條，“關鍵信息基礎設施的運營者”（

23、以下簡稱 “CIIO” ） 在個人信息和重要數據的跨境流動上受到較多限制， 以及較一般網絡運營 者， CIIO對于所持有的關鍵信息基礎設施 （以下簡稱 “ CII” ） 負有更多的安 全保護義務， 因此對于網絡運營者來說， 明晰自身是否運營CII意義重大。 17 我們將與CII有關的重要文件或監管部門重要行動脈絡進行了梳理， 如下表： 18 根據我們對上表中的CII有關動態及規范性文件 的研究和分析， 我們認為金融機構從業人員需 要關注以下要點： 1.金融機構所運行、 管理的網絡設施和信息系統 一直作為關鍵信息基礎設施監管涉及的重要對象 從上表我們可以看到，“金融” 一直作為重要行業 和領域被

24、屢次提及， 國家標準 信息安全技術 關 鍵信息基礎設施網絡安全保護基本要求 （報批 稿） 試點工作所選取的12家單位亦包含了金融 機構。 2.將可能由央行科技司具體負責金融業的關鍵 信息基礎設施識別認定工作 根據網安法第32條以及今年7月公安部發布 貫 徹落實網絡安全等級保護制度和關鍵信息基礎 設施安全保護制度的指導意見 ， 我們基本可以 明確， 將由公安部指導和監督關鍵信息基礎設施 的安全保護工作； 重要行業和領域的主管、 監管 部門負責制定本行業、 本領域CII認定規則并報 公安部備案； 主管、 監管部門根據CII認定規則識 別本行業、 本領域的CII， 并將認定結果報給公安 部并通知CI

25、IO。 另根據央行在2019年2月發布的 中國人民銀行職能配置、 內設機構、 人員編制 規定 ， 科技司將負責金融業的CII建設工作。 綜合 來看， 金融行業領域內， 很可能由央行科技司主 要負責金融行業內CII的個認定規則制定與認定 工作， 并將規則與認定結果報公安部。 19 3. 關鍵信息基礎設施安全保護條例 預計今年 將會出臺 根據國務院辦公廳今年6月份發布的 國務院2020 年立法工作計劃 ， 國務院2020年擬制定、 修訂 的行政法規包括 關鍵信息基礎設施安全保護條 例 ， 由網信辦、 工信部、 公安部起草。 4.關注 貫徹落實網絡安全等級保護制度和關鍵 信息基礎設施安全保護制度的指

26、導意見（以下 簡稱 “ 關保等保指導意見 ” ） 根據結合有關文件的解讀， 我們認為需要明確 關保等保指導意見 傳達出的如下信息： 4.1關鍵信息基礎設施的保護 （以下簡稱 “關?！?） 是在 “等保2.0” 基礎之上實行的重點保護 根據網安法第31條對于關鍵信息基礎設施 “在網 絡安全等級保護制度的基礎上， 實行重點保護” ， 以及 關保等保指導意見 工作目標中提出的 “在貫徹落實網絡安全等級保護制度的基礎上， 關鍵信息基礎設施涉及的關鍵崗位人員管理、 供應鏈安全、 數據安全、 應急處置等重點安全保 護措施得到有效落實， 關鍵信息基礎設施安全防 護能力明顯增強” ， 我們看出， 如果說等保是

27、面向 網絡運營者的普遍義務， 那么關保則是針對CIIO 的特殊義務； 同樣的， 等保面向的一般的網絡設 施和信息系統， 關保則是面向承載著重要行業 和領域的關鍵業務的網絡設施和信息系統。 4.2等保與關保的異同點 另外根據我們對涉及等保有關國家標準與關保 有關國家標準的對比梳理， 我們認為有以下異 同點， 可以幫助大家理解等保與關保的關系， 以 及認識關保： 4.2.1關保和等保的對象都是網絡設施和信息系 統， 區別在于： 等保面向的一般的網絡設施和信 息系統， 包括： 基礎信息網絡、 云計算平臺/系統、 大數據應用/平臺/資源、 物聯網 （IoT） 、 工業控制 系統和采用移動互聯技術的系統

28、等； 關保則是 面向承載著重要行業和領域的關鍵業務的網絡 設施和信息系統，關保和等保指導意見 還特 別提出 “基礎網絡、 大型專網、 核心業務系統、 云 平臺、 大數據平臺、 物聯網、 工業控制系統、 智能 制造系統、 新型互聯網、 新興通訊設施等” 應作為 重點保護對象納入CII范圍。 4.2.2義務主體上， 等保2.0體系下， 網絡安全 等級保護義務是基礎的、 普遍適用的， 但關保針 對重要行業領域。 義務要求上， 關保的要求顯然較等保要求更高。 4.2.3關保和等保范圍都將按照認定規則和一定 流程、 程序來進行識別認定， 區別在于： 等保的 20 認定規則由 GB/T 28448-201

29、9 信息安全技術網 絡安全等級保護測評要求 等國家標準明確， 但 關保的認定規則需要由相應行業、 領域的主管或 監管部門制定， 是否公開還不明確。 4.2.4關保和等保范圍都將由專門機構來識別認 定， 區別在于： 等保的測評認定可由公安部認可 的測評服務單位提供， 但關保的認定將由相應行 業、 領域的主管或監管部門負責。 4.2.5等保和關保的指導監督工作都由公安機關 負責， 區別在于： 等保二級以上的網絡運營者只需 要至縣級以上公安機關備案； 但關保的備案是由相 應行業領域的主管或監管部門報公安部備案。 4.2.6保密要求上， 我們認為， 一般對于通過等保 測評認定的評級結果沒有保密要求；

30、但是鑒于CII 與國家安全、 國計民生、 公共利益極為相關， 因此， 某網絡設施和信息系統是否被認定為關鍵信息 基礎設施這一信息很可能是保密的。 5.關注 信息安全技術 關鍵信息基礎設施邊界 確定方法 （征求意見稿） （以下簡稱 “ 邊界確定 方法 ” ） 前不久發布的 邊界確定方法 為我們展現了CII 邊界確定的方法 （如下圖） 。 此外， 根據該文件， 我們也需要關注到， 1） 由 “行業主管部門認定的 關鍵業務” 是確定CII邊界的前提， 以及2） 由于關 鍵業務是發展變化的， 相應的CII邊界也應作出 及時調整。 21 客體： 個人信息/重要數據 根據網安法第31條至39條，“關鍵信息

31、基礎設施的運營者”（以下簡稱 “CIIO” ） 在個人信息和重要數 據的跨境流動上受到較多限制， 以及較一般網絡運營者， CIIO對于所持有的關鍵信息基礎設施 （以下簡稱 “ CII” ） 負有更多的安全保護義務， 因此對于網絡運營者來說， 明晰自身是否運營CII 意義重大。 1.個人信息 關于個人信息的定義和范圍， 網安法、GB/T 35273-2020信息安全技術 個人信息安全規范 （以下簡稱 “ 個人信息規范 ” ） 都給了較為明確定義， 特別是 個人信息規范 ， 提供了判定 某項信息是否屬于個人信息的兩條參考路徑：“一是識別， 即從信息到個人， 由信息本身的特 殊性識別出特定自然人，

32、個人信息應有助于識別出特定個人。 二是關聯， 即從個人到信息， 如 已知特定自然人， 由該特定自然人在其活動中產生的信息(如個人位置信息、 個人通話記錄、 個人瀏覽記錄等)即為個人信息。 符合上述兩種情形之一的信息， 均應判定為個人信息。 ” 此 外，個人信息規范 的附錄A給出了個人信息的舉例， 其中與金融行業較為相關是 “個人財產 信息” ， 包括 “銀行賬戶、 鑒別信息(口令)、 存款信息(包括資金數量、 支付收款記錄等)、 房產信 息、 信貸記錄、 征信信息、 交易和消費記錄、 流水記錄等， 以及虛擬貨幣、 虛擬交易、 游戲類兌 換碼等虛擬財產信息” 。 此外， 根據我們為金融機構提供數

33、據合規服務的經驗， 對于 個人信息規范 已列舉出的個人 信息類型， 需要按照關于個人信息保護的有關規定進行收集使用等處理行為， 這一點并無太 多爭議， 但對于一些還未明確列舉是否是個人信息， 比如帶有預測成分的個人用戶畫像， 其 屬性判定就需要依照前述 “兩條參考路徑” 以及監管動向進行具體判定。 2.重要數據 我們對 “重要數據” 有關的重要文件梳理如下表： 22 23 根據我們對上表中 “重要數據” 有關內容的研 究和分析， 我們認為金融機構從業人員需要 關注以下要點： 2.1關注 金融數據安全 數據安全分級指南 （送審稿） （以下簡稱 “ 分級指南 ” ） 分級指南 對于金融行業從業者在

34、進行數據 分級以及數據治理較具有參考價值， 其結合 影響對象、 影響程度因素， 將金融數據分為1 至5級， 其中有關重要數據的內容摘錄如下表。 從中我們認為可以解讀出如下幾個要點： 2.1.1重要數據的占比小。 按照 分級指南 對金融數據的分級， 重要數據屬于其第5級數 據， 我們認為其在金融機構數據中的占比非 常小。 2.1.2金融業重要數據一旦遭到破壞的影響 對象為國家安全和公眾權益。 對于國家安全， 影響輕微即可能屬于重要數據， 對于公眾權 益， 需要造成非常嚴重的影響才可能屬于重 要數據。 按照此種影響對象和影響程度的考 量， 破壞僅對個人權益或企業權益造成影響的 數據， 不足以被認定

35、為重要數據。 重要數據 一般不包括企業生產經營和內部管理信息、 個人信息等。 2.1.3匯聚后的個人數據可能構成重要數據。 分級指南 附錄C對于 “海量信息匯聚得到的 衍生特征數據” 這一重要數據包含的內容描 述為： 匯聚后覆蓋多省市的金融消費者真實 交易信息。 2.1.4重要數據與關鍵信息基礎設施的關系。 根據 分級指南 附錄C的表述， 我們可歸結出 兩條關系： 1） 一旦被破壞， 將危害關鍵信息基 礎設施， 屬于重要數據； 2） 關鍵信息基礎設施 的網絡安全缺陷信息 （網絡設備、 服務器、 信 息系統等有關漏洞信息） 屬于重要數據。 24 2.2對于泄露僅影響到個人權益和企業權益的， 一般

36、不認為是重要數據 根據監管部門最新的文件， 重要數據一旦泄露， 其影響對象是國家安全或公共利益。 實際上， 監管部 門關于重要數據的認定范圍經歷了一個 “窄-寬-窄” 的過程 （如下表） ， 其中2017年8月網信辦采取的 標準過于寬泛， 目前監管部門已不再采取該種標準。 25 2.3關注 數據安全法 （草案） 釋放的信號 根據 數據安全法 （草案） 第19條、 第25條和第 28條， 我們認為需要關注如下內容： 2.3.1重要數據是在數據分級分類基礎上進行的 重點保護。 2.3.2不同地區、 不同部門、 不同行業將分別制定 重要數據保護目錄。 2.3.3將有配套的關于數據安全的法律、 行政法

37、規 的規定和國家標準的強制性要求。 2.3.4重要數據的處理者注意需要設立數據安全 負責人和管理機構， 落實數據安全保護責任。 2.3.5重要數據的處理者應當定期開展有關重要 數據的風險評估。 2.4 信息安全技術 重要數據識別指南 關于重要 數據的分類標準很可能將不再沿用行業分類的 方式 根據中國信通院安全研究所數據安全研究部副 主任陳湉所撰 對 數據安全法 的理解和認識|重 要數據如何保護 ， 我們了解到擬定的 信息安全 技術 重要數據識別指南“簡化了重要數據定義、 明確提出了重要數據的主要分布； 不再延用行 業分類的方式， 而是從數據的作用、 受破壞后可 能帶來的影響等角度， 將重要數據

38、分為國民經濟 運行類、 安保類、 自然資源與環境類、 健康類、 敏感技術類、 用戶類及政府工作秘密類。 ” 26 要求： 安全評估 我們對數據出境安全評估的有關內容梳理如下表： 根據上表， 關于數據出境的安全評估， 2017年出臺 個人信息和重要數據出境安全評估辦法 （征求意 見稿） （以下簡稱 “ 2017出境評估辦法 ” ） 及其配套的國家標準 信息安全技術 數據出境安全評估 指南 （征求意見稿） （以下簡稱 “ 2017出境評估指南 ” ） 采取的是 “網絡運營者自評估+行業主管或 監管部門安全評估” 的模式， 這可作為行業從業者可預期的數據出境的評估模式參考。 但鑒于 2017 出境評

39、估辦法 和 2017出境評估指南 至今未再修訂， 其關于重要數據、 需要進行數據出境評估的 主體范圍認定上已與目前監管思路和文件產生較大出入， 因此該兩份文件關于安全評估的義務主體 層面的內容還需謹慎對待。 27 網絡安全法 數據跨境規制體系小結 根據對網安法監管體系下數據出境的分析我們可以看出， 首先， 在主體上， 關鍵信息基礎設施及其 運營者的認定存在一個過程， 盡管金融機構被認定為CIIO的可能性較大， 但并不意味著其持有的所 有網絡設施和信息系統都將被認定為CII， 且今年公安部的指導監督下CII的識別認定工作應當會較 之前有較大進展； 其次， 在客體層面， 關于個人信息的范圍認定趨于

40、明確； 關于重要數據的范圍認定 上還需等待相關文件出臺， 但其影響對象應當為 “國家安全” 和 “公眾權益” 這一方向逐漸明確， 也即 意味著 “重要數據” 并不會在一個企業的數據比例中占比非常大。 再次， 對于數據出境評估所需要依 據安全評估辦法， 還有待相關文件出臺。 28 結語 通過對 “金融行業監管部門數據跨境規制” 和 “ 網絡安全法 數據跨境規制” 兩 個監管體系有關規范性文件的梳理和要點提示我們可以看到： 金融行業監管這條線下， 數據跨境流動監管要求主要是控制與 “人” 有關的數據 信息及業務運營或處理系統， 主要處理的是金融行業有關主體因跨境開展業務 產生的數據跨境傳輸需求與將

41、控制金融數據跨境傳輸所帶來的風險之間的矛 盾， 監管要求散布于多部文件之中較為龐雜， 但相對明確， 便于金融行業從業者 把握。 其中特別需要提示的是， 應當密切關注央行 個人金融信息 （數據） 保護試 行辦法 或類似文件的出臺， 將很有可能涉及個人金融信息的出境規制。 網安法監管這條線下， 數據跨境流動監管要求主要是控制CIIO的個人信息和重 要數據， 主要處理的是不限于金融行業在內的重要領域、 行業的數據跨境傳輸 需求與控制數據跨境傳輸給國家安全、 社會公共利益所帶來的風險之間的矛盾， 涉及的規范性文件不多， 但具體要求還都有待關保工作的開展和有關文件的 出臺來進一步的明確。 此外， 我們也

42、發現了這兩條線之間的連接點， 也是殊途同歸之處， 都在于 “數據 出境安全評估制度” 。 根據網安法第37條， CIIO的個人信息和重要數據出境將 有賴于 “國家網信部門會同國務院有關部門制定的辦法進行安全評估。 根據金 融行業標準 JR/T0171-2020個人金融信息保護技術規范 ， 金融機構應依據 29 國家、 行業有關部門制定的辦法與標準開展個人金融信息出境安全評估。 但截 至目前安全評估的依據和流程都還不清晰。 對于金融行業從業者來說， 兩條線各有側重、 互為補充， 雖然法定義務有待細化 和統一， 但脈絡已經顯現， 兩條線都需要保持關注。 最后， 從跨境數據流動的監管政策體系變化能看

43、到， 我國監管機構的立場與時 俱進， 根據技術發展和金融業務的實際需求而不斷調整。 從一開始 “一刀切” 地 限制數據出境， 后來逐漸有條件地允許合規流動， 到現在形成一套較為完整的 體系來規范引導， 體現了創新監管、 分層監管、 精準監管的演進歷程。 由此， 監 管政策一方面服務好了跨境金融的市場需求， 另一方面也滿足了跨境監管合 作的要求。 未來， 金融跨境數據的流動一定會持續完善， 我們將繼續保持密切 關注。 參考文章 1.上海市法學會江翔宇課題組 金融數據跨境流動立法與監管的比較研究報告 2.馬蘭 金融數據跨境流動規制的核心問題和中國因應 ， 載 國際法研究 2020 年第3期 3.袁

44、立志 馮堅堅 銀行業金融數據出境的監管框架與脈絡 4.李偉 我國金融數據跨境流動規則建設的思考與建議 30 附錄 相關規范性文件 1. 個人存款賬戶實名制規定 國務院2000.3.20發布 2. 人民幣銀行結算賬戶管理辦法 中國人民銀行2003.4.10發布 3. 個人信用信息基礎數據庫管理暫行辦法 中國人民銀行2005.8.18發布 4. 電子銀行業務管理辦法 中國銀行業監督管理委員會2006.1.26發布 5. 反洗錢法 全國人民代表大會常務委員會2006.10.31發布 6. 金融機構反洗錢規定 中國人民銀行2006.11.14發布 7. 中國人民銀行關于證券期貨業和保險業金融機構嚴格執

45、行反洗錢規定防范洗錢風險的通知 中國人民銀行2007.1.30發布 8. 中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知 中國人民銀行2011.1.21發布 9. 關于銀行業金融機構做好個人金融信息保護工作有關問題的通知 中國人民銀行上海分行2011.5.12發布 10. 關于調整證券資格會計師事務所申請條件的通知 財政部、 中國證券監督管理委員會2012.1.21發布 11. 支付機構反洗錢和反恐怖融資管理辦法 中國人民銀行2012.3.5發布 12. 保險公司財會工作規范 中國保險監督管理委員會2012.7.1發布 13. 征信業管理條例 國務院2013.1.21發布 14. 非銀行支付機構網絡支付業務管理辦法 中國人民銀行2015.12.28發布 15. 網絡借貸信息中介機構業務活動管理暫行辦法 中國銀行業監督管理委員會、 工業和信息化部、 公安部、 國家互聯網信息辦 公室2016.8.17發布 16. 網絡安全法 全國人民代表大會常務委員會2016.11.7發布 17. 個人信息和重要數據出境安全評估辦法 （征求意見稿） 國家互聯網信息辦公室2017.4.11發布