《中国人民银行业务领域数据安全管理办法》(以下简称《管理办法》)将于2025年6月30日正式实施,标志我国金融数据监管进入全新时代。作为首部系统性规范金融数据全生命周期的监管文件,《管理办法》在业务数据分类、数据全流程管理等方面提出了全新要求。同时,针对开展跨境业务的金融机构,《管理办法》构建了全新的监管框架,例如要求金融机构根据中国人民银行的规定完善数据分级分类,要求所有跨境数据传输在符合相关法律规定的情况下必须完成评估,并规定了数据提供活动的安全保护管理措施。我们认为该监管规则不仅适用于境内银行,外国银行境内分行也同样被纳入监管范围。本文将结合最新监管动态,从开展跨境业务的金融机构角度浅析《管理办法》的核心要求,为金融机构应对跨境数据合规挑战提供建议。
《管理办法》在业务领域维度进行监管并明确了适用范围。根据《管理办法》第二条规定,数据处理者是指金融机构及中国人民银行批准设立或认定的其他机构。境内银行和外国银行境内分行均属于经中国人民银行批准设立的金融机构,并可在境内依法开展业务,因此我们认为上述主体均适用《管理办法》的相关规定。
《管理办法》第二条同时规定了“业务数据”的定义,即中国人民银行业务领域内产生和收集的不涉及国家秘密的网络数据。因此,对于境内银行及外国银行境内分行在中国境内开展业务收集的不涉及国家秘密的所有网络数据,适用《管理办法》的规定。
《管理办法》第三条锚定了“谁管业务,谁管业务数据,谁管数据安全”的监管原则,确立了多机构在各自领域内共同监管的架构。按照《管理办法》确立的框架,中国人民银行及其地方分支机构为业务数据安全的指导及监管主体,金融行业协会负责开展行业自律管理,制定相关业务数据安全行为规范和团体标准。除此之外,对于落入网信部门监管范围的(如数据出境安全评估),网信部门亦有权介入监管。
如上文分析,《管理办法》明确适用于开展跨境业务的境内银行和外国银行境内分行。有鉴于此,我们根据《管理办法》的新增内容作出以下跨境数据传输的相关业务提示。
1. 完善数据分类,建立数据目录
就业务数据而言,《管理办法》承继了《数据安全法》的数据分级要求,将业务数据分为重要数据、核心数据和一般数据三类,并沿用了2024年出台的国家标准《数据安全技术数据分类分级规则》的相关定义。具体而言:
“重要数据”指特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据;
“核心数据”指对领域、群体、区域具有较高覆盖度或者达到较高精度、较大规模、一定深度,一旦被非法使用或者共享,可能直接影响政治安全的重要数据;
“一般数据”指核心数据、重要数据之外的其他数据。
对于金融机构的重要数据的核定,由中国人民银行组织确定重要数据目录,数据处理者根据目录及《管理办法》的规定准确识别并填报。中国人民银行汇总形成重要数据具体目录,经国家数据安全工作协调机制审定后,确定重要数据的处理者并告知其对应的重要数据。因此,开展跨境业务的金融机构应根据相关监管部门的通知,切实做好业务数据尤其是重要数据的分类与管理,便于数据跨境传输工作的开展与推进。
与此同时,金融机构也应当根据《管理办法》的规定建立业务数据资源目录,并从业务关联性、敏感性和可用性方面分别做好业务数据分类,如是否为个人信息、是否为外部收集产生等,完善数据分类工作。
2. 开展数据提供活动安全保护管理措施
根据《管理办法》第二十一条的规定,我们理解金融机构向境外提供业务数据时,应核验数据接收方身份,同时采取安全保护管理措施。例如,通过标准合同向境外数据处理者提供涉及个人信息和重要数据的业务数据的,应当明确约定各自的数据保护义务以及数据提供的目的、方式、范围以及存储时限,同时做好数据清洗及商业秘密的保护工作等安全保护措施。
金融机构加工和跨境传输高敏感性数据项的,应当进一步明确所采取的安全保护措施,并履行内部审批程序。除此之外,金融机构原则上不得采取导出的方式提供高敏感数据项,原则上不得使用电子邮件、即时通讯软件、在线文件存储等互联网信息服务或者移动介质传输高敏感性数据项,确有需要的,应当统一规范管理相关需求场景。因此,金融机构需要重新评估现有数据传输渠道的合规性,建设符合监管要求的专用安全传输系统,采取对应的安全保护措施。
3. 依法开展各类评估工作
根据《管理办法》第二十四条的规定,金融机构因业务等需要向境外提供数据,存在国家网信部门规定情形的,应当严格遵守有关规定。我们认为《管理办法》此处的规定主要指数据处理者的各类安全评估义务,因此金融机构向境外提供数据特别是重要数据的,首先应当根据《网络数据安全管理条例》和《促进和规范数据跨境流动规定》等的规定向国家网信部门申报数据出境安全评估。对于法律规定无需完成数据出境安全评估的跨境场景,金融机构可以采取法律允许的其他途径完成出境手续,如订立标准合同、开展个人信息保护认证等。
另外,根据《个人信息保护法》第五十五条的规定,金融机构向境外提供个人信息的,还应当事前进行个人信息保护影响评估。
《管理办法》特别强调,数据处理机构不得以任何形式规避数据出境安全评估义务,无论是降低单次传输规模,还是间接实现数据跨境流动,只要实质上构成规避监管的行为,都将被认定为违规。中国人民银行及其分支机构将通过数据流量监测、业务审计等手段强化执法,对于故意规避评估的机构,将依据《数据安全法》从严处罚。
1. 及时跟进央行规定,依据业务数据目录尽快完成业务数据分类
《管理办法》的实施对开展跨境业务的数据处理者提出了更高标准的合规要求,开展跨境业务的金融机构应当及时跟进中国人民银行的最新数据目录,尽快完成数据分类分级工作,并依照《银行保险机构数据安全管理办法》以及其他法律规定,组织建立和维护数据目录、推动实施数据分类分级保护,开展数据安全检测和预警等相关工作。对于重要数据的认定,金融机构应当与监管部门及中国人民银行展开积极沟通,确保数据准确分类,以便开展后续数据跨境的工作。
2. 留意并严格遵守跨境数据传输的评估要求
在数据跨境传输方面,金融机构需建立完善的合规评估机制,针对不同类型的跨境业务场景制定差异化的数据出境方案。对于达到各类评估门槛的跨境数据传输,应当提前准备申报材料,预留充足的审批时间;对于适用标准合同或个人信息保护认证的出境情形,则需完善内部审查流程,确保符合监管要求,不得有任何形式的规避,否则将面临监管部门的处罚。
3. 及时采取安全保护管理措施
金融机构开展跨境数据传输的同时应当留意采取安全保护管理措施,例如通过订立数据出境标准合同的方式明确约定数据提供的目的、方式、范围及保存时限,严格约定保密义务,规范提供方和接收方的业务开展活动内容并监督履行情况。另外对于高敏感性的数据传输,我们建议各金融机构严格审查现有数据传输的方式,如果涉及利用即时通讯、电邮等方式传输的,应当立刻停止并研究新的传输途径,或在必要情况下规范相关需求场景,确保数据安全合法地对外提供。
《管理办法》的实施为跨境业务金融机构的数据合规提出了系统性的监管要求。面对新规,金融机构需动态调整数据治理策略,借助专业法律与技术支持,实现从被动合规到主动治理的转型升级。与此同时,我们留意到中国人民银行、金融监管总局、中国证监会、国家外汇局、广东省人民政府在5月12日联合发布的《关于金融支持广州南沙深化面向世界的粤港澳全面合作的意见》的出台,为粤港澳大湾区跨境金融创新提供了政策支持,鼓励在合规前提下探索更高效的数据跨境流动机制。金融机构应把握政策机遇,在严格遵守《管理办法》的数据分类、安全评估及跨境传输要求的基础上,积极利用南沙等试点区域的便利化措施,优化跨境业务模式。
特别声明:
大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。
实习生马楠珍对本文亦有贡献
%金融%% $$周亮|周嘉凝|叶潇涵$$
大成能为您做什么?
联系我们 +