银行金融类数据合规的研究（上）

下文主要探讨银行金融类业务数据利用和合规治理中的几个典型问题：

银行类金融业的资质门槛以及资产规模要求非一般的投资性行业所能比拟。因此，在构架组织上往往以集团的方式呈现，除了总行下设各地分行、支行外，架构中往往还包括跨业投资实体。基于统一管理以及商业分析之目的，个人金融数据在银行集团内各实体之间共享和数据的汇聚融合成为客户类信息使用的常见模式。

但需要注意的是，中国现行法律对于集团内的个人信息的共享转让并没有豁免性的特殊规定。《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》规定，银行业金融机构不得向本金融机构以外的其他机构和个人提供个人金融信息，但为个人办理相关业务所必需并经个人书面授权或同意的，以及法律法规和中国人民银行另有规定的除外。因此，现有规定中只要是向非承接对应业务的机构进行数据的共享，必须以原始数据主体的授权和同意为基础。按照现有个人信息收集规则，个人信息收集要满足最小必要并与收集时的目的对应为原则，这就意味着在客户首次接触中即对未来业务获得的概括性授权不符合现有要求。但现实中这种集团内的数据共享和分析往往是银行业务必不可少的，比如需要根据客户在本行的现有存款以及借贷记录，对客户进行信用度评级以及新业务评估。而每次个人信息使用前均需要获得用户单独授权的做法显然并不实际。

相比而言，美国以《金融服务现代化法案》（The Gramm-Leach-Bliley Act (GLBA)）建立起来的金融数据流通规则则考虑了“金融行业的数据流通价值”的体现。GLBA将传输划分为向非分支机构的第三方以及向金融机构的分支机构传输两种情况。针对前者，金融机构不得直接或间接将非公开个人信息提供给非分支机构的第三方，该等提供必须以通知数据主体为前提，而且应同时给予数据主体选择退出权（opt-out），禁止金融机构流通其非公开^[1]的个人信息。另一方面，对于金融机构与其分支机构间的信息流通，GLBA没有任何限制规定，既不需要事前通知，消费者也没有“选择退出”的权利。该等立法的原理除给予金融机构的信息流通便利外，立法者认为也对消费者有利，因为可以便利金融机构向消费者提供各种不同金融商品，使消费者享受一站式服务。

值得关注的是，2019年7月26日中国人民银行公布《金融控股公司监督管理试行办法（征求意见稿）》，其中规定“金融控股公司^[2]与其所控股机构之间、其所控股机构之间可以共享客户信息、销售团队、信息技术系统、运营后台、营业场所等资源，发挥协同效应。金融控股公司可以在集团内部建立金融控股公司与其所控股机构之间、其所控股机构之间的协同机制，对集团各项资源进行合理配置。”金融控股集团的客户共享机制监管基础有望在该等办法正式实施时放开，但共享时具体制度和文件授权要求也有待细化^[3]。

银行金融业属于国家的关键业务，支撑的业务运营信息系统列入网络安全防范重点监控的关键信息基础设施（CII）系统。《网络安全法》规定：“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”因此，银行业的相关数据也属于国家重点监管的数据对象。关键信息基础设施以及其涉及的重要数据的网络安全和数据监管要求正在逐步完善，应注意遵守在安全防范、服务/产品采购、数据本地存储和出境监管等全方位的合规要求。

《网络安全法》中针对关键信息基础设施在网络安全负责专人和专业技术人员调查、考核及培训、重要系统和数据库容灾备份、安全时间应急预案预演练、安全检测评估制度等多方面都规定了比一般网络运营者更高的监管要求和处罚力度。另外，针对CII企业，数据本地化要求和网络服务产品采购审查都是重点监管范围。

《网络安全法》要求关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当进行安全评估。数据本地化要求在行业规范中也早有体现，《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》规定，在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。业内较困惑且呼吁落地最迫切的数据出境评估标准曾经历了2017年04月11日发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》、2017年8月30日《信息安全技术 数据出境安全评估指南（征求意见稿）》^[4]到2019年6月13日国家互联网信息办公室发布的《个人信息出境安全评估办法（征求意见稿）》，但一直处于被讨论关注但迟迟未落地的境况。由于跨国导致法律适用的差异和数据保护水平差距，数据跨境增加数据主体对个人信息控制权的不确定性，另外作为关键信息基础设施企业的数据向境外提供还可上升至国家数据主权的管辖问题，因此建议银行金融业从业者需严格按照网络安全法原则以及行业的规定^[5]审慎处理数据的跨境操作，同时密切关注数据跨境的评估标准的正式落地要求。

《网络安全法》要求关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任；对可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。2017年6月，国家互联网信息办公室会同工业和信息化部、公安部、国家认监委等部门日前发布了《网络关键设备和网络安全专用产品目录（第一批）》，其中列举4种网络关键设备和11种网络安全专用产品^[6]，应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。同月，《网络产品和服务安全审查办法（试行）》发布，但该等审查办法在实践中并未充分落地。今年5月，国家互联网信息办公室公布《网络安全审查办法（征求意见稿）》，一旦正式颁布将替代2017年审查办法。最新征求意见稿要求关键信息基础设施的运营者采购网络产品和服务时，应预判产品和服务上线运行后带来的潜在安全风险，形成安全风险报告，并对自主申报的情况、政府审查关注重点以及审查的时限和流程进行了详细的规定。根据接近立法机构的人员的透露，最终审查原则上以个案审查为主，具体审查标准完全公开的可能性不大。