律谈|个人金融信息跨境传输合规要点
前 言
在深化改革开放和“一带一路”倡议下,跨境金融业务量逐年攀升,个人金融信息跨境传输场景随之增加。与此同时,各国出于网络安全和数据主权战略的需要,纷纷规制本国数据向境外传输,使得个人金融信息跨境传输规则愈加复杂和困难。
为此,金融业机构面临更高的合规要求,本文拟探讨我国金融业机构该如何做到合规地向境外传输个人金融信息。
需说明的是, 本文所指的个人金融信息跨境传输与我国法规表述的“出境”含义基本相同,本文金融信息跨境传输是指将个人金融信息主动向境外主体提供,或者授权境外主体访问等形式,包括但不限于线上传输或线下提供。
一、何为个人金融信息
(一)个人金融信息的内涵
2011年人民银行发布《关于银行业金融机构做好个人金融信息保护工作的通知》(下称“《个人金融信息保护通知》”),规定个人金融信息是指银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的个人信息。
2016年人民银行发布《中国人民银行金融消费者权益保护实施办法》(下称“《实施办法》”)第27条规定个人金融信息,“是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。”
值得注意的是,人民银行2019年12月27日发布的《中国人民银行金融消费者权益保护实施办法(征求意见稿)》(下称“《实施办法(征)》”)将个人金融信息表述调整为消费者金融信息。
2020年2月13日,《个人金融信息保护技术规范》(下称“《规范》”)正式发布,《规范》对个人金融信息的定义是:金融业机构通过提供金融产品和服务或其他渠道获取、加工和保存的个人信息。
结合上述规定可知,个人金融信息的认定在于三个要素:
1.金融业机构;2.提供金融产品或服务;3.不提供金融产品或服务,但具体业务场景涉及个人金融信息处理。
(二)金融机构与金融业机构
从上述规定来看,个人金融信息认定与金融业机构认定相关。按照《规范》定义,金融业机构包括国家金融监督管理部门监督管理的持牌金融机构和其他从事个人金融信息处理的机构。
什么是持牌金融机构?
人民银行发布的《金融控股公司监督管理试行办法(征求意见稿)》(下称“《试点管理办法(征)》”)规定,金融机构是指依法设立的、经国家金融管理部门批准从事金融业务的机构。
根据该规定,金融机构包括以下类型:商业银行(不含村镇银行)、金融租赁公司、信托公司、金融资产管理公司、证券公司、基金管理公司、期货公司、人身保险公司、财产保险公司、再保险公司、保险资产管理公司、金融管理部门认定的其他金融机构。
无论《规范》和《试点管理办法(征)》,都规定金融机构是经国家金融管理部门批准的持牌机构。在我国“分业经营、分业监管”监管实践中的“一行两会”,主要指银保监监管的银行业和保险业机构,证监会监管的证券业机构。
在实际经济活动中,还有不少其他从事金融活动的类金融企业或其他组织,如私募基金管理公司或企业、小贷公司、P2P网贷公司、第三方互联网支付机构、地方各类交易场所、地方金融控股企业、地方资产管理公司、融资担保公司、典当行、融资租赁公司、商业保理公司等。那么,这些是否属于金融机构?《试点管理办法(征)》关于金融机构的定义还包括金融管理部门认定的其他金融机构。
其他金融机构包括人民银行《金融机构编码规范》规定的小贷公司、保险公估公司、交易所,由各地金融局负责监管P2P网贷机构,2018年划归银保监会制定监管规范典当行、融资租赁公司、商业保理公司。
在特定监管语境下,如国家税务总局《关于发布<非居民金融账户涉税信息尽职调查管理办法>的公告》第7条将“私募基金管理公司、从事私募基金管理业务的合伙企业”也定义为应当提供非居民金融账户涉税信息的“金融机构”。
所以,金融机构定的定义不完全是一个封闭的概念,有时需要根据实际监管需要和场景来认定,而且《规范》规定其他涉及个人金融信息处理的其他机构属于金融业机构。也就是说,除了前述所提到的由国家各个监管部门监管的正规金融机构,业务场景涉及个人金融信息处理的其他机构也属于《规范》规定的金融业机构,也负有相应的合规义务。
综上,个人金融信息是金融业机构提供金融产品和服务或其他渠道获取、加工和保存的个人信息,包括不限于:
1.个人身份信息;2.个人财产信息(收入、动产不动产等);3.个人账户信息(账号、账户开立时间、开户行等);4.个人信用信息;5.金融交易信息;6.衍生信息(反映特定个人金融信息主体某些情况的信息,如:消费习惯、投资意愿等);7.在与个人建立业务关系过程中获取、保存的其他个人信息。
而且,个人金融信息是个人信息的敏感信息,一旦泄露、非法提供或滥用可能危害人身和财产安全,金融业机构负有严格的安全保护义务。
根据我国金融业特殊的监管规定,我们梳理了个人金融信息跨境传输的相关规定,具体为:
可见,2011年以来,金融监管当局对个人金融信息的跨境传输规则逐渐严格,也逐渐完善。
目前,在个人金融信息跨境传输,金融监管部门没有细化的监管规定,银保监2018年5月1日发布的《银行业金融机构数据治理指引》规定,银行业金融机构采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准。
不难看出,个人金融信息跨境传输要符合《网络安全法》及其配套的相关法规规章和规范性文件建构的个人信息保护制度,目前依照个人信息出境要求进行管理。
从上述规定可知,金融机构属于关键基础设施运营者,个人金融信息出境有着比普通个人信息跨境传输更高的要求。
在目前我国金融监管制度下,金融机构(包括提供金融服务的其他类金融企业)涉及跨境金融交易业务涉及个人金融信息跨境传输的,内部合规上面要完成以下工作:
金融业机构除了做好前述内部合规工作外,对外还要做如下工作:
同时,金融业机构不得在以下情形进行个人金融信息的跨境传输:
从贸易自由化和数据驱动经济大趋势下,顺畅的个人金融信息跨境流动是深化“一带一路”沿线国家合作的必然之路。但就目前而言,各国之间没有很好的双边或多边机制来协调各国个人金融信息的跨境自由流动,各国都是各自为战。在我国《网络安全法》构建的网络和数据经济战略下,对于我国金融机构和其他涉及个人金融信息处理的金融业机构来说,因跨境金融业务需要进行个人金融信息跨境传输时应该更加审慎,在个人金融信息跨境传输的合规工作上需要下更多的功夫。
文|苏耀云 曾恺
广东广信君达律师事务所