银行业金融数据出境的监管框架与脉络(DPO社群成员观点)
编者按:
两位DPO社群成员基于自己工作的总结,在此发表与大家分享和探讨。
正文:
银行业金融数据包括个人金融信息、金融业重要数据以及其他数据。金融数据出境是金融数据监管的重要内容,从监管上看,目前中国的银行业金融数据出境体现了多条监管逻辑,同时也有一些需要澄清的问题。本文试图从理解监管逻辑出发,对于这些问题提出一些粗浅的理解和趋势预测,供大家批评。
一、银行业金融数据出境相关规定演进的时间线
银行业金融数据出境的监管,涉及客户资料保密、个人金融信息保护、金融消费者权益保护以及个人信息和重要数据保护等方面的问题,国家及相关主管部门出台了一系列规定,详见下表:
出台年月 | 法规名称 | 内容 |
2000/3 | 《个人存款账户实名制规定》第8条 | 金融机构及其工作人员负有为个人存款账户的情况保守秘密的责任。金融机构不得向任何单位或者个人提供有关个人存款账户的情况……但是,法律另有规定的除外。 |
2003/4 | 《人民币银行结算账户管理办法》第9条 | 银行应依法为存款人的银行结算账户信息保密。对单位银行结算账户的存款和有关资料,除国家法律、行政法规另有规定外,银行有权拒绝任何单位或个人查询。对个人银行结算账户的存款和有关资料,除国家法律另有规定外,银行有权拒绝任何单位或个人查询。 |
2006/10 | 《反洗钱法》第5条 | 对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息,应当予以保密;非依法律规定,不得向任何单位和个人提供。 |
2007/6 | 《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第3条 | 金融机构应当按照安全、准确、完整、保密的原则,妥善保存客户身份资料和交易记录。 |
2011/1 | 《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第6条 | 在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。 |
2011/5 | 《中国人民银行上海分行关于银行业金融机构做好个人金融信息保护工作有关问题的通知》第4条 | 为客户办理业务所必需,且经客户书面授权或同意,境内银行业金融机构向境外总行、母行或分行、子行提供境内个人金融信息的,可不认为违规。银行业金融机构应当保证其境外总行、母行或分行、子行为所获得的个人金融信息保密。 |
2013/1 | 《征信业管理条例》第20条 | 信息使用者应当按照与个人信息主体约定的用途使用个人信息,不得用作约定以外的用途,不得未经个人信息主体同意向第三方提供。 |
2014/6 | 《中国人民银行办公厅关于2013年个人金融信息保护专项检查情况的通报》第2条第6款 | 外资银行内控制度建设较为完善,安全防范措施较为严密,制定了信息安全管理标准,对客户信息实施分级管理。但部分外资银行将数据中心设在境外、根据母国或总行监管合规要求跨境报送数据等行为,不符合监管部门的相关规定。 |
2016/11 | 《网络安全法》第37条 | 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。 |
2016/12 | 《中国人民银行金融消费者权益保护实施办法》第28、30条 | 在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,金融机构不得向境外提供境内个人金融信息。 境内金融机构为处理跨境业务且经当事人授权,向境外机构 (含总公司、母公司或者分公司、子公司及其他为完成该业务所必需的关联机构)传输境内收集的相关个人金融信息的,应当符合法律、行政法规和相关监管部门的规定,并通过签订协议、现场核查等有效措施,要求境外机构为所获得的个人金融信息保密。 |
2017/4 | 《个人信息和重要数据出境安全评估办法(征求意见稿)》第2条 | 网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。 |
2018/5 | 《银行业金融机构数据治理指引》第24条 | 银行业金融机构采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准。 |
二、银行业金融数据出境监管的三条逻辑线
从上文的梳理可以发现,中国银行业金融数据出境监管制度建立和发展过程中,存在三条不同的逻辑线:
第一条逻辑线是传统的客户资料保密义务,这些规定都出现在早期,要求对客户的身份资料、账户信息、交易信息等予以保密,除法规另有规定外,不得对外提供或允许查询。这些规定是银行业对客户资料保密传统的延续,普遍适用于境内场景与跨境场景,与网络时代对客户信息和数据的保护处于不同的维度;但进入信息时代以后,客户资料普遍实现了信息化和数字化,对客户资料的保密自然也就延伸到对客户信息和数据的保密,二者产生了重叠。因此,对金融数据出境进行合规评估时,也不能忽略传统保密义务的约束。
第二条逻辑线是金融监管部门主导的对个人金融信息的保护。这发端于2011年《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(以下简称“17号文”)。17号文确立了中国个人金融信息出境监管的基本框架,即“本地存储+处理+分析”以及“原则禁止出境+例外允许”,但没有明确规定具体有哪些例外情形。
在实务中,个人金融信息的出境无法避免,尤其是中国境内的外资银行,更有迫切的数据出境需求。因此,在17号文发布四个月后,中国人民银行上海分行发布《关于银行业金融机构做好个人金融信息保护工作有关问题的通知》(以下简称“110号文”),在17号文的基础上开了一个明确的口子,即在满足“业务必需+客户同意+关联机构+确保保密”四要件的基础上,允许个人金融信息出境。110号文的发文主体是央行上海分行,适用对象限于上海地区的银行,且采用“可不认为违规”的表述,没有正面确认合法性,所以该文存在的一定局限性,但其提出的四要件规则日后成为了个人金融信息出境的基本规则。
2013年,央行组织了对762家商业银行个人金融信息保护情况的专项检查。在随后发布的检查通报(以下简称“131号文”)中,央行指出,“外资银行将数据中心设在境外、根据母国和总行监管合规要求跨境报送数据”等行为不符合监管部门的相关规定。与110号文规定的“为客户办理业务所必需”的场景不同,131号文明确认定不合规的数据出境场景是“将数据中心设在境外、根据母国或总行监管合规要求而出境”。
2016年12月,央行发布《金融消费者权益保护实施办法》(以下简称“314号文”),从金融消费者保护的角度,再次确认了17号文确立的监管框架,同时明确吸纳110号文规定的例外情形,允许在满足“跨境业务+客户同意+关联机构+保密义务”四要件的前提下个人金融信息出境。但是,从央行的表述方式来看,不能确定该情形是否为唯一例外,是否还存在其他例外情形不得而知。
第三条逻辑线则是近年来网信部门主导的个人信息和重要数据保护,这条逻辑线随着《网络安全法》的出台而展开。《网络安全法》第37条确立了“本地存储”以及“原则允许出境+安全评估”的监管框架,适用对象为关键信息基础设施(“CII”)的运营者(“CIIO”),适用范围为个人信息和重要数据。《个人信息和重要数据出境安全评估办法(征求意见稿)》则将个人信息和重要数据出境监管制度扩展适用于所有的网络运营者。
个人信息和重要数据保护是国家网络安全整体工作的一部分,普遍适用于各行业,但同时也强调结合行业特点,发挥行业监管部门的作用。银保监会在2018年发布的《银行业金融机构数据治理指引》第24条特别提到,银行业涉及到个人信息的,应遵循国家个人信息保护法律法规及国家标准要求。
综上所述,银行业的数据出境监管涉及三条不同的逻辑线,既有传统的客户资料保密义务,也有金融行业的个人金融信息保护制度,还涉及个人信息和重要数据的通用保护规则。三条逻辑线产生于不同的时期,监管维度、侧重点和思路存在差异,有待于监管部门从立法层面进行进一步的统筹协调。
三、银行业金融数据出境监管的三个问题
根据我们从监管部门和金融机构了解的情况,目前银行在适用上述规定开展数据出境合规工作时,面临以下几个主要问题:
一是传统的保密义务对数据共享和跨境传输的限制。保密义务是银行业的一项古老传统,早在数据时代之前,银行就被要求对客户身份资料、账户信息和交易信息等承担保密义务,不得对外提供或者允许他人查询。当然,保密义务有例外,但主要是行政机关、司法机关行使公权力等情形,没有考虑当下数据在不同法人主体之间大规模、高频率流动的情况。如果从严解释保密义务,也可能会限制金融数据在境内外关联金融机构之间的流动。
这一问题需要监管部门通过对相关法规的适当解释或修改来予以解决,以避免对金融数据共享和流动造成阻碍。
二是个人金融信息出境的行业监管与个人信息和重要数据出境的统一监管之间的差异。如前所述,两者分别代表了两条不同的逻辑线,两者之间的对比如下:
个人金融信息出境的行业监管 | 个人信息和重要数据出境的统一监管 | |
基本思路 | 原则禁止+例外允许 | 原则允许+例外禁止 |
适用范围 | 个人信息 | 个人信息+重要数据 |
本地化要求 | 本地存储+处理+分析 | 本地存储 |
出境要求 | 目前仅限跨境业务场景:业务必需+客户同意+关联机构+确保保密 | 安全评估 |
根据法律适用原则,特别法优于一般法,新法优于旧法,新的一般法与旧的特别法不一致时应酌情决定如何适用。央行主导的个人金融信息出境监管制度属于金融行业的数据安全特别法,但出台在先(个人金融信息出境监管系列文件中只有314号文出台于2016年12月,比网安法晚一个月),属于旧法;而网信部门主导的个人信息和重要数据出境统一监管制度属于网络安全领域的一般法,集中出台于最近两年,属于新法。二者之中何者优先适用不能一概而论,应具体分析:
不能当然认为,网安法出台以后,金融数据出境就从“原则禁止+例外允许”改为“原则允许+例外禁止”了,因为在网安法本身既强调了网信、公安、工信等部门的统一监管,也重视发挥行业主管或监管部门分行业监管的优势。金融行业作为重度监管的特殊行业,在网安法出台之前就已建立本行业的数据出境监管制度,在数据出境问题上继续坚持比一般行业更严格的监管制度,有其必要性和合理性。在本地化要求上也是如此,网安法只要求境内存储,但央行对个人金融信息的要求是储存、处理和分析都要在境内进行。考虑到金融信息的高度敏感性,继续坚持金融数据处理和分析的本地化是可以理解的。
但是,对于网安法新增的重要数据保护,就不能简单认为不适用于金融行业。根据《重要数据识别指南(草案)》,金融行业的重要数据包括金融机构安全信息以及客户信息(个人客户和机构客户);与金融机构关系紧密的征信信息也属于重要数据。这些数据都涉及国家经济安全或社会公共利益,将其纳入金融数据出境监管制度中是必要的。
此外,现行的个人金融信息出境监管制度中没有安全评估机制,在网安法出台以后,作为数据出境监管的重要抓手,安全评估机制很可能被引入金融数据出境监管制度中。只因重要数据出境监管和数据出境安全评估制度尚未在立法层面完全落实,故目前监管部门暂时未对金融机构提出明确要求。
三是个人金融信息出境的具体规则。即使不考虑网安法的影响,央行的个人金融信息出境监管规则也有不明之处。下面对几种不同的数据出境场景进行分析。
(1)“跨境业务”场景
314号文明确规定允许“跨境业务”场景中的个人金融信息出境。典型的“跨境业务”如中国客户要向境外汇款。除此以外,还有一些与此相关的场景,比如某中国客户希望外资银行授信,而根据该银行的管理制度,授信需要境外母行事先审批,外资银行为了申请审批而将客户的个人信息传递给境外母行,这是否属于“跨境业务”呢?再比如,母行所在国家的某居民已是母行的客户,其在中国居留期间希望通过该银行办理某业务,中国的外资法人银行接到该客户的委托后,只能将其信息传递给境外母行才能办理该项业务,这是否属于“跨境业务”呢?
此外,314号文将“跨境业务”场景中个人金融信息的接收方限定为“关联机构”,即境外的总公司、母公司或者分公司、子公司及其他为完成该业务所必需的关联机构。但在有些跨境业务场景中需要友行协作,可能是外资法人银行直接向境外友行传递个人金融信息,也可能是先传递给境外的关联机构再转递给境外友行,这是否符合“跨境业务”例外呢?
上面这些问题都会在实务操作中引起合规疑虑。我们倾向于认为,对于因特定客户发起的具体业务中产生的数据出境需求,不应当进行限制。
(2)“境外监管与合规”场景
外资银行的母国监管机关或母行出于当地反洗钱监管或合规管理的目的,会要求外资银行提供客户的个人金融信息。这不属于“跨境业务”场景。131号文将这种行为认定为不符合监管部门的相关规定。由此可见,这种场景下的个人金融信息出境存在合规风险。
外资银行向母国监管机关或母行报送的数据不一定是个人金融信息,也可能是聚合数据、统计信息等非个人信息。非个人信息不在现行个人金融信息出境监管范围内,但是可能落入“重要数据”的范畴。根据网安法第37条,CIIO在境内运营中收集和产生的重要数据应当遵守与个人信息出境同样的监管制度,即“本地化存储+出境前评估”。根据《关键信息基础设施安全保护条例(征求意见稿)》,银行被认定为CIIO的可能性很大;即使银行未被划为CIIO,《个人信息和重要数据出境安全评估办法(征求意见稿)》也已将重要数据出境监管的适用范围扩大至所有的网络运营者。无论如何,外资银行在跨境报送非个人信息时,应当注意重要数据出境监管要求。不过仅就现阶段而言,由于相关配套法规尚未生效,《网络安全法》规定的重要数据监管制度还没有正式落地,外资银行如何实施该制度还存在不确定性。
(3)“委托处理”场景
随着金融数据的日益增多,银行委托其他机构处理金融数据的需求也相应产生。境内外资银行可能委托境外母行数据部门、境内银行可能委托本集团内的金融科技公司集中处理数据,也可能委托外部的数据服务商处理数据。根据17号文和314号文,个人金融信息必须在境内存储、处理和分析,因此,跨境委托处理是被禁止的。
17号文和314号文不涉及重要数据和其他非个人信息。根据网安法的监管框架,重要数据在遵守本地存储要求并通过安全评估程序后,可以委托出境进行处理和分析。对于既非个人信息也非重要数据的金融数据,则委托出境处理不受限制。
(4)“数据共享”场景
当前境内的金融数据共享受到诸多限制,跨境共享金融数据更应当慎之又慎。所谓数据共享,是指一方将数据提供给另一方,双方分别对数据拥有独立控制权的过程。数据共享与数据委托处理不同,后者也发生数据转移,但接收方只能按照提供方规定的目的和方式处理数据,不拥有对数据的独立控制权。
按照17号文和314号文确立的“原则禁止+例外允许”的框架,数据共享未被列入“例外允许”的场景,因此,跨境共享个人金融信息目前是不符合监管规定的。此外,上文提到,跨境委托处理个人金融信息是不允许的,从监管意图来判断,举轻足以明重,跨境共享个人金融信息自然也不在允许之列。
与委托处理类似,非个人信息的重要数据的跨境共享需要遵守本地存储和安全评估要求,非个人信息的其他数据的跨境共享则不受限制。
四、金融数据出境监管的四点趋势预测
根据我们的项目实践以及我们对监管逻辑的理解,我们对中国银行业金融数据出境监管趋势做如下几点谨慎预测:
金融数据出境监管仍将以金融行业监管部门为主,央行通过17号文和314号文等确立的个人金融信息监管体制将延续;
17号文和314号文确立的个人金融信息出境“原则禁止+例外允许”的格局会延续;但将来确有新的现实需求出现时,可能会开新的口子;
随着《数据安全管理办法》、《关键信息基础设施安全保护条例》、《个人信息和重要数据出境安全评估办法》等法规和标准逐渐落地,重要数据出境监管和出境安全评估等制度可能会被纳入金融数据出境监管体系,《银行业金融机构数据治理指引》第24条已体现出第二、三条逻辑线融合的趋势;
金融数据出境既涉及输出国(中国),也涉及输入国(外资银行母行所在国等),所以中国银行业金融数据出境监管政策会受到国际关系、国际监管合作等因素的影响。(完)
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点