微众银行：2020中国金融数据跨境流动监管政策报告(40页).pdf

1、 前言 PREFACE 备受关注的金融数据跨境流动 随着改革开放的不断深入， 中国经济与世界经济之间的联系越来越密切， 尤其是2001年中国加入世 界贸易组织后， 中国融入经济全球化的步伐加快， 中国企业与居民与世界各个国家与地区的贸易与 交往日趋频繁， 其从事跨境经济活动所产生的数据往往是跨越国界的。 金融是经济的血脉， 越来越多 的跨境贸易等经济活动随之也带来了对跨境金融的强烈需求。 而提供金融服务的金融机构， 一方面 在提供金融服务时， 期望能够获得客户的各类相关数据为其获取客户、 经营决策提供支持， 另一方面， 出于合规管理的需要， 也需要数据履行相关的义务。 同时， 洗钱等金融犯罪活

2、动也由于科技的发展以 及金融服务业的全球化而变得日益复杂化， 各国监管机构之间也很自然的在数据交换方面有着强烈 的诉求。 因此， 从业务、 合规、 监管三方面看， 金融数据跨境流动必不可少。 另外， 金融数据的跨境流动在带来便利的同时， 也潜藏着一系列风险。 金融数据与个人隐私及企业合 法权益、 公共权益乃至国家安全紧密相关， 数据的跨境流动也必然意味着风险的复杂化、 扩大化及不 可控倾向。 为了应对上述数据跨境需求与风险控制之间的矛盾， 保护金融数据安全， 实现风险可控， 在金融数据 的跨境流动方面， 我国立法者及金融监管部门多年来进行了大量的积极探索， 近年更是愈加频繁， 2015年至20

3、20年关于与金融数据跨境流动有关的文件数量是2000年至2015年所出台文件数量总和 的两倍还多 （如下图） 。 从这些规范性文件中， 我们梳理出了两条监管思路， 一是金融行业监管部门的 数据跨境规制体系， 二是 网络安全法 的数据跨境规制体系。 图表 1： 数据跨境传输有关规范性文件数量 金融行业监管部门数据跨境规制体系 01 纵向分析 02 监管层次1： 数据本地化的要求 02 监管层次2： 数据出境要求 06 监管层次3： 数据保密要求 09 监管层次4： 其他数据跨境活动要求 13 横向分析 14 网络安全法 数据跨境规制体系 17 主体： 关键信息基础设施运营者 （CIIO） 17

4、客体： 个人信息/重要数据 22 要求： 安全评估 27 网络安全法 数据跨境规制体系小结 28 结语 29 参考文章 30 附录 31 相关规范性文件 31 目录 CONTENTS 金融行业监管部门数据跨境规制体系 根据我们对金融行业监管部门数据跨境流动方面的规范性文件的检索 和分析， 我们将金融行业的监管分为四个层次， 分别为： 数据本地化的要 求、 数据出境的要求、 数据保密要求以及其他数据跨境要求。 下文将进行 纵向、 横向的交叉分析和要点提示， 以期能为金融机构从业者提供内部 数据治理及数据全球化部署这一 “必修课” 提供参考和帮助。 图表 2： 不同类别的规范性文件数量 01 纵向

5、分析 监管层次1： 数据本地化的要求 1.1数据本地化要求条文梳理 02 1 2 3 5 4 03 6 7 8 9 10 11 12 04 13 14 15 16 1.2数据本地化要求要点提示 1.2.1数据本地化可以理解为对数据信息的境内 存储要求， 通过要求相关数据信息在某国家或区 域范围内进行存储， 来实现对特定数据信息相对 独立自主的占用、 处理、 管理效果。 1.2.2数据本地化的要求并非近年才有。 通过上表 我们可以看到， 2006年银监会在 电子银行行业务 管理办法 中， 已就中资银行的相关运营系统和 服务器做出了设置在境内的要求。 除金融数据以 外， 我们还检索到1982年 关

6、于对外合作开采海 洋石油资源资料管理的规定 中要求 “运往国外 的原始资料， 在复制或使用完毕后， 应及时运回中 国境内保存” 。 也即， 在数据信息的跨境流动还未 像当下如此便捷和频繁的时期， 国家已对特定数 据信息做出了本地化的要求。 1.2.3数据本地化不仅针对数据信息还针对数据 信息的载体。 比如， 上表中 中国人民银行关于银 行业金融机构做好个人金融信息保护工作的通 知 中的数据本地化客体是 “个人金融信息” ， 但 电子银行业务管理办法 、 央行上海分行 关于银 行业金融机构做好个人金融信息保护工作有关问 题的通知 、中国银行业监督管理委员会中资商 业银行行政许可事项实施办法 、非