一、 金融科技及其監管框架概述
2016年3月,金融穩定理事會(Financial Stability Board)發布了《金融科技的描述與分析框架報告》,第一次在國際組織層面對金融科技作出了初步定義,即通過技術手段推動金融創新,形成對金融市場、機構以及金融服務產生重大影響的業務模式、技術應用以及流程和產品。 1
目前,巴塞爾銀行監管委員會(Basel Committee on Banking Supervision)將金融科技分爲支付結算、存貸款與資本籌集、投資管理和市場設施四類。2 前三類仍然屬於傳統的金融業務範疇,而市場設施類服務作爲可以跨行業通用的基礎技術支持和技術基礎設施,屬於金融機構的業務外包範疇。因此,金融科技尋求出海業務時,其相關數據活動既需要符合數據合規的一般性要求,也需要符合金融行業的特殊要求。
二、 金融科技出海的數據合規要求
(一)數據的收集和使用
數據收集是指金融業機構在提供金融產品和服務、开展經營管理等活動中,直接或間接從個人金融信息主體,以及企業客戶、外部數據供應方等外部機構獲取數據的過程。3 數據使用則指金融業機構在提供金融產品和服務、开展經營管理等活動中,進行數據的訪問、導出、加工、展示、开發測試、匯聚融合、公开披露、數據轉讓、委托處理、數據共享等活動。4
“知情-同意”規則是中國個人信息保護體系的核心,《中華人民共和國網絡安全法》的出台標志着該規則在中國法律層面的確立,《中華人民共和國個人信息保護法》的出台意味着該規則的全面確立。
收集、使用個人信息需要遵循“合法、正當、必要”原則,用戶同意是個人信息合法收集、使用的唯一途徑。5 數據處理者原則上應取得個人同意方可處理個人信息 6,向其他數據處理者提供所處理的個人信息必須徵得數據主體同意7 並且個人能夠隨時撤回對個人信息作出的同意8 。特別需要注意的是,個人信息處理者在處理敏感個人信息、向他人提供或公开個人信息、跨境轉移個人信息時應取得個人的單獨同意。 9
(二)數據的存儲
數據存儲是指金融業機構在提供金融產品和服務、开展經營管理等活動中,將數據進行持久化保存的過程,包括但不限於採用磁盤、磁帶、雲存儲服務、網絡存儲設備等載體存儲數據。10
根據《中華人民共和國網絡安全法》,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲11, 提出了數據本地化的要求。
而在《中華人民共和國網絡安全法》出台之前,2011年1月,中國人民銀行就已發布了《關於銀行業金融機構做好個人金融信息保護工作的通知》,指出在在中國境內收集的個人金融信息的儲存、處理和分析應當在中國境內進行。除法律法規及中國人民銀行另有規定外,銀行業金融機構不得向境外提供個人金融信息。12 該條確立了境內個人金融信息實行“數據本地化”的要求,以及原則上禁止出境的基本規則。而針對銀行金融數據迫切的出境需求下,《關於銀行業金融機構做好個人金融信息保護工作有關問題的通知》13 和《中國人民銀行金融消費者權益保護實施辦法》14 確立了在“業務需求+客戶同意+保密義務”的前提下,個人金融數據可作爲明確例外跨境流動的規制思路。
在存儲過程中,機構還需遵循網絡安全等級保護制度16 、數據分級分類保護制度 ,健全全流程數據安全管理制度 17,履行數據安全保護義務。金融數據作爲重點領域的特殊數據,其數據分級分類還需參照《個人金融信息保護技術規範》《金融數據安全分級指南》等法律法規。
(三)數據的運輸
對於尋求出海的公司,數據運輸的合規重點在於數據出境。數據出境行爲不僅僅指將在境內運營收集和產生的數據傳輸、存儲到境外,還包括境外的機構、組織或者個人查詢、調取、下載、導出存儲在境內的行爲。18 《個人信息保護法》確定了三條個人信息出境的路徑:安全評估、個人信息保護認證和籤署標准合同。19
1. 安全評估
(1)需要申報安全評估的情形
《數據出境安全評估辦法》進一步確立了三類需要通過所在地省級網信部門向國家網信部門申報數據評估安全評估的情形20 ,第一類情形爲向境外提供的數據爲重要數據,第二類情形爲數據提供者爲關鍵信息基礎設施運營者或者處理100萬人以上個人信息,第三類情形爲數據處理者自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息。
其中,重要數據指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據21 ,敏感個人信息指一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融账戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息22 。相較於敏感個人信息,重要數據的定義較爲模糊,在尚無進一步的規定發布之前,金融科技公司需結合金融行業重要數據目錄等文件進行理解。
(2)申報安全評估的流程
需要申報安全評估的機構應先進行數據出境風險自評估,重點事項包括出境和處理數據的目的、範圍、方式等的合法性、正當性、必要性,數據的規模、範圍、種類、敏感程度,境外接收方的責任義務以及履行能力,風險和維護權益的渠道,與境外接收方之間的法律文件等。23 自評估後機構需准備相關安全評估申報材料向省級網信部門提交, 24省級網信部門將於5個工作日內完成完備性查驗,通過該查驗後7個工作日內國家網信部門收到材料,審查是否受理。25審查後國家網信部門將會給出三種處理結果,一種是書面通知不受理,第二種是通知補充、更正申報材料,第三類則是無需補充、更正材料並進入正常評估程序。國家網信部門組織進行安全評估,除自評估中所包含的重點事項外,還將評估境外接收方所在國家或者地區的數據安全保護政策法規、網絡安全環境、數據保護水平以及該數據傳輸的合法性。26 該安全評估原則上於45個工作日內完成,27 如對評估結果有異議,機構應於15個工作日內申請復評,復評結果爲最終結論。28
(3)需要重新申請安全評估的情形
機構若通過安全評估,該評估的有效期爲兩年。兩年有效期屆滿之後,機構若仍需要繼續开展數據出境活動,其應於有效期屆滿之前60個工作日內進行重新申報。而在有效期屆滿前,如發生提供數據的目的、方式、範圍、種類和用途、方式發生變化影響數據安全,控制權發生變化、法律文件變更等情形時,機構也需重新申請安全評估。 29
2. 個人信息保護認證
根據2022年11月4日國家互聯網信息辦公室與國家市場監督管理總局聯合發布的《個人信息保護認證實施規則》,开展跨境處理活動的個人信息處理者,應當符合GB/T 35723《信息安全技術 個人信息安全規範》和TC260-PG-20222A《個人信息跨境處理活動安全認證規範》的要求。 30
個人信息保護認證的認證模式爲“技術驗證+現場審核+獲證後監督” 31,根據該模式,認證機構在對認證委托人提交的認證委托資料進行現場審核過後,決定是否受理並向委托人及時反饋,受理後將確定認證方案並告知委托人。認證證書的有效期爲3年,若需延續使用,應在有效期屆滿前6個月內提交申請。
3. 籤署標准合同
與數據出境安全評估、個人信息保護認證相比,與境外接收方籤署監管部門公布的合同通常被認爲是數據出境機制中最爲便捷的選擇。2023年6月1日起正式施行的《個人信息出境標准合同辦法》以及後續發布的《個人信息標准合同備案指南(第一版)》與數據出境安全評估機制中的要求實質上較爲類似,沒有大幅度簡化,企業所需承擔的合規義務仍然比較繁重。
《個人信息出境標准合同辦法》規定了通過標准合同訂立這一途徑實現個人信息出境的適用場景,即:(一)非關鍵信息基礎設施運營者;(二)處理個人信息不滿100萬人的;(三)自上年1月1日起累計向境外提供個人信息不滿10萬人的;(四)自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。
根據上述兩項規定,符合適用場景的機構應於備案日前3個月內完成個人信息保護影響評估(Personal Information Security Impact Assessment),形成個人信息保護影響評估報告並與境外信息接收方籤署標准合同,在合同生效後方可开展個人信息出境活動。此外,在合同生效之日起10個工作日內,機構應當向省級網信部門備案,具體備案方式需遵循地方網信部門的備案指引或通知。在後續個人信息出境活動發生變化時,機構還需重新備案合同和評估報告,當上述變化觸發了數據出境安全評估標准時,機構應根據《數據出境安全評估辦法》申報安全評估。
除此之外,2023年12月10日公布並生效的《粵港澳大灣區(內地、香港)個人信息跨境流動標准合同實施指引》爲粵港澳大灣區個人信息跨境流動設立了標准。該文件適用於在粵港澳地區通過訂立標准合同的方式开展個人信息跨境提供的情形。故要求個人信息處理者及接收方應注冊於(適用於組織)/位於(適用於個人)粵港澳大灣區內地部分,即廣東省廣州市、深圳市、珠海市、佛山市、惠州市、東莞市、中山市、江門市、肇慶市,或者香港特別行政區。因爲是上述地區的特殊規定,所以對個人信息處理者要求要比一般情況下《個人信息出境標准合同辦法》的規定要少,諸如上述指引對個人信息處理者通過訂立標准合同的方式向港澳地區提供個人信息的沒有數量或者是否是非關鍵信息基礎設施運營者等要求,體現了相當的差異性。
三、金融科技領域數據出境成功案例
截至目前,安全評估、個人信息保護認證和籤署標准合同這三條個人信息出境的路徑皆有成功案例。
在申報安全評估方面,支付寶(杭州)信息技術公司的“跨境小程序”業務相關數據已通過國家網信辦數據出境安全評估,而焦點科技股份有限公司則是現今唯一一家通過安全評估的跨境電商公司。同時,支付寶(中國)網絡技術有限公司獲批了我國首批個人信息保護認證證書。信華信(大連)軟件服務股份有限公司和北京德億信數據有限公司成功完成了個人信息出境標准合同備案。
總體上來看,雖然國家網信辦和各地省級網信辦受理的安全申報有千余件,但通過率僅爲百分之一。個人信息保護認證方面缺少相關指引,獲批形勢仍需觀察。雖然通過個人信息出境標准合同備案的企業遠少於數據出境安全評估申報被批准的企業,但由於《數據出境安全評估辦法》的發布和實施早於《個人信息出境標准合同辦法》,需要完成數據出境安全評估的企業很早就开始了數據合規整改與申報,而適用於個人信息出境標准合同備案路徑的企業仍處於法定整改期,因此籤署標准合同可能仍是最好的選擇。
四、金融科技出海合規建議在現行的監管框架下,由《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》等系列法律法規所構成的對一般數據的監管和由中國人民銀行、銀保監會等發布的法律法規、行業標准所構成的對金融數據的監管之間的關系尚不明晰,各機構應當持續關注法律法規最新動態。
在數據的收集和使用方面,機構應首先確保其收集數據的必要性,即在業務所需的最小範圍內進行收集;其次,機構在獲得數據被收集者同意時,應當注意徵求同意的方式、語言和告知的內容是否翔實;在有數據出境需求的情況下,還需獲得數據被收集者的單獨同意。上述同意的過程、相關文件等機構應當進行記錄留存。
在數據的存儲方面,無論是全過程中的分類分級等安全保護義務還是數據活動出現變化時重新備案、申報等要求,都向機構提出了持續動態管理的要求。因此,爲了不觸發違反數據相關法規的情形,機構應當建立常態化的數據管理制度,定期評估機構的數據管理狀況,監控相關合規風險。
在數據出境方面,首先,由於現行的數據分類標准較爲模糊,適用場景的認定規則較爲復雜,各機構應審慎評估自身是否屬於需要進行安全評估申報的情形。在達到需要進行安全評估申報的情形時,應根據申報的相關要求,詳細地准備相關材料,由於在評估過程中涉及對境外接收方個人信息保護能力,以及所在國家或地區個人信息保護法律法規的整體評估,相關工作可以尋求境外接收方以及境外律師的合作。而從現有的申報成功案例來看,部分企業在申報過程中與地方網信辦緊密聯系,因此申報的機構可在申報過程中尋求地方網信辦的支持和幫助。其次,由於個人信息保護認證仍缺乏相關的指引,在未達到需要申報安全評估的情形時,籤署標准合同備案是機構最好的選擇。而對於標准合同的文本,《個人信息出境標准合同辦法》有着較爲嚴格的規定,即標准合同應嚴格按照範本條款訂立,且雙方約定的其他條款內容不得與標准合同衝突32 。因此,各機構在該法規發布之前可能已經籤訂的國際標准下的合同,例如歐盟General Data Protection Regulation(“GDPR”)下的BCRs和全球數據傳輸協議,不能夠替代中國法律項下的標准合同,各機構仍應根據該法規與境外接收方重新籤訂新的文本。同時,《個人信息出境標准合同辦法》對境外接收方的義務設置了具體且嚴格的要求,包括個人信息保存期限、過期刪除、接受網信辦的監督等33 ,因此需和境外接收方做好相關的溝通工作。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。