中國金融數(shù)據(jù)跨境流動監(jiān)管政策報告

1、目錄 CONTENTS 金融行業(yè)監(jiān)管部門數(shù)據(jù)跨境規(guī)制體系01縱向分析 02 HYPERLINK l _TOC_250004 監(jiān)管層次1：數(shù)據(jù)本地化的要求 02 HYPERLINK l _TOC_250003 監(jiān)管層次2：數(shù)據(jù)出境要求 06 HYPERLINK l _TOC_250002 監(jiān)管層次3：數(shù)據(jù)保密要求 09 HYPERLINK l _TOC_250001 監(jiān)管層次4：其他數(shù)據(jù)跨境活動要求 13橫向分析 14 HYPERLINK l _TOC_250000 網(wǎng)絡安全法數(shù)據(jù)跨境規(guī)制體系 17主體：關鍵信息基礎設施運營者（CIIO） 17客體：個人信息/重要數(shù)據(jù) 22要求：安全評估 27網(wǎng)

2、絡安全法數(shù)據(jù)跨境規(guī)制體系小結 28結語29參考文章 30附錄 31相關規(guī)范性文件 31金融行業(yè)監(jiān)管部門數(shù)據(jù)跨境規(guī)制體系根據(jù)我們對金融行業(yè)監(jiān)管部門數(shù)據(jù)跨境流動方面的規(guī)范性文件的檢索和分析，我們將金融行業(yè)的監(jiān)管分為四個層次，分別為：數(shù)據(jù)本地化的要求、數(shù)據(jù)出境的要求、數(shù)據(jù)保密要求以及其他數(shù)據(jù)跨境要求。下文將進行縱向、橫向的交叉分析和要點提示，以期能為金融機構從業(yè)者提供內部數(shù)據(jù)治理及數(shù)據(jù)全球化部署這一“ 必修課”提供參考和幫助。圖表 2 ：不同類別的規(guī)范性文件數(shù)量縱向分析監(jiān)管層次1：數(shù)據(jù)本地化的要求1.1數(shù)據(jù)本地化要求條文梳理12 345 67 8910 11 12 13 14 1516 1.2數(shù)據(jù)本

3、地化要求要點提示數(shù)據(jù)本地化可以理解為對數(shù)據(jù)信息的境內存儲要求，通過要求相關數(shù)據(jù)信息在某國家或區(qū)域范圍內進行存儲，來實現(xiàn)對特定數(shù)據(jù)信息相對獨立自主的占用、處理、管理效果。數(shù)據(jù)本地化的要求并非近年才有。通過上表我們可以看到，2006年銀監(jiān)會在電子銀行行業(yè)務管理辦法中，已就中資銀行的相關運營系統(tǒng)和服務器做出了設置在境內的要求。除金融數(shù)據(jù)以外，我們還檢索到1982年關于對外合作開采海洋石油資源資料管理的規(guī)定中要求“運往國外的原始資料，在復制或使用完畢后，應及時運回中國境內保存”。也即，在數(shù)據(jù)信息的跨境流動還未像當下如此便捷和頻繁的時期，國家已對特定數(shù)據(jù)信息做出了本地化的要求。數(shù)據(jù)本地化不僅針對數(shù)據(jù)信息

4、還針對數(shù)據(jù)信息的載體。比如，上表中中國人民銀行關于銀行業(yè)金融機構做好個人金融信息保護工作的通知中的數(shù)據(jù)本地化客體是“個人金融信息”，但電子銀行業(yè)務管理辦法、央行上海分行關于銀行業(yè)金融機構做好個人金融信息保護工作有關問題的通知、中國銀行業(yè)監(jiān)督管理委員會中資商業(yè)銀行行政許可事項實施辦法、非銀行支付機構網(wǎng)絡支付業(yè)務管理辦法等文件都對相關金融機構或第三方支付機構的運營系統(tǒng)/業(yè)務處理系統(tǒng)/存儲數(shù)據(jù)設備這類數(shù)據(jù)信息的載體做出設置在境內的要求。數(shù)據(jù)本地化存儲的方式一般包括境內物理服務器或云服務器。在“數(shù)據(jù)上云”越來越普遍的當下，我們也應關注到如果使用云服務存儲數(shù)據(jù)信息應當如何應對數(shù)據(jù)本地化的要求。盡管目前我

5、們還未檢索到對“境內存儲”的存儲方式作出明確規(guī)定的金融行業(yè)監(jiān)管規(guī)范性文件，但從2018年 8月國務院辦公廳關于加強政府網(wǎng)站域名管理的通知中提出的，對于“自行建設運維的政府網(wǎng)站服務器不得放在境外；租用網(wǎng)絡虛擬空間的，所租用的空間應當位于服務商的境內節(jié)點”我們可以分析出，如果相關數(shù)據(jù)信息有境內存儲要求，且企業(yè)選擇云服務器進行存儲的情況下，應當注重選擇服務商境內節(jié)點所提供的云服務。監(jiān)管層次2：數(shù)據(jù)出境要求2.1數(shù)據(jù)出境要求條文梳理12 3487652.2數(shù)據(jù)出境要求要點提示對于個人金融信息出境的要求逐步明確。對比上表中規(guī)范性文件對于個人金融信息出境的限制要求，我們可以看到如下圖中的變化。一方面對于個

6、人金融信息出境的限制不再一刀切，將金融機構跨境開展業(yè)務的需要納入跨境傳輸監(jiān)管的考量因素之中；另一方面，出境的條件要求逐漸增多，以嚴格把控個人金融信息跨境傳輸可能出現(xiàn)的風險。除法律法規(guī)及中國人民銀行另有規(guī)定+不得提供業(yè)務需要+授權同意+向總/分/母/子行+境外機構保密義務能力達標+簽訂協(xié)議/現(xiàn)場核查等措施確保對境外機構的保密、刪除、案件協(xié)查義務業(yè)務需要+明示同意+向必要關聯(lián)機構+符合監(jiān)管規(guī)定+開展安全評估+境外機構數(shù)據(jù)安全保護數(shù)據(jù)信息的范圍可解釋空間較大，需要從業(yè)機構審慎把握。數(shù)據(jù)出境要求主要涉及的數(shù)據(jù)信息類型包括個人金融信息、企業(yè)和個人信用信息、證券業(yè)務活動有關的文件或資料、因反洗錢/反恐怖融

7、資義務獲取的客戶身份資料和交易信息，其中前三類信息的范圍規(guī)定都較為寬泛，留有較大的解釋空間。如，對個人金融信息的范圍限定上，相關文件都有類似“金融機構在與個人建立業(yè)務關系過程中獲取、保存的其他個人信息”、“ 及其他反映特定個人某些情況的信息”的“兜底條款”；同樣的，企業(yè)和個人的信用信息范圍在征信業(yè)管理條例中并未有明確規(guī)定，但根據(jù)個人信用信息基礎數(shù)據(jù)庫管理暫行辦法，個人信息包括“個人基本信息、個人信貸交易信息以及反映個人信用狀況的其他信息”。關注金融行業(yè)標準JR/T0171-2020個人金融信息保護技術規(guī)范（以下簡稱“規(guī)范”）。規(guī)范是今年2月13日由央行發(fā)布的推薦性行業(yè)標準，是對金融行業(yè)有關主體

8、在個人金融信息安全管理和安全技術方面的指導建議。雖然規(guī)范在效力上屬于推薦性行業(yè)標準，并無強制執(zhí)行力，但是金融行業(yè)監(jiān)管部門很可能將規(guī)范 作為參考依據(jù)，在具體的執(zhí)法行動或監(jiān)督檢查中適用。對于“個人金融信息”的出境而言，規(guī) 范第7.1.3條的要求嚴苛，并且“開展安全評估”的具體流程以及“境外機構的數(shù)據(jù)安全保護能力達標”的具體要求還有待明確，但足以體現(xiàn)央行對于個人金融信息出境方面的監(jiān)管的精細化 和審慎，應當引起金融機構的足夠關注。此外， 根據(jù)規(guī)范第7.1.3條的提示，金融機構也應關注國家、行業(yè)有關部門制定辦法與標準以開展 “個人金融信息出境安全評估”。關注消費者金融信息跨境傳輸規(guī)定的變化。央行在今年9

9、月15日發(fā)布的中國人民銀行金融消費者權益保護實施辦法中，不僅沒有保留 2019年12月改文件征求意見稿中關于我國消費者金融信息境內存儲和跨境傳輸?shù)囊?guī)定，同時也刪去了2016年版本中關于個人金融信息境內存儲和跨境傳輸?shù)囊?guī)定，如下表。我們分析，央行刪除跨境傳輸規(guī)定，不代表此后個人（消費者）金融信息的跨境傳輸不再受到相關監(jiān)管，而是可能為國家、行業(yè)有關部門制定的個人信息、個人金融信息跨境傳輸?shù)囊?guī)定預留立法空間：首先，未來央行可能在正式出臺的個人金融信息（數(shù)據(jù)）保護試行辦法或類似文件中規(guī)定個人金融信息跨境傳輸?shù)囊?guī)制要求。其次，銀行業(yè)金融機構很可能被列為關鍵信息基礎設施運營者，因此在個人信息跨境傳輸上可受

10、制于網(wǎng)絡安全法及配套法律法規(guī)的規(guī)定。最后，個人信息保護法的出臺，也可能對個人信息的保護和跨境傳輸做出進一步的規(guī)定。監(jiān)管層次3：數(shù)據(jù)保密要求3.1數(shù)據(jù)保密要求條文梳理 12345 6 78 91011 1213 14 3.2數(shù)據(jù)保密要求要點提示2.2.1對于個人金融信息出境的要求逐步明確。對比上表中規(guī)范性文件對于個人金融信息出境的限制要求，我們可以看到如下圖中的變化。一方面對于個人金融信息出境的限制不再一刀切，將金融機構跨境開展業(yè)務的需要納入跨境傳輸監(jiān)管的考量因素之中；另一方面，出境的條件要求逐漸增多，以嚴格把控個人金融信息跨境傳輸可能出現(xiàn)的風險。3.2.1相關主體在進行數(shù)據(jù)跨境傳輸時不能忽視對

11、傳統(tǒng)數(shù)據(jù)保密合規(guī)義務的履行。保密義務的內涵為“除法律法規(guī)另有規(guī)定外，不得向任何單位或者個人提供”此類數(shù)據(jù)信息。嚴格來看，這種金融行業(yè)數(shù)據(jù)保密的要求制約著數(shù)據(jù)跨境傳輸至其他主體的情形。此外，“法律法規(guī)的另有規(guī)定”也一般指的是公權力介入要求提供相關數(shù)據(jù)信息的情形。數(shù)據(jù)保密是金融機構較為傳統(tǒng)的合規(guī)要求。在21世紀初，金融行業(yè)數(shù)據(jù)跨境流動還未像現(xiàn)在如此頻繁以及受到重視的時候，監(jiān)管就要求金融機構就負有為存款賬戶信息、因反洗錢/反恐怖融資獲知的客戶身份資料、交易信息、個人信用信息等數(shù)據(jù)信息進行保密的義務。數(shù)據(jù)保密要求的義務主體擴大。雖然我國金融科技發(fā)展起源可追溯至上世紀90年代，但從上表我們可以看到,在2

12、000年至2010年間，數(shù)據(jù)保密義務的主體主要為傳統(tǒng)持牌金融機構， 如銀行、信托投資公司、證券公司、期貨經(jīng)紀公司、保險公司等。即使，2006年反洗錢法規(guī)定 “特定非金融機構”也應當對“因反洗錢獲取的客戶身份資料和交易信息”履行保密義務，但并未明確“特定非金融機構”有哪些，并且在第35條中明確“應當履行反洗錢義務的特定非金融機構的范圍、其履行反洗錢義務和對其監(jiān)督管理的具體辦法，由國務院反洗錢行政主管部門會同國務院有關部門制定?！痹?003年以后，電子商務在我國開始興起，非銀行支付機構登上舞臺。在接下來的十年間，互聯(lián)網(wǎng)技術與金融行業(yè)進一步加速融合，蓬勃發(fā)展。為應對高速發(fā)展過程中不斷涌現(xiàn)的問題，在2

13、010年至今，監(jiān)管部門針對非銀行支付機構、互聯(lián)網(wǎng)金融從業(yè)機構以及信用評級機構，制定了對客戶身份和交易信息、消費者金融信息、個人隱私信息、網(wǎng)絡借貸中出借人和借款人信息等數(shù)據(jù)信息的保密要求，“特定非金融機構”的范圍逐步清晰。其實，不限于數(shù)據(jù)保密的要求，由于互聯(lián)網(wǎng)金融以及金融科技的迅猛發(fā)展，“特定非金融機構”掌握的數(shù)據(jù)量激增和數(shù)據(jù)重要程度提升，針對“特定非金融機構”，在對數(shù)據(jù)信息的跨境傳輸上的其他要求（如數(shù)據(jù)本地化要求、數(shù)據(jù)出境的要求）上，也日漸向傳統(tǒng)持牌金融機構靠攏。監(jiān)管層次4：其他數(shù)據(jù)跨境活動要求4.1條文梳理12345!64.2要點分析由監(jiān)管部門直接負責的數(shù)據(jù)信息跨境傳輸。上表中的前三個文件列

14、舉了三種情形下的數(shù)據(jù)跨境傳輸將由相關監(jiān)管部門進行負責，金融機構在其中如有數(shù)據(jù)信息跨境傳輸行為，需要接受監(jiān)管部門的監(jiān)督指導或批準：一是向境外反洗錢機構提供信息和資料；二是應對境外協(xié)助執(zhí)行的反洗錢或反恐怖融資案件；三是向境外提供證券業(yè)務活動有關的文件和資料。境外分支機構的數(shù)據(jù)信息提供義務。通過上表中的后三個文件我們可以看到，境外分支機構在開展業(yè)務的過程中，為開展業(yè)務以及履行反洗錢/反恐怖融資義務，將進行客戶身份識別、客戶身份資料和交易記錄保存等工作。在此過程中，可能存在兩種形式向境外監(jiān)管部門提供數(shù)據(jù)信息，一是由境外分支機構直接提供相關數(shù)據(jù)信息；二是，境外分支機構將相關數(shù)據(jù)信息傳輸至境內總行/總部保

15、存的，可能需要由總行/總部向提供相關數(shù)據(jù)信息。由于第二種形式，與“由監(jiān)管部門直接負責的數(shù)據(jù)信息跨境傳輸”的情形存在重合，建議金融機構同樣在相關監(jiān)管部門的監(jiān)督和指導下進行。橫向分析在對上述四個監(jiān)管層次的要求進行橫向對比分析后，我們認為需要關注以下方面：1.數(shù)據(jù)本地化要求與數(shù)據(jù)出境要求我們認為，數(shù)據(jù)本地化要求和數(shù)據(jù)出境要求都是監(jiān)管部門通過行政方式干預數(shù)據(jù)跨境流動的限制性手段，但是兩者的側重點不同。綜合比對數(shù)據(jù)本地化要求和數(shù)據(jù)出境要求我們可以看到，存在三種組合形式（如下表）：一是可以在境外存儲，但境內也應存儲；二是僅要求在境內存儲，但未限制跨境傳輸；三是要求境內存儲，同時限制/禁止跨境傳輸。2. 對

16、傳統(tǒng)數(shù)據(jù)保密要求的突破效果同時，我們也關注到一些規(guī)范性文件關于數(shù)據(jù)跨境傳輸?shù)囊?guī)定，實質上產(chǎn)生了對傳統(tǒng)數(shù)據(jù)保密要求的突破效果。例如下表中，2000年國務院發(fā)布的規(guī)定中對個人存款賬戶數(shù)據(jù)做出保密的要求；2011年1月央行的文件中要求“銀行業(yè)金融機構不得向境外提供境內個人金融信息”，且根據(jù)該文件，個人金融信息包含了個人賬戶信息。但2011年5月央行上海分行的文件對前述兩個文件都做出了突破，允許母行與子行之間在滿足一定條件下跨境傳輸個人金融信息。法律意義上，母行和子行是不同法人主體，也即，子行向母行（或母行向子行）傳輸數(shù)據(jù)信息，可以理解為保密主體向其他單位傳輸數(shù)據(jù)信息，是突破了保密要求的。但央行上海分

17、行的文件提出，對于母行與子行之間在滿足“業(yè)務必需+客戶同意+確保保密”的條件下，跨境提供境內個人金融信息可不視為違規(guī)。此后，央行在2020年發(fā)布的JR/T0171-2020個人金融信息保護技術規(guī)范，在確認上海分行的該種數(shù)據(jù)跨境傳輸條件框架下，又添加了簽訂協(xié)議、現(xiàn)場核查等要求，在一定程度上“抵消”了傳統(tǒng)的數(shù)據(jù)保密合規(guī)要求對數(shù)字化時代下數(shù)據(jù)需要在業(yè)務關聯(lián)度較高的不同法人主體間跨境傳遞的“負面影響”。網(wǎng)絡安全法數(shù)據(jù)跨境規(guī)制體系網(wǎng)絡安全法（以下簡稱“ 網(wǎng)安法”）數(shù)據(jù)跨境規(guī)制體系主要是以其第三十七條為中心展開的“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內存

18、儲，因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！睘楸阌谘芯浚覀儗⒃摋l拆分為如下表中的結構，并在下文中對在業(yè)務過程中困擾企業(yè)較多的1）主體關鍵信息基礎設施運營者，2）客體 個人信息/重要數(shù)據(jù)以及3）要求安全評估這三項要素作出分析。主體：關鍵信息基礎設施運營者（CIIO）根據(jù)網(wǎng)安法第31條至39條，“關鍵信息基礎設施的運營者”（以下簡稱“CIIO”）在個人信息和重要數(shù)據(jù)的跨境流動上受到較多限制，以及較一般網(wǎng)絡運營者，CIIO對于所持有的關鍵信息基礎設施（以下簡稱“ CII”）負有更多的安全保護義務，因此對于網(wǎng)

19、絡運營者來說，明晰自身是否運營CII意義重大。我們將與CII有關的重要文件或監(jiān)管部門重要行動脈絡進行了梳理，如下表： 根據(jù)我們對上表中的CII有關動態(tài)及規(guī)范性文件的研究和分析，我們認為金融機構從業(yè)人員需要關注以下要點：金融機構所運行、管理的網(wǎng)絡設施和信息系統(tǒng)一直作為關鍵信息基礎設施監(jiān)管涉及的重要對象從上表我們可以看到，“金融”一直作為重要行業(yè)和領域被屢次提及，國家標準信息安全技術 關鍵信息基礎設施網(wǎng)絡安全保護基本要求（報批稿）試點工作所選取的12家單位亦包含了金融機構。將可能由央行科技司具體負責金融業(yè)的關鍵信息基礎設施識別認定工作根據(jù)網(wǎng)安法第32條以及今年7月公安部發(fā)布貫徹落實網(wǎng)絡安全等級保護

20、制度和關鍵信息基礎設施安全保護制度的指導意見，我們基本可以明確，將由公安部指導和監(jiān)督關鍵信息基礎設施的安全保護工作；重要行業(yè)和領域的主管、監(jiān)管部門負責制定本行業(yè)、本領域CII認定規(guī)則并報公安部備案；主管、監(jiān)管部門根據(jù)CII認定規(guī)則識別本行業(yè)、本領域的CII，并將認定結果報給公安部并通知CIIO。另根據(jù)央行在2019年2月發(fā)布的中國人民銀行職能配置、內設機構、人員編制規(guī)定，科技司將負責金融業(yè)的CII建設工作。綜合來看，金融行業(yè)領域內，很可能由央行科技司主要負責金融行業(yè)內CII的個認定規(guī)則制定與認定工作，并將規(guī)則與認定結果報公安部。3. 關鍵信息基礎設施安全保護條例預計今年將會出臺根據(jù)國務院辦公廳

21、今年6月份發(fā)布的國務院2020年立法工作計劃，國務院2020年擬制定、修訂的行政法規(guī)包括關鍵信息基礎設施安全保護條例，由網(wǎng)信辦、工信部、公安部起草。關注貫徹落實網(wǎng)絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見（以下簡稱“關保等保指導意見”）根據(jù)結合有關文件的解讀，我們認為需要明確關保等保指導意見傳達出的如下信息：關鍵信息基礎設施的保護（以下簡稱“關?！保┦窃凇暗缺?.0”基礎之上實行的重點保護根據(jù)網(wǎng)安法第31條對于關鍵信息基礎設施“在網(wǎng) 絡安全等級保護制度的基礎上，實行重點保護”，以及關保等保指導意見工作目標中提出的 “在貫徹落實網(wǎng)絡安全等級保護制度的基礎上，關鍵信息基礎設施涉及的

22、關鍵崗位人員管理、供應鏈安全、數(shù)據(jù)安全、應急處置等重點安全保護措施得到有效落實，關鍵信息基礎設施安全防護能力明顯增強”，我們看出，如果說等保是面向網(wǎng)絡運營者的普遍義務，那么關保則是針對CIIO 的特殊義務；同樣的，等保面向的一般的網(wǎng)絡設施和信息系統(tǒng)，關保則是面向承載著重要行業(yè)和領域的關鍵業(yè)務的網(wǎng)絡設施和信息系統(tǒng)。4.2等保與關保的異同點另外根據(jù)我們對涉及等保有關國家標準與關保有關國家標準的對比梳理，我們認為有以下異同點，可以幫助大家理解等保與關保的關系，以及認識關保：關保和等保的對象都是網(wǎng)絡設施和信息系統(tǒng)，區(qū)別在于：等保面向的一般的網(wǎng)絡設施和信息系統(tǒng)，包括：基礎信息網(wǎng)絡、云計算平臺/系統(tǒng)、大數(shù)

23、據(jù)應用/平臺/資源、物聯(lián)網(wǎng)（IoT）、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術的系統(tǒng)等；關保則是面向承載著重要行業(yè)和領域的關鍵業(yè)務的網(wǎng)絡設施和信息系統(tǒng)，關保和等保指導意見還特別提出“基礎網(wǎng)絡、大型專網(wǎng)、核心業(yè)務系統(tǒng)、云平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、智能制造系統(tǒng)、新型互聯(lián)網(wǎng)、新興通訊設施等”應作為重點保護對象納入CII范圍。義務主體上，等保2.0體系下，網(wǎng)絡安全等級保護義務是基礎的、普遍適用的，但關保針對重要行業(yè)領域。義務要求上，關保的要求顯然較等保要求更高。關保和等保范圍都將按照認定規(guī)則和一定流程、程序來進行識別認定，區(qū)別在于：等保的認定規(guī)則由GB/T 28448-2019 信息安全技術網(wǎng)絡安

24、全等級保護測評要求等國家標準明確，但關保的認定規(guī)則需要由相應行業(yè)、領域的主管或監(jiān)管部門制定，是否公開還不明確。關保和等保范圍都將由專門機構來識別認定，區(qū)別在于：等保的測評認定可由公安部認可的測評服務單位提供，但關保的認定將由相應行業(yè)、領域的主管或監(jiān)管部門負責。等保和關保的指導監(jiān)督工作都由公安機關負責，區(qū)別在于：等保二級以上的網(wǎng)絡運營者只需要至縣級以上公安機關備案；但關保的備案是由相應行業(yè)領域的主管或監(jiān)管部門報公安部備案。保密要求上，我們認為，一般對于通過等保測評認定的評級結果沒有保密要求；但是鑒于CII與國家安全、國計民生、公共利益極為相關，因此，某網(wǎng)絡設施和信息系統(tǒng)是否被認定為關鍵信息基礎設

25、施這一信息很可能是保密的。關注信息安全技術 關鍵信息基礎設施邊界確定方法（征求意見稿）（以下簡稱“邊界確定方法”）前不久發(fā)布的邊界確定方法為我們展現(xiàn)了CII邊界確定的方法（如下圖）。此外，根據(jù)該文件，我們也需要關注到，1）由“行業(yè)主管部門認定的關鍵業(yè)務”是確定CII邊界的前提，以及2）由于關鍵業(yè)務是發(fā)展變化的，相應的CII邊界也應作出及時調整?？腕w：個人信息/重要數(shù)據(jù)根據(jù)網(wǎng)安法第31條至39條，“關鍵信息基礎設施的運營者”（以下簡稱“CIIO”）在個人信息和重要數(shù)據(jù)的跨境流動上受到較多限制，以及較一般網(wǎng)絡運營者，CIIO對于所持有的關鍵信息基礎設施（以下簡稱“ CII”）負有更多的安全保護義務

26、，因此對于網(wǎng)絡運營者來說，明晰自身是否運營CII意義重大。1.個人信息關于個人信息的定義和范圍，網(wǎng)安法、GB/T 35273-2020信息安全技術 個人信息安全規(guī)范（以下簡稱“個人信息規(guī)范”）都給了較為明確定義，特別是個人信息規(guī)范，提供了判定某項信息是否屬于個人信息的兩條參考路徑：“一是識別，即從信息到個人，由信息本身的特殊性識別出特定自然人，個人信息應有助于識別出特定個人。二是關聯(lián)，即從個人到信息，如已知特定自然人，由該特定自然人在其活動中產(chǎn)生的信息(如個人位置信息、個人通話記錄、個人瀏覽記錄等)即為個人信息。符合上述兩種情形之一的信息，均應判定為個人信息?！贝送?，個人信息規(guī)范的附錄A給出了

27、個人信息的舉例，其中與金融行業(yè)較為相關是“個人財產(chǎn)信息”，包括“銀行賬戶、鑒別信息(口令) 、存款信息(包括資金數(shù)量、支付收款記錄等) 、房產(chǎn)信息、信貸記錄、征信信息、交易和消費記錄、流水記錄等，以及虛擬貨幣、虛擬交易、游戲類兌換碼等虛擬財產(chǎn)信息”。此外，根據(jù)我們?yōu)榻鹑跈C構提供數(shù)據(jù)合規(guī)服務的經(jīng)驗，對于個人信息規(guī)范已列舉出的個人信息類型，需要按照關于個人信息保護的有關規(guī)定進行收集使用等處理行為，這一點并無太多爭議，但對于一些還未明確列舉是否是個人信息，比如帶有預測成分的個人用戶畫像，其屬性判定就需要依照前述“兩條參考路徑”以及監(jiān)管動向進行具體判定。2.重要數(shù)據(jù)我們對“重要數(shù)據(jù)”有關的重要文件梳理

28、如下表： 根據(jù)我們對上表中“重要數(shù)據(jù)”有關內容的研究和分析，我們認為金融機構從業(yè)人員需要關注以下要點： 關注金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南（送審稿）（以下簡稱“分級指南”）分級指南對于金融行業(yè)從業(yè)者在進行數(shù)據(jù)分級以及數(shù)據(jù)治理較具有參考價值，其結合影響對象、影響程度因素，將金融數(shù)據(jù)分為1 至5級，其中有關重要數(shù)據(jù)的內容摘錄如下表。從中我們認為可以解讀出如下幾個要點： 重要數(shù)據(jù)的占比小。按照分級指南對金融數(shù)據(jù)的分級，重要數(shù)據(jù)屬于其第5級數(shù)據(jù)，我們認為其在金融機構數(shù)據(jù)中的占比非常小。2.1.2金融業(yè)重要數(shù)據(jù)一旦遭到破壞的影響對象為國家安全和公眾權益。對于國家安全，影響輕微即可能屬于重要數(shù)據(jù)，對于公眾

29、權益，需要造成非常嚴重的影響才可能屬于重要數(shù)據(jù)。按照此種影響對象和影響程度的考量，破壞僅對個人權益或企業(yè)權益造成影響的數(shù)據(jù)，不足以被認定為重要數(shù)據(jù)。重要數(shù)據(jù)一般不包括企業(yè)生產(chǎn)經(jīng)營和內部管理信息、個人信息等。匯聚后的個人數(shù)據(jù)可能構成重要數(shù)據(jù)。分級指南附錄C對于“海量信息匯聚得到的衍生特征數(shù)據(jù)”這一重要數(shù)據(jù)包含的內容描述為：匯聚后覆蓋多省市的金融消費者真實交易信息。重要數(shù)據(jù)與關鍵信息基礎設施的關系。根據(jù)分級指南附錄C的表述，我們可歸結出兩條關系：1）一旦被破壞，將危害關鍵信息基礎設施，屬于重要數(shù)據(jù)；2）關鍵信息基礎設施的網(wǎng)絡安全缺陷信息（網(wǎng)絡設備、服務器、信息系統(tǒng)等有關漏洞信息）屬于重要數(shù)據(jù)。對于

30、泄露僅影響到個人權益和企業(yè)權益的，一般不認為是重要數(shù)據(jù)根據(jù)監(jiān)管部門最新的文件，重要數(shù)據(jù)一旦泄露，其影響對象是國家安全或公共利益。實際上，監(jiān)管部門關于重要數(shù)據(jù)的認定范圍經(jīng)歷了一個“窄-寬-窄”的過程（如下表），其中2017年8月網(wǎng)信辦采取的標準過于寬泛，目前監(jiān)管部門已不再采取該種標準。 關注數(shù)據(jù)安全法（草案）釋放的信號根據(jù)數(shù)據(jù)安全法（草案）第19條、第25條和第 28條，我們認為需要關注如下內容：重要數(shù)據(jù)是在數(shù)據(jù)分級分類基礎上進行的重點保護。不同地區(qū)、不同部門、不同行業(yè)將分別制定重要數(shù)據(jù)保護目錄。將有配套的關于數(shù)據(jù)安全的法律、行政法規(guī)的規(guī)定和國家標準的強制性要求。2.3.4重要數(shù)據(jù)的處理者注意需

31、要設立數(shù)據(jù)安全負責人和管理機構，落實數(shù)據(jù)安全保護責任。2.3.5重要數(shù)據(jù)的處理者應當定期開展有關重要數(shù)據(jù)的風險評估。信息安全技術 重要數(shù)據(jù)識別指南關于重要數(shù)據(jù)的分類標準很可能將不再沿用行業(yè)分類的方式根據(jù)中國信通院安全研究所數(shù)據(jù)安全研究部副主任陳湉所撰對數(shù)據(jù)安全法的理解和認識|重要數(shù)據(jù)如何保護，我們了解到擬定的信息安全技術 重要數(shù)據(jù)識別指南“簡化了重要數(shù)據(jù)定義、明確提出了重要數(shù)據(jù)的主要分布；不再延用行業(yè)分類的方式，而是從數(shù)據(jù)的作用、受破壞后可能帶來的影響等角度，將重要數(shù)據(jù)分為國民經(jīng)濟運行類、安保類、自然資源與環(huán)境類、健康類、敏感技術類、用戶類及政府工作秘密類?！币螅喊踩u估我們對數(shù)據(jù)出境安全評

32、估的有關內容梳理如下表： 根據(jù)上表，關于數(shù)據(jù)出境的安全評估，2017年出臺個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）（以下簡稱“2017出境評估辦法”）及其配套的國家標準信息安全技術 數(shù)據(jù)出境安全評估指南（征求意見稿）（以下簡稱“2017出境評估指南”）采取的是“網(wǎng)絡運營者自評估+行業(yè)主管或監(jiān)管部門安全評估”的模式，這可作為行業(yè)從業(yè)者可預期的數(shù)據(jù)出境的評估模式參考。但鑒于2017出境評估辦法和2017出境評估指南至今未再修訂，其關于重要數(shù)據(jù)、需要進行數(shù)據(jù)出境評估的主體范圍認定上已與目前監(jiān)管思路和文件產(chǎn)生較大出入，因此該兩份文件關于安全評估的義務主體層面的內容還需謹慎對待。網(wǎng)絡安全法數(shù)據(jù)跨

33、境規(guī)制體系小結根據(jù)對網(wǎng)安法監(jiān)管體系下數(shù)據(jù)出境的分析我們可以看出，首先，在主體上，關鍵信息基礎設施及其運營者的認定存在一個過程，盡管金融機構被認定為CIIO的可能性較大，但并不意味著其持有的所有網(wǎng)絡設施和信息系統(tǒng)都將被認定為CII，且今年公安部的指導監(jiān)督下CII的識別認定工作應當會較之前有較大進展；其次，在客體層面，關于個人信息的范圍認定趨于明確；關于重要數(shù)據(jù)的范圍認定上還需等待相關文件出臺，但其影響對象應當為“國家安全”和“公眾權益”這一方向逐漸明確，也即意味著“重要數(shù)據(jù)”并不會在一個企業(yè)的數(shù)據(jù)比例中占比非常大。再次，對于數(shù)據(jù)出境評估所需要依據(jù)安全評估辦法，還有待相關文件出臺。結語通過對“金融

34、行業(yè)監(jiān)管部門數(shù)據(jù)跨境規(guī)制”和“網(wǎng)絡安全法數(shù)據(jù)跨境規(guī)制”兩個監(jiān)管體系有關規(guī)范性文件的梳理和要點提示我們可以看到：金融行業(yè)監(jiān)管這條線下，數(shù)據(jù)跨境流動監(jiān)管要求主要是控制與“人”有關的數(shù)據(jù)信息及業(yè)務運營或處理系統(tǒng)，主要處理的是金融行業(yè)有關主體因跨境開展業(yè)務產(chǎn)生的數(shù)據(jù)跨境傳輸需求與將控制金融數(shù)據(jù)跨境傳輸所帶來的風險之間的矛盾，監(jiān)管要求散布于多部文件之中較為龐雜，但相對明確，便于金融行業(yè)從業(yè)者把握。其中特別需要提示的是，應當密切關注央行個人金融信息（數(shù)據(jù)）保護試行辦法或類似文件的出臺，將很有可能涉及個人金融信息的出境規(guī)制。網(wǎng)安法監(jiān)管這條線下，數(shù)據(jù)跨境流動監(jiān)管要求主要是控制CIIO的個人信息和重要數(shù)據(jù)，主要

35、處理的是不限于金融行業(yè)在內的重要領域、行業(yè)的數(shù)據(jù)跨境傳輸需求與控制數(shù)據(jù)跨境傳輸給國家安全、社會公共利益所帶來的風險之間的矛盾，涉及的規(guī)范性文件不多，但具體要求還都有待關保工作的開展和有關文件的出臺來進一步的明確。此外，我們也發(fā)現(xiàn)了這兩條線之間的連接點，也是殊途同歸之處，都在于“數(shù)據(jù)出境安全評估制度”。根據(jù)網(wǎng)安法第37條，CIIO的個人信息和重要數(shù)據(jù)出境將有賴于“國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估。根據(jù)金融行業(yè)標準JR/T0171-2020個人金融信息保護技術規(guī)范，金融機構應依據(jù)國家、行業(yè)有關部門制定的辦法與標準開展個人金融信息出境安全評估。但截至目前安全評估的依據(jù)和流程都還不

36、清晰。對于金融行業(yè)從業(yè)者來說，兩條線各有側重、互為補充，雖然法定義務有待細化和統(tǒng)一，但脈絡已經(jīng)顯現(xiàn)，兩條線都需要保持關注。最后，從跨境數(shù)據(jù)流動的監(jiān)管政策體系變化能看到，我國監(jiān)管機構的立場與時俱進，根據(jù)技術發(fā)展和金融業(yè)務的實際需求而不斷調整。從一開始“一刀切”地限制數(shù)據(jù)出境，后來逐漸有條件地允許合規(guī)流動，到現(xiàn)在形成一套較為完整的體系來規(guī)范引導，體現(xiàn)了創(chuàng)新監(jiān)管、分層監(jiān)管、精準監(jiān)管的演進歷程。由此，監(jiān)管政策一方面服務好了跨境金融的市場需求，另一方面也滿足了跨境監(jiān)管合作的要求。未來，金融跨境數(shù)據(jù)的流動一定會持續(xù)完善，我們將繼續(xù)保持密切關注。參考文章上海市法學會江翔宇課題組金融數(shù)據(jù)跨境流動立法與監(jiān)管的比

37、較研究報告馬蘭金融數(shù)據(jù)跨境流動規(guī)制的核心問題和中國因應，載國際法研究2020年第3期袁立志 馮堅堅銀行業(yè)金融數(shù)據(jù)出境的監(jiān)管框架與脈絡李偉我國金融數(shù)據(jù)跨境流動規(guī)則建設的思考與建議附錄相關規(guī)范性文件1. 個人存款賬戶實名制規(guī)定國務院2000.3.20發(fā)布2. 人民幣銀行結算賬戶管理辦法中國人民銀行2003.4.10發(fā)布3. 個人信用信息基礎數(shù)據(jù)庫管理暫行辦法中國人民銀行2005.8.18發(fā)布4. 電子銀行業(yè)務管理辦法中國銀行業(yè)監(jiān)督管理委員會2006.1.26發(fā)布5. 反洗錢法全國人民代表大會常務委員會2006.10.31發(fā)布6. 金融機構反洗錢規(guī)定中國人民銀行2006.11.14發(fā)布7. 中國人民

38、銀行關于證券期貨業(yè)和保險業(yè)金融機構嚴格執(zhí)行反洗錢規(guī)定防范洗錢風險的通知中國人民銀行2007.1.30發(fā)布8. 中國人民銀行關于銀行業(yè)金融機構做好個人金融信息保護工作的通知中國人民銀行2011.1.21發(fā)布9. 關于銀行業(yè)金融機構做好個人金融信息保護工作有關問題的通知中國人民銀行上海分行2011.5.12發(fā)布10. 關于調整證券資格會計師事務所申請條件的通知財政部、中國證券監(jiān)督管理委員會2012.1.21發(fā)布11. 支付機構反洗錢和反恐怖融資管理辦法中國人民銀行2012.3.5發(fā)布12. 保險公司財會工作規(guī)范中國保險監(jiān)督管理委員會2012.7.1發(fā)布13. 征信業(yè)管理條例國務院2013.1.21

39、發(fā)布14. 非銀行支付機構網(wǎng)絡支付業(yè)務管理辦法中國人民銀行2015.12.28發(fā)布15. 網(wǎng)絡借貸信息中介機構業(yè)務活動管理暫行辦法中國銀行業(yè)監(jiān)督管理委員會、工業(yè)和信息化部、公安部、國家互聯(lián)網(wǎng)信息辦公室2016.8.17發(fā)布16. 網(wǎng)絡安全法全國人民代表大會常務委員會2016.11.7發(fā)布17. 個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）國家互聯(lián)網(wǎng)信息辦公室2017.4.11發(fā)布18. 關鍵信息基礎設施安全保護條例（征求意見稿）國家互聯(lián)網(wǎng)信息辦公室2017.7.10發(fā)布19. 信息安全技術 關鍵信息基礎設施安全保障評價指標體系（征求意見稿）全國信息安全標準化技術委員會2017.8.30發(fā)布20. 信息安全技術 關鍵信息基礎設施安全檢查評估指南（征求意見稿）全國信息安全標準