2020中国金融数据跨境流动监管政策报告.pdf

1、前言 PREFACE备受关注的金融数据跨境流动随着改革开放的不断深入，中国经济与世界经济之间的联系越来越密切，尤其是2001年中国加入世界贸易组织后，中国融入经济全球化的步伐加快，中国企业与居民与世界各个国家与地区的贸易与交往日趋频繁，其从事跨境经济活动所产生的数据往往是跨越国界的。金融是经济的血脉，越来越多的跨境贸易等经济活动随之也带来了对跨境金融的强烈需求。而提供金融服务的金融机构，一方面在提供金融服务时，期望能够获得客户的各类相关数据为其获取客户、经营决策提供支持，另一方面，出于合规管理的需要，也需要数据履行相关的义务。同时，洗钱等金融犯罪活动也由于科技的发展以及金融服务业的全球化而变得

2、日益复杂化，各国监管机构之间也很自然的在数据交换方面有着强烈的诉求。因此，从业务、合规、监管三方面看，金融数据跨境流动必不可少。另外，金融数据的跨境流动在带来便利的同时，也潜藏着一系列风险。金融数据与个人隐私及企业合法权益、公共权益乃至国家安全紧密相关，数据的跨境流动也必然意味着风险的复杂化、扩大化及不可控倾向。为了应对上述数据跨境需求与风险控制之间的矛盾，保护金融数据安全，实现风险可控，在金融数据的跨境流动方面，我国立法者及金融监管部门多年来进行了大量的积极探索，近年更是愈加频繁，2015年至2020年关于与金融数据跨境流动有关的文件数量是2000年至2015年所出台文件数量总和的两倍还多（

3、如下图）。从这些规范性文件中，我们梳理出了两条监管思路，一是金融行业监管部门的数据跨境规制体系，二是 网络安全法 的数据跨境规制体系。图表 1：数据跨境传输有关规范性文件数量金融行业监管部门数据跨境规制体系 01 纵向分析 02监管层次1：数据本地化的要求 02监管层次2：数据出境要求 06 监管层次3：数据保密要求 09监管层次4：其他数据跨境活动要求 13横向分析 14 网络安全法 数据跨境规制体系 17 主体：关键信息基础设施运营者（CIIO）17客体：个人信息/重要数据 22要求：安全评估 27网络安全法 数据跨境规制体系小结 28结语 29参考文章 30附录 31相关规范性文件 31

4、目录 CONTENTS金融行业监管部门数据跨境规制体系根据我们对金融行业监管部门数据跨境流动方面的规范性文件的检索和分析，我们将金融行业的监管分为四个层次，分别为：数据本地化的要求、数据出境的要求、数据保密要求以及其他数据跨境要求。下文将进行纵向、横向的交叉分析和要点提示，以期能为金融机构从业者提供内部数据治理及数据全球化部署这一“必修课”提供参考和帮助。图表 2：不同类别的规范性文件数量01 纵向分析监管层次1：数据本地化的要求1.1数据本地化要求条文梳理021235403678910111204131415161.2数据本地化要求要点提示1.2.1数据本地化可以理解为对数据信息的境内存储要

5、求，通过要求相关数据信息在某国家或区域范围内进行存储，来实现对特定数据信息相对独立自主的占用、处理、管理效果。1.2.2数据本地化的要求并非近年才有。通过上表我们可以看到，2006年银监会在 电子银行行业务管理办法 中，已就中资银行的相关运营系统和服务器做出了设置在境内的要求。除金融数据以外，我们还检索到1982年 关于对外合作开采海洋石油资源资料管理的规定 中要求“运往国外的原始资料，在复制或使用完毕后，应及时运回中国境内保存”。也即，在数据信息的跨境流动还未像当下如此便捷和频繁的时期，国家已对特定数据信息做出了本地化的要求。1.2.3数据本地化不仅针对数据信息还针对数据信息的载体。比如，上

6、表中 中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知 中的数据本地化客体是“个人金融信息”，但电子银行业务管理办法、央行上海分行 关于银行业金融机构做好个人金融信息保护工作有关问题的通知、中国银行业监督管理委员会中资商业银行行政许可事项实施办法、非银行支付机构网络支付业务管理办法 等文件都对相关金融机构或第三方支付机构的运营系统/业务处理系统/存储数据设备这类数据信息的载体做出设置在境内的要求。1.2.4数据本地化存储的方式一般包括境内物理服务器或云服务器。在“数据上云”越来越普遍的当下，我们也应关注到如果使用云服务存储数据信息应当如何应对数据本地化的要求。尽管目前我们还未检索到

7、对“境内存储”的存储方式作出明确规定的金融行业监管规范性文件，但从2018年8月 国务院办公厅关于加强政府网站域名管理的通知 中提出的，对于“自行建设运维的政府网站服务器不得放在境外；租用网络虚拟空间的，所租用的空间应当位于服务商的境内节点”我们可以分析出，如果相关数据信息有境内存储要求，且企业选择云服务器进行存储的情况下，应当注重选择服务商境内节点所提供的云服务。05监管层次2：数据出境要求2.1数据出境要求条文梳理0612342.2数据出境要求要点提示2.2.1对于个人金融信息出境的要求逐步明确。对比上表中规范性文件对于个人金融信息出境的限制要求，我们可以看到如下图中的变化。一方面对于个人

8、金融信息出境的限制不再一刀切，将金融机构跨境开展业务的需要纳入跨境传输监管的考量因素之中；另一方面，出境的条件要求逐渐增多，以严格把控个人金融信息跨境传输可能出现的风险。0756782.2.2数据信息的范围可解释空间较大，需要从业机构审慎把握。数据出境要求主要涉及的数据信息类型包括个人金融信息、企业和个人信用信息、证券业务活动有关的文件或资料、因反洗钱/反恐怖融资义务获取的客户身份资料和交易信息，其中前三类信息的范围规定都较为宽泛，留有较大的解释空间。如，对个人金融信息的范围限定上，相关文件都有类似“金融机构在与个人建立业务关系过程中获取、保存的其他个人信息”、“及其他反映特定个人某些情况的信

9、息”的“兜底条款”；同样的，企业和个人的信用信息范围在 征信业管理条例 中并未有明确规定，但根据 个人信用信息基础数据库管理暂行办法，个人信息包括“个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息”。2.2.3关注金融行业标准 JR/T0171-2020个人金融信息保护技术规范（以下简称“规范”）。规范 是今年2月13日由央行发布的推荐性行业标准，是对金融行业有关主体在个人金融信息安全管理和安全技术方面的指导建议。虽然 规范 在效力上属于推荐性行业标准，并无强制执行力，但是金融行业监管部门很可能将 规范作为参考依据，在具体的执法行动或监督检查中适用。对于“个人金融信息”的出境而言，

10、规范 第7.1.3条的要求严苛，并且“开展安全评估”的具体流程以及“境外机构的数据安全保护能力达标”的具体要求还有待明确，但足以体现央行对于个人金融信息出境方面的监管的精细化和审慎，应当引起金融机构的足够关注。此外，根据 规范 第7.1.3条的提示，金融机构也应关注国家、行业有关部门制定办法与标准以开展“个人金融信息出境安全评估”。2.2.4关注消费者金融信息跨境传输规定的变化。央行在今年9月15日发布的 中国人民银行金融消费者权益保护实施办法 中，不仅没有保留2019年12月改文件征求意见稿中关于我国消费者金融信息境内存储和跨境传输的规定，同时也删去了2016年版本中关于个人金融信息境内存储

11、和跨境传输的规定，如下表。我们分析，央行删除跨境传输规定，不代表此后个人（消费者）除法律法规及中国人民银行另有规定+不得提供业务需要+授权同意+向总/分/母/子行+境外机构保密义务业务需要+明示同意+向必要关联机构+符合监管规定+开展安全评估+境外机构数据安全保护能力达标+签订协议/现场核查等措施确保对境外机构的保密、删除、案件协查义务08监管层次3：数据保密要求3.1数据保密要求条文梳理金融信息的跨境传输不再受到相关监管，而是可能为国家、行业有关部门制定的个人信息、个人金融信息跨境传输的规定预留立法空间：首先，未来央行可能在正式出台的 个人金融信息（数据）保护试行办法 或类似文件中规定个人金

12、融信息跨境传输的规制要求。其次，银行业金融机构很可能被列为关键信息基础设施运营者，因此在个人信息跨境传输上可受制于 网络安全法 及配套法律法规的规定。最后，个人信息保护法 的出台，也可能对个人信息的保护和跨境传输做出进一步的规定。09101234567811109111213143.2数据保密要求要点提示2.2.1对于个人金融信息出境的要求逐步明确。对比上表中规范性文件对于个人金融信息出境的限制要求，我们可以看到如下图中的变化。一方面对于个人金融信息出境的限制不再一刀切，将金融机构跨境开展业务的需要纳入跨境传输监管的考量因素之中；另一方面，出境的条件要求逐渐增多，以严格把控个人金融信息跨境传输

13、可能出现的风险。3.2.1相关主体在进行数据跨境传输时不能忽视对传统数据保密合规义务的履行。保密义务的内涵为“除法律法规另有规定外，不得向任何单位或者个人提供”此类数据信息。严格来看，这种金融行业数据保密的要求制约着数据跨境传输至其他主体的情形。此外，“法律法规的另有规定”也一般指的是公权力介入要求提供相关数据信息的情形。3.2.2数据保密是金融机构较为传统的合规要求。在21世纪初，金融行业数据跨境流动还未像现在如此频繁以及受到重视的时候，监管就要求金融机构就负有为存款账户信息、因反洗钱/反恐怖融资获知的客户身份资料、交易信息、个人信用信息等数据信息进行保密的义务。3.2.3数据保密要求的义务

14、主体扩大。虽然我国金融科技发展起源可追溯至上世纪90年代，但从上表我们可以看到,在2000年至2010年间，数据保密义务的主体主要为传统持牌金融机构，如银行、信托投资公司、证券公司、期货经纪公司、保险公司等。即使，2006年 反洗钱法 规定“特定非金融机构”也应当对“因反洗钱获取的客户身份资料和交易信息”履行保密义务，但并未明确“特定非金融机构”有哪些，并且在第35条中明确“应当履行反洗钱义务的特定非金融机构的范围、其履行反洗钱义务和对其监督管理的具体办法，由国务院反洗钱行政主管部门会同国务院有关部门制定。”在2003年以后，电子商务在我国开始兴起，非银行支付机构登上舞台。在接下来的十年间，互

15、联网技术与金融行业进一步加速融合，蓬勃发展。为应对高速发展过程中不断涌现的问题，在2010年至今，监管部门针对非银行支付机构、互联网金融从业机构以及信用评级机构，制定了对客户身份和交易信息、消费者金融信息、个人隐私信息、网络借贷中出借人和借款人信息等数据信息的保密要求，“特定非金融机构”的范围逐步清晰。其实，不限于数据保密的要求，由于互联网金融以及金融科技的迅猛发展，“特定非金融机构”掌握的数据量激增和数据重要程度提升，针对“特定非金融机构”，在对数据信息的跨境传输上的其他要求（如数据本地化要求、数据出境的要求）上，也日渐向传统持牌金融机构靠拢。12监管层次4：其他数据跨境活动要求4.1条文梳

16、理13!213456 横向分析在对上述四个监管层次的要求进行横向对比分析后，我们认为需要关注以下方面：1.数据本地化要求与数据出境要求我们认为，数据本地化要求和数据出境要求都是监管部门通过行政方式干预数据跨境流动的限制性手段，但是两者的侧重点不同。综合比对数据本地化要求和数据出境要求我们可以看到，存在三种组合形式（如下表）：一是可以在境外存储，但境内也应存储；二是仅要求在境内存储，但未限制跨境传输；三是要求境内存储，同时限制/禁止跨境传输。4.2要点分析4.2.1由监管部门直接负责的数据信息跨境传输。上表中的前三个文件列举了三种情形下的数据跨境传输将由相关监管部门进行负责，金融机构在其中如有数

17、据信息跨境传输行为，需要接受监管部门的监督指导或批准：一是向境外反洗钱机构提供信息和资料；二是应对境外协助执行的反洗钱或反恐怖融资案件；三是向境外提供证券业务活动有关的文件和资料。4.2.2境外分支机构的数据信息提供义务。通过上表中的后三个文件我们可以看到，境外分支机构在开展业务的过程中，为开展业务以及履行反洗钱/反恐怖融资义务，将进行客户身份识别、客户身份资料和交易记录保存等工作。在此过程中，可能存在两种形式向境外监管部门提供数据信息，一是由境外分支机构直接提供相关数据信息；二是，境外分支机构将相关数据信息传输至境内总行/总部保存的，可能需要由总行/总部向提供相关数据信息。由于第二种形式，与

18、“由监管部门直接负责的数据信息跨境传输”的情形存在重合，建议金融机构同样在相关监管部门的监督和指导下进行。142.对传统数据保密要求的突破效果同时，我们也关注到一些规范性文件关于数据跨境传输的规定，实质上产生了对传统数据保密要求的突破效果。例如下表中，2000年国务院发布的规定中对个人存款账户数据做出保密的要求；2011年1月央行的文件中要求“银行业金融机构不得向境外提供境内个人金融信息”，且根据该文件，个人金融信息包含了个人账户信息。但2011年5月央行上海分行的文件对前述两个文件都做出了突破，允许母行与子行之间在满足一定条件下跨境传输个人金融信息。法律意义上，母行和子行是不同法人主体，也即

19、，子行向母行（或母行向子行）传输数据信息，可以理解为保密主体向其他单位传输数据信息，是突破了保密要求的。但央行上海分行的文件提出，对于母行与子行之间在满足“业务必需+客户同意+确保保密”的条件下，跨境提供境内个人金融信息可不视为违规。此后，央行在2020年发布的 JR/T0171-2020个人金融信息保护技术规范，在确认上海分行的该种数据跨境传输条件框架下，又添加了签订协议、现场核查等要求，在一定程度上“抵消”了传统的数据保密合规要求对数字化时代下数据需要在业务关联度较高的不同法人主体间跨境传递的“负面影响”。1516网络安全法 数据跨境规制体系网络安全法（以下简称“网安法”）数据跨境规制体系

20、主要是以其第三十七条为中心展开的“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储，因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”为便于研究，我们将该条拆分为如下表中的结构，并在下文中对在业务过程中困扰企业较多的1）主体关键信息基础设施运营者，2）客体 个人信息/重要数据以及3）要求安全评估这三项要素作出分析。主体：关键信息基础设施运营者（CIIO）根据网安法第31条至39条，“关键信息基础设施的运营者”（以下简称“CIIO”）在个人信息和重要数据的跨境流动上受到

21、较多限制，以及较一般网络运营者，CIIO对于所持有的关键信息基础设施（以下简称“CII”）负有更多的安全保护义务，因此对于网络运营者来说，明晰自身是否运营CII意义重大。17我们将与CII有关的重要文件或监管部门重要行动脉络进行了梳理，如下表：18根据我们对上表中的CII有关动态及规范性文件的研究和分析，我们认为金融机构从业人员需要关注以下要点：1.金融机构所运行、管理的网络设施和信息系统一直作为关键信息基础设施监管涉及的重要对象从上表我们可以看到，“金融”一直作为重要行业和领域被屡次提及，国家标准 信息安全技术 关键信息基础设施网络安全保护基本要求（报批稿）试点工作所选取的12家单位亦包含了

22、金融机构。2.将可能由央行科技司具体负责金融业的关键信息基础设施识别认定工作根据网安法第32条以及今年7月公安部发布 贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见，我们基本可以明确，将由公安部指导和监督关键信息基础设施的安全保护工作；重要行业和领域的主管、监管部门负责制定本行业、本领域CII认定规则并报公安部备案；主管、监管部门根据CII认定规则识别本行业、本领域的CII，并将认定结果报给公安部并通知CIIO。另根据央行在2019年2月发布的中国人民银行职能配置、内设机构、人员编制规定，科技司将负责金融业的CII建设工作。综合来看，金融行业领域内，很可能由央行科技司主要

23、负责金融行业内CII的个认定规则制定与认定工作，并将规则与认定结果报公安部。193.关键信息基础设施安全保护条例 预计今年将会出台根据国务院办公厅今年6月份发布的 国务院2020年立法工作计划，国务院2020年拟制定、修订的行政法规包括 关键信息基础设施安全保护条例，由网信办、工信部、公安部起草。4.关注 贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见（以下简称“关保等保指导意见”）根据结合有关文件的解读，我们认为需要明确关保等保指导意见 传达出的如下信息：4.1关键信息基础设施的保护（以下简称“关保”）是在“等保2.0”基础之上实行的重点保护根据网安法第31条对于关键信

24、息基础设施“在网络安全等级保护制度的基础上，实行重点保护”，以及 关保等保指导意见 工作目标中提出的“在贯彻落实网络安全等级保护制度的基础上，关键信息基础设施涉及的关键岗位人员管理、供应链安全、数据安全、应急处置等重点安全保护措施得到有效落实，关键信息基础设施安全防护能力明显增强”，我们看出，如果说等保是面向网络运营者的普遍义务，那么关保则是针对CIIO的特殊义务；同样的，等保面向的一般的网络设施和信息系统，关保则是面向承载着重要行业和领域的关键业务的网络设施和信息系统。4.2等保与关保的异同点另外根据我们对涉及等保有关国家标准与关保有关国家标准的对比梳理，我们认为有以下异同点，可以帮助大家理

25、解等保与关保的关系，以及认识关保：4.2.1关保和等保的对象都是网络设施和信息系统，区别在于：等保面向的一般的网络设施和信息系统，包括：基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网（IoT）、工业控制系统和采用移动互联技术的系统等；关保则是面向承载着重要行业和领域的关键业务的网络设施和信息系统，关保和等保指导意见 还特别提出“基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等”应作为重点保护对象纳入CII范围。4.2.2义务主体上，等保2.0体系下，网络安全等级保护义务是基础的、普遍适用的，但关保针对重要行业领

26、域。义务要求上，关保的要求显然较等保要求更高。4.2.3关保和等保范围都将按照认定规则和一定流程、程序来进行识别认定，区别在于：等保的20认定规则由 GB/T 28448-2019 信息安全技术网络安全等级保护测评要求 等国家标准明确，但关保的认定规则需要由相应行业、领域的主管或监管部门制定，是否公开还不明确。4.2.4关保和等保范围都将由专门机构来识别认定，区别在于：等保的测评认定可由公安部认可的测评服务单位提供，但关保的认定将由相应行业、领域的主管或监管部门负责。4.2.5等保和关保的指导监督工作都由公安机关负责，区别在于：等保二级以上的网络运营者只需要至县级以上公安机关备案；但关保的备案

27、是由相应行业领域的主管或监管部门报公安部备案。4.2.6保密要求上，我们认为，一般对于通过等保测评认定的评级结果没有保密要求；但是鉴于CII与国家安全、国计民生、公共利益极为相关，因此，某网络设施和信息系统是否被认定为关键信息基础设施这一信息很可能是保密的。5.关注 信息安全技术 关键信息基础设施边界确定方法（征求意见稿）（以下简称“边界确定方法”）前不久发布的 边界确定方法 为我们展现了CII边界确定的方法（如下图）。此外，根据该文件，我们也需要关注到，1）由“行业主管部门认定的关键业务”是确定CII边界的前提，以及2）由于关键业务是发展变化的，相应的CII边界也应作出及时调整。21 客体：

28、个人信息/重要数据根据网安法第31条至39条，“关键信息基础设施的运营者”（以下简称“CIIO”）在个人信息和重要数据的跨境流动上受到较多限制，以及较一般网络运营者，CIIO对于所持有的关键信息基础设施（以下简称“CII”）负有更多的安全保护义务，因此对于网络运营者来说，明晰自身是否运营CII意义重大。1.个人信息关于个人信息的定义和范围，网安法、GB/T 35273-2020信息安全技术 个人信息安全规范（以下简称“个人信息规范”）都给了较为明确定义，特别是 个人信息规范，提供了判定某项信息是否属于个人信息的两条参考路径：“一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信

29、息应有助于识别出特定个人。二是关联，即从个人到信息，如已知特定自然人，由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息。”此外，个人信息规范 的附录A给出了个人信息的举例，其中与金融行业较为相关是“个人财产信息”，包括“银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息”。此外，根据我们为金融机构提供数据合规服务的经验，对于 个人信息规范 已列举出的个人信息类型，需要按照关于

30、个人信息保护的有关规定进行收集使用等处理行为，这一点并无太多争议，但对于一些还未明确列举是否是个人信息，比如带有预测成分的个人用户画像，其属性判定就需要依照前述“两条参考路径”以及监管动向进行具体判定。2.重要数据我们对“重要数据”有关的重要文件梳理如下表：2223根据我们对上表中“重要数据”有关内容的研究和分析，我们认为金融机构从业人员需要关注以下要点：2.1关注 金融数据安全 数据安全分级指南（送审稿）（以下简称“分级指南”）分级指南 对于金融行业从业者在进行数据分级以及数据治理较具有参考价值，其结合影响对象、影响程度因素，将金融数据分为1至5级，其中有关重要数据的内容摘录如下表。从中我们

31、认为可以解读出如下几个要点：2.1.1重要数据的占比小。按照 分级指南对金融数据的分级，重要数据属于其第5级数据，我们认为其在金融机构数据中的占比非常小。2.1.2金融业重要数据一旦遭到破坏的影响对象为国家安全和公众权益。对于国家安全，影响轻微即可能属于重要数据，对于公众权益，需要造成非常严重的影响才可能属于重要数据。按照此种影响对象和影响程度的考量，破坏仅对个人权益或企业权益造成影响的数据，不足以被认定为重要数据。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。2.1.3汇聚后的个人数据可能构成重要数据。分级指南 附录C对于“海量信息汇聚得到的衍生特征数据”这一重要数据包含的内容描

32、述为：汇聚后覆盖多省市的金融消费者真实交易信息。2.1.4重要数据与关键信息基础设施的关系。根据 分级指南 附录C的表述，我们可归结出两条关系：1）一旦被破坏，将危害关键信息基础设施，属于重要数据；2）关键信息基础设施的网络安全缺陷信息（网络设备、服务器、信息系统等有关漏洞信息）属于重要数据。242.2对于泄露仅影响到个人权益和企业权益的，一般不认为是重要数据根据监管部门最新的文件，重要数据一旦泄露，其影响对象是国家安全或公共利益。实际上，监管部门关于重要数据的认定范围经历了一个“窄-宽-窄”的过程（如下表），其中2017年8月网信办采取的标准过于宽泛，目前监管部门已不再采取该种标准。252.

33、3关注 数据安全法（草案）释放的信号根据 数据安全法（草案）第19条、第25条和第28条，我们认为需要关注如下内容：2.3.1重要数据是在数据分级分类基础上进行的重点保护。2.3.2不同地区、不同部门、不同行业将分别制定重要数据保护目录。2.3.3将有配套的关于数据安全的法律、行政法规的规定和国家标准的强制性要求。2.3.4重要数据的处理者注意需要设立数据安全负责人和管理机构，落实数据安全保护责任。2.3.5重要数据的处理者应当定期开展有关重要数据的风险评估。2.4 信息安全技术 重要数据识别指南 关于重要数据的分类标准很可能将不再沿用行业分类的方式根据中国信通院安全研究所数据安全研究部副主任

34、陈湉所撰 对 数据安全法 的理解和认识|重要数据如何保护，我们了解到拟定的 信息安全技术 重要数据识别指南“简化了重要数据定义、明确提出了重要数据的主要分布；不再延用行业分类的方式，而是从数据的作用、受破坏后可能带来的影响等角度，将重要数据分为国民经济运行类、安保类、自然资源与环境类、健康类、敏感技术类、用户类及政府工作秘密类。”26 要求：安全评估我们对数据出境安全评估的有关内容梳理如下表：根据上表，关于数据出境的安全评估，2017年出台 个人信息和重要数据出境安全评估办法（征求意见稿）（以下简称“2017出境评估办法”）及其配套的国家标准 信息安全技术 数据出境安全评估指南（征求意见稿）（

35、以下简称“2017出境评估指南”）采取的是“网络运营者自评估+行业主管或监管部门安全评估”的模式，这可作为行业从业者可预期的数据出境的评估模式参考。但鉴于 2017出境评估办法 和 2017出境评估指南 至今未再修订，其关于重要数据、需要进行数据出境评估的主体范围认定上已与目前监管思路和文件产生较大出入，因此该两份文件关于安全评估的义务主体层面的内容还需谨慎对待。27 网络安全法 数据跨境规制体系小结根据对网安法监管体系下数据出境的分析我们可以看出，首先，在主体上，关键信息基础设施及其运营者的认定存在一个过程，尽管金融机构被认定为CIIO的可能性较大，但并不意味着其持有的所有网络设施和信息系统

36、都将被认定为CII，且今年公安部的指导监督下CII的识别认定工作应当会较之前有较大进展；其次，在客体层面，关于个人信息的范围认定趋于明确；关于重要数据的范围认定上还需等待相关文件出台，但其影响对象应当为“国家安全”和“公众权益”这一方向逐渐明确，也即意味着“重要数据”并不会在一个企业的数据比例中占比非常大。再次，对于数据出境评估所需要依据安全评估办法，还有待相关文件出台。28结语通过对“金融行业监管部门数据跨境规制”和“网络安全法 数据跨境规制”两个监管体系有关规范性文件的梳理和要点提示我们可以看到：金融行业监管这条线下，数据跨境流动监管要求主要是控制与“人”有关的数据信息及业务运营或处理系统

37、，主要处理的是金融行业有关主体因跨境开展业务产生的数据跨境传输需求与将控制金融数据跨境传输所带来的风险之间的矛盾，监管要求散布于多部文件之中较为庞杂，但相对明确，便于金融行业从业者把握。其中特别需要提示的是，应当密切关注央行 个人金融信息（数据）保护试行办法 或类似文件的出台，将很有可能涉及个人金融信息的出境规制。网安法监管这条线下，数据跨境流动监管要求主要是控制CIIO的个人信息和重要数据，主要处理的是不限于金融行业在内的重要领域、行业的数据跨境传输需求与控制数据跨境传输给国家安全、社会公共利益所带来的风险之间的矛盾，涉及的规范性文件不多，但具体要求还都有待关保工作的开展和有关文件的出台来进

38、一步的明确。此外，我们也发现了这两条线之间的连接点，也是殊途同归之处，都在于“数据出境安全评估制度”。根据网安法第37条，CIIO的个人信息和重要数据出境将有赖于“国家网信部门会同国务院有关部门制定的办法进行安全评估。根据金融行业标准 JR/T0171-2020个人金融信息保护技术规范，金融机构应依据29国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估。但截至目前安全评估的依据和流程都还不清晰。对于金融行业从业者来说，两条线各有侧重、互为补充，虽然法定义务有待细化和统一，但脉络已经显现，两条线都需要保持关注。最后，从跨境数据流动的监管政策体系变化能看到，我国监管机构的立场与时俱进

39、，根据技术发展和金融业务的实际需求而不断调整。从一开始“一刀切”地限制数据出境，后来逐渐有条件地允许合规流动，到现在形成一套较为完整的体系来规范引导，体现了创新监管、分层监管、精准监管的演进历程。由此，监管政策一方面服务好了跨境金融的市场需求，另一方面也满足了跨境监管合作的要求。未来，金融跨境数据的流动一定会持续完善，我们将继续保持密切关注。参考文章1.上海市法学会江翔宇课题组 金融数据跨境流动立法与监管的比较研究报告2.马兰 金融数据跨境流动规制的核心问题和中国因应，载 国际法研究 2020年第3期3.袁立志 冯坚坚 银行业金融数据出境的监管框架与脉络4.李伟 我国金融数据跨境流动规则建设的

40、思考与建议30附录相关规范性文件1.个人存款账户实名制规定 国务院2000.3.20发布2.人民币银行结算账户管理办法 中国人民银行2003.4.10发布3.个人信用信息基础数据库管理暂行办法 中国人民银行2005.8.18发布4.电子银行业务管理办法 中国银行业监督管理委员会2006.1.26发布5.反洗钱法 全国人民代表大会常务委员会2006.10.31发布6.金融机构反洗钱规定 中国人民银行2006.11.14发布7.中国人民银行关于证券期货业和保险业金融机构严格执行反洗钱规定防范洗钱风险的通知 中国人民银行2007.1.30发布8.中国人民银行关于银行业金融机构做好个人金融信息保护工作

41、的通知 中国人民银行2011.1.21发布9.关于银行业金融机构做好个人金融信息保护工作有关问题的通知 中国人民银行上海分行2011.5.12发布10.关于调整证券资格会计师事务所申请条件的通知 财政部、中国证券监督管理委员会2012.1.21发布11.支付机构反洗钱和反恐怖融资管理办法 中国人民银行2012.3.5发布12.保险公司财会工作规范 中国保险监督管理委员会2012.7.1发布13.征信业管理条例 国务院2013.1.21发布14.非银行支付机构网络支付业务管理办法 中国人民银行2015.12.28发布15.网络借贷信息中介机构业务活动管理暂行办法 中国银行业监督管理委员会、工业和

42、信息化部、公安部、国家互联网信息办公室2016.8.17发布16.网络安全法 全国人民代表大会常务委员会2016.11.7发布17.个人信息和重要数据出境安全评估办法（征求意见稿）国家互联网信息办公室2017.4.11发布18.关键信息基础设施安全保护条例（征求意见稿）国家互联网信息办公室2017.7.10发布19.信息安全技术 关键信息基础设施安全保障评价指标体系（征求意见稿）全国信息安全标准化技术委员会2017.8.30发布20.信息安全技术 关键信息基础设施安全检查评估指南（征求意见稿）全国信息安全标准化技术委员会2017.8.30发布21.信息安全技术 数据出境安全评估指南（征求意见稿

43、）全国信息安全标准化技术委员会2017.8.30发布22.信息安全技术 关键信息基础设施网络安全保护要求（征求意见稿）全国信息安全标准化技术委员会2018.6.11发布23.信息安全技术 关键信息基础设施安全控制措施（征求意见稿）全国信息安全标准化技术委员会2018.6.11发布3124.中国银行业监督管理委员会中资商业银行行政许可事项实施办法 中国银行保险业监督管理委员会2018.8.17修订25.外商投资期货公司管理办法 中国证券监督管理委员会2018.8.24发布26.互联网金融从业机构反洗钱和反恐怖融资管理办法（试行）中国人民银行、中国银行保险业监督管理委员会、中国证券监督管理委员会2

44、018.10.10发布27.银行业金融机构反洗钱和反恐怖融资管理办法 中国银行保险业监督管理委员会2019.1.29发布28.中国人民银行职能配置、内设机构、人员编制规定 中国人民银行2019.2.2发布29.数据安全管理办法（征求意见稿）国家互联网信息办公室2019.5.28发布30.信用评级业管理暂行办法 中国人民银行、国家发展和改革委员会、财政部、中国证券监督管理委员会2019.11.26发布31.中国中国银行保险业监督管理委员会外资银行行政许可事项实施办法 中国银行保险业监督管理委员会2019.12.26发布32.信息安全技术 关键信息基础设施网络安全保护基本要求（报批稿）全国信息安全

45、标准化技术委员会发布33.信用评级业管理暂行办法 中国人民银行、国家发展和改革委员会、财政部、中国证券监督管理委员会2019.11.26发布34.证券法 全国人民代表大会常务委员会2019.12.18修订35.个人金融信息（数据）保护试行办法（初稿）36.JR/T0171-2020个人金融信息保护技术规范 中国人民银行2020.2.13发布37.GB/T 35273-2020信息安全技术 个人信息安全规范 国家标准管理委员会2020.3.6发布38.网络安全审查办法 国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播

46、电视总局、国家保密局、国家密码管理局2020.4.13发布39.金融数据安全 数据安全分级指南（送审稿）金融标准化技术委员会2020.4.13发布40.国务院2020年立法工作计划 国务院办公厅2020.6.26发布41.数据安全法（草案）全国人民代表大会常务委员会2020.7.3发布42.信息安全技术 关键信息基础设施边界确定方法（征求意见稿）全国信息安全标准化技术委员会2020.8.10发布43.信息安全技术 关键信息基础设施安全防护能力评价方法（征求意见稿）全国信息安全标准化技术委员会2020.8.10发布44.信息安全技术 网络数据处理安全规范（征求意见稿）全国信息安全标准化技术委员会

47、2020.8.28发布45.中国人民银行金融消费者权益保护实施办法 中国人民银行2020.9.15发布32观韬中茂律师事务所观韬中茂律师事务所成立于年月，是总部设于中国北京的专业化、综合性大型律师事务所。经过与创设于上世纪五十年代的香港王泽长 周淑娴 周永健律师行，以及创建于上世纪九十年代的上海市中茂律师事务所、上海市申达律师事务所的合并，观韬中茂现拥有余名律师、余位合伙人，在法律服务、专业建设和律师团队等方面已成为中国优秀律师事务所之一。王渝伟律师数据合规团队是观韬中茂律师事务所专注网络安全、数据隐私合规法律服务的专业团队，在大数据、人工智能、互联网、金融科技、云计算、物联网等领域拥有为头部

48、企业提供涉及复杂技术与商业场景项目提供全面数据合规服务的丰富经验和卓越能力。金融科技微洞察“金融科技 微洞察”是微众银行运营的金融科技研究品牌，聚焦国内外金融科技领域的技术发展、标准制定及产业应用，把握当下金融科技热点话题与政策动向，洞察未来领先的金融形态和商业模式。微众银行作为国内首家互联网银行，自年成立之初即将“科技、普惠、连接”作为银行的三大发展愿景，将积极运用科技创新探索普惠金融新模式、新业态作为银行重要的发展方向，致力于为普罗大众、微小企业提供差异化、有特色、优质便捷的金融服务。自立行至今，微众银行在金融科技“ABCD”（人工智能、区块链、云计算、大数据）等四大领域积极探索，年即已成

49、为国内首家获评“国家级高新技术企业”的商业银行，截至年末共申请国家及国际专利数超过余件，拥有自身所有重要业务和技术系统的知识产权，有效实现了银行业信息化安全可控的战略目标。金链盟深圳市金融区块链发展促进会（简称“金链盟”）成立于年月，由微众银行、腾讯、深圳市金融科技协会、深证通等二十余家金融机构和科技企业共同发起，年月正式注册为社会团体法人。至今，金链盟成员已涵金融科技微洞察33关于我们 ABOUT US括银行、证券、基金、保险、地方股权交易所、科技公司等六大类行业的余家单位，成为国内最大的区块链组织和最具国际影响力的区块链联盟之一。金链盟开源工作组于年推出了安全可控、稳定易用、高性能的金融级区块链底层平台FISCO BCOS（Be Credible,Open&Secure）。该平台获得了年度深圳金融科技创新专项奖一等奖，并于年入选成为国家级区块链服务网络（BSN）中的首个国产联盟链底层平台。目前，FISCO BCOS开源生态圈已汇聚了上万名个人开发者、超家机构与企业，在政务、金融、公益、版权、供应链、教育等不同领域已有余个落地应用，发展成为最大最活跃的国产开源联盟链生态圈。34