浅析我国金融业数据出境安全规则

作者

上海数据交易所研究院研究员 林梓瀚

上海数据交易所研究院院长助理、研究员 计丽娜

为完善数据要素市场规则，2022年1月国务院发布《要素市场化配置综合改革试点总体方案》提出探索建立数据要素流通规则。国家发改委于2022年3月发布《关于对“数据基础制度观点”征集意见的公告》就数据产权、数据要素流通交易、数据要素收益分配、数据要素安全治理等四个方面制度征求意见，并于当年4月结束意见征询。2022年6月22日，中央全面深化改革委员会第二十六次会议审议通过了《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下通称“数据二十条”)，强调要“统筹推进数据产权、流通交易、收益分配、安全治理，加快构建数据基础制度体系”，标志着我国要素市场化改革驶入了快车道。

随着数据要素流通规则建设的进一步加快，行业数据的流通交易愈发引人关注，其中金融数据的重要性、价值性更加凸显。人民银行发布的《金融数据安全数据安全分级指南》(JR/T0197—2020)行业标准，将“金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据”定义为“金融数据”。金融数据不仅在数据要素市场中具备高价值属性，其安全性也深刻影响着我国的金融安全。为了避免在金融数据出境过程中造成危害国家安全、商业秘密、个人隐私等安全风险，金融业机构应遵守我国数据出境流程，明确金融数据有关出境规则，谨慎对待金融数据出境情形。

一、我国金融数据安全规则体系分析

金融数据的安全规则主要涉及金融数据的行业资质、保密、分类分级、数据生命周期、关键信息基础设施运营等方面。遵守金融数据的安全规则是在我国现有数据出境规则框架下金融数据出境的安全基础。

当前，中国人民银行法、商业银行法、证券法、保险法、反洗钱法等法律，《证券期货业信息安全保障管理办法》《中国人民银行金融消费者权益保护实施办法》《个人存款账户实名制规定》《征信业管理办法》等行业规范以及《金融数据安全数据生命周期安全规范》《个人金融信息保护技术规范》等行业标准，构成了我国金融数据安全保护的规则体系。

在行业资质要求方面，金融机构在向消费者提供结算、存款、贷款、征信等金融服务时,需要获得相应的牌照，具备相应经营资质，这是处理金融数据的门槛。例如，商业银行法第十一条规定：“设立商业银行，应当经国务院银行业监督管理机构审查批准。”又如，《征信业管理办法》第四条规定：“从事个人征信业务的，应当依法取得中国人民银行个人征信机构许可;从事企业征信业务的，应当依法办理企业征信机构备案;从事信用评级业务的，应当依法办理信用评级机构备案。”

在保密性要求方面，由于金融数据具备高敏感性，可能涉及国家安全、商业秘密以及个人隐私，因此对于金融数据的保密有着严格的要求。例如，商业银行法规定对于存款人的相关信息应予以保密，《个人存款账户实名制规定》《证券期货业信息安全保障管理办法》亦遵循行业要求，规定了保密的义务。如《证券期货业信息安全保障管理办法》第三十条规定：“核心机构和经营机构应当加强信息安全保密管理，保障投资者信息安全。”

在数据分类分级方面，金融数据涉及类别多，包括银行业、保险业、信托业、证券业等数据，由于分类维度众多，难以形成统一的标准，因此，金融数据安全规则体系建设的首要任务是进行数据分级。《个人金融信息保护技术规范》按C1、C2、C3三个类别敏感程度区分个人金融信息，其本质是将个人金融信息进行分级(见表1)。

与之相对应，《金融数据安全数据安全分级指南》将数据安全级别从高至低划分为5级，第5级为最高等级，第4级、第3级与第2级数据依次囊括了《个人金融信息保护技术规范》C3、C2、C1三类个人金融信息。

在数据全生命周期管理方面，金融机构需要重点关注金融数据的传输。在进行金融数据传输时，金融机构应区分内部传输与外部传输，根据内外传输范围的不同以及传输数据等级的不同，采取不同的传输方式并遵照不同的传输要求。如《金融数据安全数据生命周期安全规范》明确规定，4级及以上数据传输，应对数据进行字段级加密，并采用安全的传输协议进行传输，4级数据中的个人金融信息原则上不应对外传输，国家及行业主管部门另有规定的除外。同时，《金融数据安全数据生命周期安全规范》规定金融数据原则上应在境内存储，并提出“在我国境内产生的5级数据应仅在我国境内存储”。涉及向第三方传输个人金融信息的，应满足《个人金融信息保护技术规范》中个人金融信息出境须满足的具体要求，并应满足个人信息保护法第二十三条要求：告知个人接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。

二、我国数据出境安全规则体系分析

为了保障数据要素市场化配置改革，打牢数据安全基底，维护我国数据主权，继网络安全法后，2021年国家陆续出台了个人信息保护法、数据安全法等法律，构建起我国数据出境的上位法依据。为进一步落实上述三大法律关于数据出境的安全规则，国家出台了《数据出境安全评估办法》《个人信息出境标准合同办法》《网络安全审查办法》等制度规章，这些法律和制度规章共同构建起我国数据出境安全保护的顶层规则框架。

在上位法规定方面，网络安全法第三十七条规定：关键信息基础设施的运营者应当在境内存储个人信息、重要数据。对于关键信息基础设施，《关键信息基础设施安全保护条例》第二条给出了具体的范围，即“指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。而对于重要数据的界定，《网络数据安全管理条例(征求意见稿)》《重要数据识别规则》给出了定义：重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。按照《金融数据安全数据安全分级指南》规定，重要数据属于第5级数据。显而易见，作为金融数据载体的金融信息基础设施运营者应当首先遵循网络安全法第三十七条的要求，先做好金融数据的“本地化”要求，尤其是对于个人金融信息和第5级数据。而数据安全法第三十六条为数据出境设置了前置条件，其规定：向外国司法或者执法机构提供境内数据，须经主管机关批准。个人信息保护法第三十八与第三十九条对于向境外提供个人信息也设置了前置条件，包括个人信息保护认证、订立标准合同、出境安全评估以及出境事项告知并取得个人单独同意等。

由于网络安全法、数据安全法、个人信息保护法立法遵循“宜粗不宜细”特点，因此为细化数据安全出境操作路径，我国出台了《网络安全审查办法》《数据出境安全评估办法》等规章。对于数据出境可能涉及国家安全的，应当进行国家安全审查。2021年9月1日，数据安全法正式施行，明确规定国家建立数据安全审查制度，国家有关十三个部门据此对原《网络安全审查办法》进行了修订。新修订的《网络安全审查办法》于2022年2月15日起正式施行。《网络安全审查办法》强调将关键信息基础设施运营者采购网络产品和服务影响或者可能影响国家安全等情形纳入网络安全审查范围，并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查，涉及上述情形的金融数据出境必须完成国家安全审查。《数据出境安全评估办法》则给出了数据出境需要进行安全评估的4种更为具体的情形(见表2)。

另外，《数据出境安全评估办法》还给出了评估的内容，包括评估数据出境的目的、范围、方式等是否合法、必要以及评估数据安全和个人信息权益是否能够得到充分有效保障等，进一步规范我国数据出境活动。对于个人信息的出境，除适用《数据出境安全评估办法》外，还可适用《个人信息跨境处理活动安全认证规范》与《个人信息出境标准合同办法》的相关规定。这三者的适用范围有所不同，《个人信息出境标准合同办法》适用的是未达到安全评估门槛的个人信息出境情形，并且由个人信息处理者自我审查决定;而《个人信息跨境处理活动安全认证规范》则是依托第三方专业机构对个人信息处理者开展个人信息出境进行安全认证，不过对于具体的认证范围尚未作出清晰的界定。

此外，“数据二十条”第十一条明确构建数据安全合规有序跨境流通机制，并提出跨境分类分级管理、国家安全审查、出口管制以及跨境监管等数据跨境流动安全制度，除国家安全审查制度外，其余制度尚在建设之中，未来对我国金融数据出境的安全管理也将纳入上述的制度建设之中。

三、对金融数据出境的建议

一是优先进行数据分级。鉴于金融数据类别众多，且当前对于分类尚未有统一的标准，金融机构在进行数据出境时，应优先按照《金融数据安全数据安全分级指南》进行金融数据的分级，并识别重要数据，甚至是安全级别更高的核心数据。对于纳入第5级的数据，则应按照《金融数据安全数据生命周期安全规范》“仅在我国存储”的要求，禁止出境；对于4级数据中的个人金融信息，即C3类个人金融信息原则上不出境。

二是履行国家安全审查与出境安全评估义务。对于金融信息基础设施运营者采购网络产品和服务涉及国家安全等情形的，应该进行国家安全审查。对于金融数据的出境，金融机构应该履行出境评估相应的义务，包括开展数据出境风险自评估等事项。涉及个人金融信息出境情形的，除满足出境一般要求外，还应取得个人的单独同意。

三是做好主体资质合规与保密要求。金融机构向消费者提供结算、存款、贷款、征信等金融服务时,需要获得相应的牌照，具备相应经营资质，这是处理相关金融数据的前提条件。由于数据具有可在不同主体间流动的特点，因此，在金融数据出境前，金融机构应识别自身是否有处理该类金融数据的资格，这是金融数据出境的根本问题所在。同时，基于金融数据的严格保密要求，金融机构在满足自身保密要求的同时，应进行有效约定，确保数据出境后保密要求得以继续执行。

本文刊于《中国金融电脑》2023年第5期

声明：本文来自中国金融电脑，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。