一、 金融科技及其监管框架概述
2016年3月,金融稳定理事会(Financial Stability Board)发布了《金融科技的描述与分析框架报告》,第一次在国际组织层面对金融科技作出了初步定义,即通过技术手段推动金融创新,形成对金融市场、机构以及金融服务产生重大影响的业务模式、技术应用以及流程和产品。 1
目前,巴塞尔银行监管委员会(Basel Committee on Banking Supervision)将金融科技分为支付结算、存贷款与资本筹集、投资管理和市场设施四类。2 前三类仍然属于传统的金融业务范畴,而市场设施类服务作为可以跨行业通用的基础技术支持和技术基础设施,属于金融机构的业务外包范畴。因此,金融科技寻求出海业务时,其相关数据活动既需要符合数据合规的一般性要求,也需要符合金融行业的特殊要求。
二、 金融科技出海的数据合规要求
(一)数据的收集和使用
数据收集是指金融业机构在提供金融产品和服务、开展经营管理等活动中,直接或间接从个人金融信息主体,以及企业客户、外部数据供应方等外部机构获取数据的过程。3 数据使用则指金融业机构在提供金融产品和服务、开展经营管理等活动中,进行数据的访问、导出、加工、展示、开发测试、汇聚融合、公开披露、数据转让、委托处理、数据共享等活动。4
“知情-同意”规则是中国个人信息保护体系的核心,《中华人民共和国网络安全法》的出台标志着该规则在中国法律层面的确立,《中华人民共和国个人信息保护法》的出台意味着该规则的全面确立。
收集、使用个人信息需要遵循“合法、正当、必要”原则,用户同意是个人信息合法收集、使用的唯一途径。5 数据处理者原则上应取得个人同意方可处理个人信息 6,向其他数据处理者提供所处理的个人信息必须征得数据主体同意7 并且个人能够随时撤回对个人信息作出的同意8 。特别需要注意的是,个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息时应取得个人的单独同意。 9
(二)数据的存储
数据存储是指金融业机构在提供金融产品和服务、开展经营管理等活动中,将数据进行持久化保存的过程,包括但不限于采用磁盘、磁带、云存储服务、网络存储设备等载体存储数据。10
根据《中华人民共和国网络安全法》,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储11, 提出了数据本地化的要求。
而在《中华人民共和国网络安全法》出台之前,2011年1月,中国人民银行就已发布了《关于银行业金融机构做好个人金融信息保护工作的通知》,指出在在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供个人金融信息。12 该条确立了境内个人金融信息实行“数据本地化”的要求,以及原则上禁止出境的基本规则。而针对银行金融数据迫切的出境需求下,《关于银行业金融机构做好个人金融信息保护工作有关问题的通知》13 和《中国人民银行金融消费者权益保护实施办法》14 确立了在“业务需求+客户同意+保密义务”的前提下,个人金融数据可作为明确例外跨境流动的规制思路。
在存储过程中,机构还需遵循网络安全等级保护制度16 、数据分级分类保护制度 ,健全全流程数据安全管理制度 17,履行数据安全保护义务。金融数据作为重点领域的特殊数据,其数据分级分类还需参照《个人金融信息保护技术规范》《金融数据安全分级指南》等法律法规。
(三)数据的运输
对于寻求出海的公司,数据运输的合规重点在于数据出境。数据出境行为不仅仅指将在境内运营收集和产生的数据传输、存储到境外,还包括境外的机构、组织或者个人查询、调取、下载、导出存储在境内的行为。18 《个人信息保护法》确定了三条个人信息出境的路径:安全评估、个人信息保护认证和签署标准合同。19
1. 安全评估
(1)需要申报安全评估的情形
《数据出境安全评估办法》进一步确立了三类需要通过所在地省级网信部门向国家网信部门申报数据评估安全评估的情形20 ,第一类情形为向境外提供的数据为重要数据,第二类情形为数据提供者为关键信息基础设施运营者或者处理100万人以上个人信息,第三类情形为数据处理者自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息。
其中,重要数据指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据21 ,敏感个人信息指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息22 。相较于敏感个人信息,重要数据的定义较为模糊,在尚无进一步的规定发布之前,金融科技公司需结合金融行业重要数据目录等文件进行理解。
(2)申报安全评估的流程
需要申报安全评估的机构应先进行数据出境风险自评估,重点事项包括出境和处理数据的目的、范围、方式等的合法性、正当性、必要性,数据的规模、范围、种类、敏感程度,境外接收方的责任义务以及履行能力,风险和维护权益的渠道,与境外接收方之间的法律文件等。23 自评估后机构需准备相关安全评估申报材料向省级网信部门提交, 24省级网信部门将于5个工作日内完成完备性查验,通过该查验后7个工作日内国家网信部门收到材料,审查是否受理。25审查后国家网信部门将会给出三种处理结果,一种是书面通知不受理,第二种是通知补充、更正申报材料,第三类则是无需补充、更正材料并进入正常评估程序。国家网信部门组织进行安全评估,除自评估中所包含的重点事项外,还将评估境外接收方所在国家或者地区的数据安全保护政策法规、网络安全环境、数据保护水平以及该数据传输的合法性。26 该安全评估原则上于45个工作日内完成,27 如对评估结果有异议,机构应于15个工作日内申请复评,复评结果为最终结论。28
(3)需要重新申请安全评估的情形
机构若通过安全评估,该评估的有效期为两年。两年有效期届满之后,机构若仍需要继续开展数据出境活动,其应于有效期届满之前60个工作日内进行重新申报。而在有效期届满前,如发生提供数据的目的、方式、范围、种类和用途、方式发生变化影响数据安全,控制权发生变化、法律文件变更等情形时,机构也需重新申请安全评估。 29
2. 个人信息保护认证
根据2022年11月4日国家互联网信息办公室与国家市场监督管理总局联合发布的《个人信息保护认证实施规则》,开展跨境处理活动的个人信息处理者,应当符合GB/T 35723《信息安全技术 个人信息安全规范》和TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。 30
个人信息保护认证的认证模式为“技术验证+现场审核+获证后监督” 31,根据该模式,认证机构在对认证委托人提交的认证委托资料进行现场审核过后,决定是否受理并向委托人及时反馈,受理后将确定认证方案并告知委托人。认证证书的有效期为3年,若需延续使用,应在有效期届满前6个月内提交申请。
3. 签署标准合同
与数据出境安全评估、个人信息保护认证相比,与境外接收方签署监管部门公布的合同通常被认为是数据出境机制中最为便捷的选择。2023年6月1日起正式施行的《个人信息出境标准合同办法》以及后续发布的《个人信息标准合同备案指南(第一版)》与数据出境安全评估机制中的要求实质上较为类似,没有大幅度简化,企业所需承担的合规义务仍然比较繁重。
《个人信息出境标准合同办法》规定了通过标准合同订立这一途径实现个人信息出境的适用场景,即:(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供个人信息不满10万人的;(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
根据上述两项规定,符合适用场景的机构应于备案日前3个月内完成个人信息保护影响评估(Personal Information Security Impact Assessment),形成个人信息保护影响评估报告并与境外信息接收方签署标准合同,在合同生效后方可开展个人信息出境活动。此外,在合同生效之日起10个工作日内,机构应当向省级网信部门备案,具体备案方式需遵循地方网信部门的备案指引或通知。在后续个人信息出境活动发生变化时,机构还需重新备案合同和评估报告,当上述变化触发了数据出境安全评估标准时,机构应根据《数据出境安全评估办法》申报安全评估。
除此之外,2023年12月10日公布并生效的《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》为粤港澳大湾区个人信息跨境流动设立了标准。该文件适用于在粤港澳地区通过订立标准合同的方式开展个人信息跨境提供的情形。故要求个人信息处理者及接收方应注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地部分,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,或者香港特别行政区。因为是上述地区的特殊规定,所以对个人信息处理者要求要比一般情况下《个人信息出境标准合同办法》的规定要少,诸如上述指引对个人信息处理者通过订立标准合同的方式向港澳地区提供个人信息的没有数量或者是否是非关键信息基础设施运营者等要求,体现了相当的差异性。
三、金融科技领域数据出境成功案例
截至目前,安全评估、个人信息保护认证和签署标准合同这三条个人信息出境的路径皆有成功案例。
在申报安全评估方面,支付宝(杭州)信息技术公司的“跨境小程序”业务相关数据已通过国家网信办数据出境安全评估,而焦点科技股份有限公司则是现今唯一一家通过安全评估的跨境电商公司。同时,支付宝(中国)网络技术有限公司获批了我国首批个人信息保护认证证书。信华信(大连)软件服务股份有限公司和北京德亿信数据有限公司成功完成了个人信息出境标准合同备案。
总体上来看,虽然国家网信办和各地省级网信办受理的安全申报有千余件,但通过率仅为百分之一。个人信息保护认证方面缺少相关指引,获批形势仍需观察。虽然通过个人信息出境标准合同备案的企业远少于数据出境安全评估申报被批准的企业,但由于《数据出境安全评估办法》的发布和实施早于《个人信息出境标准合同办法》,需要完成数据出境安全评估的企业很早就开始了数据合规整改与申报,而适用于个人信息出境标准合同备案路径的企业仍处于法定整改期,因此签署标准合同可能仍是最好的选择。
四、金融科技出海合规建议在现行的监管框架下,由《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等系列法律法规所构成的对一般数据的监管和由中国人民银行、银保监会等发布的法律法规、行业标准所构成的对金融数据的监管之间的关系尚不明晰,各机构应当持续关注法律法规最新动态。
在数据的收集和使用方面,机构应首先确保其收集数据的必要性,即在业务所需的最小范围内进行收集;其次,机构在获得数据被收集者同意时,应当注意征求同意的方式、语言和告知的内容是否翔实;在有数据出境需求的情况下,还需获得数据被收集者的单独同意。上述同意的过程、相关文件等机构应当进行记录留存。
在数据的存储方面,无论是全过程中的分类分级等安全保护义务还是数据活动出现变化时重新备案、申报等要求,都向机构提出了持续动态管理的要求。因此,为了不触发违反数据相关法规的情形,机构应当建立常态化的数据管理制度,定期评估机构的数据管理状况,监控相关合规风险。
在数据出境方面,首先,由于现行的数据分类标准较为模糊,适用场景的认定规则较为复杂,各机构应审慎评估自身是否属于需要进行安全评估申报的情形。在达到需要进行安全评估申报的情形时,应根据申报的相关要求,详细地准备相关材料,由于在评估过程中涉及对境外接收方个人信息保护能力,以及所在国家或地区个人信息保护法律法规的整体评估,相关工作可以寻求境外接收方以及境外律师的合作。而从现有的申报成功案例来看,部分企业在申报过程中与地方网信办紧密联系,因此申报的机构可在申报过程中寻求地方网信办的支持和帮助。其次,由于个人信息保护认证仍缺乏相关的指引,在未达到需要申报安全评估的情形时,签署标准合同备案是机构最好的选择。而对于标准合同的文本,《个人信息出境标准合同办法》有着较为严格的规定,即标准合同应严格按照范本条款订立,且双方约定的其他条款内容不得与标准合同冲突32 。因此,各机构在该法规发布之前可能已经签订的国际标准下的合同,例如欧盟General Data Protection Regulation(“GDPR”)下的BCRs和全球数据传输协议,不能够替代中国法律项下的标准合同,各机构仍应根据该法规与境外接收方重新签订新的文本。同时,《个人信息出境标准合同办法》对境外接收方的义务设置了具体且严格的要求,包括个人信息保存期限、过期删除、接受网信办的监督等33 ,因此需和境外接收方做好相关的沟通工作。
来源:金色财经