The website uses cookies. By using this site, you agree to our use of cookies as described in the Privacy Policy.
I Agree

数据安全保护重新定义金融合规-中伦律师事务所

中伦观点

数据安全保护重新定义金融合规 作者:乔文骏 单臻 2020-08-25

曾几何时,当日新月异的大数据发展不断推动着人类信息化的历史车轮,当深层次的科技革命和产业变革席卷而来改变我们的生活,当蓬勃发展的数字经济促使各国利益更加紧密相连,为世界经济发展增添新能量时,我国从立法层面保障数据安全和促进数据开发利用就已经成为天将降大任的时代使命。正如习近平总书记所言,审时度势、精心谋划、超前布局、力争主动,保障数据安全才能推进数据资源整合和开放共享并完善数字基础设施,从而加快建设数字中国并推动实施国家大数据战略。

在这种时代背景下,近年来我国不断出台法律、法规和相关政策,旨在加快数据安全法规制度建设,制定数据资源确权、开放、流通、交易等相关制度,以期完善数据产权保护制度并加大对技术专利、数字版权、数字内容产品及隐私等的保护力度,并确立了数据作为新生产要素的地位。2020年7月,《中华人民共和国数据安全法(草案)》(“数据安全法”) 公布并征求意见。数据安全法为我国未来数据安全保护方面的主要制度框架描绘了宏伟蓝图,也对企业的数据活动在内控和合规等多方面提出了新的要求。本文旨在梳理数据安全立法的演变,总结数据安全法对金融机构的影响,并根据笔者多年从事金融法律服务的经验,解读我国现行法律体系下金融机构开展数据业务在合规方面的相关建议,以及由此带来的启迪。

一、数据安全立法演变

2018年5月,欧洲联盟生效通过《通用数据保护条例》(“GDPR”),这部在欧盟成员国可以直接实施的条例堪称史上数据安全保护力度最大的法律,为整个欧洲创建了统一的数据安全与保护法。GDPR的实施意味着欧盟在数据安全保护上迈出了铿锵有力的一大步,这一里程碑式的数据安全与保护监管法规对世界范围内其他国家(包括我国)产生了深远影响。

纵观我国数据安全的立法发展(汇总如下表),不难体会到我国建立专门数据安全保护制度的立法意图,以及在数据安全的前提下实现数字经济的稳步有序发展的监管趋势。数据安全法既是我国原本单薄的数据安全法律体系追寻许久的圣杯,作为第一部数据安全专门法从法律位阶的高度确立了其主要制度框架;同时也是我国数据安全法律领域的原力,与《网络安全法》和在拟的《个人信息保护法》勾画了中国数据安全监管银河的基本边际。

点击可查看大图

二、《数据安全法》对金融机构的影响

数据安全法明确了国家维护数据安全、促进数据开发利用双管齐下并且“两手都要抓两手都要硬”的立法初心与监管理念,也确立了国家互联信息部门负责统筹协调、电信、金融、教育等各行业主管部门承担本行业数据安全监管职责的监管体制。金融机构是现代金融活动最重要的组织者和参与者,作为资金供给者和需求者之间融通资金的信用中介,通过疏通、引导资金的流动促进和实现了资源在经济社会中的分配,掌握了大量金融信息以及关系国家金融安全数据,是我国金融体系的重要组成部分,在国民经济运行中有着举足轻重的作用,应当遵守数据安全法在数据分级分类保护、数据安全保护制度、数据交易、数据安全审查制度、数据跨境流动安全等方面的规定和要求。

(一)数据分类分级、重要数据保护

1、分类分级保护及重要数据

数据安全法明确提出数据分类分级保护及重要数据保护,预示着该制度或将成为未来数据安全领域的一项基本制度。

1) 分类分级保护:国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级和分类保护;

2) 重要数据保护:各地区、各部门应制定地区、部门和行业重要数据保护目录,对列入目录的数据进行重点保护。

为了数据安全保护、数据流动及合规遵循,金融行业在数据活动中已依据深耕行业的实践标准检验形成的数据分类分级标准,例如证监会《证券期货业数据分类分级指引》、中国人民银行《个人金融信息保护技术规范》(JR/T 0171—2020)。值得注意的是,由金融标准化技术委员会编制的《金融数据安全/数据安全分级指南》(“分级指南”)已于2020年4月公布送审稿,对金融机构在数据安全的分类分级具有重要的参考意义。分级指南适用于国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构,单列了数据安全定级、重要数据识别两个章节。其中,根据数据如遭到破坏后的影响对象及影响程度,金融数据分为5级安全级别,其中第5级为最高级;附录C在重要数据的定义基础上进行了详细列举;附录A对于数据安全级别升降进行了示例(例如汇聚融合、数据脱敏、信息屏蔽、删除关键字段等),体现了对金融数据动态识别和保护的要求。该分级指南的最终通过和实施,将成为数据安全法律体系对金融机构的重要影响之一。

2、数据安全保护制度

数据安全法明确了对数据活动的安全保护义务,主要包括:(1)建立健全全流程数据安全管理制度,开展数据安全教育培训,采取相应的技术措施及其他必要措施,保障数据安全;(2)加强风险监测,及时采取补救措施,发生数据安全事件时应当及时告知用户并向主管部门上报;(3)采取合法、正当方式收集数据,并在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要限度。

在数据分级保护的基础上,数据安全法进一步对重要数据保护提出了特别要求,主要包括:(1)重要数据的处理者应当设立数据安全负责人和管理机构;(2)重要数据活动定期开展风险评估,内容包括重要数据的种类、数量,收集、存储、加工、使用数据的情况;(3)可能影响国家安全的数据活动,应当接受国家安全审查;(4) 与履行国际义务和维护国家安全相关的属于管制物项的数据,应当依法实施出口管制。

“金融是现代经济的血液,经济是肌体,金融是血脉,两者共生共荣”[2],金融机构是维护金融安全和保障客户利益的主导力量,必须承担安全保障义务。金融机构首先要对包括个人信息在内的数据承担一般安全保护义务,还要符合重要数据的特别保护要求。根据分级指南附录C,金融业重要数据包括但不限于金融机构持有的客户信息,另外还要关注金融数据的动态识别和安全级别调整,以符合数据安全法对于数据 “持续处于安全状态”的要求。

(二)数据交易

数据安全法首次在立法层面提出了“数据中介”这一概念,体现了国家对于数据交易制度的支持,主要包括:(1)明确数据活动定义中包含数据交易等行为;(2)国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场;(3)从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源;(4) 专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或备案。

近5年来,我国已先后在贵阳、武汉、上海、重庆、天津等地建立大数据交易所,极大推动了大数据产业成长、加强大数据产业基础设施建设,并已成为金融风控和征信等领域重要的数据渠道。金融创新下的商业线上贷款业务蓬勃发展,固然解决了传统征信体系覆盖面狭窄、传统商业银行效率低成本的问题,但也暴露出风险管理不谨慎、金融数据信息泄露等问题。2020年7月施行的《商业银行互联网贷款管理暂行办法》( “暂行办法”),体现了监管部门对金融数据交易制度和交易行为规制的循循善诱和良苦用心。暂行办法提出了商业银行的合作机构准入机制要求、商业银行不得与违规收集和使用个人信息的第三方开展数据合作、商业银行从合作机构获取借款人风险数据应当确认数据来源合法合规、真实有效,并已获信息本人的明确授权等,对互联网贷款过程中的数据使用、风险管理、合作模式等方面制定了详细的监管指引。

另外,目前金融科技领域中已经大量引入了大数据、人工智能、云计算、区块链等,并与金融业完美结合,将FinTech扩充到RegTech,即利用最新的科技手段服务于监管和合规,具体运用于风控、反欺诈、反洗钱、产品定价等数据处理场景模式中。笔者在处理这种金融拥抱科技类项目的法律服务中,不仅会多视野多维度的审视各法域各行业的法律法规的适用,还会为金融机构在建立新的业务或引入合作供应商时的法律合规性保驾护航。例如,金融机构不断拓宽业务领域和商业模式过程中提供了在线数据处理和交易等电信业务服务,则可能需要根据《互联网信息服务管理办法》申请办理增值电信业务经营许可证(具体业务种类为《电信业务分类目录(2015年版)》项下B21“在线数据处理与交易处理业务”,俗称EDI证)。

(三)数据安全审查制度

数据安全法首次提出了数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查,且安全审查决定为最终决定。当然,目前该安全审查还只是原则性要求,并未明确具体内容。此外,数据安全的安全审查制度与我们现有法律框架下的其他相关安全审查制度(例如《外商投资法》外商投资安全审查制度、《网络安全审查办法》关键信息基础设施运营者安全审查制度等)如何衔接和适用,可能有待于进一步法规和政策的诠释。

金融机构持有数据关系国家金融安全,一直都是世界范围内国家安全审查制度的重点(例如美国《外国投资安全法》中CFIUS就对金融行业的安全审查有着严格的规定),就我国而言金融机构关于国家安全的数据包括但不限于金融业网络与信息系统规划建设、运行维护、安全保障等数据。鉴于该安全审查将覆盖我国境内的数据活动,我国相关金融机构应紧密关注数据分类及重要数据保护制度、完善数据安全风险预警机制、数据安全事件应急规范,维护清朗的网络空间、加强数据安全保护力度,才能更好地保障国家数据主权的完整和数据安全的神圣不可侵犯。

(四)数据跨境流动安全

近年来,数据流动对全球经济发展的贡献已经超过传统的跨国贸易和投资,不仅支撑了包括商品、服务、资本、人才等其他几乎所有类型的全球化活动,并发挥着越来越独立的作用,数据全球化成为推动全球经济发展的重要力量[3]。随着经济全球化的滚滚洪流,数据跨境流动成为国际关系中覆盖经济、文化等领域的焦点话题,2013年斯诺登事件也推动了各国将数据跨境流动纳入政治议题板块,与国家政治、网络安全、隐私保护等政策紧密挂钩,加剧了网络空间中的数据资源争夺、国家数据主权和战略博弈考量。我国先后出台的《网络安全法》、《国家网络安全检查操作指南》、《数据安全管理办法(征求意见稿)》、《数据出境评估办法(征求意见稿)》及《个人信息出境安全评估办法(征求意见稿)》分别规定了关键信息基础设施运营者、网络运营者重要数据及个人信息的数据出境安全评估要求。

数据安全法提出了与数据跨境流动相关的出口管制、数据相关反制措施、跨境数据执法报批制度,紧密围绕保障数据安全、鼓励自由流动的平衡理念,主要包括:(1)国家积极开展数据领域国际交流合作及标准制定,促进数据跨境安全自由流动;(2)国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制;(3) 外国对中国采取与数据活动有关的歧视性措施的,可以采取相应反制措施;(4)境外执法机构要求调取存储于境内的数据的,有关主体应向主管机关报告并获得批准后方可提供。

数据跨境流动的相关立法要求,一定程度上会影响境外投资者来华的投资安排、境内企业出境管理框架、境内外企数据流通和传输的具体方案尤其是合规性要求。我国金融机构期望与境外企业进行商业合作并推广海外,而境外企业也觊觎中国庞大的商业市场,希望将其产品打入中国国内市场,因此金融信息跨境流动和传输也必是企业跨境商业活动的常态,将会很大程度上辐射于前述数据跨境流动的法律体系之内。中国人民银行2018年的7号公告明确了外商投资支付机构的准入和监管政策,结合《关键基础设施安全保护条例(征求意见稿)》的规定,境内支付机构可能被视作为关键基础设施运营机构而应依据《网络安全法》的规定在一些跨境交易中向境外投资者提供个人信息和数据时进行必要的安全评估。

我们理解,数据跨境流动政策很大程度上取决于地缘政治、国家安全、产业发展、市场准入等一系列复杂因素,当各国还纠结于安全性和流通性的权衡中,我国作为数字经济发展最快、数字产业能力最强的国家之一,无论从国家主权和安全角度还是构建数字战略和数据治理能力的考虑,都会加大企业数据跨境流动的监管力度,进一步划清我国数据和网络安全的“红线”。金融机构应在产业竞争、数据保护、国家安全等各方面都重视数据跨境流动问题,不断完善数据跨境的审查流程和制度,在金融领域打造数据安全流动高地、掌握数据跨境流动话语权。

三、金融机构开展数据相关业务的合规要点

数据安全法为包括金融机构在内的各类企事业单位工作中合法合规地进行数据活动提供了基本的法律指引和依据,也将进一步引导金融机构内外部的数据采集、数据使用和数据保护方面的合规工作:

(一)数据的采集

首先,金融机构采集用户数据要经过合法授权,即除非法定或约定的事由,金融机构不得未经用户允许采集信息,不得过度采集用户信息,不得滥用数据牟利,实现数据和服务的良性互动。

其次,要明确保护对象,即数据的分类分级及重要数据的识别。在金融行业数据分类分级标准和重要数据保护目录的基础上,金融机构应当搭建内部的数据分级分类和重要数据识别体系。此外,还要建立重要数据动态识别机制,并通过清洗、转换、加载从各业务系统抽取原始数据。数据在使用、流通过程中,可能存在因整合分析后与国家安全或公共利益产生关联而升级为重要数据的情形。尤其是利用大数据技术的数据活动,金融机构要及时跟踪数据是否因汇聚融合而转化为重要数据,并调整数据保护策略,从而实现对数据全生命周期的保护。

再者,金融机构要加强对第三方数据来源的审查。数据安全法对从事数据交易中介服务的机构提出了合规性的要求。尤其在金融风控和征信等领域,金融机构应当建立相关的流程机制,对第三方供应商的各类数据采集的方式和过程等适时进行合规性审查。例如商业银行从事互联网贷款,如果需要从合作机构获取借款人风险数据,应通过适当方式确认合作机构的数据来源合法合规、真实有效,并已获得授权。

此外,对于金融机构从事一些业务还要满足相关政府主管部门的规定。例如金融机构在从事外汇业务事需参考国家外管局《关于发布金融机构外汇业务数据采集规范的通知》(最新版为2019年1月颁布),其中对数据采集的范围、采集要求和报送原则和数据接口格式都有明确要求。

(二)数据的使用

首先,金融机构应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要的限度。从数据全生命周期来看,数据在归集、存储、共享、应用、整合、分析等行为时发生数据泄露或滥用等数据安全事件可能性更大。金融机构在使用数据过程中,要加强制度规范和权限管控等技术手段加强风险监测,建立数据使用者的安全责任制度,并设立相关岗位负责数据使用的管理、评估和风险控制;发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。

其次,数据安全法要求专门提供在线数据处理等服务的经营者应当取得业务经营资质。在风控、反欺诈、产品定价等数据处理业务中,金融机构自建业务系统对外提供在线数据处理服务,或者引入外部提供该服务的供应商时,需要关注相关业务资质的办理和审核。此外,建议金融机构加强监管的数据综合分析能力,结合各类监管的业务日志或系统数据,通过提炼业务的数据交叉关系促进金融机构的业务发展。

再者,金融机构应当注意金融信息跨境传输的合法合规性。目前数据安全法体系尚未明确具体监管措施,仅在2018年银保监会《银行业金融机构数据治理指引》中对银行业金融机构采集、应用数据涉及到个人信息的进行一些规定。但未来金融机构本身参与跨境商业支付等活动,仍面临着数据安全审查制度和实施出口管制的考量,金融机构应聘请专业律师适时完善针对数据跨境传输的相关内控流程制度。

(三)数据的保护

数据安全法明确了开展数据活动的数据安全保护义务,包括建立健全全流程数据安全管理制度、组织开展数据安全教育培训、采取相应的技术措施和其他必要措施保障数据安全。此外,数据安全法还强调了数据安全的持续和动态要求,金融机构对于数据安全保护的理念也应当“动静结合”,针对金融行业业务长链条完善动态风险控制体系。

银监会也曾在2006年和2016年两次下发指引文件[4],重点提出硬件上“当建立与业务规模、风险状况等相匹配的信息科技基础设施”,以及软件上“健全数据质量控制机制,积累真实、准确、连续、完整的内部和外部数据”。

金融机构在为实现自身健康发展和肩负着维护金融秩序的社会责任,还应当承担为保障客户利益所担负的安全保障义务,依据法律或合同的规定,采取措施保障金融客户的数据信息及交易活动的安全。对于数据信息的整体保护,我国其实早在2007年就颁布了《信息安全等级保护管理办法》,并根据数据信息受破坏后可能会对公民、法人和其他组织的合法权益造成危害的程度对信息系统的安全保护等级进行分类,公安机关会定期进行检查和测评,并会委托专业测评机构出具整改意见和方案,以期确保相关企事业单位符合国家信息安全等级标准。等保制度的严格执行客观上也在市场上抚育了专业测评机构这种商业模式的成长,诸如晓法科技等专业数据安全检测评估公司的茁壮成长,也受益于数据安全法等法律法规的认可和促进。数据安全法第十六条规定,国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动,因此未来数据安全检测评估和认证也将成为等保制度的重要组成部分之一。

中国互联网浪潮的波涛汹涌也许只是人类历史长河中的沧海一粟,但其在一定时代背景下所闪耀的光芒,以及优质互联网公司弄潮儿们带来的信息变革深刻重塑了中国经济社会和生产生活的形态,为中国的发展注入了无限活力,而互联网发展的“阿喀琉斯之踵”正是数据保护问题。数据安全法建立了我国数据安全的立法基础及制度框架,具有着里程碑意义。数据是数字经济发展的核心要素,对于金融机构而言,数据更是其向数字化转型、实现金融科技创新突破所依赖的大数据、人工智能等技术手段的必备要素,数据安全也可能推动金融机构商业模式的变革甚至数字化转型升级,以科技赋能打破金融机构服务门槛和壁垒,拓宽生态边界,提高金融机构效率和供给质量,以真正实现金融服务的“无处不在”和金融产品的“百花齐放”[5]。

诚然,数据安全法明确了原则性规定,而具体分级分类和重要数据保护、数据交易、数据安全审查、数据跨境流动等制度还有待进一步细化和落实。但从目前草案条款的字里行间,金融机构不难由此探究出立法者的意图和思路,适时把握未来数据安全保护和监管的方向和趋势,聘请专业金融法律师从内控制度、合法合规和应对监管要求的角度,对金融机构涉及数据活动的业务模式和管理机制等进行相应的梳理和调整,与此同时优化发展规划、完善技术管控手段,以此应对数据安全的风险和挑战。

[注] 

[1] 国家互联网信息办公室系国务院直接授权负责互联网信息内容管理工作,我们理解国家网信办颁布的制度性文件(包括但不限于《数据安全管理办法》)的法律位阶为部门规章

[2] 2019年2月22日习近平总书记在中共中央政治局就完善金融服务、防范金融风险举行第十三次集体学习时的重要讲话

[3] 数据来自于2008年麦肯锡全球研究院(MGI)《数据全球化:新时代的全球性流动》报告

[4] 分别是2006年《银行业金融机构信息系统风险管理指引》和2016年《银行业金融机构全面风险管理指引》

[5] 中国人民银行科技司副司长陈立吾《中国金融》2019年第四期

The End

Measure
Measure
Summary | 3 Annotations
根据分级指南附录C,金融业重要数据包括但不限于金融机构持有的客户信息,另外还要关注金融数据的动态识别和安全级别调整
2021/01/13 07:45
数据中介
2021/01/13 07:45
数据安全法对从事数据交易中介服务的机构提出了合规性的要求。尤其在金融风控和征信等领域,金融机构应当建立相关的流程机制,对第三方供应商的各类数据采集的方式和过程等适时进行合规性审查。例如商业银行从事互联网贷款,如果需要从合作机构获取借款人风险数据,应通过适当方式确认合作机构的数据来源合法合规、真实有效,并已获得授权。
2021/01/13 08:26