银行金融业数据合规除应遵守本《实务问答》前述的各项通用规定外,还应注意中国人民银行等其他机构发布的相关规范。其中与数据出境相关的主要包括《个人金融信息保护技术规范》(JR/T 0171—2020,2020 年 2 月 13 日实施)、
《金融数据安全 数据安全分级指南》(JR/T 0197—2020,2020 年 9 月 23 日实 施)、《金融数据安全 数据生命周期安全规范》(JR/T 0223—2021,2021 年 4 月 8日实施)等。
《金融数据安全 数据安全分级指南》给出了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为 5 级、4 级、3 级、2 级、1 级。其中 5 级数据特征包括(1)重要数据,通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用;及(2)数据安全性遭到破坏后,对国家安全造成影响,或对公众权益造成严重影响。
该指南附录 C 还详细解释了银行金融业重要数据的认定,具体包括:
(1)观特征:可反映不可更改或长时间保持稳定的经济特征、社会特征的数据;
(2)海量信息汇聚得到的衍生特征数据:汇聚后覆盖多省份的金融消费者真实
交易信息;
(3)行业监管机构决策和执法过程中的数据:行政机关、执法机关在履职或执法过程中收集和产生的不涉及国家秘密且未公开的受控数据;
(4)关键信息基础设施网络安全缺陷信息:网络设备、服务器、信息系统等有关漏洞信息。
需注意,上述重要数据一般不包括企业生产经营和内部管理信息、个人信息等。《金融数据安全 数据生命周期安全规范》中提到,银行金融业机构境外分、子公司和分支机构在境外开展业务过程中采集、产生的数据,其安全定级及数据保护工作应按照数据跨境相关要求执行。并强调在我国境内产生的金融数据原则上应在我国境内存储,国家及行业主管部门另有规定的除外。其中在我国境内产生的 5 级数据(包括银行金融业重要数据)应仅在我国境内存储。
尽管按《跨境流动规定》,目前未被主管部门和地区告知或/公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估,但银行金融业机构仍然需要基于前述规定做好其数据的分类分级管理,在可能涉及重要数据级别的数据跨境传输时,采取较为审慎的态度。
个人信息在银行金融一般体现为个人金融信息。《个人金融信息保护技术规范》中对个人金融信息的定义包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息;并将个人信息分级为三级。就个人金融信息的出境,在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息,应在境内存储、处理和分析。因业务需要,确需向境外机构(含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构)提供个人金融信息的,应满足下列要求:
(1)应符合国家法律法规及行业主管部门有关规定;
(2)应获得个人金融信息主体明示同意;
(3)应依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求;
(4)应与境外机构通过签订协议、现场核查等方式,明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务。银行金融业的个人敏感信息目前可参照 GB/T 35273-2020《信息安全技术 个人信息安全规范》附录 B 的规定。其中,银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息等个人财产信息属于个人敏感信息。
银行金融业机构在向境外提供个人信用信息时还应关注《征信管理办法》的相关规定,当符合相关适用条件构成征信机构向境外提供个人信用信息的,应当对境外信息使用者的身份、信息用途开展必要审查,确保出境后的信息被用于跨境贸易和投融资等合理用途,且不危害国家安全。
中国人民银行发布的《中国人民银行业务领域数据安全管理办法(征求意见稿)》中也有关于数据出境限制管理的要求,待该办法正式出台生效后,银行金融机构也应参照执行。
来源:环球律师事务所等团队
7648
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
