我们执着于在长跑中胜出!
您的位置: 易方达基金 > 资讯内容     
 

 

银行业个人金融信息跨境传输监管动态与合规建议

 

字体大小:大  小  来源:[原创 金融法律实务FLP 金融法律实务]    日期:2020-04-02  

 
 
 

一、问题的提出

中国人民银行颁布的行业标准《个人金融信息保护技术规范》(JR/T0171-2020)(以下简称“规范”)于2020213日开始正式实施。规范对金融业机构个人金融信息本地存储和跨境传输提出了具体要求:

 

 

 

 7.1.3 使用

 

d)在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息,应在境内存储、处理和分析。因业务需要,确需要向境外机构(含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构)提供个人信息的,具体要求如下:

 

应符合国家法律法规及行业主管部门有关规定;

 

应获得个人金融信息主体明示同意;

 

应依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求;

 

应与境外机构通过签订协议、现场核查等方式,明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务。

 

 

 

 

 

该条款采用了“确定性规范+准用性规范”的方式,适用时需援引“国家法律法规及行业主管部门有关规定”,并“依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估”。目前,有关个人金融信息出境安全评估国家标准《信息安全技术数据出境安全评估指南(征求意见稿)》、国家互联网信息办公室2017411日发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》和国家互联网信息办公室2019613日发布的《个人信息出境安全评估办法(征求意见稿)》均处于公开征求意见阶段,个人金融信息出境安全评估正式文件尚未出台和生效,使得本条款给个人金融信息跨境传输合规化操作带来一定的不确定性。有鉴于此,本文将从银行业金融机构的角度,梳理当前银行业主管部门就个人金融信息跨境传输方面相关监管规定,以供银行业金融机构合规开展个人金融信息跨境传输参考。

 

二、银行业个人金融信息跨境传输监管动态

 

 

对银行金融机构所收集个人金融信息进行规制早于2016年《中华人民共和国网络安全法》对个人信息和重要数据的保护。自2000年起监管部门从个人存款账户、银行结算账户、反洗钱信息等多个方面提出了一系列规定,中国人民银行20111月颁布《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔201117 号,以下简称“17号文”),正式提出:“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。”17号文首次确立了银行业个人金融信息跨境传输合规操作规则:以禁止跨境传输为原则,以允许跨境传输为例外。但是,17号文并没有明确哪些例外情形下可以跨境传输。

 

 

 

随即中国人民银行上海分行同年发布《关于银行业金融机构做好个人金融信息保护工作有关问题的通知》(以下简称“110号文”),规定了允许跨境传输的例外情形:“为客户办理业务所必需,且经客户书面授权或同意,境内银行业金融机构向境外总行、母行或分行、子行提供境内个人金融信息的,可不认为违规。”即,银行业金融机构根据办理业务要求,经客户书面授权同意,可以向境外总行、母行或分行、子行提供个人金融信息。

 

 

 

此外,110号文还对银行将业务系统置于境外时跨境传输个人金融信息进行了明确,“境内法人银行储存、处理和分析客户个人金融信息的业务系统不应置于境外;境内不具有法人资格的分行,依靠境外总行、境外其他分行或境外关联公司的相关系统,在中国境外储存、处理和分析客户个人金融信息,应当满足以下条件:(一)取得客户书面授权或同意;(二)其境外总行或关联公司应有相应的保障措施,能够确保客户个人金融信息安全,并由总行以法人名义承担相应的法律责任。”

 

 

 

根据2011110号文前述规定,在为客户办理业务所必需的场景下,允许在满足条件时个人金融信息在同一跨境集团内部的流动。该等个人金融信息跨境传输,严格限定接收对象仅限于在同一集团内部境内外总行、母行或分行、子行之间,不是满足了条件即可随意跨境分享该等个人金融信息,即110号文确立的跨境传输模式,实质是同一集团内部的跨境信息分享机制。

 

 

 

110号文对银行业务系统置于境内外时在同一集团内跨境传输分别规定了不同的条件:(1)储存、处理和分析客户个人金融信息的业务系统置于境内时,满足为客户办理业务所必需,且经客户书面授权或同意;(2)境内不具有法人资格的分行,在境外储存、处理和分析客户个人金融信息时,满足为客户办理业务所必需,经客户书面授权或同意,境外总行或关联公司应有相应保障措施,能确保客户个人金融信息安全。

 

 

 

不同于17号文对个人金融信息本地化储存、处理和分析的要求,110号文从侧面默许了境内不具有法人资格的外国银行分行,依靠境外总行、境外其他分行或境外关联公司的相关系统,在中国境外储存、处理和分析客户个人金融信息。

 

 

 

必须强调的是由于110号文的发文主体是人民银行上海分行,适用对象限于上海地区的银行,且采用“可不认为违规”的表述,银行业主管部门并没有确认境内不具有法人资格的外国银行分行在依靠境外相关系统时,可以在境外储存、处理和分析客户个人金融信息。

 

 

 

2013年,人民银行在《中国人民银行办公厅关于2013年个人金融信息保护专项检查情况的通报》(银办发[2014]131号)(以下简称“131号文”)指出,“数据出境问题。外资银行内控制度建设较为完善,安全防范措施较为严密,制定了信息安全管理标准,对客户信息实施分级管理。但部分外资银行将数据中心设在境外、根据母国或总行监管合规要求跨境报送数据等行为,不符合监管部门的相关规定。”由此,人民银行明确“外资银行将数据中心设在境外、根据母国或总行监管合规要求跨境报送数据”是不合规的行为。

 

 

 

从人民银行此处的表述方式来看,其措辞为“部分外资银行”。笔者认为131号文没有否认110号文监管逻辑,没有一刀切的认为“外资银行将数据中心设在境外”是不合规的。国务院2019年修订的《外资银行管理条例》第二条规定,外资银行包括外商独资银行、中外合资银行、外国银行分行、外国银行代表处四类机构。第五十四条规定,“外商独资银行、中外合资银行应当设置独立的内部控制系统、风险管理系统、财务会计系统、计算机信息管理系统。” 即《外资银行管理条例》没有要求外国银行分行、外国银行代表处设置独立的内部控制系统、风险管理系统、财务会计系统、计算机信息管理系统,即外国银行分行、外国银行代表处可以使用境外总行、境外其他分行或境外关联公司的相关系统。

 

 

 

这与110号文监管逻辑是一脉相承的:境内法人银行储存、处理和分析客户个人金融信息的业务系统不应置于境外,应当设置有独立的系统;境内不具有法人资格的外国银行分行、外国银行代表处,可以依靠境外总行、境外其他分行或境外关联公司的相关业务系统。从现实客观情况看,如果监管规定一方面允许境内不具有法人资格的外国银行分行使用、依靠境外关联公司业务系统进行个人金融信息分析和处理,另一方面又要求外国银行分行在中国境外储存、处理和分析客户个人金融信息,可能尚需要立法方面协调或银行在信息系统技术方面的改进。

 

 

 

20161214日,人民银行在印发《金融消费者权益保护实施办法》(银发〔2016314号)(以下简称“314号文”)第三条明确规定,“在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,金融机构不得向境外提供境内个人金融信息。境内金融机构为处理跨境业务且经当事人授权,向境外机构(含总公司、母公司或者分公司、子公司及其他为完成该业务所必需的关联机构)传输境内收集的相关个人金融信息的,应当符合法律、行政法规和相关监管部门的规定,并通过签订协议、现场核查等有效措施,要求境外机构为所获得的个人金融信息保密。”即,314号文原则上禁止个人金融信息出境,为处理跨境业务经当事人授权,且通过与签订协议、现场核查等措施确保境外关联机构保密情况下,可以向境外关联机构传输境内收集的相关个人金融信息。在本地化要求方面,明确在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。

 

三、银行业个人金融信息跨境传输合规建议

 

 

1

 

本地化要求

 

 

在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。但是,由于《外资银行管理条例》并未要求不具有法人资格的外国银行分行、外国银行代表处建制独立系统,对于依赖境外总行、境外其他分行或境外关联公司相关系统的外国银行分行、外国银行代表处而言,要求其在中国境外储存、处理和分析客户个人金融信息可能还需要立法层面的协调或银行在信息系统技术方面的改进。

 

 

 

2

 

跨境传输要求

 

 

 

当前允许跨境传输个人金融信息,仅限于跨境业务办理场景,且是出于业务办理的需要;接收对象仅限于同一集团内部关联机构,该等跨境传输实质上是集团内部的跨境信息分享;该跨境传输,应当获得客户授权同意后才可以提供;同时,应当通过与签订协议、现场核查等措施确保境外关联机构对个人金融信息予以保密,境外关联机构不得将该信息分享给境外有关部门或其他外部机构。

 

 

 

3

 

安全评估要求

 

 

因个人信息出境安全评估办法与标准尚未在立法层面生效,故目前银行业监管部门暂未对金融机构提出个人金融信息出境安全评估要求。待个人信息出境安全评估办法与标准相关文件正式生效后,根据《个人金融信息保护技术规范》(JR/T0171-2020)的要求,银行业金融机构个人金融信息跨境传输还应当进行安全评估,确认安全后个人金融信息才可出境在同一集团分享。

 

 

 

4

 

因反洗钱和反恐怖融资需要的跨境传输要求

 

 

 

如果所述,个人金融信息接收方目前仅限于办理业务需要时的同一集团内部关联机构。若境外有关部门因反洗钱和反恐怖融资需要,要求其提供客户、账户、交易信息及其他相关个人金融信息的,根据《法人金融机构洗钱和恐怖融资风险管理指引(试行)(银反洗发[2018]19号)及相关规定,金融机构应当告知对方通过外交途径、司法协助途径或金融监管合作途径等提出请求,金融机构不得擅自提供。此外,有关国内司法冻结、司法查询、可疑交易报告、行政机构反洗钱调查等信息不得对外提供。境外清算代理行因反洗钱和反恐怖融资需要要求提供除汇款信息、单位客户注册信息等以外的客户身份信息、交易背景信息的,金融机构应当在获得客户授权同意后提供;客户不同意或未获得客户授权同意的,金融机构不得提供。