金融机构数据跨境的合规管理对策

来源:iLaw合规

文章摘要
金融机构个人信息泄漏事件频发,浦发、兴业等多家机构被指百万客户数据泄漏,公众对金融机构产生信任危机,建立完善且健全的数据风险合规体系急需被提上日程。

金融机构个人信息泄漏事件频发,浦发、兴业等多家机构被指百万客户数据泄漏,公众对金融机构产生信任危机,建立完善且健全的数据风险合规体系急需被提上日程。
在云计算、跨境交易发展的背景下,数据跨境流动频率不断增高,通常情况下,数据跨境可分为两种情况,首先,数据跨越国界进行传输、存储等;其次,数据并未直接跨越国境,但是境外的主体可以远程访问及调取数据。

在我国的《个人信息保护法》生效之前,金融行业企业往往将用户数据视为商业秘密进行保护,设定较为严格的限制信息外流措施。
在个保法出台之后,金融机构逐渐转变思维,从产品和服务的各个流程节点上开展数据合规工作。
我国有关数据跨境传输的规定散见于《网络安全法》《数据保护法》《个人信息保护法》《保守国家秘密法》等法律。
详细规定可参见《数据跨境传输时,企业应履行哪些合规义务?》一文。
本文对近年的金融行业数据监管法规、标准进行汇编,版面有限,文中仅呈现部分法规文件,如需获取全部法律、法规、标准汇编,请扫描文末二维码获取。
金融行业数据监管法规汇编


部分金融机构违规滥用数据引发了个人金融信息泄露,金融业作为数据密集型行业,除了面临较一般数据保护要求更为严格的监管要求外,还因叠加各国传统法律规定的金融行业监管要求,导致其面临更大的合规挑战。
1. 金融跨境数据的属性识别存在困难
在当今的大数据时代,金融机构在经营过程中势必会快速产生大量的数据,这无疑增加了数据合规管理难度。
首先是跨境流动数据的法律属性界定仍存在盲区,数据跨境流动一般要求分级分类管控,但是目前对个人信息、重要数据等概念的界定多数以概括方式表达,导致对数据的法律属性及类型识别模糊,增加其不确定性。
2. 金融跨境数据管理困难
跨境流动数据的清理工作不易,多种类型的非结构化数据,集合在同一载体或分散在不同载体当中,存在难以拆分和精准识别的问题,特别是中资金融机构部分境外机构,已经关户的数据和现行客户数据混杂在纸质档案当中,如何根据数据来源、内容和用途进行数据分类梳理,将纸质数据转变为电子化形式,成为数据跨境转移管控的难题。
3. 数据出境场景梳理困难
当前金融机构数据跨境的业务场景很大程度进行了融合,数据流转路径复杂,增大了数据跨境路径梳理和相关责任识别的困难。
金融机构业务数据往往通过线上系统流转处理,业务间数据亦存在交叉传输的情况。
例如,倘如境外机构数据的服务器集中部署在境内的数据中心,将导致全球化业务开展过程中涉及频繁的复杂数据跨境流动,路径划分存在困难。
4. 数据主体责任识别存在困难
当前数据管理角色界定存在差异,责任识别存在困难。在目前复杂的数据流转链条下,在准确判断金融机构各种数据管理角色的合规责任方面存在一定困难。
例如,欧盟 GDPR 对个人数据的控制者和处理者的责任进行详细划分,但我国法律并没有区分控制者和处理者,统一称为个人信息处理者,并规定个人信息处理者要承担连带责任,两方法律规定之不同,将导致承担数据合规责任的角色划分不清晰。
5. 数据保护规则复杂增加合规成本
各国的数据保护规则处在动态变化的过程中,纵观全球规则,各国普遍对数据违规出境持从重处罚的态度,严重的甚至会追究刑事责任。
数据保护波及范围较广,想要做好数据保护工作,要从信息系统、制度建设、合同文本更新、人员配备、合规培训等多方面入手,金融机构面对的数据合规成本并不低。
以签订数据传输合同为例,通常是由输出地与输入地双方签订标准合同,以实现双向合规,但标准合同条款并非固定不变的,而是不定期更新。
6. 跨境数据流动增加各国合规冲突隐患
由于多国数据安全法包含着长臂管辖因素,即使是同一法域的数据处理行为,可能需要被多法域规则束缚。
在数据存储及处理方面,因并表风险评估、并表监管指标计算等监管要求,中资金融机构应当接收境外机构数据传输、储存及处理。
在数据使用方面,突出体现在使用部分国际机构产品时,会引发境外长臂管辖,当适用长臂管辖的国家的法律法规与我国明确要求的安全评估与手续冲突时,银行机构很可能可能面临两难处境。

加强数据跨境流动监管已成为当前各国的共同意见,我国曾在「十四五」规划中提出,要「加强数据安全评估,推动数据跨境安全有序流动」。
在全球范围内,位于欧盟的机构受 GDPR 约束的合规要求最高,其他各国也在相继效仿,金融机构应关注各境外机构向本国机构传送信息过程中适用的国际数据传输要求以及可能产生的风险。
另外,金融机构需要重点关注各国对客户资料的保密义务。金融机构可以在以下方面加强管理:
1. 引入技术保护数据
金融机构在往往会拥有用户的大量敏感数据,一般需要加密传输、加密存储,大多数金融机构已能够按照规定完成任务,但即使如此,数据安全风险难以完全避免,金融机构应当通过技术保障数据安全。
例如,引入签名技术,水印技术、AI 技术、区块链融合技术等。
此外,对于金融科技实力相对薄弱的中小金融机构来说,应当积极参与产业联盟标准建设,通过引进经权威第三方机构公证过的技术供应商,来治理自身技术实力短板问题。
2. 加强跨境数据档案管理
金融机构应当指派专人进行用户档案管理,将现存客户、停户用户的数据进行严格区分,并将纸质档案、电子档案都分类别、分级别进行管理,当涉及外部数据时,应尤为关注将涉外数据与境内数据区分管理,在此过程中,对数据来源、内容和用途明确标注,避免出现数据混同、难以区分、区别管理的情况。
3. 依当地法规部署信息系统
目前国内的金融机构进行境外数据传输主要依托信息系统,在全球统一营运系统开发及投产前,应当充分考虑到境外数据安全保护的规定,确保全球统一营运系统中的开发、功能设计、档案管理、资料跨境调阅等功能均符合当地法律对数据出境、集团共享等方面的规定,考虑到应当提前设计加密系统及部署本地的服务器。
4. 及时跟踪数据保护规则变化
首先,无论规则如何变化,「告知—同意」的授权原则已逐渐成为各国或地区的普遍原则。
金融机构可加强数据合规规划,并实时更新面向用户的相关协议文本,包括隐私声明及隐私政策,在数据获取、存储和处理的过程中及时获取完整的使用、共享、转移用户数据的授权。
同时,注意保留隐私政策的更新记录,并在隐私政策更新时,通过一定途径通知用户,重新获取用户的同意,确保始终满足监管要求;其次,将责任明确到专门的数据合规人员以负责跟踪全球各国政策变动动态。
5. 谨慎衡量区际法律冲突
如同上文所属,在金融数据出境的过程中,将涉及数据出口国与进口国之间关于个人信息、数据监管的规定出现冲突的情况,对此,企业应当首先对数据出口国及数据进口国的法律均有深刻的了解,之后衡量由此引发的风险,谨慎衡量法律冲突之后,再决定数据出境与否。

身处强监管行业,金融机构应具有更强烈的数据合规意识。
金融机构应推动指导各境外机构持续跟踪业务所涉及的数据安全监管要求,从战略高度重视数据合规,制定数据合规框架,并及时进行合规监测及检查,确保跨境数据传输中针对数据的法律属性识别、储存与流转、管理角色界定等事项与所适用的监管要求不相违背。

技术驱动法律,专业成就未来