数据走出去， 业务走进来——在华金融机构数据跨境路径思考与解析

背景与摘要

党的二十大报告强调“推进国家安全体系和能力现代化，坚决维护国家安全和社会稳定”并“加强个人信息保护”。数据安全是国家安全的重要构成部分，而数据跨境流动在带来诸多便利的同时，也增加了国家安全与数据安全风险隐患。金融行业由于其数据敏感性、业务场景复杂性等因素，自然成为监管关注重点，其面临数据合规挑战不言而喻。

同时我们也看到，随着我国金融市场近年来开放稳步推进，诸多国际金融机构加快进驻步伐。截至2022年8月，已有银行、券商、基金及其他各类共计200多家境外机构投资者进入A股市场。当前养老第三支柱等政策利好，国内保险市场增长潜力巨大，外资险企纷纷入场。截至2022年5月末，境外保险机构在华共设立67家外资保险机构和80家代表处1。

在国家安全主视角及外资纷纷入场浪潮下，本土金融机构如何保护数据安全，同时推动数据跨境流动，外资金融机构如何快速满足数据合规要求，同时支持在华业务开展，是当前在华金融机构所面临现实问题。本文旨在通过数据跨境政策解读、具体路径分析、行动建议介绍，对在华金融机构实现“数据走出去，业务走进来”提供借鉴与帮助。

第一章：在华金融机构数据跨境政策背景

当前，我国数据跨境流动治理体系初步形成：

1）国家法律层面

在国内法律制度层面，《网络安全法》《数据安全法》《个人信息保护法》对数据跨境做出顶层设计。其中，《网络安全法》提出个人信息和重要数据"本地储存、出境评估”的制度，为我国数据跨境流动原则与方向。

2）金融行业法律层面

《个人金融信息保护技术规范》《金融数据安全-数据分类分级指南》等金融业法规则在顶层框架下，对金融行业数据提出“本地储存、出境评估”制度。例如《个人金融信息保护技术规范》规定在境内提供金融产品或服务过程中收集和产生的个人金融信息，应在境内存储、处理和分析，因业务向境外机构提供个人金融信息，需开展个人金融信息出境安全评估2。

3）数据跨境细化条例

值得注意的是，2022年下半年以来，多项数据跨境相关细化条例相继出台。2022年6月24日，《网络安全标准实践指南--个人信息跨境处理活动安全认证规范》正式发布；6月30日，《个人信息出境标准合同规定（征求意见稿）》正式发布；7月7日，《数据出境安全评估办法》正式发布；8月31日，《数据出境安全评估申报指南（第一版）》正式发布，针对安全评估的适用范围、申报方式等做出具体说明3。

上述法律文件承接《网络安全法》《数据安全法》《个人信息保护法》三部上位法，对我国数据跨境的路径和机制做出详细说明。

4）各地相关指引

各地网信办近期也就安全评估申请开始推进相应的筹备工作，例如，江苏省互联网+信息办公室在2022年9月发布《江苏省数据出境安全评估申报工作指引（第一版）》；海南省互联网+信息办公室在2022年10月发布《海南省数据出境安全评估申报工作指引（第一版）》；上海市互联网信息办公室于2022年11月3日根据《数据出境安全评估办法》和《数据出境安全评估申报指南（第一版）》对常见问题进行了解答。截至目前，已有山东、福建、海南、上海、北京、天津等12个省级行政区开通数据出境安全评估通道，为安全评估提供指导。

第二章：在华金融机构数据跨境具体分析

第一节   数据跨境场景定义与识别

我国《个人信息保护法》《数据安全法》《网络安全法》均规定向境外提供数据的法律要求，但对“数据出境”情形未作详细定义，但是《数据出境安全评估办法》详细定义“数据出境”含义，主要包括：

► 一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外

► 二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或个人可访问或调用

值得注意的是，根据《出境入境管理法》，由中国内地前往中国香港特别行政区、中国澳门特别行政区，由中国内地往中国台湾地区也被视作出境场景。因此，中国内地数据传输或存储至港澳台属于数据出境。同时，数据出境中的“境外访问”情形，是指对境内服务器或者系统内数据的访问、调用。对公开网页信息的访问，一般不会被认定属于数据出境。

第二节   数据跨境具体路径与流程

《网络安全法》《数据安全法》《个人信息保护法》三部上位法提出三种数据合法出境路径，第一种是经过网信部门的安全评估，第二种是经专业机构进行个人信息保护认证，第三种是与境外接收方订立个人信息出境标准合同。而2022年颁布的三部新规则在上位法框架下，就三种出境路径制定详细适用范围及具体措施。三条路径属于并行路径，金融机构需基于适用范围判断出境路径并提交申报材料。

图1：数据跨境路径适用范围

路径一：安全评估

评估要点及流程

数据出境安全评估采取金融机构风险自评估与网信办安全评估相结合的方式，在向网信部门申报安全评估前，需先进行数据出境风险自评估。

其中，自评估报告评估要点包括数据出境的合法性及正当性、出境数据的重要程度、境外接收方的责任义务和数据安全能力等。网信部安全评估的评估要点除覆盖上述要点外，还会对接收方所在国的法律环境以及境外接收方遵守中国法律、行政法规等情况进行评估。

评估流程中，监管部门对安全评估采取逐级审查，即省级网信部门首先进行申报材料完备性查验，通过后由国家网信部门组织有关部门、省级网信部门、专门机构等开展实质性安全评估。详细流程可参考下图：

图2：安全评估流程

金融机构应对建议

《数据出境安全评估办法》及《数据出境安全评估申报指南（第一版）》就数据出境安全评估做出诸多细化要求，针对金融机构在实践中如何尽快落实要求，安永初步建议如下：

► 尽快与境外接收方订立数据跨境传输具有法律效力文件，约定好数据安全保护责任义务

► 尽快按照自评估报告模板所列举的各项评估内容对出境活动进行自评估，并对发现的问题积极整改

► 按照《数据出境安全评估申报指南（第一版）》的要求同步准备申报书、委托书等其他相关申报材料

路径二：个人信息保护认证

认证要点及流程

按照《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》，除需满足申报主体和数据类型条件外，还应具备以下条件：

► 与境外接收方之间应当签订具有法律约束力和执行力的文件

► 完善内部个人信息保护管理架构

► 参与个人信息处理的相关方制定并遵守统一的个人信息跨境处理规则

► 个人信息处理者在数据出境前应开展个人信息保护影响评估

认证流程上，目前对于个人信息跨境处理活动认证机构的资质和认定、对认证活动的监管等细节问题，主管部门仍在研究中，尚未形成定论，建议相关金融机构对此保持关注。

金融机构应对建议

鉴于认证机制待进一步明确，安永初步建议相关机构参照《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》为申请认证进行准备，具体包括：

► 尽快与境外接收方之间签订具有法律约束力和执行力的文件

► 及时更新并统一本集团个人信息处理规则，以满足中国法律和监管要求

► 指定个人信息保护负责人并设立个人信息保护机构

► 开展事前的个人信息保护影响评估并出具相关报告

路径三：个人信息出境标准合同

合同签订要点及流程

根据《个人信息出境标准合同规定（征求意见稿）》，签订标准合同方式流程按照事前开展个人信息保护影响评估，签订标准合同，省级网信部门备案三大环节。

图3：标准合同签订流程

金融机构应对建议

针对机构在实践中落实《个人信息出境标准合同规定（征求意见稿）》，初步建议如下：

► 开展事前的个人信息保护影响评估并出具相关报告

► 参考《个人信息出境标准合同规定（征求意见稿）》《信息安全技术-个人信息安全规范》等规定, 尽快与境外接收方签订标准合同

第三章：安永助力数据跨境规划及落地

安永战略与交易团队将通过科学的统筹规划，明确顶层政策趋势与内部现状、梳理跨境场景及路径、提升底层能力保障，有效帮助本土金融机构保障长期业务开展，外资金融机构在华业务开展，实现“数据走出去，业务走进来”：

图4：安永战略与交易团队金融机构数据跨境服务框架

一、顶层——宏观分析与内部评估

► 政策与行业分析洞察：安永专业团队基于金融数据专家网络及专业知识库，从国家法律、行业条例及地方性政策等维度，研究数据跨境政策发展与导向，帮助金融机构预判潜在的机遇与挑战

► 内部诊断与评估分析：安永专业团队基于内外部专家合作网络及金融数据法律知识库，分析数据监管政策对金融机构内部业务影响，助力机构分析数据安全评估影响、个人信息影响评估等，帮助机构建立数据信息保护合规基线

二、中层——数据跨境方案规划

►数据类型梳理与配套适用方案设计：安永专业团队帮助金融机构梳理数据资产，基于业务场景及应用系统，结合业务部门访谈，并基于最新监管动态分析各类数据跨境要点并提供实际适用建议，实现数据跨境全方位管理

► 跨境场景识别与出境路径规划：跨国金融机构在日常业务中面临诸多数据跨境场景。安永专业团队将帮助金融机构快速识别数据跨境场景及各场景下相关关联方、跨境传输的数据类型，帮助选择数据合法出境的路径

三、底层——配套保障能力规划

► 项目管理支持：《数据出境安全评估办法》要求机构在该办法实施后6个月内完成整改。安永专业团队基于成熟项目管理经验，助力金融机构妥善安排项目时间与进度，梳理各阶段所涉及数据类型及流程，帮助机构尽早完成评估

► 组织人才规划：相关规定要求跨国集团层面完善内部个人信息保护管理架构。安永专业团队拥有丰富的针对国内大型综合金融集团、跨国金融集团的组织及人才规则经验，帮助机构充分整合人力资源，实现组织设计、敏捷转型等

► IT与数据能力规划：相关规定要求跨国集团层面更新统一本集团个人信息处理规则。建设配套IT与数据平台可帮助企业提升工作效能。安永专业团队拥有针对大型综合金融集团IT与数据能力规划经验，帮助机构解决从中后台能力规划、架构设计到数据标准整合打通等问题，助力金融机构快速搭建配套IT与数据能力

► 数据本地化部署高阶设计：在华及跨国金融机构可通过数据本地化部署避免在数据出境未通过情况下其业务持续运营受到影响。安永专业团队将通过专业分析框架从多个维度对金融机构数据本地化部署进行高阶战略设计，优先级分析并形成实施路线图，赋能金融机构搭建可支撑未来中国业务的本地数据能力

结语

数据安全是国家安全的重要构成部分。当前，我国《网络安全法》《数据安全法》《个人信息保护法》对数据跨境做出顶层设计；金融业法规则在顶层框架下，对金融行业数据提出“本地储存、出境评估”制度；而2022年下半年以来，多项数据跨境相关细化条例相继出台，同时，各地网信办近期也就安全评估申请开始推进相应的筹备工作。

结合法律条例及实际行业经验，我们观察到当前在华金融机构数据跨境共有三种路径，第一种是经过网信部门的安全评估，第二种是经专业机构进行个人信息保护认证，第三种是与境外接收方订立个人信息出境标准合同。

在我国数据跨境流动治理体系逐步完善的大背景下，我们建议在华金融机构需尽早进行内部评估及分析，识别跨境场景下的数据类型及路径，并提前做好战略规划及配套能力建设方案，从而为业务稳定开展、数据流动畅通奠定基础。

注：

1.资料来源：中国政府网，中国银行保险监督管理委员会公开披露信息，案头研究；安永分析

2.资料来源：国家网络安全和信息化委员会公开披露信息，金融标准化技术委员会公开披露信息；案头研究；安永分析

3.资料来源：中国政府网，中国人大网，中国网络安全审查技术与认证中心，国家网络安全和信息化委员会公开披露信息；案头研究；安永分析