金融机构数据出境实务要点变化

近期，关于金融机构数据治理及数据跨境流动的相关法规相继出台，对金融机构的数据出境工作提出了新要求。本文结合相关法规的最新规定，对金融机构在跨境业务、员工个人信息、数据过境及境外收集的业务场景下，所涉及的数据出境实务要点变化进行简析，并提出金融机构的应对策略，以期为相关机构提供参考。

 

一、背景

 

为了规范金融机构数据治理及数据跨境流动等行为，相关法规近期相继出台。2023年7月24日，中国人民银行（“人行”）制定《中国人民银行业务领域数据安全管理办法（征求意见稿）》（“《人行数据管理办法》”）；2024年3月22日，国家金融监督管理总局（“金管局”）起草并公布了《银行保险机构数据安全管理办法（征求意见稿）》（“《金管局数据管理办法》”），该等法规对金融机构的数据安全管理提出了基本要求与具体规则。

 

此外，同样于2024年3月22日，国家互联网信息办公室（“网信办”）公布了《促进和规范数据跨境流动规定》（“《数据跨境流动新规》”）、《数据出境安全评估申报指南（第二版）》（“《安全评估指南》”）、《个人信息出境标准合同备案指南（第二版）》（“《标准合同备案指南》”，与《安全评估指南》合称“《数据出境指南（二）》”），对数据出境的监管流程进行了细化与完善。

 

基于上述法律文件的出台，本文将重点分析金融机构数据出境过程中有哪些实务要点的变化，以期为相关机构提供最新的参考。

 

二、金融机构数据出境实务要点变化

 

1、跨境开户、跨境汇款、跨境支付业务中收集到的个人信息出境可豁免数据出境三种手续

跨境开户及跨境收支业务是金融机构最为常见的跨境业务之一。在该类型业务中，金融机构往往会收集到大量的个人信息，包括客户的身份信息、账户信息（包括支付账号、银行卡磁道数据（或芯片等有效信息）、银行卡有效期等）、金融交易信息、财产信息等。

 

根据《数据出境安全评估办法》和《个人信息出境标准合同办法》等规定，金融机构如需向境外提供个人信息，需要根据提供的数据数量及敏感程度，办理数据出境安全评估、标准合同备案或个人信息保护认证的手续。但在《数据跨境流动新规》中，为订立、履行个人作为一方当事人的合同确需向境外提供个人信息的，可以豁免数据出境三种手续，其中包括跨境开户、跨境汇款、跨境支付的业务场景。这意味着金融机构在该等业务场景中收集的个人信息出境，可以无需办理数据出境安全评估、标准合同备案或个人信息保护认证的手续。

 

但需注意的是，适用此条进行豁免的个人信息需为订立、履行个人作为一方当事人的合同所确需。例如，在跨境开户业务中，金融机构出境的客户个人身份信息属于开户所确需的信息，可以适用豁免范围。但如需出境客户的人脸、指纹等生物特征信息的，则可能会被监管部门认为不具有业务必需性，从而不被纳入豁免范围。

 

2、基于跨境人力资源管理出境员工个人信息可豁免数据出境三种手续

员工个人信息出境同样是金融机构的常见场景，尤其是对于在境内设立分支机构的境外金融机构来说，出于人力资源信息统筹管理的需求，通常需要将境内员工的个人信息出境并存储在境外总部或数据中心。这其中不仅包括境内员工的身份信息、薪酬数据、绩效评估，甚至包括包含员工个人影像的办公室监控录像等信息。

 

与上述第1项场景类似，金融机构出境员工个人信息的，此前需要根据数据数量及敏感程度，办理数据出境安全评估、标准合同备案或个人信息保护认证的手续。而《数据跨境流动新规》则为员工个人信息出境提供了豁免的途径，即如金融机构满足“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的”的，可以无需办理数据出境三种手续。

 

在实践中，金融机构通常具备依法制定的劳动规章制度，但在该等劳动规章制度中通常未包含与数据出境相关的内容。因此，我们建议金融机构应完善相关内部制度，明确员工个人信息出境的相关内容。

 

3、数据过境未引入境内个人信息或重要数据可豁免数据出境三种手续

数据过境常见于境内金融机构的境外分支机构。例如，境外分支机构将其在境外收集的个人信息传输至境内总部进行储存、加工或分析，经处理后的数据再出境使用。

 

《数据跨境流动新规》则明确了数据过境情形下的出境豁免条件，即境外收集和产生的个人信息的跨境传输，在未引入境内个人信息或重要数据的前提下，可以无需办理数据出境安全评估、标准合同备案或个人信息保护认证的手续。该规定可进一步便利金融机构数据的统一管理和存储，并有效降低数据出境的成本。

 

4、在境外直接收集境内自然人个人信息也属于数据出境

实践中，境外金融机构或境内金融机构的境外分支机构在为境内客户提供跨境金融服务时，为了手续简便，通常都是直接收集境内客户的个人信息，而不会通过境内机构代为收集。而金融机构在境外直接收集境内自然人个人信息是否属于数据出境，此前不甚明确。第一版《数据出境安全评估申报指南》和《个人信息出境标准合同备案指南》仅将“个人信息处理者将在境内运营中收集和产生的个人信息传输至境外”、“个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出”这两种数据/个人信息出境行为视为出境，并不包括“在境外直接收集境内自然人个人信息”。

 

而《数据出境指南（二）》则对第一版指南中关于数据出境的界定进行了调整。除第一版指南中提到的两种出境行为外，新增了“符合《个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他数据/个人信息处理活动”，也属于数据出境行为。

 

这意味着金融机构在境外直接收集境内自然人个人信息也属于数据出境。境外金融机构或境内金融机构的境外分支机构如存在该等收集/处理行为，且不能纳入《数据跨境流动新规》各项豁免范围的，则可能需要与境内代表机构签署个人信息出境标准合同，或申报安全评估或个人信息保护认证手续。

 

三、监管趋势的变化及金融机构的应对

 

1、监管趋势的变化

当前，金融机构数据出境的监管趋势正朝着严格化和精细化的方向发展。一方面，无论是《人行数据管理办法》还是《金管局数据管理办法》，都对金融机构数据出境的行为提出了明确的限制和要求，合规性要求越来越高，对违法行为的处罚力度也在加大。另一方面，为充分利用数据自由流动所带来的经济优势，在保障隐私和安全的前提下，监管部门也愈加细化“因业务需要”等相关情景及概念，明确数据出境豁免范围。

 

2、金融机构应对监管趋势的策略

金融机构在跨境数据传输方面，各业务场景之间呈现出高度的交互融合态势，通过线上系统实现数据的流转处理。在此过程中，不同业务间的数据交叉传输现象普遍存在，这使得金融机构在全球化业务的开展中，数据跨境流动变得既频繁又复杂。因此，这种情况对金融机构境内外数据系统的管理与数据传输保护提出了更为严格的合规要求。

 

结合近期监管趋势的变化，金融机构应首先就各项新规对跨境业务的适用性进行梳理，筛选出豁免范围内所涉及的各项数据，以尽量简化数据出境的手续和降低数据出境的成本。

 

其次，针对不在豁免范围内的各项数据，金融机构应建立健全数据出境的内部控制机制，明确数据出境的流程和责任分工，除履行数据出境所涉及的一般性合规义务，包括告知义务、取得个人单独同意，以及进行个人信息保护影响评估之外，还需根据所出境数据的数量和敏感程度，办理数据出境三种手续。