2020中国金融数据跨境流动监管政策报告.docx

《2020中国金融数据跨境流动监管政策报告.docx》由会员分享，可在线阅读，更多相关《2020中国金融数据跨境流动监管政策报告.docx（37页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、目录 CONTENTS金融行业监管部门数据跨境规制体系01纵向分析02监管层次1数据本地化的要求02监管层次2数据出境要求06监管层次3数据保密要求09监管层次4其他数据跨境活动要求13横向分析14网络平安法数据跨境规制体系!7主体关键信息基础设施运营荀CII0 )17客体:个人信息/重要数据22要求：平安评估27网络平安法数据跨境规制体系小结28结语29参考文章30附录31相关规范性文件31金融信息的跨境传输不再受到相关监管，而是可能为国家、行业有关部门制定的个人信息、个人金融 信息跨境传输的规定预留立法空间：首先 沫来央行可能在正式出台的个人金融信息（数据 睬护试 行方法或类似文件中规定个

2、人金融信息跨境传输的规制要求。其次，银行业金融机构很可能被列 为关键信息基础设施运营者，因此在个人信息跨境传输上可受制于网络平安法及配套法律法规 的规定。最后，个人信息保护法的出台也可能对个人信息的保护和跨境传输做出进一步的规定。相关条文结构：主体+客体1中国人民银行金融消费者权益保护实施 方法中国人民银行（银发2016314 号 文印发）2016.12.14 发布（已失效）中国人民银行金融 消费者权益保护实施 方法（征求意见稿） 中国人民银行 2019.12.27 发布中国人民银行金融 消费者权益保护实施 方法（征求意见稿） 中国人民银行 2019.12.27 发布中国人民银行金融 消费者权

3、益保护实施 方法中国人民银行中国人民银行令 2020第 5号2020年9月15日发布笑二I四条在中国境内提供的消费者金融信息 银行业金融机构、非银行 的存储、蛆建和费嘲域当在中国境电进红星匕 支付机构+境内提供的 密需要，确需向境外提供消费者金电1函互 消费者金融信息 ”同时符合！M下条件：（-）为处诞蹬境业务新源需； 麴金融消魏辔书面授暇； 信息接收方色完旗谈韭务所或覆逗联正嘀 哈总经可I好餐含忌老会密运、子公司等）；（W mww：.魏超穗第等辆昔施，要求烧处机啕为屁获翟的精盘者金朗言息保密；符合法律法觌和其他相芟用管部门的规徵或年/15日裳帝的中国斗民银行金融赞誉极收嚼源实施划痂%已副财2

4、016年演本中美于个人/消篮老金融信息蹲埠传输的有关觐定尊，监管层次3数据保密要求3.1 数据保密要求条文梳理监管层次2 :数据保密要求个人存款账户实名金融机构及其工作人员负有为个人存款制规定账户的情况保守秘密的责任C国务院2000.3.20 发布人民币银行结算账 户管理方法中国人民银行2003.4.10 发布个人信用信息基础 数据库管理暂行方法中国人民银行2005.8.18 发布反洗钱法 全国人大常委 2006.10.31 发布金融机构反洗钱规 定中国人民银行2006.11.14 发布中国人民银行关于 证券期货业和保险业 金融矶构严格执行反 洗钱规定防范洗钱风 险的通知 中国人民银行 中国人

5、民钗行201235发布金融机构不得向任何单位或者个人提供有美个 人存款账户的专况,并有权拒绝任何单位或者个息保密.对单位银行结算账户的存款和有美资 科,除国家法冬、行政法规另有规定外,银行有 权旭绝任何单位或个人查询.对个人银行结算账应当为在工作中知悉的个人信用信息保密C第五条第 款 对依法履行反洗线职责或者义务 获得的客户身份资料和交易信息,应当予以保 密；非依法律规定,不得向任何单位和个人提供C第十五条金融机构及其二作人员对依法履行反 洗钱义务获得的客户身份资料和交易信息应生 予以保密；非依法律规定,不得向任何单位和个人提供。金融机构及其工作人员应当对报告可疑交易、配 会中国人民银彳厂调查

6、可疑交易活动等有美反洗钱工作信息予以保密.不得违反规定向客户和其 他人员提供。一（五）讦券期货业和保险业金融机构应当履行 的其他反洗钱义务包括：按照反洗钱预防、监控 制度的要求,开展对本机构反洗钱工作人员反洗 钱培训和对客户的反洗钱言传工作对依法履行 反洗钱义务获彳导的客户身份资料和交易信息，应 当予以保密依法配合人民银行进行反洗钱调查 等。第九条 支付机构及其，作人员对依法履彳反涉 饯和反恐怖融资义务获得的客户身份资料和交 易信息应当予以保密；非依汰律规定,不得向任 何单位和个人提供C支勺机构及其工作人员应当对报告可疑交易、配 合中国人民银行及其分支机啊调查可疑交易活 动等有关反洗钱和反恐唏

7、融资工作信息予以保银行+存款人的银行结 算账户信息商业银行+个人信用信 息金融机构、特定非金融 机构+因反洗钱获取的 客户身份资料和交易信息金融机构、特定非金融 机构+因反洗钱/反恐怖 融资获知的客户身份资料、交易信息和反洗钱 和反恐怖融资工作信息证券公司、期货经纪公 司、基金管理公司、保险 公司、保险资产管理公 W 十因反洗钱/反恐怖融 资获知的客户身份资 料、交易信息取得支付业务许可讦的 非金融机构（叉勺机构） +区反洗钱/反恐怖融奥 获知的客户身份资料、 交易年息和反洗钱M反 恐怖融资工作信息8非银行支付机构网络支付业务管理方法 中国人民银行2015.12.28 发布中国人民银行金融10

8、构反洗钱和反恐怖融第九条从业机陶及其员工对依法履行反洗钱利 反恐怖融资义劣获得的客户身份资料和交易信互联网金融从业机构+区反洗钱/反恐性融资获资管理方法（试行）息应当予以保密。非依法律规定，不得向任何单知的客户身份资料、交1113中区人民银行、银保监 会、证监会2018.10.10 发布全国人大常委2019.12.18 修订信用评级业管理暂 行方法位和个人提供。从业机构及其员工应当对报告可疑交易、配合中 国人民银行及其分支机构开展反洗钱调查等有 美反洗钱和反恐怖融资工作信息予以保密，不得违反规定向任何单位和个人提供。第二十二条对依法履行反洗钱和反恐怖融资义 务获得的客户身份资料和交易信息，银行

9、业金融 机构及其工作人员应当予以保密；非依法律规 定，不得向任何单位和个人提供C第匹I 一条证券交易场所、证券公司、证券登 记结算机构、证券服务机构及其工作人员应当依 法为投资者的信息保密，不得非法买卖、提供或 者公开投资者的信息C级业名信息俣密制度.对于在开展信用评级业易信息和反洗钱和反恐 怖融资工作信息缴行业金融机构+因反 洗钱/反恐怖融资获得约 客户身份资料和交易信 息证券交易场所/证券公司 /证券登记结算机构/证 券服务机构+投资者的 信息信用评级机啊+开展评级过程中知悉的区家秘中国人民银行、发改 委、财政部、证监会2019.11.26 发布14网络借贷信息中介机构业务活动管理暂 行方

10、法银监会、工信部、公安 部、网信办2016817 发布密、商业秘密、个人隐私阈鲜借黄信篇中吮嘲L檄y 赍金存管初葩/其他将奏 绊包服务机檎小境内唳 集曲出喧A总息/偌嗽人 信息务、处理信用评级数据库系统过程中知悉的国家 秘密、商业秘密和个人隐私,信用评级机松J及其 从业人员应当依法履行俣密义务。第二十七条第款、第二款网络借贷信息中介 机构应当加强出借人与借款人信息管理,确保出 借人与借款人信息采集、处理及使用的合法性和 平安性C网络借贷信息中介机构及其资金存管机构、其他 各类外包服务机构等应当为业务开展过程中收 集的出借人与借款人信息俣密,未经出借人与信 款人同意，不得招出借人与借款人提供的信

11、息用干所提供服务之外的H的13.2 数据保密要求要点提示对于个人金融信息出境的要求逐步明确。 比照上表中规范性文件对于个人金融信息出境 的限制要求，我们可以看到如以下图中的变化。 一方面对于个人金融信息出境的限制不再一刀 切，将金融机构跨境开展业务的需要纳入跨境传 输监管的考量因素之中另一方面，出境的条件要 求逐渐增多以严格把控个人金融信息跨境传输 可能出现的风险。321相关主体在进行数据跨境传输时不能忽视 对传统数据保密合规义务的履行。保密义务的内 涵为,除法律法规另有规定外，不得向任何单位 或者个人提供此类数据信息。严格来看，这种金 融行业数据保密的要求制约着数据跨境传输至 其他主体的情形

12、。此外丁法律法规的另有规定“ 也一般指的是公权力介入要求提供相关数据信 息的情形。数据保密是金融机构较为传统的合规要求。 在21世纪初，金融行业数据跨境流动还未像现 在如此频繁以及受到重视的时候，监管就要求金 融机构就负有为存款账户信息、因反洗钱/反恐 怖融资获知的客户身份资料、交易信息、个人信 用信息等数据信息进行保密的义务。对于个人金融信息出境的要求逐步明确。 比照上表中规范性文件对于个人金融信息出境 的限制要求，我们可以看到如以下图中的变化。 一方面对于个人金融信息出境的限制不再一刀 切，将金融机构跨境开展业务的需要纳入跨境传 输监管的考量因素之中另一方面，出境的条件要 求逐渐增多以严格

13、把控个人金融信息跨境传输 可能出现的风险。321相关主体在进行数据跨境传输时不能忽视 对传统数据保密合规义务的履行。保密义务的内 涵为,除法律法规另有规定外，不得向任何单位 或者个人提供此类数据信息。严格来看，这种金 融行业数据保密的要求制约着数据跨境传输至 其他主体的情形。此外丁法律法规的另有规定“ 也一般指的是公权力介入要求提供相关数据信 息的情形。数据保密是金融机构较为传统的合规要求。 在21世纪初，金融行业数据跨境流动还未像现 在如此频繁以及受到重视的时候，监管就要求金 融机构就负有为存款账户信息、因反洗钱/反恐 怖融资获知的客户身份资料、交易信息、个人信 用信息等数据信息进行保密的义

14、务。从上表我们可以看到，在2000年至2010年间，数 据保密义务的主体主要为传统持牌金融机构， 如银行、信托投资公司、证券公司、期货经纪公 司、保险公司等。即使，2006年反洗钱法规定 “特定非金融机构,也应当对,因反洗钱获取的客 户身份资料和交易信息,履行保密义务，但并未 明确特定非金融机构有哪些，并且在第35条中 明确应当履行反洗钱义务的特定非金融机构 的范围、其履行反洗钱义务和对其监督管理的 具体方法，由国务院反洗钱行政主管部门会同国 务院有关部门制定J在2003年以后，电子商务 在我国开始兴起，非银行支付机构登上舞台。在 接下来的十年间，互联网技术与金融行业进一 步加速融合，蓬勃开展

15、。为应对高速开展过程中 不断涌现的问题，在2010年至今，监管部门针对 非银行支付机构、互联网金融从业机构以及信用 评级机构，制定了对客户身份和交易信息、消费 者金融信息、个人隐私信息、网络借贷中出借人 和借款人信息等数据信息的保密要求了特定非 金融机构契的范围逐步清晰。其实，不限于数据 保密的要求，由于互联网金融以及金融科技的 迅猛开展丁特定非金融机构掌握的数据量激增 和数据重要程度提升，针对特定非金融机构： 在对数据信息的跨境传输上的其他要求（如数据 本地化要求、数据出境的要求）上，也日渐向传统 持牌金融机构靠拢。数据保密要求的义务主体扩大。虽然我国金融科技开展起源可追溯至上世纪90年代，

16、但监管层次4其他数据跨境活动要求4.1条文梳理序号 规范性文件相关条文主体+义务1 金融机构反洗钱规 第8条中国人民银行依法履行以下反洗钱监 中国人民银行、中国反洗定督管理职责：（六：按照有关法律、行政法 钱监测分析中心依法与中国人民银行2006.11.14 发布规的规定，与境外反洗钱机构交换与反洗钱有 关的信息和资料。第六条中国人民银行设立中国反洗钱监测分 析中心，依法履行以下职责：（五：经中国 人民银行批准，与境外有关机构交换信息、资境外机构交换反洗钱有 关信息和资料2 银行业金融机构反洗钱和反恐怖融资管 理方法银保监会2019.1.29 发布证券法全国人大常委_2019.12.18 修订

17、业、|科。第三十条国务院银行业监督管理机构依法 履行以下反洗钱和反恐怖融资监督管理职责 （九）指导银行业金融机构应对境外协 助执行案件、跨境信息提供等相关工作。银行业监督管理机构指 导金融机构应对反洗钱 和反恐怖融下境外协助 执行、跨境信息提供4 金融机构反洗钱规定）中国人民银行2006.11.14 发布5 银行业金融机构反 洗钱和反恐怖融资管 理方法银保监会2019.1.29 发布支付机构反洗钱和 反恐怖融资管理方法 中国人民银行 2012.3.5 发布6第百七十七条第二款境弟证券监督管理机 构不穿在中华人民共和居境内宜岗进行调查取 证簪活动滤未锻国舞窿证舞监管修理机构和前 翁亮有关主管部门

18、同意督何单国和个人不得擅目向境稣提供自证券珪金活遴垄关的文件和第一百七十七船第一殿 国务滕证券监督管理 机构可以匏其他国索或者地区西网券监督管理 机桃霆豆监督管理告饪丸制，安融跨境监督管第I四条金融机构显其工作人员应当依法协 款、配合司法机笨和行谟执法机w打击洗钱活 晶特 金融机梅茂壕绰爰童粗楂应当豫科驻在国家或 老地国星藐教志囿的法律觐温哥助配合驻在 国嘉蕾:苍池区菽洗熬矶枸的工作口第二十六条第一款 银行业金融机构应当做好 境外洗钱和恐怖融资风险管控和合规经营工 作。境外分支机构和附属机构要加强与境外监 管当局的沟通，严格遵守境外反洗钱和反恐怖 融资法律法规及相关监管要求。第二条支付机构应要

19、求其境外分支机构和附 属机构在驻在国家（地区）法律规定允许的范围 内，执行本方法有关客户身份识别、客户身份资 料和交易记录保存工作的要求，驻在国家（地 区）有更严格要求的，遵守其规定。如果本方法 的要求比驻在国家（地区）的相关规定更为严 格，但驻在国家（地区）法律禁止或者限制境外 分支机构和附属机构实施本方法，支付机构应向中国人民银行报告。证券监督管理机构与境 外证券监督管理机构开 展合作，实施跨境监督管 理。金融机构的境外分支机 构+配合驻在国/地区监 管工作银行业金融机构境外分 支机构+配合境外监管要 求7!取得支付业务许可 证的非金融机构（支付 机构）+在驻在国/地区 法律允许范围内执行

20、 支付机构反洗钱和反恐怖融资管理方法4.2要点分析4.2.1 由监管部门直接负责的数据信息跨境传输。上表中的前三个文件列举了三种情形下的数据 跨境传输将由相关监管部门进行负责，金融机构 在其中如有数据信息跨境传输行为，需要接受监 管部门的监督指导或 一是向境外反洗钱机 构提供信息和资料二是应对境外协助执行的反 洗钱或反恐怖融资案件；三是向境外提供证券 业务活动有关的文件和资料。4.2.2 境外分支机构的数据信息提供义务。通过 上表中的后三个文件我们可以看至！，境外分支机 构在开展业务的过程中，为开展业务以及履行 反洗钱/反恐怖融资义务，将进行客户身份识别、 客户身份资料和交易记录保存等工作。在

21、此过 程中，可能存在两种形式向境外监管部门提供4.2.3 由监管部门直接负责的数据信息跨境传输。上表中的前三个文件列举了三种情形下的数据 跨境传输将由相关监管部门进行负责，金融机构 在其中如有数据信息跨境传输行为，需要接受监 管部门的监督指导或 一是向境外反洗钱机 构提供信息和资料二是应对境外协助执行的反 洗钱或反恐怖融资案件；三是向境外提供证券 业务活动有关的文件和资料。4.2.4 境外分支机构的数据信息提供义务。通过 上表中的后三个文件我们可以看至！，境外分支机 构在开展业务的过程中，为开展业务以及履行 反洗钱/反恐怖融资义务，将进行客户身份识别、 客户身份资料和交易记录保存等工作。在此过

22、 程中，可能存在两种形式向境外监管部门提供数据信息，一是由境外分支机构直接提供相关 数据信息二是，境外分支机构将相关数据信息 传输至境内总行/总部保存的，可能需要由总 行/总部向提供相关数据信息。由于第二种形式， 与由监管部门直接负责的数据信息跨境传输” 的情形存在重合，建议金融机构同样在相关监 管部门的监督和指导下进行。横向分析在对上述四个监管层次的要求进行横向比照分析后，我们认为需要关注以下方面：1 .数据本地化要求与数据出境要求我们认为，数据本地化要求和数据出境要求都是监管部门通过行政方式干预数据跨境流动的限制 性手段但是两者的侧重点不同。综合比对数据本地化要求和数据出境要求我们可以看至

23、!I ,存在三 种组合形式（如下表）:一是可以在境外存储但境内也应存储；二是仅要求在境内存储，但未限制跨 境传输；三是要求境内存储，同时限制/禁止跨境传输。组合1:可以在境外存储，但 境内也应存储组合2 :仅要求在境内存储， 但未限制跨境传输组合3 :要求境内存储，同时 限制/禁止跨境传输中，子银行业务管理方法银监会发布第十条（五:外资金融机构的电子银行业务运言系统加业务处理服务器可以设芭4 中华人民共夭国境内或境外。设看在境外时，应4中华人民共和国境内设者可以记录 和保存业务交易数据的设施设备.能够满足金融监管部门现场检查的要求，在出现法 律纠纷时，能够满足中国司法机构调查取证的要求C,农险

24、公司财会工作规范中国保险监督管理委员会（巳变率第八十二条保险公司财务信息系统中的业务、财务数据应当在中国境内存储.并进行 异地备份C中国人民银行关于银行业金融机构做好个人金融信息保护I件生通知2011.1.21 发布六、在中国境内提供的个人金融信息的储存、处理和分析应当在中国境内进行。除法 律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内人人金融信 息.对传统数据保密要求的突破效果同时，我们也关注到一些规范性文件关于数据跨境传输的规定，实质上产生了对传统数据保密要求的 突破效果。例如下表中，2000年国务院发布的规定中对个人存款账户数据做出保密的要求2011年1月 央行的文件中

25、要求,银行业金融机构不得向境外提供境内个人金融信息;且根据该文件，个人金融信 息包含了个人账户信息。但2011年5月央行上海分行的文件对前述两个文件都做出了突破，允许母行 与子行之间在满足一定条件下跨境传输个人金融信息。法律意义上，母行和子行是不同法人主体，也 即，子行向母行（或母行向子行M专输数据信息，可以理解为保密主体向其他单位传输数据信息，是突 破了保密要求的。但央行上海分行的文件提出对于母行与子行之间在满足业务必需+客户同意+确保 保密的条件下，跨境提供境内个人金融信息可不视为违规。此后，央行在2020年发布的JR/T0171-2020 个人金融信息保护技术规范，在确认上海分行的该种数

26、据跨境传输条件框架下，又添加了签订协议、 现场核查等要求，在一定程度上抵消了传统的数据保密合规要求对数字化时代下数据需要在业务 关联度较高的不同法人主体间跨境传递的负面影响a序号规范性文件涉及的数据信息要求1个人存款账户实名制规 个人存款账户信息 金融机构及其工作人员负有为个人存款账户的情况保定守秘密的责仃。国务院2000.3.20 发布中国人民银行关于银行 业金融机构做好个人金融 信息保护工作的通知 中国人民银行个人金融信息：个人身份 信息、个人财产信息、个人 账户信息、个人信息用信 息、个人金融交易信息、衍金融机构不得向任何单位或者个人提供有关人人款 账户的情况一并有权拒绝任何单位或者个人

27、查询、冻 结、扣划个人在金融机构的款项；但是，法律另有规定 的除外。在中国境内1.攵集的个人金融信息的储存、处理和分析 应当在中国境内进彳除法在法规及中国人民银行兄 有规定外，银行业金融机构不得向境外提供境内个人 金融信息。2011.1.21 发布生信息、业务过程中获取3关于银彳工业金融机构做好个人金融信息保护工作或保存炊其他个人名息C有关问题的通知中国人民索行上海分行 2011512 发布4（JR/T0171-2020 个人个融信息保护技术规范） 中国人民银行2020 2.13 发布个人金融信息：金融业机 的通过提供金融产品却服 务或者其他渠道获取、那 工和保存的个人信息。注1 ：木标准中的

28、个人金融 信息包括账户信息、鉴别 信息、金融交易信息、个人 打份总息、财产R息、信贷 信息及具他反映牯定个人 某些情况的信息a为客户办理业务用必需.且经客户书面授取或同意,境 内银行业金融机构向境外总行、母行或分行、子行提供 境内个人金融信息妁，可不认为违规。银行业金融机构 应当保证其境外总行、行或分行、子行为所获得的个 人金融信息保密c71 E在中华人民共和国境内棉供金融产品或服务过程 中收集和产生的个人金融信息,应在境内存储、公理M 分析。因业务需要.碓需向境外机构（含总公司、母公 司或分公司、子公司及其便为完成该业务所必需的美 联机构提供个人金融信息的,具体要求如下应符合国家法律沆规及行

29、业主管部门有关规定 应公行个人金融G后主体明示司意，应依据国家、行业有工帮门制京X刃、法与标龙尸展个 人金融信息出境平安评估,确保境外机构数据平安保 拼能力到达国家、行业有关部门与金融业机构的妥全 要求； 应与境外机构通也签订一.、现场核查等方式.明 并监督境外机构芍效履行个人会丽信息保密、数据州 除、案件协杳等职责义务C网络平安法数据跨境规制体系网络平安法（以下简称网安法）数据跨境规制体系主要是以其第三 十七条为中心展开的口关键信息基础设施的运营者在中华人民共和国 境内运营中收集和产生的个人信息和重要数据应当在境内存储，因业务 需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制

30、 定的方法进行平安评估；法律、行政法规另有规定的，依照其规定。”为便于研究，我们将该条拆分为如下表中的结构，并在下文中对在业务过 程中困扰企业较多的1 ）主体立键信息基础设施运营者,2 ）客体口个人 信息/重要数据以及3 ）要求口全评估这三项要素作出分析。数据本地化数据出境主体关键任怠基础设施运营者客体个人总息/重要数据境内运营中收集和产牛+因业务需萋平安评估例外法律、行政法规另有规定，依照其规定主体关键信息基础设施运营者（CIIO ）根据网安法第31条至39条丁关键信息基础设施的运营者T以下简称CIIO） 在个人信息和重要数据的跨境流动上受到较多限制，以及较一般网络运营 者，CIIO对于所持

31、有的关键信息基础设施（以下简称CII）负有更多的安 全保护义务，因此对于网络运营者来说，明晰自身是否运营CII意义重大。我们将与CII有关的重要文件或监管部门重要行动脉络进行了梳理，如下表:国家信息化领导小绢美于加强信息平安保障工作的意见提出“要重点保护基利信息网络 和和关系国家平安、经济命脉、社会稳定等方面的重要信息系统中央网络妥全和信息化领导小组第一次会议中,习近平提出建设网络强国,做B网络平安 和信息化工作，并提出进行关键信息基础设施保护立法工作中央网络平安和信息化领导小组批梏,尸展首次全国范围的关钳信息基础设施网络平安检 查工作网络安个法公布，章网络运行宣全第二节X 言息基础设施的运行

32、要全第三十一条国家对公共通信和信息潴务、能源、交通、水利、金融、公共服务、电子 政务等重要行业和领域，以及其他一旦遭到破坏、火欠功能或者数据泄露，可能严重危害 国家平安、国讨民生、公共利益的关键信息基就设施,在网络平安等级保护制度的基础上 丈行串点保护。关键信息基础设施的具体范围和平安保护方法由国务院制定。国家鼓励关 键信息基础设施以外的网络运营者自愿参与关键信息基础设施俣护体系C 第二I 一条按照区务院规启主立泰分工,负责美键信息基础设施平安保护工作的部匚 分别编制并组织实施本行业、本领域的关键假设息基础设施平安规划.指导和监督关键信息 基础设施运行平安保护工作C国家网佶办关键信息基础设施平

33、安保护条例（征求意见稿）:第十八条以下单八 管第的网络设旌和佶息系统一旦遭到破坏、丧失功能或者数 据泄露可能严重危害国家平安、国计民生、公共利益的，应当纳入关键信息基础设施保护:（一:政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用 事w等行|/领域发单传仁）电信网、广播电视网、互联网等信息网络以及提供云计算、大 数据和其他大型公共信臬网络服务的即、/:（二）国防科丁、大军装备、化：T、食为等行 业领域科研生产单位;（四）广播电台、电视台、通讯社等新闻单位;（五）其他重点单位C第I九条国家网信司国务院电信主管部门、么 31等部门制定关缤信息基础 设施识别指南。国家行业才汽

34、式勺 门按照关键七以基他.乂别指南组织识别本行 业、本领域的关键信息基础设施并按程序报送识别结果。关键信息基础设施识别认定过 程由应当充分发挥有关专家作用，提高关键信息基础设施识别认定的准确性、合理性和科 学性。两部国家标准征求意见稿公布信息平安技术关键缶息基础设施平安保障评,介指标体系（征求意见稿） 信息平安技术关窕信息基业设施平安检杳评仁坐南；征求意见稿）两部国家标准征求意见稿公布： 信息安个技术关键佶息基础设施网络安个保护要求（征求意见信息平安技术关键信息基础设施平安控制措施：彳止安意见制措中国人民银行发布中国人民银行职能配置、内设机构、人员编制规定,提出中国人民 银行的内设机构科技司负

35、责“拟订金融业信息化开展规划,承坦金融标正化组织管理协调 工作。指导协诺金融业网络平安和信息化建设以.融业关你佶息基体设施建设c编判并 推动落实金融科技开展规划，拟订金融科技监管基本规那么，指导办话金融科技应用。承当 中国人民银行科技管理、信息化规划和建设等工作J全国信安标委秘书处就在北京组织召开了国家标准信息平安技术关键信息基础设施取 络平安保护基本要求（报批稿）的试点工作启动会c本次试点工作在电信、广电、能源、 交通、金融、卫生健康等重点行业和领域选取了骁家单位作为标冲应用试点单位。中国 电子技术标正化研究院、中国信息平安浏讦中心、国家信息技术平安研究中心、国家II算 机应急技术处理协调中

36、心、公安部第三研究所、公安部第 研究所、国家工业信息平安发 展研究中心、中国互联网络信息中心等8家标浒编制单位作为第二方测评机构C金融行业监管部门数据跨境规制体系根据我们对金融行业监管部门数据跨境流动方面的规范性文件的检索 和分析，我们将金融行业的监管分为四个层次，分别为：数据本地化的要 求、数据出境的要求、数据保密要求以及其他数据跨境要求。下文将进行图表2 :不同类别的规范性文件数量2015年12月中撮网络平安宙查C2020 月TOTE 月公安部发布 意见，指出2020信息平安技术信息平安技术关键信息基拙设施平安防护能力评价方法（征求意见稿）根据我们对上表中的CII有关动态及规范性文件 的研

37、究和分析，我们认为金融机构从业人员需 要关注以下要点：1 .金融机构所运行、管理的网络设施和信息系统 一直作为关键信息基础设施监管涉及的重要对象从上表我们可以看到丁金融直作为重要行业 和领域被屡次提及，国家标准信息平安技术关 键信息基础设施网络平安保护基本要求（报批 稿）试点工作所选取的12家单位亦包含了金融 机构。2 .将可能由央行科技司具体负责金融业的关键 根据网安法第32条以及今年7月公安部发布贯 彻落实网络平安等级保护制度和关键信息基础 设施平安保护制度的指导意见，我们基本可以 明确，将由公安部指导和监督关键信息基础设施 的平安保护工作；重要行业和领域的主管、监管 部门负责制定本行业、

38、本领域CII认定规那么并报 公安部备案；主管、监管部门根据CII认定规那么识 别本行业、本领域的CII，并将认定结果报给公安 部并通知CIIO。另根据央行在2019年2月发布的 中国人民银行职能配置、内设机构、人员编制 规定，科技司将负责金融业的CII建设工作。综合 来看，金融行业领域内很可能由央行科技司主 要负责金融行业内CII的个认定规那么制定与认定 工作，并将规那么与认定结果报公安部。信息基础设施识别认定工作3 .关键信息基础设施平安保护条例预计今年 将会出台根据国务院办公厅今年6月份发布的国务院2020 年立法工作计划，国务院2020年拟制定、修订 的行政法规包括关键信息基础设施平安保

39、护条 例，由网信办、工信部、公安部起草。4 .关注贯彻落实网络平安等级保护制度和关键 信息基础设施平安保护制度的指导意见（以下 简称关保等保指导意见“）根据结合有关文件的解读，我们认为需要明确 关保等保指导意见传达出的如下信息：4.1 关键信息基础设施的保护（以下简称关保O 是在等保2.0,基础之上实行的重点保护根据网安法第31条对于关键信息基础设施,在网 络平安等级保护制度的基础上，实行重点保护 以及关保等保指导意见工作目标中提出的 “在贯彻落实网络平安等级保护制度的基础上， 关键信息基础设施涉及的关键岗位人员管理、 供应链平安、数据平安、应急处置等重点平安保 护措施得到有效落实，关键信息基

40、础设施平安防 护能力明显增强我们看出，如果说等保是面向 网络运营者的普遍义务，那么关保那么是针对CIIO 的特殊义务 伺样的，等保面向的一般的网络设 施和信息系统，关保那么是面向承载着重要行业 和领域的关键业务的网络设施和信息系统。4.2 等保与关保的异同点另外根据我们对涉及等保有关国家标准与关保 有关国家标准的比照梳理，我们认为有以下异 同点，可以帮助大家理解等保与关保的关系，以 及认识关保：4.2.1 关保和等保的对象都是网络设施和信息系 统，区别在于：等保面向的一般的网络设施和信 息系统，包括 基础信息网络、云计算平台/系统、 大数据应用/平台/资源、物联网（loT ）、工业控制 系统和

41、采用移动互联技术的系统等法保那么是 面向承载着重要行业和领域的关键业务的网络 设施和信息系统，关保和等保指导意见还特 别提出,基础网络、大型专网、核心业务系统、云 平台、大数据平台、物联网、工业控制系统、智能 制造系统、新型互联网、新兴通讯设施等,应作为 重点保护对象纳入CII范围。4.2.2 义务主体上，等保2.0体系下，网络平安 等级保护义务是基础的、普遍适用的，但关保针 对重要行业领域。义务要求上，关保的要求显然较等保要求更高。4.2.3 关保和等保范围都将按照认定规那么和一定 流程、程序来进行识别认定，区别在于：等保的认定规那么由GB/T 28448-2019信息平安技术网 络平安等级

42、保护测评要求等国家标准明确，但 关保的认定规那么需要由相应行业、领域的主管或 监管部门制定，是否公开还不明确。4.2.4 关保和等保范围都将由专门机构来识别认 定，区别在于等保的测评认定可由公安部认可 的测评服务单位提供但关保的认定将由相应行 业、领域的主管或监管部门负责。4.2.5 等保和关保的指导监督工作都由公安机关 负责，区别在于:等保二级以上的网络运营者只需 要至县级以上公安机关备案但关保的备案是由相 应行业领域的主管或监管部门报公安部备案。426保密要求上，我们认为，一般对于通过等保 测评认定的评级结果没有保密要求但是鉴于CII 与国家平安、国计民生、公共利益极为相关，因此, 某网络

43、设施和信息系统是否被认定为关键信息 基础设施这一信息很可能是保密的。5 .关注信息平安技术关键信息基础设施边界 确定方法（征求意见稿）x以下简称,边界确定 方法）前不久发布的边界确定方法为我们展现了 CII 边界确定的方法（如以下图）。此外，根据该文件， 我们也需要关注到，1 ）由行业主管部门认定的 关键业务是确定CII边界的前提，以及2油于关 键业务是开展变化的，相应的CII边界也应作出 及时调整。确定关键业务通过关键业务基础情况梳理，明确关键业务运行框架、组织结构、业务特 征、业务范围等信息；通台关键业务信息）情况梳理,厘清关键业务信息化建设、信息化管理、 信息化运维等信息,明确关键业务信

44、息的种类和作用，通过CII兀素梳理,分析关键业务信息（CBI）整个生存周期内的流动轨迹 （CBIF） ,梳理CBIF上的网络设施、信息系统.僚定CII侯选兀素，确定CII元素确定CII元素通过关键性评估，分析CI候选兀素对关键业务重要程度，一旦遭到攻击、 丧失功能或者数据泄露公严重危害关键业务持续、稳定运行的沏络设施、 信息系统列为CII元素；确定CII边界最后，根据关键业务运行框架等基础信息，明确CI元素分布、部署情况 确定CII边界客体令人信息/重要数据根据网安法第31条至39条;关键信息基础设施的运营者T以下简称CIIO）在个人信息和重要数 据的跨境流动上受到较多限制，以及较一般网络运营

45、者，CIIO对于所持有的关键信息基础设施 （以下简称CII）负有更多的平安保护义务，因此对于网络运营者来说，明晰自身是否运营CII 意义重大。1 .个人信息关于个人信息的定义和范围，网安法、GB/T 35273-2020信息平安技术个人信息平安规范 （以下简称个人信息规范”）都给了较为明确定义，特别是个人信息规范，提供了判定 某项信息是否属于个人信息的两条参考路径一是识别，即从信息到个人，由信息本身的特 殊性识别出特定自然人，个人信息应有助于识别出特定个人。二是关联，即从个人到信息，如 特定自然人，由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、 个人浏览记录等）即为个人信息

46、。符合上述两种情形之一的信息，均应判定为个人信息。此 外，个人信息规范的附录A给出了个人信息的举例，其中与金融行业较为相关是个人财产 信息二包括银行账户、鉴别信息（口令）、存款信息（包括资金数量、支付收款记录等）、房产信 息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑 换码等虚拟财产信息Y此外，根据我们为金融机构提供数据合规服务的经验，对于个人信息规范已列举出的个人 信息类型，需要按照关于个人信息保护的有关规定进行收集使用等处理行为，这一点并无太 多争议，但对于一些还未明确列举是否是个人信息，比方带有预测成分的个人用户画像，其 属性判定就需要依照前述,两条参考路径以及监管动向进行具体判定。2 .重要数据我们对重要数据有关的重要文件梳理如下表：2020年1月 年 7 F202C年7月网信办个人信息和重要数据出境平安评估方法（征求意见稿）关于重要数据定义 重要数据，是指与国家平安、经济开展，以及社会公共利益密切相美的数据，具体范 围参照国家有关标正和重要数据识别指南C信安标委发布国家标准信息平安技术 数据出境平安评估指有（征求意见稿）C该文件指出，重要数据是走，栏美组织、机构和个人在境内收集、产生的不涉及国家秘密.但与国家平安、经济开展以及公共利益密切相关的数据（包括原始数据和彷 生数据），一旦未经