《数据安全法》里金融机构无法回避的四个问题

扫描分享

本文共字，预计阅读时间。

文/北京观韬中茂（上海）律师事务所合伙人王渝伟、北京观韬中茂（上海）律师事务所律师陈坤

导言

《数据安全法（草案）》（以下简称“草案”）7月初发布，不仅引起法律圈的一片热议，金融从业的朋友也十分关注。本篇不是对草案的逐条解读，目前草案还是一审稿，很多条文的具体内容估计还会有不小的改动，所以现在就逐条解读在我们看来意义不大，但是，草案所传递出来的一些立法思路以及制度安排上的考量确实值得好好品评与解读。本文正是基于这样的思路，从金融领域业务实践出发，分析解读了草案传递的几个金融机构无法回避的问题。希望能够为金融领域的从业者特别是从事金融合规的朋友提供一些观察视角。

问题一：金融机构数据分级分类与重要数据识别

《数据安全法（草案）》

第十九条国家根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用、对国家安全、公共利益或者公民、组织合法权益造成的危害程度，对数据施行分级分类保护。

各地区、各部门应当按照国家有关规定，确定本地区、本部门、本行业重要数据保护目录，对列如目录的数据进行重点保护。

第二十五条重要数据的处理者应当设立数据安全负责人和管理机构，落实数据安全保护责任。

第二十八条重要数据的处理者应当按照规定对其数据活动定期开展风险评估，并向有关主管部门报送风险评估报告。

风险评估报告应当包括本组织掌握的重要数据的种类、数据量，收集、存储、加工、使用数据的情况，面临的数据安全风险及其应对措施等。

数据的分级分类保护与重要数据的特别保护并不是草案第一次提出，但是草案作为《国家安全法》的下位法而且是涵盖所有数据安全的基础性立法，再次提出上述要求，数据的分级分类保护及重要数据特别保护制度或将成为未来数据安全领域的基本制度。

回到金融领域，由全国金融标准化技术委员会（SAC/TC 180）归口并且主要由中国人民银行科技司和中国银行保险监督管理委员会起草的金融行业标准--《金融数据安全数据安全分级指南（送审稿）》（以下简称“送审稿”），就直接对应了草案中数据分级分类保护与重要数据特别保护的制度安排。该送审稿核心的内容就是数据安全定级以及重要数据的识别，可以说金融领域的数据分级分类及重要数据识别工作早就有条不紊的进行着了。

《金融数据安全数据安全分级指南（送审稿）》

附录C

重要数据的内容可包括宏观特征数据、海量信息汇聚得到的衍生特征数据、行业监管机构决策和执法过程中的数据，以及关键信息基础设施网络安全缺陷信息等，如：

——宏观特征：可反映不可更改或长时间保持稳定的经济特征、社会特征的数据；

——海量信息汇聚得到的衍生特征数据：汇聚后覆盖多省市的金融消费者真实交易信息；

——行业监管机构决策和执法过程中的数据：行政机关、执法机关在履职或执法过程中收集和产生的不涉及国家秘密且未公开的受控数据；

——关键信息基础设施网络安全缺陷信息：网络设备、服务器、信息系统等有关漏洞信息。

重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

其中，金融业重要数据通常能够反映与金融机构或政府财政职能范围内的职责、交易或其他方面的相关信息，此类信息包括但不限于金融机构持有的客户信息，如：银行业、保险业及证券期货业各金融机构、非银行支付机构以及为上述机构提供清算服务的特许清算机构在经营过程中收集或产生的数据；金融业机构网络与信息系统规划建设、运行维护、安全保障等数据；中央银行、金融监管部门、外汇管理部门工作中产生的不涉及国家秘密的工作秘密等。

虽然送审稿也提到“金融业机构所承载重要数据的识别和认定工作应遵照国家及行业主管部门有关规定执行。资料性附录C描述了重要数据的性质和内容，仅供金融业机构开展数据安全分级工作时参考使用。”但该行业标准对于金融机构未来识别重要数据仍具有重要的参考意义。

此外，我们关注到在法律责任上，一方面，从目前草案对于重要数据处理者的安全保护义务要求以及法律责任的规定来看，是远远高于非重要数据处理者的；另一方面，数据处理者如违反相关义务最终可能承担的法律责任或不止于行政责任，也可能承担刑事责任。因此，掌握着大量个人金融信息以及关系国家金融安全数据的金融机构，特别是大型或特大型金融机构，一定要关注本机构的数据定级以及重要数据识别工作。

问题二：金融数据交易与数据中介

《数据安全法（草案）》

第十七条国家建立健全数据交易制度，规范数据交易行为，培育数据交易市场。

第三十条从事数据交易中介服务的机构在提供交易中介服务时，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。

部分境外地区或国家有比较成熟的数据经纪商（Data Brokers）制度，数据经纪商可以为金融机构提供营销获客、金融风控、征信、金融产品定价等业务相关的商业化数据服务，其数据来源主要是政府数据、公开数据、商业来源以及其他数据供应商，可以说成熟的数据经纪商（Data Brokers）制度为境外发达的金融市场发展提供了重要的数据支撑。从目前的立法来看，虽然没有法律明确规定数据交易是不合法的，但近年来很多与数据服务有关的机构，包括各地的大数据交易中心似乎都不太愿意正面提及“数据交易”这项业务。究其原因，一方面是因为数据行业发生的一系列负面新闻特别是涉及刑事案件的事宜似乎都能跟“数据交易”沾上边，另一个更重要的原因，还是因为到目前为止也没有哪一部法律明确的告诉大家“数据交易”是合法的。草案可以说第一次明确了国家对于数据交易制度的支持，也第一次在中国法语境下提出了“数据中介”这一概念。当然也不要错误理解所有数据交易都合法，数据交易制度仍然是建构在目前关于数据相关立法基础之上的，交易是否合法仍然需要以符合其他法律法规为前提。

未来我国的数据中介服务是否会参考境外的数据经纪商制度，来构建和完善我国的数据交易市场和数据交易中介服务制度还未可知，但我们已经能从前几日公布实施的《商业银行互联网贷款管理暂行办法》（以下简称“暂行办法”）中瞥见其雏形——监管层对合法合规进行数据交易的正面引导、规制商业银行审慎开展与合作机构的合作行为的诸多举措。面对商业互联网贷款业务快速发展过程中暴露出来的风险管理不审慎、对合作机构粗放管理、个人金融数据信息保护不得当等问题，暂行办法以风险管控为主线，对互联网贷款过程中的风险数据使用、与合作机构的合作方式等方面制定了详细的监管指引，构建了一整套合作方式及合作机构风险管控机制——包括：商业银行的合作机构准入机制要求，商业银行与合作机构的合作协议要求，商业银行向借款人披露合作相关信息的要求，以及商业银行对合作机构进行管理和持续评估要求等。更如，暂行办法第三十三条，对于“商业银行从合作机构获取借款人风险数据”的要求，可以视作监管层对商业银行及合作机构在“数据合作/交易”过程中行为的规制，对草案第三十条的在金融业务领域的直接践行。这些规定，彰显了监管层对金融数据交易制度和交易行为规制的初步构思，需要受到金融机构的重视。另外，从4月9日《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》（以下简称《意见》）提出的“加快培育数据要素市场”，也能看出，数据交易制度及其配套的制度安排将成为支撑起我国培育数据要素市场的基石。

而对于金融机构数字化转型、实现金融科技创新突破重要工具的大数据、人工智能等技术的应用都有赖于大量的数据支撑，因此下一步如何在关注数据安全、个人隐私保护的前提下利用好数据交易制度带来的数据红利将是众多金融机构亟需思考的。

最后，再补充一个作者自己的观察，那就是未来数据交易的模式可能会随着联邦学习、多方安全计算、可行执行环境等隐私计算解决方案的成熟而发生根本性变化，一种既能保证数据安全及隐私合规又能完全释放数据流动价值的数据交易/合作模式将改变传统数据交易一直游走在法规政策灰色地带的尴尬，或将成为建构未来数据交易制度的另一条绿色通道。

问题三、金融机构数据本地存储与境外执法机构调取

《数据安全法（草案）》

第三十三条境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告, 获得批准后方可提供。中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的,依照其规定。

在草案之前，我国的《国际刑事司法协助法》第四条也有类似规定，“非经中华人民共和国主管机关同意，外国机构、组织和个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动，中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。”上述条款以及草案的规定在本质上属于针对外国长臂管辖的“封阻法令”（the blocking statutes）[1]。其实欧盟GDPR也有类似的规定，其主要目的是，在数据本地化制度的基础上，通过采取针对境外执法机构调取数据的限制性措施，来应对类似美国Cloud法案所带来的影响——损害数据所在国对其境内数据的管辖权以及可能带来的国家安全隐患。

中国人民银行2011年《关于银行业金融机构做好个人金融信息保护工作的通知》中规定“除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息”。因此在美国Cloud法案、欧盟《电子证据条例》以及英国《犯罪（海外执行命令）法案》等域外取证相关法律越来越普遍的情况下，中资金融机构越来越多的可能面临法律冲突带来的窘境：如，2019年，三家中国的银行在美因为相关案件拒绝配合美国法院调取存放在美国境外的客户信息而被美方调查。上述问题如何破，金融机构需要对于立法监管动态的敏感度更需要智慧。

草案第三十三条的出台，表明着监管层，一方面，对外，在数据出境上设置重重关卡，以应对境外执法机构随意调取数据而带来的危害，展现对于美国CLOUD法案等类似数据调取规则的强硬态度。另一方面，对内，也可以预见，在数据本地化的道路上，对金融等相关数据的境内存储要求将越来越严格。因此，草案关于境外机构在获准后才能调取本地化存储数据的规定，应当引起金融机构的关注。

问题四、金融业务场景在线数据处理与经营许可

《数据安全法（草案）》

第三十一条专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或者备案。具体办法由国务院电信主管部门会同有关部门制定。

根据《电信业务分类目录（2015）》，在线数据处理与交易处理业务（B21）属于第二类增值电信业务，是指利用各种与公用通信网或互联网相连的数据与交易/事务处理应用平台，通过公用通信网或互联网为用户提供在线数据处理和交易/事务处理的业务。在线数据处理与交易处理业务包括交易处理业务、电子数据交换业务和网络/电子设备数据处理业务。从事此类业务，需要向电信主管部门申请在线数据处理与交易处理增值电信业务许可证（EDI），且存在外资限制。

根据有关部门反馈的意见来看，大数据、新零售、物联网、平台交易等很多新业态都可能纳入在线数据处理业务中。目前金融领域中已经大量引入了大数据、人脸识别、人工智能技术，并应用到风控、反欺诈、KYC、反洗钱、产品定价等数据处理业务场景中。按照草案第三十一条的规定，未来金融机构在自建前述业务系统对外提供在线数据处理等电信业务服务，或者引入外部提供此类服务的供应商时，可能就需要特别考虑相关业务资质的办理和审核问题。

[1]洪延青对《数据安全法》的理解和认识 | 中国版的封阻法令

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文版权归原作者所有，如有侵权，请联系删除。首图来自图虫创意。