网络安全和数据保护已成为银行业的普遍规范,但这并不意味着银行就可以高枕无忧。银行必须时刻警惕网络攻击,并紧跟当地司法辖区的监管形势,对监管变化了然于胸。
近年来,中国内地有三部重要法律生效:《网络安全法》《数据安全法》和《个人信息保护法》。相关最新进展是去年9月生效的《数据出境安全评估办法》和今年6月生效的《个人信息出境标准合同办法》。这两项法规代表上述三项法律中有关数据出境的规定正式落地实施。
根据上述法规,参与数据出境的银行和其他企业需要:
- 评估自己是否达到国家网信办规定的门槛,以及
- 选择合适的路径来管理数据出境活动。
如果达到数据出境安全评估门槛,企业既可以向国家网信办申请批准,也可以向国家网信办提交签署的标准合同和其他相关材料。如果企业自上年1月1日起累计向境外提供100,000人的个人信息(如电话号码或电子邮件地址)或者10,000人的敏感个人信息(如银行详细信息或健康记录),则达到评估门槛。
对于达到评估门槛的银行,第一步应进行自评估,并向国家网信办提交。银行需要在申请中说明数据出境的理由。对于全球性银行来说,各地业务相互关联,数据出境对于反洗钱和了解客户等工作至关重要。但是,鉴于此类银行的规模和全球经营性质,需要涵盖广泛的潜在数据出境场景,导致申报提交工作更加复杂。
向国家网信办申请批准的截止日期为2023年3月。因此,达到评估门槛的银行和企业已提交申请资料,目前正在等待监管机构的审批或其他意见。
采取下一步行动,确保自评估获国家网信办批准
到目前为止,国家网信办已出具少量审批意见。然而,由于相关法律适用范围之广,申请量之大,监管机构审批全部申请尚需时日。对于数据处理量大、复杂程度高的大型企业(如全球性银行),这一过程可能耗时更长,监管机构审批每份申请所需的时间也会更长。
作为流程的一部分,金融机构还必须完成额外的步骤,因为国家网信办在出具审批意见之前需要与国家金融监督管理总局协商。国家金融监督管理总局作为新设的监管机构,取代原中国银行保险监督管理委员会。这是中央政府近期实施的监管机构重组的一部分。
国家网信办目前正在处理企业申请,并已向部分申请人提供反馈,要求它们提交补充信息和文件。这意味着银行有机会采取补救措施,并咨询第三方专家协助完善申请。
在满足追加条件的前提下(例如对特定数据传输场景进行整改),部分银行可能获得监管机构有条件的批准。
尽管新法提出了新的合规要求,推动企业在华经营方式发生重大改变,但银行的处境可能好于许多其他行业的企业。金融机构在全球范围内受到良好的监管,银行通常习惯于应对监管要求。此外,在中国内地经营的外资银行也熟悉中国监管机构的办事流程和期望。
同样受数据出境新规影响的其他行业企业,例如酒店、零售商和打车平台公司,可能认为这个流程更加困难,因为这是它们从未经历过的。
标准合同
标准合同适用于未达到数据出境自评估门槛、无需向国家网信办申报备案的企业,因此可能会影响部分在华经营的中小型外资银行。值得注意的是,标准合同适用于个人信息出境。当银行向国家网信办提交标准合同时,还需要提交个人信息保护影响评估报告。
根据这项规定,受影响的企业需要按照监管机构的期望修改数据出境流程,还需要安排中国本地实体与海外集团总部(即境外数据接收方)签署标准合同。这项工作的截止日期是2023年6月1日,但设有六个月的宽限期,给企业时间确保合规。
标准合同与全球性银行已经熟悉的欧盟《通用数据保护条例》有诸多相似之处,但在适用范围和申报备案义务方面存在一些差异。其中一项关键要求是,所有实体需要确保数据的境外接收方签署标准合同。对于外国分支机构来说,接收方可能是区域总部。标准合同采用中文,由于是政府文件,在签署前不能进行修改(例如翻译)。
因此,境外签署方可能需要外部第三方的协助,以确保在签署前充分了解标准合同及其对业务的影响。
展望未来
尽管数据出境规定和标准合同是中国法律,企业必须在中国内地申报备案,但许多利益相关方位于香港、亚太其他地区或其他司法辖区。由于此等法律对所有在华开展业务的企业均意义重大,因此香港的企业高管也有必要充分了解网络安全和数据出境发展态势。
由于兹事体大,市场参与者需要获得指引,以确保正确开展审批流程。随着监管要求不断变化,合规成本也是一个考虑因素。为了找到经济高效的合规途径,部分外资银行已向第三方咨询公司寻求帮助。
只要有新法出台生效,企业都会面临新的挑战。中国的网络安全格局未来预计继续演变。展望未来,银行应继续升级程序和工具包,以符合当下的要求,并时刻关注监管机构未来可能发布的进一步指引。
