专业解读

2024年，道可特全新推出“专业领域宣传月”系列活动，围绕不同业务领域、结合实务经验进行线上、线下分享。8月，道可特启动“合规宣传月”，推出系列文章与直播，就数据合规、公司合规、劳动合规、刑事合规、税务合规等要热点话题进行分享。

研究丨金融信息服务企业数据合规实操指引（上）——准入监管、产品界定及交易模式

目录

四、企业数据合规实操要点
（一）金融信息数据的来源
（二）金融市场数据的分类
（三）金融信息数据的安全分级
（四）外部数据采集的合规
（五）个人金融信息数据采集的合规
五、金融数据跨境传输的新挑战
（一）中国数据流动规则评析
（二）金融数据入境法律冲突的审查
（三）数据流通的“充分保护”能力
（四）新版SCC对中国企业的影响

四、企业数据合规实操要点

在金融信息服务市场里，数据的流动构建了复杂多变的交互式生态系统。金融信息服务企业既是数据的提供者，也是数据的消费者。鉴于金融数据的重要性和复杂性，金融信息服务企业必须强化数据合规意识，加强风险防范意识，主动践行数据合规管理。

（一）金融信息数据的来源

金融信息的元数据来自股票市场、债券市场、货币市场、外汇市场、衍生品市场以及大宗商品市场等各类金融市场。各类金融市场在日常的发行、询价、交易、清算结算等各环节，会产生庞大的原始数据和衍生数据。

例如，货币经纪公司在从事撮合交易时，会产生源于经纪业务的原始数据，原始数据中包括交易机构为获得货币经纪公司的经纪服务而提供的原始报价信息和交易机构之间最终达成的成交意向价格信息。货币经纪公司在对原始数据中交易机构（交易员）信息、货币经纪公司内部信息等脱敏处理后，可以形成行情数据；在对原始数据采用复杂技术化手段进行深度分析处理、整合加工后可以产生独立于原始数据的功能性数据，称为加工数据。未经处理的原始数据是不能进行交易的，但货币经纪公司可以对外提供脱敏后的行情数据和加工数据，从而形成了金融信息数据的来源。

（二）金融市场数据的分类

目前，金融数据的主要包括：

1.交易数据：直接反映市场动态的数据类型，帮助投资者直观了解市场供需关系和流动性。包括金融产品的价格波动，如开盘价、收盘价、最高价、最低价，以及成交量等。

2.基准数据：包括各种指数、估值、定盘参考价和基准利率等，提供市场分析中评估和比较的标准。

3.基础数据：涵盖企业的基本信息，如工商信息、股权结构、财务报表、收入、盈利和市值等。帮助市场参与者深入了解企业的经营状况和市场表现。

4.宏观数据：涉及国家或地区的经济指标，包括通胀率、利率、GDP增长率、失业率等。帮助评估经济环境和制定经济政策。

5.衍生数据：通过对基础数据进行加工和分析得到的指标，例如各种财务比率和市场指数，提供深层次的市场洞察研究和量化分析工具。

6.资讯和新闻：包括市场情况、政治局势、经济新闻和公司行为的报道。对市场情绪和预期有即时影响，帮助交易决策。

7.另类数据：来自非传统数据源的信息，如社交媒体、卫星图像、互联网搜索记录和商业过程数据等。与传统金融数据相比，另类数据具备数据量大、实时性高、数据种类多、结构多样的特点。

（三）金融信息数据的安全分级

基于金融数据的敏感性和重要程度，由弱到强，JR/T 0197-2020《金融数据安全—数据安全分级指南》将金融数据分为五个等级。

一级数据：通常是可公开或公众可获取的数据，如个人主动公开的信息，对企业合法权益影响轻微。

二级数据：适用于金融业机构一般业务使用，可能对个人隐私或企业合法权益造成中等或轻微影响，但不影响国家安全。

三级数据：用于关键或重要业务，对公众权益或个人隐私及企业合法权益的影响程度为严重，但不影响国家安全。

四级数据：主要用于大型或特大型机构的重要业务，包含个人金融信息中的C3类信息，对公众权益或个人隐私及企业合法权益的影响程度非常严重，但不影响国家安全。

五级数据：重要数据，对国家安全、社会秩序、公众利益与金融市场稳定具有重要影响。

其中，四级数据中的个人C3类金融信息属于高敏感等级的数据，主要包括用户鉴别信息，如银行卡磁道信息、银行卡密码、网络支付密码、账户登录密码、交易密码以及生物识别信息等。C3类信息不应共享、转让，不得委托处理，以确保其安全性和保密性。对于C3类信息的收集、传输、存储、使用、删除和销毁等环节，都应采取严格的安全防护措施，如使用加密技术保证数据的保密性，防止未经授权的第三方获取。

合规重点识别上，一、二级金融数据影响较轻，五级数据需采取特别加密保护措施，企业应当重视数据中是否包含三级数据和四级数据，并重点进行安全管理。

（四）外部数据采集的合规

根据中国人民银行JR/T 0223-2021《金融数据安全 数据生命周期安全规范》标准，金融数据采集指金融业机构在提供金融产品和服务、开展经营管理等活动中，直接或间接从个人金融信息主体，以及企业客户、外部数据供应方等外部机构获取数据的过程。

参考JR/T 0223-2021要求，金融信息企业向外部机构采集金融信息数据，应当注意以下合规要点：

1.与外部机构通过合同协议方式采集；

2.确认采集经过数据主体授权，保证授权与采集内容一致，确保数据的合规性、完整性、真实性；

3.数据采集前开展数据安金影响评估，系统批量采集应采用密码技术确保数据的完整性，人工批量采集通过安全环境控制、权限控制，数据采集要有日志记录，对数据采集实体进行认证；

4.对于3级数据：对数据采集实体进行多因素增强认证；

5.对于4级数据：全流程动态实体认证，能够进行阻断和二次认证，采集数据加密，不允许人工采集。

律师提示：一是在数据交易前，应对数据来源、数据内容、数据安全保护程度进行合规评估，尽到数据采购方的合理审查义务；二是使用规范的数据交易合同文本，合同中应明确数据交易的授权客体、授权对象、授权类型、数据使用目的、使用范围、使用限制、权利归属等条款，以及数据安全及个人信息保护的陈述与保证。

（五）个人金融信息数据采集的合规

参考JR/T 0223-2021《金融数据安全 数据生命周期安全规范》以及JR/T 0171—2020《个人金融信息保护技术规范》等的要求，金融信息企业向个人金融信息主体采集数据，应当注意以下事项：

1.确认采集经过数据主体授权，保证授权与采集数据内容一致，确保数据的合规性、完整性、真实性；

2.停止提供金融服务或产品时，应停止相关数据采集；

3.客户端不留存3级以上数据，清理缓存，系统批量采集应采用密码技术确保数据的完整性，人工批量采集通过安全环境控制、权限控制等，数据采集要有日志记录，对数据采集实体进行认证；

4.纸质数据转换电子数据，对表单操作进行授权，3级以上数据进行专项审批，表单流转金程监控审计，保证转化过程中数据的完整性和保密性；

律师提示：金融信息服务企业要拟定与自身数据保护能力相匹配的数据隐私保护政策等对外公开的数据保护制度。数据隐私保护政策应当包含对数据采集者、处理者的介绍、用户的各项数据保护权利、采集范围、使用范围、数据采集-分级分类-清洗-匿名化处理-传输-存储-销毁等全流程周期保护、数据保护应急措施、数据保护负责人及负责机构的设置、隐私及喜好设置及用户选择权等介绍；并注意不可夸大其词或者虚假宣传。

五、金融数据跨境传输的新挑战

（一）中国数据流动规则评析

跨境数据传输是双向维度，包括数据入境和数据出境。目前，以《网络安全法》、《数据安全法》和《个人信息保护法》为基本法律框架，以《数据出境安全评估办法》、《促进和规范数据跨境流动规定》、自由贸易试验区负面清单等的特别规定为配套，中国数据出境法律体系已经初步形成。整体而言，中国企业的数据出境需要满足网信部门安全评估，采取认证或订立标准合同等方式进行。

对于数据入境，主要涉及我国作为数据接收国，如何接收来自欧盟、美国等的境外数据，以及中国规则与国际规则之间的兼容和协调。目前，我国态度比较模糊，也没有普适性的法律规定或者配套规范。我国参与的《区域全面经济伙伴关系协定》（RCEP）中，在扩大贸易的基本宗旨下，允许数据跨境流动，但仅主要聚焦货物买卖过程中的信息发布和合同认证，并没有基于RECP认可在区域全面经济伙伴之间数据传输的互认和互通。目前，中国主要通过数据传输的互认制度来促进数据的双向跨境流动。目前已经开展的互认包括：《关于中德数据跨境流动合作的谅解备忘录》、与新加坡的数字政策对话机制、《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》等。

（二）金融数据入境法律冲突的审查

境外个人金融信息的入境，可能涉及中外法律适用冲突的问题。一般而言，跨境金融数据产品的持有者，会依据所在国家或地区的法律要求，制定全球统一的数据管理制度及个人信息保护的隐私政策。在跨境传输的过程中，可能会产生不同国家法律规定上的冲突。

例如，一家总部位于英国的外国机构，要向中国提供其国际化的金融信息数据服务，使用的是全球统一的隐私保护政策，法律依据是英国国内数据法律法规要求。在涉及未成年人隐私保护时，很可能会产生以下法律冲突：按照《英国通用数据保护条例（UK GDPR）》的规定，儿童提供个人数据同意的最低年龄是13岁，按照《欧盟通用数据保护条例（EU GDPR）》，儿童提供个人数据同意的最低年龄是16岁；我国《个人信息保护法》则为14周岁。需要予以识别并及时进行本地化协调和解决。

（三）数据流通的“充分保护”能力

数据跨境传输首先需要考察数据接收国法律保护水平和实践表现。目前，中国的数据保护制度和实践水平尚落后于欧美等发达国家，尚未达到“充分保护标准”。笔者认为，这种“充分保护”有两个维度，一是对国内企业和个人，要能够有效保障国内企业和个人的数据安全和隐私，不能随意由欧美等国家随意调取和使用，争取国际数据传输规则的话语权和制定权；二是对于欧美的企业和个人，要保障在其数据进入中国境内后，能够得到等同于境外水平的同等保障，唯有如此，才能增强中国市场的安全性和吸引力，吸引来华投资。

美国。美国历来主张全球数据跨境自由流动，并要求各方减少以隐私、个人信息保护以及国家安全等理由对数据流动进行限制，其核心在于实现美国互联网企业及政府部门的最大利益。[1]美国《澄清合法域外使用数据法》（CLOUD法）授予美国监管、执法和司法部门通过国内法律程序调取美国公司存储在境外的数据。2024年2月28日，拜登政府依据《国际紧急经济权力法》（IEEPA）发布了一项保护美国人个人敏感数据免遭“受关注国家”利用的行政命令，旨在保护美国人的个人敏感数据不被“受关注国家”利用。这些国家包括中国、俄罗斯、朝鲜、古巴、委内瑞拉和伊朗。该命令特别关注个人敏感信息，如基因组数据、生物识别数据、个人健康数据、地理位置数据、财务数据等，并要求政府部门制定高标准的网络安全规则，防止数据通过美国的数据经纪人流向这些国家。2024年3月，《美国隐私权法》（The American Privacy Rights Act，以下简称“APRA”）草案公布，旨在构建统一的联邦数据隐私权，并提出了数据最小化原则，赋予个人控制其信息去向的权利，并要求企业在处理数据时遵循合理必要性和适当性加强数据主体权利的保护。

欧盟。欧盟的跨境数据规则为个人隐私保护设置了全球最严格的门槛，并适用于欧洲经济区（EEA），包括所有欧盟国家以及冰岛、列支敦士登和挪威。欧盟GDPR第45条规定：当欧盟委员会决定第三国、第三国的某一地区、某个或多个特定的部门或某国际组织已经确定达到充分的保护标准时，数据便可以不经任何特别授权向第三国或国际组织转移。欧盟欧盟委员会确定了15个达到了充分保护标准的国家和地区，目前中国不在此名单内。[2]2023年7月10日，欧盟委员会批准了《欧盟-美国数据隐私框架》，该协议本质上是一份“充分性决定”，其结论是，美国确保在新框架下对从欧盟传输到美国公司的个人数据提供足够水平的保护，即与欧盟的保护水平相当，因此，个人数据可以安全地从欧盟流向参与该《框架》的美国公司，而无需采取额外的数据保护措施。简言之，除非欧盟以“充分性决定”的方式承认与第三方国家的数据传输，否则第三方国家就必须要满足欧盟的单边法律规定。

（四）新版SCC对中国企业的影响

欧盟在2021年9月更新了国际数据转移文件SCC(Standard contractual clauses）。其中增加了 P-C场景，即欧洲数据处理者向欧洲外数据控制者传输个人数据的场景，涉及到境外数据的入境问题，更意味着，如果欧盟企业向中国境内企业传输个人信息时，中国境内企业作为欧盟外数据控制着将承当更多义务和更严格的连带责任。

新版SCC还特别关注数据接收国政府调取数据的行为。当中国企业收到中国政府数据访问请求，应评估该请求的法律效力，并告知欧盟数据提供方。姑且不论企业是否有权直接向欧盟方报告并对中国监管部门的政府行为做出评估，即便中国企业可以评估和报告，也会增加守约成本和合规成本。

此外，新版SCC对中国出海企业进行数据跨境传输提出以下两点要求：第一，企业须定期向欧盟行政机关报告本国数据隐私保护的立法动态与司法实践；第二，要求数据传输者证明其持续地遵守了合同约定，并要求在每签订一份标准合同的同时都需要开展影响评估，预估第三国的法律规定及实践做法是否会影响合同履行。有学者认为，前述规定提高了对数据传输者的问责水平，为降低合规成本，我国企业可能需要在基础设施建设、数据处理等方面寻求与当地企业合作，同时在特定领域还要申请当地政府作出行政审批等，与数据在虚拟空间借助信息技术实现的跨境传输相比，无疑需要投入更高的成本，如基础设施建设、场地租金及管理成本，成为我国企业“走出去”的障碍。[3]

数据接收国的法律保护水平和实践表现已成为吸引外资入境投资的前提条件。作为全球数字经济第二大国，中国应当尽快确立完善的数据跨境流动规则，以增强我国在数据要素的权属界定、定价机制、数据监管与保护、以及全球数字治理参与等方面的能力及国际话语权。一方面,可以帮助我国出海企业减少其在数据跨境传输上的阻碍，更好的应对欧美数据博弈带来的规则严格化倾向；另一方面，数据要素的流动应当是双向流动，既有出境也有入境，只有提高本国数据保护水平，才能争取在全球数据规则中的地位和话语权，吸引国外优秀企业和投资人来华投资，做到引得进，做得稳，留得住。

参考文献

1.孙南翔:《跨境数据流动规制的模式差异、协调路径与中国方案》，《法治社会》2024年第3期。
2.欧盟委员会根据GDPR和LED认可以下国家或地区为欧盟个人信息的国际传输提供了充分保护：安道尔、阿根廷、加拿大（商业组织）、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、韩国、瑞士、英国、美国（参与欧盟-美国数据隐私框架的商业组织）和乌拉圭。https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en，最后访问时间2024年8月8日。
3.梅傲，《数据跨境传输规则的新发展与中国因应》，法商研究，Vol.40 No.4(2023)。

作者简介

王丽波
上海办公室 合伙人

业务领域：房地产建筑、公司法律顾问、数据合规治理、ESG

邮箱：wanglibo@dtlawyers.com.cn