【资料图】

近日，在由国务院发展研究中心金融研究所和广东省地方金融监督管理局共同主办的第五届粤港澳大湾区金融发展论坛上，天达共和律师事务所大湾区办公室管委会主任林泽军表示，金融数据的流通是大量国际贸易、国际投资活动得以正常进行的必要基础，跨境金融的发展必然会导致海量金融数据的跨境。他强调，金融机构必须高度重视，确保金融数据出境合规

林泽军介绍，无论从业务、合规、监管三方面看，金融数据跨境的流通具有必要性。特别是在强调粤港澳大湾区金融的合作协同发展时，金融数据的跨境流动更具有重大意义且必不可少。“但是，金融数据的跨境流动在带来便利的同时，也潜藏着一系列风险。金融数据与个人隐私及企业合法权益、公共权益乃至国家安全密切相关，金融数据的跨境流动也必然意味着风险的复杂化、扩大化及不可控。金融机构必须高度重视，确保金融数据出境合规。”

因此，在林泽军看来，随着国家对网络及数据安全领域的重视，近年来以《数据安全法》、《网络安全法》、《个人信息保护法》为基础三大顶层立法陆续出台，在金融数据跨境合规监管层面形成了金融行业专项监管与网信部门专项监管两条路径并行的局面。金融数据以“境内储存、出境评估“为原则，确有必要出境的则应经过特定程序及路径确保安全合规。“就数据出境而言，以上三部顶层立法提出三种合法路径，第一种是经过网信部门的安全评估，第二种是经专业机构进行个人信息保护认证，第三种是与境外接收方订立个人信息出境标准合同。”

对于金融数据出境的相关路径，林泽军针对性提出了4点建议和参考：

第一，确认自身是否存在数据出境的需求。根据相关规定，金融数据出境主要包含两种方式：一种是数据处理者将在境内运营中收集和产生的数据传输、存储至境外；另一种是数据处理者收集和产生的数据存储在境内，而境外的机构、组织或个人可访问或调用。

第二，确认主体身份，即自身是否属于关键信息基础设施运营者（CIIO）或处理100万人以上个人信息的数据处理者。只要满足这两个条件，无论数据的内容、规模如何，只能选择安全评估路径。

第三、确认出境数据的类型。如果出境的数据包含重要数据，则必须选择安全评估路径；如果仅为个人信息且仅在特定主体间传播，可选择个人信息保护认证路径；没有上述两种情况的，可选择标准合同路径。

第四，确认出境数据的规模。跨境处理的数据规模达到一定标准后只能选择安全评估路径，其它两种路径只能在此标准以下选择适用。

此外，林泽军表示，在金融数据出境过程中，尤其需要注重对个人信息尤其是对个人敏感信息的保护，根据国内监管趋势，目前金融监管部门对金融机构的处罚重点也是在个人信息保护上。前述三种路径下，向有关部门申报或备案的前提也均包含要求对企业个人信息保护影响进行评估。

关键词：