适用场景
所有涉及金融业务、处理用户金融数据或进行跨境数据传输的中国出海企业,无论是否持牌金融机构,均需关注。尤其适用于数字化转型、金融科技创新、或App出海的企业,以及与金融机构有数据合作的第三方服务商。
核心要点
1. 监管框架深化与细化
2023年中国金融监管格局确立“一行一局一会”,并成立国家数据局,标志着金融数据合规治理进入更系统、更精细的阶段。人民银行、证监会等部门相继发布数据安全管理办法及配套指引,将数据保护全面纳入金融监管体系。
2. 数据跨境流动机制成熟与便利化
数据出境安全评估、标准合同、个人信息保护认证三大合规路径已基本落地。同时,国家网信部门发布《规范和促进数据跨境流动规定(征求意见稿)》,并推出粤港澳大湾区等区域性便利化措施,旨在降低合规成本。
3. 新兴技术与数据要素监管并进
随着AIGC等人工智能技术兴起,相关服务管理办法及行业标准相继出台,对AI应用中的数据训练、个人信息保护提出要求。此外,数据要素市场建设加速,数据资产入表制度逐步推开,推动数据价值化。
4. 执法力度持续加强
2023年金融领域数据合规罚单数量和金额显著增长,重点关注消费者个人信息保护、数据安全管理、第三方合作风险、个人征信及监管数据报送质量。App违规收集使用个人信息、强制索权等问题仍是监管重点。
5. 2024展望:监管分工与政策利好
预计2024年金融数据安全与个人信息保护的监管分工将进一步明确,数据跨境流动便利化措施有望落地。同时,在“数据要素×”行动计划下,金融数据要素流通和创新应用将迎来更多政策支持。
实务建议
- 建立健全数据合规管理体系:参照国家及行业最新规定,建立完善的数据分类分级、全生命周期管理、个人信息保护、网络安全防护等内部制度和技术措施。
- 严格落实数据跨境合规要求:评估数据出境场景,选择合适的合规路径(安全评估、标准合同、认证),并密切关注《规范和促进数据跨境流动规定》及区域性便利化政策的落地细则。
- 加强第三方合作数据安全管理:对外包服务商进行全面尽职调查,签订明确的数据安全协议,定期审计其数据处理活动,确保第三方合作中的数据安全与合规。
- 关注新兴技术应用合规:对于AIGC等人工智能技术在业务中的应用,应提前评估潜在的数据安全、个人信息保护和伦理风险,确保算法备案、数据训练和内容管理的合规性。
- 提升App个人信息保护水平:确保App已完成备案,严格遵循“告知-同意”原则,避免过度索权、强制授权及违规收集使用个人信息,并定期自查App隐私政策和权限管理。
- 重视数据资产管理与报送准确性:探索数据资产入表实践,确保数据资源相关信息的准确披露。同时,加强金融统计和监管数据报送的质量控制,避免因数据不真实、不及时而受罚。
- 定期开展合规审计与员工培训:针对个人信息保护、数据安全等领域进行常态化合规审计,及时发现并纠正问题;加强员工数据安全意识和合规操作培训。
风险提示
- 多头监管与规则交叉风险:金融监管机构重组及国家数据局成立后,可能出现监管职责交叉或规则衔接不畅,企业需密切关注监管动态,避免遗漏合规要求。
- 高额罚款与个人责任:数据合规违法成本高昂,不仅企业面临巨额罚款,相关责任人也可能被追责,甚至面临禁业处罚。
- 第三方合作风险传导:将数据处理外包给第三方并不意味着责任转移,若第三方出现数据泄露或违规行为,委托企业仍需承担连带责任。
- 新兴技术合规边界模糊:AI等新兴技术发展迅速,相关监管规则仍在探索中,企业在创新应用时可能面临合规边界不清晰的挑战。
- 重要数据与关键信息基础设施认定不确定性:目前金融领域重要及核心数据、关键信息基础设施的认定规则尚待明确,可能影响企业对自身数据资产的风险评估和保护措施。