适用场景
涉及跨境金融业务的中国出海企业,特别是处理支付、征信、反洗钱、跨境人民币、银行间市场交易等业务的企业,在业务规划与运营阶段均需关注。
核心要点
1. 明确适用范围:聚焦央行监管业务领域
新规主要适用于央行承担监督管理职责的业务领域,如货币政策、跨境人民币、支付清算、征信、反洗钱等。即使企业主要受其他金融监管部门(如国家金融监管总局、证监会)监管,但只要涉及上述央行业务,其相关数据处理活动也需遵守此办法。
2. 核心义务:数据分级分类与敏感性标识
企业需对数据进行分级,并进一步根据泄露危害程度,将数据项敏感性分为一至五级。结构化数据需逐一标识层级,非结构化数据需按所含最高层级标识。不同层级对应不同的安全保护义务,层级越高,要求越严格。
3. 重要数据处理者的额外责任
被认定为重要数据处理者的企业,需承担更严格的义务,包括明确数据安全负责人、定期开展风险评估并报送报告、对数据处理活动进行全流程记录等,以强化对核心数据的保护。
4. 数据出境与境外调取的双重限制
数据出境需遵守现有法律法规(如数据出境安全评估)。特别需要注意的是,非经中国人民银行等主管部门批准,企业不得向国际组织或外国金融管理部门提供存储于中国境内的数据,这为应对境外长臂管辖提供了合规依据。
实务建议
- 立即梳理业务:识别企业哪些业务线属于央行监管范畴(如跨境支付、反洗钱报告),并划定相关数据处理活动的范围。
- 启动数据资产盘点:对涉及央行业务的数据进行分类分级,并按照五级敏感性模型进行标识,建立数据资产目录。
- 评估重要数据状态:参照行业标准与监管动态,判断所处理数据是否可能被认定为“重要数据”,并提前准备履行相应义务。
- 建立数据出境审批流程:针对向境外提供数据(包括应境外监管要求提供)的情形,设立内部审批机制,确保符合境内存储规定及出境安全评估要求。
- 完善记录与报告机制:对数据出境规模进行年度测算并保存记录;如属于重要数据处理者,需建立定期风险评估与报告制度。
风险提示
- 切勿认为非纯金融机构就可豁免:只要业务涉及央行监管领域(如通过支付机构收款、进行跨境人民币结算),相关数据处理就必须合规。
- 避免数据分级流于形式:敏感性分级需与实际业务风险挂钩,并落实到具体的数据项,否则无法满足细化的保护要求。
- 严禁规避数据出境评估:不得故意拆分、缩减出境数据规模以规避申报数据出境安全评估,此行为将被追责。
- 谨慎应对境外监管数据调取要求:在未获国内主管部门批准前,不得直接向境外金融监管机构提供境内数据,否则可能违反中国法律。
- 注意义务的叠加性:企业可能同时需满足不同监管机构的数据规定,需做好合规义务的整合与管理,避免遗漏。