适用场景
面向中国境内自然人提供金融产品或服务的境外财富管理机构(如私人银行、资产管理公司、家族办公室等),在通过KYC流程获取、处理中国客户个人信息时,必须关注中国数据出境合规要求。
核心要点
1. 中国数据法规具有域外效力
根据《个人信息保护法》,只要处理活动的目的是向中国境内自然人提供产品或服务,即使处理行为发生在境外,也受中国法律管辖。这意味着境外机构在为中国客户进行KYC时,必须遵守中国的数据出境规定。
2. 违规后果严重,影响业务与商誉
不遵守规定可能导致行政处罚(包括高额罚款)、业务应用程序被叫停,甚至追究直接责任人员的个人责任(如罚款、禁业)。此外,若因不合规导致数据无法出境,将直接错失客户和商机,损害机构声誉。
3. 合规义务主体与路径选择
在典型的境内合作方转介客户场景下,境内合作方是主要的申报和评估责任方。但境外机构作为数据接收方,有义务配合提供其数据安全保障能力的证明文件,并与境内方订立符合要求的法律文件。数据出境需根据情况选择安全评估、认证或标准合同等法定路径。
4. 破除常见合规误区
仅遵守GDPR等境外隐私法规,并不等同于满足中国法要求,必须依据中国新规单独审视和调整业务流程。同时,并非所有数据出境都需要申报安全评估,但达到特定门槛(如通过境内金融机构转介、数据量级大等)则必须申报,需提前规划。
实务建议
- 主动梳理业务流程,绘制涉及中国个人信息的跨境数据流转图(Data Mapping),明确各环节责任方。
- 提前准备一套用于回应境内合作方数据安全尽职调查的标准化资料包,包括数据安全政策、技术措施、认证证书等,以提升响应效率。
- 与境内合作方明确数据出境合规责任划分,并确保订立的法律文件(如合同)充分约定双方的数据安全保护责任。
- 针对必须进行安全评估申报的场景,为长达45个工作日以上的审批周期预留充足时间,避免影响客户开户与业务推进。
- 将中国数据合规要求纳入集团全球合规政策考量,或为中国业务设立灵活的本地化合规执行机制。
风险提示
- 切勿认为遵守GDPR等国际规则就已足够,必须单独满足中国法的特定程序与实体要求。
- 避免因境外机构合规部门不配合提供尽调资料,导致境内合作方无法完成风险评估,最终致使业务停滞、客户流失。
- 注意《个保法》下的个人责任风险,境内业务团队负责人可能因违规行为面临罚款和任职限制。
- 警惕“走捷径”思维(如仅通过微信群传输客户信息),需根据完整的业务模式和信息链路进行合规判断,否则仍可能构成违规。
- 数据出境安全评估结果具有不确定性,材料准备不充分可能导致审查终止,需专业、严谨对待。