来源:大成律师事务所
在当今数字化时代,电子化数据已然成为金融机构运营的核心资产之一,境外银行与金融机构在中国市场的发展也高度依赖各类数据的处理与交互。《网络数据安全管理条例》(“《条例》”)于2025年1月1日正式实施,该条例对境外银行金融机构的境内展业产生了广泛而深远的影响。
作为效力层级较高的行政法规,《条例》正式实施,对境外主体告知个人信息处理规则的形式、获取个人同意提出了全新标准,增强了未成年人个人信息保护,点明了网络产品服务的安全性要求和应急情形下的处理策略,为境外金融机构的数据合规运营锚定方向。本文以境外银行金融机构切入,从个人信息保护的角度分析《条例》的亮点并提出实操建议。
一、《条例》适用于在境内开展业务的境外银行与金融机构
《条例》明确了其对境外主体的适用性,境外银行与金融机构必须遵守《条例》的相关规定。《条例》第二条延续了《个人信息保护法》(“《个保法》”)在中国境外处理境内自然人个人信息的相关规定,对于境外机构以向境内自然人提供产品或者服务为目的,或分析、评估境内自然人的行为,将同样归属于《条例》的管辖范畴。
另外,《条例》更加着重于规制通过网络手段收集、存储、传输等获得的各种电子数据。具体而言,《条例》适用于在中国境内收集、存储、使用、加工、传输、提供、公开、删除等网络数据活动中,自主决定处理目的和处理方式的各类主体。
当下,网络信息技术愈发普及,数据电子化已成大势。凡是在境内开展业务,并通过互联网收集境内主体数据的境外公司,均需遵循《条例》要求。银行金融机构日常运营离不开网络,无论是收集、存储,还是传输、使用,涉及的数据均来自自然人与企业客户,使其当然具备网络数据处理者的属性,必然受到《条例》规制。于境内展业的境外银行金融机构而言,遵守《条例》是必然之举。
二、《条例》细化个人信息处理规则,强化合规监管
作为国务院出台的行政法规,《条例》在《个保法》等上位法的基础上,进一步细化了个人信息的处理规则,加强合规及监管要求。
(一)《条例》细化了个人信息处理规则的告知形式
相较于《个保法》较为原则性的规定,《条例》第二十一条作出进一步细化,即网络数据处理者通过制定个人信息处理规则的方式依法向个人告知处理个人信息的,应当“集中公开显示”,相关规则应当放置于“易于访问”且“醒目”的位置,内容必须通俗易懂且明确具体。在告知、收集及向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息时,应通过更加明了的“清单”等形式予以列明。
实践中,通过个人信息处理规则向个人告知个人信息处理的银行金融机构不在少数。然而,笔者发现,不少银行与金融机构往往选择把个人信息处理规则“隐匿”在其官方网站的边边角角,且内容隐晦曲折,深奥难懂。《条例》的出台,要求网络数据提供者及时作出对应调整,将个人信息处理规则以最直接明了的方式告知个人数据提供者,同时简化信息处理规则的语言。
(二)《条例》对基于个人同意处理个人信息提出了新要求
《条例》第二十二条在《个保法》的基础上细化了基于个人同意处理个人信息的要求。《条例》规定,网络信息处理者对于提供产品或服务需要获取个人同意的,除了遵守原则性的规定,由个人在充分知情的前提下自愿、明确作出外[1],还应注意收集信息的范围应严格限于提供产品或服务所必需。另外,在获取同意的手段上,不得通过误导、欺诈、胁迫等方式取得个人同意。对于个人已经明确表示不同意处理其个人信息的,网络信息处理者不得频繁征求其同意。
在现实生活中,我们不难碰到以下情形:某银行网站为获取用户同意,取得其个人信息,在其网站页面上设置了巨大且醒目的“同意”按键,与之形成强烈反差的,则是极为不清晰的“不同意”按键。在用户选择“不同意”后,仍通过各种胁迫性、诱导性话术引导用户再次选择同意,且频繁弹窗。这种违背用户真实意愿获取的同意显然属于被迫“同意”,违反《条例》的规定,若各机构在例行自查中发现相关情形的,需立即调整。
(三)《条例》进一步巩固了未成年人个人信息保护
《条例》第二十一条要求网络数据处理者处理不满十四周岁未成年人个人信息的,必须制定相应的未成年人信息处理规则。《条例》第二十二条第(三)项也规定,对于基于个人同意处理未成年人个人信息的,应当同时取得未成年人的父母或者其他监护人的同意。
未成年人由于心智尚未成熟,自我保护意识欠缺,既不明白个人信息有何价值、隐私是什么概念,也难以预估个人信息泄露或遭滥用会产生的后果。再加上当下未成年人接触互联网电子产品的时间越来越早,不经意间就容易泄露自身的个人信息,沦为个人信息受侵害的对象。鉴于此,承接《儿童个人信息网络保护规定》的相关要求,《条例》凭借行政法规的高位阶优势,进一步强化了对未成年人个人信息的保护力度。
(四)明确境外网络数据处理者的主管部门
《条例》第二十六条明确要求,境外网络数据处理者应在境内设立专门机构或指定代表,并向其所在地设区的市级网信部门完成信息报送义务。在《条例》出台之前,《个保法》仅在第五十三条原则性地要求境外个人信息处理者在境内设立专门机构或者指定代表,并将有关机构的名称或者代表的姓名、联系方式等报送“履行个人信息保护职责的部门”。笔者认为,“履行个人信息保护职责的部门”措辞较为模糊,于实践操作层面存在困难。
《条例》的出台将境外网络数据处理者的主管机关限定在了境内专门机构所在地“设区的市级网信部门”,并要求及时通报同级有关主管部门,为信息报送义务的可执行性及后续开展数据安全监管提供了前提条件。另外,笔者预期网信部门会就境外主体设立境内专门机构及履行信息报送义务出台更加具体的规范性文件,提供更具可行性的操作指引。
(五)出现数据安全事件时应启动紧急预案
《条例》第十条、第十一条要求网络数据处理者所提供的网络产品或服务符合国家标准的强制性要求,出现漏洞时应立即采取补救措施并及时通知用户,涉及国家安全、社会公共利益的,应当24小时内向主管部门报告。同时,对于发生网络数据安全事件的,立即启动预案,采取措施防止危害扩大,并按照规定向有关主管部门报告。
在境内展业的境外金融机构通常掌握大量个人数据及敏感信息,例如银行账户、生物识别信息、医疗健康信息等,很大程度上关系到金融系统稳定,社会公共安全乃至国家安全。《条例》要求网络数据处理者的产品服务合规,出现漏洞迅速补救、通报,发生安全事件即刻启动预案,是在强化事前预防与事后处置机制。境外银行需将自查、预案制定落到实处,否则,不但面临监管处罚,还可能因数据泄露引发信任危机,承担巨额民事赔偿责任。
三、对跨国银行金融机构的实务建议
总体而言,从个人数据保护的角度出发,笔者认为《条例》的出台对于从事跨境业务的境外银行金融机构而言设立了更加详细的合规标准。
首先,《条例》进一步细化了个人信息处理规则的告知义务及获取同意的方式,提升了对未成年人的个人信息保护。因此,对于境外金融机构,笔者建议对照《条例》更新个人信息处理规则,重点针对个人信息处理规则告知形式、获取同意的方式以及未成年人的信息处理规则完成修订,以通俗易懂、直截了当的形式完成告知义务,合法取得个人同意。
其次,《条例》明确了网络产品或服务的安全性要求及预案措施,对于保护公民数据安全、社会秩序乃至国家安全起到了重要作用。作为金融维稳的重要一环,境外金融机构需紧跟《条例》步伐,就现有网络产品及服务进行合规性排查,对应制定紧急预案措施,必要时还可提前演练,保障数据安全。
最后,《条例》要求境外网络数据处理者在境内设立专门机构或指定代表,并向其所在地设区的市级网信部门完成信息报送义务。目前,虽境外主体设立境内专门机构仍缺少明确的指引,在实践操作层面存在困难,但笔者预计网信部门会就此出台详细规定,为后续境外主体的监管铺平道路。笔者建议各境外机构留意最新法律动向,适时制定应对措施。
(原标题:大成研究 | 周亮等:跨国银行与金融机构的数据合规新航标——《网络数据安全管理条例》解读)
作者:
- 周亮,大成广州律师事务所高级合伙人;专业领域: 金融、公司与并购重组、资本市场、争议解决;电子邮箱:liang.zhou@dentons.cn
- 周嘉凝,大成广州律师事务所律师助理;电子邮箱:jianing.zhou@dentons.cn
特别声明:大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。