香港牛魔王管家婆彩图i澳门葡京,香港牛魔王管家婆彩图i葡京,香港牛魔王管家婆彩图i葡京...,香港牛魔王管家婆彩图i葡京…,香港牛魔王管家婆彩图i三五

保驾数据出境“安检”护航金融机构数据跨境合规

时间:2022-08-02 02:49来源:未知 作者:admin 点击:
近期国家互联网信息办公室(网信办)和全国信息安全标准化技术委员会(信安标委)秘书处针对个人信息保护法(个保法)中所提到个人信息出境的条件(即安全评估,安全认证,订立合同)的落地实施,发布了以下法规和标准: 上述法规和标准对数据跨境,特别是个

  近期国家互联网信息办公室(“网信办”)和全国信息安全标准化技术委员会(“信安标委”)秘书处针对个人信息保护法(“个保法”)中所提到个人信息出境的条件(即安全评估,安全认证,订立合同)的落地实施,发布了以下法规和标准:

  上述法规和标准对数据跨境,特别是个人信息的跨境传输提出了更新的要求。对于跨国大型金融机构和在国外开展业务的本地金融机构来说,个人信息和重要数据跨境的场景存在于日常业务开展的方方面面:境外系统直接采集和处理境内数据、境内外系统间的数据流转、境内外员工之间传输邮件和即时通讯都可能涉及个人信息或重要数据的跨境传输。《办法》、《标准合同》和《认证规范》的如约而至,标志着数据出境的合规工作正式进入了落地实施阶段。各大金融机构需要参考以下三条合规路径着手开展数据跨境的合规工作。

  个人信息和重要数据跨境的三条合规路径概括如下。注意:目前对于重要数据出境,只有路径1是适用的;对于个人信息出境,所有三条路径均适用:

  1.企业符合以下条件之一的, 适用于《办法》,可通过数据出境安全评估+数据出境安全自评估实现数据跨境合规

  2.企业同时符合以下条件的,适用于《标准合同》(征求意见稿),可通过标准合同 + 个人信息保护影响评估实现数据出境合规

  3.企业符合以下条件之一的,适用于《认证规范》,可通过个人信息保护认证实现数据出境合规

  从监管主体来看,《办法》的正式实施意味着金融机构在数据跨境这个话题上,除了人行、银保监、网安等监管部门外,还需要和网信部门进行对接。这一点需要引起金融机构的重视。

  从数据类型来看,金融机构在在引入客户、日常交易的过程中会不可避免地会在境内收集和处理到一些非公开的个人信息,比如对私业务收集的客户个人信息、对公业务的公司高层(法定代表人、董事、监事、股东等)的个人信息等,因此个人信息对本地金融机构是普遍适用的;而对于重要数据,目前的一个共性挑战是没有非常具体的重要数据识别标准或清单,这对金融机构如何准确识别潜在的重要数据带来了较大的挑战,

  从数据跨境的合规路径来看,由于目前个人信息保护认证的落地细则尚待明确。故通过数据出境安全评估和标准合同是企业应该重点关注两条合规路径。此外,香港彩141期跑马图,考虑到上述重要数据的识别问题,它也可能进一步影响到出境合规路径的选择。

  根据《办法》第二十条,2023年3月1日之后不符合《办法》规定的数据出境活动必须终止。因此金融机构应该尽快开展数据出境自评估,对不符合办法的情形进行整改。比如尽快拟定和与境外接收方签署数据跨境合同,推进数据本地化项目,终止非必要信息出境,组建境内的治理和技术支持团队,关闭非必要境外对境内系统的访问权限,进行个人信息匿名化,数据储存和传输的加密等整改措施。

  对于跨国金融机构来说,数据出境的场景可能发生在开展业务和日常管理的方方面面,比如使用全球统一的HR/财务系统/客户风险管理/交易系统,境内外系统间的数据流转,使用境外共享平台来储存文件等。

  但随着对数据跨境立法的不断完善,监管力度的不断加强,跨国金融机构面临着必须逐渐减少对总部技术和管理架构的依赖,香港好彩免费料大全,转而进一步加大中国本地的数据跨境治理投入的局面。

  在人员架构上:提升中国本地的数据合规团队的规模,以牵头开展数据跨境合规工作。对于在本地经营跨多种业态的大型金融机构来说,由于不同行业的客户类型、业务属性、行业数据合规要求、自身跨境需求可能不尽相同,因此需要考虑在各子公司逐渐建立数据合规管理能力。

  在系统架构上:推进数据本地化项目,特别对涉及禁止境外存储的数据(比如个人金融数据,国家秘密等)。同时,涉及大量个人信息和重要数据的系统,也需要优先进行数据本地化整改,并加强针对数据跨境管理的技术管控措施。

  在制度建设上:金融机构应尽快建立或完善本地的数据跨境管理制度、流程(比如数据出境清单模板,数据出境自评估流程,数据出境安全评估申请流程,数据出境标准合同模板,个人信息保护影响评估报告流程与模板等)。此外,制度体系中定义的流程也应尽量与系统架构中的流程化平台挂钩,以进一步提升数据跨境管理的自动化程度。

  在管理和技术保护措施上:金融机构尽快梳理出数据跨境的各个场景(特别是涉及个人信息和重要数据的),并进行数据跨境安全自评估,根据自评估结果对数据发送方和接收方进行管理措施和技术措施上的整改。比如:落实数据的分级分类、数据收集范围最小化、数据去标识化、储存和传输加密、访问控制等。

  另外,各大金融企业还需要主动和监管部门进行对数据出境相关监管要求进行沟通交流,并在和主管部门的交流中加深对数据跨境相关法规中的重要概念以及行业监管重点的理解。

  《办法》第十四条中提到数据出境安全评估报告的有效期为2年,且一旦出现影响出境数据安全的情形就需要重新申报评估。这意味着而数据出境合规并不是一次性工作,而一项重要的常态化工作。这项常态化数据跨境合规工作需要企业做到:

  对于数据出境需求和场景及其复杂,且相关方数量繁多的金融企业来说,如何高效的将出境数据安全的管理和技术保障机制融入到业务和系统中,是一项急待解决的难题。有些金融机构已经开始了这方面的探索,比如将与中国业务相关的业务系统转移到单独的中国域进行专门的管理,或者建立数据出境管理平台来集中管理和监控所有数据出境活动等等。

  对于跨国的金融机构来说,其境外总部所处国家的监管机构,也会出于本地合规需要,要求金融机构提供监管所需信息,例如可疑交易监控、AML/KYC管理、监管数据报送等,在这类活动中也可能涉及诸如客户信息、交易信息等较为敏感的数据跨境情况。

  此类情况是跨国金融机构在数据跨境管理中最常见的痛点。在中国开展业务首先要满足中国监管部门对数据跨境、数据本地存储的合规要求,特别是上文提到的数据跨境清单梳理、数据跨境常态化管理、数据出境自评估等。此外,还应与本地监管保持良好的沟通,在合规的大前提下合理、灵活地开展数据跨境工作。

  毕马威网络安全团队具有专业的网络安全管理和技术能力,拥有丰富的金融行业项目经验,并曾向多家大型跨国金融集团以及本地金融机构提供个人信息保护合规,数据跨境合规,数据安全体系建设相关的网络安全咨询服务。

  在数据跨境合规方面,毕马威帮助本地的金融机构建设数据跨境合规制度体系,梳理数据跨境场景并创建数据跨境清单,协助开展数据跨境自评估和整改。毕马威网络安全团队致力于解决跨国金融机构和本地金融机构在数据跨境合规上的痛点,提供有针对性的定制化数据跨境合规咨询服务。

  本文内容仅供一般参考用,并非针对任何个人或团体的个别或特定情况而提供。虽然我们已致力提供准确和及时的资料,但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。

Power by DedeCms