金融業(yè)跨境數(shù)據(jù)流動管理辦法第一章總則第一條目的與依據(jù)為規(guī)范金融業(yè)跨境數(shù)據(jù)流動，維護國家金融安全、數(shù)據(jù)主權(quán)和用戶合法權(quán)益，促進金融市場開放與創(chuàng)新，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》及相關(guān)金融監(jiān)管法律法規(guī)，制定本辦法。第二條適用范圍本辦法適用于中華人民共和國境內(nèi)依法設(shè)立的金融機構(gòu)（包括但不限于銀行、證券、保險、信托、基金、支付機構(gòu)等）及其境外分支機構(gòu)、附屬機構(gòu)，以及向境內(nèi)金融機構(gòu)提供服務(wù)的境外機構(gòu)，在開展業(yè)務(wù)活動中涉及的跨境數(shù)據(jù)收集、存儲、傳輸、處理、使用、共享、銷毀等行為。第三條基本原則金融業(yè)跨境數(shù)據(jù)流動應(yīng)遵循以下原則：安全可控原則：數(shù)據(jù)流動應(yīng)以保障國家安全、金融穩(wěn)定和用戶數(shù)據(jù)安全為前提，建立健全安全管理機制。合法合規(guī)原則：數(shù)據(jù)流動應(yīng)符合中國法律法規(guī)及監(jiān)管要求，未經(jīng)授權(quán)不得擅自跨境傳輸數(shù)據(jù)。分類分級原則：根據(jù)數(shù)據(jù)的敏感程度、重要性及風險等級，對跨境數(shù)據(jù)流動實施差異化管理。開放合作原則：在確保安全的前提下，支持金融業(yè)合理利用跨境數(shù)據(jù)資源，提升國際競爭力。第四條監(jiān)管職責國家金融監(jiān)督管理總局（以下簡稱“金融監(jiān)管總局”）負責統(tǒng)籌協(xié)調(diào)金融業(yè)跨境數(shù)據(jù)流動的監(jiān)督管理，制定具體規(guī)則，指導和監(jiān)督金融機構(gòu)落實數(shù)據(jù)安全責任。中國人民銀行負責涉及金融基礎(chǔ)設(shè)施、支付清算、貨幣發(fā)行等領(lǐng)域跨境數(shù)據(jù)流動的監(jiān)管。國家互聯(lián)網(wǎng)信息辦公室（以下簡稱“國家網(wǎng)信辦”）負責統(tǒng)籌協(xié)調(diào)金融業(yè)數(shù)據(jù)跨境流動的安全評估、監(jiān)督管理和國際合作。其他相關(guān)部門按照職責分工，做好金融業(yè)跨境數(shù)據(jù)流動的協(xié)同監(jiān)管。第二章數(shù)據(jù)分類與分級管理第五條數(shù)據(jù)分類金融業(yè)數(shù)據(jù)分為以下類別：個人金融數(shù)據(jù)：包括個人身份信息、賬戶信息、交易信息、信用信息、財產(chǎn)信息等。金融機構(gòu)經(jīng)營數(shù)據(jù)：包括機構(gòu)財務(wù)數(shù)據(jù)、業(yè)務(wù)運營數(shù)據(jù)、風險管理數(shù)據(jù)、內(nèi)部管理數(shù)據(jù)等。金融市場數(shù)據(jù)：包括市場交易數(shù)據(jù)、行情數(shù)據(jù)、指數(shù)數(shù)據(jù)、宏觀經(jīng)濟金融數(shù)據(jù)等。國家金融安全相關(guān)數(shù)據(jù)：包括涉及金融穩(wěn)定、貨幣政策、反洗錢、反恐融資、跨境資本流動等敏感數(shù)據(jù)。第六條數(shù)據(jù)分級根據(jù)數(shù)據(jù)的敏感程度和風險等級，將金融業(yè)數(shù)據(jù)分為以下三級：|級別|定義|典型數(shù)據(jù)示例||:---|:---|:---||核心數(shù)據(jù)|一旦泄露、篡改或濫用，可能直接危害國家安全、公共利益或金融市場穩(wěn)定的數(shù)據(jù)。|國家金融戰(zhàn)略規(guī)劃、貨幣政策決策依據(jù)、大額跨境資本流動數(shù)據(jù)、關(guān)鍵金融基礎(chǔ)設(shè)施運行數(shù)據(jù)。||重要數(shù)據(jù)|一旦泄露、篡改或濫用，可能對金融機構(gòu)經(jīng)營、用戶權(quán)益或市場秩序造成較大影響的數(shù)據(jù)。|金融機構(gòu)核心業(yè)務(wù)系統(tǒng)源代碼、大額客戶交易數(shù)據(jù)、未公開的重大經(jīng)營決策信息、敏感個人金融數(shù)據(jù)（如生物識別信息）。||一般數(shù)據(jù)|除核心數(shù)據(jù)和重要數(shù)據(jù)之外的其他數(shù)據(jù)。|金融機構(gòu)公開的招聘信息、非敏感的客戶服務(wù)記錄、一般性市場資訊。|第七條分級管理要求核心數(shù)據(jù)：原則上禁止跨境流動，確需跨境流動的，須經(jīng)金融監(jiān)管總局、國家網(wǎng)信辦等部門聯(lián)合安全評估，并報國務(wù)院批準。重要數(shù)據(jù)：實行安全評估和審批管理。金融機構(gòu)因業(yè)務(wù)需要確需跨境傳輸重要數(shù)據(jù)的，應(yīng)向金融監(jiān)管總局和國家網(wǎng)信辦申報，經(jīng)安全評估通過后方可實施。一般數(shù)據(jù)：實行備案管理。金融機構(gòu)應(yīng)將跨境傳輸?shù)囊话銛?shù)據(jù)類型、用途、接收方等信息向金融監(jiān)管總局備案。第三章跨境數(shù)據(jù)流動的條件與程序第八條跨境數(shù)據(jù)流動的基本條件金融機構(gòu)開展跨境數(shù)據(jù)流動應(yīng)滿足以下條件：已建立健全數(shù)據(jù)安全管理制度和技術(shù)防護體系，具備數(shù)據(jù)安全風險識別、評估、監(jiān)測和應(yīng)急處置能力。數(shù)據(jù)接收方所在國家或地區(qū)的政治、經(jīng)濟、法律環(huán)境穩(wěn)定，數(shù)據(jù)安全保護水平不低于中國國家標準，且與中國有數(shù)據(jù)安全合作機制。數(shù)據(jù)接收方應(yīng)承諾遵守中國法律法規(guī)，采取與數(shù)據(jù)安全等級相適應(yīng)的保護措施，未經(jīng)許可不得將數(shù)據(jù)再轉(zhuǎn)移給第三方。涉及個人金融數(shù)據(jù)的，應(yīng)取得個人明確同意（法律另有規(guī)定的除外），并向個人告知數(shù)據(jù)跨境流動的目的、范圍、接收方及安全措施。第九條跨境數(shù)據(jù)流動的程序（一）核心數(shù)據(jù)跨境流動程序核心數(shù)據(jù)原則上不得跨境流動。因特殊情況確需流動的，金融機構(gòu)應(yīng)：向金融監(jiān)管總局和國家網(wǎng)信辦提交書面申請，說明數(shù)據(jù)跨境流動的必要性、用途、接收方、安全措施及風險評估報告。由金融監(jiān)管總局會同國家網(wǎng)信辦、中國人民銀行等部門組織專家進行聯(lián)合安全評估。評估通過后，報國務(wù)院批準。經(jīng)批準后，與數(shù)據(jù)接收方簽訂嚴格的數(shù)據(jù)安全保護協(xié)議，并定期向監(jiān)管部門報告數(shù)據(jù)流動情況。（二）重要數(shù)據(jù)跨境流動程序安全評估：金融機構(gòu)應(yīng)自行或委托第三方機構(gòu)對數(shù)據(jù)跨境流動的風險進行評估，形成評估報告。申報審批：向金融監(jiān)管總局和國家網(wǎng)信辦提交申報材料，包括數(shù)據(jù)跨境流動方案、安全評估報告、與接收方簽訂的協(xié)議等。審查決定：監(jiān)管部門在收到申報材料后60個工作日內(nèi)完成審查，作出批準或不予批準的決定。實施與備案：經(jīng)批準后，金融機構(gòu)應(yīng)按照批準的方案實施數(shù)據(jù)跨境流動，并將最終的實施方案向監(jiān)管部門備案。（三）一般數(shù)據(jù)跨境流動程序內(nèi)部審核：金融機構(gòu)應(yīng)建立內(nèi)部審核機制，對一般數(shù)據(jù)跨境流動的必要性、合法性和安全性進行審核。備案：在數(shù)據(jù)首次跨境流動前，將數(shù)據(jù)類型、用途、接收方、安全措施等信息通過金融監(jiān)管總局指定的系統(tǒng)進行備案。備案信息發(fā)生重大變更時，應(yīng)及時更新。記錄與追溯：對一般數(shù)據(jù)跨境流動情況進行記錄，確保數(shù)據(jù)流動可追溯。第四章數(shù)據(jù)出境安全評估第十條評估范圍以下情形的金融業(yè)數(shù)據(jù)跨境流動，應(yīng)進行安全評估：核心數(shù)據(jù)和重要數(shù)據(jù)的跨境流動。向境外提供個人金融數(shù)據(jù)，且數(shù)據(jù)量達到國家網(wǎng)信辦規(guī)定標準的。金融監(jiān)管總局或國家網(wǎng)信辦認為需要進行安全評估的其他情形。第十一條評估內(nèi)容安全評估主要包括以下內(nèi)容：數(shù)據(jù)跨境流動的合法性、必要性和合理性。數(shù)據(jù)接收方所在國家或地區(qū)的政治、經(jīng)濟、法律環(huán)境及數(shù)據(jù)安全保護水平。數(shù)據(jù)接收方的數(shù)據(jù)安全管理能力、技術(shù)防護措施及遵守中國法律法規(guī)的承諾。數(shù)據(jù)跨境流動可能帶來的國家安全風險、公共利益風險、金融機構(gòu)經(jīng)營風險和用戶權(quán)益風險。數(shù)據(jù)安全事件的應(yīng)急處置預案和責任追究機制。第十二條評估方式安全評估可以采取以下方式：金融機構(gòu)自行評估：適用于一般數(shù)據(jù)和部分低風險的重要數(shù)據(jù)跨境流動。第三方機構(gòu)評估：由金融監(jiān)管總局或國家網(wǎng)信辦認定的具備相應(yīng)資質(zhì)的第三方機構(gòu)進行評估，適用于高風險的重要數(shù)據(jù)和核心數(shù)據(jù)跨境流動。監(jiān)管部門組織評估：由金融監(jiān)管總局會同國家網(wǎng)信辦等部門組織專家進行聯(lián)合評估，適用于涉及國家金融安全的核心數(shù)據(jù)跨境流動。第十三條評估結(jié)果應(yīng)用安全評估結(jié)果是金融機構(gòu)開展跨境數(shù)據(jù)流動的重要依據(jù)。評估通過的，方可實施數(shù)據(jù)跨境流動；評估未通過的，金融機構(gòu)應(yīng)按照評估意見進行整改，整改后重新申請評估。第五章數(shù)據(jù)安全保護義務(wù)第十四條金融機構(gòu)的主體責任金融機構(gòu)是跨境數(shù)據(jù)流動安全的責任主體，應(yīng)履行以下義務(wù)：建立健全數(shù)據(jù)安全管理制度：制定跨境數(shù)據(jù)流動管理辦法、操作規(guī)程、應(yīng)急預案，明確各部門和崗位的安全職責。加強數(shù)據(jù)安全技術(shù)防護：采用加密、訪問控制、數(shù)據(jù)脫敏、安全審計等技術(shù)措施，保障數(shù)據(jù)在收集、存儲、傳輸、處理、使用等環(huán)節(jié)的安全。強化數(shù)據(jù)安全風險監(jiān)測與應(yīng)急處置：建立數(shù)據(jù)安全監(jiān)測體系，及時發(fā)現(xiàn)和處置數(shù)據(jù)安全事件；制定應(yīng)急預案，定期開展演練。加強員工數(shù)據(jù)安全教育培訓：提高員工的數(shù)據(jù)安全意識和操作技能，與員工簽訂保密協(xié)議，明確數(shù)據(jù)安全責任。定期開展數(shù)據(jù)安全評估：至少每年對跨境數(shù)據(jù)流動的安全狀況進行一次全面評估，形成評估報告，并報金融監(jiān)管總局備案。第十五條數(shù)據(jù)接收方的義務(wù)數(shù)據(jù)接收方應(yīng)承諾并履行以下義務(wù)：遵守中國法律法規(guī)和監(jiān)管要求，不得將接收的數(shù)據(jù)用于與約定不符的目的。采取與數(shù)據(jù)安全等級相適應(yīng)的技術(shù)和管理措施，保障數(shù)據(jù)安全。未經(jīng)金融機構(gòu)和監(jiān)管部門同意，不得將接收的數(shù)據(jù)轉(zhuǎn)移給第三方。配合金融機構(gòu)和監(jiān)管部門開展數(shù)據(jù)安全檢查和調(diào)查。發(fā)生數(shù)據(jù)安全事件時，應(yīng)立即通知金融機構(gòu)，并采取有效措施控制風險。第十六條個人金融數(shù)據(jù)保護特別要求金融機構(gòu)處理跨境個人金融數(shù)據(jù)時，除遵守本章規(guī)定外，還應(yīng)：遵循最小必要原則，僅收集和傳輸與業(yè)務(wù)相關(guān)的個人金融數(shù)據(jù)。向個人充分告知數(shù)據(jù)跨境流動的情況，保障個人的知情權(quán)和異議權(quán)。對個人金融數(shù)據(jù)進行匿名化或去標識化處理，降低數(shù)據(jù)泄露風險。不得向未達到中國個人信息保護標準的國家或地區(qū)傳輸敏感個人金融數(shù)據(jù)。第六章監(jiān)督管理與法律責任第十七條監(jiān)督檢查金融監(jiān)管總局、國家網(wǎng)信辦等部門有權(quán)對金融機構(gòu)跨境數(shù)據(jù)流動情況進行監(jiān)督檢查，包括：查閱、復制與跨境數(shù)據(jù)流動相關(guān)的文件、資料。詢問有關(guān)人員，了解跨境數(shù)據(jù)流動的情況。對數(shù)據(jù)安全技術(shù)措施進行檢測和評估。要求金融機構(gòu)就有關(guān)問題作出說明或提供相關(guān)材料。第十八條法律責任金融機構(gòu)違反本辦法規(guī)定的，由金融監(jiān)管總局、國家網(wǎng)信辦等部門按照職責分工，責令限期改正，給予警告，沒收違法所得；拒不改正或情節(jié)嚴重的，處五十萬元以上五百萬元以下罰款，并可以責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照；對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。數(shù)據(jù)接收方違反本辦法規(guī)定的，金融機構(gòu)應(yīng)立即終止與其的數(shù)據(jù)合作，并向監(jiān)管部門報告。監(jiān)管部門可以將其列入跨境數(shù)據(jù)接收方黑名單，限制或禁止其接收中國金融業(yè)數(shù)據(jù)；涉嫌違法犯罪的，依法追究法律責任。國家工作人員在跨境數(shù)據(jù)流動監(jiān)管工作中濫用職權(quán)、玩忽職守、徇私舞弊的，依法給予處分；構(gòu)成犯罪的，依法追究刑事責任。第十九條投訴舉報任何單位和個人有權(quán)向金融監(jiān)管總局、國家網(wǎng)信辦等部門投訴舉報金融業(yè)跨境數(shù)據(jù)流動中的違法違規(guī)行為。監(jiān)管部門應(yīng)及時受理并依法處理。第七章附則第二十條術(shù)語解釋跨境數(shù)據(jù)流動：指數(shù)據(jù)的收集、存儲、傳輸、處理、使用等行為涉及中國境內(nèi)和境外的過程。金融機構(gòu)：指依法設(shè)立的從事金融業(yè)務(wù)的銀行、證券公司、