北京金融科技产业联盟：2023金融数据保护治理白皮书

金融数据保护治理白皮书何军聂丽琴秦凯靳晨居崑刘巍何浩杨波李杰靳新杨扬王雪编审：黄本涛郭栋刘宝龙皮书参编单位：北京金融科技产业联盟秘书处中国工商银行股份有限公司北京银联金卡科技有限公司中金金融认证中心有限公司北京国家金融科技认证中心有限公司蚂蚁科技集团股份有限公司中电金信软件有限公司华控清交信息科技(北京)有限公司成方金融信息技术服务有限公司中国银联云计算中心交通银行股份有限公司中国光大银行股份有限公司中国人寿保险(集团)公司建信金融科技有限责任公司深圳市洞见智慧科技有限公司华为技术有限公司南京三百云信息科技有限公司同盾科技有限公司深圳市腾讯计算机系统有限公司皮书一、概述 1(一)发展背景 1(二)发展现状 7二、国内外数据保护政策、法律和标准 18(一)国际数据保护政策和法律 18(二)国内数据保护政策和法律 25(三)国内相关标准 31三、金融数据保护治理重要关注领域 38(一)分类分级识别与保护 38(二)数据出域探究 46四、金融数据保护治理体系 65(一)数据保护治理主要框架介绍 65(二)金融数据保护治理总体框架建议 71(三)组织建设 73(四)管理体系建设 75(五)技术支撑建设 89五、发展展望 103皮书(一)聚焦实操问题，加快数据保护实施标准建设 103(二)优化数据保护技术，推动数据共享良性循环 104(三)强化数据安全评估，建立闭环式管控体系 104附录A：金融业数据保护治理实践案例 106案例一：工商银行数据保护治理实践 106案例二：光大银行数据保护治理实践 111案例三：中国人寿数据保护治理实践 116案例四：蚂蚁集团数据保护治理实践 119附录B：其他行业数据保护治理实践案例 127案例一：沪杭甬高速工业互联网数据保护治理方案 127案例二：基于隐私计算技术的政务数据保护和应用 132附录C：数据出域相关法律法规标准 137皮书本课题围绕数据保护治理的金融实践、发展现状，探索和标准化相关能力要求，归纳总结相关建设范式，推进数据保护、治理在金融领域的研究应用。皮书1(一)发展背景1.面临挑战，积聚风险随着信息科技的飞速发展，以数据为核心的数字经济正成为驱动全球经济增长的新动力。金融领域也是如此，国务院金融稳均提到要大力发展数字金融，数字技术驱动金融业变革和发展已是大势所趋。占比27.8%。面对数据量的爆炸式增长，数据来源的日益丰富，数据保护治理的广度、深度和难度与日俱增。金融业主体依据业务运营需要对个人和组织数据的获取、传递、使用、管理等诸多方面都不断推陈出新。数据在人们的金融生活中扮演越来越多样的角色，发挥越来越重要的作用。时至今日，不论是个人支付还是企业贷款，不论是城镇建设币流通还是进出口贸易，社会生活的方方面面都流淌着金融数据的“血液”。包括互联网公司在内的泛金融机构利用自身的平台优势和业务粘性吸附并留存了大量的ration皮书2对合规监管带来了极大的挑战，安全风险不言而喻。美国Verizon3公司发布的《2020年数据泄露调查报告DBIR》4指出，55%的数据泄露事件涉及有组织犯罪，30%的数据安全事件源自企(1)金融数据安全风险的识别难度不断增大是新场景都催生出新的安全风险。区块链、人工智能等新兴技术科技领域的快速应用，疫情、洪灾等公共卫生事件和气象害的爆发带来的远程办公需求，臭名昭著的勒索软件等新兴攻击技术的持续演化等，内嵌新兴技术的创新应用场景在某种程度上增大了金融数据安全风险的识别难度，对金融数据保护治理提出了更高的要求。(2)金融数据安全风险的管控复杂度不断增加收集的数据又具有明显的公共属性。因此，金融数据特有的多重概念属性增大了金融数据保护治理的复杂度。(3)金融数据安全风险的危害程度不断提升有纷繁多样、交错关联、复杂深厚等特性，业务产生和涉及的各izon皮书3转的管此，金融业务的不断融合创新客观上提升了金融数据安全风险的危害程度。综上，金融数据的安全与否所关乎的利益愈发的纷繁复杂，带来的影响愈发地长久深远。金融数据生命周期的链条串起的数主体、每一位个体、每一个监管实体也是金融风险的责任人与应对挑战的参金融数据保护治理需依靠全面科学的框架规范、准确合理的在严重违法违规收集使用个人信息问题。依据《中华人民共和国数据保护治理箭在弦上，势在必行的体现。2.数据立法，标准出台和国家安全面临严峻的挑战。个人信息泄露、行业间数据外泄等安全挑战不断发生。因此，全球主要国家和地区先后出台了数据使用、删除、销毁等全生命周期管理进行拘束和指引。这些政策皮书4随数据经济发展可能造成的权利纠纷和侵害，破除数据内部潜在(1)各国先后出台数据相关政策，加强数据保护经济和安全领域的最新定位，同时还包括一系列促进展和保护的战略举措。欧盟在2018年5月发布了约束极为严格的《通用数据保护条例》8(简称“GDPR”)，此条例成为定数据保护政策的重要参考，在一定程度上加速了数阐述了数据的作用和保护数据的措施。(2)国家不断强化数据定位，持续推进法制建设国家对数据在我国经济社会发展中的作用和意义有着高瞻提出，“要构建以82018年5月正式生效的(GeneralDataProtectionRegulation，简称GDPR)标志着欧盟个人数据保护的力。皮书5国家数据安全，要加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，九届四中全会审议并通过的《中共中央关于坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化若干重大问理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制。配置高效公平。”，首次给出了“数据”作为生产要素的定位。2020年4月印发的《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》首次将数据定义成为同土地、劳动技术同等重要的第五大生产要素，并提出加快培育要素市场的三点意见。同年5月印发的《中共中央国务院关于新时代加快完善社会主义市场经济体制的意见》进一步明确了、开放共享、交易流通等标准和措施，发挥社会数据资源价值等。法律法规层面，全国人大常委会先后出台了《国家安全法》基皮书6审议的《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)获十三届全国人大常委会第三十次会议表决通过。这四部法律共同构成了我国整体数据保护体系的顶层设计。(3)金融数据关系国计民生，监管要求日臻清晰治理、金融科技监管之间的交错关系，强部署下，金融监管部门对金融数据保护治理的守人民银行、银保监会、证监会等金融监管部门先后出台了一系列关于金融数据治理与安全的法规、意见和标客户开户数据接口》16《证券发行人行为信息内容格、证券期货业数据分类分级指引》(JR/T0158-2018)《证券期货业机构内部企业服务总线实施规范》(JR/T0159-2018)期货市场客户开户数据接口》(JR/T0160-2018)证券发行人行为信息内容格式》(JR/T0163-2018)《个人金融信息保护技术规范》(JR/T0171—2020)金融数据安全数据分级指南》(JR/T0197—2020)20《多方安全计算金融应用规范》(JR/T0196—2020)皮书7《金融业数据能力建设指引》21和《金融数据安全数据生命周期安全规范》22等多部金融数据保护领域的技术标准。金融监管部门结合各自金融业务特点从金融数据保护治理的多个角度对涉及金融数据保护的诸多方面出台了具体标准，并且仍在不断丰富和完善中。政策的出台，一方面为金融业各方指明了金融数据应用的方向和边界，另一方面有效保护了金融数据权属主体的合法权益，渐趋严的内外部环境下，有进行梳理明晰，对数据保护治理的方式方法进行剖析论证，为管理、维护、使用金融数据的上下政策要求和应用实际的金融数据保护治理体系建设策略。(二)发展现状1.分类分级是数据保护治理基础国家十四五规划和2035年远景目标建议中明确提出“加快数字化发展”，并强调了完善数据分类分级保护制度，制定数据隐私保护和安全审查制度，加强政务数据、企业商业秘密和个人信息保护的重要性。《数据安全法》一审稿对地方、部门制定重要数据目录做了皮书8要数据的保护；各地区、各部门按照规定确定本地区、本部门，以及相关行业、领域的重要数据具体目录。在法律层面，国家已将分类分级作为数据保护治理的基础性要求，从强调重点管理提升为体系化管理。金融行业是数据密集型行业，金融数据作为生产要素的价值日益凸显。同时，金融业相关机构和实体存在数据质量不高、数据使用不当、数据保护不周、数据流转不畅等问题。金融数据内金融业机构按照一定标准对其所拥有的数据资产进行梳理的过程。《个人信息保护法》将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。《金融数据安全数据安全分级指南》特别强调金融业机构应高度重视金融信息相关数据，在数据安全定级过程中从高考虑。不仅家法律和行业规范对数据分类分级提出相关要求，随着数据分类分级制度构建不断深化，越来越多的文件开始探索数据分类期货业数据分类分级指引》(JR/T0158-2018)、中国人民银行0171-2020)及工信部于2020年2月27日发布的《工业数据分《金融数据安全数据安全分级指南》(JR/T0197-2020)，根皮书9据金融业机构数据安全性遭受破坏后的影响对象和所造成的影产进行梳理并开展数据安全分级是机构开展数据安全管理的起立完善数据生命周期保护框架的基础，也是有的放矢地实施数据安全管理的前提条件。“安全+利用”是数据治理的共生形态，数据安全是总体国关系国家安全、国民经济命脉、重要民生、重大公共利益等领域的数据属于国家核心数据，理应采取更加严格的管理制度进行保理的厘定级别和类别的层次和界限，为金融数据保护治理的有效实施提供坚实基础。2.个人信息保护是数据保护治理重要方面中人格权编设立“隐私权和个人信息保护”专章，是构建数字时据息保护投诉、举报工作机制等。《个人信息保护法》构建以“告知-同意”为核心的个人信息处理规则，规范自动化决策中个人皮书人信息处理者的义务，加大对侵犯个人信息行为的惩处力度。《个人信息保护法》明确了个人信息保护、合法正当诚信、处理必要、目的特定、知情同意、个体参与、保证质量、公开透明、安全保障和决策公平等十大原则。该法强调社会各界对待个人信息应采取必要的保护措施，并合法、正当、诚信地处理个人信息。该法同时对个人信息的收集、处理、保存等作出了严格限制，并强调使用个人信息目的的合理性和明确性，以及个体在个人信息处理中具有的法律地位和拥有的合法权益。个人信息保护作为金融数据保护的重要组成部分，其核心宗旨在于对个人意志的尊重，这也是金融数据保护治理的核心要义之一。金融数据保护治理从广义上讲是为了保障国家金融安全，个人信息保护在金融数据保护治理中承担着个人保护与总体安的双重内涵。3.框架建设是数据保护治理范式数据保护是我国各行各业信息化建设的薄弱环节，在金融行例还不到10%。2021年全球数据保护指数(GDPI)显示，有88%的中国IT决策者(全球82%)担心其现有的数据保护解决方案无法满足未来所有的业务挑战。在数据治理与隐私保护的政策法皮书规上进行前瞻性研究，探索确立数据治理与隐私保护的中国原则、制度与框架，加快形成中国方案，已经刻不容缓。据保护治理建设实践的有效范式。保护的关系、数据共享与数据权属的关系、数据权利与数据公平人共赢的立足点。数据保护建设以数据治理体系法治化为基础，将数据保护技术与数据保护管理融合在一起，综合业务、安全、网络等多部门多角色的诉求，总结归纳为系统化的思路和方法。数据保护建设以“让数据使用更安全”为愿景构建方法论，皮书(1)满足数据安全保护、数据使用合规、敏感数据管理(2)核心理念包括：数据分级分类、保护等级提升、角色合理授权、使用场景安全；《数据安全法》对企业的数据处理活动，提出了五项监管要求：第一，符合基础性的合规要求，包括建立企业数据安全管理制度，有相应的基础措施和管理措施。第二，对数据做等级保护，需要企业做等级保护测评和备案。第三，进行数据分级分类，企业要根据分类结果采取相应的管理措施。第四，识别核心数据和处理数据出境问题，比如年检、年报审计。第五，管理数据交易中介，中介要审核双方身份、流程交易记录、制定审核清单等。机构对关键业务的业务连续性要求越来越高，热数据的可靠性面临新挑战。很多机构当前系统数据保护等级低，没有做到双活或两地三中心保护。《数据保护产业发展宣言》23指出随着数据应用场景的不断演进，数据保护的范围越来越广、等级要求越来越高、数据规模越来越大、保留时间越来越长，需要全面提升数据保护的规格并围绕数据生命周期提供全面保护。(3)数据保护治理的建设步骤包括：组织构建、资产梳理、合规指引、策略制定、过程控制、行为稽核和持续改善建皮书数据治理是一个有机整体，要在国家战略、法律法规、技术保障、标准建设、行业自律、企业管理等方面同时发力。监管部提供更多、更详细的合规指引、操作规范，提升企业数据保护和利用的内驱力是关键。企业通过制定内部规章制度，设置专门的监管部门或监管人担起保护隐私安全的责任，加强企业自律，实现企业自身的长远发展和市场的健康发展。公众更倾向于把信息提供给信任的企业(4)核心实现框架为数据保护的人员组织、数据保护的策略和流程、数据保护的技术支撑三大部分。制定有效的数据保护策略，建议：定期进行数据保护就绪性瘫痪，且会被索要高额的赎金。有效的数据保护包括“三不”：不因异常情况导致数据不能被使用，不因不可控因素(如数据误删除、病毒等)导致数据不能被恢复，不因时间流逝导致数据丢失不能被访问。金融数据保护建设框架应秉持“用户授权、最小必要、专事防护”的原则，由于金融数据资产庞大，涉及的数据化，数据使用角色繁杂，金融数据保护治理面临数皮书据状况梳理、敏感数据访问与管控、数据治理稽核三大挑战。建设金融数据安全保障体系需“技术”与“管理”并重，通过技术手段与管理措施双管齐下，基于数据全生命周期构建数据安全指敏、据安全和消费者的隐私保护。各类数据保护治理系统的建设框架24为数据保护治理的有序实施提供了不同思路和实践路径。数据保护治理框架建设作为数据保护治理的范式在金融行业中进行推广是科学保护金融数据径。4.标准与技术研究是数据保护治理趋势信息技术的飞速发展和迭代裹挟着数据利用和数据保护的“矛与盾”技术不断翻新，倒逼强数据行业持续地开展数据保护技术研究。研究成果的标准化又确保最新的数据保护治理理念和措施能够在行业内统一落地见效。《数据安全法》明确了国家坚持“维护数据安全”与“促进发利用”并重的立法与监管理念。工业和电信行业急需从基础性制度层面，加快构建适应行业安全挑战特点的数据安全管详见第三章节数据保护治理框架简要介绍皮书办法(试行)》(以下简称《管理办法》)面向社会公开征求意《管理办法》拟通过建立完善数据分类分级、监测预警与应生命周期安全管理等制度机制，实施重要数据和核心数据的重点保护，提升数据安全风险事前感知和事后处置能正向智能化发展，主流数据安全厂商通过算法的创新、融合等手段提升敏感数据的识别能力和精度，并利用人工智能技术实现自很多敏感数据的识别都可以通过人工智能和机器学习术提供实施。2020年8月，工信部曾公开征求对《电信和互联网行业数据安全标准体系建设指南(征求意见稿)》的意见。征求意见稿联网、物联网、工业互联网、云计算、大数据、人工智能、区块要领域。结合重点领域自身发展情况和数据安全保护需求，制定数据安全标准。到2023年，工信部计划研制数据安全行业0项以上，健全完善的电信和互联网行业数据安全标准体撑行业数据安全保护能力提升。皮书正式实出了数据保护治理能力评估的框架，规定了数据保护治理从组织建设、制度流程、技术工具、人员能力等四个维度定义了18个能力项的评估方法，覆盖数据保护治理的全及“机构差异化”两项全新要素纳入了评价体系。除了法规政策以及监管机制的不断完善，数据安全产业生建全国一体化大数据中心协同创新体系的指导意见》，到2025年，全国范围内数据中心形成布局合理、绿色集约的基础设施一体化格局。强化大数据安全防护，推动核心技术突破及应用。围绕服务器芯片、云操作系统、云数据库、中间件、分布式计算与存储、数据流通模型等环节，加强对关键技术产品的研发支持。鼓励IT设备制造商、数据中心和云服务提供商、数字化转型企。同时，政府积极促进企业数据安全产品和解决方案在行业场景和新基建中的应用落地。在政务、金融、交通、医疗等各行各业数据安全防护都在逐渐得到广泛应用。我国各部门组织针对数立相关学科与研究院、设立培训考核等方队伍建设。伴随着国家对数据安全的络安全相关的企业这两年来也呈现爆发皮书金融数据保护治理同样需要秉持标准建设和技术研究两条在标准化范围内扎实推广，实现全行业数据的有序有效保护和治皮书外数据保护政策、法律和标准(一)国际数据保护政策和法律1.《通用数据保护条例》(GDPR)法律，个人信息保护专项立法已成为国际惯例。欧盟于2018年5月25日正式实施的《通用数据保护条例》(GDPR)被称为是史上最严的个人信息保护法，成为全球个人数据安全立法中极具标志性的一部法案。同时，各国的个人信息保护相关法律大多以法》《中华人民共和国个人信息保护法》，以及多数国家及行业标准、行政指令等都引用并借鉴了GDPR的很多优(1)GDPR背景欧洲个人信息保护的历史最早可以追溯到1948年的联合国世界人权宣言》25。《宣言》指出“任何人的隐私、家庭、住宅或通信不应受到任意干涉，也不应受到对其荣誉和名誉的攻击。人人有权得到法律保护，免遭此类干涉或攻击”。1950年颁布的《欧洲人权公约》26规定：“任何人享有私人、家庭生活及其各EuropeanConventiononHumanRights:/Documents/Convention_ENG.pdf6EuropeanConventiononHumanRights:/Documents/Convention_ENG.pdf皮书洲对保护个人免受其起源或特殊性的压迫的重要性的反思。198027，这是第一个主要的非约束性文本，为现代个人信息保护奠定议会和理事会发布关于处理个人数据和此类数据自由流动方面保护个人的95/46/EC指令29(又称95指令)，该指令有两个目人数据自由流动。(2)GDPR发布于所有成员国和全球其他相关国家。OECDGuidelinesontheProtectionofPrivacyandTransborderFlowsofPersonalData(Updatedinhttpswwwoecdorgdigital/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflersonaldatahtmTheCouncilofEuropeConventionfortheProtectionofIndividualswithregardtoAutomaticProcessingofPersonalData，/en/web/conventions/full-list/-conventionstreaty108?module=treaty-detail&treatynum=108Directive5/46/EContheprotectionofindividualswithregardtotheprocessingofpersonaldataandonthefreemovementofsuchdata,https://ec.europa.eu/eip/ageing/standards/ict-and-communicationdatadirectiveecen.html0GeneralDataProtectionRegulation,https://eur-lexeuropaeulegalcontentENTXTPDFuriCELEXR皮书GDPR在《数据保护指令》的基础之上，对各成员国的监督协调加入了新规定，要求成员国应将GDPR与本国法律结合起保障其实施。GDPR旨在保护自然人的基本数据主体权利以及数据控制、处理者义务等具体内容，采取“长臂”管辖原则，对违反条例的行为设。(3)GDPR的重大影响尽管GDPR是一个区域性法律规范，但是其施行对于各国立法都有着重要的影响。(a)数据主体权益保护从被动/事后管理变为预先管控。各国数据立法主流采纳了GDPR的自证清白模式，数据控制者、数据处理者或共同控制者31需要预先进行隐私设计及影响性评估，才能做到自证清白。数据的管理等同财产管理。因此全球各国均采取了长臂管辖与高违反者进行处罚也是跨境实施的(从“属地主义”到“属人主义”)；二是罚款额度是年度全cGDPR核标准之一。数据保护影响评估(DPIA))保证数据全生命周期的数据合规遵从高31GDPR中参与主体在数据处理活动中的角色通常包括数据控制者(datacontroller)、数据处理者(dataprocessor)、共同数据控制者(jointcontroller)。数据控制者有决定数据处理的目的与方式的权利。数据据控制者是不同主体，代表数据控制者处理个人数据。共同控制是指多个参与主体共同决定数据处理皮书度敏感数据访问必须可审计等。我国国家推荐性标准《信息安全信息安全影响评估指南》(GB/T39335-2020)，为GDPR下DPIA映射至国内个人信息安全影响评估(PIA)工作的参考依(d)催生“数据保护官”、“数据隐私官”等专职岗位/资建立可问责的数据保护责任，通过数据全生命周期的隐私保护设计来实现主动/预先管控，而非事后补救，这就是主动合规的概念。(e)明确自然人的数据权利。数据主体权益保护将作为默目前美国只有4%的iOS用户在苹果隐私新政后允许应用程序跟踪他们。(f)自然人数据权利可申请司法救济。在GDPR项下，当数据控制者或者处理者违反相关规定，未遵守数据处理的基本原则权直接向监管机构进行投诉，监管机构可决定向其提供司法救济渠道，以及是否对违规主体进行行政处罚。2.主要国家相关法律“新常态”带来了围绕数据隐私的新担忧，全球已有130个国家进行了数据隐私立法，严格程度趋同于GDPR。无论是字化的联系追踪还是社交距离的执行，无论是健康的数字化还皮书向数字领域，这使得在2021年制定严格的数据隐私法的理由更加充分。州消费者隐私法案》(CCPA)，该法案让消费者对企业收集的个11月，通过了《加州隐私权利法案》(CPRA)，并于2023年1的消费者个人信息类别让路外，还设立了一个新的隐私执行机构。个国家级的数据保护机构--AutoridadeNacionaldeProteodeDados(ANDP)--将负责执行LGPD。ANDP的建立是颁布法律的重要D他/她的访问权置于中心位置，并要求处理数据的组织在巴西建必须提供详细的隐私声明和数据泄露通知的更新。即众所周知的《数字宪章实施法》(DCIADigitalCharterInformationAct)，该法案将使北美国家对其数据隐私政策进行修订。该法案的目的和目标将与全球其他数据隐私法规(例如皮书最高可达全球收入的5％或2500万美元(以较高者为准)。年《隐私法》。新法适用于在新西兰境内“开展业务”过程中收内与境外组织，并要求收集个人数据的企业在发下，必须通知受影响的个人以及隐私专员办公室(OPC)，否则每次违规将面临高达1万新西兰元的重罚。OPC负责帮助组织和企业了解和应对与跨境转移新西兰境内收集的个人数据相关的新义务。使用离岸云提供商或其他第三方来存储视为披露。(PDPA)修正案。修正案赋予新加坡个人数据保护委员会更大的创新。即PDPA修正案既加强了对消费者的保护，也支持企业创3.欧洲数字经济的相关法律法规据安全等，先后出台《通用数据保护条例》《欧盟非个人数据自皮书盟推PaperonArtificialIntelligence:aEuropeanapproachtoexcellenceandtrust)等多份文件，涵盖网络安全、关键基础、数字教育和单一数据市场等各个方面，形成了欧洲新的数委会发布了具有里程碑意义“数字服务法案包(theDigitalServicesActpackage)”，包括《数据治理法》(TheDigital境内数字服务规制规则。《欧洲数据战略》是数据的确权、市场化、资本化与跨国数权的一类”，作为数据采集、交换与交易的基石公理。指导欧盟32https://digital-strategy.ec.europa.eu/en/policies/data-governance-act33https://digital-strategy.ec.europa.eu/en/policies/strategy-dataTheDigitalServicesAct:ensuringasafeandaccountableonlineenvironment|EuropeanmmissioneuropaeuTheDigitalMarketsAct:ensuringfairandopendigitalmarkets|EuropeanCommission36TheDigitalMarketsAct:ensuringfairandopendigitalmarkets|EuropeanCommission皮书《数据治理法》《数字市场法》《数字服务法》形成完整数据经济领域的跨国共用法规与愿景协同。的信任，在战略领域建立和发展欧洲共同的数据空间，促进跨部门/跨国数据共享，利用数据的潜力为欧洲公民和企业谋福利。欧盟《数字市场法》规范了“守门人”以确保数字经济的公平竞争力与《欧洲数字战略》一致，《数字服务法》规范数字中介机构、明确保护公民的基本权利为建立真正的欧洲互联网服务治理体系提出的基础性建议。(二)国内数据保护政策和法律1.法律法规海量聚集，对经济发展、社会治理、人民生活都产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大联网、大数据、人工智能和实体经济深度融合。党的十九届四中全会决定明确将数据作为新的生产要素。数据安全相关法律法规建设已成为大数据发展的必列大数据产业发展和安全保护相委员会第五次会议对《中华人民共和国消费者权益保护法》第二次修正。第二十九条明确了经营者及其工作人员对收集的消费者个人皮书信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者个人信息泄露、丢失37。会家安全法》，其中第二十五条明确提出我国要“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”38。二十四次会议通过《中华人民共和国网络安全法》为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、定本法39。护市场秩序，促进电子商务持续健康发展40。是，保障网络与信息httpwwwnpcgovcnwxzlgongbaocontent351.htm8中华人民共和国国家安全法httpwwwnpcgovcnnpcc10134/201507/5232f27b80084e1e869500b57ecc35d6.shtml9中华人民共和国网络安全法/npc/c30834/201611/270b43e8b35e4f7ea98502b6f0e26f8a.shtml40中华人民共和国电子商务法httpwwwnpcgovcnnpcc30834/201808/5f7ac8879fa44f2aa0d52626757371bf.shtml皮书2020年5月28日，十三届全国人大三次会议表决通过的中专章探讨民事主体的“隐私权和个人信息保护”，明确规定了隐私权与个人信息保护的基本定义、保护原则以及基本权利义务框架。这不仅表明立法者关注网络隐私安全、强化个人信息保护的息保护法律体系奠定基础42。民共和国数据安全法》，是为了规主权、安全和发展利益，制定的法律。第三十次会议通过发布的《中华人民共和国个人信息保护法》，范个人信息处理活动，促进个人信息合理利用。《中华人民共和国个人信息保护法》确立了个人信息41中华人民共和国密码法httpwwwnpcgovcnnpcc30834/201910/6f7be7dd5ae5459a8de8baf36296bc74.shtml43中华人民共和国数据安全法httpwwwnpcgovcnnpcc30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml皮书合法、正当、必要和诚信原则，具有明确、合理的目的并与处理目的直接相关，采取对个人权益影响最小的方式，限于实现处理目的的最小范围，民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国国家安全法》从2015年开始陆续出台并实施。这几中华人民共和国国家安全法》为龙头的一个有机的法律体系。通过《中华人民共和国国家安全法》在内的这四部法律容和结构，可以看到“安全”、“网络”、“数据”和“个人信息”是这四部法律共同的关键词，是一个有机整体。这四部法律的立法宗旨都是为了维护国家安全、网络安全、数据安全和保护个人信息权益45。2.行业制度规范使人们的生产、工作、学习深刻的变化，对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。eixinqqcomsaiUsUieSCgEYYJwHYjg/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml45时建中：我国网络与数据安全及个人信息保护法律制度/a/487506142_121181007皮书据安全保护相关的行业制度规范。App行为认定方法》46，为监督管理部门认定App违法违规收集使用个人信息行为提供参考，为App运营者自查自纠和网民社会监督提供体包含推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护三个方面。2020年6月，为了确保关键信息基础设施供应链安全，维《网络安全审查办求意见稿)》47公开征求意见的通知。2020年9月，中国人民银行发布《中国人民银行金融消费合法权益，规范金融机构提供金融产c25.htm47国家互联网信息办公室关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知/2021-07/10/c_1627503724456684.htm皮书康稳定运行48。2021年1月发布的《互联网用户公众账号信息服务管理规公共利益，保护公民、法人和其他组织的合法权益49。业银行通过互联网开展个人存款业务有关事项的通知》50，为了加强对商业银行通过互联网开展个人存款业务的监督管理，维护市场秩序，防范金融风险，保护消费者合法权益，有利于商业银行合规稳健经营，对于弥补制度短板、防范金融风险具有积极意据安全保护能力，防范监管数据安全风险51。息，应当遵循合法、正当、必要的原则”“网络运营者不得收集与其提供的服务无关的个人信48中国人民银行金融消费者权益保护实施办法httpwwwpbcgovcn/tiaofasi/144941/144957/4099060/index.htmlhttpwwwcacgovcnc887880656609.htm国人民银行发布《关于规范商业银行通过互联网开展个人存款业务有关事项的通知》httpwwwcbircgovcncnview/pages/ItemDetail.html?docId=960017&itemId=917&generaltype=051原银保监会发布《监管数据安全管理办法(试行)》httpwwwcbircgovcncnview/pages/ItemDetail.html?docId=998025&itemId=915&generaltype=0皮书国家市场监督管理总局联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》，明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用App基本功能服务52。《关键信息基础设施安全保护条例》，本条例根据《中华人民共和国网络安全法》制定，为了保障关键信息基础设施安全，维护网络安过并发布《征信业务管理办法》(中国人民银行令〔2021〕第4号)53，为了规范征信业务及其相关活动，保护信息主体合法权人民共和国中国人民银行法》《中华人民共和国个人信息保护法》《征信业管理条例》等法律法规，制定本办法并于2022年1月(三)国内相关标准1.国家标准2019)：标准规定了智能运输系统安全支撑平台和数据安全服务httpwwwcacgovcn2021-c17990997054277.htm1〕第4号(征信业务管理办法)httpwwwpbcgovcn/tiaofasi/144941/144957/4354378/index.html皮书内容。标准适用于智能运输系统实现基于密码技术的数据安全服熟度模型》(GB/T37988-2019)：标准给出了组织数据安全能力的成全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。标准适用于对组织数据安全能力进行评估，也可作为组织开展数据安全能力建设时的依据。(GB/T37932-2019)：标准规定了通过数据交易服务机构进行数据交易服务的安全要求，包括数据交易参与方、交易对象和交易过程的安全要求。标准适用于数据交易服务机构进行安全自评估，也可供第三方测评机构对数据交易服务机构进行安全评估时(GB/T37694-2019)：标准描述了个人信息去标识化的目标和，提出了去标识化过程和管理措施。标准针对微数据提供具体的个人信息去标识化指导，适用于组织开展个人信息去标识化，也适用于网络安全相关主管部门、第三方评估机构等组织开展个人信息安全监督管理、评估等工作。2019年8月发布的《信息安全技术大数据安全管理指南》(GB/T37073-2019)：标准提出了大数据安全管理基本原则，规皮书定了大数据安全需求、数据分类分级、大数据活动的安全要求、评估大数据安全风险。标准适用于各类组织进行数据安全管理，也可供第三方评估机构参考。2020年3月发布的《信息安全技术个人信息安全规范》(GB/T35273-2020)：标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。标准适用于规范各类组织的个人信息处理活动，也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。2020年11月发布的《信息安全技术个人信息安全影响评估指南》(GB/T39335-2020)：标准规定了个人信息安全影响评估的基本原理、实施流程。标准适用于各类组织自行开展个人信息安全影响评估工作，同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。享数据安全技术要求》(GB/T39477-2020)：标准提出了政务信息共享要求技术框架，规定了政务信息共享过程中共享数据准据交换、共享数据使用阶段的数据安全技术要求以及相关基础设施的安全技术要求。标准适用于指导各级政务信息共台数据安全体系建设，规范各级政务部门使用政务信息共享交换平台交换非涉及国家秘密数据安全保障工作。皮书2020年12月发布的《信息安全技术健康医疗数据安全指南》(GB/T39725-2020)：标准给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施。标准适用于指导健康医疗数据控制者对健康医疗数据进行安全保护，也可供健康医疗、网络安全相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时参考。》正正式发布后会为各地区、各部门制定本地区、本部门以及相关行的重要数据具体目录提供参考，为重要数据保护工作提2.行业标准(1)金融行业以国家标准为基础，近年来中国人民银行会同金融监管部门组织制定了多项金融行业数据标准。主要的有：2020年2月发布的《个人金融信息保护技术规范》(JR/T-2020)：标准规定了个人金融信息在收集、传输、存储、使等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对个人金融信息保护提出了规范性要求。提供金融产品和服务的金融业机构，并为安全评估机构开展安全检查与评估工作提供参考。皮书2020年9月发布的《金融数据安全数据分类分级指南》(JR/T0197-2020)：标准给出了金融数据安全分级的目标、原则和范围，以及数据安全定级的要素、规则和定级过程。标准适用于金融业机构开展电子数据安全分级工作，并为第三方评估机构等单位开展数据安全检查与评估工作提供参考。2020年11月发布的《多方安全计算金融应用技术规范》(JR/T0196—2020)：标准规定了多方安全计算技术金融应用的基础要求、安全要求、性能要求等。标准适用于金融机构开展多方安全计算金融应用的产品设计、软件开发。指引第2部分：基本要求》(JR/T0071.2—2020)：标准规范了金融行业网络安全保障框架和不同安全等级对应的安全要求。标准适用于指导金融机构、测评机构和金融行业网络安全等级保护的主管部门实施网络安全等级保护工作。12345每个能力项的建设目标和思路。标准适用于指导金融机构开展金融数据能力建设。(JR/T0223-2021)：标准规定了金融数据生命周期安全原则、要求、组织保障要求以及信息系统运维保障要求，建立覆盖皮书数据采集、传输、存储、使用、删除及销毁过程的安全框架。标数据安全防护工作，并为第三方测评机构等单位开展数据安全检查与评估工作提供参考。经过草案稿编制、工作组讨论等阶段，已形成标准征求意见稿。标准规定了金融数据安全评估触发条件、原则、参与方、内容、明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域及其安全评估主要内容和方法。标准适用于金展金融数据安全评估使用，并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。(2)其他行业2020年12月发布的《电信网和互联网数据安全通用要求》(YD/T3802-2020)：标准主要适用于在电信服务和互联网信息服务提供过程中，在公用电信网和互联网网络单元和业务系统中采集、产生、使用的数据。适用于对电信网和互联网行业中组织开展的数据处理活动及与数据处理活动相关的平台系统的安全保护。标准不适用于企业生产经营数据、内部管理数据及企业内部研发测试数据。求》(YD/T3865-2021)：标准规定了工业互联网数据安全保护的范围及数皮书据类型、工业互联网数据重要性分级与安全保护等级划分方法，规定了低/中/高重要性数据在数据产生、传输、存储、使用、迁移及销毁阶段的具体安全保护要求。标准适用于工业互联网相关服务组织或企业开展数据安全保护工作。户数据存储安全技术要求和测试评价方法》(GA/T1547-2019)：标准规定了移动智能终端的用户数据存储安全技术要求、测试评价方法和等级划分要求。标准适用于不同安全等级信息系统中移动智能终端操作系统及应用程序在用户数据存储安全方面的设计、开发及检测。管理产品安全技术要求》(GA/T1718-2020)：标准规定了大数据平台安全管理产品的安全功能要求、安全保障要求和等级划分要求。标准适用于大数据平台安全管理产品的设计、开发及检测。皮书三、金融数据保护治理重要关注领域(一)分类分级识别与保护对金融数据开展保护的前提是明确数据保护对象，即对数据别、梳理，以成本合理、区分重点地对不同类型、不同等级的金融数据实行差异性保护。金融数据的分类分级与识别是后续落实技术防护措施、安全管理流程的基础性、必要性、先决性工作，也是开展金融数据保护治理工作的重点。同时，《网络安全法》第二十一条也明确了数据主体承担着数据分类分级的根据国家《数据安全法》的要求，金融机构应当建立以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国共利益或者个人、组织合法权益造成的危害程度，对类分级保护。其中，对于关系国家安全、国民经济命要民生、重大公共利益等数据属于国家核心数据，应按照国家相关要求实行更加严格的管理制度。对于金融行业的数据，其分类可参照行业信息分类规范，数据安全分级可参照已经发布的《JR/T0197-2020金融数据安全数据安全分级指南》开展，证券期货业也可参照《JR/T0158-2018证券期货业数据分类分级指引》开展分类分级。皮书1.金融数据分布特点与安全特点银行业金融机构的数据安全，除保密、完整、可靠、可也关系到金融行业的资金安全以及大数据时代对数据的增值分析、利用带来的衍生价值。以下从目前银行业金融机构涉各业务场景来分析和总结金融数据的分布特点，以及面临的重大安全威胁和挑战：(1)错综复杂的系统和数据如何区分和识别重点？级别的数据，如客户基础信息、业务交易数据、业务产品数据、企业经营数据、机构数据、员工信息、系统数据等，数量系统、不同节点并进行存储处理，如总行、分支行网数据、验证数据也相应增多，可谓牵一发而动全身。如何在分布广、多层级、多元化、海量级的金融数据中区分和识别面临的重要难题。皮书(2)敏感数据对外应用与提供增加了安全风险，如何管金融行业机构在互联网金融等方面的业务冲击下，拓展了包并通过建立智慧银行、移动展业与客户建立友好互动，在不同的渠道和界面上需要展示或提供数据，如交易的密码、认证的身份传输与展示势必会增加数据泄露风险。同时，因监管需要上传或下载数据、同行业务往来共享数据、司法需要提供数据，如何确保在合理合法提供的同时，确保提供数据的最少化、安全性、准确性，也是需要重点考虑的问题。(3)海量的数据如何识别并掌握数据的流向和分布？的流转情况，才能确定系统是否是在受控情况下安全共享与处理数据。需明确的问题如下：需要保护的数据到底在哪些系统内分布？最终流向了哪些安全域与边界？是否存在未授权、非法的流出？是否需要建立敏感数据资产的识别、标识、溯源系统，以便于随时跟踪敏感数据的流向和分布？是否需要建立对敏感数据略、数据智能分析与决策提供帮助。皮书(4)与监管、同行、合作方多渠道数据交换如何保证安。同时，需要与同行或者业内金融机构进，比如行业联合组织、清算机构、其他合否有特殊数据安全防护要求与接口要求尚未明确，这就需要我们制定统一的数据安全标准，区分数据级别，并根据对应的管控措施与各方进行共享、控制，争取满足各方面的安全要求。(5)数据多层级、多系统、多角色使用、访问，如何防止在内部的敏感数据泄露？域可能造成数据的泄露；其次，业务系统的部署会分布、地市、县等不同级别，金融数据在本单位内部涉层级调用和查询成为普遍情况；在一个系统内部也可能有多重角色存在，分别承担着对业务数据不同的管理责任，理、数据库管理、业务管理等特权账户，具有直接改数据的权利，其操作和访问如何进行安全控制尚未明务场景都会使业务数据的访问、操作和使用面临诸多风险，需要明确数据分级部署的安全、系统接口和传输的安全，控制的安全。同时，数据还可能被提取出来进行特定分皮书是数据安全关注的重点(6)大量引进外包与外资服务，如何保证外包与合作过程中的数据安全与自主可控？业金融机构需要引入外包服务来对业务信息系统进行开发、建设的问题，需要与国内外大型机构进行合作，因此也会带来财务、业务战略、数据安全方面的风险。(7)对外合作与国际化趋势加剧，数据出境如何保证安受国际化趋势和国家“走出去”战略影响，我们需要与国外或者合作伙伴进行合作，如国外的监管单位、国外金融机构以及本机构在国外设置的分支机构，都可能需要将业务数据流出处理存储，如何在符合当地监管要求以及国内法律、标准规范(数据出境)要求的前提下，做好数据的受控传输、使用、存储，是我们要面临的挑战之一。(8)个人信息的保护监管越来越受到重视，如何保证个保护法》的出台，《GB/T35273-2020信息安全技术个人信息安全规范》《JR/T0171—2020个皮书的制定，进一步把个人信息保护提升到了新的高度。金融监管层面也发布了一系列保护交易信息和客“强化工作机制，做好内部防控；完善技术手段，提高安全水平；优化服务流程，加大宣传力度”，严防“违法违规查询、获取、使用、泄露、出售客户信息或商业秘害，其分类与分级应与金融数据保护进行统一和融合。以上是金融数据面临的各种挑战，是促成金融数据进行分类分级识别并加以安全管控的重要驱动力和根因。我们需要在此基数据分布特性、应用特性、安全特性，从而确定利用方面的安全保障与防护需求，理清金融数据自身的安全属性以及与后续治理措施、保护策略的对应和逻辑关系。2.金融数据识别难点与重点金融数据在分布特点、价值属性、安全特性等方面与其他行在识别上也存在一定的区别，具体存在以下识(1)分布广、数据量大、数据结构复杂，导致识别难、挑战大金融信息系统用户多、系统多、业务多元化、内部层级多，面临着多头监管与合作共享。由于数据体量巨大，人工识别难度皮书/管理体系为架构，数据管控平台为抓手，建立线上与线下相辅相成的数据安全防护措施，才能全面对所有数据进行分级分类与(2)线下数据依然是识别与管控的重点内获取、下载、使用数据，内部办公网、生产运维网、开发测试网、营业网点、客户服务中心等也会留存大量客户数据、技术数通过导出、提取获得的大量敏感数据也是不可遗漏的识别与保护的重点。业务人员可以依托内网安全管理、文档安全管理、终端安全管理等方式对相关数据进行有效的安全(3)需要建立规范性的流程和标准合理、严格的标准和指导，让具体使用人员、操作人员有法可依、有据可循。(4)识别应成为管控的基础和着力点度与难度，不能干扰或降低数据应用的效率和便利，金融数据识别应成为安全管控策略与措施的着力进行重点区分、成本合理的防护。皮书(5)集中管控、视图化管理是识别的必然结果随着系统与应用复杂性的增加，传统靠人力盯防单个安全管数据安全都在朝集中化、一体化管控的方向迈进，数据安全需要进行专职管理，以形成统一的管控体系些系统、边界、接口进行流转，数据去直观跟踪重要数据的流向和动态。(6)数据资产的常态化运营必然催生专业化数据运维管控平台可靠性、标准化程度，需要建立定制进行多系统、多渠道的数据资产管据审核与批准、数据标签与溯源、数据安全审计与报警、数据脱敏与提取、数据安全事件处置等相关平台化管理功能。3.金融数据的分类与分级方法目标、分工、资源等，充分调动金务条线的积极性，根据业务实际制定数据字典、数据标准，通过线下采取问卷、访谈等调研方式，账方式，充分平衡业务效率与安全皮书与识别。分类分级中要注意首先满足合规要求，确保对各法规、监管政策、国家与行业技术标准的依从性，分类分级方《JR/T0197-2020金融数据安全数据安全分级指南》《JR/T0171-2020个人金融信息保护技术规范》的流程和方法，但也要应根据数据资产的有用性、价值性及权属情况等因素进行综合判断和考虑。此外，分类分级时也要考虑到建立数据资产自动化分类分级模板，使用安全自动化编排(SOAR)等技术进行高效智能识别。具体的分类分级、识别方法可结合标准、工具情况建立统一流程和标准。(二)数据出域探究是一种数据出域行为：1.某金融机构领导由于工作事务关系将一些重要数据授权2.金融机构B的工作人员由于业务关系在金融机构A内接触到数据，并采用某种方式(如刻录光盘、书写或单凭记忆等)皮书当然，数据出域也可以发生在不同行业间，甚至国家之间。金融机构间跨实体的数据流通，也就是金融机构AB之间如何完成数据出域。通过对不同场景进行总结分析，几种常见的数据出域方式为：(如合同)约束B对原始数据的使用。(如合同)约束B对脱敏后数据的使用。3.金融机构A采用密码技术(秘密分享、同态加密等)将数B的成立，如不串谋、密钥分割保存等。以上方式体现了“技术+管理”的模式来实现数据出域，目但是技术所占比重依次越来越高，在一定程度上降低了管理成本和管理风险。从金融机构内部流向其他金融机构或者其他行业，才能进一步释么“数据”才能出域，以何种方式出域才，是金融业重点关注的问题。本专题从数据出域的本质出发，结合已有的法律法规对数据出域相关问题进深入研究。皮书1.数据出域的概念和意义(1)数据出域的定义(a)“域”“域”是一个逻辑概念。“域”的本质是数据控制者及其所数据可行使的权利的范围，同时数据控制者及其所授权主体在该范围内对数据的合规使用负责。这些权利具体表现为通过设备、应用程序以及其他方式所能够进行的对数据的查看、授权等一系列行为。数据控制者可以有一个，也可以有多个。这些权利当中最根本的是数据控制者对数据使用范围、使用的控制，涵盖能够召回、撤销数据的使用，以及况进行追溯，出现事故时能够取证、追责等。如者丧失了对数据的根本权利，就无法对数据进行有效控制，也没有能力保障数据的合规使用。可以“完全公开”的数据没有控制者，其“域”无限大(或者说没有“域”)，这种数据的使用方式和使用目的不受特定控制者控制，不在本专题重点讨论。(b)数据出域用数据等。也就是说，因为权利的让渡导致“域”的变化，即数据出域。在数据要素流通背景下，金融机构数据出域的真正难点是，在保留控制数据使用方式和使用目的皮书的前提下让渡数据的使用权。数据“出域”的“源域”和“目的包括法律法规、政策、自律公约、标准等。金融数据出域除了涉及金融机构，实际上还涉及监管方。从《数据安全法》可以看出，数据控制者承担数据安全主体责任，管部门承担监管职责。从监管方的角度看，数据“跨域”相比数据“出域”显得更为贴切。当前数据跨域流通给监管带来新的挑战和难度，详见六(二)3的分析。数据“出域”可以发生在个人之间、组织之间、行业之间，甚至国家之间。如个人数据“出域”一般依托身份管理和访问控制实现，出域的目的可能是围绕一项具体事务(如工作任务)进业内部的规章管理制度。在数据要素发展趋“出域”一般是为了提升金融数据的潜在价数据出域的两种特殊情况是：1)由于转让、并购等方式导致的数据控制者的变化。这种使用方式和使用目的进行控2)由于将数据公开从而放弃数据控制权。这种情况下数据在“目的域”没有控制者。以上两种特殊情况在后文中不再详细讨论。本章节重点讨论金融机构A在保留对自身数据控制能力(对使用方式和使用目的皮书的控制)的前提下如何将数据的使用权让渡给B，从而实现金融数据要素价值流通。(2)数据出域的意义金融业作为数据密集型和科技驱动型行业，充分发挥其数据已经成为一项重要而紧迫的课题。金融机释放金融数据的潜在价值，为业务赋能提供有效支撑，提高金融机构竞争力；同时与外部多源数据的融合使推动数据跨机构、跨行业、跨地域自由流数据出域的底线是要确保对数据使用方式和使用目的的控家数据安全等数据要素利用的负外部性，推动数字经济高质量发展。2.数据出域相关法律与标准目前法律法规对“数据出域”尚未有明确的规定，但可从数供”、“转移”、“委托处理”、“交易”、“跨境”等。经被收集者同意不得向他人提供个人信息，但是经过处理无法识定个人且不能复原的除外；同时还规定了相关人员履职过程的个人信息、隐私、商业秘密，不得泄露、出售、非法向他人提供。而《数据安全法》则将数据的传输、提供定义为数据皮书励数据依法合理有效利用与自由流动。《个人信息保护法》也将传输、提供定义为个人信息处理的方式。规定了个人信息处理者向他人提供其处方相关信息。在公共场所收集的个人图像、身份特征信息仅能用于维护公共安全，个人单独同意，才可对外公开或向他人提供。《儿童个人信息网络保护规定》规定网络运营者向第三方转移儿息保护法》规定在处理个人信息前必须征得个人的同意，并了不需取得个人同意的例外情况，包括履行法律义务、履行个人合同、应对突发公共卫生事件、公共舆论监督报道、个人信公开等。金融机构开展业务时，参照《银行业金融机构数据指引》等行业政策，如需合理使用个人信息，应对访问和拷贝等进行行为监控和权限控制；而在响应监管要求履行反洗钱、反恐怖主义融资等义务时，金融机构也应依据《反洗钱法》等注意保护个人信息。关于“委托处理”，《数据安全法》规定服务提供者应当依法取得许可。《个人信息保护法》与《儿童个人信息网络保护规保护法》规定了当委托合同不生效、无效、被撤销、终止，受托人应当将个人信息返还个人信息处理者或者予以删除、不得保留，同时禁止了未经个人信息处理者同意的转委托行为。《儿童个人皮书信息网络保护规定》规定了网络运营者委托第三方处理儿童个人任、处理事项、期限、目的等。人信息保护法》皆有相关规定。《网络安全法》规定了关键信息基础设施的运营者向境外提供个人信息和重要数据时，需进行安全评估，并规定了相关罚则。《数据安全法》提出国家将建立国家安全审查制度，参与国际交流与合作、国际规则和标准制定，促进数据跨境安全、自由流动；关键信息基础设施的运营者部分则与《网络安全法》进行了衔接。而个人信息处理者向境外提供个人信息，依据《个人信息保护法》，在遵守相关法律法规的前安全管理条例(征求意见稿)》规定了掌握超过100万用户个人信息的数据处理者赴国外上市的或者赴港上市可能影响国家安全评估办法(征求意见稿)》更是对个人信息、敏感个人信息、重要数据等的数并规定了受理数据出境安全评估的政府部门及其工作办法，这也体现出国家对数据跨境相关制度正逐步完善。关于“数据交易”，《网络安全法》中数据范围仅针对通过络收集的电子数据，而《数据安全法》则包含了电子以及其他皮书相关要求与相应罚则。《个人信息保护法》也提出不得非法收集信息保护相关规定的，将依照《网络安全法》等相关条款进行处相关的规定在标准当中亦有迹可循。《信息安全技术大数息安全技术个人信息安全规范》等相关国家标准中规范了与数据出域相关的若干术语和概念，包含数据分发(数据交换54、数据交易、数据共享55、数据公开等)、数据跨境或出境、个人信息处理(委托处理56、共享、转让57、公开披露等)等，主要含义为将原始数据、处理数据、分析结果等形式的数据传递给内部或外部实体的过程。而《金融数据安全数据安全分级指南》《金融业数据能力建设指引》《个人金融信息保护技术规范》《金融数据安全数规范》等金融行业标准，以及《大数据开放共享安全管理规范》《数字化改革公共数据分类分级指南》等地方标准则在国家标准的基础上，为应对数据汇聚、融合58计算(衍数据在企业内外部的流转交互，包括按一定策略引入外部数据供内部应用以及有选择地对外提供企业内部数据目的是通过及时高效获取外部数据和安全合规分享内部数据，从而更好地发挥数据价值。开金融数据在不同部门或机构之间进行分享，包含与行业主管部门的数据分享，各方均承担该数据相关权利和义金融业机构因金融产品或服务的需要，在不改变该数据相关权利和义务的前提下，将数据委托给第三方机构进权利和不再承担该数据相关义务的过程。金融业机构因提供金融产品和服务、开展经营管理等活动，在机构内部不同部门之间或本机构与外部机构之皮书生数据、分析结果、数据模型等)后可能带来的安全风险，提出综上所述，当前的法律法规、政策标准中有不少与数据出域权权供《网络安全法》理变让等境《网络安全法》《数据安全法》估办法(征求意见稿)》等易《网络安全法》移开发收方共享(如果公开，则不受GBT0数据分类指南》等享GBT9《信息安全技术数据安全能力成熟度数据能力建设指息保护技术规范》等开GBT0《信息安全技术个人信息安全规术大数据服务安全易GBT0GB/T37932-2019《信息安全技术数境GBT0《信息安全技术个人信息安全规范》等理变让GBT0《信息安全技术个人信息安全规息保护技术规范》等让GBT0《信息安全技术个人信息安全规息保护技术规范》等聚收方共享(接收方持有汇聚后全部数据的控制权)金融数据安全数据安全分级指数据生命周期安合或控制者与接收方共享(对计算结果评估)GBT0《信息安全技术个人信息安全规息保护技术规范》等要求条款，其主要集中在通过数据交易等途径直接改变，其对象多为明文形式的原始数据或脱敏后数据。而针对包含个人信息的数据，则增加了告知同意要求，但对于去标识化、匿名化等概念，没有进行进一步的分析，给出使用权”的技术指南。值得注意的是，金融行标准，已经关注了数据汇聚、融合后可能导致别变化，却没有将物理汇聚和融合计算二者明确区，依据对计算结果评估，可能在安全级别降级“控制权”未发生改变的前提下，只出让了数据的“使用权”的数据共享、流通。3.数据出域的难点数据出域的难点在于合规，具体来说就是采用什么样的方式和手段才能不违反合规要求。当前数据出域面临的合规问题主要皮书(1)数据出域合规性缺少共识目前金融业机构数据出域面临的首要问题是行业监管部门出台明确规定，什么样的数据可以出域、如何出域等未给定明确界限，金融业机构在具体的数据出域场景中存在监如何在不违反数据合规要求的条件下达成机构间的数据业机构的难题。同时，金融行业在不断探索多方安如何合规使用，在没有顶层设计规范的情况下产业界仍然缺少共识，缺乏落地实施路径。(2)数据控制权改变导致合规风险加大多数的数据出域方式仍然会导致数据控制权的改变。这样会带来潜在的合规风险，具体表现在：(a)多数据控制主体难免会对数据的使用方式和使用目的A的授权本意是不明确的。(b