从现行立法框架解读中国人民银行《关于加强跨境金融网络与信息服务管理的通知》

2018年7月27日，中国人民银行（以下称“央行”）在其官方网站上正式发布了《中国人民银行关于加强跨境金融网络与信息服务管理的通知》（以下称“《通知》”）。现阶段，随着我国金融业对外开放不断深化，中国境内银行业金融机构（以下称“境内使用人”）越来越多地使用环球银行金融电信协会（SWIFT）等境外机构（以下称“境外提供人”）提供的跨境金融网络与信息服务。由此产生的跨境金融网络与信息安全风险正在不断上升，央行在此背景下发布了《通知》，以便统筹实施金融市场基础设施监管，有效防范系统性金融风险。本文将在我国网络安全与数据合规立法框架下，解读《通知》中有关跨境金融网络与信息服务安全问题，供同仁批评指正。

一、境外提供人的合规义务

根据《通知》，境外提供人的合规义务主要包括事前事项报告义务、服务事项报告义务、变更事项报告义务、应急事项报告义务、境内禁止建设专用金融网络义务和境内分支机构代行报告义务等六类。

一、境外提供人的合规义务

（一）事前事项报告义务。境外提供人为境内使用人提供跨境金融网络与信息服务，应当在正式提供服务前30个工作日内，以书面形式（含电子文件，下同）向中国人民银行履行报告手续。报告内容包括：境外提供人的基本信息和依法成立的证明文件；提供服务的资质；境内使用人接入其网络时需要提供的材料；网络产品、服务符合国家相关要求的证明材料；网络运行安全和信息安全保障机制；反洗钱和反恐怖融资内部控制制度、组织架构和工作开展情况；提供服务的具体业务规则和信息传输处理机制；客户权益保障机制，有关网络产品、服务安全维护的具体措施及其安全风险的补救办法；在母国和其他国家或地区接受监管的情况等。

关于事前事项报告义务，境外提供人履行的报告内容中应当包含提供服务的资质、网络产品和服务符合国家相关要求的证明材料以及网络运行安全和信息安全保障机制等。

首先，对于提供服务的资质。境外提供人在我国境内拥有分支机构的，应确保其分支机构依照《互联网信息服务管理办法》和《电信条例》的要求依法申请互联网信息服务增值电信业务经营许可证或办理备案登记，拥有与开展经营活动相适应的资金、专业人员、业务发展计划和相关技术方案，能够持续为用户提供长期服务，同时在网络及信息安全保障方面具备健全的解决方案[1]。

其次，对于网络产品和服务。境外提供人应当依据2017年6月1日由国家互联网信息办公室（以下称“国家网信办”）发布的《网络产品和服务安全审查办法（试行）》（以下称“《审查办法》”）进行安全审查。《审查办法》在其主文中明确了负责网络产品和服务安全审查的主体是国家网信办会同有关部门成立的网络安全审查委员会，由其聘请相关专家组成网络安全审查专家委员会，在第三方评价基础上，对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估，其中第三方评价机构由国家依法认定[2]。对于需要进行评价的网络产品和服务以及官方认可的第三方评价机构范围，建议境外提供人参照《网络关键设备和网络安全专用产品目录(第一批)》和《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》的内容，根据自身使用的路由器、交换机、PLC设备、IDS、IPS等不同设备对接相应认证检测机构。

最后，对于网络运行安全和信息安全保障机制。建议境外提供人参照《网络安全法》（以下称“《网安法》”）的规定，在报告中提供内部安全管理制度、操作规程、网络安全负责人名单。同时以书面形式明确防范网络攻击、病毒和安全事件的技术措施以及涉及数据分类，备份和加密保障。收集用户信息的，还应当向用户明示隐私政策并取得同意。截至目前，环球银行金融电信协会已在其官网上发布了于2018年6月份更新的Privacy Statement。鉴于该隐私政策在网站中仍为英文版本，若向央行履行报告义务的，还应及时提供中文译文。

（四）应急事项报告义务。境外提供人为境内使用人提供服务，应当遵守《中华人民共和国网络安全法》、《互联网信息服务管理办法》（中华人民共和国国务院令第292号）、《计算机信息网络国际联网安全保护管理办法》等国家有关法律法规，落实国家网络安全等级保护制度，履行网络安全保护义务；应当加强应急管理和灾难备份，保障服务连续性；应当建立与境内使用人的有效沟通机制，确保日常联系和问题反映畅通、应急处置有效开展。对于跨境金融网络与信息服务出现异常的情况，境外提供人应当积极协助境内使用人解决，并及时以书面形式报告中国人民银行。报告内容包括异常情况描述、异常情况影响、已经采取的处理措施等。异常情况涉及重要金融机构的，应当于30分钟内报告；异常情况涉及其他金融机构的，超过2个小时的应当于当日报告，在2个小时以内的应当于5个工作日内报告。

关于应急事项报告义务，《网安法》明确要求网络运营者制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。同时在发生危害网络安全的事件时，立即启动应急预案，采取补救措施。其中负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。国内银行业金融机构作为境内使用人，属于关键信息基础设施的运营者。境外提供人在进行应急事项报告时，可以参照境内使用人已经组织或开展的应急预案演练方案制定报告文本。除报告异常情况描述、异常情况影响、已经采取的处理措施外，还需依据工信部《公共互联网网络安全突发事件应急预案》的要求，在报告中说明事件发生时间、初步判定的影响范围、可能造成的危害及有关建议等[3]。此外，根据全国信息安全标准化技术委员会于2017年5月发布的《信息安全技术 网络安全事件应急演练通用指南（征求意见稿）》，在对网络安全事件进行先期处置时，应首先判断安全事件等级。如判断为较低等级安全事件的则应果断采取措施处理，并在处理后填写事件处理报告；如判断为较高等级安全事件的，在控制事态发展的同时，还应发布突发警讯[4]。

二、关于境内使用人的合规义务

鉴于我国银行业金融机构内部已经形成了一套较为完善的合规体系，相较于境外提供人，境内使用人在《通知》中的合规义务仅限于事前事项报告义务和应急事项报告义务两类。

二、境内使用人的合规义务

　　（一）事前事项报告义务。境内使用人拟使用境外提供人服务的，应当于事前以书面形式向境内使用人法人机构所在地中国人民银行省级分支机构履行报告手续。报告内容包括：境外提供人提供服务的内容；接入境外提供人网络的方式；境外提供人要求提供的材料；境内使用人的有效联系人和联系方式；境内使用人保障业务连续性的应急措施等。中国人民银行省级分支机构应当于接收报告之日起10个工作日内报告中国人民银行。

（二）应急事项报告义务。境内使用人应当根据审慎原则，采取与其业务规模相适应的网络接入安全措施，保障业务连续性，隔离境内外不同网络之间的风险传染。发现跨境金融网络与信息服务异常的，境内使用人应当及时以书面形式向所在地中国人民银行省级分支机构报告。报告内容包括异常情况描述、异常情况影响、已经采取的处理措施等。对于重要金融机构，应当于异常情况发生后30分钟内报告；对于其他金融机构，异常情况超过2个小时的应当于当日报告，在2个小时以内的应当于5个工作日内报告。

关于事前事项报告义务，境内使用人履行的报告内容包括境外提供人提供服务的内容、接入境外提供人网络的方式、境外提供人要求提供的材料、自身联系人和联系方式和保障业务连续性的应急措施等五部分。值得注意的是第三部分，就境外提供人要求境内使用人提供的材料，会涉及个人信息和重要数据的跨境转移。根据国家网信办2017年4月发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》，累计含有50万人以上的个人信息、数据量超过1000GB或由关键信息基础设施运营者向境外提供的个人信息和重要数据，应当由运营者应报请行业主管或监管部门组织安全评估。因此，境内使用人在向央行省级分支机构履行报告义务时，需将相应安全评估报告一并提交。评估报告内容可参照《信息安全技术 数据出境安全评估指南（征求意见稿）》，包括但不限于数据出境主管部门评估结果及理由、数据出境重大风险点、数据出境计划检查修正建议等[5]。

关于应急事项报告义务，央行对境内使用人的要求更多地注重于风险规避。无论是对网络接入的安保措施、对境内外网络风险传染的隔离还是就跨境金融网络与信息服务异常的报告，都反映出境内使用人在其中的监测预警作用。

结语

《通知》的发布反映出央行对于跨境金融网络信息服务中所涉及的网络安全和数据泄露风险的重视，也从侧面显示了国家进一步规范跨境金融机构合作的决心。在《通知》第三部分“行业自律要求”中，央行更是明确了境外提供人和境内使用人加入中国支付清算协会接受行业自律管理的义务。由此可见，中国支付清算协会后续会出台一系列涉及跨境金融网络与信息服务的行业自律规范以完善该合规体系，境外金融信息服务机构和境内银行业金融机构应对此立法动态保持高度关注，及时进行合规整改，落实安全保障措施，有效降低金融信息跨境风险。

注释：

[1] 《互联网信息服务管理办法》第六条；《电信条例》第十三条

[2] 《网络产品和服务安全审查办法（试行）》第五条、第六条、第七条

[3] 《公共互联网网络安全突发事件应急预案》4.1事件监测

[4] 《信息安全技术 网络安全事件应急演练通用指南（征求意见稿）》7.3.2.1 先期处置的演练

[5] 《信息安全技术 数据出境安全评估指南（征求意见稿）》4.3.6 主管部门评估报告

本文仅为我们对相关法律法规的一般解读，不能作为正式法律意见和建议，如果您有特定的问题，请与观韬中茂律师事务所联系咨询事宜。

作者简介：吴丹君律师，观韬中茂上海办公室合伙人，首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务，包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等，为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等，曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道，其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。 

作者简介：周天一律师助理，毕业于西南政法大学，法学学士。专注于数据信息领域的法律服务，执业领域为数据合规、公司业务、兼并收购、争议解决等。

吴丹君

合伙人

观韬中茂上海办公室

电话：（86-21）3135 9919 

传真：（86-21）3135 9929

电子邮箱：wudj@guantao.com

 周 天 一

律师助理

观韬中茂上海办公室

电话：（86-21）3135 9919 

传真：（86-21）3135 9929

电子邮箱：zhouty@guantao.com