数据出境安全新规出台：境外财富管理机构业务遭遇中国合规挑战？

作者：龚乐凡 姜璐璐

本文基于《个保法》《数据出境安全评估办法》等新规，从境外财富管理机构合规视角出发，探讨未能积极调整数据跨境合规策略的影响、厘清企业合规义务及如何落地，以期助力财富管理行业相关机构顺利合规开展业务。

///

服务中国客户的境外财富管理机构，面临一项新的挑战——来自于中国最新的“数据出境安全”方面的新规定。境外的私人银行、资产管理公司、家族办公室，现在获取、保存、处理来自于中国的客户个人信息，由于该等数据来自于境内，必然遇到“数据跨境”的安全评估与法律合规问题，面对中国个人信息保护与数据出境的新规（“新规”），究竟意味着怎样的合规风险和挑战，该如何快速应对？不少机构对之了解甚少，应对起来倍感措手不及。

本文将从新规法律框架和法律责任作为起点（第一部分），站在境外财富管理机构展业、获客的合规的角度分享市场洞察（第二部分），从四大高频疑问（第三部分）解答中国法对于境外财富管理机构的影响、未能积极应对调整合规策略的不利影响、境外财富管理机构究竟需要履行哪些合规义务、具体怎么做等几方面问题，我们将通过几个案例分享一些成功经验（第四部分），帮助客户形成高效的合规路径和方案，化解合规部门无从应对的两难困境，最终帮助业务部门持续合规地推进业务，将合规成本降至最低。

一. 个人信息保护和数据出境：立法新动向和法律责任概览

从《个人信息保护法》（“《个保法》”，2021年11月1日生效）、到2022年9月1日生效的《数据出境安全评估办法》及其细则《数据出境安全评估申报指南（第一版）》（“《申报指南（第一版）》”），随着中国个人信息、数据出境方面陆续颁布新规，由于法规本身处于逐步完善、演进的过程，如何在实践中有效履行法定合规义务，存在没有先例可以参考的困境。

在我们服务高净值客户，或与境内外银行、财富机构的合作过程中，我们注意到，“是否需要按中国法新规的要求收集客户个人信息，已经引起了一些财富管理机构，尤其是私人银行、保险公司、信托公司、家族办公室、资产管理公司等金融机构的关注和困惑，这些财富管理机构都需要履行客户背景尽职调查（即Know Your Client，“KYC”），KYC过程会涉及大量高净值客户个人信息的跨境传输、收集、分析，还涉及个人财产、家庭情况甚至医疗健康信息等敏感个人信息。

根据《个保法》，个人信息跨境传输之前需要履行法定程序和义务，否则数据不能出境。违规进行跨境传输的，个人信息处理者将受到处罚，以及“直接负责的主管人员和其他直接责任人员”也将受到处罚，除了罚款以外，情况严重的，个人还会遭遇“任职限制”。

二. 措手不及和无所适从：数据新规对跨境KYC及获客带来直接影响

境外的一些财富管理机构合规部已经关注到中国个人信息出境监管的立法和监管动向，但是不清楚作为境外主体究竟有哪些责任和义务，针对个人信息如何处理，由于难以高效决策而导致业务部门无法及时开户、无法推进业务。

还有一种情形，由于境内合作伙伴给境外财富管理机构推介客户的时候，需要根据新规完成信息出境的风险自评估，因此需要针对境外财富管理机构的信息安全能力进行尽调，而有的境外财富管理机构合规部门对此的可能回应是，“我们是大型金融机构，已经遵守GDPR[1]规定，有健全的隐私法和数据安全法监管。”没有积极响应该合规要求。由于境外财富管理机构合规部和数据安全部门无法配合提供资料，导致了业务部迟迟无法与中国的高客签约。随着《数据出境安全评估办法》生效（2022年9月1日），数据出境的监管、执法日趋清晰，如果境外财富管理机构没有在第一时间根据最新的立法进行调整，及时响应境内客户、合作伙伴的合规需求，可能就会错失一批业务机会。

三. 合规挑战四大高频疑问

如何解决上述“无从应对”的难题？一方面，要纠正“认知误区”，例如，“我们已经按GDPR要求在处理信息，为何还要受中国法管辖？”另一方面，新法下合规要求和义务不少，需要用底线思维去审视这些合规要求，理清脉络，才能“高性价比”解决问题。

笔者希望通过对以下四大高频疑问进行解答，站在境外财富管理机构合规视角，帮助这些境外机构了解中国个人信息出境合规的法律要求和边界，能够快速响应客户需求，最大限度降低对业务的不利影响。

1. WHY（为什么）：境外财富管理机构在境外对中国客户个人信息进行KYC调查，为何需要遵守中国《个保法》和相关数据安全法规？（中国法新规对域外机构的影响）

根据《个保法》第三条第二款：“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：（一）以向境内自然人提供产品或者服务为目的；（二）分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形。”中国《个保法》具有域外管辖效力，在境外财富管理机构收集客户个人信息KYC的场景下，最终目的是“向境内自然人提供产品或者服务”。因此，境外财富管理机构收集境内个人信息的行为属于《个保法》管辖范围。

此外，在KYC信息收集、处理过程，通常信息链路往往涉及跨境传输，因此需要遵守《个保法》第三章“个人信息跨境提供的规则”，例如，根据不同情况选择信息出境路径。如果落入需要向国家网信部门进行出境安全评估申报的数据出境情形，还需要同时按照《数据出境安全评估办法》（国家互联网信息办公室令第11号，已于2022年9月1日生效）准备相关数据出境安全评估资料并进行申报。

2. RISKS（哪些风险）：如果不遵守中国法，是否会有处罚？会有哪些不利后果？

根据《个保法》《数据出境安全评估办法》等规定，未能遵守相关合规义务，将需要承担行政处罚[2]以及民事损害赔偿侵权责任[3]。如果构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任[4]。

在法律责任方面，结合财富管理行业业务特色、数据合规风险严重程度和紧迫性，有三点内容值得关注：

（1）财富管理机构网站、应用程序可能被叫停：除了罚款以外，如果涉及使用网站、应用程序（APP）违规收集、处理个人信息的，网信办有权要求其暂停或终止提供服务。根据网信办官方发布数据[5]，“全国网信系统上半年累计依法约谈网站平台3491家，警告3052家，罚款处罚283家，暂停功能或更新419家，下架移动应用程序177款。”可见网信办对于网站、应用程序是“重拳出击”，这意味着，一旦受到影响导致业务中断，一方面是经济损失，更重要的是客户体验变差，可能导致客户流失。

（2）境内大客户经理个人责任：除了单位受罚以外，“直接负责的主管人员和其他直接责任人员”也需要承担连带责任，情节严重的情况下，个人最高罚款可达100万元，甚至可能被“禁业”（监管部门“可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”），不少境外财富管理机构为了在境内开拓、维系大客户，通常会在境内设置业务经理团队，这一项处罚对于境内负责向境外财富管理机构传输数据的大客户经理将产生较大负面影响。

（3）境外财富管理机构主体存在受处罚可能性：如前文所分析，《个保法》具有域外管辖效力，《个保法》第六十六条法律责任条款，针对处罚对象亦没有明确将境外主体排除在外，同时根据《个保法》第四十二条：“境外的组织、个人从事侵害中华人民共和国公民的个人信息权益，或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。”从法条层面，境外主体若发生违规行为，中国网信部门有权进行执法。这对于视商誉为生命的金融机构来说，再小的处罚，都会带来极大的负面影响。

根据以上分析，如果境外财富管理机构存在违规收集、传输个人信息的情形，存在潜在法律风险，轻则罚款，重则暂停应用程序、网站。

还有一类隐形风险更为常见，但往往容易被忽视，境内信息处理者向境外提供个人信息需要完成风险自评估、甚至可能需要向网信办进行数据出境安全评估申报，在此过程中需要对境外接收方进行数据安全尽职调查，如果未能通过数据出境安全评估的，客户信息将无法出境，对于境外财富管理机构来说，可能意味着丢失重要的客户和商机。

3. WHAT（该做什么）：境外财富管理机构需要履行哪些合规义务？

在回答这个问题之前，需要先厘清一个问题，在数据出境安全评估的情况下，究竟由谁向监管部门提出申报？在存在境内机构向境外财富管理机构转介客户的场景下，境内主体是境内“数据处理者”，由境内信息处理者主导“个人信息保护影响评估”（Privacy Impact Assessment，“PIA评估”）、“数据出境风险自评估”、作为申报主体向网信办提交“安全评估申报”。

尽管安全评估由境内主体负责，但这并不意味着境外信息接收方可以“不作为”。以网信办数据出境“安全风险自评估”要求举例，根据《数据出境安全评估办法》以及《申报指南（第一版）》规定，针对境外接收方需要进行尽调，包括说明处理数据的用途和方式、说明数据安全保障能力、说明境外接收方处理数据的全流程过程描述，而这些内容需要境外接收方提供相关证明文件，除了配合尽调以外，境外接收方还有一些相关的合规义务，例如，与境内主体订立数据处理协议等等。[6]

下图展示了不同境内主体的数据出境合规义务，以及境外财富管理机构所需要关注的重要内容。

点击可查看大图

4. HOW（怎么做）：拨开迷雾，寻找成本可控的合规策略、方案

  (1) 误区1：境外机构已按GDPR构建了成熟、健全的个人信息保护、数据安全政策，是否可以默认满足中国法合规要求？

一些境外财富管理机构，尤其是欧盟、新加坡、香港的机构经常会问如上的问题，他们针对隐私法、数据合规意识比较强，也就产生了这样的一种误区，认为自身已经遵循GDPR、PDPA[7]、香港《个人资料（私隐）条例》等当地数据保护法的监管，于是就默认其相关数据处理行为的操作思路和模式也满足了中国法新规要求。这显然是错误的。

实际上，尽管个人信息、数据安全部分立法原则上存在类似的内容，但遵守境外隐私法、数据合规法规，并不能直接等同于已满足中国法合规要求。境外机构必须根据中国法新规重新审视与中国有关的业务产生的信息流，结合新规调整相关合规指引。

  (2) 误区2：是否所有KYC都需要向中国网信部门进行安全评估申报？是否有统一标准可以遵循？

信息出境路径的合规程序将直接影响信息能否成功出境以及时间表。以个人信息跨境传输规则为例，《个保法》主要规定了三种数据出境路径[8]，包括经网信部门安全评估后的出境路径（“网信办安全评估路径”）、经个人信息保护认证后的出境路径、采用订立网信部门指定的标准合同的出境路径。

每条路径所需的程序，难度和耗费时间都有所不同。其中，根据目前法规颁布的情况，相比其他出境路径，按网信办安全评估路径出境规则较为明确，但从程序上看，能否成功并及时通过网信部门审查存在较大不确定性，在网信部门安全评估审批程序，法定至少需要45个工作日，甚至可能因材料不符合要求导致终止审查。[9]

需要注意的是，如果境外财富管理机构是通过境内金融机构转介客户，或者个人信息跨境传输达到一定量级的，是必须向网信部门进行数据出境安全申报的。因此，境外财富管理机构如果希望避免因前述程序问题耽误客户KYC流程，建议提前规划信息出境链路，高效解决合规问题。

四. 我们的方案：境外财富管理机构如何顺势而为，“高效”化解合规困境？

1. 来自境外财富管理机构合规部门的 “烦恼”：究竟该如何积极应对中国法合规要求？

如上文介绍，境外接收方需要回复尽调清单并提供文件。面对这样一份尽调清单，有些境外财富管理机构会感到不理解，通常会有几类反馈，“我们是XX国银行，已经通过本国的信息安全认证，为何需要提供这么多证明资料？”“集团不允许我们按中国法订立数据处理协议”。“我们合规部门感觉这是你们在对我们进行信息安全审计，我们没有义务配合。”“这属于我们的集团政策、商业秘密，无法提供。”之后，合规部与业务部就陷入了“无解”的僵持。

2. 我们的解决方案：通过规划最佳实践方案，帮助客户摆脱“纸面合规”，省“时”省金

站在境外财富管理机构获客的立场和角度，当互相竞争的机构因为“合规原因”而卡顿无法为客户开户的时候，你会发现，抢占时间和先机就是抢夺AUM[10]，举一个直观的例子，如果私行KYC长达几个月都没有完成，可能客户就会转而将财富交给其他私行管理了。但是，合规的底线需要守住，那么怎么做才能实现既合规又高效呢？我们通过几个实战案例，分享一些解决思路。

成功案例1：协助境外财富管理机构配合境内风险评估尽调

当境外财富管理机构收到风险评估尽调清单，业务部门被境内合作伙伴催促尽快提交，而合规部门却出于保密风控要求不太配合，怎么办？根据我们处理的经验，如果对资料的颗粒度把控不好，索取资料过多、过少都会产生问题，资料要求过多、过于深入，后果可想而知，要么合规部门需要花费很多时间收集，要么是根本不予配合，资料尽调流于形式可能又会导致无法通过安全评估。那么，此时就需要通过专业沟通，我们基于实操经验，向合规部门、数据安全部门澄清资料的颗粒度，顺利、高效收集这些资料，配合境内的尽调工作。

成功案例2：规划高效、合规数据出境路径

有一家欧洲知名资管公司客户合规意识非常强，主动要求按中国法合规要求操作，但苦于信息链路的其他主体因集团没下达配合的指令而无法推进，到时各方僵持，业务无法开展，客户找到我们希望进行合规风险评估以便内部决策，客户甚至在考虑是否通过集团政策限制欧洲总部接受来自中国的个人信息。我们进行了跨境数据出境映射分析（Cross-border Data Mapping），重新审视了信息处理链路以及各方的职责，成功找到了突破口，帮助客户高性价比地解决了这一困境，使得业务可以重新开展。

我们服务过程中，还会碰到这样的客户问题：“如果我给境外机构介绍客户，直接拉个微信群介绍，是否就可以不用进行安全评估了？”诸如此类的客户问题，答案并非yes or no那么简单，需要结合具体的商业模式、信息链路综合分析才能给出最佳方案。

成功案例3：帮助境外机构梳理业务模式，寻找最佳合规路径

我们做大型并购交易、licensing交易、IPO等项目时，通常会使用云储存服务器存储尽调资料。随着中国数据出境法规的陆续生效，这些云储存服务商非常头疼，他们面临着新用户、现有用户的疑问，“你们的服务器系统是否已经根据中国法规定进行了调整？”针对这样的情况，我们为客户设计了可行的业务模式与IT服务器搭建架构，考虑到架构调整需要耗费时间，针对过渡期内用户可能提出的疑问，我们还为客户制备了《用户问答手册》，通过这样的安排，成功地帮助客户在面临法规、监管趋严的情况下，能够与时俱进迅速应变，吸引新用户。

五. 启示：如何将挑战变为机遇

F1车手阿尔顿•塞纳说过：“天气晴好的时候，你无法一下子超越15辆车，但是天降大雨的时候，你却可以。”

在面对合规大变局的情况下，谁能够抢先合规，谁就能抢先避免因为强监管所带来的处罚风险，并且“接住”那些其他机构因为合规问题没有解决而无法接单、开户的客户，这就是危机带来的商机。

所以，如果能够快速行动，强占合规先机，就可以避免未来突发事件对业务的冲击，同时掌握合规实践的最佳路径，就能迅速、有效响应，就有机会利用弯道超车，抢占市场。

[注] 

[1] 欧盟《通用数据保护条例（General Data Protection Regulations）》。

[2]《个人信息保护法》第六十六条：违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

　　有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

[3]《个人信息保护法》第六十九条：处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

[4]《个人信息保护法》第七十一条：违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

《刑法》（中华人民共和国主席令第66号，2020年修正）第二百五十三条之一：【侵犯公民个人信息罪】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

 　　违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

 　　窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

 　　单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

[5]《2022年上半年全国网络执法工作取得明显成效》（2022年7月31日）http://www.cac.gov.cn/2022-07/31/c_1660892422799965.htm

[6]《数据出境安全评估办法》第五条：数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估以下事项：

　　（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；

　　（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；

　　（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；

　　（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

　　（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称法律文件）是否充分约定了数据安全保护责任义务；

　　（六）其他可能影响数据出境安全的事项。

[7] 指新加坡《个人数据保护法》（Personal Data Protection Act，简称“PDPA”）

[8]《个保法》第三十八条：个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

　　（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

　　（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

　　（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

　　（四）法律、行政法规或者国家网信部门规定的其他条件。

　　中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

[9]《数据出境安全评估办法》第十二条：国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估；情况复杂或者需要补充、更正材料的，可以适当延长并告知数据处理者预计延长的时间。

　《数据出境安全评估办法》第十一条 安全评估过程中，发现数据处理者提交的申报材料不符合要求的，国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的，国家网信部门可以终止安全评估。

　　数据处理者对所提交材料的真实性负责，故意提交虚假材料的，按照评估不通过处理，并依法追究相应法律责任。

[10] Asset Under Management（资产管理规模）。

 作者简介

龚乐凡  律师

上海办公室  合伙人

业务领域：私募股权和投资基金, 税务和财富规划, 合规和反腐败

特色行业类别：健康与生命科学

姜璐璐  律师

上海办公室  

非权益合伙人

业务领域：私募股权和投资基金, 投资并购和公司治理, 税务和财富规划

* 韩雪对本文亦有贡献。

作者往期文章推荐

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。

点击“阅读原文”，可查阅该专业文章官网版。