台資銀行在大陸向境外母行傳遞個人或企業信息要注意當中的法律責任與相關法律風險。
在大陸的台資銀行常會因業務需要,通過與境外母行或聯行開展集團內跨境協作,雖然目的是為了維護集團客戶關係,或進行客戶風險控制,及提供大陸端的法律合規服務,但在2021年11月1日正式生效《個人信息保護法》後,更要特別注意,在與境外母行或關聯行交換信息過程中,是否會涉及信息向境外披露的情形,對台資銀行來說,符合大陸法律、行政法規和金融主管部門有關規定,是風控合規工作的重中之重。
銀發【2011】17號文《中國人民銀行關於銀行業金融機構做好個人金融信息保護工作的通知》中,要求在大陸境內收集個人金融信息的儲存、處理和分析,都應當在大陸境內進行。除法律法規及大陸人民銀行另有規定外,金融機構不得向境外提供大陸境內個人金融信息。
因此,大陸境內個人財產、帳戶、信用、金融交易信息等,均屬於個人敏感信息,一般是以禁止境外處理、分析作為原則,但監管部門考慮到外資銀行將業務系統置於境外的特殊性,人民銀行上海分行曾發布【2011】110 號《關於銀行業金融機構做好個人金融信息保護工作有關問題的通知》,認可如果是為了客戶辦理業務需要,經客戶同意後可以向境外總行、母行等提供個人金融信息,這種情況不屬於違規,但境外總行必須擔負起保障個人金融信息安全的措施並承擔對應法律責任。
上述2011年的17號文所涉及的「法律另有規定」,主要指剛剛於2021年11月1日正式實施的《個人信息保護法》,當中對個人信息跨境提供的規則做出嚴格規定,台資銀行必須高度關注相關變化。
首先,境內機構應具備通過大陸網信部門組織的安全評估,或經專業機構進行個人信息保護認證,或與境外接收方訂立標準合同等必備條件;同時還需要採取必要措施,保障境外母(總)行處理個人信息的工作達到大陸規定個人信息保護的標準,最後則是必須取得被披露信息的個人同意。
值得一提的是,將大陸企業的金融信息向境外機構提供,雖然不像個人信息有明確規定,但也是要取得企業書面同意資料,並具備要求境外機構的保密承諾資料,若涉及商業秘密,還須經過權利人書面同意後方可向第三人提供。
至於反洗錢信息的跨境傳遞方面,台資銀行通過履行反洗錢義務所獲得的客戶身份和金融交易信息,在收集、保存、使用、對外提供客戶金融信息時,也應多加留意2019年1號令《銀行業金融機構反洗錢和反恐怖融資管理辦法》明確規定,銀行業不得向境外提供履行反洗錢和反恐怖融資義務,所獲得的客戶身份信息和交易信息。實務中,境內外金融機構可疑信息的共用,主要採去識別化措施處理,也就是移除所有可辨識使用者身份的信息。
另一方面,銀反洗發[2018]19號文《法人金額機構洗錢和恐怖融資風險管理指引》中,也對跨境信息保密做出嚴格規定,除了要求機構嚴格保密外,還要建立跨境信息保密保障措施、內部跨境信息傳遞體系、風險控制流程和授權審批機制。
因此反洗錢信息跨境傳遞時,應注意根據信息敏感度及與洗錢風險的相關性,在控制知悉範圍和實施保密措施前提下,謹慎對和洗錢風險有關的信息進行共用,並採用嚴格的去識別化措施。