《保险公司非现场监管暂行办法（征求意见稿）》第二十一条完善建议

应加强对保险公司数据跨境流动的非现场监管

——《保险公司非现场监管暂行办法（征求意见稿）》第二十一条完善建议

　　保险公司非现场监管是指监管机构通过收集保险公司和保险行业的公司治理、偿付能力、经营管理，以及业务、财务数据等各类信息，持续监测、分析保险公司业务运营、提供风险保障和服务实体经济情况，对保险公司和保险行业的整体风险状况进行评估，并采取针对性监管措施的持续性监管过程。非现场监管一直是保险监管的重要手段，其与现场监管相辅相成，有利于提升监管效能，防范保险公司和保险业系统性风险。

　　早在2006年1月，原保监会就发布了《寿险公司非现场监管规程（试行）》（以下简称《规程》）（2021年6月被废止）。近日，中国银保监会起草发布《保险公司非现场监管暂行办法（征求意见稿）》（以下简称《暂行办法》）并公开征求意见。《暂行办法》主要内容包括保险公司非现场监管的内涵、监管机构开展非现场监管遵循的原则、职责分工以及工作流程等。它填补监管空缺，并在寿险公司基础上，构建了保险公司非现场监管的整体规范，实现了对各类型保险公司及其分支机构的全覆盖。《暂行办法》设定的统一非现场监管目标以及建立的统一工作流程和工作标准，有利于保险业非现场监管更加制度化、规范化。

　　《暂行办法》第二十一条规定了保险公司非现场监管的主要内容。笔者建议，在《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》相继实施背景下，有必要增加保险公司个人信息和重要数据跨境流动监管内容，并在必要时进行专项非现场监管评估，为规范金融数据跨境流动提供制度保障。

　　金融数据跨境流动及监管的必要性

　　随着跨境贸易的发展，跨境金融日益活跃，金融数据的跨境流动可能会成为必然需求。在业务开展方面，外国或外资保险公司在提供金融服务时需要获取客户的相关数据来为其风险定价、承保决策、产品营销和保险公司经营发展状况分析提供支持。在合规义务方面，为满足国外数据合规监管的需要，经营跨境保险业务的境内保险公司需要报送相关经营乃至客户数据。在反洗钱等金融犯罪活动跨境监管方面，各国监管机构之间开展合作时，也会涉及金融机构数据的跨境传送。

　　由此可见，金融数据包括金融机构收集的原始数据和经整合后形成的金融信息，其跨境流动规模庞大、复杂敏感、影响甚广：跨境传输使得金融数据脱离本国控制权和管辖权，关乎网络空间主权和国家安全；由于金融业风险传导的全球性和扩散性，金融数据影响金融风险蔓延和金融业稳定；金融数据代表个人隐私权和财产权等合法权益，将个人金融信息暴露于他国视野内，给金融消费者带来损失以及权利救济的不便。因此，强化金融数据跨境流动监管十分必要。

　　数据跨境流动监管的

　　法律依据及要求

　　《中华人民共和国网络安全法》第三十一条明确金融业属于国家重要行业和领域，国家实行重点保护；第三十七条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”这确立了重点保护、以个人信息和重要数据的本地化存储为原则，安全评估为例外的数据跨境流动模式。

　　今年9月1日起施行的《中华人民共和国数据安全法》规定，金融主管部门承担本行业、本领域数据安全监管职责，国家建立数据分类分级保护制度。因此，金融主管部门也将制定重要数据具体目录，对列入目录的数据进行重点保护。

　　今年11月1日起施行的《中华人民共和国个人信息保护法》设专章规定了个人信息跨境提供的规则，主要包括：（1）个人信息处理者因业务等需要，确需向境外提供个人信息的，须通过安全评估、经个人信息保护认证以及与境外接收方订立合同。（2）个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。（3）非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

　　从监管层面看，主要涉及三方面内容：一是数据本地化要求，即要求个人信息与重要数据在我国境内存储，以实现对特定数据信息相对独立自主的占用、处理、管理效果。数据本地化不仅针对数据本身，还针对数据的载体，数据本地化存储的方式一般包括境内物理服务器或云服务器，在选择云服务器进行存储情况下，应当注重选择服务商境内节点所提供的云服务。二是数据确需向境外提供的，须通过安全评估，个人信息还需经个人信息保护认证以及与境外接收方订立合同。三是数据保密要求，金融机构及其工作人员应当为依法获得的客户身份资料和交易信息予以保密。

　　保险公司数据跨境流动

　　非现场监管的举措

　　保险公司作为国家金融监管部门监督管理的持牌金融机构，应对其在国际化经营、跨境支付结算、集团化风险管理和境外信息报送等过程中产生的个人信息和重要数据跨境流动加强非现场监管。在现阶段监管水平和监管能力条件下，银保监会主要通过对保险公司报送数据进行审查来预警和监测数据跨境传输的风险。在此过程中，应强化三方面工作：一是要审查报送数据真实性，建立数据质量等级制度，杜绝迟报、漏报、错报、虚报等数据质量问题的发生，为数据跨境传输的风险评估和监管提供有效依据；二是对短期内大规模传输相关数据或者传输的数据范围超出合理使用目的而使风险等级升高时，保险公司应提前向银保监会报告，并按相关法律规定进行事前的数据出境审查和保护认证；三是创新非现场监管方式，加强窗口指导，动态贴身监管，通过实地调研、网络视频会议、专题座谈等形式进行摸底调研，审慎约谈，督促保险公司自查自纠。

　　虽然统一的金融数据跨境流动特殊规则还未制定，《暂行办法》也多为原则性规定，但是规范金融数据跨境流动势在必行。这是因为金融数据跨境流动监管是金融监管框架的一部分，所以监管机构应该具有前瞻性，加强对保险公司个人信息和重要数据的跨境流动的非现场监管，力争为后续制定相关指引细则奠定基础。金融机构监管部门未来应该根据保险公司的业务范围和机构层级，另行制定下发适用于财产保险公司、人身保险公司和再保险公司金融数据跨境流动风险监测和非现场监管评估指引，进一步规范金融数据跨境流动。（作者单位：华东政法大学经济法学院）