6月1日，中国人民银行发布《中华人民共和国反洗钱法（修订草案公开征求意见稿）》（以下简称“《意见稿》”），总计63条，而目前执行的《反洗钱法》只有37条。

在《意见稿》众多新增的内容中，第五章第49条并不起眼，但是其中的要求并不简单。该条款增加了数据安全概念，即“信息出境应当向金融监督管理机构报告”。

金融数据出境和反洗钱有什么关系？

一位中资企业驻中亚某国分支机构负责人曾向媒体表示，此前企业总部打算从中亚国家账户划拨一笔闲置美元资金给美国账户，用于海外投资收购。

没想到整个流程耗时大半年，因为美国金融监管部门对这笔资金开展反洗钱核查，要求中资企业提供最详尽的资金来源合法性材料，以及海外投资收购文件。“若相关材料存在漏洞，这笔资金可能被美国金融监管部门直接罚没。”他透露。

随着我国企业在海外的开疆拓土，在海外资金的划拨调动、一举一动皆处于国外监管部门的审查之下，反洗钱是其中常见且无法逃脱的审查之一。

在这种情况下，反洗钱审查成为了获取国内企业相关信息的最好办法，大量的企业信息、金融数据会从境内流出至国外。虽然让数据出境的目的是企业为了满足国外合规所需，但是谁能保证不会出现另外一个“汇丰银行案”呢？

随着中国经济崛起，越来越多的中国企业走向世界。但在走出去的过程中，遇到诸多障碍，比如中兴、华为、微信、抖音等企业均遇到域外执法及部分制裁。

保护金融数据出境安全，也是在保护企业在国外的利益安全。

资金跨境带来数据出境

中国企业海外上市对大部分人来说已经是常态，从2017年开始跨境打新就已经成为了热门，易操作、风险低、收益高等特点让跨境打新在这两年更是风靡全国。

值得注意的是美股和港股均需托管在境外第三方合作清算商，因此，客户的姓名、身份证号、住址、邮箱、联系电话、婚姻状况、就业情况等个人信息，以及净流动资产、净资产、总资产、净年收入等金融数据按要求也会由相应的券商跨境提供给境外清算商。

当然，主要目的也是反洗钱审查。

就这样，每年大量的金融个人数据随着资金就这样流出了国境，进入了境外金融机构的数据库里，而这些数据会被用于风险、反洗钱审查等等各种审查项目，至于终点是哪，就不为人知了。

类似的金融数据出境情况并不少见，除了企业跨国上市、股民跨境打新，跨境贸易过程中出现金融数据出境也是常有的，不过一般是支付信息、订单信息等等，用途也大都是为了符合风险、反洗钱审查要求。

当然，这些数据是否属于“可能影响中国国家主权、安全和利益或者公民、法人或其他组织利益的”还需要细细分辨。

金融数据出境要怎么做？

随着中国金融市场国际化进程的推进，越来越多的国际金融机构在中国利用母国的信息基础设施开展业务，中国的金融机构也在金融开放过程中不断走出去，金融数据出境与入境成为常态。在此过程中，对于金融数据出境相关的合规要求也在不断地变化。

2011年1月，中国人民银行发布《关于银行业金融机构做好个人金融信息保护工作的通知》，其中明确指出，“除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。”

《关于银行业金融机构做好个人金融信息保护工作的通知》部分截图

2016版《中国人民银行金融消费者权益保护实施办法》第三十三条对金融数据出境有所规定。而2020年新发布的《中国人民银行金融消费者权益保护实施办法》删掉了相关条款。

2016版《金融消费者权益保护实施办法》部分截图

2017年6月1日起施行的《网络安全法》则规定，因业务需要，确需向境外提供数据的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

《网络安全法》第三十七条

2019年中国银保监会发布的《银行业金融机构反洗钱和反恐怖融资管理办法》则规定，依法履行反洗钱和反恐怖融资义务获得的客户身份资料和交易信息，非依法律、行政法规规定，银行业金融机构不得向境外提供。

《银行业金融机构反洗钱和反恐怖融资管理办法》部分截图

中国人民银行2020年2月发布《个人金融信息保护技术规范》，其中对金融数据出境做出了明确的规定，应合法律和主管部门有关规定。

《个人金融信息保护技术规范》部分截图

而最新发布的《数据安全法》对于数据出境则指出，重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定。

《数据安全法》部分截图

由此可见《意见稿》当中“信息出境应当向金融监督管理机构报告”的条款和《网络安全法》、《数据安全法》等条款是一脉相承的。

值得注意的是，无论是《网络安全法》还是《个人金融信息保护技术规范》都指出，金融数据出境需要经过出境安全评估，但《个人信息出境安全评估办法》自2019年6月发布征求意见稿之后再无动静。

简单的说，目前我国金融数据出境已经形成了从法律到部门规章的制度规范，但是相应的安全评估标准、方法还处于建设当中。

金融数据出境的合规重点

从金融数据禁止出境，到经过安全评估后可出境，十年间监管政策的变化昭示了未来的景象，金融数据的出境是必然会发生的事情，重点在于数据出境的尺度。

这个尺度是什么呢？让我们回到《意见稿》第五章第49条，其中明确的划出了红线“可能影响中国国家主权、安全和利益或者公民、法人或其他组织利益的”。

由此，金融机构金融数据出境的合规重点也同时出现：不能影响中国国家主权、安全和利益或者公民、法人或其他组织利益。

当然，合规从来都是说起来容易做起来难，让我们期待《个人信息出境安全评估办法》的正式出炉，为数据出境合规指明道路。