《個人信息保護法》（以下簡稱“《個保法》”）已于2021年11月1日正式施行。《個保法》中規定了“域外管轄原則”，對于參與中國跨境金融業務的境外金融機構而言，意味着需要根據《個保法》重新審視其個人信息保護合規體系。本文将根據我們的實踐經驗，重點解析《個保法》中對境外金融機構處理個人信息的要求和個人信息跨境傳輸的要求，以期給境外金融機構的跨境金融業務提供幫助。

《個保法》第三條第二款規定，在中華人民共和國境外處理中華人民共和國境内自然人個人信息的活動，有下列情形之一的，也适用本法：（一）以向境内自然人提供産品或者服務爲目的；（二）分析、評估境内自然人的行爲；（三）法律、行政法規規定的其他情形。

境外金融機構，特别是香港的金融機構基本都會涉及向境内自然人客戶提供産品或服務和分析、評估境内自然人的行爲。因此根據該條法律，境外金融機構處理境内個人信息的行爲，基本上都會受到《個保法》的監管，并須遵守《個保法》的相關規則。可見，該條具有類似于歐盟《通用數據保護條例》（“GDPR”）長臂管轄的效果，明确了該法對境外個人信息處理者具有管轄效力。

如果對《個保法》第三條第二款進行文義解釋，則全球範圍内所有具有“處理中國境内自然人個人信息”的機構均受到該法管轄。這意味着《個保法》的管轄範圍非常大，但卻十分必要。實際上，該條的目的在于爲那些個人信息遭受不法收集、處理的中國境内自然人提供救濟；另外，此舉也是爲了避免信息處理者基于境内外不同的處理政策，爲了規避風險、降低成本、逃避管轄，專門将其公司設置在境外。在其他國家和地區，也存在類似的長臂管轄或個人信息保護法域外效力的規定，比如GDPR适用于所有向歐盟境内可識别的自然人提供商品、服務或爲了監控歐盟境内可識别的自然人的活動而收集、處理其相關數據的組織，而無論該組織是否屬于歐盟成員國。

根據《個保法》第五十三條，一旦境外金融機構被認定屬于《個保法》規定的境外個人信息處理者，境外金融機構便需要在中國境内設立專門機構或者指定代表，負責處理個人信息保護相關事務，并将有關機構或者代表的信息報送履行個人信息保護職責的部門。關于履行個人信息保護職責的部門具體是指哪一部門，有待實施細則等規定進一步澄清。

境外金融機構在收集客戶一般個人信息時，需要取得客戶的同意。在辦理業務的過程中，涉及到的個人基本信息指的是自然人身份識别信息，如姓名、性别、出生年月、職業、居住地址等信息。在此過程中，任何場景下告知、取得客戶的同意隻需要境外金融機構用顯著、清晰、易懂的語言真實、準确、完整地向個人告知需要收集的個人信息種類、處理信息的目的、方式、保存期限及限制等内容，并通過制作《個人信息授權同意書》《隐私聲明》等文件，獲取客戶的簽字或勾選即可。

境外金融機構在收集客戶敏感個人信息時必須要取得單獨同意。敏感個人信息包括生物識别、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌迹、不滿十四周歲未成年人的個人信息等。

要取得客戶的單獨同意，實踐中至少存在以下三種方式可供選擇：

a.通過制作單獨的《個人信息授權同意書》等文件，要求用戶簽署，取得用戶單獨、明确的同意； 

b.通過制作單獨的“告知同意界面”彈框等方式，要求用戶确認，取得個人單獨、明确的同意；

c.通過在隐私政策中設置單獨的“敏感個人信息”章節，要求客戶勾選，取得個人單獨、明确的同意。比如許多網上銀行在向用戶提供其隐私政策時，都專門針對未成年人個人信息的收集使用制訂了較爲詳細的單獨說明條款，并在其後緊跟“用戶同意”勾選項。

首先，境外金融機構在收集客戶信息的過程中，不能違反必要原則，收集與其提供的服務無關的個人信息。“違反必要原則”的行爲在實踐中具體表現爲：收集與現有業務功能無關的客戶個人信息、收集客戶個人信息的頻率超出實際需要、以改善服務質量等爲由強制收集客戶個人信息等。此外，通過客戶一攬子授權獲得的信息，即使客戶同意，也屬于違規收集信息。

其次，境外金融機構在收集客戶信息的過程中，如果沒有公開收集使用規則，即使客戶同意，也構成違規收集。“違反公開收集使用規則”的行爲在實踐中具體表現爲：沒有收集使用規則、首次運行時無明顯提示使用規則、使用規則難以訪問、使用規則形式上難以閱讀等。

最後，境外金融機構在收集客戶信息的過程中，必須明示收集使用個人信息的目的、方式和範圍。“違反明示收集使用規則”的行爲在實踐中具體表現爲：未逐條列舉、發生變化時未以适當方式通知、收集敏感信息未同步告知等。

《個保法》第三章對于境内個人信息的跨境傳輸制定了詳細規則。對于境外金融機構而言，個人信息跨境傳輸的常見情形是境外金融機構的境内分支機構（“境内分支機構”）将個人信息傳輸至境外金融機構。具體傳輸方式有兩種：一是境内分支機構将其收集的個人信息提供給境外的第三方信息處理公司，個人信息經境内服務器儲存、處理後再提供給境外金融機構；二是境内分支機構将其收集的個人信息通過内部系統直接傳輸給境外金融機構。

無論屬于以上哪種傳輸方式，境外金融機構境内分支機構都需要遵守《個保法》第三十八條的以下規定：

 “個人信息處理者因業務等需要，确需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：

（1）依照本法第四十條的規定通過國家網信部門組織的安全評估；

（2）按照國家網信部門的規定經專業機構進行個人信息保護認證；

（3）按照國家網信部門制定的标準合同與境外接收方訂立合同，約定雙方的權利和義務；

（4）法律、行政法規或者國家網信部門規定的其他條件。

本條第一項的“國家網信部門組織的安全評估”指的是國家互聯網信息辦公室2019年公布的《個人信息出境安全評估辦法（征求意見稿）》項下對個人信息出境的安全評估框架、評估流程、評估材料申報的要求。而第三項所指的“國家網信部門制定的标準合同”則仍有待網信部門公布。

此外，境外金融機構境内分支機構還應當符合《個保法》第三十九條的以下規定：

“個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項，并取得個人的單獨同意。”

《個保法》的出台，對于個人而言意味着個人信息保護程度的提升，但對于境外金融機構而言卻意味着跨境業務合規風險的升級。我們建議，境外金融機構可以從以下幾個方面規避風險：一是及時梳理涉及《個保法》的新規定，對機構的個人信息保護及管理規定進行更新，進行全面的合規自查；二是根據《個保法》指引，建立起個人信息保護制度體系，對一般個人信息和敏感個人信息進行分類管理，明确不同的信息處理模式，實施不同的安全保護措施；三是完善隐私政策，與客戶簽訂修正後的隐私聲明、用戶協議等文件；四是完善金融機構官網和手機APP收集個人信息的模式，确保在必要範圍内收集個人信息。