涉外法律 | 欧盟关于金融部门数字运营弹性监管提案
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:关于金融部门数字运营弹性的监管提案;DORA;Digital Operational Resilience Act;欧盟;ICT;数据跨境传输;金融机构;第三方信息通讯技术服务提供商;欧盟境外供应商
本文约1730字,大约需要阅读4分钟。
2008年全球金融危机爆发后,全球金融监管机构首先开始担心银行相关数据的跨国传播,随后是系统性漏洞的潜在影响。决策机关和监管部门在关注过度依赖信息和通信技术所带来的风险的同时,他们显著地试图通过制定标准和协调监管或监督工作来增强企业的弹性。
在2008年之后的几年里,欧盟通过了主要加强欧盟金融部门金融弹性的立法,间接解决了某些领域的信息通讯技术风险(ICT Risks)。但欧盟委员会认为,前述立法只是解决运营风险措施的一部分,信通技术风险继续对欧盟金融体系的运营弹性、绩效和稳定性构成挑战。2020年,欧盟《数字服务法》(the Digital Services Act)和《数字市场法》(the Digital Markets Act)建立了针对政府持有的非个人数据向第三国的传输行为的监管制度。长久以来,是欧盟成员国各自采用数字运营弹性规则来填补这一空白,2020年欧盟委员会提出关于金融部门数字运营弹性的监管提案(DORA, Digital Operational Resilience Act),根据数字技术带来的变化提出的改革现有欧盟部门法规的建议,以此尽可能统一整个欧盟在这一方面的协调监管指令。
欧盟委员会建议金融系统的所有参与者确保他们能够承受所有类型的信息通讯技术相关干扰和威胁。银行、证券交易所、清算所以及金融科技必须遵守严格的标准,以防止和限制与信息通讯技术相关的事件的影响。欧共体还对向金融机构提供云计算的服务提供商(如大型科技公司)实施监督框架。因此,该提案将建立一个一致的事件报告机制,这将有助于减轻金融实体的行政负担,加强监管效力。
DORA制定了对第三方信息通讯技术服务提供商的规范。DORA中的一些条款旨在确保对第三方信息通讯技术供应商进行统一的监管,其中包括位于欧盟境外的一些供应商。DORA将威胁到在欧盟没有实际业务的信通技术公司为欧盟金融实体提供服务的能力,包括数据处理和数据传输。虽然DORA不会直接限制银行与第三方信息通讯服务提供商之间的跨境数据传输,但其中一些条款会通过限制银行使用欧盟境外第三方供应商提供给的服务间接限制数据的跨境传输。
DORA中,“第三方信息通讯技术风险管理”一章提出的新框架设置了几个目标:对欧盟金融实体应当如何监控其使用第三方信息通讯技术供应商所产生的风险制定规则;对欧盟金融实体的外部合同关系施加某些限制;以及赋予金融监管机构统一的监管权力等。
值得注意的是,DORA设定了三项条款将对欧盟境外的实体产生影响。
第26(2)条,将对欧盟金融实体施加特殊义务,该金融实体与在欧盟设立的信息和通信技术第三方服务提供商签订的合同允许该欧盟信息和通信技术提供商将关键或重要功能分包给在非欧盟第三国设立的另一家信息和通信技术提供商。在这种情况下,欧盟金融实体必须评估“潜在的长或复杂的分包链是否以及如何影响其全面监督合同职能的能力以及主管当局在这方面有效监督金融实体的能力。” 总部位于欧盟的金融实体必须特别注意分包商遵守的外国法律,包括数据保护法。虽然信息和通信技术分包商的外国实体性质本身并没有被取消资格,但该条款似乎确实确立了这样一种假设,即选择这样一个外国实体对一个欧盟金融实体来说是一个复杂的因素。
DORA要求对涉及“关键”信息通讯技术第三方服务提供商,根据其规模、系统重要性和不可或缺性进行定义。第28(9)条提出了一个绝对的限制:“金融实体不得使用在第三国设立的信息和通信技术第三方服务提供商,如果该服务提供商是在欧盟设立的,则该服务提供商将被指定为至关重要的。”如果一家公司不仅不是在欧盟合法成立的,而且“没有在欧盟建立业务”,那么它就属于这一类别,换言之,在欧洲开展业务的美国主要云服务提供商可能属于这一类。欧盟的金融实体不得利用在欧盟没有开展业务的公司传输关键的信息通讯技术服务。
起草者在立法的介绍性陈述中强调:“被指定为关键的信息和通信技术第三方服务提供商在欧盟合法注册的要求并不等于数据本地化,因为本法规不要求在欧盟进行任何进一步的数据存储或处理。”
此外,DORA第31(1)(d)条将授权金融监管机构对未来的措施提出建议,以应对信息和通信技术第三方承包商链带来的风险。如果分包商在第三国设立,并将代表金融实体执行关键或重要工作,则可以建议在欧盟设立的信息和通信技术提供商不再签订分包合同。因此,援引这一权力的情形将涵盖已经在欧盟成立的信息和通信技术第三方承包商,这可能迫使他们对进一步外包提出额外的尽职调查要求。
来源:https://www.crossborderdataforum.org/cross-border-data-transfers-in-financial-services-the-eus-new-regulatory-approach/
陆续更新,敬请期待
如认为本文侵犯版权,请及时联系闪涛律师团队。
关键词:区块链;人工智能;大数据;智能合约;涉外法
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、金融、证券、私募、区块链、人工智能、智能合约、大数据、合规等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
执业证号:
14401200810597414
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
往期回顾
数据安全
数据安全 |《App违法违规收集使用个人信息监测分析报告》概览
数据安全 | 欧洲数据保护委员会EDPB:澄清域外适用与数据跨境传输条款间的相互作用
数据安全 | Vodafone因违反GDPR被西班牙数据保护局罚款4万欧元
数据安全 | 脸书前员工出席欧洲议会听证会,欧盟数字监管步伐加速?
数据安全 | 网信办拟出规定严管算法推荐:不得利用算法实施流量造假控制热搜
数据安全|最高院明确对于人脸识别技术的民事司法裁判规则, 扩宽个人信息保护救济途径
数据安全 | 步步为营—中国企业“走出去”跨境数据合规要点与步骤
数据安全 | 俄罗斯对Whatsapp违反个人数据法提起行政诉讼
《信息安全技术人脸识别数据安全要求》国家标准征求意见稿 都说了啥?
四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》
涉外法律
涉外法律 | 美国联邦贸易委员会更新金融机构网络安全保障措施规则
涉外法律 | EDPB通过GDPR第23条数据主体权利限制指南
涉外法律 | 美国参议员提出关于安全处理人工智能收集的数据的法案
涉外法律 | 浅析《欧盟两用物项管制条例》对科技领域企业的影响
案例分享
案例分享 | 从蚂蚁微贷诉企查查案看公共数据商业化利用的合法性边界
案例分享 | 广州互联网法院公布涉数据及虚拟财产十大典型案例
案例分享|平台能否根据算法自动化决策进行处罚?看看法院怎么说!
案例分享 | iTunes反垄断案——独家音乐版权是垄断吗?
案例分享 | 大众点评网数据信息不正当竞争纠纷案——数据信息使用行为是否构成不正当竞争的司法认定
案例分享 | 欧美数据跨境的角力:Facebook诉DPC被驳回
立法动态
新法速递 |《上海市数据条例》公布 自2022年1月1日起施行
新闻速递 | 网信办发布《网络数据安全管理条例》(征求意见稿)
立法动态 | 国家互联网信息办公室就《数据出境安全评估办法(征求意见稿)》公开征求意见
新闻速递|《粤港澳大湾区“跨境理财通”业务试点实施细则 》正式发布,一起来看看吧!
立法动态 |蹭热点:《个人信息保护法》个人信息处理者应当遵循的十一条义务
立法动态 | 《关键信息基础设施安全保护条例》,网络安全保护再添坚强后盾
立法动态 | 深圳市、广州市首席数据官制度试点方案出台(全文与简评)
立法动态|浙江省发布《数字化改革 公共数据分类分级指南》省级地方标准
立法动态 | 上海经信委发布“关于《上海市智能网联汽车测试与示范实施办法(征求意见稿)》公开征询意见的公告
立法动态 | 国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》
立法动态 | 国内数据领域首部综合性立法-《深圳经济特区数据条例》正式公布
全国人大法工委举行记者会公布数据安全法草案、个人信息保护法草案最新修改内容
新闻速递
新闻速递 | 荷兰税务机关因非法和歧视性数据处理行为被处以275万欧元罚款
新闻速递 | 工信部:下架540款拒不整改的APP,高压震慑违规行为
新闻速递 | 中方正式提出申请加入《数字经济伙伴关系协定》(DEPA)
新闻速递 | DDTP分布式数据传输协议助力个人信息可携带权落地
新闻速递|《国家标准化发展纲要》发布!未来15年我国标准化发展设定目标和蓝图敲定
新闻速递|腾讯安全《车联网数据安全体系建设指南》正式发布!一起来看看吧!
新闻速递 | 马斯克:特斯拉车主所有个人身份信息都安全地存储在中国国内
新闻速递 | 工信部就《工业和信息化领域数据安全管理办法(试行)》公开征求意见
新闻速递 | WhatsApp对DPC的GDPR罚款提出上诉
新闻速递|CPTPP文本目录与加入程序(附官方中英对照PDF全文)
新闻速递 | Zoom同意就隐私诉讼支付8500万美元与用户和解
新闻速递 | 菲律宾国家隐私委员会发布实施ISO隐私标准的建议
行业政策 | 2021年6月中国各省区块链与数字人民币政策速览
简评 | 关于腾讯手机管家等84款App违法违规收集使用个人信息情况的通报
其他文章
“十四五”规划与区块链的那些事儿:加快数字发展,建设数字中国
实用建议七则:企业视角下的区域全面经济伙伴关系协定(RCEP)原产地规则
年末回顾 | LEGAL EYE 2020年区块链与法推文检索目录
点一下在看再走吧