涉外法律 | 欧盟关于金融部门数字运营弹性监管提案

闪涛律师团队 LEGAL EYE 看法见法 2024-01-09

关键词：区块链；人工智能；大数据；智能合约；涉外法律服务；专业律师

本期关键词：关于金融部门数字运营弹性的监管提案；DORA；Digital Operational Resilience Act；欧盟；ICT；数据跨境传输；金融机构；第三方信息通讯技术服务提供商；欧盟境外供应商

本文约1730字，大约需要阅读4分钟。

2008年全球金融危机爆发后，全球金融监管机构首先开始担心银行相关数据的跨国传播，随后是系统性漏洞的潜在影响。决策机关和监管部门在关注过度依赖信息和通信技术所带来的风险的同时，他们显著地试图通过制定标准和协调监管或监督工作来增强企业的弹性。

在2008年之后的几年里，欧盟通过了主要加强欧盟金融部门金融弹性的立法，间接解决了某些领域的信息通讯技术风险（ICT Risks）。但欧盟委员会认为，前述立法只是解决运营风险措施的一部分，信通技术风险继续对欧盟金融体系的运营弹性、绩效和稳定性构成挑战。2020年，欧盟《数字服务法》（the Digital Services Act）和《数字市场法》（the Digital Markets Act）建立了针对政府持有的非个人数据向第三国的传输行为的监管制度。长久以来，是欧盟成员国各自采用数字运营弹性规则来填补这一空白，2020年欧盟委员会提出关于金融部门数字运营弹性的监管提案（DORA, Digital Operational Resilience Act），根据数字技术带来的变化提出的改革现有欧盟部门法规的建议，以此尽可能统一整个欧盟在这一方面的协调监管指令。

欧盟委员会建议金融系统的所有参与者确保他们能够承受所有类型的信息通讯技术相关干扰和威胁。银行、证券交易所、清算所以及金融科技必须遵守严格的标准，以防止和限制与信息通讯技术相关的事件的影响。欧共体还对向金融机构提供云计算的服务提供商（如大型科技公司）实施监督框架。因此，该提案将建立一个一致的事件报告机制，这将有助于减轻金融实体的行政负担，加强监管效力。

DORA制定了对第三方信息通讯技术服务提供商的规范。DORA中的一些条款旨在确保对第三方信息通讯技术供应商进行统一的监管，其中包括位于欧盟境外的一些供应商。DORA将威胁到在欧盟没有实际业务的信通技术公司为欧盟金融实体提供服务的能力，包括数据处理和数据传输。虽然DORA不会直接限制银行与第三方信息通讯服务提供商之间的跨境数据传输，但其中一些条款会通过限制银行使用欧盟境外第三方供应商提供给的服务间接限制数据的跨境传输。

DORA中，“第三方信息通讯技术风险管理”一章提出的新框架设置了几个目标：对欧盟金融实体应当如何监控其使用第三方信息通讯技术供应商所产生的风险制定规则；对欧盟金融实体的外部合同关系施加某些限制；以及赋予金融监管机构统一的监管权力等。

值得注意的是，DORA设定了三项条款将对欧盟境外的实体产生影响。

第26(2)条，将对欧盟金融实体施加特殊义务，该金融实体与在欧盟设立的信息和通信技术第三方服务提供商签订的合同允许该欧盟信息和通信技术提供商将关键或重要功能分包给在非欧盟第三国设立的另一家信息和通信技术提供商。在这种情况下，欧盟金融实体必须评估“潜在的长或复杂的分包链是否以及如何影响其全面监督合同职能的能力以及主管当局在这方面有效监督金融实体的能力。” 总部位于欧盟的金融实体必须特别注意分包商遵守的外国法律，包括数据保护法。虽然信息和通信技术分包商的外国实体性质本身并没有被取消资格，但该条款似乎确实确立了这样一种假设，即选择这样一个外国实体对一个欧盟金融实体来说是一个复杂的因素。

DORA要求对涉及“关键”信息通讯技术第三方服务提供商，根据其规模、系统重要性和不可或缺性进行定义。第28(9)条提出了一个绝对的限制：“金融实体不得使用在第三国设立的信息和通信技术第三方服务提供商，如果该服务提供商是在欧盟设立的，则该服务提供商将被指定为至关重要的。”如果一家公司不仅不是在欧盟合法成立的，而且“没有在欧盟建立业务”，那么它就属于这一类别，换言之，在欧洲开展业务的美国主要云服务提供商可能属于这一类。欧盟的金融实体不得利用在欧盟没有开展业务的公司传输关键的信息通讯技术服务。

起草者在立法的介绍性陈述中强调：“被指定为关键的信息和通信技术第三方服务提供商在欧盟合法注册的要求并不等于数据本地化，因为本法规不要求在欧盟进行任何进一步的数据存储或处理。”

此外，DORA第31(1)(d)条将授权金融监管机构对未来的措施提出建议，以应对信息和通信技术第三方承包商链带来的风险。如果分包商在第三国设立，并将代表金融实体执行关键或重要工作，则可以建议在欧盟设立的信息和通信技术提供商不再签订分包合同。因此，援引这一权力的情形将涵盖已经在欧盟成立的信息和通信技术第三方承包商，这可能迫使他们对进一步外包提出额外的尽职调查要求。

来源：https://www.crossborderdataforum.org/cross-border-data-transfers-in-financial-services-the-eus-new-regulatory-approach/

陆续更新，敬请期待

版权归闪涛律师团队所有，未经许可不得转载。

如认为本文侵犯版权，请及时联系闪涛律师团队。

关键词：区块链；人工智能；大数据；智能合约；涉外法

团队介绍

闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、金融、证券、私募、区块链、人工智能、智能合约、大数据、合规等领域。

闪涛律师，广东广信君达律师事务所高级合伙人，广东外语外贸大学法学院教授、硕士研究生导师，中南财经政法大学博士研究生。

执业证号：

14401200810597414

闪涛律师是中华全国律师协会涉外法律事务领军人才库人选，司法部“全国千名涉外律师人才名录”，司法部、全国律师协会“一带一路”跨境律师人才库首批成员，司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人，广东省涉外律师领军人才库成员。

一把短刀，怎么就让他连捅18人？！

向杨大市长道歉

向不容妄议的杨市长道歉

以色列搞大了：伊朗说要直接出兵参战

黄晓菁，这位杭州泰隆银行女员工自爆视频火了，带给我们那些思考？

生成图片，分享到微信朋友圈

涉外法律 | 欧盟关于金融部门数字运营弹性监管提案

您可能也对以下帖子感兴趣