勤说湾区第 02 期2021 年 12 月前言: 大湾区金融业前景蓬勃第 04 页探索新机遇：前海深港国际金融城第 06 页税务：投资粤港澳大湾区之 税务攻略第 09 页科技：内地网安审查新规，聚焦跨境数据安全风险第 14 页2大湾区金融业前景蓬勃大湾区金融市场融合在2021年第四季度进一步深化。探索新机遇：前海深港国际金融城前海深港国际金融城将着力为香港金融机构拓展内地市场提供空间载体，为深港合作实现优势互补、融合发展提供重要平台支撑。目录前言政策勤说湾区3投资粤港澳大湾区之税务攻略在“一国两制三税区”的背景下，税制差异和协调必然是企业投资粤港澳大湾区过程中所关注的重点之一。内地网安审查新规，聚焦跨境数据 安全风险日常业务涉及跨境数据传输和处理的企业，务必及时掌握国内外的监管环境变化和其影响，深入了解相关法规、指引和要求，预先审视企业自身面临的数据监管风险。税务科技勤说湾区4前言大湾区金融业前景蓬勃5徐英伟德勤中国金融服务业 市场发展主管合伙人电邮：.hk自跨境理财通业务试点于今年九月正式启动后，粤港澳大湾区内金融业界均积极行动，至今大湾区内共有21家内地银行、19家香港银行和8家澳门银行已开始为大湾区居民提供跨境理财服务。大湾区金融市场融合在2021年第四季度进一步深化。10月21日，中国人民银行和香港金融管理局发出联合公告，签署关于在粤港澳大湾区开展金融科技创新监管合作的谅解备忘录（以下简称备忘录）。在备忘录合作框架下，双方将通过一站式“联网”，把人民银行的金融科技创新监管工具与金管局的金融科技监管沙盒对接，借此加速金融科技产品的推出，并降低相关开发成本。正如香港金融管理局总裁余伟文先生所言，在科技发展迅速的环境下，预期有关安排将加强金融科技监管交流。此外，近期另一重大举措便是 刚刚在10月下旬正式启动的前海深港国际金融城项目。该项目是今年9月上旬公布的全面深化前海深港现代服务业合作区改革开放方案的其中一部分。我们从部分在港本地和外资金融机构和金融科技企业处了解到，业界普遍对于新建的前海深港国际金融城表示乐观，并有意考虑在前海设立销售部门或运营中心，以支持其扩展在大湾区以及其他内地城市的业务。再者，以前海金融城作为平台，企业有机会享受一系列的奖励和优惠，如资金支持、办公室配套、人才资源和税务优惠等。我们很高兴在本期与大家分享更多详情。大湾区在过去短短四年间发展蓬勃，成绩有目共睹，不少中国内地、港、澳以及海外跨国集团企业都纷纷希望借着投资大湾区实现业务拓展。为此，我们邀请德勤税务专家分别从企业和个人层面，分析企业投资大湾区时须考虑的税务影响因素。过去两年，由于新冠疫情导致香港与澳门和内地无法如常通关。新年将至，我们都热切期待三地能够恢复正常通关。11月下旬，内地疫情防控专家刚完成了访港视察工作，为日后通关带来希望。我们预计在三地恢复通关之时，跨境业务将迅速反弹至疫情前的水平，甚至有过之而无不及。 然而，我们也注意到市场普遍对数据安全和用户隐私保护的重视程度日益增长，尤其涉及跨境数据传输则更备受关注。中央政府近年陆续出台更多新的法规和指引，进一步加强国家数据安全和保护举措。因此，拥有跨境业务的企业必须根据最新的规定，更新其隐私政策和服务条款，并为日后任何潜在合规风险做好准备。本期勤说湾区也将为大家提供相关德勤专家解读，就其中关键事项为您提供专业指引和洞察，分享可行的解决方案。即将进入年末倒数之际，在2022年即将来临之际，谨祝大家在新的一年里踏平坎坷成大道，突破创新，成就不凡。今年9月，中共中央、国务院正式发布全面深化前海深港现代服务业合作区改革开放方案（以下简称方案），前海合作区总面积由14.92平方公里扩展了8倍至120.56平方公里，新纳入西部沿海的空港、海港枢纽和高科技等现代服务业空间，更有利于不同产业的融合发展。方案提出要在内地与香港关于建立更紧密经贸关系的安排（CEPA）框架内支持前海合作区对港澳扩大服务领域开放，提升前海“国家金融业对外开放试验示范窗口”和“跨境人民币业务创新试验区”功能。2021年10月28日，前海深港国际金融城建设启动仪式在前海嘉里中心举行，前海深港国际金融城将着力为香港金融机构拓展内地市场提供空间载体，为深港合作实现优势互补、融合发展提供重要平台支撑，支持香港更好融入国家金融改革开放新格局，巩固提升香港国际金融中心地位。地理与政策优势前海深港国际金融城位于深圳前海桂湾和前湾片区，在扩容前的前海合作区范围内，规划总用地面积2.3平方公里，逾100万平方米的高质量办公楼已建成并投入使用，周边商业配套已经完善齐备，所提供的办公空间性价比极高。目前已签约入驻各类金融机构百余家，其中港资、外资合计占比超过30%，产业集聚效应初具规模。12家银行的首批“跨境理财通”试点业务均率先落地前海，走在深港金融合作和创新的最前沿。 一系列优惠和奖励2021年11月22日，前海管理局出台了深圳前海深港现代服务业合作区支持金融业发展专项资金管理暂行办法(以下简称办法)，其中深港金融合作是办法最重要的部分，其篇幅占政策条款总数的六成。办法重点以持牌金融机构及其子公司、金融科技企业、绿色金融机构、数字人民币机构、商业保理企业、金融租赁和融资租赁企业、外商投资股权投资管理企业（QFLP）和外商独资私募证券投资基金管理机构（WFOE PFM）等企业为重点目标，提供一次性落户奖励、入驻奖励、业务创新奖励等多项扶持，单项最高扶持力度可达人民币1,000万元，2021年1月1日后入驻产业载体且年度利润总额和营业收入满足条件的，给予管理团队最高人民币300万元的经营奖励。同期出台的深圳前海深港现代服务业合作区促进产业集聚办公用房资金补贴办法，对符合条件的金融机构提出了最高人民币3,000万元的购房补贴或每年最高500万元的租金补贴。值得一提的是，入驻前海深港国际金融城的机构，如符合前海优惠产业目录，还可以享受15%的企业所得税优惠税率。根据最新的优惠产业目录，金融机构下设的科技公司、呼叫中心、后台服务中心（包括法律、会计、税务、人力资源等）等均有机会享受该优惠税率。政策探索新机遇： 前海深港国际金融城姜妍德勤中国华南（大陆地区） 金融服务业税务咨询 主管合伙人电邮：6勤说湾区7落户前海，掌握前沿商机我们认为，办法等一系列优惠政策的出台，将为香港金融业参与大湾区建设提供有力支撑。日后，前海与香港两地金融机关、企业和专业人士会继续通过紧密沟通和交流，共同推动两地金融市场进一步互联互通，为香港金融业融入大湾区市场拓展更大的空间。重点扶持机构和资金政策一览奖励类型1持牌机构2金融科技企业3数字人民币机构绿色金融机构WFOE PFM 和 QFLP行业 组织4金融租赁 和融资租赁商业保理企业其他 机构一次性落户奖励 要求相关机构承诺十年内注册地、税收缴纳地、实际经营地不迁离前海合作区，提前迁离的，需按比例退回剩余年度奖励资金并按贷款市场报价利率 (LPR)计息人民币100万 -1,000万元人民币100万 -300万元新设立或新迁入数字人民币实验室、研发中心、应用展示中心：人民币50万元 开展数字人民币业务：人民币100万-300万元人民币 100万元外商独资私募证券投资基金管理机构(WFOE PFM)：人民币100万元 外商投资股权投资管理企业(QFLP)：人民币50万元人民币50万-200万元/ /粤港澳大湾区重大金融合作平台与金融基础设施：人民币200万元一次性入驻/运营扶持 是指入驻前海管理局批准为前海深港国际金融城产业载体的办公楼宇；申请机构需承诺三年内实际经营地不迁离产业载体，提前搬离的，应一次性退还入驻扶持资金并按LPR计息 人民币50万-300万元人民币50万-300万元 开展数字人民币业务的机构：人民币50万-300万元/人民币50万元/ / / 金融科加速器：人民币100万元 (港资双倍 奖励）一次性筹备扶持 仅限港澳及外资机构向国家金融监管部门申请在前海合作区新设立持牌金融机构的，扶持用于奖励筹备团队人民币50万-100万元/ / / / / / / /经营奖励/ / / / / / 开展飞机、船舶等重点租赁业务：每年不超过人民币1,000万元 开展绿色租赁业务：每年不超过人民币200万元 租赁资产规模在20亿元以上：每年不超过人民币100万元 人民币20万-100万元发行绿色债券的企业：最高人民币100万元 （赴港发行双倍奖励） 港资大宗商品现货交易场所：不超过人民币1,500万元业务创新奖励跨境理财通试点，首单业务落地前海：一次性人民币10万元为投资者开立跨境理财通账户且实际发生投资行为的：一次性人民币10万-30万元 向港澳青年创业提供贷款的：每年不超过人民币100万元项目入选国家或深圳金融监管部门科技创新监管试点的：人民币50万-100万元在前海成功试点跨境业务场景：一次性人民币10万-50万元 开通数字人民币支付门店/商户：每家人民币1,000元/ / / / / /一次性上市奖励对新获准在上海证券交易所、深圳证券交易所、北京证券交易所、香港交易所上市：人民币200万元购房/租房奖励 适用于首次购置或新落户，入驻符合条件的办公楼宇的前海总部企业、重点机构以及金融业、专业服务业等属于前海鼓励发展产业的机构等 购房奖励：不超过人民币3,000万元租房奖励：不超过人民币500万元/年 1 部分奖励政策对港资机构提出了1.2倍标准的特别奖励，以标注。指香港投资者持股25%以上在前海合作区注册的企业；设有最高扶持比例的政策，最高扶持金额不变。2 持牌金融机构主要包括：金融控股公司、商业银行专营机构、金融企业总部的深圳市级分支机构、金融企业总部设立的专业子公司和其他持牌金融机构。3 金融科技企业包括港澳银行、港澳保险公司、港澳虚拟银行和虚拟保险公司及其母公司发起设立，直接或间接持股比例不低于50%的金融科技子公司；以及境内外持牌银行、证券公司、保险公司直接或间接持股100%的金融科技子公司。4 包括行业组织主要包括香港金融行业组织的分支机构/经香港金融监管部门认定为从业资格考试举办机构的香港金融行业组织，在前海合作区设立的直接或间接全资控股的三级以内）的外商独资企业/全国性行业组织/金融行业组织/国际组织的分支机构等。勤说湾区8勤说湾区9税务投资粤港澳大湾区 之税务攻略2017年，在国家主席习近平的见证下，国家发展和改革委员会与粤港澳三地政府在香港共同签署深化粤港澳合作 推进大湾区建设框架协议，为粤港澳大湾区建设订下合作目标和原则，亦确立合作的重点领域。在短短四年多的时间，经过政府、行业、企业、社会各方的联动合作，以及多项鼓励政策的推动下，粤港澳大湾区目前在面积、人口、GDP以及货物增速、货物和旅客运输量等方面，均位列全球湾区前茅，未来粤港澳大湾区预期将成为世界上最大体量的湾区和大都市圈。大湾区核心城市未来发展重点对于有兴趣或已投资于粤港澳大湾区的中国内地、港澳以及海外跨国集团企业，大湾区在金融、高新科技、制造、贸易、专业服务、交通运输以及旅游休闲等多个行业拥有明显优势，亦是投资中国内地以及联结国际市场的绝佳区域之一。以港澳地区为例，无论是中国企业走出去或者是外国企业投进来，香港作为国际大都会，具备便利的营商环境、完善的金融体系和信息技术建设，并拥有高端人才和国际化专业服务，为中外企业建立连结平台，毗邻的澳门在面向葡语系国家方面则具有独特的优势。冯兆泰德勤中国税务及商务咨询经理电邮：.hk资料来源：粤港澳大湾区发展规划纲要、香港政制及内地事务局粤港澳大湾区发展网页香港作为国际金融中心，将积极巩固和提升国际金融、航运、贸易中心和国际航空枢纽地位，以及强化全球离岸人民币业务枢纽地位、国际资产管理中心及风险管理中心功能，推动金融、商贸、物流、专业服务等向高端高增值方向发展；并大力发展创新及科技事业，培育新兴产业，建设亚太区国际法律及争议解决服务中心，打造更具竞争力的国际大都会澳门深圳广州以博彩及博彩中介业为主要支柱产业，澳门将立足于建设世界旅游休闲中心、中国与葡语国家商贸合作服务平台，促进经济适度多元发展，打造以中华文化为主流、多元文化共存的交流合作基地深圳是中国重要的高新技术研发和制造基地，将发挥作为经济特区、全国性经济中心城市和国家创新型城市的引领作用，加快建成现代化国际化城市，努力成为具有世界影响力的创新创意之都作为广东省省会，广州将充分发挥国家中心城市和综合性门户城市引领作用，全面增强国际商贸中心、综合交通枢纽功能，培育提升科技教育文化中心功能，着力建设国际大都市杨力德勤中国 税务及商务咨询合伙人电邮：.hk勤说湾区10吸引中外企业的投资机会粤港澳大湾区无疑是中国未来经济发展的重要引擎，不少公司对粤港澳大湾区连接中国内地和国际市场的商业机会非常关注和感兴趣，并且已经或准备把握商业机会的同时积极筹划和享受粤港澳大湾区的优惠政策，例如利用前海或横琴的优惠政策于“香港+前海”或“澳门+横琴” 营运模式、善用三地的人力资源和粤港澳大湾区个人所得税补贴优惠、利用香港和澳门连接国内和国际市场并优化集团的整体税负、享受地方政府的招商政策等等。由于中国内地、香港和澳门的税制不同，投资粤港澳大湾区并没有简单和单一的税务规划方案，对于已经投资粤港澳大湾区或者即将投资的企业而言，了解其中涉及的税务和商业关键考虑事项是财税管理中不可缺少的任务。 根据我们的观察和经验，企业在筹划和实施过程中常见的问题，一般情况下会主要围绕投资设立、融资安排、税务优惠和日常运营管理等。在“一国两制三税区”的背景下，税制差异和协调必然是企业投资粤港澳大湾区的过程中所关注的重点之一。10如何善用不同税制提供的税务优惠如何设立合适商业安排的投资和融资架构如何安排人员在粤港澳三地的配置如何在三地合理安排供应链和业务利润勤说湾区投资设立 在大湾区投资的行业和运营安排（例如：商业模式和供应链管理）的主要考虑因素是什么？企业的投资计划是否与大湾区在 粤港澳大湾区发展规划纲要和“十四五”规划中的政策定位相契合？ 选择具体投资地点时（如：四个核心城市1，或大湾区内的自贸区、开发区、高新区等）需要考虑哪些因素？不同投资区域的商业运营成本和供应链管理有何不同，以及是否匹配公司的投资计划？ 选择以怎样的法律形式在大湾区投资（例如：设立代表处、分公司、子公司或合伙企业）？不同法律形式会带来怎样的商业和税务影响？ 在搭建投资架构时，会否考虑设立离岸控股公司或在大湾区设立中国控股公司？设立控股公司的目的和备选地点是什么？若已设立离岸控股公司，需要考虑将公司迁往香港为未来经营做准备吗？ 未来从大湾区投资中取得的股息所将承担怎样的预提所得税成本？股息所得是否能够享受大湾区三地间双边税收安排2下的税收优惠？具体而言，有关企业是否构成中国内地、香港或澳门税法下的税收居民？有关企业是否符合受益所有人条件和实操要求？除此以外，股息分配涉及跨境支付的，需要满足哪些外汇管理的具体要求以及程序，是否能够适用便利性的政策和措施？ 未来退出大湾区投资时，可选择哪些退出方式，以及将承担怎样的税务成本？退出投资所取得的收益是否能够享受大湾区三地间双边税收安排下的税收优惠？如果涉及间接转让中国内地企业股权的，是否会导致中国内地税务合规义务？探索投资粤港澳大湾区的税务攻略我们建议企业可以先从投资设立、融资安排、供应链和日常运营管理三大领域着手，例如：为何选择在大湾区投资和运营？相比亚太其他地区，大湾区的吸引力和投资环境如何？企业是否能够及时了解大湾区三地税收法规的最新变化、税务征管趋势以及国际税务发展趋势（例如：最新的税基侵蚀和利润转移项目2.0版本）并考虑相关的具体影响？根据下列思考框架为基础，将有助企业管理层从税务和商业角度考虑投资大湾区的关键事项，针对企业发展的重点加以梳理并提出问题和寻求解决方案，从而作出合适的税务战略和具体实操决策。1 具体指香港、澳门、深圳以及广州2 具体指内地和香港特别行政区关于对所得避免双重征税和防止偷漏税的安排、内地和澳门特别行政区关于对所得避免双重征税和防止偷漏税的安排、香港特别行政区和澳门特别行政区关于对所得消除双重征税和防止逃避税的安排11勤说湾区勤说湾区12供应链和日常运营管理 针对特定的职能分工（例如：采购、制造、销售、研发和内部管理等），如何管理在大湾区的商业模式以及供应链整体的税务成本？如何协调分别针对中国内地市场和国际市场的供应链安排？ 在中国内地、香港和澳门的经营活动可能适用哪些重要的税种（例如：企业所得税3/预提所得税、增值税、关税等）？企业是否适用相关的税务优惠？ 在大湾区任职工作的高管人员需承担的个人所得税税负，以及有哪些可能适用的税务优惠？企业高管人员是否符合资格享受大湾区个人所得税补贴优惠？企业如何协助高管人员满足大湾区个人所得税补贴的税务合规要求？ 企业是否合资格享受大湾区地方政府提供的财政补贴？不同地方政府对公司申请享受财政补贴有何具体要求，需要履行怎样的 程序？ 除货物买卖关联交易外，企业出于商业考量是否需要安排和管理其他关联交易（例如：集团内部的服务提供、无形资产许可等交易）？就大湾区内以及涉及大湾区外的关联交易，企业需要如何满足转让定价合规要求并管理相关风险？ 如何管理大湾区内的海关合规风险，以及协调管理海关与转让定价的合规要求？ 如何管理香港或澳门企业在中国内地潜在的常设机构风险？ 就运营过程中涉及的集团内部重组（包括在中国内地进行的重组交易或者相关的境外重组交易），企业如何管理中国内地、香港和澳门的企业所得税、印花税等合规要求？企业是否合资格享受有关的税负递延或免税待遇？ 企业的税务合规和日常管理方式是否能够满足大湾区当地税务机关的要求，并且拥有具备大湾区三地税务经验的专业人员负责税务管理？会否考虑采用数字化工具协助进行税务管理？ 如何处理中国内地、香港和澳门的日常税务合规工作，以及如何应对当地的税务稽查？融资安排 如何安排有利于在大湾区未来投资和运营的融资架构？ 从商业和税务角度考虑，如何安排融资方式（例如：股东直接投资、境外股东或关联方贷款、集团担保下的境外或境内银行贷款)？融资方式下将承担怎样的税务成本？利息所得如何能够享受大湾区三地间双边税收安排下的税收优惠？是否可能在香港对利息所得申报离岸豁免以及是否会因此产生潜在风险？中国内地企业支付利息费用存在怎样的增值税进项抵扣问题？ 融资成本是否能够税前扣除？关联借款或担保交易定价是否合理？ 如何管理在大湾区内涉及中国内地、香港和澳门的跨境资金？在大湾区内对于外汇管理是否有特定的限制要求或便利性政策和措施？ 会否考虑在香港设立集团内部财资中心？在香港设立财资中心有哪些商业上的优势以及能够享受哪些税务优惠？3在中国内地指企业所得税，在香港指利得税，在澳门指所得补充税勤说湾区勤说湾区13德勤税务与商务咨询在华业务德勤荣膺国际税务评论颁发2021年度亚太区税务大奖中“香港特别行政区年度最佳转让定价服务机构”两项大奖。德勤中国的税务团队一直以领先洞见及技术先驱，促进税务、商务、与法规的前沿思想与解决方案。我们以创新技术推动税务创新，致力协助客户应对全球企业税、转让定价、间接税和雇主人力资源全球服务等多元专业领域的持续变化及多重挑战。13消费与工业产品(C&IP) 薪酬福利策划 技术方案 国际派遣服务 国际人力资源服务 风险.人才.激励规划 海关与全球贸易服务 间接税服务 企业税服务 国际税服务 转让定价服务 税务管理咨询服务 企业并购重组服务 研发与政府激励服务 德勤私人客户服务 运营与数字化服务 商业模式优化 商务咨询服务 税务鉴证服务能源与资源行业 (E&R)金融服务行业(FSI)生命科学与医疗行业(LSHC)科技、传媒和电信行业(TMT)政府与公共事务(PS)*此处“跨国企业”指总部设在中国（包括香港、澳门及台湾）、日本及韩国以外的企业勤说湾区14科技内地网安审查新规， 聚焦跨境数据安全风险过去十几年来，美国资本市场一直备受有意上市的中资企业青睐，尽管中美关系持续紧张，依然有不少中资企业选择赴美上市，特别是新科技概念企业。根据德勤中国的数据分析显示，2021年上半年共有38家中国企业赴美上市，累计融资额高达141.5亿美元，数量与融资额较去年同期大幅增长。融资额前五大的新股集中于科技、传媒及电信行业和消费零售行业，合计融资约99亿美元，较去年同期增长374%。1 然而，中国内地监管近年不断加强对科技互联网企业的规管和监督，数据信息安全等问题备受关注，网络安全、数据安全和个人信息相关的法律法规亦在这几年间陆续出台。今年7月，中国国家互联网咨询办公室（“网信办”）连续对多家在美上市的中国互联网企业实施网络安全审查，引起国内外媒体广泛报道，亦触发起社会各界对内地陆续出台的数据安全法规与指引的高度关注，特别是正考虑赴国外上市的内地科企，除了需要满足当地的上市规定和要求，它们又该如何应对这些新增的监管合规风险。同月，网信办发布网络安全审查办法（修订草案征求意见稿）2，提出对现行网络安全审查办法进行修订，拟将审查范围扩展到国外上市公司，持续加强网络安全与信息数据的监管。 本次修订除了扩大了监管对象的范围，包括“关键信息基础设施运营者”和 “数据处理3者”（以下统称为“运营者”），亦新增对国外上市企业进行网络安全审查的相关规定，有关审查将重点评估采购、数据处理活动以及国外上市可能带来的国家风险，主要考虑因素包括核心数据、重要数据或大量个人信息被窃取、泄漏、损毁、非法利用或出境的风险，以及国外上市后的关键信息基础设施的核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。 国外上市应更谨慎评估数据 监管风险从最近网信办对赴美上市企业开展的一连串行动来看，基本上聚焦数据信息出境处理和安全评估等问题，预计未来或将有更多在国外上市的内地互联网和信息服务类企业被列入 “网络安全审查企业名单”。事实上，自2017年网络安全法颁布实施后，中国内地监管机构陆续出台多项有关数据的法规与规定。除了进一步完善全国范围的数据安全保护，规范数据处理活动和促进数据开发利用，也逐步提高了社会大众对数据安全和个人信息保护的意识，并以维护国家主权、安全和发展利益为最终目的。其中，网络安全法第37条订明：“关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。如因业务需要，确需向境外提供，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”1 资料来源：德勤全国上市业务组发布2021年上半年中国内地及香港IPO市场回顾与前景展望(2021年6月)2 2021年7月10日，国家互联网信息办公室发布关于网络安全审查办法（修订草案征求意见稿）公开征求意见的通知3 数据处理即开展数据的收集、存储、使用、加工、传输、提供、公开等活动。郭仪雅德勤中国风险咨询合伙人电邮：.hk江玮德勤中国风险咨询合伙人电邮：勤说湾区15考虑到近年内地普遍对数据信息安全的敏感度和监管趋势，无论是否打算前往国外上市，笔者建议：尤其是日常业务涉及跨境数据传输和处理的企业，务必及时掌握国内外的监管环境变化和其影响，深入了解相关法规、指引和要求，预先审视企业自身面临的数据监管风险。识别重要数据和个人信息事实上，内地现行法规并非要求所有数据出境一律进行审查，除了国家“核心数据”（即关系国家安全、国民经济命脉、重要民生、重大公共利益等数据）必须实行更加严格的管理制度之外，主要是针对“重要数据”和“个人信息”进行数据出境安全管理。 重要数据2017年，网信办制定并公开发布个人信息和重要数据出境安全评估办法（征求意见稿），首次公布重要数据识别指南，列举了 27个行业的重要数据范围4。此外，央行在2020年9月正式生效的金融数据安全分级指南附录C中，对金融行业的重要数据给予定义；2021年8月由五部委发布针对汽车行业的汽车数据安全管理若干规定（试行），亦对汽车行业的重要数据做出定义。两个行业先后都提出了数据本地化的要求。52021年8月20日，第十三届全国人民代表大会常务委员会第三十次会议通过中华人民共和国个人信息保护法，并于同年11月1日实施。该法例第40条呼应了上述网络安全法的规定，指明关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中国境内收集和产生的个人信息存储在境内。如需要向境外提供，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，也需要从其规定。今年9月正式生效的数据安全法第31条，将出境安全管理延伸至非关键信息基础设施的运营者，明确了关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据的出境安全管理，须遵循网络安全法的规定，以及由国家网信部门会同国务院有关部门制定有关重要数据的出境安全管理办法。如企业为满足上市规定而需要向国外的监管机构或部门提供企业数据和个人信息等，则必须注意数据安全法第36条和 个人信息保护法第41条均有规定，企业在处理外国司法或者执法机构关于提供数据的请求，中国主管机关应根据有关法律和中国缔结或者参加的国际条约、协定，或者按照平等互惠原则。非经中国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据。然而，国外上市只是目前网络安全审查办法（修订草案）提出需要规制及可能存在数据安全风险的其中一个具体情形， 并非全部。42017年5月27日，全国信息安全标准化技术委员会发出开展国家标准信息安全技术数据出境安全评估指南（草案）征求意见工作的通知5编按：中国工信部于2021年9月30日（即本文首次刊登后）发布工业和信息化领域数据安全管理办法（试行）征求意见稿。 6国家标准计划信息安全技术 重要数据识别指南由TC260（全国信息安全标准化技术委员会）归口上报及执行，主管部门为国家标准化管理委员会。下达日期为2021年5月6日， 项目周期24个月7编按：在2021年9月23日（即本文首次刊登后），全国信息安全标准化技术委员会正式发布信息安全技术 重要数据识别指南（征求意见稿）。此外，深圳经济特区数据条例与上海市数据条例也将于2022年1月1日起正式施行。8包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息然而，近年全国信息安全标准化技术委员会再度发起新的研究项目6，拟借鉴国内外行业管理、出口管控中对数据的管理经验，探讨重要数据安全管理的适用对象和适用范围问题，分析重要数据的属性、面临的威胁和主要分布情况，建立重要数据识别准则，为实施重要数据管理政策和出境安全评估提供支撑。根据该项目范围的描述，我们理解，研究结果将对“重要数据”赋予新的识别准则，从国家安全与公共利益的影响和面临的主要安全风险等角度考虑“数据的属性”。这意味着，未来对重要数据的管理范围仍需要更详尽的分析，除了保密性，还需要综合考虑其他风险。内地各监管部门亦发布了相关的行业标准，例如，央行于2021 年4月发布了金融数据安全数据生命周期安全规范，指导金融业机构合理制定和有效落实金融数据生命周期安全管理策略。7个人信息 根据个人信息保护法第4条， “个人信息”是以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息，不包括匿名化处理后的信息。而“个人信息处理”则与数据安全法中所指的“数据处理”原则上大致相同，包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。此外，第28条另有订明，凡是因泄漏或者非法使用而容易导致自然人的人格尊严受损或危害人身、财产安全的个人信息8 ，则属“敏感个人信息”，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。勤说湾区16个人信息保护法的实施，主要为保护个人信息权益，规范个人信息处理活动，并促进个人信息合理利用。任何在境内处理自然人信息的活动都在其规管范围内，对于在境外处理自然人个人信息的活动，在以下情形下同样受该法例规管：(1) 以向境内自然人提供产品或服务为目的； (2) 分析、评估境内自然人的行为；及 (3) 法律、行政法规规定的其他情形。作为个人信息处理者，有责任保证个人信息的质量，避免因信息不准确、不完整而对个人权益造成不利影响，并且对个人信息处理活动负责，应公开明示个人信息处理的规则（如目的、方式和范围），并且采取必要措施保障个人信息的安全。 主动申报数据出境的安全风险 根据个人信息和重要数据出境安全评估办法（征求意见稿）和网络安全审查办法（修订草案征求意见稿）的条文，大致对监管范围内的企业提出了自行组织数据出境安全评估和主动申报网络安全审查的要求。个人信息和重要数据出境安全评估办法（征求意见稿）第8条订明，假如出境数据含有或累计含有50万人以上的个人信息，或重要数据量超过1000GB，网络运营者应报请行业主管或监管部门组织安全评估。数据出境安全评估一般是由网络运营者在数据出境前，自行组织对数据出境进行安全评估，并对评估结果负责。评估重点包括：数据出境的必要性、涉及的个人信息的数量和范围等、涉及的重要数据、数据接收方的安全保护能力和其所在地的网络安全环境、以及数据出境及再转移后泄漏、滥用或危害国家安全等风险。根据网络安全审查办法（修订草案征求意见稿），将由国家互联网信息办公室设立“网络安全审查办公室”，负责制定网络安全审查相关制度规范，组织网络安全审查。同时，有关规定要求运营者采购网络产品和服务时，须自行预判是否对国家安全构成影响或可能构成影响，主动向网络安全审查办公室申报，并提交申报书、影响/可能影响国家安全的分析报告、采购文件、协议、拟签订合同或拟提交的IPO材料等，让其进行网络安全审查。此外，网络安全审查办法（修订草案征求意见稿）中的第6条规定，掌握超过100万用户个人信息并赴国外上市的运营者，必须向网络安全审查办公室申报网络安全审查。关键信息基础设施运营者采购的网络产品和服务，若对国家安全构成影响或可能构成影响，也必须申报进行审查。然而，当网络安全审查工作机制成员单位认为某网络产品和服务、数据处理活动以及国外上市行为，对国家安全构成影响或可能构成影响，该办公室也可征求中央网络安全和信息化委员会的批准，对相关企业展开审查。最新通过的个人信息保护法亦有规定，如因业务等需要，个人信息处理者确需向中国境外提供个人信息，应当满足以下其中一项条件： 按照个人信息保护法第40条规定，通过网信部组织的安全评估 按照网信部规定经专业机构进行个人信息保护认证 按照网信部制定的标准合同与境外接收方订立合同，约定双方的权力和义务 法律、行政法规或网信部规定的其他规定勤说湾区17因此，我们建议企业采取以下行动方案：1. 数据、个人信息与网路安全相关的法规和指引陆续出台，企业的首席信息安全官、首席数据官、首席信息技术官等相关重点人员，应持续关注内地针对数据安全和个人信息的监管法规动态，诠释及了解新法规和指引对企业的影响。更新版，原文刊登于香港中资银行业协会钟声总第17期（2021年第四季）德勤建议在如今这个数字化时代，数据早已成为绝大多数企业的重要资产。根据我们的经验，各行各业的企业和机构都需要着力提高其数据处理活动中各个阶段的针对性、准确性和安全性。2. 企业对潜在影响有了初步的了解后，可自行或聘请外部专业机构对企业的数据处理和网络安全进行风险评估，评估范围应涵盖数据分类（识别“重要数据”）、现有系统的风险评级、以及现行系统中是否存在“跨境数据”的操作以及所牵涉的数据量等，总结出企业的监管合规风险评估，以及是否符合了法例规定需要申报网络安全审查的条件。3. 如符合申报审查条件，除需要及时向网络安全办公室作出申报，企业应以积极的态度，做好与监管的沟通工作，并按自身情况采取必要措施，例如调整企业的信息技术和安全政策和程序，并且判断是否需要新增、替换相应的技术和基础配套，持续完善自身数据处理和网络安全水平。4. 最后，企业应加强数据网络安全的相关人才配置，并为相关员工定期提供培训和网络安全资讯，让人员能够及时掌握最新的监管动态和行业情报，及早发现潜在安全漏洞并采取适当的行动和措施，才能为企业的数据资产提供最好的保护。勤说湾区联系人吴卫军德勤中国副主席金融服务业主管合伙人徐英伟德勤中国金融服务业市场发展主管合伙人.hk黄逸轩德勤中国金融服务业华南区（中国大陆）主管合伙人沈小红德勤中国金融服务业研究中心主管合伙人欧振兴德勤中国华南区主管合伙人.hk郑伟杰德勤中国澳门办公室主管合伙人.mo 吕志宏德勤中国政府事务组华南区主管合伙人.hk袁丰德勤中国战略客户中心华南区（中国大陆）主管合伙人18勤说湾区关于德勤Deloitte（“德勤”）泛指一家或多家德勤有限公司，以及其全球成员所网络和它们的关联机构（统称为“德勤组织”）。德勤有限公司（又称“德勤全球”）及其每一家成员所和它们的关联机构均为具有独立法律地位的法律实体，相互之间不因第三方而承担任何责任或约束对方。德勤有限公司及其每一家成员所和它们的关联机构仅对自身行为及遗漏承担责任，而对相互的行为及遗漏不承担任何法律责任。德勤有限公司并不向客户提供服务。请参阅 了解更多信息。德勤是全球领先的专业服务机构，为客户提供审计及鉴证、管理咨询、财务咨询、风险咨询、税务及相关服务。德勤透过遍及全球逾150个国家与地区的成员所网络及关联机构（统称为“德勤组织”）为财富全球500强企业中约80%的企业提供专业服务。敬请访问 本通讯中所含内容乃一般性信息，任何德勤有限公司、其全球成员所网络或它们的关联机构（统称为“德勤组织”）并不因此构成提供任何专业建议或服务。在作出任何可能影响您的财务或业务的决策或采取任何相关行动前，您应咨询合资格的专业顾问。我们并未对本通讯所含信息的准确性或完整性作出任何（明示或暗示）陈述、保证或承诺。任何德勤有限公司、其成员所、关联机构、员工或代理方均不对任何方因使用本通讯而直接或间接导致的任何损失或损害承担责任。德勤有限公司及其每一家成员所和它们的关联机构均为具有独立法律地位的法律实体。 2021。欲了解更多信息，请联系德勤中国。H K- 02 3 S C-21