法律法规检索助手

以下清单围绕“跨境数据合规清单（含多地口径与培训要点）”所必需直接适用或高度相关的法律、法规与监管文件进行系统列示，并注重不同法域的口径差异与实务落点。为便于实际落地，区分为：核心法源（强制性）、配套规制/指南（软法或执法口径），并辅以关键司法判例（如适用）。

一、中国内地（PRC）
- 核心法源
  - 中华人民共和国网络安全法（2017）
  - 中华人民共和国数据安全法（2021）
  - 中华人民共和国个人信息保护法（2021）
  - 数据出境安全评估办法（国家网信办，2022）
  - 个人信息出境标准合同办法（国家网信办，2023）
  - 关于促进和规范数据跨境流动的若干规定（国家网信办等，2024）—明确特定业务场景豁免与小额个人信息出境便利化安排（在符合条件时，可能免于开展安全评估/签署并备案标准合同/认证）
  - 关键信息基础设施安全保护条例（2021）—涉及关基运营者数据出境约束
  - 汽车数据安全管理若干规定（试行，2021）—行业性数据出境规则
- 配套规制/指南（执法与技术口径）
  - 数据出境安全评估申报指南及常见问题（国家网信办，2022及后续口径）
  - 网络安全标准实践指南：个人信息跨境处理活动安全认证规范（TC260发布，实践指引）
  - 信息安全技术 个人信息安全规范 GB/T 35273-2020（推荐性国家标准，常作合规参照）
- 要点提示
  - 重要数据识别与分类分级、个人敏感信息界定、出境“三选一”路径（安全评估/标准合同/认证）与2024年便利化豁免条款协调适用；“累计人数阈值”与“上一年度1月1日起累计”计算口径；签署标准合同后是否需备案、何时备案，及豁免情形下的留痕与自证材料。

二、欧盟/欧洲经济区（EU/EEA）
- 核心法源
  - 通用数据保护条例（GDPR）—第V章国际传输、Art. 44–50
  - 欧盟委员会执行决定（EU）2021/914（标准合同条款，SCCs）
  - 欧盟委员会关于“欧盟—美国数据隐私框架（DPF）”的充分性决定（2023）
  - 欧盟充分性决定清单（针对若干第三国/地区）
- 监管指南/软法与判例
  - 欧洲数据保护委员会（EDPB）关于Schrems II后补充措施的建议01/2020（最终版，2021）—迁移影响评估（TIA）与技术/合同/组织措施
  - Schrems II（CJEU, C‑311/18, 2020）—对SCC适用的“等效保护”与政府访问风险评估要求
- 要点提示
  - 传输工具“四选一”：充分性决定、SCCs、具有约束力的公司规则（BCR）、特定例外（Art. 49）；Schrems II要求的TIA与补充措施（加密、密钥控制、最小化、透明度）；跨境处理记录与问责制。

三、英国（UK）
- 核心法源
  - UK GDPR、Data Protection Act 2018
  - ICO发布的国际数据传输协议（IDTA）与欧盟SCC附加文本（UK Addendum）（2022）
  - 英英-美“数据桥”安排（UK Extension to the EU-US DPF，2023）
- 监管指南
  - ICO国际传输风险评估（TRA）工具与指南
- 要点提示
  - 工具选择（IDTA/UK Addendum/BCR/充分性/例外），开展TRA并落实技术与合同控制。

四、瑞士
- 核心法源
  - 联邦数据保护法（修订版，2023/9/1全面生效）
- 监管指南
  - FDPIC关于跨境传输与在瑞士语境下使用经“瑞士化”的欧盟SCC做法
- 要点提示
  - 如使用欧盟SCC，需加入“瑞士附件”并对适用法域、监督机构、第三方权利进行调整。

五、美国（US）（接收方合规与承接机制）
- 机制与执法
  - 欧盟—美国数据隐私框架（DPF）（2023），英国扩展、瑞士—美国框架
  - 联邦贸易委员会（FTC）对DPF参与者执法
- 相关部门法（跨境限制多为间接约束）
  - HIPAA隐私规则（医疗）
  - GLBA/Regulation P（金融）
  - COPPA（儿童在线隐私）
  - 加州CCPA/CPRA及法规（对跨境无硬性限制，但涉及透明度、合同义务、敏感信息与评估）
- 要点提示
  - 作为欧盟/英国/瑞士数据的接收方，通常通过DPF、SCC/IDTA+补充措施、BCR等路径承接；需对应完成对政府访问的技术与组织控制评估。

六、香港特别行政区（HK）
- 核心法源
  - 个人资料（私隐）条例（Cap. 486）
  - 第33条（跨境资料转移）尚未实施
- 监管指南
  - 私隐专员公署（PCPD）跨境转移“建议性示范条款”与实务指引（2022）
- 要点提示
  - 在第33条未生效背景下，建议性合同条款与尽职调查成为主要合规抓手。

七、新加坡（SG）
- 核心法源
  - 个人资料保护法（PDPA）及相关条例（含Transfer Limitation）
- 监管指南
  - PDPC关键概念指南、跨境“模型条款”（2021/2022版）
- 要点提示
  - “可比保护”原则；工具包括具有法律效力的具约束力义务、认证、模型条款、或经评估的等效制度。

八、日本（JP）
- 核心法源
  - 个人信息保护法（APPI）（经2020修订并自2022起实施）
- 监管指南
  - 个保委（PPC）关于向外国第三方提供个人数据的指引（含向本人说明境外体制与受领方措施的要求）
- 要点提示
  - 原则上需取得同意或满足充分性/保障措施；事前告知境外制度信息的合规细节尤为关键。日欧互认充分性有效。

九、韩国（KR）
- 核心法源
  - 个人信息保护法（PIPA）
- 监管指南
  - 韩国个人信息保护委员会（PIPC）跨境传输标准合同条款与相关指南（近年发布/更新）
- 要点提示
  - 以同意或法定事由+合同保障为主；欧盟对韩国的充分性决定有效。

十、澳大利亚（AU）
- 核心法源
  - 隐私法（Privacy Act 1988），澳大利亚隐私原则 APP 8（境外披露）
- 监管指南
  - OAIC跨境披露与“合理步骤”指南
- 要点提示
  - 输出方的“合理步骤”与对接收方的合同/保障要求；高风险场景进行评估与尽调。

十一、巴西（BR）
- 核心法源
  - 《通用数据保护法》（LGPD，法13,709/2018），第33–36条国际转移
- 监管指南
  - ANPD对于国际转移、标准合同与充分性评估的监管动向与征求意见稿（留意最新定稿）
- 要点提示
  - 机制包括充分性、合同条款、全球公司规则（BCR类）与同意等；具体模板与审批机制以ANPD最终规定为准。

十二、印度（IN）
- 核心法源
  - 《数字个人数据保护法》（DPDP Act, 2023）
- 监管动态
  - 跨境传输采取“允许为原则、限制为例外”的名单机制，具体受中央政府后续通知与细则约束（请以最新官方公报核对）
- 要点提示
  - 在细则未完全落地前，建议以合同保障、最小必要与风险评估为底线控制。

十三、越南（VN）
- 核心法源
  - 《个人数据保护法令》（Decree 13/2023）
  - 《网络安全法》及其实施法令（如Decree 53/2022，针对特定主体的数据本地化与跨境条件）
- 监管要求
  - 跨境传输通常需开展传输影响评估（TIA/DTIA）并按要求向公安部报备/提交材料；监管有权要求暂停
- 要点提示
  - 不同行业与数据类型（敏感个人数据、关键信息）适用要求差异大，需逐案核对。

十四、印度尼西亚（ID）
- 核心法源
  - 《个人数据保护法》（Law No. 27/2022）
  - 电子系统与交易相关法规（如PP 71/2019）
- 监管动向
  - 跨境传输的等效保护/充分性、合同或同意机制框架确立，实施细则持续完善中
- 要点提示
  - 结合行业规制与认证路径进行“可比保护”证明与合同保障。

十五、俄罗斯（RU）
- 核心法源
  - 《个人数据法》（Federal Law No. 152-FZ）
  - 242-FZ（数据本地化修法）—要求在俄境内进行初始存储/记录
- 监管要求
  - 对外传输须评估目的地“充分性”或采用合同与通知机制；受Roskomnadzor执法
- 要点提示
  - 本地化与跨境条件并行适用；对接收方与政府访问风险的实操控制要求较高。

十六、阿联酋（补充：多法域对照时常见）
- 核心法源
  - 联邦层面《个人数据保护法》（Federal Decree-Law No. 45 of 2021）及配套执行规定
  - 自由区：DIFC《数据保护法》（No.5 of 2020）、ADGM《数据保护法规》（2021）
- 要点提示
  - 联邦与自贸区口径并存，跨境机制包括充分性、合同与批准路径。

将上述法源映射为“跨境数据合规清单”的关键控制点
- 数据盘点与分类分级
  - 识别个人信息/个人敏感信息、重要数据/关键数据、关基运营者身份
  - 来源：PRC（PIPL/DSL/评估办法）；EU（GDPR Art. 9 special categories）；KR/JP/BR/SG等对敏感数据的特别要求
- 传输法律依据与工具选择
  - EU/UK：充分性、SCC/IDTA、BCR、Art.49例外；Schrems II后补充措施
  - PRC：“三路径”与2024豁免条款；人数阈值、行业规则（如汽车）
  - SG/JP/KR/AU/BR：可比保护/合同保障/同意/认证
- 迁移影响评估（TIA）/数据保护影响评估（DPIA）
  - EU/UK依据EDPB建议与GDPR Art. 35/44–49开展；PRC依据评估办法与标准合同备案材料准备；VN需提交/备存DTIA
- 合同与组织措施
  - 采用欧盟SCCs（2021/914）、UK IDTA/Addon、SG/JP/KR模型/标准条款、HK建议性示范条款、BR合同条款
  - 关键条款：次级转移约束、政府访问通知、加密与密钥管理、审计与终止、数据主体权利协助
- 技术与安全控制
  - 端到端加密与密钥在出口方控制、不可逆化/最小化、分布式存储/本地化副本、访问控制与日志
  - 参考：EDPB补充措施、PRC安全评估要点、行业规范（如HIPAA安全规则）
- 备案/通知/批准
  - PRC：安全评估申报、标准合同备案；特定豁免下的留痕
  - VN：DTIA报送/通知；RU：通知Roskomnadzor（如适用）
  - EU/UK：一般无强制备案，但需保留TIA/DPIA与合同存档，接受监督机关检查
- 专项场景
  - 人力资源数据：PRC 2024规定下的人资管理必要性豁免；EU/UK合同履行/合法利益评估
  - 云与集团内共享：BCR/企业内数据传输协议；数据驻留策略与“镜像+密钥”结构
  - 儿童/健康/金融/车联网等高敏行业：适用部门法或行业办法的并行合规
- 透明度与数据主体权利
  - 通知跨境传输目的地、法律环境与保障（JP尤为强调）；跨境受领方协助履权
- 违规应对与跨境数据泄露
  - 事件分级、跨境同步通报机制、执法辖区冲突与律师保密特权安排
- 审计与留痕
  - 合同与评估文档版本化管理；年度再评估与适足性名单、DPF状态、PRC豁免口径更新跟踪

跨地区“口径差异”速览（培训聚焦）
- 欧盟/英国
  - 以“等效保护”为核心；Schrems II要求对第三国法律（政府访问、救济）进行TIA并部署补充技术措施
  - 合同工具成熟（SCC/IDTA/BCR），监管看重问责制与证据链
- 中国内地
  - “数据分类分级+三路径+行业专题规则+2024便利化豁免”的复合框架
  - 重视本地备案/申报、数量阈值与场景必要性证明；“重要数据”与“关基运营者”认定是关键前置
- 新加坡/日本/韩国/澳大利亚/巴西
  - 普遍采纳“可比保护/合同保障+同意/认证”的混合路径；日本要求对境外制度进行信息提供
  - 韩国、巴西在标准条款与BCR类工具上持续完善
- 香港
  - 第33条未生效背景下，以建议性条款与尽职调查为主，靠契约治理与内部控制
- 美国
  - 接收方机制为主（DPF/SCC承接）；以合同与技术控制满足他域要求；部门法与州法对透明度、安全与处理者义务提出实质要求
- 俄罗斯/越南/印尼等
  - 不同程度的数据本地化/报备/批准机制；审查与暂停权更强，转移前置评估与档案管理尤需完备

培训要点（面向法务/合规/IT/业务的统一课程框架）
- 基础篇
  - 跨境数据的定义与范围：远程访问亦属“传输”；数据分类（个人信息/敏感信息/重要数据）
  - 多法域对比：EU“等效保护”与TIA、PRC“三路径+豁免”、SG可比保护、JP事前信息提供
- 工具与流程篇
  - 传输工具选型矩阵（充分性/SCC/IDTA/BCR/认证/同意/例外）与适用边界
  - TIA/DPIA方法论：数据流梳理、受领方与次级处理者链条、第三国法律与政府访问风险、补充措施设计
  - 合同控制清单：SCC/IDTA强制条款映射、政府访问请求处理条款、破产/并购继承条款
- 安全与技术篇
  - 端到端加密与密钥在岸托管、最小化与分级脱敏、访问审计与零信任
  - 云多地域部署策略：数据驻留、日志与备份的地域控制
- 运营与治理篇
  - PRC备案/申报、数量阈值核算与豁免要件留痕；VN报送义务；RU本地化证明
  - 供应商尽调与年度复评，事件响应演练与跨境通报脚本
  - 记录保存与审计：保留TIA/DPIA、合同、密钥策略、访问日志、培训记录
- 专题篇
  - 人力资源数据跨境、全球客服/风控共享、算法与模型训练（数据最小化与去标识化）、车联网/医疗/金融等行业特定要求

重要提示与更新监控
- 欧盟充分性决定清单、EDPB指南更新、DPF的司法审查动向需持续跟踪。
- 中国内地2024年促进跨境流动规定的适用口径与各地网信部门执行细则以最新发布为准；标准合同备案与安全评估受案口径可能动态调整。
- 越南DTIA/报送、俄罗斯本地化执法、巴西ANPD关于国际转移的最终规则、韩国/日本标准条款与告知义务更新，均建议建立季度监测机制。
- 印度DPDP配套细则与“允许国家”名单以中央政府公告为准，落地前采取审慎的合同与技术双重保障。

以上列示仅纳入跨境数据合规清单的核心与常用法域。如涉及特定行业或国家/地区（如土耳其、墨西哥、加拿大、阿联酋自由区等），建议在企业版清单中增设相应法规模块，并以官方公报及主管机关最新指南进行逐条校核后纳入执行。

说明与范围
- 研究对象为中国大陆法域内电子签名与电子数据的证据效力。以下提供一套可用于论文或实务检索的研究框架，并据此列出分层次的现行主要法律、行政法规/部门规章、司法解释与规范性文件的引用清单，突出与“电子签名证据效力”直接相关的规范依据。为确保准确性，以下不对条文逐条复述与编号细节展开，仅概括核心规则与适用要点，并标注颁布主体与施行时间节点，供进一步核查原文。

一、电子签名证据效力的研究框架（要点式）
1. 规范体系与渊源识别
- 上位法：民法典（合同成立与书面形式的数据电文规则）、电子签名法（电子签名的定义、可靠性标准与法律效力、适用除外事项）、民事诉讼法（电子数据作为证据种类）、公证法（公证文书证明力）。
- 配套与横向合规：电子商务法（平台留痕与保存义务）、网络安全法/数据安全法/个人信息保护法/密码法（数据处理合规、密码应用及可信环境）、涉外民事关系法律适用法（跨境签名、合同法律适用）。
- 司法解释与程序性规则：民事证据规定（电子数据的证明标准、形成与保全、真实性判断方法）、互联网法院规则与在线诉讼规则（电子证据在线质证、区块链/时间戳/哈希等技术证据的采信路径）。
- 行业与技术支撑：电子认证服务管理规制（CA/数字证书、签名制作数据安全）、可信时间戳、第三方存证、公证保全等。

2. 实体法维度（签名效力）
- 电子签名的定义与类型：一般电子签名与“可靠电子签名”；“可靠电子签名”与手写签名或盖章的法律效力等同（满足法定可靠性要件）。
- 适用除外：涉及婚姻、收养、继承等人身关系及不动产权益设立、变更、转让等事项，法律另有规定的从其规定。
- 电子合同与书面形式：数据电文满足可有形表现与可随时调取的，视为书面形式；签名/章记载与意思表示同一性、完整性与不可否认性构成效力关键。

3. 证据法维度（证据能力与证明力）
- 证据能力：电子数据属于法定证据种类；取得方式须合法，来源可查验，防篡改可验证。
- 真实性与关联性判断：签名/证书链/时间戳/哈希/区块链存证、公证保全、服务器日志、业务留痕、对账单、平台后台记录、交易相对性、一致性与完备性检验等。
- 举证责任与证明标准：主张电子签名效力一方对其真实性与可靠性负举证责任；经公证、经可信机制固化的，一般提高证明力；相对方可通过证书失效、私钥泄露、环境不可信、日志矛盾等予以反证。
- 证据规则的限制：严重违法取证、严重侵害他人合法权益取得的电子数据可能被排除或减弱证明力；隐私与数据合规影响采信。

4. 程序与技术保障
- 证据的形成、提取、固定与展示：原始数据保全、取证链完整性、取证主体资质与方法规范化（含镜像提取、哈希校验、签名验证报告等）。
- 在线诉讼与质证：远程出示、在线核验、电子送达；互联网法院及在线诉讼规则提供程序支撑。

5. 公证与第三方增信
- 公证保全、公证书的优先证明力与反证门槛；与区块链/时间戳/司法鉴定意见的配合使用。

6. 跨境与冲突法
- 涉外合同法律适用选择与强制性规范；境外电子签名与证书的承认路径与可采性（依据我国冲突规范与程序审查要求）。

二、与电子签名证据效力相关的主要法律法规与规范文件（引用清单）
（一）国家法律
- 中华人民共和国民法典（中华人民共和国主席令第45号，2020年5月28日通过，2021年1月1日施行）
  要点：数据电文等“信息载体可随时调取查用”的载体可构成书面形式；电子方式签名用于合同成立与履行的基础规则。
- 中华人民共和国民事诉讼法（2023年修正，2024年1月1日施行）
  要点：电子数据为法定证据种类；证据的合法性、真实性、关联性审查的一般原则。
- 中华人民共和国电子签名法（2004年通过，2015年修订，2019年再次修订并施行）
  要点：电子签名/电子认证/数据电文基本制度；“可靠电子签名”与手写签名或盖章具有同等法律效力；法律适用除外事项；电子认证服务的基本要求与监督。
- 中华人民共和国电子商务法（2018年通过，2019年1月1日施行）
  要点：电子合同订立、确认与留存；平台经营者的交易信息保存与调取义务，为证据形成与调取提供制度基础。
- 中华人民共和国公证法（2005年通过，2017年修订）
  要点：公证事项与公证文书证明效力；电子数据保全公证、证据保全过程的公证作用。
- 中华人民共和国网络安全法（2016年通过，2017年6月1日施行）
  要点：网络运营者的安全义务、日志留存、数据完整性与安全保障要求，影响电子证据取得与可信环境。
- 中华人民共和国数据安全法（2021年通过，2021年9月1日施行）
  要点：数据分类分级与安全管理制度；数据处理的合规边界与证据采集中的合法性要求。
- 中华人民共和国个人信息保护法（2021年通过，2021年11月1日施行）
  要点：处理个人信息的合法性基础、最小必要、目的限定；违法取证可能导致证据排除或证明力减弱。
- 中华人民共和国密码法（2019年通过，2020年1月1日施行）
  要点：商用密码在电子认证、电子签名中的应用规范与管理，为“可靠电子签名”提供密码学合规基础。
- 中华人民共和国涉外民事关系法律适用法（2010年通过，2017年修正）
  要点：涉外合同的法律适用与强制性规范；跨境电子签名/电子合同的准据法选择与承认框架。

（二）行政法规/部门规章与相关配套
- 电子认证服务管理办法（工业和信息化部令，现行有效版本）
  要点：电子认证服务机构（CA）设立、运营、监督管理；数字证书与签名制作数据安全；撤销、吊销与状态信息发布等，有助于证书链条与签名有效性核验。
- 电子认证服务相关许可、备案与监督的配套规范（工业和信息化部及相关部门发布，现行有效）
  要点：对电子认证服务许可、资质、年度审查、信息披露与监督要求，为证书信任链与签名可靠性提供制度保障。
说明：鉴于部门规章存在多次修订，请以工业和信息化部现行有效版本为准并核对令号与施行日期。

（三）司法解释与规范性文件
- 最高人民法院关于民事诉讼证据的若干规定（2019年修订，2020年5月1日施行）
  要点：电子数据的定义范围、举证与质证规则；真实性审查方法（电子签名、可信时间戳、哈希校验、区块链存证、电子取证过程记录、平台留痕等）；对证据取得合法性与严重违法排除规则的具体化；公证文书证明力的适用。
- 最高人民法院关于互联网法院审理案件若干问题的规定（2018年发布，现行有效）
  要点：认可通过区块链、可信时间戳、电子签名、哈希值校验、数字水印、取证固定平台等形成的电子数据，满足真实性、关联性、合法性即可采信；在线举证与质证规则。
- 人民法院在线诉讼规则（最高人民法院发布，2021年施行）
  要点：在线立案、在线举证质证、电子送达、远程开庭等程序规则，规范电子证据的在线出示与审查。
- 关于办理刑事案件收集提取和审查判断电子数据若干问题的规定（最高人民法院、最高人民检察院、公安部、国家安全部、司法部联合发布，2016年施行）
  要点：虽属刑事领域，但对电子数据的范围、提取固定、校验与审查标准具有借鉴意义，民事审理在技术方法与术语上常参照。

（四）与特定场景相关的其他规范（与证据效力间接相关）
- 行业合规与留痕保存的配套规范：如支付结算、金融、通信等领域关于交易日志、对账、留存期限的监管规则（由人民银行、银保监会、证监会、工信部等发布）。此类规范虽非专门的证据法，但对电子证据的形成与保存具有直接影响。
- 电子政务与电子印章相关规范：在政务办事、政府采购、公共资源交易平台等场景中，电子印章/电子证照的管理办法与技术规范，为签章的可信性与验证路径提供支撑（建议检索国务院办公厅、国家密码管理局、市场监管总局等发布的现行规范与技术标准）。

三、研究与写作的引用建议
- 引用顺序：优先引用上位法与专门法（民法典、民事诉讼法、电子签名法），再引用司法解释（民事证据规定、互联网法院规定、在线诉讼规则），最后补充部门规章与行业规范。
- 引用格式（示例要素）：文件全称—颁布机关—通过/公布日期—施行日期—“关键点/与电子签名证据效力的关联”。
- 实证与技术附件：在论证“可靠电子签名”与证据真实性时，可附证书链验证报告、CRL/OCSP状态、时间戳验证记录、哈希匹配结果、取证过程记录、公证书等，以强化可采性与证明力。

四、检索与实务提示
- 不同版本与修订：民事诉讼法（2023修正）、民事证据规定（2020施行版）、电子签名法（2019修订）为当前核心参照文本，务必以最新公布的现行有效版本为准。
- 技术与标准：虽然国家/行业标准通常不属于“法律法规”，但在证据真实性审查中（签名算法、时间戳、区块链存证、电子存证平台安全），法院常将合规的技术标准与鉴定意见作为辅助判断依据，可在附录部分列示。

如需，我可根据您的具体研究方向（例如：平台交易纠纷、劳动用工电子签章、金融借贷电子合同、区块链存证的可采性等）进一步细化到条文层级、补充典型裁判要旨与检索路径。

以下为与“反洗钱上线前风控检查表”及“整改计划”直接相关的中国法律、行政法规、部门规章与规范性文件（含技术规范）清单，并按层级与适用领域分类列示。为便于用于合规检查与整改方案编制，说明每类规范与系统上线前关键控制点（客户尽职调查、名单筛查、交易监测、报送、数据与系统安全、外包管理、检查与整改）的关联要点。因不同机构（银行、非银支付、证券期货、保险等）适用规则存在差异，请结合自身机构类型与业务边界进行适配。

一、上位法（基础义务与合规豁免/边界）
- 中华人民共和国反洗钱法
  - 关联要点：确立金融机构反洗钱内部控制、客户身份识别（含实际控制人/受益所有人识别）、交易记录保存、可疑交易识别与报告、反洗钱检查与整改、行政处罚等基本义务，是制定上线前检查表与整改计划的总纲。
- 中华人民共和国反恐怖主义法
  - 关联要点：确立反恐怖融资义务、涉恐名单（含联合国安理会制裁决议转化）识别与冻结、报告配合要求；支撑系统的制裁/涉恐名单筛查、冻结与解冻流程控制。
- 中华人民共和国刑法（尤其是洗钱罪、恐怖活动资助犯罪及相关上游犯罪条款）
  - 关联要点：为可疑交易类型库构建、红旗指标与升级审核提供刑法规制边界与高风险领域参考。
- 中华人民共和国网络安全法、数据安全法、个人信息保护法
  - 关联要点：约束反洗钱系统的数据合规（最小必要、目的限定）、安全保护（等保2.0要求）、跨境提供个人信息/重要数据、数据分类分级与安全评估；对供应商/外包、风控模型训练数据合规、日志留存与访问控制提出要求。
- 行政处罚法、行政检查等程序性法律（用于整改与复查）
  - 关联要点：规范监管检查、告知陈述申辩、责令改正、持续整改与复检等程序，为整改计划的期限、内容、验收依据提供程序框架。

二、人民银行（PBOC）主监管线条的部门规章与规范性文件
- 金融机构客户尽职调查和客户身份资料及交易记录保存管理办法（人民银行令，现行有效版）
  - 关联要点：CDD/KYC/KYB、受益所有人识别、持续尽调与风险分级、资料与交易记录保存期限与内容、基于风险的核验；直接决定上线前检查表中的身份识别、受益所有人穿透、证照/影像采集、持续尽调与定期复核、数据字段完整性与可追溯性等控制点。
- 金融机构大额交易和可疑交易报告管理办法（人民银行令，现行有效版）
  - 关联要点：大额交易阈值、可疑交易识别标准、报送内容/格式/时限、补报更正机制、质量控制与回执处理；直接决定交易监测场景库、规则/模型参数、报文格式（含技术校验项）、报送时限SLA与报送失败的应急补救流程。
- 金融机构洗钱和恐怖融资风险评估及客户分类管理指引（PBOC印发，现行有效）
  - 关联要点：建立与维护机构级/产品级/客户级风险评估方法、客户分层与差异化尽调、动态调整机制；为模型/规则的风险因子选取、权重、触发阈值与定期模型有效性验证提供依据。
- 非银行支付机构反洗钱和反恐怖融资管理办法（适用于支付机构，现行有效）
  - 关联要点：支付账户实名制、分级限额与账户分类、条码/网络支付特有风险场景监测、跨机构交易链路数据留存与报送；适用于支付机构上线前针对备付金账户、交易限额与风控联动机制的检查。
- 人民银行反洗钱监督检查与监管评估类规范（如反洗钱/反恐怖融资监管评估办法、监督检查工作规程、反洗钱行政处罚程序规则等，现行有效）
  - 关联要点：明确监管评估维度（治理架构、制度与流程、风险评估、培训考核、系统与数据、可疑报告质量等）与检查要点；为“上线前自查清单”设计维度、整改闭环（问题—措施—责任人—期限—验收标准）提供直接映射。
- 中国反洗钱监测分析中心（CAMLMAC）技术与报送规范（如可疑交易报告/大额交易报告报送接口与数据项规范、报文校验规则、退回与更正机制）
  - 关联要点：对接测试、环境联调、报文字段有效性/一致性/完整性校验、回执处理、差错更正与留痕；上线前必须完成的联测用例与失败回滚预案依据。
- 其他PBOC关联规范与指引（示例）
  - 反洗钱和反恐怖融资内部控制指引及培训考核要求
  - 金融消费者身份识别与实名制相关通知（涉及远程开户/非面对面核验）
  - 涉及电信网络新型违法犯罪的支付结算风险防控通知（对交易限额、场景拦截与名单联动提出要求）

三、行业主管部门及自律管理规则（按机构类型适用）
- 国家金融监督管理总局（原银保监会）银行保险领域
  - 商业银行内部控制指引
  - 银行保险机构信息科技风险管理办法、信息科技外包风险监管办法
  - 反洗钱和反恐怖融资工作评价/考核相关规定（用于内控与整改考核）
  - 关联要点：治理架构、三道防线、系统开发变更管理、数据质量管理、供应商/外包尽调与合同条款（数据安全、保密、可审计、应急、服务水平）、上线评审与投产验收、问题整改与问责。
- 中国证监会证券期货领域
  - 证券期货经营机构反洗钱工作管理办法及配套规则（券商/期货公司/基金销售适用）
  - 公开募集证券投资基金行业反洗钱配套规则（基金管理人/托管人适用）
  - 关联要点：证券账户实名制、穿透识别、交易异常监测（场内/场外）、可疑报告质量控制、产品适当性与反洗钱义务衔接。
- 中国人民银行会同网联清算/银联及行业标准化组织发布的支付清算与条码支付规范（支付机构、收单机构适用）
  - 关联要点：条码支付限额管理、异常交易拦截、商户实名与MCC管理、聚合支付场景风险控制，作为交易监测规则与名单联动的行业基准。

四、反恐怖融资与制裁名单相关规范
- 我国对联合国安理会制裁决议的实施规定及涉恐怖活动组织和人员名单管理规范（由国务院有关部门、公安部等发布）
  - 关联要点：制裁/涉恐名单源获取、自动化筛查引擎与匹配算法、命中处置（冻结/报告/解冻）、证据留存与报送链路；上线前需验证名单更新频率、命中审核SLA与误报处置机制。
- 资金冻结、止付与不动产/动产等其他资产限制措施的执行程序规范
  - 关联要点：流程化冻结与解冻、系统权限与留痕、跨系统/跨机构协同机制。

五、技术安全与数据治理配套标准（支撑系统建设、上线与运维）
- 网络安全等级保护制度（等保2.0）相关国家标准与合规要求（如基本要求、测评要求）
  - 关联要点：分级定级、边界防护、访问控制、日志与审计、漏洞管理、灾备与韧性；作为上线前安全评测与整改的重要依据。
- 关键信息基础设施安全保护条例（适用于被认定为关基的金融机构）
  - 关联要点：更高等级的安全保护、供应链安全与关键系统冗余。
- 金融业数据安全与数据治理相关规范（人民银行及金融标准化组织发布的分类分级、事件报告、数据质量与元数据管理等规范性文件/行业标准，现行有效）
  - 关联要点：数据字典与血缘、质量规则、异常监控、事件响应、跨境流动合规评估；直接进入上线前数据就绪度检查与后续整改要求。
- 个人信息保护配套规则（跨境提供个人信息标准合同、个人敏感信息处理规则等）
  - 关联要点：用于涉及境外厂商SaaS/云部署或跨境联测场景的合规边界与评估/备案要求。

六、与检查与整改直接相关的程序与监督规定
- 人民银行反洗钱监督检查、监管评估与行政处罚程序规则（现行有效）
  - 关联要点：明确监管问题分类分级、限期整改、跟踪复核与问责方式；为制定整改计划的“问题—措施—责任—期限—里程碑—验收标准—复核证据”框架提供刚性要求。
- 金融监管部门关于现场/非现场检查与问题整改闭环的工作规程（国家金融监督管理总局、中国证监会、人民银行相关规程）
  - 关联要点：用于对接检查底稿、证据保存、管理层问询、董事会/高管层履责与培训考核整改。

七、国际标准（用于内控标定与同业最佳实践比照）
- 金融行动特别工作组（FATF）40项建议及其解读、FATF相互评估报告对我国的适用要求
  - 关联要点：基于风险的方法（RBA）、受益所有人透明度、虚拟资产与VASP、跨境电汇信息、制裁与目标性金融制裁实施；可作为系统功能与制度框架的对标清单与改进方向。

适用与落地提示
- 上线前风控检查表编制建议以“法律—规章—指引/技术规范”三级为主线，覆盖：治理与职责、风险评估、CDD/受益所有人识别、名单筛查、交易监测与报送、数据与系统安全、模型管理、供应商与外包、培训与考核、档案与留痕、应急与连续性、内部审计与独立验证。
- 整改计划需与监管评估维度逐一对应，设置可量化KPI/KRI（如报送及时率/退回率、名单更新时效、误报率与漏报率、模型有效性指标、数据质量缺陷收敛率等），并明确里程碑、资源保障与复核验收机制。
- 不同行业适用差异显著：支付机构需关注账户分级实名制、网络支付特有场景；证券期货机构需关注场内/场外交易特性与穿透识别；银行需关注对公客户复杂股权穿透与贸易背景审查；保险机构需关注保费来源与理赔异常监测。

如需，我可结合贵机构类型与具体业务范围，进一步将上述法规逐条映射为“上线前检查表条目 + 证据样本 + 验收标准”，并拟定分阶段（T+30/T+90/T+180）整改计划与资源测算。