證券行業(yè)數(shù)據(jù)合規(guī)面臨的挑戰(zhàn)與應(yīng)對思考
——以證券代銷業(yè)務(wù)為例

翟梓君

（上海政法學(xué)院,上海 201701）

一、證券公司代銷業(yè)務(wù)數(shù)據(jù)跨境傳輸問題

當(dāng)今全球經(jīng)濟(jì)飛速發(fā)展，數(shù)據(jù)的跨境流動異常頻繁，為維護(hù)數(shù)據(jù)安全和網(wǎng)絡(luò)空間主權(quán)，目前眾多國家都對數(shù)據(jù)跨境流動進(jìn)行監(jiān)管。厘清網(wǎng)絡(luò)空間中的主權(quán)邊界，制定數(shù)據(jù)跨境流動的管理制度，實際也是維護(hù)網(wǎng)絡(luò)空間主權(quán)的具體體現(xiàn)。證券公司代銷業(yè)務(wù)領(lǐng)域內(nèi)，也存在數(shù)據(jù)跨境傳輸?shù)膯栴}，筆者從主要司法轄區(qū)監(jiān)管規(guī)定、影響數(shù)據(jù)跨境流動的障礙以及證券公司數(shù)據(jù)跨境傳輸?shù)暮弦?guī)現(xiàn)狀與風(fēng)險等角度進(jìn)行分析研究。

（一）主要司法轄區(qū)數(shù)據(jù)跨境傳輸監(jiān)管規(guī)定

1.我國數(shù)據(jù)跨境傳輸監(jiān)管規(guī)定

隨著2021 年《數(shù)據(jù)安全法》和《個人信息保護(hù)法》的出臺，現(xiàn)階段我國在數(shù)據(jù)跨境傳輸方面的法律框架的基本形式可以歸納為：以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個人信息保護(hù)法》三部通用法律的數(shù)據(jù)跨境規(guī)定為基礎(chǔ)，以金融、證券、醫(yī)療、測繪、汽車、生物遺傳等領(lǐng)域的數(shù)據(jù)跨境傳輸方面的行業(yè)法律法規(guī)為補充和輔助。除了以上法律法規(guī)層面的規(guī)定外，還有一系列有關(guān)個人信息保護(hù)、數(shù)據(jù)保護(hù)與跨境傳輸方面的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)也正在制定過程中。

2.通用性監(jiān)管規(guī)定：嚴(yán)格控制個人信息和重要數(shù)據(jù)跨境傳輸

我國高度重視數(shù)據(jù)跨境傳輸問題，在不同的法律中做出了針對性的規(guī)定。目前我國對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者（CIIO）收集和產(chǎn)生的個人信息和重要數(shù)據(jù)原則上要求在境內(nèi)存儲；因業(yè)務(wù)需要確需對外提供的，需要經(jīng)過安全評估。除CIIO 以外的其他數(shù)據(jù)處理者在境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)如需出境的，亦需滿足國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的相關(guān)管理辦法。而對于個人信息的跨境傳輸，則需要滿足通過國家網(wǎng)信部門組織的安全評估、經(jīng)專業(yè)機構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證、簽訂標(biāo)準(zhǔn)合同以及國家規(guī)定的其他條件其中之一。在以上適用于全國的規(guī)定之外，地方性的規(guī)定亦嘗試對數(shù)據(jù)的跨境傳輸做出規(guī)定。例如，《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》要求數(shù)據(jù)處理者向境外提供個人數(shù)據(jù)或者國家規(guī)定的重要數(shù)據(jù)的，應(yīng)當(dāng)申請數(shù)據(jù)出境安全評估，并進(jìn)行國家安全審查。

除以上對于跨境傳輸?shù)闹贫刃砸?guī)定外，我國目前針對具體的出境安全評估工作，也已出臺了相關(guān)指南和評估辦法的征求意見稿，主要有《個人信息和重要數(shù)據(jù)出境安全評估辦法》（征求意見稿）(2017 年)、《個人信息出境安全評估辦法》（征求意見稿）(2019 年)和《信息安全技術(shù)數(shù)據(jù)出境安全評估指南》（征求意見稿）(2017 年)，該三項法律文件均為基于《網(wǎng)絡(luò)安全法》的要求所出臺的重要配套文件，對于個人信息、重要數(shù)據(jù)出境安全評估的流程、方案等內(nèi)容做了具體規(guī)定和建議。雖然三項文本仍屬于征求意見稿、目前還不具有法律效力，但是在當(dāng)前法律實施缺乏具體指引、而現(xiàn)實中存在大量數(shù)據(jù)跨境傳輸需求的背景下，以上規(guī)定可以作為各行業(yè)網(wǎng)絡(luò)運營者的重要參考，在數(shù)據(jù)跨境的自評估等環(huán)節(jié)中予以采用。

在進(jìn)行出境安全評估時，對于個人信息，應(yīng)當(dāng)聚焦個人信息主體權(quán)益保護(hù)，重點關(guān)注是否取得個人信息主體的知情同意、與境外接收方的合同是否能夠有效執(zhí)行并保障個人信息主體的合法權(quán)益等；對于重要數(shù)據(jù)來說，則更加關(guān)注數(shù)據(jù)出境及出境數(shù)據(jù)匯聚可能對國家安全、社會公共利益產(chǎn)生的影響。由于以上規(guī)定為跨境傳輸數(shù)據(jù)提供了可供實操的抓手，因此各行業(yè)都應(yīng)當(dāng)密切關(guān)注以上文本的后續(xù)發(fā)展情況，及時對標(biāo)自身的數(shù)據(jù)處理和跨境傳輸活動，提高數(shù)據(jù)跨境傳輸?shù)暮弦?guī)性和效率。

綜上，可以看出我國對于個人信息和重要數(shù)據(jù)的跨境傳輸仍采取較嚴(yán)格的監(jiān)管態(tài)度。但同時我國也在積極探索跨境數(shù)據(jù)傳輸?shù)陌踩芾碓圏c。

3.行業(yè)數(shù)據(jù)跨境監(jiān)管規(guī)定：原則上禁止金融個人信息跨境傳輸，例外允許

目前我國對于個人金融數(shù)據(jù)出境監(jiān)管規(guī)定和要求較為嚴(yán)格。首先，金融行業(yè)要求對客戶資料嚴(yán)格保密；未經(jīng)有關(guān)部門同意，不得擅自向境外提供與證券業(yè)務(wù)活動有關(guān)的文件和資料。其次，針對個人金融信息，原則上禁止跨境傳輸，但如滿足業(yè)務(wù)必需、客戶知情同意、已開展個人金融信息出境安全評估等要求，則可向境外關(guān)聯(lián)機構(gòu)提供。

4.其他國家和地區(qū)數(shù)據(jù)跨境傳輸監(jiān)管特點

經(jīng)考察其他國家和地區(qū)數(shù)據(jù)跨境傳輸?shù)谋O(jiān)管規(guī)定，可以發(fā)現(xiàn)各國家和地區(qū)目前的數(shù)據(jù)跨境傳輸規(guī)則均以通用性規(guī)定為主，而專門針對證券行業(yè)的數(shù)據(jù)跨境傳輸規(guī)則不多。主要集中在歐盟、美國、亞太經(jīng)濟(jì)合作組織（APEC）國家及新加坡，目前各國家和地區(qū)對于數(shù)據(jù)跨境傳輸?shù)谋O(jiān)管存在如下趨勢：一方面積極采取措施促進(jìn)其他國家和地區(qū)的數(shù)據(jù)流向本國，以取得數(shù)字經(jīng)濟(jì)發(fā)展的優(yōu)勢；另一方面利用各種方式嚴(yán)格限制本國的個人信息和重要數(shù)據(jù)傳輸?shù)狡渌麌液偷貐^(qū)，以充分實現(xiàn)本國的國家安全、數(shù)據(jù)安全和競爭優(yōu)勢。

（二）影響數(shù)據(jù)跨境自由流動效率的主要障礙

當(dāng)前普遍認(rèn)為數(shù)據(jù)跨境治理屬于主權(quán)的范疇，也即各國主張的“數(shù)據(jù)主權(quán)”。數(shù)字經(jīng)濟(jì)的高速發(fā)展使得各國關(guān)注和重視本國的數(shù)據(jù)，在數(shù)據(jù)跨境流動的過程中，體現(xiàn)了數(shù)據(jù)傳出國與數(shù)據(jù)接收國之間的考量，為數(shù)據(jù)跨境流動設(shè)置的非技術(shù)性標(biāo)準(zhǔn)增加了數(shù)據(jù)跨境流動的難度。具體而言，影響數(shù)據(jù)跨境流動的障礙主要包括以下方面：

1.數(shù)據(jù)本地化的監(jiān)管要求

根據(jù)前述對于當(dāng)前主要司法轄區(qū)的數(shù)據(jù)跨境監(jiān)管規(guī)定的分析，可以看出各國或地區(qū)均在不同程度上對數(shù)據(jù)本地化做出了要求。根據(jù)信息技術(shù)與創(chuàng)新基金會的統(tǒng)計數(shù)據(jù)，2021 年要求數(shù)據(jù)本地化的國家或地區(qū)數(shù)量已有62 個，此外正在提議或起草的數(shù)據(jù)本地化政策有38項。在各國監(jiān)管規(guī)定中，一般均要求對個人信息進(jìn)行本地化存儲，同時對個人信息的跨境傳輸制定嚴(yán)格的限制條件。各國企業(yè)為了合規(guī)需要，嚴(yán)格采取數(shù)據(jù)本地存儲的方式，而數(shù)據(jù)本地存儲增加了數(shù)據(jù)跨境傳輸?shù)确矫娴某杀?，從而影響?shù)據(jù)跨境自由流動。

2.數(shù)據(jù)跨境后境外保護(hù)執(zhí)法難度大

隨著數(shù)字經(jīng)濟(jì)的發(fā)展，跨境后的數(shù)據(jù)可以存儲在任意位置的服務(wù)器中，因此互聯(lián)網(wǎng)犯罪的成本也更加低廉，而互聯(lián)網(wǎng)的互聯(lián)互通和無國界屬性使得各國執(zhí)法難度增加。傳統(tǒng)的數(shù)據(jù)跨境取證主要基于數(shù)據(jù)主權(quán)原則，而當(dāng)前涉及犯罪的電子數(shù)據(jù)證據(jù)可能存儲在不同的國家和地區(qū)中，如果允許數(shù)據(jù)自由跨境流動，傳統(tǒng)的司法協(xié)助難以滿足時效性要求，這進(jìn)一步增加了數(shù)據(jù)跨境自由流動的難度。在此背景下，歐盟、美國等國家和地區(qū)紛紛對跨境證據(jù)調(diào)取進(jìn)行立法，限制其他國家從本國范圍內(nèi)調(diào)取數(shù)據(jù)等電子證據(jù)。

3.數(shù)據(jù)跨境影響個人信息保護(hù)、產(chǎn)業(yè)安全乃至國家安全

在數(shù)據(jù)跨境流動的過程中，存在諸多可能的風(fēng)險，各國出于對數(shù)據(jù)安全風(fēng)險的擔(dān)憂紛紛對數(shù)據(jù)跨境自由流動做出限制。首先，當(dāng)前數(shù)據(jù)買賣黑產(chǎn)日益猖獗，個人數(shù)據(jù)泄露事件頻發(fā)。各國出于保護(hù)本國公民個人隱私、財產(chǎn)安全等因素的考量，限制個人信息對外傳輸。其次，在當(dāng)前已有的數(shù)據(jù)跨境傳輸可行途徑中，歐盟、新加坡等國家和地區(qū)在數(shù)據(jù)跨境傳輸中也提出了數(shù)據(jù)接收國應(yīng)當(dāng)具有與數(shù)據(jù)流出國相同的保護(hù)水平，以保障本國數(shù)據(jù)安全。第三，出于維護(hù)本國產(chǎn)業(yè)安全、網(wǎng)絡(luò)安全乃至國家安全的考慮，部分國家限制重要數(shù)據(jù)或者受控信息的跨境轉(zhuǎn)移。

（三）證券公司數(shù)據(jù)跨境傳輸合規(guī)現(xiàn)狀

1.工作亮點

在數(shù)據(jù)跨境傳輸方面，當(dāng)前相關(guān)證券公司合規(guī)工作的主要亮點內(nèi)容包括：第一，嚴(yán)格執(zhí)行數(shù)據(jù)本地化的要求，將數(shù)據(jù)存儲在本地服務(wù)器內(nèi)，且沒有端口與外界連通；第二，在公司內(nèi)部制定嚴(yán)格的數(shù)據(jù)跨境傳輸評估、審核制度，對數(shù)據(jù)進(jìn)行分級分類，確需出境的數(shù)據(jù)在每次出境前都要經(jīng)過數(shù)據(jù)保護(hù)部門的評估和審核；第三，根據(jù)不同類型數(shù)據(jù)，設(shè)置不同的跨境傳輸路徑，視數(shù)據(jù)敏感程度采取不同的傳輸方式，充分保障傳輸安全；第四，采取簽署承諾函等方式，確保集團(tuán)內(nèi)部數(shù)據(jù)跨境流動的合規(guī)性；第五，嚴(yán)格控制數(shù)據(jù)跨境后的接收者的知悉范圍，對于各類數(shù)據(jù)的查看權(quán)限做出限定。

2.實踐難點

關(guān)于數(shù)據(jù)跨境傳輸工作的主要難點包括以下幾個方面：第一，監(jiān)管部門對證券公司的IT 網(wǎng)絡(luò)部署方面存在國密的要求，應(yīng)使用國產(chǎn)密碼產(chǎn)品。對于外資證券公司而言，實現(xiàn)此類要求存在較大的合規(guī)成本和困難。第二，由于當(dāng)前尚無生效的數(shù)據(jù)出境安全評估辦法與指南，跨境傳輸?shù)谋O(jiān)管指引主要依靠證監(jiān)會的窗口指導(dǎo)和征求意見階段的規(guī)范性文件，這對于存在切實的數(shù)據(jù)跨境傳輸需求的證券公司而言，缺乏具體、穩(wěn)定、透明的實操指引。

3.風(fēng)險分析

我國目前對金融數(shù)據(jù)尤其是個人金融信息的跨境監(jiān)管的主要要求，包括境內(nèi)存儲原則和嚴(yán)格限制個人金融數(shù)據(jù)跨境提供。根據(jù)訪談和調(diào)查，外資證券公司基于母國監(jiān)管要求以及遵守《巴塞爾協(xié)議III》的要求需要對外傳輸數(shù)據(jù)，對外傳輸?shù)臄?shù)據(jù)不包括個人金融信息，但存在落入重要數(shù)據(jù)范疇的合規(guī)風(fēng)險。證券公司對外報送的數(shù)據(jù)中可能包括聚合數(shù)據(jù)、統(tǒng)計信息等數(shù)據(jù)，此類數(shù)據(jù)也有可能落入“重要數(shù)據(jù)”的范疇。因此，外資證券公司在跨境報送相關(guān)數(shù)據(jù)時，應(yīng)當(dāng)一事一議，根據(jù)有關(guān)標(biāo)準(zhǔn)重點評估是否屬于重要數(shù)據(jù)。

4.應(yīng)對思考

(1)公司內(nèi)部完善數(shù)據(jù)跨境傳輸制度，嚴(yán)格進(jìn)行自評估

證券公司應(yīng)當(dāng)注意追蹤國家立法新要求，在生效版本出臺前，根據(jù)《個人信息和重要數(shù)據(jù)出境安全評估辦法》（征求意見稿）、《個人信息出境安全評估辦法》（征求意見稿）和《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南》（征求意見稿）等相關(guān)規(guī)定，履行境內(nèi)存儲、安全評估等要求，出境前應(yīng)進(jìn)行自評估。此外還應(yīng)完善公司內(nèi)部數(shù)據(jù)跨境傳輸?shù)闹贫润w系，將數(shù)據(jù)跨境傳輸?shù)闹贫攘鞒倘谌肴粘＝?jīng)營，有效履行保護(hù)金融信息安全的職責(zé)和義務(wù)，持續(xù)保障金融信息安全。

(2)監(jiān)管部門與行業(yè)協(xié)會盡快出臺數(shù)據(jù)跨境傳輸?shù)戎改?/p>

隨著《數(shù)據(jù)安全法》《個人信息保護(hù)法》的出臺，我國數(shù)據(jù)保護(hù)的法律法規(guī)體系已逐步完善，可以期待對于數(shù)據(jù)跨境傳輸、重要數(shù)據(jù)認(rèn)定等的法規(guī)規(guī)章或者有關(guān)指南會在不久的將來出臺。建議監(jiān)管部門在個案指導(dǎo)、窗口指導(dǎo)之外，與行業(yè)協(xié)會一道結(jié)合相關(guān)規(guī)定或者指南的要求，出臺金融行業(yè)數(shù)據(jù)跨境傳輸?shù)闹改匣蜣k法，為相關(guān)企業(yè)合法合規(guī)開展數(shù)據(jù)跨境傳輸活動提供指引。

(3)監(jiān)管部門加強國際合作，探索數(shù)據(jù)跨境自由流動的路徑

目前實踐中數(shù)據(jù)跨境流動仍缺乏統(tǒng)一可接受的國際規(guī)則，各類多邊協(xié)議中各國保留程度不一，部分在原則上禁止采取限制數(shù)據(jù)跨境流動措施的情況下，也會允許成員國基于公共政策等目的進(jìn)行立法保留。建議監(jiān)管部門積極參與到相關(guān)國際規(guī)則和標(biāo)準(zhǔn)等的制定過程中，與其他國家一道，促進(jìn)不同國家和法系的理解，探索數(shù)據(jù)跨境自由流動的路徑，為數(shù)據(jù)跨境自由流動以及未來的數(shù)據(jù)交易的實現(xiàn)創(chuàng)造更好的國際環(huán)境。

二、數(shù)據(jù)分類分級問題研究

（一）我國數(shù)據(jù)分類分級的監(jiān)管規(guī)定分析

數(shù)據(jù)作為生產(chǎn)要素能夠?qū)ζ髽I(yè)發(fā)展、行業(yè)進(jìn)步乃至國家治理產(chǎn)生深遠(yuǎn)的影響。數(shù)據(jù)只有流動起來才能更好地發(fā)揮其生產(chǎn)要素的價值，數(shù)據(jù)流動的前提應(yīng)當(dāng)是安全和開放，加之?dāng)?shù)據(jù)的重要性和價值并不相同，因此需要對數(shù)據(jù)進(jìn)行分類分級，從而更好地管理、運用和保護(hù)數(shù)據(jù)。當(dāng)前全球范圍內(nèi)諸多國家都對數(shù)據(jù)進(jìn)行了分類分級，比如美國將數(shù)據(jù)分為國家安全信息、受控未分類信息以及開放數(shù)據(jù)等類別。對于證券行業(yè)而言，證券公司的數(shù)據(jù)主要包括三部分，首先是企業(yè)內(nèi)部管理等產(chǎn)生的數(shù)據(jù)，其次是在業(yè)務(wù)開展等過程中主動采集以及分析得出的數(shù)據(jù)，第三是來自于第三方的數(shù)據(jù)。不同來源的數(shù)據(jù)都在企業(yè)的控制之下，作為數(shù)據(jù)處理者/網(wǎng)絡(luò)運營者/個人信息處理者，應(yīng)當(dāng)根據(jù)國家法律法規(guī)的要求，建立完善的數(shù)據(jù)分類分級制度，這能夠為企業(yè)的數(shù)字化轉(zhuǎn)型和未來的發(fā)展打好數(shù)據(jù)管理的基礎(chǔ)。

從數(shù)據(jù)管理的角度而言，完善的數(shù)據(jù)分類分級制度能夠幫助企業(yè)理清數(shù)據(jù)資產(chǎn)，企業(yè)能夠通過對數(shù)據(jù)的精細(xì)化管理，發(fā)現(xiàn)新的商業(yè)模式，提高企業(yè)的競爭力；從數(shù)據(jù)運用的角度而言，分類分級能夠幫助企業(yè)區(qū)分?jǐn)?shù)據(jù)的重要程度和敏感性，從而形成科學(xué)合理的數(shù)據(jù)運用體系；從數(shù)據(jù)保護(hù)的角度來說，數(shù)據(jù)分類分級能夠幫助企業(yè)區(qū)分不同類型和級別的數(shù)據(jù)，從而針對性地采取諸如統(tǒng)計技術(shù)、屏蔽技術(shù)、假名化、加密處理等不同的安全保護(hù)措施，減少數(shù)據(jù)被竊取、篡改、泄露等的風(fēng)險。

（二）當(dāng)前證券公司代銷業(yè)務(wù)中數(shù)據(jù)分類分級的現(xiàn)實困難

1.相關(guān)規(guī)定難以保障數(shù)據(jù)的精細(xì)化分類分級

當(dāng)前《數(shù)據(jù)安全法》《個人信息保護(hù)法》等上位法律出臺之后，已經(jīng)從法律層面明確了數(shù)據(jù)分類分級的考量因素和確切要求。實踐中雖然存在一些推薦性國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)以及指引類文件，但是對于企業(yè)而言相關(guān)文本的原則性較強，分類分級的方法不完全一致，有的標(biāo)準(zhǔn)提出數(shù)據(jù)級別并非一成不變的，經(jīng)過匯聚融合或者脫敏處理其級別會發(fā)生變化，導(dǎo)致實踐中難以定級，因此對于證券代銷業(yè)務(wù)這一具體場景而言的借鑒意義有限，難以達(dá)到有效落實的效果，行業(yè)內(nèi)亟待根據(jù)新的法律法規(guī)要求盡快出臺分類分級指南等指導(dǎo)性文件。

2.監(jiān)管要求與數(shù)據(jù)合規(guī)要求存在不協(xié)調(diào)一致之處

部分證券公司提出行業(yè)監(jiān)管要求和數(shù)據(jù)合規(guī)要求存在不協(xié)調(diào)一致，實踐中難以處理。例如將個人信息提供給其他處理者應(yīng)當(dāng)取得個人的單獨同意，而不同監(jiān)管部門要求報送數(shù)據(jù)時難以臨時獲取信息主體的單獨同意，期待二者能夠更加協(xié)調(diào)一致，企業(yè)也將針對《個人信息保護(hù)法》等做進(jìn)一步調(diào)整。

（三）應(yīng)對思考

1.公司內(nèi)部明確數(shù)據(jù)分類的維度

當(dāng)前數(shù)據(jù)的分類可以從很多角度進(jìn)行，比如數(shù)據(jù)管理的角度、業(yè)務(wù)場景的角度等，因此在數(shù)據(jù)分類的過程中應(yīng)當(dāng)盡量從數(shù)據(jù)的客觀屬性和固有屬性出發(fā)進(jìn)行分類，避免同一數(shù)據(jù)基于不同的維度被劃分到不同的數(shù)據(jù)類別中，保障分類分級體系的穩(wěn)定性。

2.具體操作中細(xì)化數(shù)據(jù)分類分級的顆粒度

實踐中存在部分企業(yè)僅將數(shù)據(jù)區(qū)分為敏感數(shù)據(jù)和非敏感數(shù)據(jù)或者客戶數(shù)據(jù)和非客戶數(shù)據(jù)，這樣實踐操作中可能比較方便，但是存在分類過于粗糙的問題，在具體的數(shù)據(jù)處理以及運用和精細(xì)化管理中存在困難。因此需要細(xì)化數(shù)據(jù)分類分級的顆粒度。

3.監(jiān)管部門出臺協(xié)調(diào)統(tǒng)一的行業(yè)指引

當(dāng)前《數(shù)據(jù)安全法》《個人信息保護(hù)法》出臺，為更好地實現(xiàn)企業(yè)數(shù)字化轉(zhuǎn)型從而促進(jìn)數(shù)據(jù)交易、共享和流轉(zhuǎn)等活動的順利進(jìn)行，建議證券行業(yè)監(jiān)管部門依據(jù)法律法規(guī)要求制定數(shù)據(jù)分類分級的指引，為各企業(yè)完善自身的數(shù)據(jù)分類分級制度提供操作指南和規(guī)范，從而更好地服務(wù)于數(shù)字經(jīng)濟(jì)的發(fā)展。

三、證券公司代銷業(yè)務(wù)數(shù)據(jù)合規(guī)管理相關(guān)政策建議

自2016 年《證券公司全面風(fēng)險管理規(guī)范》發(fā)布，數(shù)據(jù)治理在行業(yè)內(nèi)被首度提出。國內(nèi)相關(guān)金融機構(gòu)和監(jiān)管機構(gòu)圍繞數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)模型、數(shù)據(jù)安全、數(shù)據(jù)質(zhì)量、數(shù)據(jù)共享、大數(shù)據(jù)應(yīng)用展開一系列探索和研究，其對證券行業(yè)的蓬勃發(fā)展和證券公司的競爭地位的重要意義不言而喻，無須贅述。數(shù)據(jù)合規(guī)是數(shù)據(jù)治理的重要內(nèi)容，也是一切數(shù)據(jù)應(yīng)用的基石?！稊?shù)據(jù)安全法》和《個人信息保護(hù)法》相繼出臺并提出新的數(shù)據(jù)合規(guī)管理要求，但許多內(nèi)容是理念性、概念性、原則性的，無法真正指導(dǎo)實踐落地。數(shù)據(jù)本身與社會經(jīng)濟(jì)活動一樣復(fù)雜，數(shù)據(jù)工作牽一發(fā)而動全身，可能涉及大量的系統(tǒng)改造和業(yè)務(wù)流程再造，明確相關(guān)標(biāo)準(zhǔn)有利于統(tǒng)一行業(yè)預(yù)期，減輕證券公司“返工”壓力，也能建立行業(yè)內(nèi)公平競爭的基線。

(一)明確個人信息判定具體規(guī)則

《民法典》《網(wǎng)絡(luò)安全法》《個人信息保護(hù)法》關(guān)于個人信息的定義不盡相同,《個人信息保護(hù)法》《個人信息安全規(guī)范》關(guān)于敏感個人信息的定義也不盡相同。即便通過法律適用的原則來解決規(guī)范性文件之間的關(guān)系，個人信息的定義也過于原則，比如《個人信息保護(hù)法》將個人信息定義為“與已識別或者可識別的自然人有關(guān)的各種信息”，其中，“已識別”“可識別”在具體場景下的判定均需要進(jìn)一步明晰。由于個人信息的判定是遵從各種合規(guī)要求的前提性條件，建議出臺詳細(xì)的個人信息和敏感信息判定指導(dǎo)。

(二)細(xì)化數(shù)據(jù)分類分級標(biāo)準(zhǔn)

分類分級是數(shù)據(jù)治理中重要的一環(huán)，也是數(shù)據(jù)合規(guī)管理的一項前置工作?！蹲C券期貨業(yè)數(shù)據(jù)模型-第1 部分：抽象模型設(shè)計方法》《證券期貨業(yè)數(shù)據(jù)分類分級指引》邁出了重要一步，就行業(yè)數(shù)據(jù)模型設(shè)計和數(shù)據(jù)的分類分級給出標(biāo)準(zhǔn)建議。但作為分類分級的專門性規(guī)范，上述規(guī)范并未全面融入《個人信息保護(hù)法》的要求，與《個人信息安全規(guī)范》《個人金融信息保護(hù)技術(shù)規(guī)范》對數(shù)據(jù)分類和敏感信息的界定原則存在不一致。建議在基于行業(yè)模型的數(shù)據(jù)治理框架中統(tǒng)籌證券業(yè)務(wù)與信息保護(hù)的要求，提供和諧、細(xì)化的數(shù)據(jù)分類分級標(biāo)準(zhǔn)。

(三)彌合現(xiàn)有法律法規(guī)之間縫隙

1.厘清數(shù)據(jù)權(quán)屬

數(shù)據(jù)權(quán)屬問題是金融數(shù)據(jù)流通面臨的最大障礙，證券公司代銷業(yè)務(wù)開展過程中收集和產(chǎn)生的各種數(shù)據(jù)權(quán)益歸屬不明，也很難達(dá)成有效協(xié)議，雖然證券公司希望保留數(shù)據(jù)控制權(quán)，但難以落實，為后續(xù)數(shù)據(jù)資源的應(yīng)用開發(fā)帶來不確定性。

2.解決規(guī)范間協(xié)調(diào)問題

《證券法》要求證券公司妥善保存客戶開戶資料等信息的時間不得少于二十年，而個人信息保護(hù)相關(guān)監(jiān)管要求數(shù)據(jù)存儲期限應(yīng)當(dāng)為實現(xiàn)個人信息主體授權(quán)使用目的所必需的最短時間。筆者注意到，多家證券公司的APP 端隱私政策中基于個人信息保護(hù)要求仍告知用戶可以在停止使用產(chǎn)品和服務(wù)、注銷賬號后要求刪除個人信息。再如，《證券法》在許多情形下采取舉證責(zé)任倒置，由證券公司承擔(dān)舉證義務(wù)，這對證券公司的證據(jù)保存提出很高的要求，證券公司需要存儲大量個人投資者的適當(dāng)性信息、交易信息等個人敏感信息，并用于司法程序。

(四)制訂適應(yīng)行業(yè)特點的數(shù)據(jù)處理行為規(guī)范

1.統(tǒng)一行業(yè)標(biāo)準(zhǔn)

證券行業(yè)是強監(jiān)管行業(yè)，多層級的法律、法規(guī)、規(guī)章、自律規(guī)則、指引、指南對各項證券業(yè)務(wù)形成較為全面的覆蓋，這為推動標(biāo)準(zhǔn)化工作提供了基礎(chǔ)。建議全面梳理正常開展證券業(yè)務(wù)、履行監(jiān)管義務(wù)所必須的數(shù)據(jù)，形成清單，對數(shù)據(jù)的收集、使用、委托處理、共享、轉(zhuǎn)讓、公開披露、存儲、刪除與銷毀等環(huán)節(jié)數(shù)據(jù)處理的目的、范圍和方式予以明確規(guī)定并公開，為證券公司數(shù)據(jù)處理活動提供更多的被《個人信息保護(hù)法》所規(guī)定的合法性基礎(chǔ)，比如（履行合同或法定義務(wù)）以減少證券公司反復(fù)征得個人同意和授權(quán)的合規(guī)負(fù)擔(dān)，對于響應(yīng)數(shù)據(jù)主體權(quán)利要求的規(guī)范動作提供表單文書范本，降低證券公司數(shù)據(jù)合規(guī)風(fēng)險。

2.統(tǒng)籌考慮行業(yè)特點

隨著客戶畫像、精準(zhǔn)營銷、智能投顧等大數(shù)據(jù)和人工智能技術(shù)得到越來越廣泛的應(yīng)用，大量的行為數(shù)據(jù)被收集來對客戶提供個性化和高效率的服務(wù)。但相比工商業(yè)企業(yè)，證券公司在很多場景下承擔(dān)受托義務(wù)和信義義務(wù)，對客戶的責(zé)任遠(yuǎn)超過普通經(jīng)濟(jì)往來。再如，證券公司普遍建立隔離墻制度，對數(shù)據(jù)流動存在固有限制要求。在制定行業(yè)標(biāo)準(zhǔn)時應(yīng)當(dāng)統(tǒng)籌考慮行業(yè)特點，在數(shù)據(jù)訪問、數(shù)據(jù)處理目的方面做出合理限制，在影響評估方面明確特別要求。

(五)打造并完善行業(yè)數(shù)據(jù)管理生態(tài)體系

1.推動行業(yè)內(nèi)交流

證券公司對于數(shù)據(jù)治理的重視程度不同，治理能力和綜合實力也存在一定差距。在分類分級方面，部分證券公司開發(fā)自動數(shù)據(jù)分類分級程序，利用技術(shù)手段有效實現(xiàn)數(shù)據(jù)字段的篩選、識別和分類分級處理；在數(shù)據(jù)去標(biāo)識化方面，部分證券公司上線數(shù)據(jù)脫敏平臺，規(guī)范脫敏流程，按需開展數(shù)據(jù)脫敏工作，并自研檢測工具測試敏感個人信息去標(biāo)識化效果。建議建立行業(yè)內(nèi)的常態(tài)交流機制，發(fā)布行業(yè)最佳實踐，匯集行業(yè)數(shù)據(jù)合規(guī)的正反面案例，積累行業(yè)知識庫，整體提高行業(yè)數(shù)據(jù)合規(guī)水平。

2.規(guī)范第三方服務(wù)

在技術(shù)創(chuàng)新發(fā)展和社會分工細(xì)化的背景下，證券公司代銷業(yè)務(wù)數(shù)字化轉(zhuǎn)型時會使用第三方工具。證券公司APP 目前普遍集成社交、推送、支付、身份認(rèn)證、人臉識別、活體檢測、安全加固等三方服務(wù)，部分證券公司也會使用用戶行為數(shù)據(jù)分析服務(wù)。雖然證券公司可以在采購談判和服務(wù)協(xié)議中對第三方提出數(shù)據(jù)安全和個人信息保護(hù)的合同義務(wù)，但作用有限，溝通成本較高，而且部分第三方為強勢國有企業(yè)或壟斷型企業(yè)，很難落實。建議監(jiān)管層面就第三方服務(wù)與證券公司之間的權(quán)利和義務(wù)進(jìn)行原則性劃定，設(shè)立第三方服務(wù)提供商應(yīng)當(dāng)采取的技術(shù)保護(hù)措施、履行配合證券公司數(shù)據(jù)合規(guī)義務(wù)的底線，以減少證券公司的合規(guī)隱患，降低合規(guī)成本。

3.加強金融行業(yè)間交流，統(tǒng)一管理標(biāo)準(zhǔn)

相較證券行業(yè)，銀行業(yè)在大數(shù)據(jù)應(yīng)用和數(shù)據(jù)治理方面起步較早，投入較高，發(fā)展也比較快，其合規(guī)實踐對證券公司是有價值的參考借鑒。由于證券行業(yè)和銀行業(yè)有一定相似性，聯(lián)系較為密切，為最大限度提高金融行業(yè)數(shù)字化程度，可以在數(shù)據(jù)權(quán)屬、數(shù)據(jù)架構(gòu)、數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)應(yīng)用、數(shù)據(jù)安全、個人信息保護(hù)方面統(tǒng)一管理標(biāo)準(zhǔn)，最終推動跨機構(gòu)、跨領(lǐng)域的金融數(shù)據(jù)融合、數(shù)據(jù)共享和應(yīng)用。

[注釋]

① 商務(wù)部:《關(guān)于印發(fā)全面深化服務(wù)貿(mào)易創(chuàng)新發(fā)展試點總體方案的通知》（2020 年）。

② 歐盟:促進(jìn)歐盟內(nèi)數(shù)據(jù)自由流動;通過充分性認(rèn)定/保障措施/免等方式實現(xiàn)數(shù)據(jù)跨境;另外調(diào)整數(shù)據(jù)的境外調(diào)取規(guī)則。

美國:支持?jǐn)?shù)據(jù)跨境自由流動,推行其個人金融信息跨境流通的標(biāo)準(zhǔn),同時限制美國公民個人信息的跨境流出,通過長臂管轄實現(xiàn)境外數(shù)據(jù)調(diào)取的目的。

APEC 地區(qū):CBPR 體系為成員國之間提供跨境數(shù)據(jù)傳輸規(guī)則,要求在APEC 國家內(nèi)加入CBPR 系統(tǒng)的成員國之間傳輸公民的個人信息應(yīng)符合CBPR 的要求。確保個人信息跨國界自由流動的同時,為個人信息的隱私與安全建立有意義的保護(hù)。CBPR 體系由四部分組成:自我評估,合規(guī)審查,承認(rèn)接受,爭議解決和執(zhí)行。各成員國在將個人信息傳輸?shù)絿庵?應(yīng)進(jìn)行自我評估和保密審查。

新加坡:積極尋求區(qū)域內(nèi)數(shù)據(jù)自由流動,與此同時對個人數(shù)據(jù)跨境傳輸設(shè)置嚴(yán)格標(biāo)準(zhǔn)。

③ 參見劉晨希:《一帶一路視角下數(shù)據(jù)跨境流動的國際挑戰(zhàn)與中國對策》,載《中國經(jīng)貿(mào)導(dǎo)刊》2021 年9 月,第21 頁。

④ 信息技術(shù)與創(chuàng)新基金會（ITIF）:《跨境數(shù)據(jù)流動的障礙如何在全球蔓延,付出的代價以及如何解決這些問題》,網(wǎng)址:http://www.hackdig.com/08/hack-429684.htm,最后訪問日期:2022 年2 月1 日。

⑤ 《民法典》第一千零三十四條規(guī)定:“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”

《網(wǎng)絡(luò)安全法》第七十六條規(guī)定:“個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

《個人信息保護(hù)法》第四條:個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。

⑥ 《個人信息保護(hù)法》第二十八條規(guī)定:敏感個人信息是一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。

《個人信息安全規(guī)范》附錄B（資料性附錄）個人敏感信息判定規(guī)定:個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全,極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。舉例包括個人財產(chǎn)信息、個人健康生理信息、個人生物識別信息、個人身份信息和其他信息。

⑦ 《證券法》第一百四十七條規(guī)定:證券公司應(yīng)當(dāng)妥善保存客戶開戶資料、委托記錄、交易記錄和與內(nèi)部管理、業(yè)務(wù)經(jīng)營有關(guān)的各項資料,任何人不得隱匿、偽造、篡改或者毀損。上述資料的保存期限不得少于二十年。

⑧ 《證券法》第八十九條第二款規(guī)定,證券公司與普通投資者發(fā)生糾紛,證券公司應(yīng)當(dāng)證明其行為符合監(jiān)管規(guī)定,證券公司不能證明的,應(yīng)當(dāng)承擔(dān)相應(yīng)賠償責(zé)任。