证券行业数据应用合规问题研究
随着业务快速发展,证券公司积累了海量数据,尤其是大量金融市场敏感数据和客户敏感个人信息。证券公司建立、完善数据应用合规管理体系,对于提升证券公司在数字时代的合规管理水平和风险应对能力、实现数据资源真正向数据红利转化以及推动证券行业高质量发展均具有重要意义。
一、证券公司数据应用现状——以代销业务为例
金融产品代销业务致力于解决证券公司理财服务和投资者财富配置需求之间的矛盾,是证券公司财富管理转型的关键业务之一。业务流程涉及证券公司内外部多方主体,数据呈多元形态,智能投顾、大数据风控、客户画像、精准营销等技术广泛应用,对于分析证券公司数据应用具有典型意义。
(一)证券公司代销业务数据处理概述
虽然不同类型金融产品在结构、适当性门槛以及销售要求上有所不同,但整体业务环节管控和数据处理要求、规范趋于一致。
从金融产品代销业务场景切入,由点及面,证券行业数据应用呈现以下四大主要特征:一是数据多元化、体量规模化。证券行业数据类型、结构、载体、主体呈现出多元化发展趋势,其中不乏重要的敏感信息,且数据规模总体呈爆发式增长。二是流通环节多、流动能力强。从数据收集、加工、处理、汇聚融合到使用、报备,涉及复杂的数据流转和产业链众多参与方,部分数据还面临跨境流转。三是数据应用和需求场景多样。大数据、云计算、人工智能等新兴技术在风控、研发、营销、监管等多场景得以广泛应用,盘活和丰富了证券公司数据资产。四是数据合规、数据安全形势严峻。当前数据治理各类配套设施、政策、法律法规、安全技术尚不健全。
(二)证券公司代销业务数据处理分析
从数据类型看,其包括企业信息和个人信息。企业信息包括企业基本信息、经营信息、信用信息;个人信息含有大量个人敏感信息,如财产、生物识别、身份、位置等信息。从数据处理目的看,其包括满足业务流程需要,使用销售渠道所需,监管和自律组织履行职责,数据的商业应用,以及满足数据安全要求。从数据处理行为看,其包括数据收集、使用、存储、传输、共享、删除等数据全生命周期活动,数据使用行为呈现多样化,如去标识化、匿名化、用户画像、数据融合等。从数据处理的合法基础看,证券公司代销业务数据处理有时是履行合同义务和法定义务的需要,有时以征得数据主体同意作为前提。
二、证券行业数据合规管理体系构建和实施要点
《数据安全法》和《个人信息保护法》的出台,标志着我国数据安全和个人信息保护进入更加制度化、规范化的新时代。证券行业数据应用合规管理体系构建需同时满足通用数据保护法律规定和金融行业监管特别要求。
(一)数据应用合规管理体系框架
证券公司数据应用合规管理体系的构建应当遵循以下基本原则:一是建立“一体化”管理机制,统一管理,统一设计和实施,纳入全面合规和风险管理体系。二是立足数据安全底线,充分尊重金融消费者个人信息权利。三是制定全生命周期和全业务流程的合规管理措施,并融入业务运营、数据治理、合规管理、全面风险管理的组织框架中予以落实。四是吸收先进数据安全技术和数据管理技术,用好技术工具。
(二)数据应用合规管理措施要点
结合国际通行的数据应用合规要求以及我国现行监管制度,证券行业数据合规管理可采取以下措施。
1.数据收集
证券公司收集的数据几乎涵盖《个人金融信息保护技术规范》(JR/T0171-2020)划分的C1、C2、C3全部类别个人金融信息,并涉及《个人信息保护法》规定的敏感个人信息。
收集个人信息应当满足最小必要原则,即所收集个人信息的类型与实现产品或服务的业务功能直接关联。除存在履行法定义务等其他合法性依据外,证券公司应确保个人信息收集和后续处理活动获得个人的知情同意。证券公司应重点关注《个人信息保护法》中明确规定需获得单独同意的特定情形(处理敏感个人信息、跨境传输个人信息等)和相关法律、行政法规规定应获得书面同意的特定情形。此外,APP成为数据安全执法部门和行业监管部门的执法重点。证券公司应重点关注APP合规实践,将个人信息保护理念和措施落实到产品设计、上线、应用、运维、迭代、下线等生命周期各环节。
2.数据使用
证券公司数据应用场景呈现多样化发展趋势,很多证券公司在早期大数据风控的基础上,又推出各类精准营销应用,并加速布局智能理财组合管理、智能投顾、过程智能跟踪诊断等领域。
证券公司应夯实数据使用环节的安全保护措施。如根据信息系统的等级保护定级和是否被认定为关键信息基础设施,落实相应的数据分类、容灾备份、加密、防危害技术措施、访问控制和审批机制、角色分离、展示限制、数据水印、安全事件应急预案、具有舆论属性或社会动员能力算法推荐服务安全评估和备案等。
此外,证券公司应重点关注数据主体权利保护,尤其关注自动化决策和数据融合。例如,通过自动化决策方式向个人进行信息推送、商业营销,应同时提供通用选项和便捷的拒绝方式;保证决策的透明度和结果公平、公正,不得实行不合理的差别待遇;对个人权益有重大影响的决定,确保个人有权要求予以说明,并有权拒绝仅通过自动化决策的方式作出决定。
3.数据共享
证券公司一方面需向客户披露金融产品相关信息,另一方面需向委托人共享客户基本信息,向监管部门和自律组织履行数据报送义务。证券公司还会在线上业务场景中应用第三方服务来提升安全、优化体验、打造业务闭环,实名认证、人脸识别、活体检测几乎成为线上业务标配。
个人信息共享合规要求可归纳为取得个人的知情同意、与接收方划分责任义务、开展安全影响评估、留存共享记录、协助数据主体行使权利五个方面。证券公司应当区分共享数据的类型和数据共享对象,识别和落实不同的合规要求。
4.数据委托处理
《个人信息保护法》对于数据处理的委托方和受委托方施以不同的责任要求,证券公司应根据其具体角色落实相应的合规义务,通过合同文本明确约定。作为委托方时,可通过技术手段监督受托方的个人信息处理活动。实践中由于业务数据高度敏感,证券公司对委托第三方处理数据持谨慎态度,数据处理基本由内部人员开展或在公司内部技术环境中落地。外包人员或外部系统接入和访问权限受到严格限制,且需经过法律、业务、合规部门审批。
5.数据转让和公开披露
金融行业属于强监管行业,如证券公司发生收购、兼并、重组等情况并致数据转让,证券公司应当向个人履行告知义务,并将数据移交至主管部门指定机构。
证券行业数据高度敏感,通常不会公开披露。如有披露必要,证券公司应确保取得客户单独同意,且事先开展保护影响评估。
6.数据传输、存储和删除
证券公司依法应当保存业务活动资料,期限一般不少于20年。期间证券公司有必要落实数据传输、存储和删除相关的数据合规要求。采用数据本地存储、去标识化、备份、加密传输、管理存储介质等安全技术措施;建立完整配套的数据销毁、删除机制,确保数据满足存储最小必要。法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,证券公司亦应停止除存储和采取必要的安全保护措施之外的数据处理活动。
7.数据安全管理
证券公司应从组织结构与人员管理、第三方机构管理、网络安全等级保护、数据分类分级、数据处理活动评估制度和安全检测与审计等方面,构建完善的数据安全管理制度。数据安全管理措施应与数据类型、重要性和敏感程度相匹配。证券公司应优先落实数据分级分类工作,同步构建其他合规机制,使各项制度互相勾稽、各为辅助。
8.数据安全事件应急处置
当前证券公司多已制订网络安全、信息系统突发事件应急预案,为平衡精细化处置和节约合规成本,可将数据安全事件纳入已有合规制度体系。如有案例事件上报必要,证券公司应详尽确认上报具体部门以及是否存在执法联动机制。
9.数据主体权利要求响应
证券公司应为数据主体行使权利设置响应机制,重点关注响应流程是否便捷、易操作。应重点关注和保障数据主体删除权,对法律法规要求必须存储的数据,停止除存储和必要安全保护措施之外的其他处理活动。
10.数据跨境传输
外资证券公司存在数据跨境传输的切实需求,尽管有监管部门进行窗口指导,仍待出台适合行业特征的公开指引或细则作为规制证券业数据跨境传输的长效机制。实践中,外资证券公司多已采取严格内控流程。证券公司应积极跟踪监管动态,与行业和数据监管部门保持良好的沟通。
三、证券行业数据应用合规面临的困难
本文选取具有典型特征的七家证券公司(含两家外资证券公司)进行深度访谈,并向多家证券公司开展问卷调研,发现证券行业数据合规困难主要表现在监管数据报送、数据分类分级和数据跨境传输三方面。
(一)监管数据报送
一是数据报送合法性基础存在疑问。现行数据报送义务的法律层级较低,而法律层面的规定不明确。此外,报送范围是否符合最小必要原则、知情同意是否“有效”履行均存在不确定状态。二是存在实践操作困难。实践操作中存在多头重复报送、数据口径及计算逻辑不明、报送沟通程序待完善等问题。多数据报送系统报送成本高,且影响报送数据的及时性、准确性和数据质量,影响监管效率。
(二)数据分类分级
一是现有标准《证券期货业数据分类分级指引》等出台时间较早,不能完全体现法规最新要求,指导意义有限。二是数据分类分级要求根据人员权限和数据类型采取区别保护措施,技术要求较高,后期管理与维护成本高、负担重。
(三)数据跨境传输
一是证券公司IT网络部署的国密化监管要求导致外资证券公司合规成本高、困难大。二是出境需要遵循的规则和程序等缺少具体透明的指引,依赖监管部门窗口指导,难以形成长效机制。
四、提升证券行业数据应用合规水平的政策建议
(一)配套并完善证券行业数据合规具体规则
《数据安全法》和《个人信息保护法》相继出台并提出新的数据合规管理要求,但许多内容仍是理念性、概念性、原则性的,需要监管机构和自律组织明确相关标准,指导实践落地。
一是应全面梳理正常开展证券业务、履行监管义务所必需的数据,形成清单,对数据的收集、使用、委托处理、共享、转让、公开披露、存储、删除与销毁等环节数据处理的目的、范围和方式予以明确规定并公开。考虑证券行业特点,如信义义务和信息隔离墙要求,设计对数据处理的合理限制。二是应基于行业模型的数据治理框架统筹证券业务与信息保护的要求,提供和谐、细化、可操作的数据分类分级标准。建立集中的监管大数据共享平台,实现“一套报表、一个入口”报送数据,由监管机构和自律组织内部按权限使用,监管机构之间建立数据共享通道,避免重复多头报送。三是应弥合现有法律法规之间缝隙。解决证券监管法规与信息保护法规间协调问题,厘清数据权属,明确个人信息定义中“已识别”“可识别”在具体场景下的判定。推动上位法修订,明确监管机构和自律组织的数据采集职权,以及证券公司的数据报送义务。四是应出台数据跨境传输指引。监管部门在个案窗口指导之外,应尽快出台金融行业数据跨境传输指引,为企业合法合规开展数据跨境传输活动提供指导。监管部门积极参与相关国际规则和标准制定,与其他国家监管部门共同探索数据跨境自由流动路径。
(二)打造并完善行业数据管理生态体系
一是应建立行业内常态交流机制,发布行业最佳实践。证券公司对于数据治理的重视程度不同,治理能力和综合实力也存在一定差距。汇集行业数据合规的正反面案例,积累形成行业知识库,提高行业整体数据合规水平。二是应协调建立第三方服务商与证券公司在数据合规义务方面规范的权利义务分配规则,形成协议范本,明确第三方服务商应采取的技术保护措施,配合证券公司数据合规义务的底线,减少证券公司合规隐患和成本。三是应设置科学的培训课程、考核与认证体系、职业规范与保障制度等,培养具备金融市场、法律、信息技术等复合背景的综合性数据治理人才。四是银行业在大数据应用和数据治理方面起步早、投入高、发展快,其合规实践对证券公司参考价值大。为最大限度提高金融行业数字化程度,应统一管理标准,推动跨机构、跨领域的金融数据融合、共享和应用。
(三)行业机构规范落实数据合规要求,稳健经营
一是密切跟踪立法动态,完善数据应用规定。证券公司应当制定并完善数据合规管理制度体系,将数据应用流程融入日常经营,有效履行金融信息安全保护职责,履行好数据出境等合规要求。二是切实做好数据分类分级管理工作。实务中明确数据分类维度,对不同类别和级别的数据采取相应的保护措施,分类分级管理。三是加强数据应用技术的开发与运用。在部分领域探索报送脱敏数据的可行性,降低个人信息处理风险。
*课题组简介:课题负责人:张海平,中证机构间报价系统股份有限公司创新业务部总监,中国证券业协会资管委员会委员,北京市金融科技领军人才;薛颖,博士,北京己任律师事务所合伙人。课题组成员包括:华仁杰,东吴证券股份有限公司信息技术总部总经理,中国证券业协会信息技术专业委员会委员,中国证监会、上交所等核心机构的行业课题评审专家;吴曼,招商证券股份有限公司法律合规部总经理兼招商资管合规总监,曾任中国证监会深圳监管局副处长,北京市君合(深圳)律师事务所合伙人;晋康飞,供职于中证机构间报价系统股份有限公司;吕沛、陈扬、王玉璇、叶子祎,均供职于己任律师事务所;张之浩、唐淑艳,均供职于东吴证券股份有限公司;闫颖超、赖腾、张晓娇,均供职于招商证券股份有限公司;王国蓓、陈立节、郝长伟、陈琦、李振,均供职于毕马威企业咨询(中国)有限公司。
