「 道可特法视界第1709篇原创文章 」
目 录
(一)行业数据治理概况(二)行业数据立法分析(三)行业数据监管动态(四)行业数据合规建议
行业数据合规建议
《网络安全法》第21条第一项中要求确定网络安全负责人的一般规定,在《技术管理办法》中得到了进一步扩充。其中要求,证券基金经营机构在关乎公司网络运行安全稳定的信息技术管理层面搭建“信息技术治理委员会-首席信息官-信息技术管理部门”的层级管理机构,并对相应职位的职责或任职要求提出了明确基线。1. 信息技术治理委员会
证券基金经营机构应当在公司管理层下设立信息技术治理委员会或指定专门委员会,且应当由高级管理人员以及合规管理部门、风险管理部门、稽核审计部门、主要业务部门、信息技术管理部门等部门负责人组成,可聘请外部专业人员担任信息技术治理委员会委员或顾问。该委员会主要负责制定信息技术战略,以及对以下事项进行审议:① 信息技术规划,包括但不限于信息技术建设规划、信息安全规划、数据治理规划等;
② 信息技术投入预算及分配方案;③ 重要信息系统建设或重大改造立项、重大变更方案;④ 信息技术应急预案;⑤ 使用信息技术手段开展相关业务活动的审查报告以及年度评估报告;⑥ 信息技术治理委员会委员提请审议的事项;⑦ 其他对信息技术管理产生重大影响的事项。2. 首席信息官
证券基金经营机构应当指定一名熟悉证券、基金业务,具有信息技术相关专业背景、任职经历、履职能力的高级管理人员为首席信息官,并由其负责信息技术管理工作。① 从事信息技术相关工作十年以上,或者在证券监管机构、证券基金业自律组织任职八年以上;
② 最近三年未被金融监管机构实施行政处罚或采取重大行政监管措施;③ 中国证监会规定的其他条件。3. 信息技术管理部门
证券基金经营机构应当设立信息技术管理部门或指定专门机构,具体职责包括信息安全应急预案及演练、实施信息技术规划、信息系统建设、信息技术质量控制、信息安全保障、运维管理、数据合规与监管应对等工作。二、数据分类分级
数据分类分级不仅是《网络安全法》《数据安全法》等规范中的一般规定,还是《技术管理办法》《分类分级指引》等行业规定中一贯强调的重点合规内容。《技术管理办法》规定,证券基金经营机构应当将经营及客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别做出差异化数据管理制度安排。1. 数据的分类
根据《分类分级指引》,对数据的分类工作分为两个阶段,分别是对业务和数据进行细分和归类。业务细分阶段,是将业务条线作为业务一级子类进行细分,确定业务二级子类(业务管理),并对其命名。数据归类阶段,是在第一阶段对业务细分的基础上,找到数据与业务二级子类之间的对应关系,经归类后,确定数据一级子类。经过这两个阶段的工作后,得到的数据分类如下所示:2. 数据的分级
根据《分类分级指引》,数据等级分为四级,描述标识分为数据级别标识和数据重要程度标识两类,相互一一对应:a)数据级别标识,从高到低划分为:4、3、2、1;b)数据重要程度标识,与数据级别标识相对应,从高到低划分为:极高、高、中、低。数据级别标识、数据重要程度标识、数据特征对应关系,如下所示:对此,建议证券基金公司按照上述指引中的分级分类方法以及分级分类的依据,结合本司数据资产状况进行盘点梳理,通过划分不同等级方式赋予不同保护措施等级,在采集、访问、使用、共享相应数据或者相应数据发生特定安全事件时,响应相关访问权限制度或者触发数据保护响应机制。三、信息系统审计
信息系统审计,是证券基金公司对自身信息系统规划、建设、运维和应急等活动进行自我检查和评价,判断系统运行的安全性、系统建设的合规性和系统应用绩效,提出整改建议,并持续跟踪落实整改情况。对此,证券基金公司应指定内审部门,并合理配备审计人员负责信息系统审计工作。可根据实际需要聘请第三方审计机构开展信息系统审计工作。1. 审计内容
首先,证券基金公司应开展系统运行安全审计,重点关注系统运维风险,通过审查和评估交易、结算、行情、通信等重要业务信息系统的安全性,及时发现运行风险隐患。主要包括组织管理、机房管理、网络管理、主机和系统管理、运维管理等方面。其次,证券基金公司可视情况开展系统建设合规审计,重点关注违法违规风险,通过审查和评估在采购电子产品、建设信息系统项目、维护信息系统等活动中,本机构负责采购的人员、项目建设人员、系统运维人员等是否存在贪污受贿、徇私舞弊、玩忽职守等行为。再次,证券基金公司也可展开系统应用绩效审计,重点关注信息系统能否有效发挥作用,通过审查和评估已建成信息系统的经济效益和使用情况,及时发现资源浪费等风险隐患。此外,许多证券公司会同时开展多项业务,《证券公司投资银行类业务内部控制指引》中要求对投行类业务建立信息隔离墙制度,并针对投行类业务的不同类型和业务环节特点,对信息隔离墙制度进行细化。一般情况下,各券商的信息隔离墙制度均是相对完善的,但仍需注意要及时登记项目人员入墙、出墙,以防止未公开信息被泄露或滥用。2. 审计工作要求
审计分为专项审计及全面审计。证券基金公司应定期开展信息技术管理工作专项审计,频率不低于每年一次,确保三年内完成信息技术管理全部事项的审计工作,包括但不限于信息技术治理、信息技术合规与风险管理、信息技术安全管理、应急管理。而对于全面审计,证券基金公司应当委托外部专业机构开展,频率不低于每三年一次。每当完成一次专项审计或者全面审计,证券基金公司应形成书面的审计报告,并构成最终的审计档案。公司应当跟踪审计发现问题的整改情况,相关问题未能及时整改的,应当说明理由,并将审计报告提交信息技术治理委员会审议。证券基金经营机构应当妥善保存审计报告,保存期限不得少于二十年。审计工作结束后,审计组应整理相关材料,并建立、保管审计档案。下列材料应归入审计档案:审计方案、审计通知书;审计工作底稿、审计报告;整改方案;后续审计工作底稿、后续审计报告。审计档案应至少保存五年。四、网络安全事件应急预案与演练
证券基金公司对于网络安全事件的应对是实务中相关机构重点监管的内容之一。根据《技术管理办法》《保障管理办法》等相关规定,证券机构应当建立信息安全应急处置机制,及时处置突发信息安全事件,尽快恢复信息系统的正常运行,并按照规定进行报告,不得迟报、漏报、瞒报。① 信息技术管理部门为信息技术应急管理的牵头组织部门,组织开展信息技术应急预案的制定、演练、评估与改进工作,并负责信息系统的应急响应与恢复;
② 各业务部门负责评估本业务条线信息技术突发事件相关风险,开展业务影响分析,确定并实施重要业务恢复目标和恢复策略;③ 风险管理部门负责评估信息系统与相关业务恢复目标和恢复策略制定的合理性,确保与公司整体风险管理策略保持一致。应急预案的内容包括应急管理建设目标、备份信息系统建设和恢复机制、备份数据恢复机制、业务恢复或替代措施、应急联系方式、与客户沟通方式、向监管部门及有关单位的报告路径、应急预案披露与更新机制等内容。
在制定应急预案的基础上,证券基金公司应每年至少组织一次网络与信息安全应急演练,并确保应急演练在两年内覆盖全部重要信息系统。此外,应急演练应当形成报告,保存期限不得少于五年。同时,应每年向住所地证监局报告年度应急演练情况。五、客户个人信息保护
证券基金公司对客户个人信息的收集与处理方式也是相关机构重点监管的内容之一。客户个人信息保护应注意以下几点:1. 个人信息的收集
在客户一开始准备使用网上证券基金信息系统时,公司应当与客户签订网上证券服务协议或合同、风险揭示书,明确双方的权利、义务和相关风险的责任承担,向客户充分揭示使用网上证券信息系统可能面临的风险、公司已采取的风险控制措施和客户应当采取的风险防范措施。揭示内容包括但不限于:建议客户定期修改口令、增强口令强度,防止口令泄露、防止网上客户端感染木马、病毒等,并提醒客户可根据需要开启或关闭网上交易方式。同时,应在协议或者合同中明确告知客户使用网上证券基金信息系统的合法途径、意外事件的处理办法,以及证券基金公司的联系方式等。与一般的个人信息控制者相同,证券基金公司在收集使用客户信息之前,应当公开收集、使用的规则和目的,并征得客户同意。《证券公司客户资料管理规范》针对证券行业中“个人信息”的概念作了进一步规定,主要包括客户基本信息(客户身份信息、资产状况、风险承受能力及其他反映客户基本属性的记载),业务凭证(客户办理业务过程中产生的业务信息记载。至少包括客户标识、业务内容、业务办理时间等信息),以及交易记录(客户通过证券公司进行各类证券交易所产生的信息记载,至少包括客户标识、交易标的物、交易价格、交易数量、交易时间等信息)。证券基金公司需在隐私政策、用户协议等对外文件中明确自身收集、使用客户信息的具体类型及范围。根据最新的相关国家标准,运营者需在隐私政策中逐一明确每项业务功能所收集的个人信息类型。对此,我们建议证券基金公司需在相关对外文件中准确披露主要业务功能下收集、使用个人信息的类型、范围、目的及方式,并获取用户的授权同意。2. 个人信息的存储
个人信息处理者应当采取必要措施保障所处理的个人信息的安全,这意味着在个人信息存储环节,个人信息处理者必须采取有效的安全保障措施,以防止个人信息的泄露、篡改、丢失、不可用等安全风险。具体而言,证券基金公司可以采取根据安全级别、重要性、量级、使用频率等因素,将数据分域分级存储,根据网络安全等级保护要求落实高敏感级别数据的加密存储要求等安全保障措施,定期对数据存储过程中可能产生的影响进行风险评估。除安全保障义务以外,证券基金公司还应当关注遵守个人数据存储中的个人信息处理原则中的最小够用原则,即仅在实现提供证券或基金产品服务目的所必需的期间和法律法规要求的最短时限内存储用户个人信息。对于已实现个人信息处理目的或者实现处理目的不再必要、达到与用户约定或者个人信息处理规则明确的存储期限以及终止服务或者个人注销账号等情形,证券基金公司应当及时删除相关主体个人信息或进行匿名化处理。此处,删除指在证券或基金产品服务所涉及的系统及设备中去除相关个人信息,使其保持不可被检索、访问的状态;匿名化处理指将用户个人信息经过处理无法识别特定自然人且不能复原的过程。3. 个人信息的使用
有关个人信息使用活动的监管要点主要在于展示限制、用户画像使用限制、自动决策机制限制、大数据杀熟禁止等方面。证券基金公司在使用个人信息的过程中,应当合理确定个人信息的使用策略和操作权限,建立最小授权的访问控制策略,不得滥用个人信息;应当注意不超出与收集个人信息时所声称的目的具有直接或合理关联的范围;应当向客户明示用户画像的具体用途、主要规则,并以最易获取的方式向客户提供拒绝用户画像的有效途径。在制定内部管理制度和操作规程方面,证券基金公司应当采取具体措施防止个人信息泄露、篡改、丢失,对个人信息实行分类管理,采取相应的加密、去标识化等安全技术措施,合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训以及制定并组织实施个人信息安全事件应急预案等措施。4. 个人信息的委托处理
在委托处理个人信息时,证券基金公司应当核查委托处理涉及的个人信息类型,以及委托行为是否超出已征得信息主体授权同意的范围。此外,证券基金公司应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类及保护措施等双方权利义务,并持续对受托人的处理活动进行监督与评估。证券基金公司作为受托人处理个人信息的,要注意不超出约定的处理目的、处理方式处理个人信息,并在委托合同不生效、无效、被撤销或终止的情况下及时返还个人信息并予以删除。此外也要注意,不能转委托他人处理个人信息。5. 个人信息的提供
在向其他个人信息处理者提供个人信息时,证券基金公司应当事先开展个人信息安全影响评估,核查是否涉及个人敏感信息,向信息主体告知提供个人信息的目的、信息接收方的各类信息、个人信息的种类以及可能产生的后果,并事先征得信息主体的授权同意。此外,公司应当通过合同等方式规定信息接收方的责任和义务,准确记录和保存个人信息的提供情况。如果信息接收方要变更原先的处理目的和方式,应当及时重新取得信息主体的同意。6. 个人信息的公开
有关个人信息的公开,证券基金公司应当以不公开个人信息为原则,公开为例外。在经法律授权或具备合理事由确需公开披露个人信息的情况下,应当事先开展个人信息安全影响评估,并根据评估结果采取保护信息主体的措施。在公开披露前,证券基金公司应当事先征得信息主体的明示同意,并告知其公开披露个人信息的目的和类型。同时,公司也应当核查公开信息是否涉及个人敏感信息、个人生物识别信息。最后,证券基金公司应当准确记录和保存个人信息的公开披露情况。六、第三方服务机构合规要求
除证券基金公司外,包括《技术管理办法》在内的证券基金公司网络安全及数据合规法律体系,对向证券基金公司的业务活动提供支持服务的信息技术服务机构同样提出合规要求。证券基金公司应当对其提供技术服务的机构进行合规和准入审查,监督其数据管理能力的稳定性、安全性以及相应的内控机制,有效防止违法违规事件的发生。1. 登记备案及报告义务
信息技术服务机构应主动向中国证监会备案,以获得准入资格。《技术管理办法》第48条规定,基金信息技术服务机构的备案材料应当包括本机构基本情况、信息技术服务情况、服务对象情况、内部控制情况等相关资料。备案内容发生变更的,基金信息技术服务机构应当及时更新备案材料。基金信息技术服务机构备案材料不完整或者不符合规定的,应当根据中国证监会要求及时补正。此外,信息技术服务机构出现下列情形的,应当立即报告住所地中国证监会派出机构:① 人员、财务、技术管理等方面发生重大变化,可能无法持续为证券基金经营机构提供信息技术服务;
② 提供的信息技术服务存在明显缺陷,可能导致所服务的三家及以上证券基金经营机构发生信息系统运营异常、数据泄露、遭受网络攻击等情形;③ 其他可能对投资者合法权益、证券期货市场造成严重影响的事件。2. 接受审查
在向证券基金经营机构提供服务之前,信息技术服务机构应向对方开放内部及相关信息系统的审查,接受对方向中国证监会及其派出机构报送审查意见及相关材料。具体审查内容,根据《技术管理办法》指引,证券基金公司应当对信息技术服务机构的以下方面开展内部审查并建立存档记录:① 业务系统的流程设计、功能设置、参数配置和技术实现应当遵循业务合规的原则,不得违反法律法规及中国证监会的规定;
② 风险管理系统功能完备、权限清晰,能够与业务系统同步上线运行;③ 具备完善的信息安全防护措施,能够保障经营数据和客户信息的安全、完整;④ 具备符合要求的信息系统备份及运维管理能力,能够保障相关系统安全、平稳运行。3. 签订服务协议、保密协议
证券基金经营机构应当与信息技术服务机构签订服务协议和保密协议,明确各方权利、义务和责任,约定质量考核标准、持续监控机制、异常处理机制、服务变更或者终止的处置流程以及现场服务人员保密要求等内容,并持续监督信息技术服务机构及相关人员落实服务协议和保密协议的情况。其中,服务协议应当明确委托信息技术服务机构提供的服务范围、服务方式、涉及信息系统及相关证券基金业务活动类型。证券基金经营机构发现信息技术服务机构等相关方违规存储或者使用自身经营数据和客户信息的,应当责令其立即改正并销毁已获取的经营数据和客户信息;信息技术服务机构等相关方拒绝配合整改的,证券基金经营机构应当立即停止与其合作,并采取措施维护自身及客户的合法权益。七、智能投资顾问合规问题
虽然我国证券基金行业目前对智能投资顾问的应用并不普及,人工投资顾问仍占据重要位置,但已有许多证券基金应用开始发展类似功能。在国内相关监管措施缺失的情况下,我们可以先借鉴域外的监管措施对将来的监管做初步预期。美国金融业监管局(FINRA)针对智能投顾投资者适当性管理作出了特殊要求:第一,智能投资顾问需要以投资者关键信息为核心进行精准画像;
第二,要审慎评估投资者的风险抵御能力和投资意向;
第三,与投资者进行持续沟通,确认信息的稳定性;第四,对评估的算法进行跟踪评估。通过人工智能算法进行风险评估,需要运营者将法律规定的投资者适当性管理制度作为自己的行为准则落实到投资咨询全过程。欧盟在2018年发布的《通用数据保护条例》(GDPR)对研究算法问责制具有重要借鉴意义。主要包括两部分:第一是对算法采集数据、利用数据的规制,即规制算法的决策过程;第二是对因算法错误侵害个人权利而应承担的责任,即算法决策的事后审查。欧洲的智能投顾模式在证券市场中发展较为成熟,由投资者提供个人信息,自动化工具结合客户信息,通过算法为客户提供金融工具的交易建议。在信息收集、风险画像、投资组合分析、交易执行的各个环节中,会应用到不同的自动化工具,可以将欧洲的智能投顾看作是多种自动化工具的组合。将以上域外经验与我国的立法环境和证券基金市场环境相结合,证券基金公司可在以下几个方面注重智能投顾的合规:目前证券基金业中智能投顾的主要功能是自动为客户进行个性化推荐,即公司通过对个人信息进行处理分析,根据个人信息主体的兴趣特点推荐其感兴趣的内容。
首先,证券基金公司在使用智能投顾实现该项服务的自动化决策时,应当保证决策的透明度和结果公平、公正。特别地,若证券基金公司通过自动化决策方式作出对个人信息主体权益有重大影响的决定,该个人信息主体有权要求证券基金公司予以说明,并有权拒绝其仅通过自动化决策的方式作出决定。其次,证券基金公司应当向个人信息主体提供针对自动决策结果的投诉渠道,并支持对自动决策结果的人工复核。因此,公司应当确保在使用自动化决策的各个节点,部署人工核查、人工客服等环节,从而提供顺畅的反自动化决策渠道。再次,证券基金公司通过个性化推送算法向用户提供信息的,应当对推送信息的真实性、准确性以及来源合法性负责。同时应当保持与投资者之间的沟通,确保智能投顾进行个性化推送所依据的信息仍是有效准确的。最后,证券基金公司应当持续对智能投顾的算法进行跟踪评估与风险评估,及时对有风险的算法进行改进。白小莉北京市道可特律师事务所高级合伙人
业务领域:知识产权、争议解决、竞争与反垄断、数据安全与数据合规
手机:18612296630
邮箱:baixiaoli@dtlawyers.com.cn
相关阅读
道可特研究 | 金融行业数据合规观察“证券基金篇”(三)
。。。