近年来,证券公司信息技术利用和数字化场景进一步普及和丰富,《网络安全法》、《数据安全法(征求意见稿)》、《个人信息保护法(征求意见稿)》、《个人信息安全规范》、《个人金融信息保护技术规范》等外围网络安全及数据合规相关的立法和标准趋于完善,合规颗粒度进一步细化。
在这样的大背景下,为了提高证券公司的数据治理能力和合规遵从性,证券业内在2019年6月1日实施的《证券基金经营机构信息技术管理办法》(下称“管理办法”)的基础上,逐步探索证券数据合规的落地策略,完善相关的合规指引,形成了一些有价值的行业最佳实践。据悉,2020年8月以来,中证协发布了《证券公司信息技术治理工作指引(修订草案征求意见稿)》(下称“新版工作指引”),其中一个重要修订内容,就是在《管理办法》和2008版《证券期货经营机构信息技术治理工作指引(试行)》的基础上,进一步完善了证券公司数据治理的合规要求。
结合最新立法、标准制定趋势和监管实践,参考类似项目经验,汇业律师事务所黄春林律师团队就证券公司数据治理合规新实践,简要分析如下,仅供参考。
尽管《管理办法》二十九条明确规定了证券公司应当建立“数据治理组织架构”,但实践中,证券公司如何合规设置数据治理相关的岗位和人员,仍然面临较大的困惑:是否可以由“信息技术治理委员会”、“信息技术管理部门”兼任?如果不可以,应当如何设置?是否可以外聘兼职?应当提供什么样的资源保障?
事实上,《数据安全法(征求意见稿)》、《个人信息保护法(征求意见稿)》、《数据安全管理办法(征求意见稿)》、《个人信息安全规范》等均明确规定了证券公司等类似机构应当设置数据安全相关的机构、负责人和人员等。因此,证券公司应当单独设立“数据治理委员会”及其配套归口机构、人员,并建立相适应的协调机制、议事规则、监督检查机制等,全面负责数据治理有关的工作。
但是,考虑到《管理办法》详细规定了证券公司的信息技术治理组织及其工作机制,如何进一步明确“数据治理委员会”的组成机制、资源保障、责任范围等,以及如何协调“数据治理委员会”与“信息技术治理委员会”的关系,则是未来新版工作指引中不可回避的重要内容。
《管理办法》规定了证券公司在技术措施层面的安全要求,但在管理制度和操作细则层面的合规要求鲜有体系化的涉及,这也给很多证券公司的制度文本合规增加了难度。事实上,不论是从合规遵从,还是从未来安全责任抗辩等角度,管理制度合规都是企业数据合规中的重中之重。因此,证券公司是否建立了完善的、合规的数据治理制度及操作细则,是评价证券公司数据治理合规的重要指标。
在具体的制度文本层面,证券公司应当建立的数据治理有关的制度包括但不限于数据安全管理制度、客户个人信息保护制度、数据安全组织机构及人员管理办法、数据分类分级管理办法、数据标准及元数据质量管理办法、数据访问控制及权限管理办法、数据记录及留档管理办法、数据供应商及外部人员管理办法、数据安全影响评估办法、数据容灾备份管理办法、数据存储介质管理办法、数据删除及脱敏管理办法、数据安全应急预案及演练管理办法等等。
同时,证券公司还应当加强上述制度的内部培训和宣导。此外,未来《数据安全法》、《个人信息保护法》及新版工作指引等生效后,证券公司还应当相应更新、完善上述管理制度。
数据分级分类不仅是《管理办法》和新版工作指引一贯强调的合规要求,也是《网络安全法》、《数据安全法(征求意见稿)》等重点规范的合规要求。
2020年5月,金标委秘书处发布了《金融数据安全 数据安全分级指南(送审稿)》,详细规定了大金融行业的数据分类分级指引,具有重要的参考价值。在此之前,《证券期货业数据分类分级指引》(JR/T 0158—2018)从组织保障、分类分级方法、流程设计、变更完善等角度,详细的规范了证券行业的数据分类分级实践。
根据汇业黄春林律师团队经验,证券公司开展数据分类分级是一项系统性项目。需要项目组统筹确定项目原则、目标、分工、资源及里程碑等,充分调动业务、技术、合规等业务和职能条线积极性,根据业务实际制定数据字典、数据标准,采取问卷、访谈等调研方式,充分平衡业务效率与安全风险,采取多维度的数据分类分级策略,依序推进业务细分、数据归类、级类判断、结果审定等阶段,最终根据不同类别和级别作出差异化数据合规管理制度安排。
数据生命周期管理贯穿于数据采集、处理、存储、访问、使用、共享、删除等全流程,是中证协、互金协会等多次发文强调的合规要求,是数据合规项目的重要抓手。
例如,在数据采集环节,直接采集数据的,证券公司应当参照《个人信息安全规范》、《App违法违规收集使用个人信息行为认定方法》、《互联网个人信息安全保护指南》、《移动互联网应用程序(App)收集使用个人信息自评估指南》等系列文件,加强网站、APP、小程序、公众号、SDK等全渠道的合规审查,确保采集行为从内容到形式均合法合规;间接获取数据的,证券公司应当参照《个人信息安全规范》、《个人金融信息保护技术规范》及新版工作指引等要求,确保数据质量,加强数据来源合法审查,不得购买或使用非法获取或来源不明的数据。
此外,新版工作指引吸收了业内一些不错的合规实践,还详细规定了数据访问权限控制、数据使用记录、数据使用内审、数据存储隔离、数据安全审计、数据对外提供禁止、数据删除核查等合规控制项。
无论是外围一般性立法,还是金融、证券领域的单行立法或标准,越来越强调数据控制者对相关服务机构/外包商/委托处理者等的数据合规管理与监督责任,监管执法部门也加大了相应的监管执法力度。
首先,证券公司应当加强服务机构的资质审查,建立供应商名录制,开展供应商尽职调查,确保其具备数据安全有关的能力和资质,例如电信业务许可、等保备案、公安备案、银保监备案等,加强其业务连续性审查。
其次,证券公司还应当通过服务协议、保密合同、数据安全专用条款等形式,明确与服务机构之间的权利、义务和责任,约定质量考核标准、持续监控机制、异常处理机制、服务变更或者终止的处置流程以及现场服务人员保密要求等内容。
再次,证券公司还应当加强对服务机构服务内容的持续实质监管,制定服务机构派驻外包人员的管理机制和考核标准,审查相关系统、接口、算法的安全性,确保其不存在违规存储、使用证券公司经营数据及客户信息的情况,等等。
随着外围一般性立法及标准的合规颗粒度越来越细,网信、工信、公安、市监等部门的执法热情越来越高,证券公司面临的外围合规风险也越来越大。今年早些时候,网信、工信、公安及其下属机构等的专项执法活动中,也通报了部分证券公司数据、个人信息违法违规的案例。因此,证券公司应当加快适应数据合规“多头监管”的态势,全面审查实际业务场景中的数据合规性。
当然,作为指引证券行业信息技术治理的重要指引性文件,我们也期待正式发布版的《证券公司信息技术治理工作指引》能够加强与网络安全等级保护、关键信息基础设施保护、个人信息保护等有关法律、法规和标准的衔接,细化数据生命周期的合规管理要求,完善数据治理组织及工作机制相关的内容,明确大数据利用及互联互通的合规边界,从而有效降低证券公司的合规遵从成本。