《个人信息保护法》在证券行业的运用

《个人信息保护法》

在证券行业的运用

特别感谢深圳市证券业协会 《前瞻》

（一）《个保法》出台的背景及意义

为应对数字经济背景下的个人信息保护困境，世界各国均加强个人信息保护立法。2018年5月25日，欧盟《通用数据保护条例》（GDPR）正式生效，这对全球范围内的个人信息保护立法提供了重要参考。

我国关于个人信息保护的探索，最早体现于2000年12月28日全国人大常委会通过的《关于维护互联网安全的决定》。自2017年《中华人民共和国网络安全法》（以下简称《网络安全法》）生效以来，我国不断加强网信领域的立法活动，习近平总书记曾在2019年国家网络安全宣传周中做出重要指示：“国家网络安全工作要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益[1]。”具体到个人信息保护方面，在《中华人民共和国民法典》（以下简称《民法典》）规定的“自然人的个人信息受法律保护”的基础上，《个保法》已自2021年11月1日起施行。

《个保法》从个人信息的处理规则、跨境提供规则、个人的权利、个人信息处理者的义务、履行个人信息保护职责的部门及法律责任等方面，对个人信息保护做出了全面的规定，具有威慑力和落地可行性，兼顾了个人信息的保护和利用，彰显了法律的时代性和实践性。制定实施《个保法》对于实现好、维护好、发展好广大人民群众的个人信息权益，进一步加强个人信息保护法制保障，维护网络空间良好生态以及促进数字经济健康发展等，都具有重要意义[2]。

（二）课题研究的必要性

随着数字化转型工作深入开展，证券公司作为金融产品发行、交易和销售的主体，依托用户画像和自动化决策等技术向用户提供精准营销和智能投顾等多样化的金融服务，在个人金融信息的收集、存储、使用、提供、删除、销毁等全生命周期中均面临着极大挑战。此外，证券公司还存在配合监管部门数据报送以及开展内外部审计等场景中的个人信息对外提供的需求。其中，投资者信息、业务合作方信息、员工个人信息均属证券公司个人信息保护工作的重点，对前述个人信息的处理行为符合《个保法》及其配套规定的要求是证券公司合规开展业务的重要前提。

证券行业属于强监管行业，证券公司开展个人信息保护工作既要满足《中华人民共和国证券法》（以下简称《证券法》）等行业监管要求，又需要严格遵守《个保法》及其配套规定的细节要求。

从对证券公司个人信息保护工作的监管来看，行业角度面临着证监会、人民银行及其各地方监管部门的监管，而通用个人信息保护角度则面临国家互联网信息办公室（以下简称国家网信办）、工业和信息化部（以下简称工信部）、公安部、国家市场监督管理总局（以下简称市监总局）及其各地方监管部门的监管，且这些通用监管部门在《个保法》的授权下，能够对违法者课以高额处罚。例如2022年7月21日，国家网信办对滴滴全球股份有限公司的行政处罚决定显示：因个人信息处理行为等违反《网络安全法》《个保法》《中华人民共和国数据安全法》（以下简称《数据安全法》）等规定，滴滴全球股份有限公司被处以人民币80.26亿元罚款，其董事长兼CEO程维、总裁柳青各被处人民币100万元罚款。这是我国《个保法》实施以来的最大罚单，且对企业和主要负责人均处以罚款，值得引起所有行业和企业的高度重视。同时，国家网信办明确日后将依法加大网络安全、数据安全、个人信息保护等领域执法力度。在此背景下，证券行业内企业均应提高个人信息处理行为的合规意识，及时、准确、全面落实法律法规和监管部门规定的合规要求，保障企业健康持续发展。

综上，落实《个保法》及其配套规定的合规要求对于证券公司业务的顺利开展至关重要。研究《个保法》在证券行业的运用，对证券公司依法合规经营、规范个人金融信息处理活动、促进个人金融信息合理利用具有重大意义。具体而言：第一，总结分析证券行业个人信息保护的合规要点及典型案例，是证券公司理清合规要求、规范其各项业务所涉及的个人信息的处理活动的基本前提。第二，梳理证券公司典型业务、证券公司内部管理中的典型场景以及实践痛点，提出可落地实施的解决建议，有助于同业间的交流和执行，也能够为监管部门制定规则标准提供决策参考，促进行业指引、标准的出台。第三，本课题研究是划定个人信息处理界限的必然要求，有助于促进证券公司提供更加合规的证券服务业务模式，在当前建设全国统一大市场背景下推动数据资源开发利用、促进培育数据要素市场，更好地赋能数字经济发展。

（一）《个保法》的基本原则

《个保法》第五条规定：“处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。”

合法原则要求个人信息处理者应当遵守《民法典》《网络安全法》《数据安全法》《个保法》等法律和配套规定中有关个人信息处理和保护的要求。正当原则包括目的正当和手段正当：所谓目的正当，指的是通过处理个人信息，处理者旨在“增进个人利益或者社会公共利益等正当目的，而非损害他人权益、破坏公共秩序等不正当目的[3]”；而手段正当，指的是“符合社会公众的一般期待以及公序良俗的要求[4]”。必要原则要求“只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量[5]。”

合法、正当、必要原则，作为个人信息处理活动的基础要求，在《民法典》《网络安全法》《数据安全法》中均有所体现。而诚信原则，作为《民法典》规定的基本原则，《个保法》将其补充列为个人信息处理的基本原则，也反映出《个保法》强调加强个人信息处理者和自然人个人之间信赖关系、维护民事活动正常有序运行的基本要求。

在合法、正当、必要和诚信原则的基础上，《个保法》更进一步规定个人信息处理应当符合目的限制、公开透明、质量保障和责任承担原则。这些原则和合法、正当、必要和诚信原则共同构成了我国个人信息处理的基本原则。

（二）《个保法》主要内容和典型案例

“规范个人信息处理活动[6]”是《个保法》的主要立法目的之一。《个保法》将“个人信息的处理”定义为“包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等[7]”，因此，下文将围绕个人信息处理的这些具体环节，并结合证券行业的相关要求，介绍《个保法》的主要内容和涉及证券行业的相关典型案例。同时，下文还将对个人信息处理者履行个人信息安全保护义务、响应个人信息主体权利要求，以及处置个人信息安全事件等方面的规定做出梳理。

1.收集

（1）合规要求

①最小必要

如上所述，必要性原则是个人信息处理的基本原则。《个保法》第六条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”《个保法》第二十八条第二款规定：“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。”因此，在处理投资者信息、业务合作方信息以及员工个人信息的场景下，证券公司应关注仅限于业务开展与合作、人力资源管理的必要范围内。

为向企业提供更具操作性的指引，2021年3月12日，国家网信办、工信部、公安部、市监总局联合发布《常见类型移动互联网应用程序必要个人信息范围规定》（以下简称《App必要个人信息规定》），明确移动互联网应用程序（App）运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用App基本功能服务。该规定对39类常见App提供基本功能所涉及的必要个人信息进行了规定。例如，投资理财类App对应的必要个人信息包括：1.注册用户移动电话号码；2.投资理财用户姓名、证件类型和号码、证件有效期限、证件影印件；3.投资理财用户资金账户、银行卡号码或支付账号。

从处理投资者个人信息的角度，证券行业同样要求收集个人信息应当遵循最小必要原则。例如，《证券基金经营机构信息技术管理办法》（以下简称《信息技术管理办法》）第三十四条第一款规定：“证券基金经营机构应当建立健全数据安全管理制度，不得收集与服务无关的客户信息，不得购买或使用非法获取或来源不明的数据。”

②知情同意

处理个人信息，应具备《个保法》规定的合法性基础。《个保法》第十三条列举了个人信息处理活动的多项合法性基础，其中，知情同意的规定最为全面，且在实践中的使用最为广泛。《个保法》对知情和同意分别做出了相关规定：

关于知情：个人信息处理者应当在处理个人信息前，以显著方式、清晰易懂的语言真实、准确、完整地向个人告知：

图1 《个保法》个人信息处理的告知事项

关于同意：基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出；如果个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。此外，如果涉及处理敏感个人信息、向其他个人信息处理者提供个人信息、公开个人信息、将通过在公共场所安装的图像采集以及个人身份识别设备收集的个人图像、身份识别信息用于除维护公共安全以外的其他目的、向境外提供个人信息等情形的，还应当取得个人的单独同意。

有关知情同意的要求，证券行业的规定也有所涉及。例如，《信息技术管理办法》第三十四条规定：“在收集使用客户信息之前，证券基金经营机构应当公开收集、使用的规则和目的，并征得客户同意。”

③知情同意的例外

如前所述，《个保法》规定了处理个人信息的多种合法性基础，包括：

 图2 《个保法》个人信息处理的合法性基础

如果个人信息处理者依赖第（二）项至第（七）项情形处理个人信息的，则无需取得个人同意。

证券行业属于金融强监管行业，对于除知情同意外的其他合法路径，在面对金融消费者时适用较多的为“（三）为履行法定职责或者法定义务所必需”。例如，《证券法》第八十八条第一款规定：“证券公司向投资者销售证券、提供服务时，应当按照规定充分了解投资者的基本情况、财产状况、金融资产状况、投资知识和经验、专业能力等相关信息；如实说明证券、服务的重要内容，充分揭示投资风险；销售、提供与投资者上述状况相匹配的证券、服务。”

除了履行法定职责或者法定义务，证券公司还可适用“（二）为订立、履行个人作为一方当事人的合同所必需”作为处理消费者个人信息的合法基础。根据《App必要个人信息规定》，必要个人信息，是指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。在通过App提供服务的过程中，如果证券公司仅收集投资理财类App对应收集的必要个人信息，则也可将“为订立、履行个人作为一方当事人的合同所必需”作为处理个人信息的合法基础。

另外，除以上处理投资者的个人信息之外，证券公司处理员工个人信息的情形还可选择适用“（二）按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”作为合法性基础，但此时应当重点关注劳动法下对于“依法制定的劳动规章制度”“依法签订的集体合同”和“实施人力资源管理所必需”的要求。

（2）相关案例

在实践中，收集环节的执法案例构成了相关部门开展App个人信息违法违规处理整治行动中最重要的组成部分。目前证券行业被通报的主要违法违规行为包括：

（i）违反最小必要原则。如开启非必要的相机权限，拒绝提供上传照片功能；App强制、频繁、过度索取权限等[8]。

（ii）未达到获取知情同意的合规要求。如未向用户明示申请的全部隐私权限、App在征得用户同意前就开始收集个人信息；未在《隐私政策》等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围；App在用户未使用相关功能或服务时，提前申请获取终端的位置权限等[9]。

2.存储

《个保法》对个人信息的存储要求，主要包括存储地点和存储期限两个方面。具体如下：

图3 《个保法》个人信息存储要求

然而，证券行业属于强监管行业，对相关信息的存储期限有法定的最低时限要求。例如，《证券法》第一百三十七条规定，证券公司应当妥善保存客户开户资料、委托记录、交易记录和与内部管理、业务经营有关的各项信息不得少于二十年。为平衡行业监管的强制性要求，《个保法》规定，对于法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

除存储地点和存储期限要求外，《个保法》及其配套规定、以及证券行业规定均要求，证券公司应当关注个人信息安全保护，包括采取相应的加密、去标识化等安全技术措施。

3.使用

（1）合规要求

《个保法》和相关配套规定主要从用户画像[10]、汇聚融合[11]、自动化决策[12]等角度对个人信息使用环节的合规要求予以规定。

图4 个人信息使用场景及要求

为避免发生个人信息泄露和未经授权的访问，控制个人信息使用过程中的各项风险，个人信息处理者还应落实严格的数据访问控制措施[13]；确保仅按收集时所称的目的或在与该目的直接相关的范围内使用数据[14]；如涉及通过界面展示数据的（如显示屏幕、纸面），需对展示的数据采取去标识化处理等措施，降低数据在展示环节的泄露风险[15]。

个人信息安全保护要求也是证券行业个人信息使用的重点，尤其体现在对系统落实严格的访问控制措施层面[16]，以及强调应当充分挖掘、梳理和分析数据内容，提高管理精细化程度，在业务经营、风险管理与内部控制中加强数据应用，实现同一客户、同类业务统一管理，充分发挥数据价值[17]。

（2）相关案例

2021年9月23日，工信部发布《关于侵害用户权益行为的App通报（2021年第10批，总第19批）》[18]，所附的广东省通信管理局通报存在问题的应用软件名单中，两款保险类App涉及强制用户使用定向推送功能，被工信部信息通信管理局责令限期整改。虽然大数据时代带来了更加便捷、精准的消息推送服务方式，然而，证券公司在应用此类服务时，应时刻谨记采取措施保障消费者知情权和拒绝权。

4.加工

由于个人信息加工多为实现上述“使用”环节中描述的各项场景和目的，因此，《个保法》本身并未对个人信息加工提出单独的合规要求。但是，《个人信息安全规范》等配套规定做出了补充规定，主要是对通过个人信息或其他信息加工处理后形成的信息是否属于个人信息和敏感个人信息予以明确[19]。

相比之下，证券行业规定对个人信息加工施加了诸多更为细节的要求，包括明确原始数据加工过程中的数据获取方式、访问接口、授权机制、逻辑安全、处理结果安全等内容；加工之前应当进行数据安全评估；加工过程中应对数据加工过程进行必要的监督和检查；以及应完整记录数据加工过程的操作日志[20]。

5.传输

根据传输目的地的不同，个人信息传输可以分为境内传输和跨境传输。

（1）境内传输

对于境内传输，《个保法》和相关配套规定仍然主要强调传输中的个人信息安全问题。例如，《个保法》第五十一条要求，应当采取相应的加密、去标识化等安全技术措施，确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息的泄露、篡改、丢失。

证券行业标准对个人信息传输安全规定得更为详细。例如，《金融数据安全数据生命周期安全规范》按照传输模式的不同，将金融数据传输分为金融业机构内部数据传输、金融业机构与外部机构或金融客户的数据传输，并对两种传输模式下应当关注的保护要求做出了具体规定[21]。

（2）跨境传输

对于个人信息的跨境传输，《个保法》做出了体系化的规定，具体如下图。

图5 《个保法》个人信息跨境提供监管框架

根据《个保法》，对于因业务等需要，确需向境外提供个人信息的情形，证券公司应当满足上图所列四种出境路径之一。

对于前三种主要出境路径，目前均已出台相关细则，相关内容和对应关系可见下图：

图6 《个保法》个人信息出境路径

在以上三种个人信息出境路径中，《个保法》第四十条特别规定，对于“CIIO”和“处理个人信息达到国家网信部门规定数量的个人信息处理者”两种具备特殊身份的个人信息处理者，首先默认应当将在境内收集和产生的个人信息存储在境内；对于确需向境外提供的情形，应当通过国家网信部门组织的安全评估。这表明，对于CIIO和处理个人信息达到国家网信部门规定数量的个人信息处理者，仅可以通过第（一）种出境路径向境外提供个人信息。

在《个保法》规定的个人信息出境框架下，《数据出境安全评估办法》扩充了应当通过国家网信部门组织的安全评估方可向境外提供个人信息的情形。包括：

 图7 应通过安全评估方可向境外提供个人信息的情形

证券行业对个人信息跨境传输的规定和《个保法》及其相关配套规定一致。例如，《证券法》第一百七十七条规定，我国证监会和境外证券监督管理机构建立监督管理合作机制，以及未经批准，不得擅自向境外提供与证券业务活动有关的文件和资料的规定，这与《个保法》第四十一条有关处理外国司法或者执法机构关于提供存储于境内个人信息的请求的内容一致。《个人金融信息保护技术规范》要求，在境内提供金融产品或服务过程中收集和产生的个人金融信息，应在境内存储、处理和分析。因业务需要，确需向境外机构（含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构）提供个人金融信息的，应满足获得个人金融信息主体明示同意、开展个人金融信息出境安全评估、监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务的相关要    求[22]。

6.提供

（1）合规要求

根据个人信息发送方和接收方之间法律关系的不同，《个保法》对“提供”个人信息规定了四种模式，分别是：个人信息的共同处理，委托处理，因合并、分立、解散、被宣告破产等原因下的个人信息转移，和向其他个人信息处理者提供。四种模式下个人信息处理者和第三方间的义务总结如下图：

 图8 《个保法》个人信息提供环节合规义务

在以上四种场景中，证券公司涉及较多的是委托处理和向其他个人信息处理者提供。对此，证券行业监管规定中也针对这两种模式提出了相应的规定。

①委托处理

个人信息的委托处理在证券行业的典型应用场景是证券机构委托信息技术服务机构提供产品或服务。在该种场景下，证券公司应当确保重要信息系统运行始终处于自身控制范围内——《信息技术管理办法》第四十三条规定“除法律法规及中国证监会另有规定外，不得将重要信息系统的运维、日常安全管理交由信息技术服务机构独立实施。”该办法第四十五条还要求证券公司与信息技术服务机构签订服务协议和保密协议，持续监督信息技术服务机构及相关人员落实服务协议和保密协议的情况。

关于客户信息等相关数据的使用，《信息技术管理办法》第三十四条第二款规定，“除法律法规和中国证监会另有规定外，证券基金经营机构不得允许或者配合其他机构、个人截取、留存客户信息，不得以任何方式向其他机构、个人提供客户信息。”此外，该办法第三十三条同样要求证券基金经营机构对信息技术服务机构等相关方履行监督和管理义务。

②向其他个人信息处理者提供个人信息

对于向其他个人信息处理者提供个人信息，证券行业的要求和《个保法》下的规定基本相同，主要包括事前的安全影响评估、与接收方订立合同，明确双方在数据安全方面的责任义务、对数据接收方的数据安全能力进行持续监督、获得个人信息主体的授权同意等[23]。除此之外，根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，证券行业相关标准将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别，并要求对于C3类别信息以及C2类别信息中的用户鉴别辅助信息不应共享、转让[24]。

除向合作伙伴提供个人信息外，根据《证券期货业信息安全保障管理办法》第二十八条，证券行业还应当向中国证监会指定的证券期货业数据中心报送数据，报送的数据必须真实、完整、准确、及时。

（2）相关案例

2019年6月19日，上海市金山区人民法院审理被告人中国平安保险（集团）股份有限公司员工韩某侵犯公民个人信息案[25]。根据该案件判决书，韩某涉及利用职务之便，通过车牌号码查询公民个人信息1541条，非法出售给他人并从中获利。上海市金山区人民法院认定韩某犯侵犯公民个人信息罪，判处其有期徒刑一年六个月，缓刑二年，并处罚金人民币二万元。

2017年，最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，明确达到“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上”，“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上”，“非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上”；或者“违法所得五千元以上”等条件之一的，即可认定为《刑法》第二百五十三条之一规定的“情节严重”，从而构成侵犯公民个人信息罪。因此，证券公司应加强员工管理与内部规章制度建设，防止出现员工倒卖用户个人信息等情况，同时加强网络安全管理，防范数据被非法泄露、使用和买卖。

7.公开

对于公开个人信息，《个保法》要求，除非个人单独同意、且事前进行个人信息影响评估以外，个人信息处理者不得公开其处理的个人信息。《个人信息安全规范》要求，不应公开披露个人生物识别信息和我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果[26]。《个人金融信息保护技术规范》要求，不应公开披露C3类别信息、以及C2类别信息中的用户鉴别辅助信息[27]，且应当满足在金融业机构官方渠道披露数据、公开披露前对拟披露数据审核与审批等相关要求[28]。

8.删除

如前所述，《个保法》第十九条规定，个人信息的保存时间应当满足最小必要原则。《个保法》第四十七条要求一旦满足以下情形之一的，证券公司应当主动删除个人信息；证券公司未删除的，个人有权请求删除：

图9 《个保法》个人信息删除权的适用场景

证券行业相关规定要求，应依据国家及行业主管部门有关规定及与个人金融信息主体约定的时限等，针对不同类型的数据设定其数据保存期。对于超过国家及行业主管部门有关规定、内部规章及合同协议所述保存期限的数据，应执行数据删除操作[29]。

9.个人信息安全管理

（1）合规要求

《个保法》要求个人信息处理者应履行个人信息安全管理义务，包括：

图10 个人信息安全管理义务

在证券行业个人信息保护层面，《信息技术管理办法》关注建立全面、科学、有效的数据治理组织架构以及数据全生命周期管理机制，确保数据统一管理、持续可控和安全存储，切实履行数据安全及数据质量管理职责，不断提升数据使用价值。《证券期货业信息安全保障管理办法》规定，证券公司应当建立重要信息系统的故障备份设施和灾难备份设施，网络与信息安全风险检测、监测、评估和预警机制，以及信息安全应急处置机制。《证券公司和证券投资基金管理公司合规管理办法》则对证券机构的各级别管理人员应当承担的合规管理职责做出了规定。

（2）相关案例

2022年5月24日，证监会内部下发《机构监管情况通报》[30]，对近期发生的多起信息系统安全事件案例作为重点进行了专门通报，主要提到五方面问题，包括合规内控不到位；未清晰、准确、完整掌握外部供应商提供软件的系统架构；移动App开发管理存在短板；安全管理存在漏洞等。

对此，监管部门专门就系统维护与监控等方面提出五方面要求，证券公司应当对标检查自身合规工作。要求包括：高度重视、加强管理，切实提升系统运维保障能力；强化内部控制和合规管理，稳妥推进系统升级改造；定期开展系统健壮性评估，及时消除风险隐患；严格落实客户信息保护要求，切实维护投资者合法权益；加强容量管理与灾备能力建设，提升应急处突能力。

10.个人在个人信息处理活动中的权利

（1）合规要求

根据《个保法》，个人信息处理者应当保障个人在个人信息处理活动中的权利，包括知情决定权、限制/拒绝处理个人信息权、查阅复制权、转移权、更正补充权、注销账户、删除等权利[31]。如果通过获取个人知情同意进行个人信息处理活动，个人有权撤回同意[32]。如果通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝仅通过自动化决策的方式作出决定[33]。此外，如个人信息处理者拒绝个人行使权利的请求的，个人亦享有依法向人民法院提起诉讼的权利[34]。

相比于《个保法》下的多种个人信息权利，证券行业的相关规定主要关注客户的访问权。例如，《证券法》第一百三十七条第一款要求证券公司应当建立客户信息查询制度、《信息技术管理办法》第十九条要求应向投资者及合同其他相关方提供查询、下载电子合同的公开渠道。

（2）相关案例

2022年4月25日，国家计算机病毒应急处理中心监测发现十七款违法移动应用[35]，其中有十三款属于证券公司App。证券公司的相关违法行为中，包括未提供有效的更正、删除个人信息及注销用户账号功能，或注销用户账号设置不合理条件，未建立、公布个人信息安全投诉、举报渠道，或超过承诺处理回复时限。为降低此类被监管部门通报的风险，证券公司应当严格按照《个保法》及其配套规定，设置并公开便捷、畅通的响应个人信息主体请求的渠道，并在规定时限（15个工作日）内对个人信息主体要求进行处理。

11.个人信息安全事件

（1）合规要求

《个保法》规定，个人信息处理者应当制定并组织实施个人信息安全事件应急预案[36]。一旦发生或者可能发生个人信息泄露、篡改、丢失，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人；如果个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害，可以不通知个人，但履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人[37]。在行业监管层面，《证券期货业信息安全保障管理办法》[38]《信息技术管理办法》[39]均要求，证券公司应当建立信息安全应急处置机制，及时处置突发信息安全事件、恢复信息系统正常运行，并按照规定进行报告，积极开展应急演练和信息技术应急管理的评估与改进。此外，证监会还出台了专门的《证券期货业网络安全事件报告与调查处理办法》，用于规范证券期货业网络安全事件的报告和调查处理，意在减少网络安全事件。

（2）相关案例

发生信息安全事件后的处置不合规以及未及时报告是证券公司被行政部门采取监管措施的主要原因之一。例如，2020年11月23日，证监会江苏证监局发布行政监管措施[40]，决定书指出，华泰证券于2019年8月存在重大信息安全事件未报告的行为，违反了《证券期货业信息安全事件报告与调查处理办法》（证监会公告〔2012〕46号）第十一条、第十六条，以及《信息技术管理办法》第五十四条的相关规定，根据《信息技术管理办法》第五十七条的规定，对其采取出具警示函的行政监管措施。

信息系统安全是保障证券公司业务正常、连续运行的必要前提，也是消费者个人信息安全的基础，因此，证券公司应当做好日常风险防范与管理，在发生信息安全事件后严格履行应急处置和报告义务，充分保障个人信息主体知情权、监管机构知情权和监管决策权。

（一）证券公司经纪业务中个人信息处理的运用

1.证券公司经纪业务概述

证券经纪业务是指证券公司通过其设立的证券营业部，接受投资者委托，按照投资者要求代理投资者买卖证券的业务。证券经纪业务属于证券公司的传统业务之一，为了维护金融秩序和投资者合法权益，防范违法违规行为，证券公司在为投资者提供经纪业务过程中需对个人身份信息进行验证以满足实名制等账户规范性要求，需对个人风险承受能力进行评估从而投资者匹配适合的产品和服务，需对投资者交易及资金划转情况进行核查以遏制违法违规行为的发生。近年来，随着证券行业运用互联网技术进一步开展业务创新，通过互联网方式收集、存储、使用和加工个人信息越来越普遍，互联网发展背景下如何严格落实个人信息保护成为了当下亟待解决的问题。

2.证券公司经纪业务中个人信息处理的典型运用

在证券公司经纪业务中，账户开户、开通业务权限、金融营销服务、代销等典型业务场景均涉及个人信息的处理，下面分别展开进行阐述：

（1）账户开户及开通业务权限环节的个人信息处理

证券公司为投资者开户及办理其他账户业务需严格按照《中华人民共和国证券法》《中华人民共和国反洗钱法》《证券账户业务指南》等法律法规及行业规范中要求及开户代理协议约定的业务范围和要求，对投资者身份进行核实，审核投资者身份证明文件的真实性和有效性，按规定采集如姓名、有效身份证明文件类型及号码等身份信息，出生日期、性别等基本信息，联系电话、通讯地址等联系信息，依法合规使用投资者信息，且不得违规对外提供投资者信息。账户业务资料的保管期限自证券账户注销后起算，不得少于二十年。

为投资者开通业务权限时还应符合《证券期货投资者适当性管理办法》等投资者适当性相关法律法规及行业规范的要求，充分了解投资者的基本情况、财产状况、金融资产状况、投资知识和经验、专业能力等相关信息，基于投资者的不同风险承受能力以及产品或者服务的不同风险等级等因素，提出明确的适当性匹配意见，将适当的产品或者服务销售或者提供给适合的投资者。

证券公司以履行法定义务所必需为前提，按照限于实现处理目的的“最小”范围进行收集，严格按照法律法规规定的“最短”期限对个人信息予以保存，严格遵守“最小必要”原则处理个人信息。证券公司处理上述个人信息，适用《个保法》第十三条规定，个人信息处理是基于“为履行法定职责或者法定义务所必需”的情形，不需取得个人同意，但仍需履行告知义务，可以通过在客户开户协议中增加个人信息处理告知条款等方式，告知投资者处理个人信息的范围、原则、处理方式等。

此外，账户开户环节也涉及为了提升客户满意度、非履行法定义务所必需的个人信息的处理，如证券公司为投资者网上开户时，为便于投资者选择距离最近的营业部而获取投资者的定位数据。对于此类个人信息的处理，可以通过“弹窗提示确认”、“单独签署协议”等方式取得投资者的单独同意，如投资者未勾选，则不能处理个人信息。

（2）金融营销服务环节的个人信息处理

随着互联网技术在证券行业的普遍应用，证券公司使用大数据分析结果向投资者提供金融营销服务的越来越多，涉及个人信息的处理，如通过记录投资者在手机证券App上的浏览记录，将投资者感兴趣的股票、基金和业务推送给前台客服人员，以此加强对投资者的精准服务。需要注意的是，《个保法》明确了个人在个人信息处理活动中的权利，个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理。为确保投资者在个人信息处理活动中的权力得以保障，证券公司除履行告知义务外，还需向投资者提供拒绝接受的途径等。同时，应遵守投资者适当性管理等相关法律法规规定，严禁向普通投资者主动推介风险等级高于其风险承受能力的产品或者服务。

（3）代销环节的个人信息处理

证券公司作为代销机构，代销业务中可能处理大量个人敏感信息，如个人财产信息、个人生物识别信息、个人身份信息、个人定位信息等，需遵守“最小必要”原则及“告知同意”原则。代销过程中证券公司作为代销机构应按照投资者适当性管理和履行反洗钱义务的要求及与发行人签署的代销协议约定处理个人信息，适用于委托处理的情形。证券公司应与发行人在代销协议中明确约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等。

3.证券公司经纪业务落实《个保法》的问题和难点

（1）“法定”的边界尚不明确

《个保法》发布后，行业内展开积极讨论，对于因履行法定职责或者法定义务所必需而无需取得个人同意的边界问题，目前尚存在争议。如某地方证券业协会为了完善自建信息平台，要求分支机构提供资产超500万的客户姓名和身份信息等敏感个人信息。此类自律组织、主管机关等单位的调查、调研、检查底稿等，是否达到个保法中“法定”的效力层级，而无需取得个人同意，因目前尚无细化的外部规定予以明确，证券公司在实际工作中难以执行。

（2）相关外部规范缺乏衔接，管控措施难全面

随着金融科技在证券市场的广泛应用，投资者在线开户或开通交易权限已逐渐成为主流方式，在便捷获取服务的同时，投资者也可能面临证券经营机构在收集其个人信息时，未履行告知义务，不符合“最小必要”原则，或不同意收集可能导致无法使用服务等问题。近年来，广东公安机关及广东省通信管理局聚焦用户权益保护，持续开展应用程序App清理整治专项行动，开展了高频的查处和通报行动。《个保法》配套规定（尤其是标准规范）很多，但彼此缺乏衔接，在适用上存在疑问，证券公司个人信息保护管控措施很难完全满足所有规定的要求。但如不能及时完善，又面临着被相关机关处罚的风险。

（3）防范从业人员道德风险的手段有限

2015年，广东证监局曾就部分证券公司工作人员在担任客户服务岗等工作期间，利用其可查询客户账户部分信息的权限，受人委托查询投资者的账号、账户资产等信息泄露给他人等行为出具警示函。因该类违法违规行为发生隐蔽，往往只能通过客户投诉或举报等形式获知，证券公司防范从业人员道德风险的手段相对有限，一旦发生信息泄露，投资者合法权益受损，证券公司及其从业人员将可能受到监管处罚，对公司经营和声誉造成很大影响。

4.《个保法》运用的相关建议

（1）建议监管提供细化的制度供给，明确法定义务的边界

建议监管部门提供关于《个保法》落地的更细化的制度规则，明确证券行业履行法定职责或者法定义务所必需的个人信息处理的范围，规范相关主管机关、自律组织等单位调查、调研等工作个人信息保护相关要求，从源头上解决证券公司落实《个保法》执行难的问题。

（2）建议监管明确证券行业落实个人信息保护的统一执行标准

建议监管部门进一步明确证券行业落实《个保法》的配套规则，统一执行标准。同时证券公司进一步将业务管理及信息技术管理有效融合，在业务流程及系统控制两方面做好个人信息保护措施，以适应瞬息万变的创新发展新趋势。

（3）提高自身风险管理能力，减少从业人员道德风险

建议证券公司进一步完善客户个人信息保护内部管理制度，提高自身风险管理能力，加强内部系统权限管理、优化系统控制措施以限制个人信息处理的范围，增强系统安全性；增加合规培训和检查监测的频率，提高从业人员保密意识，从而进一步减少从业人员道德风险的发生。

（二）证券公司资产管理业务中个人信息处理的运用

1.证券公司资产管理业务概述

资产管理业务是指银行、信托、证券、基金、期货、保险资产管理机构、金融资产投资公司等金融机构接受投资者委托，对受托的投资者财产进行投资和管理的金融服务。金融机构为委托人利益履行诚实信用、勤勉尽责义务并收取相应的管理费用，委托人自担投资风险并获得收益。国内证券公司资产管理业务起始于20世纪90年代，行业逐步从无序发展到规范运作快速发展，已经成为国内资产管理行业必不可少的一部分。

2.证券公司资产管理业务中个人信息处理的典型运用

在证券公司资产管理业务中，金融产品销售属于业务开展的重要环节，目前主要分为直销与代销模式，二者均涉及个人信息的处理，其中代销还涉及个人信息的共同处理。下面分别展开阐述：

（1）直销服务环节的个人信息处理

直销模式作为重要的产品销售渠道，证券公司“直面”投资者，须根据相关法规规定及监管要求，收集、存储投资者的基本信息，并依法合规使用投资者信息，其对于个人信息的处理环节及要求与经纪业务的相同。

（2）代销服务环节的个人信息处理

在资产管理业务中，证券公司作为管理人与代销机构构成资管产品销售代理的法律关系。管理人通过代销机构开展销售业务，由代销机构直接接触并处理大量投资者个人信息，涉及管理人与代销机构对个人信息的合作处理。该场景下，通常将个人信息保护的相关要求融入合作方准入评估机制，在准入证明材料中要求拟合作代销机构提供个人信息保护管理机制及具体管控措施。其次，在证券公司与代销机构主代销协议中加入个人信息保护章节，明确个人信息保护的原则性要求，要求双方遵守相关法律法规要求，明确双方权利义务与违约责任。

3.证券公司资产管理业务个人信息处理的问题及难点

（1）如何采取恰当形式落实个人单独同意的要求

资产管理业务中，为提升服务质量，证券公司会围绕客户的金融账户、身份信息等方面内容进行信息加工分析处理，必要时也会通过大数据技术手段对相关客户进行群体分析，该等个人信息的处理行为属于对敏感个人信息的处理，需要个人的单独同意。

证券公司与机构投资者建立业务关系，因履行法定义务，需要收集机构投资者的法定代表人、受益所有人和经办人等的个人信息，故在处理涉及机构投资者的个人信息时应关注个人信息处理规则的告知要求，甚至在特定情形下需取得个人的单独同意。

因此，采取何种形式履行告知义务、取得单独同意以及个人撤回同意后的后续信息处理变化等均需得到重点考虑。

（2）如何有效落实合作处理场景下多种个人信息处理方式

《个保法》第二十条至二十三条分别对个人信息处理的共同处理、委托处理、向其他个人信息处理者提供等处理方式提出相关要求。实践中，不同的合作处理场景下如何有效落实各项具体要求，以及如何准确厘清与合作机构在个人信息处理过程中的法律关系（即属于委托处理、共同处理还是向第三方提供），以便有针对性地确定双方权利义务关系并采取相应的个人信息保护措施，防范法律及行政监管风险，成为各家资产管理机构普遍关心且共同面临的难题。

4.《个保法》证券公司资产管理业务运用的相关建议

（1）落实个人信息保护的相关要求，完善单独同意模块

证券公司资产管理业务需要结合《个保法》《证券基金经营机构信息技术管理办法》等相关要求，在资产管理机构的网站、App等金融交易平台嵌入个人单独同意环节及公示个人信息处理规则，获得投资者个人的单独同意，对于单独同意的模式，可以通过“强提示弹窗”、“增强式告知”、“单独签署协议”等方式，单独将相关规则及目的对个人信息主体进行告知，通过信息权利人主动勾选/点击/签字确认等方式取得单独同意。

另外，《个保法》规定了一系列处理个人信息的合法基础，首次在国家立法层面拓宽了处理个人信息的合法基础，资产管理机构需要收集的部分个人信息系为提供资产管理服务或为履行法定职责或法定义务所必需。资产管理机构可以考虑依赖该等法律依据减轻落实“告知、同意”方面的负担。

（2）根据合作模式明确双方权利义务

证券公司应当在与第三方的相关协议明确告知《个保法》中的“告知－同意”核心原则及个人信息处理目的、处理方式、个人信息的种类等内容。根据个人信息保护影响评估结果、合作的目的和方式以及合作关系涉及的个人信息处理活动的风险程度，协商双方处理个人信息的权利义务与违约责任，清晰约定处理时限、操作流程、应急机制、信息撤回等机制，并落实相应的安全措施。

此外，证券公司可以考虑通过数据监督、持续监控，定期检查、风险评估等措施加强对合作方的管理，将个人信息合作机构的监督检查融入证券公司第三方管理监督体系中，规范合作机构的监督运行或操作方式，以问题为导向，探索并建立科学有效的个人信息合作机构考核评估机制，提高考核内容的标准合理性和科学性运行，并加强对监督评价结果的分析、比较，促进个人信息保护工作提质增效。

（一）《个保法》在公司员工管理中的运用

1.企业收集员工个人信息的必要性

用工管理权，又称企业经营管理自主权、企业用工管理自主权等，涵摄生产资料管理和劳动力管理，贯穿用工过程之始终，为企业实施管理决策，提高经济效益，增强市场竞争力，实现生存和发展所必需。

出于管理和履行劳动合同的实际需要，企业有权收集必要的员工信息，且信息收集贯穿于员工招聘、在职、离职的全用工流程中。根据《中华人民共和国劳动合同法》（以下简称《劳动合同法》）第八条可见，企业有权了解员工与劳动合同直接相关的情况，并依法收集、使用、加工、传输个人信息。

根据《民法典》第一千零三十四条[41]以及《个保法》第四条[42]和第九条[43]的要求，在多数情形下，企业获取的员工信息属于个人信息范畴，企业在满足自身用工需求获取该类信息的同时，作为信息的处理者，在收集、处理、使用员工个人信息时，应当遵守个人信息保护的相关法规及监管文件的要求，以确保信息安全。

2.企业处理员工个人信息的合法性

《个保法》第十三条第一款规定属个人信息处理活动的合法性依据，个人信息处理者具有其中一项合法性依据即可。因此，在企业经营管理的不同场景中，企业收集员工个人信息前提是员工知情同意或“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”均构成收集员工个人信息的合法性基础。用人单位在制定内部规章制度时需审慎规定“人力资源管理所必需”的员工个人信息范围，不得任意扩大收集。

同时，《个保法》对《民法典》进行了细化，区别定义了“个人信息”[44]和“敏感个人信息”[45]，对于个人信息的定义采取的是“识别+关联”说，即可识别的与自然人有关的各种信息，以及由该特定自然人在其活动中产生的信息 （如个人位置信息、个人通话记录、个人浏览记录等）；相较个人信息而言，敏感个人信息的范畴则更加体现在对自然人人格尊严的维护。所以，上述规定对信息处理者提出了不同的处理规则，主要包括：企业需要向员工告知个人信息收集的目的、范围和方式，并获得员工同意；企业在收集员工个人信息时需要遵守合法、正当、必要和诚信原则，应限于实现处理目的的最小范围；企业在收集员工个人敏感信息时，还需要员工的单独同意，并只有在特定的目的和充分的必要性下才可收集等等。

由此可见，除已取得员工知情同意之外，企业制定的规章制度为处理员工信息奠定了合法性基础。根据法律相关规定，用人单位需要根据《劳动合同法》第四条，按法定程序制订规章制度与集体合同后，才能将其有效适用于员工[46]。但如果企业肆意扩大收集范围，超出了劳动用工所必需的规章制度，也可能被认定为无效，员工完全有权拒绝遵守。

3.企业收集和处理员工个人信息的域外经验

（1）欧盟GDPR语境下，员工同意亦可能无效

欧盟GDPR Recital第四十三条，当信息主体与控制者地位是不平等时，特别是控制者是公权力一方，信息主体的同意不能构成控制者处理个人信息的有效法律基础[47]。欧盟GDPR Recital第四十八条，企业“出于内部管理目的在企业组内传输包括处理客户或员工的个人数据，这属于企业正当利益”。通常情况下，信息主体如果受到信息控制者的影响，例如双方是雇主关系，或存在上下级的公共权威领域，社会实践中需要考虑到关系的特殊性，同意一般情况下并不被认为是自由作出的。无明确目的的笼统同意往往是无效的，因此需要针对特定的对象做出自由的表示[48]。

由此可见，欧盟GDPR限制了用人单位可以通过员工同意这种方式收集个人信息的权利。即知情同意原则的适用应当严格限制，劳动者与用人单位之间存在不平等性和对抗性，排除或者克减员工个人对其个人信息拥有的正当权利，很可能也将被认定为无效授权。

（2）目的限制（拘束）原则

所谓目的限制（拘束）原则，称之为个人信息保护的“帝王条款”。欧盟GDPR第五条第一款规定：“为特定、明确、合法的目的收集个人数据，且随后不得以与该目的相违背的方式进行处理；第八十九条第一款中为实现公共利益存档目的、科学研究或历史研究、统计目的而进行的进一步数据处理不视为与最初目的相违背[49]。”因此，如何权衡处理者与信息主体等各方的权责和边界，从而平衡信息处理者的合理利用与劳动者个人信息的权益保护，才是判定处理目的是否合理的关键。

4.《个保法》在员工管理中的运用和难点

大数据时代在员工关系管理中，用人单位基于劳动关系的性质对劳动者享有监管的权利，会接触员工大量的敏感个人信息，如指纹、人脸识别信息、健康信息、银行账号甚至行踪信息等。结合《个保法》对敏感个人信息以及《民法典》第一千零三十二条[50]对隐私的规定来看，个人信息中的私密信息当属隐私的范畴。如用人单位超越“订立或履行合同所必需”之外的信息处理行为，则可能会触及劳动者的隐私权。

从比较法上的经验来看，美国虽然没有明确的敏感信息分类，但是也存在类似的限制性规定，包括不得以敏感信息作为做出某些决定的依据，否则将被视为歧视性决定。

张新宝教授提出“三方平衡”的个人信息保护理论，指在个人信息利益、数据企业对个人信息的利用利益和国家管理社会的公共利益之间求得平衡[51]。在利益内容方面，“国家管理社会的公共利益”划分为金融机构履行法定义务以保障的社会公共利益（如反洗钱、反恐怖融资、反金融欺诈）和维护国家金融主权、数据主权，以保障国家金融安全的国家利益[52]。因此，涉及个人敏感信息尤其个人金融信息保护，在收集、处理和利用方面都应区分适用不同于一般信息的法律规则，实现追求安全价值与效率价值的双重目标。

当然，在金融领域劳动关系中也不能忽略信息保护与利用的平衡，金融机构对从业人员进行个人敏感信息处理时，应当为个人敏感隐私信息提供更高水平的安全保障。

5.《个保法》在公司管理中运用的相关建议

（1）履行告知义务，获得员工同意

企业在收集员工个人信息时候，务必履行告知义务，并注意获得员工对于处理其个人信息的同意，避免使员工处于被动或者弱势的地位。比如互联网企业对用户的个人信息收集时会逐一告知用户其收集的个人信息及目的，获得用户的同意，当涉及个人敏感信息时，会再次获得用户单独同意。

一般来说，用人单位向劳动者采集的用于考勤的指纹、人脸识别、医疗健康、银行卡等信息，都属于《个保法》所规定敏感个人信息。建议用人单位与员工通过签署个人信息授权书、入职手册、同意声明书等方式设定合理的铺垫性条款，以获得员工对于用人单位对其个人信息的处理、委托第三方处理以及或向境外提供等在人力资源管理活动中可能涉及到的个人信息处理活动的同意，且不应将其作为员工录用、考核等事项的标准，避免该同意非出自员工的真实意思表示，而被认为无效。

（2）“最小化”原则收集员工个人信息

用人单位收集信息的范围仅限于与订立、履行劳动合同直接相关的信息，例如身份信息、通讯信息、教育及从业资质信息、工作经历信息等。在收集有关敏感个人信息时应注意前置要求，不仅要取得劳动者个人的单独书面同意，且应当告知劳动者处理敏感个人信息的必要性以及对其的影响。

对于特殊岗位或出于劳动保护、女员工劳动保护的要求，比如《女职工劳动保护特别规定》、《传染病防治法》等可收集员工健康信息、传染病信息、女员工相关信息等个人敏感信息。涉及个人敏感信息时更需要谨慎收集，若员工拒绝提供的，企业需避免直接以此为由不予录用员工或者解雇员工。

（3）建立个人信息保护的制度体系

企业应当建立个人信息保护的制度体系，对于企业管理所必需的个人信息的处理，企业需要梳理确定员工个人信息的处理目的、处理方式和处理个人信息种类，制定有针对性的内部指引性文件，避免因员工个人信息处理不当带来的经营风险和劳动纠纷。

首先，制定完善合规管理制度。应将企业合理收集员工个人信息的要求纳入企业规章制度或劳动合同，作为企业收集员工个人信息的合法性依据之一。此外，参考互联网企业在网站、App中公示的《隐私政策》，企业还可以专门制定员工个人信息保护政策，与员工单独达成处理个人信息的文件[53]。

其次，建立个人信息分类管理机制。《个保法》生效后，企业应当对所收集、获取的个人信息进行分类管理，明确数据类型及保护策略，制定具有实操性的使用、存储和保护措施。比如对个人敏感信息保存时采取加密措施；采用网络安全技术、加密传输技术、去标识化技术、隐私计算技术等，加强对于技术设备的购置、更新、维护、使用等监管，避免技术风险。

再次，健全个人信息保护的风险评估制度。企业定期和不定期通过第三方合规尽调等方式，开展个人信息保护的风险评估，监管企业合规的落实情况，如发现企业个人信息安全隐患的应及时整改。

最后，加强对员工个人信息管理平台的搭建。落实内部管理制度，通过账号权限、软件自动化决策等方式，实现员工个人信息在内部系统中的收集、存储、使用、传输、删除等一体化操作，避免数据处理人员违反个人信息内部管理制度危害他人信息安全。这也是保障企业各级别员工落实员工个人信息合规的重要方式之一。

（二）《个保法》在《隐私政策》中的运用

1.《隐私政策》的内涵与定性

《隐私政策》，或称隐私协议、隐私声明、隐私条款，是网站及App运营者向消费者、使用者发布的关于个人信息采集、储存、使用等内容的法律文本。目前，关于《隐私政策》的定性主要有合同说和规制工具说两种，合同说认为《隐私政策》具有合同的目的和特点，可以看作是网络服务提供者与用户之间的合同，通过《隐私政策》展示收集、利用、分享个人信息的方式，可看作是要约，若用户点击同意则视为承诺。规制工具说认为《隐私政策》是网络服务提供者自我约束而形成的规则，并不是其与用户之间签订的合同[54]。

2.《隐私政策》的立法及实践

（1）欧盟的立法模式

欧盟成员国普遍认为个人数据是个人享有的一项基本权益，应当得到良好的保护，因此在涉及个人隐私信息方面，一直倡导订立比较严格的标准。2016年4月欧盟通过《通用数据保护条例》（简称《条例》），并于2018年5月25日开始实施。《条例》的统一规定将直接适用于各成员国，不需要通过各成员国内部立法的形式落地相关规定。

（2）美国的行业自律模式

美国行业自律模式主要包括三个方面：一是，制定建议性行业指导，鼓励行业组织或联盟为行业内成员提供广为接受的网络隐私保护指导建议和原则。二是，制定网络隐私认证计划，致力于实现网络隐私保护的自律形式，要求那些被许可张贴其隐私认证标志的网站必须遵守在线资料收集的行为规则，并且服从多种形式的监督管理。三是，技术保护方式，或者称为隐私保护技术架构。例如，最著名的隐私偏好平台项目，由万维网联盟（W3C）开发[55]。

（3）我国的相关立法实践

2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》发布，其中规定“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。”2013年工信部颁布了《电信和互联网用户个人信息保护规定》，明确了未经用户同意不得收集、使用其个人信息的原则。其后，2017年《网络安全法》进一步规定网络运营者收集、使用个人信息，应当公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

3.《个保法》在证券公司《隐私政策》中的运用和难点

（1）《隐私政策》在证券行业的运用场景

伴随国内移动互联网的发展热潮，证券公司纷纷为客户推出移动App服务，着力推动业务从线下到线上、从互联网到移动互联网的转移，完善App各项业务功能，持续提升用户体验。目前，证券类App已经成为投资者进行开户、交易的主流工具。证券公司告知《隐私政策》主要有以下场景：

①首次使用App时

在客户首次登录、注册App时，应向客户告知本公司的个人信息处理的规则，通常个人信息处理的规则以《隐私政策》的形式体现，客户在首次登录时通过勾选并点击“同意”按钮，表示同意，双方完成“告知-同意”。

②《隐私政策》更新时

在客户后续使用App的过程中，当证券公司的名称和联系方式，个人信息的处理目的、处理方式，处理的个人信息种类、保存期限，客户行使《个保法》规定权利的方式和程序等法律、行政法规规定应当告知的其他事项发生变更，或因其它原因更新《隐私政策》内容时，应当将变更部分告知客户，并要求客户重新签署《隐私政策》。

③告知第三方《隐私政策》的情形

证券公司App涉及使用或关联第三方SDK的，应当向客户告知使用了第三方提供的SDK并经客户同意，证券公司还应当通过在《隐私政策》中告知第三方收集个人信息的范围等相关事项。

此外，根据《个保法》，以下情形需取得客户的单独同意：（1）处理个人敏感信息；（2）向其他个人信息处理者提供个人信息；（3）向境外提供个人信息；（4）采集客户个人图像、身份识别信息（非用于维护公共安全的目的）；（5）公开处理的个人信息。因此，出现上述情形时，除要求客户确认《隐私政策》外，还需就相应事项取得客户的单独同意。

（2）证券公司《隐私政策》存在的问题

《个保法》明确了个人信息处理者的相关义务和要求，在实践中，证券公司《隐私政策》主要存在以下问题：

①未充分告知收集个人信息的种类和客户享有的权利

《隐私政策》向客户告知的相关事项不充分，主要情形如下：一是未充分告知收集使用个人信息的种类并获得用户同意；二是未充分告知客户享有的权利或行使权利的方式和程序。从通报案例来看，个别证券公司还存在《隐私政策》征得用户同意前就开始收集个人信息的情况。

②《隐私政策》未告知第三方SDK个人信息处理规则

证券公司App使用第三方SDK[56]的，涉及与其他应用共享、使用客户信息的情况，但在其《隐私政策》中未向用户说明第三方SDK提供的服务及其个人信息收集的范围等相关事项；或使用多个第三方SDK的，未逐一列出并告知用户，即存在“未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围”的情形。

4.关于对证券公司《隐私政策》的建议

（1）《隐私政策》应充分告知收集个人信息的种类和客户享有的权利

《个保法》第十七条规定，个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息的处理目的、处理方式，处理的个人信息种类、保存期限以及个人行使本法规定权利的方式和程序等法律、行政法规规定应当告知的其他事项。因此，证券公司应在用户勾选并确认《隐私政策》后，方可收集个人信息。若证券公司收集客户的个人信息为履行法定义务所必需，则可以用户不同意为由，拒绝为其提供产品或服务。

（2）《隐私政策》应明确第三方SDK个人信息处理规则

《App违法违规收集使用个人信息行为认定方法》明确未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等行为可被认定为“未明示收集使用个人信息的目的、方式和范围”。证券公司App涉及使用SDK的，应在《隐私政策》列出第三方收集使用个人信息的目的、方式、范围，App内集成多个可收集个人信息的第三方SDK的，应逐一列出。

（3）建议监管部门或行业协会针对证券行业出台统一指引

《个保法》的立法宗旨是保护个人信息权益、规范个人信息处理活动，证券公司既是证券行业的重要参与者，也是个人信息的处理者；既需遵守《证券法》等证券行业法律法规的要求，也需遵守《个保法》等信息、数据监管要求；既需满足证券监管机构、人民银行以及证券行业自律组织的要求，也需符合国家网信办和工信部等数据监管部门的监管要求。

鉴于证券行业的特殊性，《个保法》出台后，各家证券公司都在逐步探索适用的各种可能性，目前客观存在不同证券公司管控尺度不同、力度不一的情况。同时，由于证券公司App的功能性趋同，收集的个人信息基本也是满足证券行业监管要求、履行法定义务所必需，因此，建议监管部门或行业协会针对证券行业的业务特点和实际情况，出台指导性规范，明确统一的管控标准，消除证券公司管理盲区。

（三）《个保法》在客户信息共享领域的运用

1.客户信息共享的现状

金融集团成员之间，包括证券公司与其母公司和子公司之间不可避免会产生数据信息的共享，根据《个保法》第二十三条、《网络安全法》第四十二条，证券公司对外提供个人信息的情形大概可以分为两类：一是根据有权机关（含其授权的机构）要求依法配合提供，二是因业务合作或业务协同等原因向关联方或其他合作方共享[57]。具体到金融集团内部的信息共享时，还需区分主动共享和被动共享两种情形，一是关联主体之间出于经营需要和经济利益的考虑主动共享客户金融信息。另一个是，集团或金控公司出于管控需要，要求集团内或其下属的金融机构报送其经营信息。不同于主动共享，其最终目标并不是获取客户信息，但公司在报送经营信息时不可避免包含了客户个人信息，因此不论是出于技术原因或道德原因，客户的个人信息均存在泄露和被不合理使用的风险。

2.客户信息共享相关境内外立法

（1）中国境内立法

《个保法》第二十条（共同处理条款）、第二十一条（委托处理条款）所属第二章个人信息处理规则中，除共同处理、委托处理外，其他特定处理情形所对应的条款（包括个人信息转移、提供、公开）中均直接规定了告知个人或征得个人单独同意的要求。《个保法》第二十三条规定，金融集团成员之间在共享个人客户的上述信息时，需要取得客户的单独同意，在使用时有变更的需要重新同意。

《金融控股公司监督管理试行办法》（以下简称《试行办法》）第二十二条和第二十三条规定金融控股公司所控股机构在提供综合化金融服务时，应当尊重客户知情权和选择权，初步确立了我国金融控股公司信息共享的基础规则。

（2）国外立法

①欧盟、德国

欧盟对于在GDPR颁布之前关联方之间授权时的个人数据保护主要遵循1995年颁布的《在个人数据处理和自由流动方面保护个人的指令》，该指令对于银行与关联方和非关联方的信息共享分别采用了择出式同  意[58]和择入式同意。但GDPR第六条第一款规定，处理数据的合法情形包括数据主体的同意。因此无论企业之间是否有关联关系，均需取得个人的明确同意。

德国金融业自始至终实行全能银行模式，法律允许全能银行内部不同部门的信息共享。全能银行框架下“关联方之间”的信息共享是无需授权的。该制度对于金融集团成员出于经济成本和效益的考虑具有很大的便利和优越性。

②美国

美国主要通过隐私权加上行业自治的方式保护公民的个人信息。2018年美国加利福尼亚州发布《2018消费者隐私法案》(CCPA)，赋予加州消费者新的个人信息权利，当地居民可以知道哪些个人信息被收集、信息如何被使用、是否被共享或出售等，并规定了拒绝处理其个人信息的权利。

（3）我国台湾地区立法

我国台湾地区《金融控股公司子公司间共同营销管理办法》第十一  条[59]规定对个人知情权的保障较为完善，比如其规定合同应明确规定数据使用的条款，由客户签字或以其他方式确认，同时还要列明使用数据的子公司名称。

该办法第十三条规定金融控股公司的子公司之间相互揭露客户资料或依规定将客户资料交付同一金控公司其他子公司时，应签订保密协定，收受并运用该资料的其他子公司不得再向其他第三人揭露该等资料[60]。

3.客户信息共享存在的问题和难点

（1）普适场景下的信息共享存在执行标准不明确问题

学者认为个人信息共享普遍存在以下几个问题：第一，缺少对可共享个人信息范围的规定。第二，缺少对接收方能否再次共享个人信息的规定。第三，缺少对“同意形式”的规定。第四，缺少对违反共享个人信息的责任规定[61]。

（2）金融行业大数据背景下的信息共享模式有待改进

金融业作为一个强数据导向的行业，大数据技术的发展极大地促进了金融行业的发展，其对金融行业最根本的推动作用在于其可以帮助金融企业发现市场真相，进而能够更好地进行资源的优化配置[62]。

不过，个人信息保护的传统知情同意模式在大数据时代存在包括告知虚化[63]、认知偏差[64]、决策困境[65]等不适应，因此金融集团成员在行业内进行数据共享的模式和方式方法有待进一步的调整和改进。

（3）境内外主体间信息共享面临跨境传输和属地监管的严格要求

境内外主体之间的信息共享，不仅要考虑金融集团成员之间信息共享的要求，还要满足国家对数据跨境传输的要求；不仅要保证境外主体符合独立性要求和当地数据监管要求，也要保证二者信息传达的通畅和高效。在实务案例中，因未遵守GDPR个人信息共享的规定，WhatsApp被爱尔兰数据保护委员会（DPC）作出巨额罚单。欧盟的个人数据保护的立法思想主要集中于对私权的强效保护，即使是母子公司之间仍然要进行信息披露[66]。

4.客户信息共享的相关建议

根据国内的政策法规及目前的行业经验，在借鉴境外经验的基础上，可以从以下几个角度入手：

（1）严格遵循监管政策，合规处理客户个人信息

无论出于主动的客户信息共享还是由于管控需要被动提供经营信息时可能挟带客户个人信息的情形，其处理的基本前提都是信息的接收方和处理方应按照监管的政策要求和指引合规处理客户个人信息，例如按照前文所说的去标识化或匿名化的形式进行脱敏及保密处理，做到主体独立、风险隔离，严格遵守保密及合规的相关监管要求。

（2）制定详细的客户《隐私政策》

基于“三方平衡”原则，参考美国和我国台湾地区的经验，在《隐私政策》中将共享对象完全披露，并征得用户点击同意或签署。个人信息处理者在处理个人金融信息时，应坚持“三重授权”原则，即不仅要在《隐私政策》中披露自己的目的和必要性，更应当披露共享对方的具体信息，共享敏感个人信息的目的和合理性、必要性。

（3）共享方之间签订信息安全协议

保护个人信息数据的根本在于控制个人信息处理者的权利边界，只要利用了个人信息数据就应当承担保障个人信息数据安全的义务。因此，在客户《隐私政策》之外，还可以学习美国加州的经验，同时要求各共享方以签订信息安全协议的方式对数据主体提供数据保护。

（4）用户可择出同意，优化金融机构告知义务

对于《个人金融信息保护技术规范》列举的高度敏感的C3类信息，以及C2类信息中的用户鉴别辅助信息，原则上禁止共享。而对于其他C2类信息、C1类信息以及预测信息，区分其敏感度并不容易，因此应使用去标识化技术进行脱敏处理，防范信息泄漏风险。

（5）加强数据共享时的技术保护措施

在技术层面，应充分重视个人信息传输过程中的安全风险，采取加密等有效技术防护措施，防范个人信息在传输过程中被截留、篡改或丢失；定期对第三方合作机构的个人信息保护措施落实情况进行确认，确认的方式包括但不限于外部信息安全评估、现场检查、审计；对可能访问个人信息的第三方机构，应要求其向有关人员传达个人信息保护安全要求，签署保密协议，并对协议履行情况进行监督[67]。

（6）利用区块链KYC解决方案提供商模式

此方法不同于上述以金融集团成员作为共享主体的处理建议，而是从用户个人进行授权的角度，以区块链KYC解决方案提供商作为完成信息共享的技术手段。

参考瑞典Norbloc的案例，该平台的运行主要有四个步骤：第一，用户个人创建包含自身信息的电子文档（KYC文档），并将其与有权限的金融组织共享；第二，金融组织验证电子文档的可靠性，如果符合要求，即将文件储存于区块链平台中；第三，经验证的文档成为评估用户信用的重要来源，用户也可以通过授权的金融组织来更新KYC文档；第四，金融组织评估用户信用，并检查信息审阅者及信息更新时间，确保评估结果的可靠与一致[68]。前述优势对于金融集团成员间的合规使用可以起到极大的促进和保障作用。

除此之外，针对境内外主体间的信息共享问题，还可以从以下角度进一步考虑：

一是了解信息接收方当地在个人信息保护方面的监管要求，了解当地的政治法律环境，强化对境外个人信息处理者的监管。《个保法》拓展了域外管辖，即在中国境外处理境内自然人个人信息，符合一定条件的，亦受到《个保法》规制。

二是选择数据跨境传输的法定路径。《个保法》第三十八条明确规定了数据跨境传输的四项可选择的法定条件。需要特别注意的是，根据《个保法》第四十条的要求，如果证券公司被认定为关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者的，需要将在我国境内收集和产生的个人信息存储在境内。如果需向境外提供的，应当通过国家网信部门组织的安全评估。

三是确立数据跨境传输的“告知-同意”规则。《个保法》第三十九条将向个人信息主体的告知和获取个人信息主体的单独同意作为数据跨境传输的一个必要前提条件。

四是遵守数据跨境传输评估义务。《个保法》第五十五条和第五十六条要求，个人信息处理者在向境外提供个人信息前，应当就个人信息处理的目的和方式是否恰当、对个人权益的影响及安全风险、保护措施是否合法有效等问题进行评估，并对处理情况进行记录。

《数据出境安全评估办法》第四条规定了数据出境安全评估[69]、第五条规定了数据出境风险自评估[70]。需要注意的是，《个保法》第五十五条和第五十六条所规定的“个人信息保护影响评估（PIA）”，适用于所有出境的数据包含个人信息的情形，该评估侧重于对个人信息权益的影响与风险。而《数据出境安全评估办法》第四条和第五条所规定的“数据出境安全评估”和“数据出境风险自评估”，适用于该办法第四条所规定的特定情形。

（一）金融科技的定义及发展

金融科技，即“FinTech”，源于“finance”与“technology”的结合。金融科技实质上是由技术变革引发的一种金融创新，能导致新产品、新流程、新应用及新业务模式的诞生，由此导致金融服务方式、金融机构及金融市场发生巨大的变革，引领金融行业进入数字时代[71]。

1980年至2004年，受经济环境的驱动，我国开启了金融业务电子化阶段，但发展较为简单粗糙且应用面较窄，科技萌芽仅限于IT系统的使用；从2005年开始，信息技术沉淀深化以及国家政策的大力支持，我国进入金融渠道网络化阶段，技术的应用范围逐渐扩大，聚焦于支付、信贷、大金融领域等与民生需求最为急切的领域；2016年至今，我国迎来了金融科技发展浪潮，信息技术逐步由支撑业务向引领业务方向发展，金融科技应用于各个生活场景。近年来，在金融行业强大的资本反哺下，基于人工智能、大数据、分布式账户、加密技术等基础技术的突破和发展，诸多创新性技术在金融行业得到广泛应用。

（二）证券行业金融科技应用的典型场景

1.大数据技术影响个人信息监管范围

随着互联网金融的发展，多数证券公司开发了App以更好的为金融消费者提供服务，线上获客为证券公司带来了海量的用户数据，大数据技术的使用也成为了必然趋势。目前，多数证券公司通过大数据检索技术在用户注册、App信息交互、SDK信息回传等多个应用场景中收集、处理了大量用户的个人信息，并利用存储在用户设备终端上的小型文本文件（Cookies）、第三方软件开发包等技术收集、处理用户的访问记录及动作量数据，并将用户使用金融产品、享受金融服务的全流程数据进行标签化处理，从而更全面精准地描绘用户画像，从而优化营销服务过程。

2.人工智能扩充个人信息保护内容

在数字化变革中，证券公司诉诸人工智能技术以利用算法和数据分析在历史数据基础上进行感知、推理、学习、决策等活动，通过对个人信息的深度运用为金融消费者提供服务。在人工智能的场景下，金融消费者的个人信息将被持续且细致地追踪并留存，算法模型将对碎片化的个人信息进行深化处理，综合分析后预测出信息主体的身体健康状况、兴趣爱好、性格特征，甚至可以测算出其隐性心理问题与个人成长经历等信息。

3.区块链技术改变证券公司个人信息保护手段

在金融科技实操中，区块链去中心化的管理模式使得信息以分散的形式保存于各节点中，单个节点遭受安全攻击将不会殃及其他节点，这种去中心化的特征可以有效抵抗外部网络攻击。此外，区块链中每个节点都使用化名，具备匿名效果，且在任何需要身份认证的场景下均可提取公钥以虚拟身份代替真实身份，区块链信息匿名化的特征对个人信息具有保护作用。最后，区块链中每个数据块所包含的内容具有一致性，篡改当中单个数据块不会影响其他部分数据块的内容，其不可篡改性及可溯源性对侵权责任认定带来诸多良性影响。

（三）个人信息保护在金融科技发展中的困境

1.信息采集及共享的边界模糊

在个人信息的采集阶段，部分证券公司通过匿名化、脱敏化或碎片化的数据处理方式，在形式上减弱和消除信息与主体之间的联系以在形式上满足监管要求，但在个人信息使用及处置时，平台仍可将信息与信息主体进行准确的身份关联，这增加了个人信息采集风险的隐蔽性。在个人信息共享阶段，第三方服务的引入及使用已经成为App开发、运行过程中常见的技术手段，比如App账号密码的修改需要电信运营商的服务支持，微信支付的钱款提取及理财产品的申购赎回则需要银行的服务支持等。证券公司会在其App《隐私政策》中强调个人信息将会被共享，但是对于共享对象的披露，大多数平台以“关联方”“第三方”等模糊概念进行界定，个人信息共享的边界难以厘清。

2.信息流转知情权难以实现

信息主体作为金融科技终端的使用者，在实际享受金融产品及服务过程中，无法知悉其授权平台使用个人信息后信息流动的完整过程。金融科技发展过程中，个人信息数据的积累主要通过金融平台自身业务沉淀、用户授权提交、第三方共享等渠道完成，信息数据来源广泛、数据流转过程复杂，证券公司在信息共享领域的合作日趋频繁，但平台在信息流转和转让层面的强制信息披露责任仍需明确界定。在金融科技的应用及普及下，高技术门槛及复杂的信息处理流程，依然无法让信息主体参与到其购买的金融产品及服务的全流程中去，信息加工、流转和使用过程亦无法实现透明化，增加了信息处理监测难度。

3.信息安全问题面临巨大挑战

个人数据的可分析性使得泄露、窃取信息的犯罪事件极具盈利性，国际国内信息安全事件呈现高发态势，即使国际领先的互联网企业和政府机关也难以幸免。网络信息黑灰产业加速蔓延，导致我国近年来因个人信息泄露造成的经济损失超过千亿元。信息安全事件在形式上体现为信息安全系统漏洞、合作机构的违规授权等，但从本质上而言，其暴露出的是数据传输、存储、处理过程中法律监管和技术管控手段的缺失。个人数据泄露的监管成本远低于个人信息安全系统的投入这一现状，这使得各数据积累部门并未将个人信息保护作为首要任务。未来，网络安全产品的监管及技术优化方案将是个人信息保护的重中之重。

（四）个人信息保护对证券公司的管理启示

1.证券公司管理举措的优化启示

（1）完善的内部规章制度。自上而下设计整体管控策略，细化个人数据分级分类标准，分别从前端业务和金融科技出台可行的工作指引，从制度及实操层面明确管理要求及职责分工。

（2）积极的数据保护模式。随着数字化技术对行业业务开展、风险控制、合规监管等方面的不断改造，个人信息保护将逐渐从“以系统为中心”向“以数据为中心”转变，信息保护工作亦应当以数据、系统双核心并行的策略开展。

（3）最小权限的数据治理理念。厘清业务发展与个人信息保护之间的关系，建立清晰明确的调用系统权限对应关系，确保收集、处理、存储个人信息场景、数据系统权限最小化授权。

（4）合规合法的个人数据使用范例。证券公司于线上/线下开展业务时，需要主动向客户明示采集与使用个人数据的目的、方式、范围和规则，同时全面细化隐私政策，确保无免除自身责任、加重客户责任、排除客户主要权利的条款，保障客户知情权。设计灵活的授权及撤销机制，确保不存在强制捆绑授权行为，保障客户持续拥有自主选择权。

2.证券公司技术举措的优化启示

（1）贯穿个人信息生命周期的多层次、多维度防护。证券公司应当建立覆盖个人信息采集、传输、存储、处理、销毁等全生命周期、动态灵活的安全技术保障体系，部署体系化的网络安全防御系统和工具，持续完善数据防泄露策略，构建数据加密、文件过滤、WEB应用防护等多层次、多维度的信息安全保护体系。

（2）便捷可用的安全保护工具。远程化、线上化要求证券公司开发并推广定制化云桌面、虚拟专用网络（VPN）等技术，构建具备安全性、保密性和专用性的数据处理环境。

（3）持续建模及数据常态监控。证券公司应当将信息技术审计、数据库安全审计、数据连续监控内化于管理体系中，强化数据处理的监控，降低数据泄露风险。

（4）在数据保护方面深化金融科技改革。随着金融业务线上化进程的深化，证券公司需要借助机器学习、生物识别、自然语言处理等新技术加工、处理个人信息，依托更为前沿的科学技术将信息保护工作拓宽至金融业务全流程。

《个人信息保护法》在证券行业的运用属于一项全新而又重要的课题，值得行业持续关注与研讨。本课题研究牵头单位为招商证券，成员单位包括平安证券、长城证券和己任律师事务所。课题报告内容和观点皆为课题组成员基于理论和实践所做的初步研究、思考和探索，不代表任何公司或机构观点。受限于认知水平和成稿时间的有限性，报告尚有诸多不够完善之处，敬请批评指正。

（课题组：招商证券、平安证券、长城证券、己任律师事务所）

[1]《“为人民”“靠人民”筑牢网络安全防线》，2019-09-19，http://news.cnr.cn/native/gd/20190919/t20190919_524783061.shtml.

[2]《8章74条，个人信息保护法来了！权威解读十大亮点》，2021-8-21，http://www.cac.gov.cn/2021-08/21/c_1631141677655320.htm.

[3] 张新宝. 《中华人民共和国个人信息保护法》释义[M]. 人民出版社,2021:24.

[4] 陈樱,张曦. 企业用工管理权合理边界探析及事假、丧假制度反思.载微信公众号“至正研究”.

[5] 杨傲霜. 从人力资源角度谈员工信息收集合规之法条解读——员工个人信息保护系列文章之二丨大成·实践指南.

[6] 谈玉欣. 大数据时代个人信息合理使用研究[J]. 合作经济与科技,2022(7).

[7] 程啸. 论我国个人信息保护法的基本原则.载微信公众号“国家检察官学院学报”.

[8] 张新宝. 从隐私到个人信息：利益再衡量的理论与制度安排[J]. 中国法学,2015(3):38-59.

[9] 蔡浩辉. 国枫观察丨收集之后，企业如何进一步合规处理员工个人信息.

[10] 王境毓. 个人信息保护之隐私政策的适用. 法学理论研究[J]. 法制博览,2022(5).

[11] 徐敬宏, 网站隐私声明的真实功能考察——对五家网站隐私声明的文本分析[J]. 当代传播,2008(6):67-70.

[12] 吴寒. 个人信息的民法保护[D]. 南昌大学,2011.

[13] 申琦. 我国网站隐私保护政策研究:基于49家网站的内容分析[J]. 新闻大学, 2015(4):9.

[14] 《个人信息委托处理、共同处理、共享处理的责任和风险防范》.券商合规小兵.

[15] 美国《数据隐私和保护法》（草案），https://mp.weixin.qq.com/s?__biz=MzI5Nzc5MTI3MQ

==&mid=2247515179&idx=3&sn=1be96d11679ab32b161980733ff05f61&chksm=ecad4663dbdacf75a9586db6f3cd2f06dd4a8d59b4cacf9ed563dc5442b37b30b8a978eca5ba&scene=27.

[16] 管洪博. 数字经济下个人信息共享制度的构建[J]. 法学论坛, 2021, 36(6):8.

[17] 颜苏. 金融控股公司框架下数据共享的法律规制[J]. 法学杂志, 2019(2):10.

[18] 王炜炫. 跨APP个人信息共享的法律规制[J]. 南方金融, 2022(6):11.

[19] 《个人信息处理的合规风险和法律责任防范》.券商合规小兵.

[20] 丁玲, 段丹, 韩家平,等. 区块链视角下个人征信指标体系与信息共享机制优化研究[J]. 征信,2022(5).

[21] 张丹, 夏星悦.《研究丨万字解读：《数据出境安全评估办法》三大问题解读与实务建议》.

[22] 李有星, 王琳. 金融科技监管的合作治理路径[J]. 浙江大学学报：人文社会科学版, 2019, 49(1):13.

[23] Viren Shah. 基于大数据的金融科技监管模式及案例研究[D]. 浙江大学,2019.

[24] 冯橙. 用行动实践金融科技合规与风险管理——《证券基金经营机构信息技术管理办法》影响分析[J]. 电信网技术, 2019.

[25] 汪小亚, 马龙, 欧欢峰,等. 银行如何做好个人金融信息保护[J]. 清华金融评论, 2021(2):6.

[26] 倪楠, 王敏. 人脸识别技术中个人信息保护的法律规制[J]. 人文杂志, 2022(2):11.

[27] 黄细江. 人工智能技术下的个人信息保护:迈向合作的多元治理[J]. 中国科技论坛, 2022(3):8.

[1] 《“为人民”“靠人民”筑牢网络安全防线》，http://news.cnr.cn/native/gd/20190919/t20190919_524783061.shtml，最后访问日期：2022年7月27日。

[2] 参见张新宝：《<中华人民共和国个人信息保护法>释义》，人民出版社2021年第1版，第24页。

[3] 参见张新宝：《<中华人民共和国个人信息保护法>释义》，人民出版社2021年第1版，第48页。

[4] 同上。

[5] 《个人信息安全规范》4个人信息安全基本原则 d) 最小必要。

[6] 《个保法》第一条 为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。

[7] 《个保法》第四条第二款。

[8] 《215款App被广东省通信管理局责令限期整改（2021年1月）》，https://gdca.miit.gov.cn/xwdt/gzdt/art/2021/art_c09595d33c554695897f39f4d6916683.html ，最后访问日期：2022年7月26日。

《关于侵害用户权益行为的App通报（2021年第1批，总第10批）》，https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2021/art_be0ce4f6d2b046b7aa2cac04c59fd5ea.html ，最后访问日期：2022年7月26日。

[9] 《国家计算机病毒应急处理中心监测发现十七款违法移动应用》，https://www.cnaac.org.cn/newShowData.html?id=256 ，最后访问日期：2022年7月26日。

《215款App被广东省通信管理局责令限期整改（2021年1月）》，https://gdca.miit.gov.cn/xwdt/gzdt/art/2021/art_c09595d33c554695897f39f4d6916683.html ，最后访问日期：2022年7月26日。

《209款App被广东省通信管理局责令整改或关停（2020年11-12月）》，https://gdca.miit.gov.cn/xwdt/gzdt/art/2021/art_56d961693e12484d84818f92245543d1.html ，最后访问日期：2022年7月26日。

[10] 《个人信息安全规范》7.4 用户画像的使用限制。

[11] 《个人信息安全规范》7.6 基于不同业务目的所收集个人信息的汇聚融合。

[12] 《个保法》第二十四条。

[13] 例如，《个人信息保护法》第五十一条（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训。《个人信息安全规范》7.1。

[14] 《个人信息安全规范》7.3。

[15] 《个人信息安全规范》7.2。

[16] 《证券基金经营机构信息技术管理办法》第三十二条 证券基金经营机构应当遵循最少功能以及最小权限等原则分配信息系统管理、操作和访问权限，并履行审批流程。合规管理和风险管理部门应当对权限管理制度和操作流程进行合规审查及风险控制。

证券基金经营机构应当建立对信息系统权限的定期检查与核对机制，确保用户权限与其工作职责相匹配，防止出现授权不当的情形。

证券基金经营机构应当对重要信息系统的开发、测试、运维实施必要分离，保证信息技术管理部门内部岗位的相互制衡。

[17] 《证券基金经营机构信息技术管理办法》第三十五条。

[18] 《关于侵害用户权益行为的App通报（2021年第10批，总第19批）》，https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2021/art_6d330c2e998749b0a170a6f7228b1428.html ，最后访问日期：2022年7月26日。

[19] 《个人信息安全规范》3.1 个人信息 3.2 个人敏感信息 7.3个人信息使用的目的限制。

[20] 《金融数据安全 数据生命周期安全规范》7.4.4 数据加工。

[21] 《金融数据安全 数据生命周期安全规范》7.2 数据传输。

[22] 《个人金融信息保护技术规范》7.1.3使用。

[23] 《金融数据安全 数据生命周期安全规范》7.4.11 数据共享。

[24] 《个人金融信息保护技术规范》7.1.3使用。

[25] 参见（2019）沪0116刑初452号。

[26] 《个人信息安全规范》9.4 个人信息公开披露。

[27] 《个人金融信息保护技术规范》7.1.3使用。

[28] 《金融数据安全 数据生命周期安全规范》7.4.8 公开披露。

[29] 《金融数据安全 数据生命周期安全规范》7.5 数据删除。

[30] 《证监会再发监管通告，直指2家券商App开发管理存短板》，http://finance1.ce.cn/stock/gsgdbd/202205/24/t20220524_37612484.shtml ，最后访问日期：2022年7月26日。

[31] 《个保法》第四十四条至第五十条，《个人信息安全规范》8.5 个人信息主体注销账户。

[32] 《个保法》第十五条。

[33] 《个保法》第二十四条。

[34] 《个保法》第五十条。

[35] 《国家计算机病毒应急处理中心监测发现十七款违法移动应用》，https://www.cnaac.org.cn/newShowData.html?id=256 ，最后访问日期：2022年7月26日。

[36] 《个保法》第五十一条。

[37] 《个保法》第五十七条 。

[38] 《证券期货业信息安全保障管理办法》第三十二条第一款。

[39] 《信息技术管理办法》第三十六条。

[40] 《【行政监管措施】关于对华泰证券股份有限公司采取出具警示函措施的决定》，http://www.csrc.gov.cn/jiangsu/c103892/c1404750/content.shtml ，最后访问日期：2022年7月27日。

[41] 《民法典》第1034条 自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

[42] 《个人信息保护法》第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

[43] 《个人信息保护法》第九条 个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

[44] 《个人信息保护法》第四条。

[45] 《个人信息保护法》第二十八条。

[46] 杨傲霜，《从人力资源角度谈员工信息收集合规之法条解读——员工个人信息保护系列文章之二丨大成·实践指南》，https://mp.weixin.qq.com/s/qiOQuWiyuqStky2ayBWHdw。

[47] Recital 43 EU GDPR: In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation.

[48] 谈玉欣，《大数据时代个人信息合理使用研究》，载《合作经济与科技》，No.7x 2022，P190-P191。

[49] 程啸，《论我国个人信息保护法的基本原则》，载微信公众号《国家检察官学院学报》，https://mp.weixin.qq.com/s/bQ-zveHlkTjmQF5JewDtcg。

[50] 《民法典》第1032条 隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。从该条规定来看，私密信息属于隐私的范畴，个人信息当然包含私密信息，个人信息中的私密信息当属隐私的范畴。

[51] 张新宝，《从隐私到个人信息：利益再衡量的理论与制度安排》，载《中国法学》2015年第3期，第38-59页。

[52] 同上，第57-58页。

[53] 蔡浩辉，《国枫观察丨收集之后，企业如何进一步合规处理员工个人信息》，https://mp.weixin.qq.com/s/z_zZ7toAYKz5QaunsK8eZA。

[54] 王境毓. 个人信息保护之隐私政策的适用. 法学理论研究(J)，法制博览，2022年5月下。

[55] 申琦. 我国网站隐私保护政策研究：基于49家网站的内容分析. 新媒体，2015年第4期（总第132期）。

[56] 全称software development kit，软件开发工具包。一般都是一些软件工程师为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件时的开发工具的集合，通俗来讲就是第三方服务商提供的实现产品软件某项功能的工具包。

[57] 券商合规小兵《个人信息委托处理、共同处理、共享处理的责任和风险防范》，https://xueqiu.com/6096518911/201208922?ivk_sa=1024320u。

[58] 所谓“择出同意”，即选择-退出机制，要求除非消费者提出明确反对，否则经营者将视消费者已经同意，有权共享消费者信息。

[59] 《金融控股公司子公司间共同营销管理办法》第 11 条：1、金融控股公司之子公司间交互运用客户资料，基于行销目的搜集个人资料时，不得为行销目的外之利用，并应切实依下列规范办理：一、于揭露、转介或交互运用客户资料时，除法令另有规定、经客户签订契约或书面明示同意者外，所揭露、转介或交互运用之资料不得含有客户姓名或地址以外之其他资料。二、与客户之往来契约，有关客户资料之使用条款应订立让客户选择是否同意提供姓名或地址以外之其他资料作为行销建档、揭露、转介或交互运用之栏位，经客户以签名或其他得以识别客户同一性及其意思表示之方式确认，並并列明运用资料之子公司名称。金融控股公司因其组织异动，而有子公司增减时，应于金融控股公司及其子公司网站公告。三、与客户之往来契约有关交互运用客户资料等相关条款，应以明显字体提醒客户注意，并揭露交互运用客户资料之子公司名称，且明确告知或约定客户得随时要求停止对其相关资讯交互运用之简易方式（如电话通知）。金融控股公司之子公司于接获客户通知停止使用其资料后，应立即停止金融控股公司及所有子公司相互使用其资料，但如客户明确指示停止交互运用资料之子公司范围非及于所有子公司者，得依客户通知之意旨办理。四、子公司客户不同意公司继续使用其资料之资讯，应通知各子公司、部门、产品线及各委外单位等之行销人员，并配合修正电脑控管系統。2、对客户资料使用之作业，应建立完善之保密措施，设置专责单位或人员负责，且应建立客户资料库，妥善储存、保管及管理客户相关资料，及建立该客户资料库之安全措施，仅被授权员工始可使用客户资料。

[60] 金控公司应在其公司网页公告其与子公司信息共享接收方子公司的名称及其保密措施，并且以书面或者电子邮件方式通知客户，告知客户数据收集方式、储存及保管方式、安全及保护方法、分类、利用范围及项目、利用目的、披露对象、数据变更修改方式、选择退出方式等。

[61] 管洪博，《数字经济下个人信息共享制度的构建》，载《法学论坛》2021年11月第6期。

[62] 颜苏，《金融控股公司框架下数据共享的法律规制》，载《法学杂志》，2019年第2期。

[63] 任龙龙，2016，是指由于《隐私政策》不尽详尽与合理、重要事项未予增强告知，致使充分告知在现实中难以实现，即使完全履行告知责任、对应告知事项给予详细说明，《隐私政策》也往往冗长而晦涩，时间成本高昂。

[64] 丁晓强，2020，是指个人认知能力有限，作为条款接受方的用户对前述信息的处理能力也是有限的，超过这一限度，充分信息所带来的认知上的压力将阻碍前者有效地识别和理解它们。

[65] 吕炳斌，2021，是指在数据处理主体多元、大数据加持下风险难测的情境下，信息主体难以真正评估风险从而作出正确决定。

[66]  王炜炫，《跨 App 个人信息共享的法律规制[J/OL]》，载《南方金融》，

https://kns.cnki.net/kcms/detail/44.1479.f.20220530.1700.006.html。

[67] 券商合规小兵：《个人信息处理的合规风险和法律责任防范》，https://xueqiu.com/6096518911/201496605。

[68] 丁玲，段丹，韩家平，马子由，麦嘉璐《区块链视角下个人征信指标体系与信息共享机制优化研究》，载《征信》，2022 年第5期总第280期。

[69] 数据出境安全评估，是指网信部门通过企业提交的申报材料对企业数据出境行为进行安全评估的活动。

[70] 数据出境风险自评估，是指企业针对数据出境活动在申报数据出境安全评估前进行的评估活动，企业可采取检测工具与人工检测相结合，产品交互页面审查和法律文件审查相结合的方式对出境活动可能产生的风险进行评估。

[71] “指技术带来的金融创新，它能创造新的产品、流程或应用或业务模式，从而对金融市场、金融机构或金融服务的提供方式产生重大影响。”金融稳定理事会给金融科技的定义在行业内具有普适意义。

特别申明：

1、本微信公众号性质为公益，纯属玩票，只为交流，力求原创，如有不妥，敬请告知，我们立即删除。    

2、合规小兵设立qq交流群，从qq群衍生出大经纪、大资管、大投行、大投资、金融法务、反洗钱、公募基金（前述群采取严格管理并收取一定金额的群费），以及ABS、衍生品、信用业务、证券咨询投顾、托管业务、异常交易、适当性、金融科技、信息隔离墙、个人信息保护、廉洁从业、声誉风险、操作风险、信用风险、全面风险管理、期货等十多个内控专业微信群。想加入相应群的，请咨询贵司内控人员，熟知群规，通过他们邀请入群。

3、欢迎大家积极投稿（邮箱156473549@qq.com），传播，但文责自负。文中观点仅代表作者观点，与小编和小编的朋友们无关、无关、无关！！！

4、坚持原创，十分不易。未经授权不得转载，侵权必究。如果觉得本文还有点价值，欢迎在右下角点赞，通过右上角转发，在文章正下位置点击喜欢作者或钟意作者进行打赏。