網上投稿
《證券期貨業網絡與信息安全管理辦法》(以下簡稱“管理辦法”)的一大亮點在于突出對于投資者的個人信息保護,其相比于《證券期貨業網絡安全管理辦法(征求意見稿)》(以下簡稱“征求意見稿”)僅用一條籠統規定核心機構與經營機構的投資者個人信息保護義務不同,管理辦法則設置了“投資者個人信息保護”專章,針對證券期貨業關于個人信息保護需要重點關注的問題進行了規范,這也反映出相關監管機構對于個人信息保護問題的重視。本文將根據管理辦法的具體規定,結合我們的實踐經驗,解讀核心機構與經營機構應當如何實現個人信息保護合規。
管理辦法的“投資者個人信息保護”章節共有7條,分別從個人信息處理原則、個人信息保護合規體系建設、個人信息處理環節的合規要求、安全保護措施、證券期貨業個人信息保護特殊規定幾個方面對核心機構與經營機構的個人信息保護義務予以了規定。
一、 個人信息處理原則
第二十九條 核心機構和經營機構應當遵循合法、正當、必要和誠信原則,處理投資者個人信息,規范投資者個人信息處理行為,履行投資者個人信息保護義務,不得損害投資者合法權益。
管理辦法第二十九條規定了核心機構和經營機構在處理個人信息時應當遵循的原則,包括合法、正當、必要和誠信原則,這一點實現了與《個人信息保護法》的銜接。個人信息的處理原則將貫穿于個人信息處理活動始終,指導核心機構和經營機構如何合規地處理個人信息。結合我們的實踐經驗,在處理個人信息時,除遵守以上原則外,核心機構與經營機構還需遵循以下原則:
l 最小必要原則
最小必要原則是指個人信息處理者只對滿足個人信息主體授權同意的目的所需的最少個人信息類型和數量進行處理,并在處理目的達成后及時刪除個人信息
l 知情同意原則
知情同意原則是指高度尊重用戶自主權益,充分告知收集、使用的用戶信息及用途,并獲取用戶主動授權
l 確保安全原則
確保安全原則是指個人信息處理者應當具備與所面臨的安全風險相匹配的安全能力,并采取足夠的管理措施和技術手段,保護個人信息的保密性、完整性、可用性
l 權責一致原則
權責一致原則是指個人信息處理者應當采取必要的技術手段和管理舉措,保障個人信息的安全,并對由個人信息處理活動所造成的結果承擔相應責任。
二、 個人信息保護合規體系建設
第三十條 核心機構和經營機構處理投資者個人信息,應當建立健全投資者個人信息保護體系,明確相關崗位及職責要求,建立健全投資者個人信息處理、安全防護、應急處置、審計監督等管理機制,加強投資者個人信息保護。
管理辦法第三十條規定了核心機構與經營機構應當建立投資者個人保護體系,以加強投資者個人信息保護。結合我們的實踐經驗,個人信息合規體系建設主要包括組織建設和制度建設。制度建設是實現個人信息合規的基礎,組織建設是實現個人信息合規的保障。
(一) 組織建設
管理辦法要求核心機構與經營機構應當明確相關崗位及職責要求,該說法較為概括。結合我們的實踐經驗,核心機構與經營機構應當成立個人信息保護管理組織,并明確相關組織的組織架構、崗位職能、工作與協調機制,負責公司的個人信息保護管理與實施工作。如有關機構設立“數據安全與個人信息保護委員會”,負責決議個人信息相關的事宜,并在委員會之下設立個人信息保護工作小組,以負責個人信息保護事宜的具體執行。
(二) 制度建設
管理辦法要求核心機構與經營機構建立投資者個人信息處理、安全防護、應急處置、審計監督等管理機制,其主要針對重點的幾類管理制度進行了強調。結合我們的實踐經驗,為完善核心機構與經營機構的個人信息制度建設,我們建議其建立如下制度:
l 個人信息主體權利響應制度
l 個人信息保護影響評估制度
l 個人信息保護合規審計制度
l 數據分類分級制度
l 數據安全風險與事件應急響應制度
l 供應商與第三方數據合規管理制度
三、 個人信息處理環節的合規要求
第三十一條 核心機構和經營機構應當按照法律法規的規定及合同的約定處理投資者個人信息,明確告知投資者處理個人信息的目的、方式、范圍和隱私保護政策,不得超范圍收集和使用投資者個人信息,不得收集提供服務非必要的投資者個人信息。合同約定事項應當基于從事證券期貨業務活動的必要限度。
核心機構和經營機構不得以投資者不同意處理其個人信息或者撤回同意為由,拒絕向投資者提供服務,為投資者提供服務所必需、履行法定職責或者法定義務等情形除外。
第三十二條 核心機構和經營機構處理投資者個人信息時,應當確保個人信息在收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理過程中的合規、安全,防止個人信息的泄露、篡改、丟失。
第三十三條 核心機構和經營機構應當依法依規向第三方機構提供投資者個人信息,明確告知投資者個人信息處理目的、處理方式、個人信息種類、保存期限、保護措施以及相關方的權利和義務等,并取得投資者個人單獨同意,履行法定職責或者法定義務的情形除外。
管理辦法第三十一條至第三十三條規定了核心機構與經營機構在處理個人信息的具體環節中應當遵守哪些合規要求,主要明確了核心機構在處理個人信息過程中的告知和獲得投資者的同意義務、不得超范圍處理個人信息、確保個人信息處理環節的合規與安全以及向第三方機構提供個人信息的法定義務。
上述規定較為籠統,結合我們的實踐經驗,證券期貨業的核心機構與經營機構應當注重以下方面的個人信息保護的專項治理:
(一) APP合規評估與整改
APP作為最主要的收集用戶個人信息的平臺,大多數機構均開發有專屬于自身業務的APP,且相關監管機構對于APP的監管呈現出愈加嚴格的趨勢,因此,注重APP的合規評估與整改是實現核心機構與經營機構個人信息保護合規的重要內容。通信管理局、工業和信息化部、公安部國家計算機病毒應急處理中心多次對證券期貨業的相關機構的個人信息違規情況進行通報,集中體現在違規收集個人信息,APP強制、頻繁、過度索取權限以及數據主體的權益合規問題。我們建議,核心機構與經營機構應當密切關注APP的監管動向,定期針對APP進行個人信息合規評估,并對不合規項進行及時整改。
(二) 業務系統開發合規管理
業務開發系統作為核心機構與經營機構的業務功能支撐,其對于核心機構與經營機構的業務開展起著至關重要的作用。結合我們的實踐經驗,在業務系統開發過程中,應當加入涉及個人信息保護的合規節點,而不應該在業務系統投入運營后才重視其個人信息保護合規問題,這種合規理念也被稱為隱私設計(Privacy by Design,或簡稱為“PbD”)。因此,相關機構在進行業務系統開發時,應當注重將個人信息合規節點融入開發流程,并擬定相應的合規指引,以便于形成系統化的操作流程。
(三) 第三方個人信息合規風險管理
數據在流動中方能彰顯價值,個人信息在處理過程中可能會與第三方發生交互,如管理辦法中明確提到的向第三方機構提供個人信息的場景。除向第三方提供之外,可能還會存在與第三方共同處理個人信息或者委托第三方處理個人信息的情形。在與第三方發生數據交互時,核心機構與經營機構應當按照管理辦法、《個人信息保護法》等相關規定,履行法定義務,并通過協議的方式明確雙方關于個人信息保護的相關義務,同時加強對第三方個人信息處理行為的監督。
(四) 員工個人信息保護
核心機構和經營機構掌握著員工的大量個人信息,甚至包括許多敏感個人信息,實現員工個人信息合規亦是實現核心機構與經營機構個人信息合規的不可或缺內容。《個人信息保護法》第十三條明確規定了獲取員工個人信息的豁免同意情形,主要包括:(1)為履行法定義務所必需;(2)為訂立、履行個人作為一方當事人的勞動合同所必需;(3)為按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需。除上述情形之外,處理員工的個人信息需要取得員工的同意,并向其告知法律規定的內容。因此,為實現員工個人信息保護,建議相關機構建立員工個人信息保護方案,并制定員工隱私保護聲明,以實現員工個人信息保護合規。
(五) 個人信息保護主題的合規內訓
在制定了相應的合規保護制度、采取了相應的安全防護措施后,核心機構與經營機構還需要定期開展個人信息保護主題的相關合規培訓,以提升企業員工的個人信息保護意識和個人信息合規水平。
四、 個人信息的安全保護措施
第三十四條 核心機構和經營機構在本機構網絡安全防護邊界以外處理投資者個人信息的,應當采取數據脫敏、數據加密等措施,防范化解投資者個人信息在處理過程中的泄露風險。
核心機構和經營機構通過短信、郵件等非自主運營渠道發送投資者敏感個人信息的,應當將投資者賬號信息、身份證號碼等敏感個人信息進行脫敏處理。
管理辦法第三十四條規定了核心機構和經營機構在安全防護邊界外處理投資者個人信息,應當采取數據脫敏、加密等措施;使用非自主運營渠道發送投資者敏感個人信息,應當對其進行脫敏處理。事實上,為保障個人信息安全,核心機構應當在個人信息的處理環節中適時采取必要的安全措施,不僅局限于管理辦法所規定的情形。目前,實踐中采取的安全保護措施主要包括以下類型:
l 去標識化
l 個人信息服務化
l 訪問控制
l 客戶端存儲、傳輸、服務端加密
l 數據脫敏
l API網關
五、 其他特殊規定
第三十五條 核心機構和經營機構利用生物特征進行客戶身份認證的,應當對其必要性、安全性進行風險評估,不得將人臉、步態、指紋、虹膜、聲紋等生物特征作為唯一的客戶身份認證方式,強制客戶同意收集其個人生物特征信息。
管理辦法第三十五條著重強調了核心機構和經營機構利用生物特征進行客戶身份認證場景下的合規義務,主要包括:(1)應當對收集生物特征進行身份認證的必要性和安全性進行風險評估;(2)不得將生物特征作為唯一的身份認證方式。
生物特征信息屬于敏感個人信息的一種,核心機構和經營機構處理生物特征信息需遵循《個人信息保護法》關于處理敏感個人信息的規則。且根據《個人信息保護法》第二十八條第二款的相關規定,只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。因此,管理辦法明確核心機構與經營機構利用生物特征進行客戶身份認證時應當對其必要性和安全性進行風險評估,實則是對《個人信息保護法》上述規定的回應。
此外,管理辦法還規定,核心機構與經營機構不得將生物特征作為唯一的客戶身份認證方式,其目的在于規制相關機構不得變相強制收集客戶的個人生物特征信息。該規定系管理辦法區別于《個人信息保護法》的特殊規定,《個人信息保護法》在“敏感個人信息的處理規則”章節并未設置有該等要求,但該規定也并非管理辦法的創新。事實上,在2021年11月由國家互聯網信息辦公室發布的《網絡數據安全管理條例(征求意見稿)》,其第二十五條規定“數據處理者利用生物特征進行個人身份認證的,應當對必要性、安全性進行風險評估,不得將人臉、步態、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式,以強制個人同意收集其個人生物特征信息。”雖然上述管理條例尚處于征求意見過程中,但管理辦法已經率先將其適用到證券期貨行業中。
六、 總結
隨著管理辦法的正式實施,證券期貨業的核心機構與經營機構應當重視個人信息合規建設,致力于實現個人信息保護合規,應當在遵循個人信息處理原則的基礎上,建立健全個人信息保護體系,注重個人信息處理環節的合規,尤其是重點場景下的合規治理,采取適當的安全保護措施,防止個人信息泄露。
滬公網安備 31010402007129號
