翟梓君
(上海政法学院,上海 201701)
当今全球经济飞速发展,数据的跨境流动异常频繁,为维护数据安全和网络空间主权,目前众多国家都对数据跨境流动进行监管。厘清网络空间中的主权边界,制定数据跨境流动的管理制度,实际也是维护网络空间主权的具体体现。证券公司代销业务领域内,也存在数据跨境传输的问题,笔者从主要司法辖区监管规定、影响数据跨境流动的障碍以及证券公司数据跨境传输的合规现状与风险等角度进行分析研究。
1.我国数据跨境传输监管规定
随着2021 年《数据安全法》和《个人信息保护法》的出台,现阶段我国在数据跨境传输方面的法律框架的基本形式可以归纳为:以《网络安全法》《数据安全法》和《个人信息保护法》三部通用法律的数据跨境规定为基础,以金融、证券、医疗、测绘、汽车、生物遗传等领域的数据跨境传输方面的行业法律法规为补充和辅助。除了以上法律法规层面的规定外,还有一系列有关个人信息保护、数据保护与跨境传输方面的国家标准、行业标准也正在制定过程中。
2.通用性监管规定:严格控制个人信息和重要数据跨境传输
我国高度重视数据跨境传输问题,在不同的法律中做出了针对性的规定。目前我国对于关键信息基础设施运营者(CIIO)收集和产生的个人信息和重要数据原则上要求在境内存储;因业务需要确需对外提供的,需要经过安全评估。除CIIO 以外的其他数据处理者在境内运营中收集和产生的重要数据如需出境的,亦需满足国家网信部门会同国务院有关部门制定的相关管理办法。而对于个人信息的跨境传输,则需要满足通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、签订标准合同以及国家规定的其他条件其中之一。在以上适用于全国的规定之外,地方性的规定亦尝试对数据的跨境传输做出规定。例如,《深圳经济特区数据条例》要求数据处理者向境外提供个人数据或者国家规定的重要数据的,应当申请数据出境安全评估,并进行国家安全审查。
除以上对于跨境传输的制度性规定外,我国目前针对具体的出境安全评估工作,也已出台了相关指南和评估办法的征求意见稿,主要有《个人信息和重要数据出境安全评估办法》(征求意见稿)(2017 年)、《个人信息出境安全评估办法》(征求意见稿)(2019 年)和《信息安全技术数据出境安全评估指南》(征求意见稿)(2017 年),该三项法律文件均为基于《网络安全法》的要求所出台的重要配套文件,对于个人信息、重要数据出境安全评估的流程、方案等内容做了具体规定和建议。虽然三项文本仍属于征求意见稿、目前还不具有法律效力,但是在当前法律实施缺乏具体指引、而现实中存在大量数据跨境传输需求的背景下,以上规定可以作为各行业网络运营者的重要参考,在数据跨境的自评估等环节中予以采用。
在进行出境安全评估时,对于个人信息,应当聚焦个人信息主体权益保护,重点关注是否取得个人信息主体的知情同意、与境外接收方的合同是否能够有效执行并保障个人信息主体的合法权益等;对于重要数据来说,则更加关注数据出境及出境数据汇聚可能对国家安全、社会公共利益产生的影响。由于以上规定为跨境传输数据提供了可供实操的抓手,因此各行业都应当密切关注以上文本的后续发展情况,及时对标自身的数据处理和跨境传输活动,提高数据跨境传输的合规性和效率。
综上,可以看出我国对于个人信息和重要数据的跨境传输仍采取较严格的监管态度。但同时我国也在积极探索跨境数据传输的安全管理试点。
3.行业数据跨境监管规定:原则上禁止金融个人信息跨境传输,例外允许
目前我国对于个人金融数据出境监管规定和要求较为严格。首先,金融行业要求对客户资料严格保密;未经有关部门同意,不得擅自向境外提供与证券业务活动有关的文件和资料。其次,针对个人金融信息,原则上禁止跨境传输,但如满足业务必需、客户知情同意、已开展个人金融信息出境安全评估等要求,则可向境外关联机构提供。
4.其他国家和地区数据跨境传输监管特点
经考察其他国家和地区数据跨境传输的监管规定,可以发现各国家和地区目前的数据跨境传输规则均以通用性规定为主,而专门针对证券行业的数据跨境传输规则不多。主要集中在欧盟、美国、亚太经济合作组织(APEC)国家及新加坡,目前各国家和地区对于数据跨境传输的监管存在如下趋势:一方面积极采取措施促进其他国家和地区的数据流向本国,以取得数字经济发展的优势;另一方面利用各种方式严格限制本国的个人信息和重要数据传输到其他国家和地区,以充分实现本国的国家安全、数据安全和竞争优势。
当前普遍认为数据跨境治理属于主权的范畴,也即各国主张的“数据主权”。数字经济的高速发展使得各国关注和重视本国的数据,在数据跨境流动的过程中,体现了数据传出国与数据接收国之间的考量,为数据跨境流动设置的非技术性标准增加了数据跨境流动的难度。具体而言,影响数据跨境流动的障碍主要包括以下方面:
1.数据本地化的监管要求
根据前述对于当前主要司法辖区的数据跨境监管规定的分析,可以看出各国或地区均在不同程度上对数据本地化做出了要求。根据信息技术与创新基金会的统计数据,2021 年要求数据本地化的国家或地区数量已有62 个,此外正在提议或起草的数据本地化政策有38项。在各国监管规定中,一般均要求对个人信息进行本地化存储,同时对个人信息的跨境传输制定严格的限制条件。各国企业为了合规需要,严格采取数据本地存储的方式,而数据本地存储增加了数据跨境传输等方面的成本,从而影响数据跨境自由流动。
2.数据跨境后境外保护执法难度大
随着数字经济的发展,跨境后的数据可以存储在任意位置的服务器中,因此互联网犯罪的成本也更加低廉,而互联网的互联互通和无国界属性使得各国执法难度增加。传统的数据跨境取证主要基于数据主权原则,而当前涉及犯罪的电子数据证据可能存储在不同的国家和地区中,如果允许数据自由跨境流动,传统的司法协助难以满足时效性要求,这进一步增加了数据跨境自由流动的难度。在此背景下,欧盟、美国等国家和地区纷纷对跨境证据调取进行立法,限制其他国家从本国范围内调取数据等电子证据。
3.数据跨境影响个人信息保护、产业安全乃至国家安全
在数据跨境流动的过程中,存在诸多可能的风险,各国出于对数据安全风险的担忧纷纷对数据跨境自由流动做出限制。首先,当前数据买卖黑产日益猖獗,个人数据泄露事件频发。各国出于保护本国公民个人隐私、财产安全等因素的考量,限制个人信息对外传输。其次,在当前已有的数据跨境传输可行途径中,欧盟、新加坡等国家和地区在数据跨境传输中也提出了数据接收国应当具有与数据流出国相同的保护水平,以保障本国数据安全。第三,出于维护本国产业安全、网络安全乃至国家安全的考虑,部分国家限制重要数据或者受控信息的跨境转移。
1.工作亮点
在数据跨境传输方面,当前相关证券公司合规工作的主要亮点内容包括:第一,严格执行数据本地化的要求,将数据存储在本地服务器内,且没有端口与外界连通;第二,在公司内部制定严格的数据跨境传输评估、审核制度,对数据进行分级分类,确需出境的数据在每次出境前都要经过数据保护部门的评估和审核;第三,根据不同类型数据,设置不同的跨境传输路径,视数据敏感程度采取不同的传输方式,充分保障传输安全;第四,采取签署承诺函等方式,确保集团内部数据跨境流动的合规性;第五,严格控制数据跨境后的接收者的知悉范围,对于各类数据的查看权限做出限定。
2.实践难点
关于数据跨境传输工作的主要难点包括以下几个方面:第一,监管部门对证券公司的IT 网络部署方面存在国密的要求,应使用国产密码产品。对于外资证券公司而言,实现此类要求存在较大的合规成本和困难。第二,由于当前尚无生效的数据出境安全评估办法与指南,跨境传输的监管指引主要依靠证监会的窗口指导和征求意见阶段的规范性文件,这对于存在切实的数据跨境传输需求的证券公司而言,缺乏具体、稳定、透明的实操指引。
3.风险分析
我国目前对金融数据尤其是个人金融信息的跨境监管的主要要求,包括境内存储原则和严格限制个人金融数据跨境提供。根据访谈和调查,外资证券公司基于母国监管要求以及遵守《巴塞尔协议III》的要求需要对外传输数据,对外传输的数据不包括个人金融信息,但存在落入重要数据范畴的合规风险。证券公司对外报送的数据中可能包括聚合数据、统计信息等数据,此类数据也有可能落入“重要数据”的范畴。因此,外资证券公司在跨境报送相关数据时,应当一事一议,根据有关标准重点评估是否属于重要数据。
4.应对思考
(1)公司内部完善数据跨境传输制度,严格进行自评估
证券公司应当注意追踪国家立法新要求,在生效版本出台前,根据《个人信息和重要数据出境安全评估办法》(征求意见稿)、《个人信息出境安全评估办法》(征求意见稿)和《信息安全技术 数据出境安全评估指南》(征求意见稿)等相关规定,履行境内存储、安全评估等要求,出境前应进行自评估。此外还应完善公司内部数据跨境传输的制度体系,将数据跨境传输的制度流程融入日常经营,有效履行保护金融信息安全的职责和义务,持续保障金融信息安全。
(2)监管部门与行业协会尽快出台数据跨境传输等指南
随着《数据安全法》《个人信息保护法》的出台,我国数据保护的法律法规体系已逐步完善,可以期待对于数据跨境传输、重要数据认定等的法规规章或者有关指南会在不久的将来出台。建议监管部门在个案指导、窗口指导之外,与行业协会一道结合相关规定或者指南的要求,出台金融行业数据跨境传输的指南或办法,为相关企业合法合规开展数据跨境传输活动提供指引。
(3)监管部门加强国际合作,探索数据跨境自由流动的路径
目前实践中数据跨境流动仍缺乏统一可接受的国际规则,各类多边协议中各国保留程度不一,部分在原则上禁止采取限制数据跨境流动措施的情况下,也会允许成员国基于公共政策等目的进行立法保留。建议监管部门积极参与到相关国际规则和标准等的制定过程中,与其他国家一道,促进不同国家和法系的理解,探索数据跨境自由流动的路径,为数据跨境自由流动以及未来的数据交易的实现创造更好的国际环境。
数据作为生产要素能够对企业发展、行业进步乃至国家治理产生深远的影响。数据只有流动起来才能更好地发挥其生产要素的价值,数据流动的前提应当是安全和开放,加之数据的重要性和价值并不相同,因此需要对数据进行分类分级,从而更好地管理、运用和保护数据。当前全球范围内诸多国家都对数据进行了分类分级,比如美国将数据分为国家安全信息、受控未分类信息以及开放数据等类别。对于证券行业而言,证券公司的数据主要包括三部分,首先是企业内部管理等产生的数据,其次是在业务开展等过程中主动采集以及分析得出的数据,第三是来自于第三方的数据。不同来源的数据都在企业的控制之下,作为数据处理者/网络运营者/个人信息处理者,应当根据国家法律法规的要求,建立完善的数据分类分级制度,这能够为企业的数字化转型和未来的发展打好数据管理的基础。
从数据管理的角度而言,完善的数据分类分级制度能够帮助企业理清数据资产,企业能够通过对数据的精细化管理,发现新的商业模式,提高企业的竞争力;从数据运用的角度而言,分类分级能够帮助企业区分数据的重要程度和敏感性,从而形成科学合理的数据运用体系;从数据保护的角度来说,数据分类分级能够帮助企业区分不同类型和级别的数据,从而针对性地采取诸如统计技术、屏蔽技术、假名化、加密处理等不同的安全保护措施,减少数据被窃取、篡改、泄露等的风险。
1.相关规定难以保障数据的精细化分类分级
当前《数据安全法》《个人信息保护法》等上位法律出台之后,已经从法律层面明确了数据分类分级的考量因素和确切要求。实践中虽然存在一些推荐性国家标准和行业标准以及指引类文件,但是对于企业而言相关文本的原则性较强,分类分级的方法不完全一致,有的标准提出数据级别并非一成不变的,经过汇聚融合或者脱敏处理其级别会发生变化,导致实践中难以定级,因此对于证券代销业务这一具体场景而言的借鉴意义有限,难以达到有效落实的效果,行业内亟待根据新的法律法规要求尽快出台分类分级指南等指导性文件。
2.监管要求与数据合规要求存在不协调一致之处
部分证券公司提出行业监管要求和数据合规要求存在不协调一致,实践中难以处理。例如将个人信息提供给其他处理者应当取得个人的单独同意,而不同监管部门要求报送数据时难以临时获取信息主体的单独同意,期待二者能够更加协调一致,企业也将针对《个人信息保护法》等做进一步调整。
1.公司内部明确数据分类的维度
当前数据的分类可以从很多角度进行,比如数据管理的角度、业务场景的角度等,因此在数据分类的过程中应当尽量从数据的客观属性和固有属性出发进行分类,避免同一数据基于不同的维度被划分到不同的数据类别中,保障分类分级体系的稳定性。
2.具体操作中细化数据分类分级的颗粒度
实践中存在部分企业仅将数据区分为敏感数据和非敏感数据或者客户数据和非客户数据,这样实践操作中可能比较方便,但是存在分类过于粗糙的问题,在具体的数据处理以及运用和精细化管理中存在困难。因此需要细化数据分类分级的颗粒度。
3.监管部门出台协调统一的行业指引
当前《数据安全法》《个人信息保护法》出台,为更好地实现企业数字化转型从而促进数据交易、共享和流转等活动的顺利进行,建议证券行业监管部门依据法律法规要求制定数据分类分级的指引,为各企业完善自身的数据分类分级制度提供操作指南和规范,从而更好地服务于数字经济的发展。
自2016 年《证券公司全面风险管理规范》发布,数据治理在行业内被首度提出。国内相关金融机构和监管机构围绕数据标准、数据模型、数据安全、数据质量、数据共享、大数据应用展开一系列探索和研究,其对证券行业的蓬勃发展和证券公司的竞争地位的重要意义不言而喻,无须赘述。数据合规是数据治理的重要内容,也是一切数据应用的基石。《数据安全法》和《个人信息保护法》相继出台并提出新的数据合规管理要求,但许多内容是理念性、概念性、原则性的,无法真正指导实践落地。数据本身与社会经济活动一样复杂,数据工作牵一发而动全身,可能涉及大量的系统改造和业务流程再造,明确相关标准有利于统一行业预期,减轻证券公司“返工”压力,也能建立行业内公平竞争的基线。
《民法典》《网络安全法》《个人信息保护法》关于个人信息的定义不尽相同,《个人信息保护法》《个人信息安全规范》关于敏感个人信息的定义也不尽相同。即便通过法律适用的原则来解决规范性文件之间的关系,个人信息的定义也过于原则,比如《个人信息保护法》将个人信息定义为“与已识别或者可识别的自然人有关的各种信息”,其中,“已识别”“可识别”在具体场景下的判定均需要进一步明晰。由于个人信息的判定是遵从各种合规要求的前提性条件,建议出台详细的个人信息和敏感信息判定指导。
分类分级是数据治理中重要的一环,也是数据合规管理的一项前置工作。《证券期货业数据模型-第1 部分:抽象模型设计方法》《证券期货业数据分类分级指引》迈出了重要一步,就行业数据模型设计和数据的分类分级给出标准建议。但作为分类分级的专门性规范,上述规范并未全面融入《个人信息保护法》的要求,与《个人信息安全规范》《个人金融信息保护技术规范》对数据分类和敏感信息的界定原则存在不一致。建议在基于行业模型的数据治理框架中统筹证券业务与信息保护的要求,提供和谐、细化的数据分类分级标准。
1.厘清数据权属
数据权属问题是金融数据流通面临的最大障碍,证券公司代销业务开展过程中收集和产生的各种数据权益归属不明,也很难达成有效协议,虽然证券公司希望保留数据控制权,但难以落实,为后续数据资源的应用开发带来不确定性。
2.解决规范间协调问题
《证券法》要求证券公司妥善保存客户开户资料等信息的时间不得少于二十年,而个人信息保护相关监管要求数据存储期限应当为实现个人信息主体授权使用目的所必需的最短时间。笔者注意到,多家证券公司的APP 端隐私政策中基于个人信息保护要求仍告知用户可以在停止使用产品和服务、注销账号后要求删除个人信息。再如,《证券法》在许多情形下采取举证责任倒置,由证券公司承担举证义务,这对证券公司的证据保存提出很高的要求,证券公司需要存储大量个人投资者的适当性信息、交易信息等个人敏感信息,并用于司法程序。
1.统一行业标准
证券行业是强监管行业,多层级的法律、法规、规章、自律规则、指引、指南对各项证券业务形成较为全面的覆盖,这为推动标准化工作提供了基础。建议全面梳理正常开展证券业务、履行监管义务所必须的数据,形成清单,对数据的收集、使用、委托处理、共享、转让、公开披露、存储、删除与销毁等环节数据处理的目的、范围和方式予以明确规定并公开,为证券公司数据处理活动提供更多的被《个人信息保护法》所规定的合法性基础,比如(履行合同或法定义务)以减少证券公司反复征得个人同意和授权的合规负担,对于响应数据主体权利要求的规范动作提供表单文书范本,降低证券公司数据合规风险。
2.统筹考虑行业特点
随着客户画像、精准营销、智能投顾等大数据和人工智能技术得到越来越广泛的应用,大量的行为数据被收集来对客户提供个性化和高效率的服务。但相比工商业企业,证券公司在很多场景下承担受托义务和信义义务,对客户的责任远超过普通经济往来。再如,证券公司普遍建立隔离墙制度,对数据流动存在固有限制要求。在制定行业标准时应当统筹考虑行业特点,在数据访问、数据处理目的方面做出合理限制,在影响评估方面明确特别要求。
1.推动行业内交流
证券公司对于数据治理的重视程度不同,治理能力和综合实力也存在一定差距。在分类分级方面,部分证券公司开发自动数据分类分级程序,利用技术手段有效实现数据字段的筛选、识别和分类分级处理;在数据去标识化方面,部分证券公司上线数据脱敏平台,规范脱敏流程,按需开展数据脱敏工作,并自研检测工具测试敏感个人信息去标识化效果。建议建立行业内的常态交流机制,发布行业最佳实践,汇集行业数据合规的正反面案例,积累行业知识库,整体提高行业数据合规水平。
2.规范第三方服务
在技术创新发展和社会分工细化的背景下,证券公司代销业务数字化转型时会使用第三方工具。证券公司APP 目前普遍集成社交、推送、支付、身份认证、人脸识别、活体检测、安全加固等三方服务,部分证券公司也会使用用户行为数据分析服务。虽然证券公司可以在采购谈判和服务协议中对第三方提出数据安全和个人信息保护的合同义务,但作用有限,沟通成本较高,而且部分第三方为强势国有企业或垄断型企业,很难落实。建议监管层面就第三方服务与证券公司之间的权利和义务进行原则性划定,设立第三方服务提供商应当采取的技术保护措施、履行配合证券公司数据合规义务的底线,以减少证券公司的合规隐患,降低合规成本。
3.加强金融行业间交流,统一管理标准
相较证券行业,银行业在大数据应用和数据治理方面起步较早,投入较高,发展也比较快,其合规实践对证券公司是有价值的参考借鉴。由于证券行业和银行业有一定相似性,联系较为密切,为最大限度提高金融行业数字化程度,可以在数据权属、数据架构、数据标准、数据质量、数据应用、数据安全、个人信息保护方面统一管理标准,最终推动跨机构、跨领域的金融数据融合、数据共享和应用。
[注释]
① 商务部:《关于印发全面深化服务贸易创新发展试点总体方案的通知》(2020 年)。
② 欧盟:促进欧盟内数据自由流动;通过充分性认定/保障措施/免等方式实现数据跨境;另外调整数据的境外调取规则。
美国:支持数据跨境自由流动,推行其个人金融信息跨境流通的标准,同时限制美国公民个人信息的跨境流出,通过长臂管辖实现境外数据调取的目的。
APEC 地区:CBPR 体系为成员国之间提供跨境数据传输规则,要求在APEC 国家内加入CBPR 系统的成员国之间传输公民的个人信息应符合CBPR 的要求。确保个人信息跨国界自由流动的同时,为个人信息的隐私与安全建立有意义的保护。CBPR 体系由四部分组成:自我评估,合规审查,承认接受,争议解决和执行。各成员国在将个人信息传输到国外之前,应进行自我评估和保密审查。
新加坡:积极寻求区域内数据自由流动,与此同时对个人数据跨境传输设置严格标准。
③ 参见刘晨希:《一带一路视角下数据跨境流动的国际挑战与中国对策》,载《中国经贸导刊》2021 年9 月,第21 页。
④ 信息技术与创新基金会(ITIF):《跨境数据流动的障碍如何在全球蔓延,付出的代价以及如何解决这些问题》,网址:http://www.hackdig.com/08/hack-429684.htm,最后访问日期:2022 年2 月1 日。
⑤ 《民法典》第一千零三十四条规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”
《网络安全法》第七十六条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
《个人信息保护法》第四条:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
⑥ 《个人信息保护法》第二十八条规定:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
《个人信息安全规范》附录B(资料性附录)个人敏感信息判定规定:个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。举例包括个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息和其他信息。
⑦ 《证券法》第一百四十七条规定:证券公司应当妥善保存客户开户资料、委托记录、交易记录和与内部管理、业务经营有关的各项资料,任何人不得隐匿、伪造、篡改或者毁损。上述资料的保存期限不得少于二十年。
⑧ 《证券法》第八十九条第二款规定,证券公司与普通投资者发生纠纷,证券公司应当证明其行为符合监管规定,证券公司不能证明的,应当承担相应赔偿责任。