證券行業數據合規面臨的挑戰與應對思考
——以證券代銷業務為例

翟梓君

（上海政法學院,上海 201701）

一、證券公司代銷業務數據跨境傳輸問題

當今全球經濟飛速發展，數據的跨境流動異常頻繁，為維護數據安全和網絡空間主權，目前眾多國家都對數據跨境流動進行監管。厘清網絡空間中的主權邊界，制定數據跨境流動的管理制度，實際也是維護網絡空間主權的具體體現。證券公司代銷業務領域內，也存在數據跨境傳輸的問題，筆者從主要司法轄區監管規定、影響數據跨境流動的障礙以及證券公司數據跨境傳輸的合規現狀與風險等角度進行分析研究。

（一）主要司法轄區數據跨境傳輸監管規定

1.我國數據跨境傳輸監管規定

隨著2021 年《數據安全法》和《個人信息保護法》的出臺，現階段我國在數據跨境傳輸方面的法律框架的基本形式可以歸納為：以《網絡安全法》《數據安全法》和《個人信息保護法》三部通用法律的數據跨境規定為基礎，以金融、證券、醫療、測繪、汽車、生物遺傳等領域的數據跨境傳輸方面的行業法律法規為補充和輔助。除了以上法律法規層面的規定外，還有一系列有關個人信息保護、數據保護與跨境傳輸方面的國家標準、行業標準也正在制定過程中。

2.通用性監管規定：嚴格控制個人信息和重要數據跨境傳輸

我國高度重視數據跨境傳輸問題，在不同的法律中做出了針對性的規定。目前我國對于關鍵信息基礎設施運營者（CIIO）收集和產生的個人信息和重要數據原則上要求在境內存儲；因業務需要確需對外提供的，需要經過安全評估。除CIIO 以外的其他數據處理者在境內運營中收集和產生的重要數據如需出境的，亦需滿足國家網信部門會同國務院有關部門制定的相關管理辦法。而對于個人信息的跨境傳輸，則需要滿足通過國家網信部門組織的安全評估、經專業機構進行個人信息保護認證、簽訂標準合同以及國家規定的其他條件其中之一。在以上適用于全國的規定之外，地方性的規定亦嘗試對數據的跨境傳輸做出規定。例如，《深圳經濟特區數據條例》要求數據處理者向境外提供個人數據或者國家規定的重要數據的，應當申請數據出境安全評估，并進行國家安全審查。

除以上對于跨境傳輸的制度性規定外，我國目前針對具體的出境安全評估工作，也已出臺了相關指南和評估辦法的征求意見稿，主要有《個人信息和重要數據出境安全評估辦法》（征求意見稿）(2017 年)、《個人信息出境安全評估辦法》（征求意見稿）(2019 年)和《信息安全技術數據出境安全評估指南》（征求意見稿）(2017 年)，該三項法律文件均為基于《網絡安全法》的要求所出臺的重要配套文件，對于個人信息、重要數據出境安全評估的流程、方案等內容做了具體規定和建議。雖然三項文本仍屬于征求意見稿、目前還不具有法律效力，但是在當前法律實施缺乏具體指引、而現實中存在大量數據跨境傳輸需求的背景下，以上規定可以作為各行業網絡運營者的重要參考，在數據跨境的自評估等環節中予以采用。

在進行出境安全評估時，對于個人信息，應當聚焦個人信息主體權益保護，重點關注是否取得個人信息主體的知情同意、與境外接收方的合同是否能夠有效執行并保障個人信息主體的合法權益等；對于重要數據來說，則更加關注數據出境及出境數據匯聚可能對國家安全、社會公共利益產生的影響。由于以上規定為跨境傳輸數據提供了可供實操的抓手，因此各行業都應當密切關注以上文本的后續發展情況，及時對標自身的數據處理和跨境傳輸活動，提高數據跨境傳輸的合規性和效率。

綜上，可以看出我國對于個人信息和重要數據的跨境傳輸仍采取較嚴格的監管態度。但同時我國也在積極探索跨境數據傳輸的安全管理試點。

3.行業數據跨境監管規定：原則上禁止金融個人信息跨境傳輸，例外允許

目前我國對于個人金融數據出境監管規定和要求較為嚴格。首先，金融行業要求對客戶資料嚴格保密；未經有關部門同意，不得擅自向境外提供與證券業務活動有關的文件和資料。其次，針對個人金融信息，原則上禁止跨境傳輸，但如滿足業務必需、客戶知情同意、已開展個人金融信息出境安全評估等要求，則可向境外關聯機構提供。

4.其他國家和地區數據跨境傳輸監管特點

經考察其他國家和地區數據跨境傳輸的監管規定，可以發現各國家和地區目前的數據跨境傳輸規則均以通用性規定為主，而專門針對證券行業的數據跨境傳輸規則不多。主要集中在歐盟、美國、亞太經濟合作組織（APEC）國家及新加坡，目前各國家和地區對于數據跨境傳輸的監管存在如下趨勢：一方面積極采取措施促進其他國家和地區的數據流向本國，以取得數字經濟發展的優勢；另一方面利用各種方式嚴格限制本國的個人信息和重要數據傳輸到其他國家和地區，以充分實現本國的國家安全、數據安全和競爭優勢。

（二）影響數據跨境自由流動效率的主要障礙

當前普遍認為數據跨境治理屬于主權的范疇，也即各國主張的“數據主權”。數字經濟的高速發展使得各國關注和重視本國的數據，在數據跨境流動的過程中，體現了數據傳出國與數據接收國之間的考量，為數據跨境流動設置的非技術性標準增加了數據跨境流動的難度。具體而言，影響數據跨境流動的障礙主要包括以下方面：

1.數據本地化的監管要求

根據前述對于當前主要司法轄區的數據跨境監管規定的分析，可以看出各國或地區均在不同程度上對數據本地化做出了要求。根據信息技術與創新基金會的統計數據，2021 年要求數據本地化的國家或地區數量已有62 個，此外正在提議或起草的數據本地化政策有38項。在各國監管規定中，一般均要求對個人信息進行本地化存儲，同時對個人信息的跨境傳輸制定嚴格的限制條件。各國企業為了合規需要，嚴格采取數據本地存儲的方式，而數據本地存儲增加了數據跨境傳輸等方面的成本，從而影響數據跨境自由流動。

2.數據跨境后境外保護執法難度大

隨著數字經濟的發展，跨境后的數據可以存儲在任意位置的服務器中，因此互聯網犯罪的成本也更加低廉，而互聯網的互聯互通和無國界屬性使得各國執法難度增加。傳統的數據跨境取證主要基于數據主權原則，而當前涉及犯罪的電子數據證據可能存儲在不同的國家和地區中，如果允許數據自由跨境流動，傳統的司法協助難以滿足時效性要求，這進一步增加了數據跨境自由流動的難度。在此背景下，歐盟、美國等國家和地區紛紛對跨境證據調取進行立法，限制其他國家從本國范圍內調取數據等電子證據。

3.數據跨境影響個人信息保護、產業安全乃至國家安全

在數據跨境流動的過程中，存在諸多可能的風險，各國出于對數據安全風險的擔憂紛紛對數據跨境自由流動做出限制。首先，當前數據買賣黑產日益猖獗，個人數據泄露事件頻發。各國出于保護本國公民個人隱私、財產安全等因素的考量，限制個人信息對外傳輸。其次，在當前已有的數據跨境傳輸可行途徑中，歐盟、新加坡等國家和地區在數據跨境傳輸中也提出了數據接收國應當具有與數據流出國相同的保護水平，以保障本國數據安全。第三，出于維護本國產業安全、網絡安全乃至國家安全的考慮，部分國家限制重要數據或者受控信息的跨境轉移。

（三）證券公司數據跨境傳輸合規現狀

1.工作亮點

在數據跨境傳輸方面，當前相關證券公司合規工作的主要亮點內容包括：第一，嚴格執行數據本地化的要求，將數據存儲在本地服務器內，且沒有端口與外界連通；第二，在公司內部制定嚴格的數據跨境傳輸評估、審核制度，對數據進行分級分類，確需出境的數據在每次出境前都要經過數據保護部門的評估和審核；第三，根據不同類型數據，設置不同的跨境傳輸路徑，視數據敏感程度采取不同的傳輸方式，充分保障傳輸安全；第四，采取簽署承諾函等方式，確保集團內部數據跨境流動的合規性；第五，嚴格控制數據跨境后的接收者的知悉范圍，對于各類數據的查看權限做出限定。

2.實踐難點

關于數據跨境傳輸工作的主要難點包括以下幾個方面：第一，監管部門對證券公司的IT 網絡部署方面存在國密的要求，應使用國產密碼產品。對于外資證券公司而言，實現此類要求存在較大的合規成本和困難。第二，由于當前尚無生效的數據出境安全評估辦法與指南，跨境傳輸的監管指引主要依靠證監會的窗口指導和征求意見階段的規范性文件，這對于存在切實的數據跨境傳輸需求的證券公司而言，缺乏具體、穩定、透明的實操指引。

3.風險分析

我國目前對金融數據尤其是個人金融信息的跨境監管的主要要求，包括境內存儲原則和嚴格限制個人金融數據跨境提供。根據訪談和調查，外資證券公司基于母國監管要求以及遵守《巴塞爾協議III》的要求需要對外傳輸數據，對外傳輸的數據不包括個人金融信息，但存在落入重要數據范疇的合規風險。證券公司對外報送的數據中可能包括聚合數據、統計信息等數據，此類數據也有可能落入“重要數據”的范疇。因此，外資證券公司在跨境報送相關數據時，應當一事一議，根據有關標準重點評估是否屬于重要數據。

4.應對思考

(1)公司內部完善數據跨境傳輸制度，嚴格進行自評估

證券公司應當注意追蹤國家立法新要求，在生效版本出臺前，根據《個人信息和重要數據出境安全評估辦法》（征求意見稿）、《個人信息出境安全評估辦法》（征求意見稿）和《信息安全技術 數據出境安全評估指南》（征求意見稿）等相關規定，履行境內存儲、安全評估等要求，出境前應進行自評估。此外還應完善公司內部數據跨境傳輸的制度體系，將數據跨境傳輸的制度流程融入日常經營，有效履行保護金融信息安全的職責和義務，持續保障金融信息安全。

(2)監管部門與行業協會盡快出臺數據跨境傳輸等指南

隨著《數據安全法》《個人信息保護法》的出臺，我國數據保護的法律法規體系已逐步完善，可以期待對于數據跨境傳輸、重要數據認定等的法規規章或者有關指南會在不久的將來出臺。建議監管部門在個案指導、窗口指導之外，與行業協會一道結合相關規定或者指南的要求，出臺金融行業數據跨境傳輸的指南或辦法，為相關企業合法合規開展數據跨境傳輸活動提供指引。

(3)監管部門加強國際合作，探索數據跨境自由流動的路徑

目前實踐中數據跨境流動仍缺乏統一可接受的國際規則，各類多邊協議中各國保留程度不一，部分在原則上禁止采取限制數據跨境流動措施的情況下，也會允許成員國基于公共政策等目的進行立法保留。建議監管部門積極參與到相關國際規則和標準等的制定過程中，與其他國家一道，促進不同國家和法系的理解，探索數據跨境自由流動的路徑，為數據跨境自由流動以及未來的數據交易的實現創造更好的國際環境。

二、數據分類分級問題研究

（一）我國數據分類分級的監管規定分析

數據作為生產要素能夠對企業發展、行業進步乃至國家治理產生深遠的影響。數據只有流動起來才能更好地發揮其生產要素的價值，數據流動的前提應當是安全和開放，加之數據的重要性和價值并不相同，因此需要對數據進行分類分級，從而更好地管理、運用和保護數據。當前全球范圍內諸多國家都對數據進行了分類分級，比如美國將數據分為國家安全信息、受控未分類信息以及開放數據等類別。對于證券行業而言，證券公司的數據主要包括三部分，首先是企業內部管理等產生的數據，其次是在業務開展等過程中主動采集以及分析得出的數據，第三是來自于第三方的數據。不同來源的數據都在企業的控制之下，作為數據處理者/網絡運營者/個人信息處理者，應當根據國家法律法規的要求，建立完善的數據分類分級制度，這能夠為企業的數字化轉型和未來的發展打好數據管理的基礎。

從數據管理的角度而言，完善的數據分類分級制度能夠幫助企業理清數據資產，企業能夠通過對數據的精細化管理，發現新的商業模式，提高企業的競爭力；從數據運用的角度而言，分類分級能夠幫助企業區分數據的重要程度和敏感性，從而形成科學合理的數據運用體系；從數據保護的角度來說，數據分類分級能夠幫助企業區分不同類型和級別的數據，從而針對性地采取諸如統計技術、屏蔽技術、假名化、加密處理等不同的安全保護措施，減少數據被竊取、篡改、泄露等的風險。

（二）當前證券公司代銷業務中數據分類分級的現實困難

1.相關規定難以保障數據的精細化分類分級

當前《數據安全法》《個人信息保護法》等上位法律出臺之后，已經從法律層面明確了數據分類分級的考量因素和確切要求。實踐中雖然存在一些推薦性國家標準和行業標準以及指引類文件，但是對于企業而言相關文本的原則性較強，分類分級的方法不完全一致，有的標準提出數據級別并非一成不變的，經過匯聚融合或者脫敏處理其級別會發生變化，導致實踐中難以定級，因此對于證券代銷業務這一具體場景而言的借鑒意義有限，難以達到有效落實的效果，行業內亟待根據新的法律法規要求盡快出臺分類分級指南等指導性文件。

2.監管要求與數據合規要求存在不協調一致之處

部分證券公司提出行業監管要求和數據合規要求存在不協調一致，實踐中難以處理。例如將個人信息提供給其他處理者應當取得個人的單獨同意，而不同監管部門要求報送數據時難以臨時獲取信息主體的單獨同意，期待二者能夠更加協調一致，企業也將針對《個人信息保護法》等做進一步調整。

（三）應對思考

1.公司內部明確數據分類的維度

當前數據的分類可以從很多角度進行，比如數據管理的角度、業務場景的角度等，因此在數據分類的過程中應當盡量從數據的客觀屬性和固有屬性出發進行分類，避免同一數據基于不同的維度被劃分到不同的數據類別中，保障分類分級體系的穩定性。

2.具體操作中細化數據分類分級的顆粒度

實踐中存在部分企業僅將數據區分為敏感數據和非敏感數據或者客戶數據和非客戶數據，這樣實踐操作中可能比較方便，但是存在分類過于粗糙的問題，在具體的數據處理以及運用和精細化管理中存在困難。因此需要細化數據分類分級的顆粒度。

3.監管部門出臺協調統一的行業指引

當前《數據安全法》《個人信息保護法》出臺，為更好地實現企業數字化轉型從而促進數據交易、共享和流轉等活動的順利進行，建議證券行業監管部門依據法律法規要求制定數據分類分級的指引，為各企業完善自身的數據分類分級制度提供操作指南和規范，從而更好地服務于數字經濟的發展。

三、證券公司代銷業務數據合規管理相關政策建議

自2016 年《證券公司全面風險管理規范》發布，數據治理在行業內被首度提出。國內相關金融機構和監管機構圍繞數據標準、數據模型、數據安全、數據質量、數據共享、大數據應用展開一系列探索和研究，其對證券行業的蓬勃發展和證券公司的競爭地位的重要意義不言而喻，無須贅述。數據合規是數據治理的重要內容，也是一切數據應用的基石。《數據安全法》和《個人信息保護法》相繼出臺并提出新的數據合規管理要求，但許多內容是理念性、概念性、原則性的，無法真正指導實踐落地。數據本身與社會經濟活動一樣復雜，數據工作牽一發而動全身，可能涉及大量的系統改造和業務流程再造，明確相關標準有利于統一行業預期，減輕證券公司“返工”壓力，也能建立行業內公平競爭的基線。

(一)明確個人信息判定具體規則

《民法典》《網絡安全法》《個人信息保護法》關于個人信息的定義不盡相同,《個人信息保護法》《個人信息安全規范》關于敏感個人信息的定義也不盡相同。即便通過法律適用的原則來解決規范性文件之間的關系，個人信息的定義也過于原則，比如《個人信息保護法》將個人信息定義為“與已識別或者可識別的自然人有關的各種信息”，其中，“已識別”“可識別”在具體場景下的判定均需要進一步明晰。由于個人信息的判定是遵從各種合規要求的前提性條件，建議出臺詳細的個人信息和敏感信息判定指導。

(二)細化數據分類分級標準

分類分級是數據治理中重要的一環，也是數據合規管理的一項前置工作?！蹲C券期貨業數據模型-第1 部分：抽象模型設計方法》《證券期貨業數據分類分級指引》邁出了重要一步，就行業數據模型設計和數據的分類分級給出標準建議。但作為分類分級的專門性規范，上述規范并未全面融入《個人信息保護法》的要求，與《個人信息安全規范》《個人金融信息保護技術規范》對數據分類和敏感信息的界定原則存在不一致。建議在基于行業模型的數據治理框架中統籌證券業務與信息保護的要求，提供和諧、細化的數據分類分級標準。

(三)彌合現有法律法規之間縫隙

1.厘清數據權屬

數據權屬問題是金融數據流通面臨的最大障礙，證券公司代銷業務開展過程中收集和產生的各種數據權益歸屬不明，也很難達成有效協議，雖然證券公司希望保留數據控制權，但難以落實，為后續數據資源的應用開發帶來不確定性。

2.解決規范間協調問題

《證券法》要求證券公司妥善保存客戶開戶資料等信息的時間不得少于二十年，而個人信息保護相關監管要求數據存儲期限應當為實現個人信息主體授權使用目的所必需的最短時間。筆者注意到，多家證券公司的APP 端隱私政策中基于個人信息保護要求仍告知用戶可以在停止使用產品和服務、注銷賬號后要求刪除個人信息。再如，《證券法》在許多情形下采取舉證責任倒置，由證券公司承擔舉證義務，這對證券公司的證據保存提出很高的要求，證券公司需要存儲大量個人投資者的適當性信息、交易信息等個人敏感信息，并用于司法程序。

(四)制訂適應行業特點的數據處理行為規范

1.統一行業標準

證券行業是強監管行業，多層級的法律、法規、規章、自律規則、指引、指南對各項證券業務形成較為全面的覆蓋，這為推動標準化工作提供了基礎。建議全面梳理正常開展證券業務、履行監管義務所必須的數據，形成清單，對數據的收集、使用、委托處理、共享、轉讓、公開披露、存儲、刪除與銷毀等環節數據處理的目的、范圍和方式予以明確規定并公開，為證券公司數據處理活動提供更多的被《個人信息保護法》所規定的合法性基礎，比如（履行合同或法定義務）以減少證券公司反復征得個人同意和授權的合規負擔，對于響應數據主體權利要求的規范動作提供表單文書范本，降低證券公司數據合規風險。

2.統籌考慮行業特點

隨著客戶畫像、精準營銷、智能投顧等大數據和人工智能技術得到越來越廣泛的應用，大量的行為數據被收集來對客戶提供個性化和高效率的服務。但相比工商業企業，證券公司在很多場景下承擔受托義務和信義義務，對客戶的責任遠超過普通經濟往來。再如，證券公司普遍建立隔離墻制度，對數據流動存在固有限制要求。在制定行業標準時應當統籌考慮行業特點，在數據訪問、數據處理目的方面做出合理限制，在影響評估方面明確特別要求。

(五)打造并完善行業數據管理生態體系

1.推動行業內交流

證券公司對于數據治理的重視程度不同，治理能力和綜合實力也存在一定差距。在分類分級方面，部分證券公司開發自動數據分類分級程序，利用技術手段有效實現數據字段的篩選、識別和分類分級處理；在數據去標識化方面，部分證券公司上線數據脫敏平臺，規范脫敏流程，按需開展數據脫敏工作，并自研檢測工具測試敏感個人信息去標識化效果。建議建立行業內的常態交流機制，發布行業最佳實踐，匯集行業數據合規的正反面案例，積累行業知識庫，整體提高行業數據合規水平。

2.規范第三方服務

在技術創新發展和社會分工細化的背景下，證券公司代銷業務數字化轉型時會使用第三方工具。證券公司APP 目前普遍集成社交、推送、支付、身份認證、人臉識別、活體檢測、安全加固等三方服務，部分證券公司也會使用用戶行為數據分析服務。雖然證券公司可以在采購談判和服務協議中對第三方提出數據安全和個人信息保護的合同義務，但作用有限，溝通成本較高，而且部分第三方為強勢國有企業或壟斷型企業，很難落實。建議監管層面就第三方服務與證券公司之間的權利和義務進行原則性劃定，設立第三方服務提供商應當采取的技術保護措施、履行配合證券公司數據合規義務的底線，以減少證券公司的合規隱患，降低合規成本。

3.加強金融行業間交流，統一管理標準

相較證券行業，銀行業在大數據應用和數據治理方面起步較早，投入較高，發展也比較快，其合規實踐對證券公司是有價值的參考借鑒。由于證券行業和銀行業有一定相似性，聯系較為密切，為最大限度提高金融行業數字化程度，可以在數據權屬、數據架構、數據標準、數據質量、數據應用、數據安全、個人信息保護方面統一管理標準，最終推動跨機構、跨領域的金融數據融合、數據共享和應用。

[注釋]

① 商務部:《關于印發全面深化服務貿易創新發展試點總體方案的通知》（2020 年）。

② 歐盟:促進歐盟內數據自由流動;通過充分性認定/保障措施/免等方式實現數據跨境;另外調整數據的境外調取規則。

美國:支持數據跨境自由流動,推行其個人金融信息跨境流通的標準,同時限制美國公民個人信息的跨境流出,通過長臂管轄實現境外數據調取的目的。

APEC 地區:CBPR 體系為成員國之間提供跨境數據傳輸規則,要求在APEC 國家內加入CBPR 系統的成員國之間傳輸公民的個人信息應符合CBPR 的要求。確保個人信息跨國界自由流動的同時,為個人信息的隱私與安全建立有意義的保護。CBPR 體系由四部分組成:自我評估,合規審查,承認接受,爭議解決和執行。各成員國在將個人信息傳輸到國外之前,應進行自我評估和保密審查。

新加坡:積極尋求區域內數據自由流動,與此同時對個人數據跨境傳輸設置嚴格標準。

③ 參見劉晨希:《一帶一路視角下數據跨境流動的國際挑戰與中國對策》,載《中國經貿導刊》2021 年9 月,第21 頁。

④ 信息技術與創新基金會（ITIF）:《跨境數據流動的障礙如何在全球蔓延,付出的代價以及如何解決這些問題》,網址:http://www.hackdig.com/08/hack-429684.htm,最后訪問日期:2022 年2 月1 日。

⑤ 《民法典》第一千零三十四條規定:“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！?/p>

《網絡安全法》第七十六條規定:“個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

《個人信息保護法》第四條:個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。

⑥ 《個人信息保護法》第二十八條規定:敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。

《個人信息安全規范》附錄B（資料性附錄）個人敏感信息判定規定:個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。舉例包括個人財產信息、個人健康生理信息、個人生物識別信息、個人身份信息和其他信息。

⑦ 《證券法》第一百四十七條規定:證券公司應當妥善保存客戶開戶資料、委托記錄、交易記錄和與內部管理、業務經營有關的各項資料,任何人不得隱匿、偽造、篡改或者毀損。上述資料的保存期限不得少于二十年。

⑧ 《證券法》第八十九條第二款規定,證券公司與普通投資者發生糾紛,證券公司應當證明其行為符合監管規定,證券公司不能證明的,應當承擔相應賠償責任。