隨著業務快速發(fa)展，證券(quan)(quan)公(gong)司(si)(si)積累了海量(liang)數(shu)據，尤其是大(da)量(liang)金融市場敏感數(shu)據和客(ke)戶敏感個人(ren)信息(xi)。證券(quan)(quan)公(gong)司(si)(si)建(jian)立、完善(shan)數(shu)據應(ying)(ying)用合規管理體(ti)系，對于提升證券(quan)(quan)公(gong)司(si)(si)在數(shu)字時代(dai)的合規管理水平和風險應(ying)(ying)對能力、實現(xian)數(shu)據資(zi)源真正向(xiang)數(shu)據紅利轉化以及(ji)推動(dong)證券(quan)(quan)行業高(gao)質(zhi)量(liang)發(fa)展均具有重要意義。

　　一、證券公司數據應用現狀——以代銷業務為例

　　金融產品代(dai)銷業務(wu)(wu)致力于解決(jue)證券公(gong)(gong)司(si)(si)理(li)財(cai)(cai)服務(wu)(wu)和投資者財(cai)(cai)富(fu)配置需求之間的矛盾(dun)，是證券公(gong)(gong)司(si)(si)財(cai)(cai)富(fu)管理(li)轉型的關(guan)鍵業務(wu)(wu)之一。業務(wu)(wu)流程涉及證券公(gong)(gong)司(si)(si)內外部多方主體，數據(ju)呈多元形態(tai)，智能投顧、大數據(ju)風控、客戶畫像、精(jing)準營銷等(deng)技術廣泛應用(yong)，對于分析證券公(gong)(gong)司(si)(si)數據(ju)應用(yong)具有典型意(yi)義。

　　（一(yi)）證券公司代銷(xiao)業務數據處理概述

　　雖然不(bu)同類型(xing)金(jin)融產品在(zai)結構(gou)、適當性(xing)門檻以及銷售要求(qiu)上有所(suo)不(bu)同，但(dan)整(zheng)體業務環節管(guan)控和數據處理要求(qiu)、規范(fan)趨于一致(zhi)。

　　從金融產(chan)(chan)品代銷(xiao)業務場(chang)(chang)景(jing)切(qie)入(ru)，由點及(ji)面，證券行(xing)業數(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)應用(yong)呈現以下(xia)四大主要(yao)特征：一是數(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)多(duo)元化(hua)、體量規(gui)(gui)模(mo)化(hua)。證券行(xing)業數(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)類(lei)型(xing)、結(jie)構、載體、主體呈現出多(duo)元化(hua)發展趨勢(shi)，其中不乏重要(yao)的敏感信(xin)息，且數(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)規(gui)(gui)模(mo)總體呈爆發式增(zeng)長。二是流通環節多(duo)、流動能(neng)力強。從數(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)收集、加工、處理(li)、匯聚融合到使用(yong)、報備，涉(she)及(ji)復雜的數(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)流轉(zhuan)和(he)產(chan)(chan)業鏈(lian)眾多(duo)參與(yu)方(fang)，部分數(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)還面臨(lin)跨境流轉(zhuan)。三是數(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)應用(yong)和(he)需(xu)求(qiu)場(chang)(chang)景(jing)多(duo)樣。大數(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)、云計算(suan)、人工智能(neng)等新興(xing)技術在風控、研發、營銷(xiao)、監管(guan)等多(duo)場(chang)(chang)景(jing)得以廣(guang)泛應用(yong)，盤活和(he)豐富了證券公司數(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)資產(chan)(chan)。四是數(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)合規(gui)(gui)、數(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)安全形勢(shi)嚴峻。當前數(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)治理(li)各類(lei)配套設施、政策、法(fa)律(lv)法(fa)規(gui)(gui)、安全技術尚不健全。

　　（二）證(zheng)券公司代(dai)銷業務數據處理分析(xi)    

　　從數(shu)(shu)據(ju)(ju)(ju)類(lei)型看(kan)，其(qi)包(bao)括企(qi)(qi)業(ye)信(xin)息(xi)和(he)個人(ren)信(xin)息(xi)。企(qi)(qi)業(ye)信(xin)息(xi)包(bao)括企(qi)(qi)業(ye)基本信(xin)息(xi)、經營信(xin)息(xi)、信(xin)用(yong)信(xin)息(xi)；個人(ren)信(xin)息(xi)含有大量個人(ren)敏感信(xin)息(xi)，如財產、生物(wu)識別、身份、位置等(deng)信(xin)息(xi)。從數(shu)(shu)據(ju)(ju)(ju)處理(li)目的看(kan)，其(qi)包(bao)括滿足(zu)業(ye)務(wu)流(liu)程需要，使用(yong)銷售渠道所需，監管和(he)自律組織履行(xing)職責(ze)，數(shu)(shu)據(ju)(ju)(ju)的商業(ye)應用(yong)，以及滿足(zu)數(shu)(shu)據(ju)(ju)(ju)安全(quan)要求。從數(shu)(shu)據(ju)(ju)(ju)處理(li)行(xing)為看(kan)，其(qi)包(bao)括數(shu)(shu)據(ju)(ju)(ju)收(shou)集、使用(yong)、存(cun)儲(chu)、傳輸、共享、刪(shan)除等(deng)數(shu)(shu)據(ju)(ju)(ju)全(quan)生命周期活(huo)動，數(shu)(shu)據(ju)(ju)(ju)使用(yong)行(xing)為呈(cheng)現多樣化，如去標(biao)識化、匿名化、用(yong)戶畫(hua)像(xiang)、數(shu)(shu)據(ju)(ju)(ju)融合等(deng)。從數(shu)(shu)據(ju)(ju)(ju)處理(li)的合法基礎看(kan)，證券公司(si)代(dai)銷業(ye)務(wu)數(shu)(shu)據(ju)(ju)(ju)處理(li)有時是(shi)履行(xing)合同義務(wu)和(he)法定(ding)義務(wu)的需要，有時以征得數(shu)(shu)據(ju)(ju)(ju)主體同意作為前提。

　　二、證券行業數據合規管理體系構建和實施要點

　　《數(shu)據(ju)安全法(fa)(fa)》和《個人信息保(bao)(bao)護法(fa)(fa)》的(de)出臺，標志(zhi)著我國數(shu)據(ju)安全和個人信息保(bao)(bao)護進入更(geng)加制度化(hua)、規范(fan)化(hua)的(de)新時代(dai)。證券(quan)行業數(shu)據(ju)應(ying)用(yong)合規管理體系構建需同時滿足通用(yong)數(shu)據(ju)保(bao)(bao)護法(fa)(fa)律規定和金(jin)融行業監管特別要求。

　　（一）數據應(ying)用(yong)合規管理體系框(kuang)架

　　證券公司(si)數據(ju)(ju)應(ying)用合(he)規(gui)(gui)(gui)管(guan)(guan)理(li)體(ti)(ti)系(xi)的構建應(ying)當(dang)遵循以下基本(ben)原則：一是(shi)建立(li)“一體(ti)(ti)化”管(guan)(guan)理(li)機制，統一管(guan)(guan)理(li)，統一設計(ji)和實(shi)施，納入全(quan)面合(he)規(gui)(gui)(gui)和風險(xian)管(guan)(guan)理(li)體(ti)(ti)系(xi)。二是(shi)立(li)足(zu)數據(ju)(ju)安(an)全(quan)底(di)線(xian)，充分尊重金融消(xiao)費者個人信(xin)息(xi)權利。三是(shi)制定全(quan)生命周期和全(quan)業務流程的合(he)規(gui)(gui)(gui)管(guan)(guan)理(li)措施，并融入業務運營、數據(ju)(ju)治理(li)、合(he)規(gui)(gui)(gui)管(guan)(guan)理(li)、全(quan)面風險(xian)管(guan)(guan)理(li)的組織框架中予以落實(shi)。四是(shi)吸收(shou)先進數據(ju)(ju)安(an)全(quan)技(ji)術和數據(ju)(ju)管(guan)(guan)理(li)技(ji)術，用好技(ji)術工具(ju)。

　　（二）數據應(ying)用合規管理(li)措施要點

　　結合國際(ji)通(tong)行(xing)(xing)的數(shu)據(ju)應用合規(gui)要求以及我國現行(xing)(xing)監管制(zhi)度，證券行(xing)(xing)業數(shu)據(ju)合規(gui)管理可(ke)采取以下措施。

　　1．數據收集

　　證券公司(si)收集(ji)的(de)數據幾乎涵蓋《個(ge)人(ren)金融信(xin)息保護技術規范》（JR/T0171－2020）劃(hua)分的(de)C1、C2、C3全部類別個(ge)人(ren)金融信(xin)息，并涉及《個(ge)人(ren)信(xin)息保護法(fa)》規定(ding)的(de)敏(min)感個(ge)人(ren)信(xin)息。

　　收集(ji)個(ge)(ge)(ge)人(ren)信息(xi)(xi)(xi)(xi)應(ying)(ying)當滿足最小(xiao)必要原則，即所收集(ji)個(ge)(ge)(ge)人(ren)信息(xi)(xi)(xi)(xi)的(de)(de)(de)類(lei)型與實(shi)現產(chan)品(pin)或服務(wu)的(de)(de)(de)業務(wu)功能(neng)直接(jie)關聯(lian)。除(chu)存在履行法(fa)定(ding)(ding)義務(wu)等其他合法(fa)性依據外，證(zheng)券(quan)公司(si)(si)應(ying)(ying)確保(bao)個(ge)(ge)(ge)人(ren)信息(xi)(xi)(xi)(xi)收集(ji)和(he)(he)(he)后續(xu)處理(li)(li)活動獲得(de)個(ge)(ge)(ge)人(ren)的(de)(de)(de)知情同意(yi)(yi)。證(zheng)券(quan)公司(si)(si)應(ying)(ying)重點關注(zhu)《個(ge)(ge)(ge)人(ren)信息(xi)(xi)(xi)(xi)保(bao)護法(fa)》中明(ming)確規定(ding)(ding)需獲得(de)單獨同意(yi)(yi)的(de)(de)(de)特(te)定(ding)(ding)情形（處理(li)(li)敏(min)感(gan)個(ge)(ge)(ge)人(ren)信息(xi)(xi)(xi)(xi)、跨(kua)境傳輸個(ge)(ge)(ge)人(ren)信息(xi)(xi)(xi)(xi)等）和(he)(he)(he)相關法(fa)律(lv)、行政法(fa)規規定(ding)(ding)應(ying)(ying)獲得(de)書面同意(yi)(yi)的(de)(de)(de)特(te)定(ding)(ding)情形。此(ci)外，APP成為數據安(an)全執法(fa)部門和(he)(he)(he)行業監管(guan)部門的(de)(de)(de)執法(fa)重點。證(zheng)券(quan)公司(si)(si)應(ying)(ying)重點關注(zhu)APP合規實(shi)踐(jian)，將個(ge)(ge)(ge)人(ren)信息(xi)(xi)(xi)(xi)保(bao)護理(li)(li)念和(he)(he)(he)措(cuo)施(shi)落實(shi)到(dao)產(chan)品(pin)設計、上線(xian)、應(ying)(ying)用、運(yun)維、迭代、下線(xian)等生(sheng)命周期各環節。

　　2．數據使用

　　證券公(gong)司(si)數(shu)據(ju)應(ying)用(yong)場景呈現多(duo)樣化發展趨勢，很多(duo)證券公(gong)司(si)在(zai)早期(qi)大數(shu)據(ju)風控的基(ji)礎上(shang)，又(you)推出(chu)各類精準營銷應(ying)用(yong)，并(bing)加(jia)速(su)布局智能理(li)財組(zu)合管理(li)、智能投顧、過程智能跟蹤診(zhen)斷(duan)等領域。

　　證券公(gong)司應(ying)夯實數據使(shi)用環節(jie)的(de)安全保護(hu)措施。如根據信息(xi)系統的(de)等級保護(hu)定級和(he)是否被認定為(wei)關鍵信息(xi)基礎設施，落實相應(ying)的(de)數據分類、容災備份、加(jia)密、防危(wei)害技術(shu)措施、訪問控制(zhi)和(he)審(shen)批機制(zhi)、角色分離(li)、展示限制(zhi)、數據水印(yin)、安全事件應(ying)急(ji)預(yu)案、具有輿(yu)論屬(shu)性或(huo)社會(hui)動(dong)員能力(li)算法推薦(jian)服(fu)務(wu)安全評估和(he)備案等。

　　此外，證券公司應重點關注數(shu)(shu)據(ju)主體權(quan)(quan)利保護，尤其關注自(zi)動化(hua)決(jue)(jue)(jue)(jue)策和數(shu)(shu)據(ju)融(rong)合(he)(he)。例如，通過自(zi)動化(hua)決(jue)(jue)(jue)(jue)策方(fang)式向(xiang)個人(ren)進行信息推送、商(shang)業營銷，應同時提(ti)供(gong)通用選項和便捷的拒絕方(fang)式；保證決(jue)(jue)(jue)(jue)策的透明(ming)度和結果公平、公正，不得實行不合(he)(he)理的差別待遇；對(dui)個人(ren)權(quan)(quan)益有重大影響的決(jue)(jue)(jue)(jue)定，確保個人(ren)有權(quan)(quan)要求予以(yi)說(shuo)明(ming)，并有權(quan)(quan)拒絕僅通過自(zi)動化(hua)決(jue)(jue)(jue)(jue)策的方(fang)式作出(chu)決(jue)(jue)(jue)(jue)定。

　　3．數據共享

　　證(zheng)券公司一方(fang)面需(xu)向(xiang)客戶披露金融產(chan)品(pin)相(xiang)關信息，另一方(fang)面需(xu)向(xiang)委托人(ren)共享客戶基本(ben)信息，向(xiang)監管(guan)部門和自(zi)律(lv)組織(zhi)履行數據(ju)報送義務(wu)(wu)。證(zheng)券公司還會(hui)在線上業務(wu)(wu)場景中應用第三方(fang)服(fu)務(wu)(wu)來提升安全、優化體驗、打造(zao)業務(wu)(wu)閉環，實名(ming)認證(zheng)、人(ren)臉(lian)識別、活體檢(jian)測(ce)幾(ji)乎(hu)成為線上業務(wu)(wu)標配。

　　個人信(xin)息共(gong)享(xiang)(xiang)合規要求(qiu)可歸(gui)納為取得個人的知情(qing)同(tong)意、與接(jie)收方劃分責任義務、開展安全影響評估、留存共(gong)享(xiang)(xiang)記(ji)錄、協助數(shu)據主體(ti)行使權利五個方面。證券公司(si)應當(dang)區分共(gong)享(xiang)(xiang)數(shu)據的類型和(he)(he)數(shu)據共(gong)享(xiang)(xiang)對象，識(shi)別和(he)(he)落(luo)實不(bu)同(tong)的合規要求(qiu)。

　　4．數據委托處理

　　《個人信(xin)息保護法》對(dui)于數據處(chu)(chu)理(li)的(de)(de)委(wei)(wei)托(tuo)(tuo)(tuo)(tuo)方和(he)受委(wei)(wei)托(tuo)(tuo)(tuo)(tuo)方施以不同的(de)(de)責任要(yao)求，證券(quan)公司(si)應根據其具體角(jiao)色(se)落實(shi)相應的(de)(de)合(he)規(gui)(gui)義務，通(tong)過(guo)(guo)合(he)同文本明確約(yue)定。作為委(wei)(wei)托(tuo)(tuo)(tuo)(tuo)方時，可通(tong)過(guo)(guo)技術手段監督受托(tuo)(tuo)(tuo)(tuo)方的(de)(de)個人信(xin)息處(chu)(chu)理(li)活(huo)動。實(shi)踐中由于業(ye)務數據高度敏感，證券(quan)公司(si)對(dui)委(wei)(wei)托(tuo)(tuo)(tuo)(tuo)第(di)三方處(chu)(chu)理(li)數據持謹慎(shen)態度，數據處(chu)(chu)理(li)基本由內部(bu)人員(yuan)開展(zhan)或(huo)在公司(si)內部(bu)技術環境中落地。外(wai)包人員(yuan)或(huo)外(wai)部(bu)系(xi)統接入(ru)和(he)訪問(wen)權(quan)限受到嚴格限制，且需經(jing)過(guo)(guo)法律(lv)、業(ye)務、合(he)規(gui)(gui)部(bu)門審批。

　　5．數據轉讓和公(gong)開披露

　　金融行(xing)業屬于(yu)強監管行(xing)業，如(ru)證券公司發生(sheng)收購、兼(jian)并、重組等情況并致(zhi)數據(ju)轉(zhuan)讓(rang)，證券公司應(ying)當向(xiang)個人履行(xing)告(gao)知(zhi)義務(wu)，并將(jiang)數據(ju)移交至主(zhu)管部門(men)指定機構。

　　證券行業數據(ju)高度敏感(gan)，通常(chang)不會公開披露(lu)(lu)。如有披露(lu)(lu)必要(yao)，證券公司應確保取得(de)客(ke)戶(hu)單獨(du)同(tong)意，且事(shi)先開展保護(hu)影響評估(gu)。

　　6．數(shu)據傳(chuan)輸(shu)、存儲和刪除

　　證券公(gong)司依法(fa)應當保(bao)存(cun)(cun)業務活動資料，期(qi)限(xian)一般不少于(yu)20年。期(qi)間證券公(gong)司有必要(yao)落(luo)實數(shu)據(ju)傳(chuan)輸(shu)、存(cun)(cun)儲(chu)(chu)和(he)(he)刪除相關的(de)數(shu)據(ju)合規要(yao)求。采用數(shu)據(ju)本地存(cun)(cun)儲(chu)(chu)、去標識(shi)化、備份、加密傳(chuan)輸(shu)、管理存(cun)(cun)儲(chu)(chu)介質(zhi)等安(an)全(quan)技術措施(shi)；建立(li)完整配套的(de)數(shu)據(ju)銷毀、刪除機制，確保(bao)數(shu)據(ju)滿足存(cun)(cun)儲(chu)(chu)最小必要(yao)。法(fa)律、行政法(fa)規規定的(de)保(bao)存(cun)(cun)期(qi)限(xian)未(wei)屆滿，或(huo)者(zhe)刪除個人信息從技術上難以(yi)實現的(de)，證券公(gong)司亦應停止(zhi)除存(cun)(cun)儲(chu)(chu)和(he)(he)采取必要(yao)的(de)安(an)全(quan)保(bao)護措施(shi)之(zhi)外的(de)數(shu)據(ju)處理活動。

　　7．數據安全管理

　　證(zheng)券公(gong)司(si)(si)應(ying)從(cong)組織結構(gou)與人員(yuan)管(guan)理(li)(li)、第三方機構(gou)管(guan)理(li)(li)、網絡安(an)全等級(ji)保護、數(shu)據分類分級(ji)、數(shu)據處理(li)(li)活動(dong)評估制(zhi)度(du)和(he)安(an)全檢測與審計(ji)等方面，構(gou)建完善的數(shu)據安(an)全管(guan)理(li)(li)制(zhi)度(du)。數(shu)據安(an)全管(guan)理(li)(li)措施應(ying)與數(shu)據類型(xing)、重(zhong)要性和(he)敏(min)感(gan)程度(du)相匹配(pei)。證(zheng)券公(gong)司(si)(si)應(ying)優先落實數(shu)據分級(ji)分類工作，同(tong)步構(gou)建其他合(he)規機制(zhi)，使各項制(zhi)度(du)互(hu)相勾稽(ji)、各為(wei)輔助。

　　8．數據安全事件應急處置

　　當前證券公司多已(yi)制訂網絡(luo)安全、信息(xi)系統突(tu)發事件應(ying)急預(yu)案，為平(ping)衡精細(xi)化(hua)處置和(he)節約合(he)規(gui)成(cheng)本，可將數(shu)據安全事件納入已(yi)有合(he)規(gui)制度體系。如有案例(li)事件上報必要，證券公司應(ying)詳盡確認上報具體部門以及是(shi)否存在執法聯(lian)動機制。

　　9．數據主(zhu)體權利要求響應(ying)

　　證(zheng)券公司應為數據(ju)主體行(xing)使權利設置響應機(ji)制，重點關注響應流程是否(fou)便捷、易(yi)操作。應重點關注和保障(zhang)數據(ju)主體刪除權，對法律法規(gui)要求(qiu)必須存儲的(de)數據(ju)，停止除存儲和必要安全保護措施(shi)之(zhi)外(wai)的(de)其他處理活(huo)動。

　　10．數據(ju)跨境傳輸(shu)

　　外資證券(quan)(quan)(quan)公(gong)(gong)司(si)存在數據跨境傳輸(shu)的切實需求，盡管有監管部(bu)門(men)進行(xing)窗口指導，仍(reng)待出(chu)臺適合行(xing)業特征的公(gong)(gong)開指引或細則作為規制證券(quan)(quan)(quan)業數據跨境傳輸(shu)的長效機制。實踐中，外資證券(quan)(quan)(quan)公(gong)(gong)司(si)多已采(cai)取嚴格內控流程。證券(quan)(quan)(quan)公(gong)(gong)司(si)應積極跟蹤(zong)監管動態，與行(xing)業和數據監管部(bu)門(men)保持良好的溝通。

　　三、證券行業數據應用合規面臨的困難

　　本文(wen)選(xuan)取具有典型特征的七家(jia)證(zheng)券公司（含兩家(jia)外(wai)資證(zheng)券公司）進行深度訪談(tan)，并向多家(jia)證(zheng)券公司開(kai)展問卷調研，發現證(zheng)券行業(ye)數據合規困難主(zhu)要(yao)表現在監(jian)管數據報(bao)送、數據分類(lei)分級(ji)和數據跨境傳(chuan)輸三方面。

　　（一）監管數據報送

　　一是數(shu)(shu)(shu)據報(bao)(bao)(bao)送合(he)法(fa)性基礎存(cun)在(zai)疑問。現行數(shu)(shu)(shu)據報(bao)(bao)(bao)送義務的(de)法(fa)律(lv)層級較低，而法(fa)律(lv)層面(mian)的(de)規(gui)定不明確。此(ci)外(wai)，報(bao)(bao)(bao)送范圍是否符合(he)最(zui)小(xiao)必要原則(ze)、知情同意是否“有效”履行均存(cun)在(zai)不確定狀(zhuang)態。二是存(cun)在(zai)實踐操作困難。實踐操作中存(cun)在(zai)多頭重復報(bao)(bao)(bao)送、數(shu)(shu)(shu)據口徑及計算邏輯不明、報(bao)(bao)(bao)送溝通(tong)程序待完(wan)善等問題。多數(shu)(shu)(shu)據報(bao)(bao)(bao)送系統(tong)報(bao)(bao)(bao)送成(cheng)本高，且影響(xiang)(xiang)報(bao)(bao)(bao)送數(shu)(shu)(shu)據的(de)及時(shi)性、準確性和數(shu)(shu)(shu)據質量，影響(xiang)(xiang)監(jian)管效率。

　　（二）數據分類分級

　　一是現(xian)(xian)有標準《證(zheng)券期(qi)貨業數據(ju)分(fen)(fen)類(lei)分(fen)(fen)級指引》等出臺時間較早，不能完全體現(xian)(xian)法規最(zui)新要(yao)求，指導意(yi)義有限。二是數據(ju)分(fen)(fen)類(lei)分(fen)(fen)級要(yao)求根據(ju)人員權限和數據(ju)類(lei)型采取(qu)區別保護措(cuo)施，技(ji)術(shu)要(yao)求較高，后(hou)期(qi)管理與維護成本高、負擔(dan)重。

　　（三）數據跨(kua)境傳輸

　　一是證(zheng)券(quan)公司IT網絡部署的(de)國密化(hua)監管(guan)要求導致外資(zi)證(zheng)券(quan)公司合規成本高、困難(nan)大。二是出境需要遵(zun)循的(de)規則和(he)程序等缺少具體透明的(de)指引，依賴監管(guan)部門窗(chuang)口指導，難(nan)以形(xing)成長效機制。

　　四、提升證券行業數據應用合規水平的政策建議

　　（一）配套并(bing)完善證券行業數據合規(gui)具體(ti)規(gui)則

　　《數據安全(quan)法》和(he)《個(ge)人信息保護(hu)法》相繼出臺并提出新(xin)的(de)數據合規管理要求，但許多內容仍是理念(nian)性、概念(nian)性、原則性的(de)，需要監管機(ji)構和(he)自律(lv)組織明確相關(guan)標準(zhun)，指導實(shi)踐落地。

　　一是應全面梳(shu)理(li)(li)正常(chang)開展(zhan)(zhan)證(zheng)券業務(wu)、履(lv)行監(jian)(jian)(jian)(jian)(jian)管(guan)(guan)(guan)(guan)義(yi)(yi)務(wu)所必需的(de)(de)數(shu)(shu)據(ju)(ju)(ju)(ju)，形成清(qing)單(dan)，對(dui)數(shu)(shu)據(ju)(ju)(ju)(ju)的(de)(de)收集、使(shi)用、委托處理(li)(li)、共(gong)(gong)(gong)享、轉(zhuan)讓、公(gong)開披露、存(cun)儲、刪除與(yu)銷(xiao)毀等環節(jie)數(shu)(shu)據(ju)(ju)(ju)(ju)處理(li)(li)的(de)(de)目的(de)(de)、范圍和(he)(he)(he)方式予以(yi)明(ming)確規(gui)定(ding)(ding)并公(gong)開。考慮證(zheng)券行業特點，如信(xin)(xin)(xin)義(yi)(yi)義(yi)(yi)務(wu)和(he)(he)(he)信(xin)(xin)(xin)息(xi)隔離墻要求，設計對(dui)數(shu)(shu)據(ju)(ju)(ju)(ju)處理(li)(li)的(de)(de)合(he)理(li)(li)限(xian)制(zhi)。二是應基于行業模型的(de)(de)數(shu)(shu)據(ju)(ju)(ju)(ju)治理(li)(li)框架統籌證(zheng)券業務(wu)與(yu)信(xin)(xin)(xin)息(xi)保護的(de)(de)要求，提(ti)供和(he)(he)(he)諧、細化(hua)、可(ke)操作的(de)(de)數(shu)(shu)據(ju)(ju)(ju)(ju)分類分級標準(zhun)。建立集中的(de)(de)監(jian)(jian)(jian)(jian)(jian)管(guan)(guan)(guan)(guan)大數(shu)(shu)據(ju)(ju)(ju)(ju)共(gong)(gong)(gong)享平臺(tai)，實現(xian)“一套報(bao)(bao)表、一個入(ru)口”報(bao)(bao)送(song)數(shu)(shu)據(ju)(ju)(ju)(ju)，由(you)監(jian)(jian)(jian)(jian)(jian)管(guan)(guan)(guan)(guan)機(ji)構(gou)和(he)(he)(he)自律組(zu)織內(nei)部按權(quan)限(xian)使(shi)用，監(jian)(jian)(jian)(jian)(jian)管(guan)(guan)(guan)(guan)機(ji)構(gou)之間(jian)(jian)建立數(shu)(shu)據(ju)(ju)(ju)(ju)共(gong)(gong)(gong)享通道(dao)，避免重復多頭報(bao)(bao)送(song)。三是應彌合(he)現(xian)有(you)法(fa)律法(fa)規(gui)之間(jian)(jian)縫(feng)隙。解(jie)決(jue)證(zheng)券監(jian)(jian)(jian)(jian)(jian)管(guan)(guan)(guan)(guan)法(fa)規(gui)與(yu)信(xin)(xin)(xin)息(xi)保護法(fa)規(gui)間(jian)(jian)協調問(wen)題，厘清(qing)數(shu)(shu)據(ju)(ju)(ju)(ju)權(quan)屬，明(ming)確個人信(xin)(xin)(xin)息(xi)定(ding)(ding)義(yi)(yi)中“已識別”“可(ke)識別”在(zai)具體(ti)場景下的(de)(de)判定(ding)(ding)。推動(dong)上位(wei)法(fa)修訂，明(ming)確監(jian)(jian)(jian)(jian)(jian)管(guan)(guan)(guan)(guan)機(ji)構(gou)和(he)(he)(he)自律組(zu)織的(de)(de)數(shu)(shu)據(ju)(ju)(ju)(ju)采集職權(quan)，以(yi)及證(zheng)券公(gong)司的(de)(de)數(shu)(shu)據(ju)(ju)(ju)(ju)報(bao)(bao)送(song)義(yi)(yi)務(wu)。四是應出臺(tai)數(shu)(shu)據(ju)(ju)(ju)(ju)跨境傳(chuan)輸指引。監(jian)(jian)(jian)(jian)(jian)管(guan)(guan)(guan)(guan)部門(men)在(zai)個案窗口指導之外(wai)，應盡快出臺(tai)金融行業數(shu)(shu)據(ju)(ju)(ju)(ju)跨境傳(chuan)輸指引，為企業合(he)法(fa)合(he)規(gui)開展(zhan)(zhan)數(shu)(shu)據(ju)(ju)(ju)(ju)跨境傳(chuan)輸活(huo)動(dong)提(ti)供指導。監(jian)(jian)(jian)(jian)(jian)管(guan)(guan)(guan)(guan)部門(men)積極參與(yu)相關(guan)國(guo)際規(gui)則和(he)(he)(he)標準(zhun)制(zhi)定(ding)(ding)，與(yu)其他國(guo)家監(jian)(jian)(jian)(jian)(jian)管(guan)(guan)(guan)(guan)部門(men)共(gong)(gong)(gong)同探索數(shu)(shu)據(ju)(ju)(ju)(ju)跨境自由(you)流(liu)動(dong)路徑。

　　（二(er)）打造并完善行業數據(ju)管理生態體系

　　一是(shi)(shi)應(ying)(ying)(ying)建立行(xing)(xing)(xing)業(ye)內常態交(jiao)流機制，發布行(xing)(xing)(xing)業(ye)最(zui)佳(jia)實(shi)踐。證(zheng)券(quan)公(gong)司(si)(si)對(dui)于數(shu)(shu)據(ju)(ju)(ju)治理(li)(li)的(de)(de)(de)(de)重視程度(du)不(bu)同，治理(li)(li)能(neng)力和綜合(he)(he)實(shi)力也存在(zai)一定差距。匯(hui)集(ji)行(xing)(xing)(xing)業(ye)數(shu)(shu)據(ju)(ju)(ju)合(he)(he)規(gui)(gui)的(de)(de)(de)(de)正(zheng)反(fan)面(mian)案例(li)，積(ji)累形(xing)成(cheng)行(xing)(xing)(xing)業(ye)知識庫，提高(gao)行(xing)(xing)(xing)業(ye)整體(ti)數(shu)(shu)據(ju)(ju)(ju)合(he)(he)規(gui)(gui)水平。二是(shi)(shi)應(ying)(ying)(ying)協調建立第三方服務商(shang)與(yu)(yu)證(zheng)券(quan)公(gong)司(si)(si)在(zai)數(shu)(shu)據(ju)(ju)(ju)合(he)(he)規(gui)(gui)義務方面(mian)規(gui)(gui)范的(de)(de)(de)(de)權利義務分配(pei)規(gui)(gui)則，形(xing)成(cheng)協議范本(ben)，明確第三方服務商(shang)應(ying)(ying)(ying)采取的(de)(de)(de)(de)技術保護措(cuo)施，配(pei)合(he)(he)證(zheng)券(quan)公(gong)司(si)(si)數(shu)(shu)據(ju)(ju)(ju)合(he)(he)規(gui)(gui)義務的(de)(de)(de)(de)底線，減少證(zheng)券(quan)公(gong)司(si)(si)合(he)(he)規(gui)(gui)隱患和成(cheng)本(ben)。三是(shi)(shi)應(ying)(ying)(ying)設(she)置科學的(de)(de)(de)(de)培訓(xun)課程、考核與(yu)(yu)認證(zheng)體(ti)系、職業(ye)規(gui)(gui)范與(yu)(yu)保障制度(du)等，培養具(ju)備金(jin)融市場、法律、信息技術等復(fu)合(he)(he)背景(jing)的(de)(de)(de)(de)綜合(he)(he)性(xing)數(shu)(shu)據(ju)(ju)(ju)治理(li)(li)人才(cai)。四是(shi)(shi)銀行(xing)(xing)(xing)業(ye)在(zai)大數(shu)(shu)據(ju)(ju)(ju)應(ying)(ying)(ying)用和數(shu)(shu)據(ju)(ju)(ju)治理(li)(li)方面(mian)起步早、投入高(gao)、發展快(kuai)，其(qi)合(he)(he)規(gui)(gui)實(shi)踐對(dui)證(zheng)券(quan)公(gong)司(si)(si)參考價值大。為最(zui)大限度(du)提高(gao)金(jin)融行(xing)(xing)(xing)業(ye)數(shu)(shu)字化程度(du)，應(ying)(ying)(ying)統一管理(li)(li)標準，推(tui)動跨(kua)機構、跨(kua)領(ling)域的(de)(de)(de)(de)金(jin)融數(shu)(shu)據(ju)(ju)(ju)融合(he)(he)、共享和應(ying)(ying)(ying)用。

　　（三）行業機構(gou)規(gui)范落實數據合規(gui)要求，穩健經營

　　一是(shi)密(mi)切(qie)跟蹤立法動態，完善數(shu)(shu)據應用(yong)規(gui)定。證券公(gong)司應當制定并完善數(shu)(shu)據合規(gui)管理(li)(li)制度(du)體(ti)系，將數(shu)(shu)據應用(yong)流程融(rong)入日常經營，有效(xiao)履(lv)行(xing)金融(rong)信息安(an)全保護職(zhi)責(ze)，履(lv)行(xing)好(hao)數(shu)(shu)據出境等合規(gui)要求。二是(shi)切(qie)實做好(hao)數(shu)(shu)據分(fen)類(lei)(lei)(lei)分(fen)級管理(li)(li)工作。實務中(zhong)明確數(shu)(shu)據分(fen)類(lei)(lei)(lei)維(wei)度(du)，對不同類(lei)(lei)(lei)別(bie)和級別(bie)的(de)數(shu)(shu)據采取相應的(de)保護措施(shi)，分(fen)類(lei)(lei)(lei)分(fen)級管理(li)(li)。三(san)是(shi)加強(qiang)數(shu)(shu)據應用(yong)技術的(de)開發與運用(yong)。在部分(fen)領域探索報(bao)送脫敏數(shu)(shu)據的(de)可行(xing)性，降(jiang)低個人信息處理(li)(li)風險。

　　*課(ke)(ke)題(ti)(ti)(ti)組簡介：課(ke)(ke)題(ti)(ti)(ti)負責人(ren)：張(zhang)海(hai)平，中(zhong)證(zheng)(zheng)機(ji)構間(jian)報價系統股(gu)(gu)份(fen)(fen)有(you)(you)限(xian)(xian)公司(si)(si)創新業(ye)(ye)(ye)(ye)務部(bu)總監(jian)，中(zhong)國(guo)證(zheng)(zheng)券業(ye)(ye)(ye)(ye)協(xie)會(hui)資管(guan)(guan)委(wei)員會(hui)委(wei)員，北(bei)京(jing)市(shi)金(jin)融科(ke)技領軍人(ren)才；薛穎，博士，北(bei)京(jing)己(ji)任(ren)律師(shi)事務所(suo)(suo)(suo)合伙(huo)人(ren)。課(ke)(ke)題(ti)(ti)(ti)組成(cheng)員包括：華仁杰，東(dong)吳證(zheng)(zheng)券股(gu)(gu)份(fen)(fen)有(you)(you)限(xian)(xian)公司(si)(si)信息(xi)技術總部(bu)總經理(li)，中(zhong)國(guo)證(zheng)(zheng)券業(ye)(ye)(ye)(ye)協(xie)會(hui)信息(xi)技術專(zhuan)業(ye)(ye)(ye)(ye)委(wei)員會(hui)委(wei)員，中(zhong)國(guo)證(zheng)(zheng)監(jian)會(hui)、上交所(suo)(suo)(suo)等核心(xin)機(ji)構的行業(ye)(ye)(ye)(ye)課(ke)(ke)題(ti)(ti)(ti)評審專(zhuan)家；吳曼(man)，招商證(zheng)(zheng)券股(gu)(gu)份(fen)(fen)有(you)(you)限(xian)(xian)公司(si)(si)法律合規(gui)(gui)部(bu)總經理(li)兼招商資管(guan)(guan)合規(gui)(gui)總監(jian)，曾任(ren)中(zhong)國(guo)證(zheng)(zheng)監(jian)會(hui)深圳監(jian)管(guan)(guan)局副處長，北(bei)京(jing)市(shi)君(jun)合（深圳）律師(shi)事務所(suo)(suo)(suo)合伙(huo)人(ren)；晉康飛，供(gong)職(zhi)于(yu)(yu)(yu)中(zhong)證(zheng)(zheng)機(ji)構間(jian)報價系統股(gu)(gu)份(fen)(fen)有(you)(you)限(xian)(xian)公司(si)(si)；呂沛、陳揚、王玉璇、葉子祎(yi)，均供(gong)職(zhi)于(yu)(yu)(yu)己(ji)任(ren)律師(shi)事務所(suo)(suo)(suo)；張(zhang)之(zhi)浩、唐淑艷，均供(gong)職(zhi)于(yu)(yu)(yu)東(dong)吳證(zheng)(zheng)券股(gu)(gu)份(fen)(fen)有(you)(you)限(xian)(xian)公司(si)(si)；閆穎超(chao)、賴騰、張(zhang)曉嬌(jiao)，均供(gong)職(zhi)于(yu)(yu)(yu)招商證(zheng)(zheng)券股(gu)(gu)份(fen)(fen)有(you)(you)限(xian)(xian)公司(si)(si)；王國(guo)蓓(bei)、陳立節、郝(hao)長偉、陳琦(qi)、李振，均供(gong)職(zhi)于(yu)(yu)(yu)畢馬威(wei)企業(ye)(ye)(ye)(ye)咨詢（中(zhong)國(guo)）有(you)(you)限(xian)(xian)公司(si)(si)。