金融数据服务业数据合规指引
金融数据服务业数据合规指引
引言
随着大数据行业的繁荣和信息技术在金融行业的广泛应用,市场对于多样化的金融数据库、金融数据分析工具以及金融深度数据的需求也日益增长,金融数据相关的信息服务业随之迅猛发展。该行业的发展通过有效整合金融业内数据资源实现产品化,从而满足机构投研、交易、风控和估值等各类业务需求,为金融数据赋予资源价值。目前,市场上受到认可的供应商如“万得”、“同花顺”,其金融数据服务业务不仅受到金融业内机构的认可,也受到了大量个人客户的青睐。
1
一
1
准入门槛
根据《国民经济行业分类 》(GB/T 4754-2017),金融信息服务属于金融业,“指向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场的信息(或者金融数据)的服务,包括征信机构服务”。因此,金融数据服务属于金融信息服务类别,适用相关的准入门槛规定。
2019年2月1日起,国家互联网信息办公室发布的《金融信息服务管理规定》正式生效,对金融信息服务提供者(“服务提供者”)的资质作出了规定:“金融信息服务提供者从事互联网新闻信息服务、法定特许或者应予以备案的金融业务,则应当取得相应资质”。服务提供者需要取得的基础的业务许可是增值电信业务经营许可证(“ICP许可证”),如果同时提供互联网新闻信息服务、证券期货业务服务,则应另外取得相应许可。
(一) 金融服务信息的外资准入
针对外国(境外)金融信息服务机构,则需要遵守《外国机构在中国境内提供金融信息服务管理规定》和《外国机构在中国境内提供金融信息服务申请许可说明》,满足规定中的资质要求,并向国家互联网信息办公室申请金融信息外国机构在中国境内提供金融信息服务的许可证书。
(二) 证券投资咨询
根据《证券、期货投资咨询管理暂行办法》的规定,为证券、期货投资人或者客户提供证券、期货投资分析、预测或者建议等直接或者间接有偿咨询服务,无论是以研讨会、讲座的形式,还是通过电话、网络等方式,都必须取得中国证监会的业务许可。部分服务提供者若取得了证监会颁发的经营证券期货业务许可证,可以同时提供许可范围内的咨询服务。
例如,股民常用炒股软件同花顺的服务就包括证券投资咨询,证监会官网公布的证券投资机构名录中,同花顺位列其中。
(三) 互联网信息服务
服务提供者通过互联网向用户有偿提供金融类数据及信息的形式比较常见,如向散户提供股指播报、财经快讯等;向机构用户提供金融数据库、定制投研系统、风控系统和估值系统等服务。在此情况下,服务提供者应当取得ICP许可证,并根据《互联网信息服务管理办法》的要求前往各地方省级通信管理局进行办理。
(四) 互联网视听节目服务
服务提供者的部分业务可能包含向用户通过互联网提供关于金融的视频或音频节目,而这些服务提供者需要根据《互联网视听节目服务管理规定》的要求取得信息网络传播视听节目许可证。如果服务提供者在自有网站或平台端,为用户提供有关金融的新闻信息服务,则还需要遵守《互联网新闻信息服务管理规定》,取得互联网新闻信息服务许可证。
1
二
1
数据来源
一般情况下,数据来源有三大类:
(一) 定向采集
银行、保险公司等金融机构因其直接面对个人客户的特性,多采取直接采集的手段,所直接获得的数据和信息多为个人身份、财产等,以及通过客户交易获得客户的交易习惯与偏好、投资意愿等数据信息。
由于金融数据服务提供者处理的元数据大部分是金融市场和金融交易相关的数据,例如股票、债券发行人的信息披露内容、交易品种、交易量、金融产品所涉的行业数据等大量来自于市场活动的非个人信息,并且金融数据服务提供者对数据量和数据广度往往有很高的要求。所以,金融数据服务提供者的数据来源中,直接采集数据的比重一般较低。
(二) 爬取
仅靠面对面采集个人信息和数据,效率较低且信息类别单一,没有指向性。爬取是目前服务提供者获取数据和信息常见途径之一。但是,服务提供者在爬取数据时,要从爬取行为和数据本身两方面进行合规判断。
在爬取行为方面,服务提供者应当遵循被爬取平台的Robots协议爬取数据,避免绕过技术性障碍,未经平台授权收集数据,或造成服务器拥堵而导致妨碍被爬取平台正常经营。如服务提供者作出上述行为,很可能涉嫌不正当竞争,卷入诉讼纠纷,并承担赔偿被爬取方的经济损失及合理诉讼开支、停止虚假宣传、消除不良影响等法律责任。如果侵入他人计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据的,情节严重的,有可能构成非法获取计算机信息系统数据罪,承担刑事责任。
对于数据本身而言,服务提供者应当注意,爬取个人信息时,服务提供者和被爬取平台均需要取得个人授权,否则是违反《网络安全法》[1]的行为,将面临接受罚款、关停业务乃至吊销证照的处罚;另外,在爬取数据后,服务提供者应当在授权范围内使用数据和信息,不得对作品进行不正当的修改或剪裁,导致侵犯他人知识产权等合法权益的情况发生。
(三) 采购
采购是金融数据流通的主要方式,合规风险也相对较低。金融数据服务提供者处理的数据量巨大,因此经常会向其他数据处理者采购数据。例如,部分金融数据服务提供者会向巨潮咨询网的运营方等采购上市公司的公开披露信息。
在采购数据时,采购方至少应注意两方面的合规。一方面,卖方应保证其提供的数据或服务内容及来源合法,且不存在侵犯他人知识产权(如著作权)的情形;另一方面,采购方应当确认所采购标的数据的使用范围、使用限制和使用期限等,是否能在合规的前提下符合采购方的实际业务需要。建议采购方在法律专家的指导下准备相关的采购合同。
1
三
1
金融数据产品设计
常见的金融数据产品或服务包含数据库应用、数据解决方案、数据接口开发、标准化数据表结构等,用于进行聚合量化、投资研究、风险控制、开发交易系统等功能。设计这些产品,不仅要满足法律规定,也要符合国家制定的国家标准和行业标准。
(一) 金融数据的定义
金融数据,是指金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据,这些数据可以用传统数据处理技术或大数据处理技术进行组织、存储、计算、分析和管理。[2]
(二) 金融数据分级分类制度
元数据是数据中的数据,一般用来对数据进行描述,方便对数据进行查找、管理和使用。[3]元数据的性质使其对于数据的分级分类具有重大作用。
《金融数据安全——数据安全分级指南》根据数据的安全性及遭到破坏后可能造成的影响,将数据分为五个等级,从一级到五级,数据安全性遭到破坏的影响逐渐变强,数据的重要性也逐渐增大。《证券期货业数据分类分级指引》则从业务条线出发,确定了证券期货业务数据的分类分级方法。
(点击图片查看大图)
对于服务提供者来说,设计产品时,应当灵活运用元数据,对数据进行初步的说明和管理,再遵循分类分级标准进行分类分级。对级别较高的数据,予以更严密的保护措施。如业务信息大类下,保险业务类中的特殊风险标的信息,因涉及航空、航天、核电站和石油开发等相关数据,最低参考安全级别为四级。四级数据一般只针对特定人员公开,在产品中使用此类数据,应当采取全部脱敏的措施,再投入产品的使用当中。如果评定时数据级别已经达到五级,一旦泄露会对公众权益造成严重影响,或对国家安全造成影响,此类数据则不应投入到制作金融服务产品之中。
(三) 禁止的情况
《金融信息服务管理规定》第八条[5]对服务提供者作出禁止性规定,凡是服务提供者在开展业务时,设计的产品中有散布虚假信息、欺诈、影响金融市场稳定、乃至危害国家安全的现象,一律将受到国家或地方的互联网信息办公室的惩戒、处罚,根据服务提供者的具体违法情节,可能会被列入失信名单;构成犯罪的,将被依法追究刑事责任。
服务提供者应当在产品设计期间注重数据的真实性及可靠性,防止从数据中提取虚假信息,并在售后做好数据库及产品的维护,以免触碰法律红线。
(四) 生命周期管理
数据是具有生命周期的,从开始采集、传输、储存、使用到最后的删除或销毁,各个环节都有一定的安全防护要求,服务提供者可以参考行业标准《金融数据安全——数据生命周期安全规范》(JR/T022——2021)对数据从产生至消亡的全流程进行管理。
数据采集时应明确双方在数据安全方面的责任和义务,明确采集的范围、数据来的来源等,如果数据的级别较高,需要采取技术措施增强验证。数据传输时要加强网络传输安全,可以采取身份认证、数字签名等方法,确保传输双方是可信任的,在传输过程中完全保密并传输完整的数据。在传输后,数据的存储安全也需要服务提供者安排必要的技术措施,确保数据安全备份,并建立数据恢复功能。数据使用期间则需要两道防线,即组织保障和运维保障,需要建立完善的人员管理制度,并对访问权限进行控制,在使用数据期间持续进行安全监测。
相关服务提供者可以通过上述一系列措施,实现对数据全生命周期的安全管控。
(五) 跨境处理
《个人金融信息保护技术规范》与《个人信息保护法》的精神相一致,对个人金融信息也确立境内储存原则,并同时要求,如确实需要向境外公司(含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构)提供,应进行个人金融信息安全评估,确保境外机构数据安全保护能力达到要求,并通过与境外机构签订协议、现场核查等方式,监督境外机构履行数据保密、删除和协查义务。
另外,证券业作为金融业内主要分支,2020年3月施行的《证券法》对证券期货的监管做了全面而详细的规定。笔者理解,对于证券业数据跨境问题,应秉持两个原则:第一个原则是与境外证券监管机构建立监督管理合作机制,共同对跨境数据进行管理;第二个原则是未经证监会和其他有关主管部门同意,数据不得擅自出境。但这一规定相对笼统,有待更为细化的法律依据出台。金融数据的跨境传输涉及国家金融安全,除个人金融信息跨境传输的规定外,其他金融数据的跨境传输法律规定,有待进一步完善。
1
四
1
金融数据交易合规
交易是金融信息服务提供者开展业务时必不可少的一环,一般分为两个模式,即点对点进行交易,和通过数据交易所进行交易,二者各有风险防控要点。
(一) 点对点交易合规要点
签订数据服务合同时,应当在合同中明确数据的使用范围和数据的来源。另外,针对金融行业信息变化速度快的特点,要在合同中对数据信息的完整性、准确性和及时性作出书面约定。
如果是提供投研工具、金融系统等服务,则需要注意服务提供者是否对合同项下的数据及服务内容具有完全的知识产权,以及在之后使用数据时是否需要注明来源等细节要求。
(二) 通过数据交易场所交易
根据《数据安全法》及相关地方性规定,数据交易所应当建立一系列的自律监管规则。交易所应通过建立安全、可信、可控、可追溯的数据交易环境,保障双方利益,防止在交易过程中因不信任而带来不必要的麻烦和损失;应选择经审批成立的合规交易场所,在交易所的服务流程、交易规则及自律监管规则下实施数据交易,使交易各方更多一重保障。
进一步的,金融数据交易因涉及金融市场稳定、个人信息安全及国家安全的特质,除遵守交易所的自律监管规则外,部分金融数据产品可能不宜通过数据交易场所挂牌,还有待相关法规的进一步指引。
结语
计算机技术、证券行业及用户需求的多样化同时推动金融信息服务业快速发展。金融数据及信息服务已成为金融业的重要组成部分,而金融业作为关系国计民生的行业之一,一直以来都受到重点关注和有力监管。作为金融信息服务提供者,在保持业务质量的同时,关注行业政策及监管动向,才能保证在激烈的竞争中脱颖而出,稳健发展。
[注]
声明
本文旨在法规之一般性分析研究或信息分享,不构成对具体法律的分析研究和判断的任何成果,亦不作为对读者提供的任何建议或提供建议的任何基础。作者在此明确声明不对任何依据本文采取的任何作为或不作为承担责任。如需转载或引用本文的任何内容,请联系作者(fanxiaojuan@zhonglun.com); 未经作者同意,不得转载或引用本文的任何内容。
The End