绝知此事要躬行——从证券公司业务板块看证券行业数据合规(上)
绝知此事要躬行——从证券公司业务板块看证券行业数据合规(上)
近年来,为确保证券公司规范开展数据处理活动,网信办、证监会、信安标委相互协作,接连颁布了《证券期货业网络和信息安全管理办法》等部门规章以及《证券期货业数据安全管理与保护指引》等行业标准,对证券公司开展数据收集、使用、加工、共享等活动提出了相应的处理要求,从宏观层面设定了合规红线。
与此同时,证券公司各业务板块也面临着严峻的数据合规挑战。以保荐承销业务为例,《境内企业境外发行证券和上市管理试行办法》《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》等上市新规的相继出台对证券公司开展境外上市业务过程中的数据处理活动提出了一系列的合规要求。本文将以证券行业数据合规相关法律法规为基础,浅析各证券公司业务板块中的数据合规要点,并提供相应的合规建议。
一、经纪业务
经纪业务,是指证券公司通过向投资者提供股票交易等服务,以在投资者买卖股票过程中赚取佣金的业务模式。目前投资者登录各大证券公司APP并完成开户后即可享受证券公司提供的证券经纪服务。对于证券公司而言,经纪业务通常是其收入的第一大板块。在开展经纪业务过程中,证券公司应当关注如下数据合规要点。
(一)个人信息处理合法性基础构建
作为直接面向投资者提供服务的业务板块,证券公司处理的绝大多数个人信息均来源于其所开展的经纪业务。《个人信息保护法》第13条规定了7项处理个人信息的合法性基础,鉴于经纪业务开展过程中涉及大量的个人信息处理活动,是否构建了完备的个人信息处理合法性基础体系是决定该业务开展过程中合法性的首要因素。为确保经纪业务项下全部个人信息处理活动均具有合法性基础,我们理解,证券公司可以围绕以下三项个人信息处理合法性基础,构建完备的个人信息处理合法性基础体系。
第一项合法性基础为“取得个人同意”。作为适用范围最广的合法性基础,目前各大证券公司均在其主营APP登录界面放置了《隐私政策》并要求投资者进行勾选,以取得投资者对证券公司处理其个人信息的授权同意。勾选《隐私政策》可以帮助证券公司取得绝大多数个人信息处理行为的合法性基础,但该授权无法满足单独同意要求,无法作为证券公司处理敏感个人信息、对外提供个人信息等行为的合法性基础,因此证券公司还需要寻找其他合法性基础进行补足。
第二项合法性基础为“为订立、履行个人作为一方当事人的合同所必需”。依据《个人信息保护法》第13条第2款规定,以“为订立、履行个人作为一方当事人的合同所必需”作为合法性基础处理个人信息无需取得个人信息主体同意,这表明证券公司可通过此项合法性基础避免一些单独同意要求。举例而言,银行账户作为财产信息,被《个人信息安全规范》附录B明确列为敏感个人信息,依据《个人信息保护法》第29条,证券公司在开户过程中收集用户的账户信息原本需要取得用户的单独同意。但由于证券公司与用户签署的《服务协议》中通常会对证券公司提供开户服务相关内容进行约定,证券公司为协助用户绑定银行账户必须收集其银行账户信息,因此证券公司援引“为订立、履行个人作为一方当事人的合同所必需”作为此项个人信息处理行为的合法性基础,可以帮助其免于取得个人信息主体的单独同意。
第三项合法性基础为“为履行法定职责或者法定义务所必需”。证券公司作为持牌金融机构,除全国人民代表大会及其常委会制定的法律之外,国务院以及证监会制定的行政法规和部门规章规定了多项证券公司开展数据处理活动时需要遵守的义务,证券公司履行前述义务过程中可以“履行法定义务所必需”为由处理用户个人信息,例如证券公司可以依据《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》第12条,在开展经纪业务时为履行尽职调查之义务收集用户的身份信息。[1]与“为订立、履行个人作为一方当事人的合同所必需”相同,以“为履行法定职责或者法定义务所必需”作为处理个人信息的合法性基础也能够帮助证券公司在特定情况下免于取得个人信息主体的单独同意。
(二)告知同意义务的履行——《隐私政策》的起草
如上文所述,要求用户阅读并勾选《隐私政策》以征求处理其个人信息的授权同意是证券公司处理用户个人信息的第一大合法性基础。鉴于《个人信息保护法》等法律法规以及《APP违法违规收集使用个人信息行为认定方法》等部门规章对告知同意义务的履行提出了诸多合规要求,目前工信部、网信办等执法机构已针对各APP《隐私政策》起草合规情况进行了多轮通报执法。
2022年4月,国家移动互联网应用安全管理中心(CNAAC)公布消息,在其开展的互联网检测专项中发现17款移动APP存在“隐私不合规行为”,涉嫌超范围采集个人隐私信息等。[2]其中,12家证券公司的相关软件均有涉及,通报问题中的“未向用户明示申请的全部隐私权限”“注销用户账号设置不合理条件”“建立、公布个人信息安全投诉、举报渠道”等均涉及证券公司《隐私政策》起草合规性问题。由此可见,能否起草合法合规的《隐私政策》是决定证券公司能否履行好告知同意义务的重要条件。
证券公司《隐私政策》的起草可主要参考网信办发布的《APP违法违规收集使用个人信息行为认定方法》以及全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立的App违法违规收集使用个人信息专项治理工作组发布的《App违法违规收集使用个人信息自评估指南》,其中具体的起草要点包含《隐私政策》中不能使用“等”“包括但不限于”等概括性表述、各项个人信息处理目的需与处理的个人信息字段类型一一对应等。在《个人信息保护法》生效出台后,各证券公司《隐私政策》还需要遵循《个人信息保护法》中的“最小必要原则”等规定。虽然这些合规要点内容较为通俗易懂,但起草《隐私政策》过程中需要注意的合规要点数量较多,证券公司想要起草一份完全合法合规的《隐私政策》绝非易事。
(三)代销业务个人信息处理法律关系辨析
在开展经纪业务过程中,证券公司会接受许多金融机构委托代其销售非证券公司自营产品。2023年4月,一家证券公司代销22款保险产品的新闻就曾引起过多方关注,除保险产品之外,诸如证券公司理财产品、证券投资基金、银行理财产品、信托计划均可由证券公司代销。在金融产品代销过程中,证券公司作为代销机构,投资者在其APP页面点击相关金融产品链接并填写相关个人信息后,即可购买代销机构代销的金融产品,具体流程图如下:
图:金融产品代销业务合作模式与信息流
在数据合规问题上,上述业务模式的争议焦点在于如何界定金融产品发行方与代销机构之间的个人信息处理法律关系。当投资者在代销机构APP上填写投资者基本信息之后,代销机构会将投资者基本信息传输给金融产品发行方。同时,依据《证券公司代销金融产品管理规定》第12条,证券公司应当了解客户信息用以履行适当性管理义务。[3]基于前述事实与规定,代销机构与金融产品发行方之间究竟属于个人信息对外提供关系还是个人信息委托处理关系存在争议。
该项争议的焦点在于判断证券公司承担“适当性管理义务”是否会阻却其成为个人信息受托处理者。依据《网络数据安全管理条例》(征求意见稿)第73条对委托处理的定义,委托处理是指数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。在履行适当性管理义务的过程中,代销机构需通过其所收集信息评估客户购买金融产品的适当性,而金融产品发行方收集客户信息是为了向客户提供金融产品,由此可见金融产品发行方对客户信息的处理目的与代销机构不一致,这与个人信息委托处理的概念相悖。
除此之外,从商业实践角度出发,代销机构作为直接对客平台,其在与金融产品发行方在开展金融产品代销合作过程中具有优势地位,如将其解释为个人信息受托处理者,其客户信息处理活动的目的与方式均需由金融产品发行方决定,这对在合作中具有优势地位的代销机构而言往往是难以接受的。
因此将金融产品发行方与代销机构分别解释为独立的个人信息处理者更加符合实际情况,同时,将证券公司这一代销机构解释为独立的个人信息处理者,可以为其后续为开展自身业务处理这些客户的个人信息提供可能性。
二、投研业务
目前许多证券公司设有专门的研究所,用以对宏观、固收、策略、行业组等领域开展研究工作。投研业务中与数据合规关系最密切的当属研报的制作与发布,在此过程中证券公司会从诸多不同数据源处对数据进行收集与加工,最终形成研报并发布。根据我们过往的项目经验,前述环节需要注意的数据合规要点如下:
(一)爬虫技术合规
除直接从证券公司客户处收集数据以及从第三方数据源处采购数据之外,各证券公司会使用爬虫技术从其他网络运营者处爬取数据用以制作行业研报。百度、360等12家搜索引擎服务企业于2012年签署的《互联网搜索引擎服务自律公约》将爬虫程序定义为“自动爬行网络的程序”,其作用包括“索引网站内容”等。[4]从第一起爬虫相关的不正当竞争案至今,我国立法与司法领域正在持续探索爬虫行为的规制思路,综合现有立法以及过往判例,我们建议证券公司在爬取数据用以制作研报时注意如下合规要点:
1. 优先爬取公开数据
2022年12月,中共中央、国务院正式对外发布《关于构建数据基础制度更好发挥数据要素作用的意见》,明确将“探索数据产权结构性分置制度”列为加快构建数据基础制度的要求之一。[5]但由于我国数据产权制度尚未建设完毕,目前爬虫行为主要通过不正当竞争相关规则进行规制。
根据我们对既往不正当竞争判例的观察,优先爬取公开数据可以一定程度缓释数据爬取行为被认定为不正当竞争行为的风险。虽然目前《个人信息保护法》等已出台生效的法律并未对公开数据的内涵进行明确,但是在(2021)京民申5573号不正当竞争纠纷案中,[6]北京市高级人民法院将公开数据定义为“未通过登录规则或其他措施设置访问权限的数据”,对于用户登录账户后才可以在微博中访问的数据应当被认定为非公开数据。
在对公开数据的内涵进行明确后,北京市高级人民法院认为湖南Y公司使用爬虫技术爬取公开数据行为符合互联网互联互通的精神,平台方应当在一定程度上容忍他人合法收集或利用其平台中已经公开的数据。依据前述裁判精神,证券公司使用爬虫技术对互联网中的公开数据进行爬取可能因符合互联网互联互通精神,而被认定为构成不正当竞争行为的可能性较低。
2. 遵守目标网站的Robots协议
《互联网搜索引擎服务自律公约》将Robots协议定义为向网络机器人(即爬虫)给出网站指令的协议,[7]其具体查询方式为在目标网站网址后输入/robots.xt。虽然网站可以通过Robots协议规范爬虫技术使用者在其网站上爬取数据,但是鉴于《互联网搜索引擎服务自律公约》并非由立法机关颁布的规范性法律文件,Robots协议的具体效力在我国司法实践中也存在争议。
在(2017)京73民初2020号中,D平台以W平台将D平台爬虫机器人置于robots.txt黑名单中为由起诉W平台使用Robots协议禁止D平台爬取数据的行为构成不正当竞争,北京市知识产权法院认为robots协议的设立初衷在于引导网络机器人更有效地抓取对网络用户有用的信息,从而促进信息共享。W平台的涉案行为造成相关网络用户无法完整地获取相关信息,人为设置了网络信息正常流动的障碍,这与互联网行业普遍遵循的开放、平等、公平、促进信息流动的原则相悖,与网络行业互联互通的基本价值不符,损害了网络市场的竞争秩序,进而判决W平台使用Robots协议禁止D平台爬取数据的行为构成不正当竞争。[8]根据前述裁判要旨,Robots协议的合理性似乎无法得到我国法院的认可。
一审判决作出后W平台随即选择上诉,北京市高级人民法院认为Robots协议在某种意义上已经成为维系企业核心竞争力,维系市场有序竞争的一种手段。尽管Robots协议客观上可能造成对某个或某些经营者的“歧视”,但在不损害消费者利益、不损害公共利益、不损害竞争秩序的情况下,应当允许网站经营者通过Robots协议对其他网络机器人的抓取进行限制,这是网站经营者经营自主权的一种体现。[9]依据此案裁判要旨,可以看出目前司法实践认可网站经营者通过Robots协议限制爬取行为的正当性,因此证券公司在使用爬虫技术爬取其他网站中的数据时应当遵守该网站的Robots协议,以避免该数据爬取行为被认定为不正当竞争行为。
3. 避免直接爬取其他证券公司或行研机构的数据
认定不正当竞争,除了要具备一般民事侵权行为的构成要件以外,还要注意审查是否存在竞争关系,存在竞争关系是认定构成不正当竞争的条件之一。[10]因此,证券公司使用爬虫技术爬取目标网站数据时,证券公司与目标网站之间是否存在竞争关系是判断数据爬取行为是否构成不正当竞争行为的首要前提。
《北京市高级人民法院关于涉及网络知识产权案件的审理指南》第31条将竞争关系分为了两类,第一类为“经营的商品或者服务具有直接或间接的替代关系”,第二类为“经营活动存在相互交叉、依存或者其他关联关系”。[11]其中第一类竞争关系较为容易理解,目前许多证券公司会对外提供行业研报服务,倘若证券公司直接从其他证券公司处爬取行业研报数据,二者间被认定为存在竞争关系的可能性较大。对于第二类竞争关系而言,除证券公司之外,目前市场上诸如万得、彭博等数据库服务提供商也存在行业研报这一业务板块,其与证券公司在行业研报这一领域的经营活动存在交叉,因此我们建议证券公司也应当避免从此类数据库服务提供商处爬取数据用于制作行业研报。
(二)开展数据打标工作
对于证券公司而言,其用于制作研报的数据来源纷繁复杂,除从第三方网站中爬取的数据之外,其日常业务开展过程中收集产生的数据,从第三方数据供应商处购买的数据,以及从第三方实体企业处购买的数据均会被用于制作研报。在此过程中如何对不同的原始数据进行区分,最终判断哪些数据可以用来被制作完全公开的研报,哪些数据可以被用来制作仅对会员公开的研报,哪些数据禁止被用于制作研报是各证券公司需要面临的一大难题。
图:证券公司研报制作数据流
为解决这一问题,部分证券公司制定了详细的研报数据打标思路,在拿到原始数据之后,以数据来源、是否属于公开数据、是否属于个人信息、是否属于国家秘密、是否属于商业秘密等标准对原始数据进行打标,并依据最终的打标结果对原始数据可以被用于制作哪一类研报进行判断。在打标过程中,证券公司需要审核与数据源签署的合作协议、著作权声明等,并结合数据本身的性质综合判断将前述数据用于制作各类行业研报是否存在法律风险。
完成打标工作后,证券公司需对以上各打标事项进行综合分析,并对原始数据进行最终打标,将其区分为“禁止用于制作研报的数据”“制作仅对会员公开的研报的数据”以及“制作完全公开的研报的数据”,严格依据上述思路开展研报数据打标工作将大大降低证券公司制作研报过程中的数据合规风险。
(三)证券数据分类分级
2018年9月27日,证件会发布了《证券期货业数据分类分级指引》用以指导证券行业数据分类分级工作的开展,其中数据级别判定参考规则中将未公开的研究报告定义为2级数据,已公开的研究报告定义为1级数据。2022年11月4日,证监会随即发布了《证券期货业数据安全管理与保护指引》,用以指导证券公司完成数据分类分级工作之后应当对不同级别的数据采取哪些保护措施提供指引。
在数据分类问题上,《证券期货业数据分类分级指引》为证券公司提供了从业务分类到数据分类的转换思路,指导证券公司遵循“业务条线一级子类”——“业务条线二级子类”——“数据一级子类”——“数据二级子类”的分类思路对其所处理的数据进行分类。在完成数据分类工作后,证券公司将依据数据安全属性(完整性、保密性、可用性)遭到破坏后可能造成的影响对数据进行分级。
完成证券数据分类分级工作之后,证券公司需依据《证券期货业数据安全管理与保护指引》中的规定,对不同级别的数据在收集、共享、存储等环节采取不同的保护措施。由此可见,证监会对我国证券数据在“分类——分级——保护”方面已构建了较为完善的体系,如各证券公司不依据《证券期货业数据分类分级指引》开展数据分类分级工作,其最终得到的数据分类分级结果可能与《证券期货业数据安全管理与保护指引》中的保护措施无法实现衔接,进而影响证券公司后续数据保护工作的开展。
下篇预告
在下篇中,我们将继续对证券公司从事保荐业务和资管业务中需关注的数据合规要点进行系统梳理。
[注]