绝知此事要躬行——从证券公司业务板块看证券行业数据合规(下)
绝知此事要躬行——从证券公司业务板块看证券行业数据合规(下)
上篇回顾
在系列上篇中,我们对证券公司从事经纪业务和投研业务中需关注的数据合规要点进行了系统梳理。在本篇中,我们将继续对保荐业务和资管业务相关的数据合规要点进行分析。
近年来,为确保证券公司规范开展数据处理活动,网信办、证监会、信安标委相互协作,接连颁布了《证券期货业网络和信息安全管理办法》等部门规章以及《证券期货业数据安全管理与保护指引》等行业标准,对证券公司开展数据收集、使用、加工、共享等活动提出了相应的处理要求,从宏观层面设定了合规红线。
与此同时,证券公司各业务板块也面临着严峻的数据合规挑战。以保荐承销业务为例,《境内企业境外发行证券和上市管理试行办法》《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》等上市新规的相继出台对证券公司开展境外上市业务过程中的数据处理活动提出了一系列的合规要求。本文将以证券行业数据合规相关法律法规为基础,浅析各证券公司业务板块中的数据合规要点,并提供相应的合规建议。
三、保荐业务
在证券发行时,需要有专门的保荐机构对证券的发行与上市进行推荐。以IPO业务为例,如一家公司希望在上交所、联交所、纽交所等交易所上市,其需要聘请专门的证券公司开展尽职调查、协助答复监管问询、准备招股书等工作。在该业务板块中,需要注意的数据合规要点具体如下。
(一)网络安全审查
2021年7月2日,网络安全审查办公室发布公告宣布对一家赴国外上市企业开展网络安全审查,这标志着网络安全审查这一制度正式迈入大众视野。[1]时至今日,网络安全审查办公室共对五家公司宣布了网络安全审查,结合《网络安全审查办法》等规范性法律文件,可以发现中概股上市业务与网络安全审查之间存在较强的关联。
1. 赴美上市与网络安全审查
自1997年7月14日“中华网”于纳斯达克上市以来,美国资本市场以其严格的市场监管、完善的交易体系、健全的信息公开体系等优点,吸引了众多中国企业赴美上市。进入互联网时代,随着《网络安全审查办法》的出台生效,该办法第7条规定,[2]如掌握100万用户个人信息的网络平台运营者赴国外上市,必须向网信办申报网络安全审查。
上述条文的争议焦点在于“掌握”一词的内涵应当如何理解,《个人信息保护法》第73条将数据处理者定义为在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。目前有观点认为仅个人信息处理者会被认定为“掌握”个人信息,虽然《网络安全审查办法》没有对“掌握”一词的具体内涵进行明确,但从实际可能带来风险的角度考量,部分受托存储100万人以上个人信息的云服务提供商以受托处理者身份赴美上市,一旦发生安全事件给国家安全、社会公共利益带来的实际损害并不低于处理同等数量个人信息的个人信息处理者赴美上市,因此我们偏向于认为个人信息受托处理者也存在被认定为“掌握”个人信息的可能。
2. 赴港上市与网络安全审查
除美国资本市场外,香港资本市场近年来也吸引了大量中国企业赴港上市。2021年11月14日,网信办发布的《网络数据安全管理条例》(征求意见稿)中分别对“赴港上市”以及“赴国外上市”触发网络安全审查的情形进行了规定,而在《网络安全审查办法》之中仅保留了“赴国外上市”需申报网络安全审查相关规定。由于香港地区属于中国“境外”而不是“国外”,因此从法律法规层面而言,掌握100万用户个人信息的网络平台运营者赴港上市不需要主动申报网络安全审查。
需要进一步说明的是,《网络安全审查办法》第16条明确网信办可以依职权宣布开展网络安全审查活动,[3]因此掌握100万用户个人信息的网络平台运营者赴港上市并不代表其一定不会受到网络安全审查。考虑到一旦拟上市企业被宣布依职权启动网络安全审查,其上市时间安排可能受到较大影响,实践中我们往往会建议拟上市企业提前向网信办、网络安全审查技术与认证中心的窗口咨询其是否需要申报网络安全审查。除此之外,据我们了解,存在部分赴港上市企业,为避免上市过程中突然被网信办宣布依职权启动网络安全审查进而打乱上市节奏的风险,选择在赴港上市前主动向网信办申报网络安全审查。网络安全审查办公室会在收到审查申报材料10个工作日内确定是否需要审查并书面通知拟上市企业。
(二)上市保密新规
2023年2月24日,中国证券监督管理委员会、财政部、国家保密局、国家档案局联合发布了《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》(“《保密新规》”),该规定明确了证券公司开展境外上市业务时,需在内控制度建设、保密协议签署、安全事件报送等方面满足的合规要求,其中中介机构工作底稿境内存放义务引起了实务界中的广泛讨论。
《保密新规》第9条规定,为境内企业境外发行上市提供相应服务的证券公司、证券服务机构在境内形成的工作底稿应当存放在境内。需要出境的,按照国家有关规定办理审批手续。鉴于目前中介机构工作底稿出境审批程序尚未建立完整,证券公司无法通过审批方式将需要出境的工作底稿传输至中国境外。根据目前的行业一般实践,赴港上市过程中境内形成的工作底稿不得直接提供给境外中介,而是由境外中介的境内办公室或其他境内关联方进行审阅处理。但可以预见的是,随着中美底稿审计双边协议的签署,后续赴港上市业务中,证券公司底稿的出境与审计相关制度也将进一步得到落实。
四、资管业务
资管业务,即证券公司以管理人身份开展的资产管理的业务,证券公司创建资管产品、投资股票、投资债券等均属于资管业务的范畴。由于应收账款等底层资产与借款人的姓名、联系方式存在紧密的联系,因此中介机构在开展底层资产收购与处置工作过程中可能涉及诸多个人信息处理相关问题。
(一)底层资产抽样尽职调查
在开展资管业务过程中,证券公司在收购底层资产前为了评估相关风险,通常会对底层资产开展相应的尽职调查活动。以资产证券化(ABS)业务为例,证券公司在对应收账款进行收购前会要求底层资产方提供部分应收账款样本用以开展尽职调查工作,在此过程中证券公司会从底层资产债权人处接收到债务人联系方式等个人信息。
倘若将该行为定义为个人信息对外提供,那么依据《个人信息保护法》第23条规定,[4]底层资产方在缺少其他合法性基础的情况下,必须就该个人信息对外提供行为取得债务人的单独同意,这将给抽样尽职调查行为的开展带来极大的合规障碍。
但对视角进行切换,如将证券公司在应收账款抽样尽职调查过程中与底层资产方之间的关系解释为个人信息委托处理,依据《个人信息保护法》第17条与21条的规定,开展个人信息委托处理活动无需向个人信息主体披露受托处理者的身份,同时也无需专门就委托处理这一行为向个人信息主体征求同意。在此情形下,证券公司仅需与底层资产方签署个人信息委托处理协议,即可解决底层资产抽样尽职调查中的数据合规难题。
(二)个人信息转移
如前文所述,在证券公司收购底层资产时,其必然会接收部分与底层资产不可分割的个人信息。例如在应收账款转让环节中,如证券公司不一并受让债务人的联系方式等个人信息,其后续对应收账款的处置工作将无法顺利开展。
以ABS业务为例,在实践中如将底层资产方将个人信息一并转让给证券公司的行为解释为个人信息对外提供,将有以下两大合规难点:第一,《个人信息保护法》第23条中的单独同意要求难以落实;第二,在应收账款产生时,底层资产方通常尚未确定将底层资产出售给哪家证券公司,在此情况下无法向个人信息主体告知接收方的名称与联系方式。
为解决上述合规难点,有观点认为证券公司可以援引《个人信息保护法》第22条规定的个人信息转移制度对证券公司接收底层资产方提供的个人信息这一行为进行解释,[5]该条明确规定在合并、分立、解散、被宣告破产等情形下发生个人信息转移行为的,只需向个人信息主体告知接收方的名称与联系方式,接收方即可在个人信息主体原始授权范围内开展个人信息处理活动。
虽然《个人信息保护法》第22条未将因资产转让引发的个人信息转让行为明确列入其适用场景中,但其中“等原因”这一兜底表述为证券公司使用该条解释其从底层资产方处接收个人信息留下了一定空间。这是因为证券公司从底层资产方处受让个人信息后,其仍按照原个人信息处理目的与处理方式开展个人信息处理活动的,本质上属于因个人信息处理者身份变更而被动引起的个人信息转移,这与合并、分离、解散、破产中个人信息发生转移的原因相似。同时,《个人信息保护法》第14条规定的应重新取得个人同意的三种情形中未包含个人信息处理者身份发生改变,[6]似乎也与前述观点不谋而合。
与此同时,我们也注意到在2023年5月23日发布的《个人信息处理中告知和同意的实施指南》第3.8条将个人信息转移行为纳入了个人信息提供的范畴,依据该国标第6.1条,个人信息转移行为也需取得个人同意。但考虑到《个人信息处理中告知和同意的实施指南》属于推荐性国家标准,其规定仅代表行业推荐合规实践而非强制性规定。因此,证券公司开展ABS业务从底层资产方处受让个人信息是否可以解释为《个人信息保护法》第22条中的个人信息转移行为以及是否需要专门取得个人信息主体同意还有待进一步观察后续立法与执法动态。
五、结语
古语有云,纸上得来终觉浅,绝知此事要躬行。证券行业数据合规要点较为抽象复杂,只有带入各证券公司业务板块进行切实分析,才能够帮助各证券公司更好的对其进行理解与掌握。考虑到近年来证券行业数据合规领域新规频出,我们建议各证券公司尽早开展数据合规专项工作,以降低将来证券行业数据合规执法工作推进时可能面临的执法风险。
[注]