作者丨刘新宇 吕嘉诚
近年来,为确保证券公司规范开展数据处理活动,网信办、证监会、信安标委相互协作,接连颁布了《证券期货业网络和信息安全管理办法》等部门规章以及《证券期货业数据安全管理与保护指引》等行业标准,对证券公司开展数据收集、使用、加工、共享等活动提出了相应的处理要求,从宏观层面设定了合规红线。
与此同时,证券公司各业务板块也面临着严峻的数据合规挑战。以保荐承销业务为例,《境内企业境外发行证券和上市管理试行办法》《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》等上市新规的相继出台对证券公司开展境外上市业务过程中的数据处理活动提出了一系列的合规要求。本文将以证券行业数据合规相关法律法规为基础,浅析各证券公司业务板块中的数据合规要点,并提供相应的合规建议。
一、经纪业务
经纪业务,是指证券公司通过向投资者提供股票交易等服务,以在投资者买卖股票过程中赚取佣金的业务模式。目前投资者登录各大证券公司APP并完成开户后即可享受证券公司提供的证券经纪服务。对于证券公司而言,经纪业务通常是其收入的第一大板块。在开展经纪业务过程中,证券公司应当关注如下数据合规要点。
(一)个人信息处理合法性基础构建
作为直接面向投资者提供服务的业务板块,证券公司处理的绝大多数个人信息均来源于其所开展的经纪业务。《个人信息保护法》第13条规定了7项处理个人信息的合法性基础,鉴于经纪业务开展过程中涉及大量的个人信息处理活动,是否构建了完备的个人信息处理合法性基础体系是决定该业务开展过程中合法性的首要因素。为确保经纪业务项下全部个人信息处理活动均具有合法性基础,我们理解,证券公司可以围绕以下三项个人信息处理合法性基础,构建完备的个人信息处理合法性基础体系。
第一项合法性基础为“取得个人同意”。作为适用范围最广的合法性基础,目前各大证券公司均在其主营APP登录界面放置了《隐私政策》并要求投资者进行勾选,以取得投资者对证券公司处理其个人信息的授权同意。勾选《隐私政策》可以帮助证券公司取得绝大多数个人信息处理行为的合法性基础,但该授权无法满足单独同意要求,无法作为证券公司处理敏感个人信息、对外提供个人信息等行为的合法性基础,因此证券公司还需要寻找其他合法性基础进行补足。
第二项合法性基础为“为订立、履行个人作为一方当事人的合同所必需”。依据《个人信息保护法》第13条第2款规定,以“为订立、履行个人作为一方当事人的合同所必需”作为合法性基础处理个人信息无需取得个人信息主体同意,这表明证券公司可通过此项合法性基础避免一些单独同意要求。举例而言,银行账户作为财产信息,被《个人信息安全规范》附录B明确列为敏感个人信息,依据《个人信息保护法》第29条,证券公司在开户过程中收集用户的账户信息原本需要取得用户的单独同意。但由于证券公司与用户签署的《服务协议》中通常会对证券公司提供开户服务相关内容进行约定,证券公司为协助用户绑定银行账户必须收集其银行账户信息,因此证券公司援引“为订立、履行个人作为一方当事人的合同所必需”作为此项个人信息处理行为的合法性基础,可以帮助其免于取得个人信息主体的单独同意。
第三项合法性基础为“为履行法定职责或者法定义务所必需”。证券公司作为持牌金融机构,除全国人民代表大会及其常委会制定的法律之外,国务院以及证监会制定的行政法规和部门规章规定了多项证券公司开展数据处理活动时需要遵守的义务,证券公司履行前述义务过程中可以“履行法定义务所必需”为由处理用户个人信息,例如证券公司可以依据《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》第12条,在开展经纪业务时为履行尽职调查之义务收集用户的身份信息。[1]与“为订立、履行个人作为一方当事人的合同所必需”相同,以“为履行法定职责或者法定义务所必需”作为处理个人信息的合法性基础也能够帮助证券公司在特定情况下免于取得个人信息主体的单独同意。
(二)告知同意义务的履行——《隐私政策》的起草
如上文所述,要求用户阅读并勾选《隐私政策》以征求处理其个人信息的授权同意是证券公司处理用户个人信息的第一大合法性基础。鉴于《个人信息保护法》等法律法规以及《APP违法违规收集使用个人信息行为认定方法》等部门规章对告知同意义务的履行提出了诸多合规要求,目前工信部、网信办等执法机构已针对各APP《隐私政策》起草合规情况进行了多轮通报执法。
2022年4月,国家移动互联网应用安全管理中心(CNAAC)公布消息,在其开展的互联网检测专项中发现17款移动APP存在“隐私不合规行为”,涉嫌超范围采集个人隐私信息等。[2]其中,12家证券公司的相关软件均有涉及,通报问题中的“未向用户明示申请的全部隐私权限”“注销用户账号设置不合理条件”“建立、公布个人信息安全投诉、举报渠道”等均涉及证券公司《隐私政策》起草合规性问题。由此可见,能否起草合法合规的《隐私政策》是决定证券公司能否履行好告知同意义务的重要条件。
证券公司《隐私政策》的起草可主要参考网信办发布的《APP违法违规收集使用个人信息行为认定方法》以及全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立的App违法违规收集使用个人信息专项治理工作组发布的《App违法违规收集使用个人信息自评估指南》,其中具体的起草要点包含《隐私政策》中不能使用“等”“包括但不限于”等概括性表述、各项个人信息处理目的需与处理的个人信息字段类型一一对应等。在《个人信息保护法》生效出台后,各证券公司《隐私政策》还需要遵循《个人信息保护法》中的“最小必要原则”等规定。虽然这些合规要点内容较为通俗易懂,但起草《隐私政策》过程中需要注意的合规要点数量较多,证券公司想要起草一份完全合法合规的《隐私政策》绝非易事。
(三)代销业务个人信息处理法律关系辨析
在开展经纪业务过程中,证券公司会接受许多金融机构委托代其销售非证券公司自营产品。2023年4月,一家证券公司代销22款保险产品的新闻就曾引起过多方关注,除保险产品之外,诸如证券公司理财产品、证券投资基金、银行理财产品、信托计划均可由证券公司代销。在金融产品代销过程中,证券公司作为代销机构,投资者在其APP页面点击相关金融产品链接并填写相关个人信息后,即可购买代销机构代销的金融产品,具体流程图如下:
图:金融产品代销业务合作模式与信息流
在数据合规问题上,上述业务模式的争议焦点在于如何界定金融产品发行方与代销机构之间的个人信息处理法律关系。当投资者在代销机构APP上填写投资者基本信息之后,代销机构会将投资者基本信息传输给金融产品发行方。同时,依据《证券公司代销金融产品管理规定》第12条,证券公司应当了解客户信息用以履行适当性管理义务。[3]基于前述事实与规定,代销机构与金融产品发行方之间究竟属于个人信息对外提供关系还是个人信息委托处理关系存在争议。
该项争议的焦点在于判断证券公司承担“适当性管理义务”是否会阻却其成为个人信息受托处理者。依据《网络数据安全管理条例》(征求意见稿)第73条对委托处理的定义,委托处理是指数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。在履行适当性管理义务的过程中,代销机构需通过其所收集信息评估客户购买金融产品的适当性,而金融产品发行方收集客户信息是为了向客户提供金融产品,由此可见金融产品发行方对客户信息的处理目的与代销机构不一致,这与个人信息委托处理的概念相悖。
除此之外,从商业实践角度出发,代销机构作为直接对客平台,其在与金融产品发行方在开展金融产品代销合作过程中具有优势地位,如将其解释为个人信息受托处理者,其客户信息处理活动的目的与方式均需由金融产品发行方决定,这对在合作中具有优势地位的代销机构而言往往是难以接受的。
因此将金融产品发行方与代销机构分别解释为独立的个人信息处理者更加符合实际情况,同时,将证券公司这一代销机构解释为独立的个人信息处理者,可以为其后续为开展自身业务处理这些客户的个人信息提供可能性。
二、投研业务
目前许多证券公司设有专门的研究所,用以对宏观、固收、策略、行业组等领域开展研究工作。投研业务中与数据合规关系最密切的当属研报的制作与发布,在此过程中证券公司会从诸多不同数据源处对数据进行收集与加工,最终形成研报并发布。根据我们过往的项目经验,前述环节需要注意的数据合规要点如下:
(一)爬虫技术合规
除直接从证券公司客户处收集数据以及从第三方数据源处采购数据之外,各证券公司会使用爬虫技术从其他网络运营者处爬取数据用以制作行业研报。百度、360等12家搜索引擎服务企业于2012年签署的《互联网搜索引擎服务自律公约》将爬虫程序定义为“自动爬行网络的程序”,其作用包括“索引网站内容”等。[4]从第一起爬虫相关的不正当竞争案至今,我国立法与司法领域正在持续探索爬虫行为的规制思路,综合现有立法以及过往判例,我们建议证券公司在爬取数据用以制作研报时注意如下合规要点:
1. 优先爬取公开数据
2022年12月,中共中央、国务院正式对外发布《关于构建数据基础制度更好发挥数据要素作用的意见》,明确将“探索数据产权结构性分置制度”列为加快构建数据基础制度的要求之一。[5]但由于我国数据产权制度尚未建设完毕,目前爬虫行为主要通过不正当竞争相关规则进行规制。
根据我们对既往不正当竞争判例的观察,优先爬取公开数据可以一定程度缓释数据爬取行为被认定为不正当竞争行为的风险。虽然目前《个人信息保护法》等已出台生效的法律并未对公开数据的内涵进行明确,但是在(2021)京民申5573号不正当竞争纠纷案中,[6]北京市高级人民法院将公开数据定义为“未通过登录规则或其他措施设置访问权限的数据”,对于用户登录账户后才可以在微博中访问的数据应当被认定为非公开数据。
在对公开数据的内涵进行明确后,北京市高级人民法院认为湖南Y公司使用爬虫技术爬取公开数据行为符合互联网互联互通的精神,平台方应当在一定程度上容忍他人合法收集或利用其平台中已经公开的数据。依据前述裁判精神,证券公司使用爬虫技术对互联网中的公开数据进行爬取可能因符合互联网互联互通精神,而被认定为构成不正当竞争行为的可能性较低。
2. 遵守目标网站的Robots协议
《互联网搜索引擎服务自律公约》将Robots协议定义为向网络机器人(即爬虫)给出网站指令的协议,[7]其具体查询方式为在目标网站网址后输入/robots.xt。虽然网站可以通过Robots协议规范爬虫技术使用者在其网站上爬取数据,但是鉴于《互联网搜索引擎服务自律公约》并非由立法机关颁布的规范性法律文件,Robots协议的具体效力在我国司法实践中也存在争议。
在(2017)京73民初2020号中,D平台以W平台将D平台爬虫机器人置于robots.txt黑名单中为由起诉W平台使用Robots协议禁止D平台爬取数据的行为构成不正当竞争,北京市知识产权法院认为robots协议的设立初衷在于引导网络机器人更有效地抓取对网络用户有用的信息,从而促进信息共享。W平台的涉案行为造成相关网络用户无法完整地获取相关信息,人为设置了网络信息正常流动的障碍,这与互联网行业普遍遵循的开放、平等、公平、促进信息流动的原则相悖,与网络行业互联互通的基本价值不符,损害了网络市场的竞争秩序,进而判决W平台使用Robots协议禁止D平台爬取数据的行为构成不正当竞争。[8]根据前述裁判要旨,Robots协议的合理性似乎无法得到我国法院的认可。
一审判决作出后W平台随即选择上诉,北京市高级人民法院认为Robots协议在某种意义上已经成为维系企业核心竞争力,维系市场有序竞争的一种手段。尽管Robots协议客观上可能造成对某个或某些经营者的“歧视”,但在不损害消费者利益、不损害公共利益、不损害竞争秩序的情况下,应当允许网站经营者通过Robots协议对其他网络机器人的抓取进行限制,这是网站经营者经营自主权的一种体现。[9]依据此案裁判要旨,可以看出目前司法实践认可网站经营者通过Robots协议限制爬取行为的正当性,因此证券公司在使用爬虫技术爬取其他网站中的数据时应当遵守该网站的Robots协议,以避免该数据爬取行为被认定为不正当竞争行为。
3. 避免直接爬取其他证券公司或行研机构的数据
认定不正当竞争,除了要具备一般民事侵权行为的构成要件以外,还要注意审查是否存在竞争关系,存在竞争关系是认定构成不正当竞争的条件之一。[10]因此,证券公司使用爬虫技术爬取目标网站数据时,证券公司与目标网站之间是否存在竞争关系是判断数据爬取行为是否构成不正当竞争行为的首要前提。
《北京市高级人民法院关于涉及网络知识产权案件的审理指南》第31条将竞争关系分为了两类,第一类为“经营的商品或者服务具有直接或间接的替代关系”,第二类为“经营活动存在相互交叉、依存或者其他关联关系”。[11]其中第一类竞争关系较为容易理解,目前许多证券公司会对外提供行业研报服务,倘若证券公司直接从其他证券公司处爬取行业研报数据,二者间被认定为存在竞争关系的可能性较大。对于第二类竞争关系而言,除证券公司之外,目前市场上诸如万得、彭博等数据库服务提供商也存在行业研报这一业务板块,其与证券公司在行业研报这一领域的经营活动存在交叉,因此我们建议证券公司也应当避免从此类数据库服务提供商处爬取数据用于制作行业研报。
(二)开展数据打标工作
对于证券公司而言,其用于制作研报的数据来源纷繁复杂,除从第三方网站中爬取的数据之外,其日常业务开展过程中收集产生的数据,从第三方数据供应商处购买的数据,以及从第三方实体企业处购买的数据均会被用于制作研报。在此过程中如何对不同的原始数据进行区分,最终判断哪些数据可以用来被制作完全公开的研报,哪些数据可以被用来制作仅对会员公开的研报,哪些数据禁止被用于制作研报是各证券公司需要面临的一大难题。
图:证券公司研报制作数据流
为解决这一问题,部分证券公司制定了详细的研报数据打标思路,在拿到原始数据之后,以数据来源、是否属于公开数据、是否属于个人信息、是否属于国家秘密、是否属于商业秘密等标准对原始数据进行打标,并依据最终的打标结果对原始数据可以被用于制作哪一类研报进行判断。在打标过程中,证券公司需要审核与数据源签署的合作协议、著作权声明等,并结合数据本身的性质综合判断将前述数据用于制作各类行业研报是否存在法律风险。
完成打标工作后,证券公司需对以上各打标事项进行综合分析,并对原始数据进行最终打标,将其区分为“禁止用于制作研报的数据”“制作仅对会员公开的研报的数据”以及“制作完全公开的研报的数据”,严格依据上述思路开展研报数据打标工作将大大降低证券公司制作研报过程中的数据合规风险。
(三)证券数据分类分级
2018年9月27日,证件会发布了《证券期货业数据分类分级指引》用以指导证券行业数据分类分级工作的开展,其中数据级别判定参考规则中将未公开的研究报告定义为2级数据,已公开的研究报告定义为1级数据。2022年11月4日,证监会随即发布了《证券期货业数据安全管理与保护指引》,用以指导证券公司完成数据分类分级工作之后应当对不同级别的数据采取哪些保护措施提供指引。
在数据分类问题上,《证券期货业数据分类分级指引》为证券公司提供了从业务分类到数据分类的转换思路,指导证券公司遵循“业务条线一级子类”——“业务条线二级子类”——“数据一级子类”——“数据二级子类”的分类思路对其所处理的数据进行分类。在完成数据分类工作后,证券公司将依据数据安全属性(完整性、保密性、可用性)遭到破坏后可能造成的影响对数据进行分级。
完成证券数据分类分级工作之后,证券公司需依据《证券期货业数据安全管理与保护指引》中的规定,对不同级别的数据在收集、共享、存储等环节采取不同的保护措施。由此可见,证监会对我国证券数据在“分类——分级——保护”方面已构建了较为完善的体系,如各证券公司不依据《证券期货业数据分类分级指引》开展数据分类分级工作,其最终得到的数据分类分级结果可能与《证券期货业数据安全管理与保护指引》中的保护措施无法实现衔接,进而影响证券公司后续数据保护工作的开展。
三、保荐业务
在证券发行时,需要有专门的保荐机构对证券的发行与上市进行推荐。以IPO业务为例,如一家公司希望在上交所、联交所、纽交所等交易所上市,其需要聘请专门的证券公司开展尽职调查、协助答复监管问询、准备招股书等工作。在该业务板块中,需要注意的数据合规要点具体如下。
(一)网络安全审查
2021年7月2日,网络安全审查办公室发布公告宣布对一家赴国外上市企业开展网络安全审查,这标志着网络安全审查这一制度正式迈入大众视野。[1]时至今日,网络安全审查办公室共对五家公司宣布了网络安全审查,结合《网络安全审查办法》等规范性法律文件,可以发现中概股上市业务与网络安全审查之间存在较强的关联。
1. 赴美上市与网络安全审查
自1997年7月14日“中华网”于纳斯达克上市以来,美国资本市场以其严格的市场监管、完善的交易体系、健全的信息公开体系等优点,吸引了众多中国企业赴美上市。进入互联网时代,随着《网络安全审查办法》的出台生效,该办法第7条规定,[2]如掌握100万用户个人信息的网络平台运营者赴国外上市,必须向网信办申报网络安全审查。
上述条文的争议焦点在于“掌握”一词的内涵应当如何理解,《个人信息保护法》第73条将数据处理者定义为在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。目前有观点认为仅个人信息处理者会被认定为“掌握”个人信息,虽然《网络安全审查办法》没有对“掌握”一词的具体内涵进行明确,但从实际可能带来风险的角度考量,部分受托存储100万人以上个人信息的云服务提供商以受托处理者身份赴美上市,一旦发生安全事件给国家安全、社会公共利益带来的实际损害并不低于处理同等数量个人信息的个人信息处理者赴美上市,因此我们偏向于认为个人信息受托处理者也存在被认定为“掌握”个人信息的可能。
2. 赴港上市与网络安全审查
除美国资本市场外,香港资本市场近年来也吸引了大量中国企业赴港上市。2021年11月14日,网信办发布的《网络数据安全管理条例》(征求意见稿)中分别对“赴港上市”以及“赴国外上市”触发网络安全审查的情形进行了规定,而在《网络安全审查办法》之中仅保留了“赴国外上市”需申报网络安全审查相关规定。由于香港地区属于中国“境外”而不是“国外”,因此从法律法规层面而言,掌握100万用户个人信息的网络平台运营者赴港上市不需要主动申报网络安全审查。
需要进一步说明的是,《网络安全审查办法》第16条明确网信办可以依职权宣布开展网络安全审查活动,[3]因此掌握100万用户个人信息的网络平台运营者赴港上市并不代表其一定不会受到网络安全审查。考虑到一旦拟上市企业被宣布依职权启动网络安全审查,其上市时间安排可能受到较大影响,实践中我们往往会建议拟上市企业提前向网信办、网络安全审查技术与认证中心的窗口咨询其是否需要申报网络安全审查。除此之外,据我们了解,存在部分赴港上市企业,为避免上市过程中突然被网信办宣布依职权启动网络安全审查进而打乱上市节奏的风险,选择在赴港上市前主动向网信办申报网络安全审查。网络安全审查办公室会在收到审查申报材料10个工作日内确定是否需要审查并书面通知拟上市企业。
(二)上市保密新规
2023年2月24日,中国证券监督管理委员会、财政部、国家保密局、国家档案局联合发布了《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》(“《保密新规》”),该规定明确了证券公司开展境外上市业务时,需在内控制度建设、保密协议签署、安全事件报送等方面满足的合规要求,其中中介机构工作底稿境内存放义务引起了实务界中的广泛讨论。
《保密新规》第9条规定,为境内企业境外发行上市提供相应服务的证券公司、证券服务机构在境内形成的工作底稿应当存放在境内。需要出境的,按照国家有关规定办理审批手续。鉴于目前中介机构工作底稿出境审批程序尚未建立完整,证券公司无法通过审批方式将需要出境的工作底稿传输至中国境外。根据目前的行业一般实践,赴港上市过程中境内形成的工作底稿不得直接提供给境外中介,而是由境外中介的境内办公室或其他境内关联方进行审阅处理。但可以预见的是,随着中美底稿审计双边协议的签署,后续赴港上市业务中,证券公司底稿的出境与审计相关制度也将进一步得到落实。
四、资管业务
资管业务,即证券公司以管理人身份开展的资产管理的业务,证券公司创建资管产品、投资股票、投资债券等均属于资管业务的范畴。由于应收账款等底层资产与借款人的姓名、联系方式存在紧密的联系,因此中介机构在开展底层资产收购与处置工作过程中可能涉及诸多个人信息处理相关问题。
(一)底层资产抽样尽职调查
在开展资管业务过程中,证券公司在收购底层资产前为了评估相关风险,通常会对底层资产开展相应的尽职调查活动。以资产证券化(ABS)业务为例,证券公司在对应收账款进行收购前会要求底层资产方提供部分应收账款样本用以开展尽职调查工作,在此过程中证券公司会从底层资产债权人处接收到债务人联系方式等个人信息。
倘若将该行为定义为个人信息对外提供,那么依据《个人信息保护法》第23条规定,[4]底层资产方在缺少其他合法性基础的情况下,必须就该个人信息对外提供行为取得债务人的单独同意,这将给抽样尽职调查行为的开展带来极大的合规障碍。
但对视角进行切换,如将证券公司在应收账款抽样尽职调查过程中与底层资产方之间的关系解释为个人信息委托处理,依据《个人信息保护法》第17条与21条的规定,开展个人信息委托处理活动无需向个人信息主体披露受托处理者的身份,同时也无需专门就委托处理这一行为向个人信息主体征求同意。在此情形下,证券公司仅需与底层资产方签署个人信息委托处理协议,即可解决底层资产抽样尽职调查中的数据合规难题。
(二)个人信息转移
如前文所述,在证券公司收购底层资产时,其必然会接收部分与底层资产不可分割的个人信息。例如在应收账款转让环节中,如证券公司不一并受让债务人的联系方式等个人信息,其后续对应收账款的处置工作将无法顺利开展。
以ABS业务为例,在实践中如将底层资产方将个人信息一并转让给证券公司的行为解释为个人信息对外提供,将有以下两大合规难点:第一,《个人信息保护法》第23条中的单独同意要求难以落实;第二,在应收账款产生时,底层资产方通常尚未确定将底层资产出售给哪家证券公司,在此情况下无法向个人信息主体告知接收方的名称与联系方式。
为解决上述合规难点,有观点认为证券公司可以援引《个人信息保护法》第22条规定的个人信息转移制度对证券公司接收底层资产方提供的个人信息这一行为进行解释,[5]该条明确规定在合并、分立、解散、被宣告破产等情形下发生个人信息转移行为的,只需向个人信息主体告知接收方的名称与联系方式,接收方即可在个人信息主体原始授权范围内开展个人信息处理活动。
虽然《个人信息保护法》第22条未将因资产转让引发的个人信息转让行为明确列入其适用场景中,但其中“等原因”这一兜底表述为证券公司使用该条解释其从底层资产方处接收个人信息留下了一定空间。这是因为证券公司从底层资产方处受让个人信息后,其仍按照原个人信息处理目的与处理方式开展个人信息处理活动的,本质上属于因个人信息处理者身份变更而被动引起的个人信息转移,这与合并、分离、解散、破产中个人信息发生转移的原因相似。同时,《个人信息保护法》第14条规定的应重新取得个人同意的三种情形中未包含个人信息处理者身份发生改变,[6]似乎也与前述观点不谋而合。
与此同时,我们也注意到在2023年5月23日发布的《个人信息处理中告知和同意的实施指南》第3.8条将个人信息转移行为纳入了个人信息提供的范畴,依据该国标第6.1条,个人信息转移行为也需取得个人同意。但考虑到《个人信息处理中告知和同意的实施指南》属于推荐性国家标准,其规定仅代表行业推荐合规实践而非强制性规定。因此,证券公司开展ABS业务从底层资产方处受让个人信息是否可以解释为《个人信息保护法》第22条中的个人信息转移行为以及是否需要专门取得个人信息主体同意还有待进一步观察后续立法与执法动态。
五、结语
古语有云,纸上得来终觉浅,绝知此事要躬行。证券行业数据合规要点较为抽象复杂,只有带入各证券公司业务板块进行切实分析,才能够帮助各证券公司更好的对其进行理解与掌握。考虑到近年来证券行业数据合规领域新规频出,我们建议各证券公司尽早开展数据合规专项工作,以降低将来证券行业数据合规执法工作推进时可能面临的执法风险。
[注]
[1]《证券公司代销金融产品管理规定》第12条规定,“证券公司向客户推介金融产品,应当了解客户的身份、财产和收入状况、金融知识和投资经验、投资目标、风险偏好等基本情况,评估其购买金融产品的适当性”
[2] 参见国家移动互联网应用安全管理中心官网应用通报,链接:https://www.cnaac.org.cn/bulletin.html.
[3] 同批注1
[4]《互联网搜索引擎服务自律公约》第7条规定,“网络机器人(Web robots也叫网络游客、爬虫程序、蜘蛛程序),是自动爬行网络的程序。搜索引擎利用这些程序索引网站内容,垃圾邮件发送者使用网络机器人扫描获取电子邮件地址,网络机器人还有很多其他用途。”
[5] 参见新华社《中共中央、国务院重磅发布!“数据二十条”全文来了》,链接:https://mp.weixin.qq.com/s/7egQpc2dJU1VLFfB2KFmeQ.
[6] 北京市高级人民法院(2021)京民申5573号民事裁定书。
[7]《互联网搜索引擎自律公约》第7条规定,“机器人协议(robots协议)是指互联网站所有者使用robots.txt文件,向网络机器人(Web robots)给出网站指令的协议。”
[8] 北京知识产权法院(2017)京73民初2020号民事判决书。
[9] 北京市高级人民法院(2021)京民终281号民事判决书。
[10] 参见曹建明(时任最高人民法院副院长)于2004年11月11日发表《加大知识产权司法保护力度 依法规范市场竞争秩序——在全国法院知识产权审判工作座谈会上的讲话》。
[11]《北京市高级人民法院关于涉及网络知识产权案件的审理指南》第31条规定,“经营者之间具有下列关系之一,可能损害原告合法权益,造成交易机会和竞争优势变化的,可以认定具有竞争关系:(1)经营的商品或者服务具有直接或者间接的替代关系;(2)经营活动存在相互交叉、依存或者其他关联的关系。”
[1] 参见商建刚《滴滴网络安全审查案的回顾与展望》,链接:https://mp.weixin.qq.com/s/VVJwmUN0dPwnz1Sqj-LGXg
[2]《网络安全审查办法》第7条规定,“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”
[3]《网络安全审查办法》第16条规定,“网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查”
[4]《个人信息保护法》第23条规定,“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意”
[5]《个人信息保护法》第22条规定,“个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意”
[6]《个人信息保护法》第14条规定,“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意”
作者简介
刘新宇 律师
上海办公室 合伙人
业务领域:网络安全和数据保护, 金融产品和信托, 诉讼仲裁
特色行业类别:金融行业, 通讯与技术
吕嘉诚
上海办公室 知识产权部
声明:本文来自中伦视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。