证券期货经营机构落实《个人信息保护法》的思考
2021-10-13 14:40:39 来源:期货日报 作者:
建议出台统一的个人信息保护管理规定,明确各项管理要求
2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(下称《个人信息保护法》),并将于2021年11月1日起施行。《个人信息保护法》的制定依据为《宪法》,将“个人信息受法律保护”上升至公民基本权利的层面,充分体现了国家“尊重和保障人权”的力度和决心。《个人信息保护法》的出台将有效改善有关个人信息保护的法条分散、标准不同的尴尬现状,从上位法层面为个人信息提供更系统、全面的保护。
A明确投资者个人信息处理的法定基础
证券期货经营机构作为资本市场与投资者的连接点,基于为投资者提供金融服务的目的,在投资者个人信息的收集上有着天然的便利。通过对投资者个人信息的收集、整理、分析,经营机构还能进一步勾画出投资者专属的主观评价,更为精准地定位投资者的金融消费需求,提高客户服务的有效性。同时,在投资者个人信息背后蕴含的商业价值驱动下,经营机构对于投资者个人信息的分析以及充分运用也有着天然的冲动。随着《个人信息保护法》的出台,投资者个人信息保护与投资者个人信息的开发利用之间有效平衡,已经成为摆在经营机构面前无法回避的一道难题。在《个人信息保护法》生效前,经营机构应当提早做好投资者个人信息保护的规划工作,避免陷入“违法”状态。
《个人信息保护法》对于投资者个人信息处理(包含收集、储存、使用、加工、传输、提供、公开、删除等)的法律基础,在《网络安全法》以“同意——告知”为核心的单一基础上,进一步拓宽了具体的应用场景。经营机构处理投资者个人信息除了投资者个人的同意以外,还包括为履行法定职责或法定义务所必须、合理范围内处理公开个人信息等。对于经营机构而言,要想全面梳理投资者个人信息的处理目的、范围、方式,对于投资者个人信息处理的法律基础的论证将成为合规管理的基本前提,特别是对于投资者同意和其他合法基础的区分。依据对于个人信息处理的法律基础,可以将目前证券期货经营机构获取投资者个人信息的类型划分为两类:
一类是基于履行法定职责、法定义务收集的信息。该类信息依据收集目的,又可以进一步细分为两类:一是经营机构基于为投资者办理金融账户开立手续所需要收集的、用以作为后续投资者身份确认的信息,如期货公司基于《期货市场开户管理规定》等在客户开立账户环节收集的投资者姓名、身份证号、联系电话等信息;一是经营机构基于履行其他法定义务,包括但不限于反洗钱管理、非居民税收管理、投资者适当性管理等收集的投资者的其他信息。
另一类是基于其他经营管理要求收集的信息。该类信息主要是金融机构基于优化客户服务体验、精准营销等目的收集的,如通过收集记录投资者对于不同期货品种的研究报告的点击、阅读频率,向投资者定向推送特定期货品种(如化工类)的研究报告。
对于第一类信息,因为是基于正当且合理的法律基础进行处理的,经营机构通过传统的、在隐私政策中进行披露等方式落实信息处理的“告知”义务即可;对于第二类信息,除了“告知”义务,还应当获得投资者对于处理其个人信息的“同意”,即非经投资者个人同意,不得处理相关信息。针对第二类信息的处理,经营机构应当充分评估其处理边界,并完善投资者对个人信息处理提出异议的应对机制。
B建立投资者个人信息的分类分级标准
《个人信息保护法》将投资者的个人信息分为敏感信息和非敏感信息,对于敏感信息的处理要求需要遵循更为严格的规则,包括但不限于敏感信息的处理需要有“特定的”目的和“充分的”必要性、需要采取“严格的”保护措施、需要取得“个人的单独同意”。
目前,经营机构通过各类业务办理平台或者App取得投资者个人信息时,更多是通过《隐私协议》《个人信息保护政策》等文件以一揽子的方式对拟获取投资者的个人信息、处理投资者个人信息的目的等进行揭示或取得同意。在《个人信息保护法》的规定下,通过上述文件取得的处理投资者个人敏感信息的同意,很难说明是取得了投资者“个人的单独同意”,或需要在实际涉及处理投资者敏感信息时,通过弹窗提醒等方式取得投资者个人的单独同意。上述取得投资者同意的方式,除了需要技术手段上的开发完善,还需要经营机构内部制定投资者个人信息分类分级的管理机制,对于何类信息属于投资者个人的敏感信息进行明确并采取更高水平的安全措施予以保护。
《个人信息保护法》对于个人敏感信息的定义为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。其中,与证券期货经营机构关联度较大的主要是特定身份与金融账户。在目前行业尚未出台更为细致统一的管理规范的情况下,建议经营机构参考《信息安全技术个人信息安全规范》(GB/T35273—2020)的要求来划分投资者个人的敏感信息。其中,特定身份信息应当包括投资者身份识别的唯一及特定信息,如身份证、军官证、护照、驾驶证等;金融账户信息应当包含投资者在经营机构开立的账户信息(包含账户内的资金信息、投资记录等)、身份鉴别信息(账户口令)、交易信息等。
C应当注重对投资者个人信息保护的权责义务的约定
《个人信息保护法》对于投资者个人信息的共同处理、委托处理以及向他人提供的有关要求进行了规定。证券期货经营机构在后续与第三方的合作中,应当注重对投资者个人信息保护的权责义务的约定,结合双方的地位、个人信息处理活动的边界等约定相适应的权利和义务,并依据合作关系所涉及的个人信息处理活动的风险程度(例如,是否涉及投资者个人敏感信息的处理),酌情采取审计、持续监控等措施,以避免后续纠纷。
《个人信息保护法》对于投资者个人信息的共同处理以及向他人提供的有关规定,也将对现有的基金产品代理销售场景下,投资者个人信息的传输模式产生影响。基于客户业务办理便利的角度,不少经营机构在代销基金产品时,会通过“联合开户”的模式办理,即投资者在经营机构提交的开户申请,既是投资者在代销产品的经营机构处开通基金交易账户的申请,又是在经营机构所代销产品的所有管理人处开通基金账户的申请。代销机构基于投资者提交的联合开户申请向产品管理人提交其收集的个人投资者信息。
上述“联合开户”模式对投资者个人信息处理的权责,在《个人信息保护法》出台的背景下,需要进一步明确是属于“共同处理”还是属于经营机构“向其他个人信息处理者提供其处理的个人信息”。如果经营机构与产品管理人就代销产品投资者个人信息处理的约定为“共同处理”,涉及侵害投资者个人信息权益造成损害的,双方承担连带责任,在此类合作关系下,经营机构需要对合作机构对于投资者个人信息保护的能力进行充分评估,避免因对方过错而承担连带责任;如果经营机构将相关信息的处理界定为“向其他个人信息处理者提供其处理的个人信息”,则经营机构需要向个人投资者告知接收方的名称、联系方式、处理目的、处理方式和个人信息的种类,并且需要取得投资者个人的“单独同意”。传统的“联合开户”模式下概括性告知的方式,如“您在我公司提交的基金开户申请,默认开通我公司的基金交易账户以及我公司代理销售基金的基金账户”将无法符合对投资者个人信息保护的要求,在所合作产品管理人处为投资者批量开通账户的时代将一去不复返。
D重点关注投资者个人权利的申请受理和处理机制的建立
《个人信息保护法》第四章对于投资者个人在个人信息处理活动中的权利进行了全面的介绍,包括但不限于投资者的知情权、决定权、限制权、拒绝权、删除权等。作为证券期货经营机构而言,响应投资者个人行使上述权利就成为义务。《个人信息保护法》亦明确“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制”。具体在落实中,需要重点关注如下两类业务场景下的投资者个人权利的申请受理和处理机制的建立:
第一类业务是投资者个人不同意处理其个人信息的。《个人信息保护法》出台之前,经营机构在投资者通过手机App办理业务时,如果选择不同意《隐私协议》《个人信息保护政策》中的有关要求时,大概率的结果是被经营机构拒绝提供产品或者服务。《个人信息保护法》对于该业务场景下的管理规范予以了明确,即经营机构除非能证明“处理个人信息属于提供产品或者服务所必需的”,否则不能够以投资者不同意处理其个人信息为由拒绝为投资者提供产品或服务。
这一要求也与前述提及的要明确个人信息处理法律基础、建立投资者信息分类管理的要求相呼应。对于金融机构基于履行法定职责、义务需要处理的信息,如果投资者拒绝,那么金融机构拒绝为其提供产品或者服务是合情合理的;如果属于经营机构基于经营管理需要额外处理的信息,因为投资者拒绝而不提供对应的产品或服务,就要三思而行了,即对于收集信息的必要性(涉及个人敏感信息还需为“充分的”必要性)是否能履行举证义务。
第二类业务是投资者个人撤回对其个人信息处理的同意。传统业务场景下投资者个人信息的流转是单向的,即投资者对经营机构处理其个人信息的授权是一次性的,随着《个人信息保护法》的出台,这种流动将转变为双向的,即投资者如果履行其对个人信息处理同意的撤销权,投资者的信息将从经营机构回流至投资者,经营机构后续不得再继续处理投资者撤回同意部分的信息。
《个人信息保护法》还要求经营机构向个人投资者提供便捷的撤回同意的方式。这一要求对期货经营机构的信息技术开发提出了更高的要求。投资者的个人信息收集、入库、分析处理后,将会进一步运用于经营机构不同的业务平台以及业务场景,而且目前这种数据流向也多为单向流转,即经营机构建立一个核心的数据仓库,汇集从各类业务办理平台收集的投资者个人信息,经过分析处理后,又再推送至各业务应用平台。如果投资者行使了撤销权,虽然不影响撤销前已经开展的个人信息处理活动,但是因为后续不能继续处理,所以核心数据仓库一方面要停止对已经收集的投资者信息的其他处理工作,还需要向其数据流出的各个平台发送相关指令或者加上数据标签,明确投资者的相关信息处理权利已经被撤销这一状态,这对经营机构处理投资者信息的技术手段提出了更高的要求。
因《个人信息保护法》明确其保护的个人信息不包括“匿名化处理后的信息”,长远来看,要想应对投资者撤销权的行使,经营机构在利用投资者个人信息形成的大数据进行经营决策时,应当完善对收集的投资者个人信息的“匿名化”“去标识化”管理,更多地发挥“大数据”的统计分析特点,而不仅限于关注单一投资者的服务需求。
E在“权益保护”优先的前提下也应当兼顾效率
目前,《个人信息保护法》中关于投资者个人信息保护的投诉、举报机制,是基于推动建设全民共同参与的个人信息保护环境而设置的。针对经营机构未能落实投资者个人信息保护义务的,不仅仅是投资者个人,第三方评估机构、行业竞争对手、舆论监督机构等,都能对经营机构违法开展的个人信息处理工作进行投诉、举报,故而不排除在《个人信息保护法》生效之后,针对投资者信息保护将会成为行业经营机构被投诉的热点领域。
从《个人信息保护法》对于经营机构对于投资者个人信息权侵权责任的认定上看,采用的是举证责任倒置的原则,即处理投资者个人信息导致投资者个人信息权益被损害的,经营机构如果不能证明自己没有过错,则应当承担损害赔偿等侵权责任。
对于经营机构而言,如果要想充分证明自己无过错,就需要构建完善的投资者个人信息保护体系,完善对投资者个人信息全生命周期的管理要求,压实对投资者个人信息保护收集、储存、使用、加工、传输、提供、公开等环节的管理责任,确保投资者个人信息处理活动流程清晰、规则明确,合理确定员工对于投资者个人信息处理的操作权限,并做好履责的留痕管理工作等。
《个人信息保护法》的出台,构建的是对个人权益上位法层面更为系统及细化的保护,由于需要顾及各行各业对于个人信息保护的需求,无法面面俱到,法律和商业的边界也有待在实践中反复探索明确。具体到在证券期货经营机构中的落地执行,在“权益保护”优先的前提下,也应当兼顾效率。如果过分强调了个人信息的保护,不仅无法发挥个人信息服务于经济建设的效用,经营机构还要为信息保护义务的履行付出大量的经营成本,长此以往,因履行义务的成本远超过数据分析挖掘带来的经营效益,一定程度上也会限制行业的“数字化转型”。
长远来看,希望行业监管机构一方面能够从规范行业统一管理,降低经营机构管理探索成本的角度,参考投资者适当性管理的路径,在行业层面出台统一的个人信息保护管理规定,明确投资者个人信息保护的各项管理要求;另一方面,因势利导,鼓励行业头部机构加强对投资者个人信息保护的建设工作,如通过分类评价中设置个人信息保护管理的加分项目,引导行业头部、优质经营机构主动推进个人信息保护的制度体系、系统建设相关工作,充分发挥模范带头作用,引导行业积极落实投资者个人信息保护的有关工作。