筑基固本, 添翼附羽——简述《网络数据安全管理条例》对公募基金公司数据安全管理工作的影响
2024年9月30日国务院颁布第790号令, 正式发布《网络数据安全管理条例》(以下简称“《条例》”), 《条例》将于2025年1月1日起施行。作为《网络安全法》《数据安全法》《个人信息保护法》的配套行政法规, 《条例》填补了我国在网络数据安全管理领域行政法规层级的空白, 细化和落实了上位法中的相关制度性安排和原则性规定, 为网络数据安全管理工作提供了明确的法律支撑和具体实施路径, 为这一领域的法律法规体系完善了关键一环。
中国证监会作为行业监管机构, 历来高度重视公募基金公司(下称“基金公司”)等证券基金经营机构对其业务数据和客户信息的安全管控。此前, 围绕数据安全及客户信息保护, 证监会已先后发布了《证券基金经营机构信息技术管理办法》《证券期货业网络安全事件报告与调查处理办法》《证券期货业网络和信息安全管理办法》等部门规章及相关配套行业标准, 指导证券基金经营机构践行更高标准的数据安全管理义务。因此, 从实践层面, 《条例》的部分要求已在基金公司现实落地。但同时, 《条例》也不乏对现有网络数据安全管理规范的增补, 这对基金公司日常的网络数据安全管理工作提出了新的要求与挑战。本文聚焦《条例》的主要内容, 并对照现有行业监管规则, 以期为基金公司更好地理解和执行《条例》提供有益思路。
一、《条例》的主要内容
(一)网络数据处理者的基本义务规范
《条例》第二章“一般规定”旨在通过提炼网络数据安全工作的关键环节, 压实网络数据处理者主体责任。证券基金经营机构从事金融业务, 掌握着敏感的数据信息, 其数据安全管理是整个行业乃至国家安全的重要环节。近年来, 证监会等行业主管部门已全方位构建对基金公司网络数据安全的监管体系, 下文我们将对照现行的行业监管规范, 梳理基金公司执行《条例》下基本义务规范的具体方向与细化标准。
1. 现行行业监管规范对《条例》的映射
2. 《条例》对基金公司提出的新要求
针对网络数据环境和技术的快速演进, 《条例》在以下方面提出了更具体严格的操作指导和合规标准:
(1)明确数据交互的“标准动作”
对于个人信息、重要数据的委托处理、向其他数据处理者提供及共同处理, 《条例》在重申数据交互各方基本的安全保障责任外, 进一步明确应通过合同等方式落实数据处理各方目的、方式、范围以及安全保护义务等内容。在此之前, 《个人信息保护法》仅提及个人信息委托处理场景需要该等合同约束。中国人民银行关于金融数据、个人金融信息的行业标准, 虽也鼓励通过合同等方式约束各方责任, 但该等标准并不具有强制执行力。因此, 《条例》的落地进一步将合同或其他具有约束力的法律文件的签署安排扩展至包括个人信息对外提供在内的数据交互环节。
此外, 《条例》规定个人信息、重要数据的相关处理记录应当至少保存3年。
(2)建立面向公众提供服务主体的社会监督机制
公募基金面向公众销售, 随着互联网的发展, 已成为居民创造财富的重要投资工具。因此, 基金公司属于《条例》第二十条规定的“面向社会提供产品、服务的网络数据处理者”, 应当建立便捷的网络数据安全投诉、举报渠道, 公布投诉、举报方式等信息, 及时受理并处理网络数据安全投诉、举报。
(二) 个人信息保护
1. 规范个人信息处理规则的展示和内容要求
结合网信、工信等多部门治理APP侵害个人信息权益的执法经验, 《条例》第二十一条在《个人信息保护法》的基础上对个人信息处理规则的展示及必备内容做了进一步的细化与补充, 将散见在规范性文件中的重要内容上升为行政法规的要求, 包括:
a.个人信息处理规则应当集中公开展示、易于访问并置于醒目位置;
b.列明个人主张个人信息权利(查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意)的方法和途径;
c.以清单等形式列明, 收集个人信息和向其他网络数据处理者提供个人信息的目的、方式、种类以及接收方信息;
d.就处理不满十四周岁未成年人个人信息, 应专门制定的个人信息处理规则。
2. 提供实现个人信息权利主张的具体路径
《条例》呼应了《个人信息保护法》关于保障个人查阅、复制、更正、补充、删除、撤回同意权利行使的要求, 增加个人就限制处理其个人信息、账户注销等个人信息权利的行使, 并明确了个人信息转移权的具体操作路径。网络数据处理者应当及时响应并提供便捷的行使权利方式, 不得无理拒绝或设置障碍。对于符合条件的个人信息转移请求, 网络数据处理者也应提供必要的支持。
3. 明确在特定情况下处理个人信息的规范
《条例》第二十四条对网络数据处理者在利用自动化采集技术过程中无法避免采集到非必要个人信息或未获得个人同意的情况下, 以及在个人注销账号时, 如何处理个人信息提供了具体规范。如果技术上可行, 网络数据处理者应删除或匿名化处理这些个人信息; 如果技术上难以实现, 应限制进一步处理, 停止除存储和采取必要安全保护措施之外的处理。
4. 细化个人信息保护的合规审计要求
《条例》再次强调网络数据处理者应定期开展个人信息处理合规审计的要求, 并明确了合规审计可自行或者委托专业机构开展。
结合国家网信办《个人信息保护合规审计管理办法(征求意见稿)》及配套国家标准对于该项合规审计的细化要求, 个人信息保护的合规审计与证监会《证券基金经营机构信息技术管理办法》项下的IT审计侧重各有不同, 难以简单替换。
(三) 重要数据安全
2016年的《网络安全法》首次提出“重要数据”, 《数据安全法》进一步确立数据分类分级保护机制, 规定重要数据目录由国家有关部门制定, 并对重要数据加强保护。《条例》则在行政法规层面明确重要数据的定义, 即特定领域、特定群体、特定区域或者达到一定精度和规模, 一旦遭到篡改、破坏、泄露或者非法获取、非法利用, 可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
《条例》重申了重要数据目录应由各地区、各部门依据数据分类分级保护制度来确定。行业监管方面, 在2024年3月20日国务院关于《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》(简称“《行动方案》”)政策例行吹风会上, 中国人民银行国际司负责人介绍了人民银行正在会同其他金融管理部门, 明确金融领域重要数据目录。未来, 人民银行、证监会层面将发布金融证券基金领域的重要数据目录。地方上, 根据天津自贸区管委会发布的《中国(天津)自由贸易试验区企业数据分类分级标准规范》, 天津自贸区将金融机构安保信息、国防军工企业、关系国家安全企业的相关信息列为重要数据。关于后者, 基金公司应关注相关敏感企业的投研信息是否会被视为重要数据, 进而肩负更重大的安全保护职责。
根据《条例》, 网络数据处理者应当主动识别、申报重要数据, 如涉及处理重要数据, 则应履行网络数据安全保护责任:
a.指定网络数据安全负责人和设立网络数据安全管理机构;
b.在提供、委托处理、共同处理重要数据前进行风险评估;
c.在发生合并、分立、解散、破产等情形时, 采取措施保障数据安全并履行报告义务;
d.定期开展网络数据处理活动的风险评估, 并提交评估报告。
特别指出, 处理1000万人以上个人信息的网络数据处理者, 需参照执行上述第a项和第c项的要求。因此, 即便行业监管机构或部分地区尚未发布重要数据目录, 但因处理个人信息达到一定量级, 上述规定仍将适用于大部分基金公司。
(四) 数据跨境管理
网络数据跨境安全管理方面, 《条例》秉持《行动方案》关于便利数据跨境流动, 服务高水平对外开放的基本原则, 沿袭了《数据安全法》《个人信息保护法》下个人信息、重要数据的出境管控要求, 并在行政法规层面认可了国家网信办《促进和规范数据跨境流动规定》(“《数据跨境流动规定》”)规定的个人信息出境豁免情形[1], 将数据出境的管控重点放在个人信息和重要数据上, 并未采纳征求意见稿将管控范围扩展至一般数据的操作。具体而言:
1. 法定需通过数据出境安全评估的情形
(1)向境外提供重要数据。
注: 未被相关部门、地区告知或者公开发布为重要数据的, 数据处理者不需要作为重要数据申报数据出境安全评估。
(2)非关键信息基础设施运营者(“关基单位”)自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)。属于下文第3项豁免情形的除外。
(3)非关基单位自当年1月1日起累计向境外提供1万人以上敏感个人信息。属于下文第3项豁免情形的除外。
(4)关基单位向境外提供个人信息。属于下文第3项豁免情形的除外。
2. 法定需与境外接收方订立标准合同或者个人信息保护认证的情形
(1)非关基单位自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)。属于下文第3项豁免情形的除外。
(2)非关基单位自当年1月1日起累计向境外提供不满1万人敏感个人信息。属于下文第3项豁免情形的除外。
3. 可豁免第1、2项路径的情形
(1)非关基单位自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)。
(2)为订立、履行个人作为一方当事人的合同, 确需向境外提供个人信息。
(3)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理, 确需向境外提供员工个人信息。
(4)紧急情况下为保护自然人的生命健康和财产安全, 确需向境外提供个人信息。
(5)为履行法定职责或者法定义务, 确需向境外提供个人信息。
值得注意的是, 第(5)项为本次《条例》新增的豁免情形。对于基金公司而言, 此项或为跨境业务(如QDII业务)涉及的数据出境提供合法路径。
此外, 国家允许有条件的自由贸易试验区和自由贸易港可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单等, 即自贸区负面清单机制。目前天津自贸试验区、上海自贸试验区临港新片区[2]、北京自贸试验区已相继发布相关清单, 在数据跨境流动管理方面展开了重要探索, 与《个人信息保护法》《条例》《数据跨境流动规定》等法律法规共同构成了数据跨境流动的清晰法律框架和实践指南。
(五) 网络平台服务提供者的特别要求
对于通过官方网站、APP或微信小程序等平台开展线上基金销售的基金公司, 应关注《条例》第六章关于网络平台服务提供者义务的内容:
1.基金公司官网、APP或微信小程序等平台通过接入第三方SDK实现人脸识别、支付处理、数据分析和推送服务等业务功能的, 应当通过平台规则或者合同等明确接入其平台的第三方SDK的网络数据安全保护义务, 并督促第三方SDK加强网络数据安全管理。如第三方SDK违反法律法规或者平台规则及相关合同约定开展网络数据处理活动, 对用户造成损害的, 基金公司将根据其责任范围承担相应的法律责任。因此, 基金公司应特别注意前述义务和责任分配。
2.基金公司通过自动化决策方式向个人进行信息推送的, 应当设置易于理解、便于访问和操作的个性化推荐关闭选项, 为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。
3.如基金公司线上销售平台达到一定标准, 即注册用户5000万以上或者月活跃用户1000万以上, 业务类型复杂, 相关数据处理活动对国家安全、经济运行、国计民生等具有重要影响的, 将被视为“大型网络平台”, 并履行更为严格的网络数据安全管理义务(如年度发布个人信息保护社会责任报告)。
二、对基金公司后续行动的初步建议
《条例》将自2025年1月1日起施行, 结合上文对《条例》的梳理, 我们将就基金公司可采取的后续行动提供初步建议, 以协助机构更好落实《条例》的新要求, 确保数据处理活动的合法合规:
1. 进一步加强网络数据安全防护
尽管行业主管部门已对证券基金经营机构的网络数据安全责任建立了完善的规则体系, 但因网络数据安全管理不足而导致的风险事件仍时有发生。如券商经纪系统故障影响投资者的系统登录及正常交易; 部分公司因网络安全防护能力不足而遭受病毒感染或爬虫程序攻击, 导致官网无法访问、网站被黑客篡改等。这些事件都凸显了行业机构加强网络安全防护的紧迫性。
本次《条例》在行政法规层面进一步夯实机构网络数据安全主体责任, 并构建了分工与协同相结合的网络数据监督管理体制机制。可预见到的, 国家相关职能部门将形成监管合力, 纵深推进金融机构的网络数据安全监管, 这将给基金公司带来重大的监管挑战。
2. 健全网络数据安全管理制度
基金公司应全面梳理并检视公司现有的网络数据安全管理相关制度, 对照《条例》的新要求予以更新, 特别是在落实个人信息保护、数据出境管理、第三方管理以及网络平台服务等方面。
3. 加强第三方合作管理
在与外部机构的合作中, 监管部门就曾通报个别公司存在与外部机构的协议约定允许保密信息对外披露、外包人员拥有较高系统权限致使重要信息存在泄露风险。基金公司与第三方合作时涉及业务数据、客户信息处理的, 若疏于监督管理, 不仅可能承担行政处罚风险, 还可能因侵害投资者权益而承担民事风险。故我们建议机构:
与第三方(如代销机构、外包机构、SDK服务商等)的合作涉及个人信息、重要数据的委托处理、对外提供及共同处理的, 应梳理并更新与该等合作方签订的合同或补充签订相关约束性文件。
加强对数据接收方和第三方SDK履约情况的监督管理。
确保按照《条例》要求保存个人信息、重要数据委托处理、对外提供的处理记录。
4. 完善个人信息处理规则的内容与展示方式
对照《条例》及工信部门的相关要求, 更新和完善个人信息处理规则, 并确保其集中公开展示、易于访问并置于醒目位置; 以清单方式列明个人信息的收集和对外提供的情形; 就处理不满十四周岁未成年人个人信息专设规则。
5. 建立并公开网络数据安全投诉和举报渠道, 同时制定有效的响应和处理工作机制。
6. 完善个人信息权利行使响应机制
为投资者提供便捷的个人信息权利行使途径, 包括查阅、复制、更正、补充、删除个人信息, 或注销账号、撤回同意, 以及个人信息转移等; 通过自动化决策方式向投资者推送信息的, 提供拒绝接收推送信息、删除针对其个人特征的用户标签的功能选择。
7. 建立个人信息保护合规审计机制并定期开展审计工作。
注释
[1] 具体可参阅本团队此前的解读——《春风化冻⸺数据跨境流动新规出台》(https://www.llinkslaw.com/uploadfile/publication/63_1711446271.pdf)
[2] 关于上海自贸试验区临港新片区对于公募基金公司的数据出境新动向可参阅本团队此前的解读——《临港新片区公募基金一般数据清单机制简析》
转载自上海市通力律师事务所 吕红,陈颖华,袁莹娅
中国证监会作为行业监管机构, 历来高度重视公募基金公司(下称“基金公司”)等证券基金经营机构对其业务数据和客户信息的安全管控。此前, 围绕数据安全及客户信息保护, 证监会已先后发布了《证券基金经营机构信息技术管理办法》《证券期货业网络安全事件报告与调查处理办法》《证券期货业网络和信息安全管理办法》等部门规章及相关配套行业标准, 指导证券基金经营机构践行更高标准的数据安全管理义务。因此, 从实践层面, 《条例》的部分要求已在基金公司现实落地。但同时, 《条例》也不乏对现有网络数据安全管理规范的增补, 这对基金公司日常的网络数据安全管理工作提出了新的要求与挑战。本文聚焦《条例》的主要内容, 并对照现有行业监管规则, 以期为基金公司更好地理解和执行《条例》提供有益思路。
(一)网络数据处理者的基本义务规范
《条例》第二章“一般规定”旨在通过提炼网络数据安全工作的关键环节, 压实网络数据处理者主体责任。证券基金经营机构从事金融业务, 掌握着敏感的数据信息, 其数据安全管理是整个行业乃至国家安全的重要环节。近年来, 证监会等行业主管部门已全方位构建对基金公司网络数据安全的监管体系, 下文我们将对照现行的行业监管规范, 梳理基金公司执行《条例》下基本义务规范的具体方向与细化标准。
1. 现行行业监管规范对《条例》的映射
2. 《条例》对基金公司提出的新要求
针对网络数据环境和技术的快速演进, 《条例》在以下方面提出了更具体严格的操作指导和合规标准:
(1)明确数据交互的“标准动作”
对于个人信息、重要数据的委托处理、向其他数据处理者提供及共同处理, 《条例》在重申数据交互各方基本的安全保障责任外, 进一步明确应通过合同等方式落实数据处理各方目的、方式、范围以及安全保护义务等内容。在此之前, 《个人信息保护法》仅提及个人信息委托处理场景需要该等合同约束。中国人民银行关于金融数据、个人金融信息的行业标准, 虽也鼓励通过合同等方式约束各方责任, 但该等标准并不具有强制执行力。因此, 《条例》的落地进一步将合同或其他具有约束力的法律文件的签署安排扩展至包括个人信息对外提供在内的数据交互环节。
此外, 《条例》规定个人信息、重要数据的相关处理记录应当至少保存3年。
(2)建立面向公众提供服务主体的社会监督机制
公募基金面向公众销售, 随着互联网的发展, 已成为居民创造财富的重要投资工具。因此, 基金公司属于《条例》第二十条规定的“面向社会提供产品、服务的网络数据处理者”, 应当建立便捷的网络数据安全投诉、举报渠道, 公布投诉、举报方式等信息, 及时受理并处理网络数据安全投诉、举报。
(二) 个人信息保护
1. 规范个人信息处理规则的展示和内容要求
结合网信、工信等多部门治理APP侵害个人信息权益的执法经验, 《条例》第二十一条在《个人信息保护法》的基础上对个人信息处理规则的展示及必备内容做了进一步的细化与补充, 将散见在规范性文件中的重要内容上升为行政法规的要求, 包括:
a.个人信息处理规则应当集中公开展示、易于访问并置于醒目位置;
b.列明个人主张个人信息权利(查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意)的方法和途径;
c.以清单等形式列明, 收集个人信息和向其他网络数据处理者提供个人信息的目的、方式、种类以及接收方信息;
d.就处理不满十四周岁未成年人个人信息, 应专门制定的个人信息处理规则。
2. 提供实现个人信息权利主张的具体路径
《条例》呼应了《个人信息保护法》关于保障个人查阅、复制、更正、补充、删除、撤回同意权利行使的要求, 增加个人就限制处理其个人信息、账户注销等个人信息权利的行使, 并明确了个人信息转移权的具体操作路径。网络数据处理者应当及时响应并提供便捷的行使权利方式, 不得无理拒绝或设置障碍。对于符合条件的个人信息转移请求, 网络数据处理者也应提供必要的支持。
3. 明确在特定情况下处理个人信息的规范
《条例》第二十四条对网络数据处理者在利用自动化采集技术过程中无法避免采集到非必要个人信息或未获得个人同意的情况下, 以及在个人注销账号时, 如何处理个人信息提供了具体规范。如果技术上可行, 网络数据处理者应删除或匿名化处理这些个人信息; 如果技术上难以实现, 应限制进一步处理, 停止除存储和采取必要安全保护措施之外的处理。
4. 细化个人信息保护的合规审计要求
《条例》再次强调网络数据处理者应定期开展个人信息处理合规审计的要求, 并明确了合规审计可自行或者委托专业机构开展。
结合国家网信办《个人信息保护合规审计管理办法(征求意见稿)》及配套国家标准对于该项合规审计的细化要求, 个人信息保护的合规审计与证监会《证券基金经营机构信息技术管理办法》项下的IT审计侧重各有不同, 难以简单替换。
(三) 重要数据安全
2016年的《网络安全法》首次提出“重要数据”, 《数据安全法》进一步确立数据分类分级保护机制, 规定重要数据目录由国家有关部门制定, 并对重要数据加强保护。《条例》则在行政法规层面明确重要数据的定义, 即特定领域、特定群体、特定区域或者达到一定精度和规模, 一旦遭到篡改、破坏、泄露或者非法获取、非法利用, 可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
《条例》重申了重要数据目录应由各地区、各部门依据数据分类分级保护制度来确定。行业监管方面, 在2024年3月20日国务院关于《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》(简称“《行动方案》”)政策例行吹风会上, 中国人民银行国际司负责人介绍了人民银行正在会同其他金融管理部门, 明确金融领域重要数据目录。未来, 人民银行、证监会层面将发布金融证券基金领域的重要数据目录。地方上, 根据天津自贸区管委会发布的《中国(天津)自由贸易试验区企业数据分类分级标准规范》, 天津自贸区将金融机构安保信息、国防军工企业、关系国家安全企业的相关信息列为重要数据。关于后者, 基金公司应关注相关敏感企业的投研信息是否会被视为重要数据, 进而肩负更重大的安全保护职责。
根据《条例》, 网络数据处理者应当主动识别、申报重要数据, 如涉及处理重要数据, 则应履行网络数据安全保护责任:
a.指定网络数据安全负责人和设立网络数据安全管理机构;
b.在提供、委托处理、共同处理重要数据前进行风险评估;
c.在发生合并、分立、解散、破产等情形时, 采取措施保障数据安全并履行报告义务;
d.定期开展网络数据处理活动的风险评估, 并提交评估报告。
特别指出, 处理1000万人以上个人信息的网络数据处理者, 需参照执行上述第a项和第c项的要求。因此, 即便行业监管机构或部分地区尚未发布重要数据目录, 但因处理个人信息达到一定量级, 上述规定仍将适用于大部分基金公司。
(四) 数据跨境管理
网络数据跨境安全管理方面, 《条例》秉持《行动方案》关于便利数据跨境流动, 服务高水平对外开放的基本原则, 沿袭了《数据安全法》《个人信息保护法》下个人信息、重要数据的出境管控要求, 并在行政法规层面认可了国家网信办《促进和规范数据跨境流动规定》(“《数据跨境流动规定》”)规定的个人信息出境豁免情形[1], 将数据出境的管控重点放在个人信息和重要数据上, 并未采纳征求意见稿将管控范围扩展至一般数据的操作。具体而言:
1. 法定需通过数据出境安全评估的情形
(1)向境外提供重要数据。
注: 未被相关部门、地区告知或者公开发布为重要数据的, 数据处理者不需要作为重要数据申报数据出境安全评估。
(2)非关键信息基础设施运营者(“关基单位”)自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)。属于下文第3项豁免情形的除外。
(3)非关基单位自当年1月1日起累计向境外提供1万人以上敏感个人信息。属于下文第3项豁免情形的除外。
(4)关基单位向境外提供个人信息。属于下文第3项豁免情形的除外。
2. 法定需与境外接收方订立标准合同或者个人信息保护认证的情形
(1)非关基单位自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)。属于下文第3项豁免情形的除外。
(2)非关基单位自当年1月1日起累计向境外提供不满1万人敏感个人信息。属于下文第3项豁免情形的除外。
3. 可豁免第1、2项路径的情形
(1)非关基单位自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)。
(2)为订立、履行个人作为一方当事人的合同, 确需向境外提供个人信息。
(3)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理, 确需向境外提供员工个人信息。
(4)紧急情况下为保护自然人的生命健康和财产安全, 确需向境外提供个人信息。
(5)为履行法定职责或者法定义务, 确需向境外提供个人信息。
值得注意的是, 第(5)项为本次《条例》新增的豁免情形。对于基金公司而言, 此项或为跨境业务(如QDII业务)涉及的数据出境提供合法路径。
此外, 国家允许有条件的自由贸易试验区和自由贸易港可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单等, 即自贸区负面清单机制。目前天津自贸试验区、上海自贸试验区临港新片区[2]、北京自贸试验区已相继发布相关清单, 在数据跨境流动管理方面展开了重要探索, 与《个人信息保护法》《条例》《数据跨境流动规定》等法律法规共同构成了数据跨境流动的清晰法律框架和实践指南。
(五) 网络平台服务提供者的特别要求
对于通过官方网站、APP或微信小程序等平台开展线上基金销售的基金公司, 应关注《条例》第六章关于网络平台服务提供者义务的内容:
1.基金公司官网、APP或微信小程序等平台通过接入第三方SDK实现人脸识别、支付处理、数据分析和推送服务等业务功能的, 应当通过平台规则或者合同等明确接入其平台的第三方SDK的网络数据安全保护义务, 并督促第三方SDK加强网络数据安全管理。如第三方SDK违反法律法规或者平台规则及相关合同约定开展网络数据处理活动, 对用户造成损害的, 基金公司将根据其责任范围承担相应的法律责任。因此, 基金公司应特别注意前述义务和责任分配。
2.基金公司通过自动化决策方式向个人进行信息推送的, 应当设置易于理解、便于访问和操作的个性化推荐关闭选项, 为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。
3.如基金公司线上销售平台达到一定标准, 即注册用户5000万以上或者月活跃用户1000万以上, 业务类型复杂, 相关数据处理活动对国家安全、经济运行、国计民生等具有重要影响的, 将被视为“大型网络平台”, 并履行更为严格的网络数据安全管理义务(如年度发布个人信息保护社会责任报告)。
《条例》将自2025年1月1日起施行, 结合上文对《条例》的梳理, 我们将就基金公司可采取的后续行动提供初步建议, 以协助机构更好落实《条例》的新要求, 确保数据处理活动的合法合规:
1. 进一步加强网络数据安全防护
尽管行业主管部门已对证券基金经营机构的网络数据安全责任建立了完善的规则体系, 但因网络数据安全管理不足而导致的风险事件仍时有发生。如券商经纪系统故障影响投资者的系统登录及正常交易; 部分公司因网络安全防护能力不足而遭受病毒感染或爬虫程序攻击, 导致官网无法访问、网站被黑客篡改等。这些事件都凸显了行业机构加强网络安全防护的紧迫性。
本次《条例》在行政法规层面进一步夯实机构网络数据安全主体责任, 并构建了分工与协同相结合的网络数据监督管理体制机制。可预见到的, 国家相关职能部门将形成监管合力, 纵深推进金融机构的网络数据安全监管, 这将给基金公司带来重大的监管挑战。
2. 健全网络数据安全管理制度
基金公司应全面梳理并检视公司现有的网络数据安全管理相关制度, 对照《条例》的新要求予以更新, 特别是在落实个人信息保护、数据出境管理、第三方管理以及网络平台服务等方面。
3. 加强第三方合作管理
在与外部机构的合作中, 监管部门就曾通报个别公司存在与外部机构的协议约定允许保密信息对外披露、外包人员拥有较高系统权限致使重要信息存在泄露风险。基金公司与第三方合作时涉及业务数据、客户信息处理的, 若疏于监督管理, 不仅可能承担行政处罚风险, 还可能因侵害投资者权益而承担民事风险。故我们建议机构:
与第三方(如代销机构、外包机构、SDK服务商等)的合作涉及个人信息、重要数据的委托处理、对外提供及共同处理的, 应梳理并更新与该等合作方签订的合同或补充签订相关约束性文件。
加强对数据接收方和第三方SDK履约情况的监督管理。
确保按照《条例》要求保存个人信息、重要数据委托处理、对外提供的处理记录。
4. 完善个人信息处理规则的内容与展示方式
对照《条例》及工信部门的相关要求, 更新和完善个人信息处理规则, 并确保其集中公开展示、易于访问并置于醒目位置; 以清单方式列明个人信息的收集和对外提供的情形; 就处理不满十四周岁未成年人个人信息专设规则。
5. 建立并公开网络数据安全投诉和举报渠道, 同时制定有效的响应和处理工作机制。
6. 完善个人信息权利行使响应机制
为投资者提供便捷的个人信息权利行使途径, 包括查阅、复制、更正、补充、删除个人信息, 或注销账号、撤回同意, 以及个人信息转移等; 通过自动化决策方式向投资者推送信息的, 提供拒绝接收推送信息、删除针对其个人特征的用户标签的功能选择。
7. 建立个人信息保护合规审计机制并定期开展审计工作。
注释
[1] 具体可参阅本团队此前的解读——《春风化冻⸺数据跨境流动新规出台》(https://www.llinkslaw.com/uploadfile/publication/63_1711446271.pdf)
[2] 关于上海自贸试验区临港新片区对于公募基金公司的数据出境新动向可参阅本团队此前的解读——《临港新片区公募基金一般数据清单机制简析》
转载自上海市通力律师事务所 吕红,陈颖华,袁莹娅
上一篇:已经是第一篇下一篇:管理人在破产案件中的履职智慧
本文2024-10-15 18:40:04发表“律法实务”栏目。
本文链接:https://www.cmprt.cn/article/1afbe2c382d4b7c3.html
您需要登录后才可以发表评论, 登录 或者 注册
最新文档
最新实务
