“5·15”全国投资者保护宣传日活动的热度仍然在延续。记者最新获悉,中证协拟推出两项新团体标准,目前正在征求建议中。两个新标准分别是民生证券牵头制定的《证券行业应用RPA技术的通用功能和接口规范》,和 中泰证券 牵头,财信证券、中国信息通信研究院参与制定的《证券公司投资者个人信息保护技术规范》。
“投资者是市场之本”已成为各方的广泛共识。中证协称,券商在提供多样化的金融产品交易和服务中,在投资者个人信息“全生命周期”处理环节中存在共性运用难点和实践槽点,相关法律、规章、标准众多且分散,为此编制有关技术规范,旨在为证券公司落实投资者个人信息保护要求在技术方面提供工作参考。
经过梳理,拟推出的《技术规范》共8章,附加附录A、附录B、附录C,其中有四大看点值得关注:
一是强调券商各类业务中,如何落实投资者个人信息保护要求。
二是突出体现在生命周期各个环节,证券业务开展中应落实的保护要求。证券公司处理投资者个人信息,应当建立健全投资者个人信息保护体系,明确相关岗位及职责要求,建立健全投资者个人信息处理、安全防护、应急处置、审计监督等管理制度,强化投资者个人信息保护。《技术规范》提出了建立健全内控制度体系的要求,包含建立投资者个人信息保护制度体系;组织架构和岗位设置;人员管理要求;安全防护技术要求和措施;访问控制;投资者个人信息安全影响评估;监控;投资者个人信息安全事件处置;安全教育与培训;第叁方服务机构管理;审计监督。
三是提出分类分级建议、典型应用场景、个人信息保护政策模板等具体化的工作指引。其中,遵循JR/T 0158-2018(《证券期货业数据分类分级指引》),将券商投资者个人信息分为投资者个人基本信息、身份信息、鉴别信息、账户信息、交易信息、财产信息、信用信息、合约信息、行为信息、衍生信息、设备信息、位置信息和其它反映特定投资者个人信息主体某些情况的信息等类别,在此基础上将其分为1、2、3、4级,为后续针对不同级别的投资者个人信息采取不同化的保障措施奠基基础。
四是券商应当规范内部的投资者个人信息处理行为,履行投资者个人信息保护义务,不得损害投资者合法权益。《技术规范》在收集、传输、存储、提供、使用、加工、公开、删除8个处理环节提出了安全防护要求。另外还包含告知义务;取得同意的要求;无需征得同意的例外情况等。
可以看到,投资者保护工作得到高度加强。除了中国证券监督管理委员会日前推出包含《程序化交易管理规定》等十项与投资者保护相关的新规和各类活动,据记者了解,中证协正认真组织开展第六届“5·15”活动各项工作,围绕活动主题开展形式多样、内容丰富的宣传教育活动,以帮助投资者不断增强风险防范意识,推动行业持续提升投资者保护工作质效。
值得强调的是,5月15日当天,中证协第壹次发布了两项保护类团体标准,均与投资者有关,分别是《证券公司投诉处理标准》和《证券公司客户回访标准》,这两项团体标准由中证协与证券行业携手完成,将成为贯穿行业机构在投诉处理及回访操作中各个环节更加精细化和系统化的操作指南。而此次拟推出的《技术规范》是在科技领域进行的规范指引。
证券行业、各大券商目前也仍围绕投资者保护开展一系列工作,在中证协官方网站可以翻阅58家券商的进展。他们通过各种案例展示了他们在投资者关系管理、防非宣传活动、融入国民教育和投资者教育产品和活动方面的作用。
包含川财证券、中金财富、 中原证券 、 中泰证券 、 东吴证券 、东莞证券、 兴业证券 、 红塔证券 、财信证券、 国金证券 、 招商证券 、银河证券、湘财证券、万和证券、万联证券、大同证券、 山西证券 、 广发证券 、中邮证券、 中金公司 、 中信证券 、中航证券、 中银证券 、 天风证券 、开源证券、 方正证券 、 东方证券 、 东北证券 、 东兴证券 、民生证券、 申万宏源 、 长江证券 、 长城证券 、华龙证券、 华安证券 、 华林证券 、 华泰证券 、华福证券、华鑫证券、江海证券、 西南证券 、 西部证券 、 财通证券 、麦高证券、国投证券、 国信证券 、 国泰君安 、国盛证券、 国联证券 、国新证券、国融证券、金元证券、 信达证券 、 南京证券 、恒泰证券、 浙商证券 和 海通证券 。 
图为中证协官方网站显现的一系列活动案例
投资者个人信息将进行分类分级,有望不同化保护
在《技术规范》中,格外关注的是投资者个人信息分类分级的建议。中证协提到,投资者个人信息分类分级是进行层级保护的条件工作,为此《技术规范》提出券商投资者个人信息分类分级思路。
《技术规范》写道,券商应依据依从性、可执行性、时效性、自主性、合理性、客观性原则对投资者个人信息进行分级。公司应根据个人信息的安全性(保密性、完整性、可用性等)遭受破坏后的影响和危害大小,将投资者个人信息从高到低分为4级、3级、2级、1级四个级别:
a)4级主要为用户鉴别类信息。该类信息一旦遭到未经授权的查看、变更或破坏,会对投资者个人信息安全与财产安全造成极其严重危害;
b)3级主要为投资者个人身份信息与财产信息,和用于金融产品与服务的关键信息。该类信息一旦遭到未经授权的查看、变更或破坏,会对投资人的信息安全与财产安全造成严重危害;
c)2级主要指供证券公司内部使用的投资者个人信息。该类信息一旦遭到未经授权的查看、变更或破坏,会对投资人的信息安全与财产安全造成一般危害;
d)1级主要指可被公开或可被公众获知、使用的投资者个人信息。该类信息一旦遭到未经授权的查看、变更或破坏,不会对投资人的信息安全与财产安全造成实质危害。
投资者个人敏感信息一般定义为3级及以上。上述两种或两种以上的低敏感水平类别信息经过组合、关联和分析后可能发生高敏感水平的信息,宜参照高安全层级进行安全防护。同一信息在不一样的服务场景中可能处于不一样的级别,可依据服务场景和该信息在其中的作用对信息的类别进行识别和定级,并实施针对性的保障措施。
对向第叁方提供投资者个人信息提出明确要求
《技术规范》要求,券商出于商业合作等原因向第叁方提供投资者个人信息需注意以下要点:
一是,除非法律法规另有规定,券商向其它个人信息处理者提供并处理投资者个人信息的,需在提供前向投资者告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意,不得私自提供或超过同意范围提供;
二是,在取得个人的单独同意后,券商才能将其处理的投资者个人信息提供给第叁方;
三是,券商基于个人单独同意向其它个人信息处理者提供了投资者个人敏感信息的,应在提供之后及时通过手机短信、邮件、应用内消息等方式再次向个人告知就所提供的个人信息种类、目的和接收方,以便投资者随时查询知悉;
四是,不应在合同中概括的约定信息处理者可以向有关第叁方提供投资者个人信息;
五是,开展证券业务涉及向其它个人信息处理者提供投资者个人信息的一种或多种情形,可在提供个人信息前(或第壹次收集个人的个人信息时),使用一般告知的形式,通过制定发布个人信息保护政策等机制,向投资者个人告知可能涉及的提供个人信息的场景,接收方的身份(或姓名、联系方式),提供的具体目的、方式,涉及的个人信息种类等。
投资者个人信息保护要求再次明确和升级
《中华人民共和国标准化法》鼓励协会等社会团体协调相关市场主体共同制定并发布满足市场和创新期望的团体标准,由本团体成员约定采用或根据本团体的规定供社会自愿采用。同时,民政部印发的《团体标准管理规定》也屡次提及鼓励行业协会建立团体标准等内容。
2023年,中国证券监督管理委员会发布了《证券期货业网络和信息安全管理办法》,其中设置了“第叁章投资者个人信息保护”专章,对证券公司投资者个人信息保护提出了总体要求,其中第叁十条规定“核心机构和经营机构处理投资者个人信息,应当建立健全投资者个人信息保护体系,明确相关岗位及职责要求,建立健全投资者个人信息处理、安全防护、应急处置、审计监督等管理制度,强化投资者个人信息保护”,至此中国证券监督管理委员会对券商投资者个人信息保护的要求再次明确和升级。
本次《证券公司投资者个人信息保护技术规范》的标准编制工作始于2022年,也就是两年前,2022年6月—2022年10月开展调研、提出立项意向,直到今年1月正式成立了工作小组,由 中泰证券 公司牵头,组织财信证券、中国信息通信研究院、万联证券、 国泰君安 证券、腾讯集团金融消费者权益保护部、 东北证券 、民生证券、 招商证券 等单位构成。
据记者了解,本次《证券公司投资者个人信息保护技术规范(草案)》具有三大原则:
全面性原则:依据法律、规章、标准等不同层面有关个人信息保护要求,涵盖投资者个人信息保护相关的管理要求和技术要求,覆盖从主要责任人、各部门、子公司到全体员工的各个层级,覆盖投资者个人信息全生命周期的安全管控要求。
可执行性原则:充分考虑现实执行情况,从国家标准、行业标准中汲取规范措施,切实从可执行、可落实角度去指引方向,既符合法律、规章,又偏重于建立体系化管理要求、完善机制、制定有效措施落实;既要达到该落实的要求,又避免要求过高、过细、过严,对于投资者个人信息保护的基本事项,予以明确,对于进一步可以优化提高的要求,也尽量细化梳理。
体现行业特性原则:充分结合行业特性,强调证券公司各类业务中,如何落实投资者个人信息保护要求,在生命周期各个环节体现证券业务开展中应落实的保护要求,特别提出分类分级建议、典型应用场景、个人信息保护政策模板等具体化的工作指引。
基于上述,《技术规范》提出投资者个人信息保护的基本规则:权责一致、目的明确、告知同意、最少必要、分级保护、公开透明、确保安全、主体参与、确保质量。
