道可特研究 | 金融行业数据合规观察“证券基金篇”(一)

2024-12-14 0

目录

(一)行业数据治理概况
(二)行业数据立法分析
(三)行业数据监管动态
(四)行业数据合规建议

行业数据治理概况

一、证券基金行业所涉数据复杂敏感,行业监管力度加强

中国证监会发布的《证券期货业数据模型》系列中,将证券公司和基金公司在开展业务的过程中会涉及到的数据在类型上进行了细致的划分,包括主体数据、账户数据、交易数据、资产数据等等,每一类数据域中又划分出不同的部分或种类。比如证券业中的交易数据,该类数据域是用于描述各种与证券公司相关活动的详细情况。这些活动通常指证券公司与客户等主体的交互活动,包括详细的交易行为数据,还包括导致主体、账户、合同等其他数据域数据变化的非交易行为数据。其中,交易行为数据又要根据交易过程和交易品种作进一步的分类。又比如基金业中的交易数据,该数据域是用于描述基金公司及相关主体在运营和开展业务过程中的各类活动,包括投资研究、投资交易事件、投资者交易事件、投资者管理事件、清算事件、风险管理事件。每一类事件中,比如投资者交易事件中的数据,又要根据基金账户开销户、基金产品申赎或追加提取、投资资金清算、投资资金财务管理等活动类型继续分类。因此,证券基金业中所涉及到的数据高度复杂,要全方位做好管理合规工作有着巨大的难度。

除复杂性之外,证券基金业所涉数据同时具有极高的敏感度。2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》中对与证券期货业直接相关的重要数据进行了概括列举,包括安全生产、运行的数据,关键系统组件、设备供应链数据。这些数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益,可能影响到证券基金市场的健康发展,进而造成社会动荡、经济下滑等严重后果。因此,证券基金行业的数据具有很高的敏感度,因此也面临着更强的国家监管力度和更高的合规要求。

此外,即使是以上重要数据之外的一般数据发生安全问题,也会关系到投资者的切身利益,包括他们的经济收益、个人隐私等各种方面,因此投资者的维权意识也在不断增强,行政与司法上的投资者维权途径也在不断完善。比如在“秦某等8人诉光大证券股份有限公司内幕交易民事赔偿案”中,法院首次采用了美国及我国台湾地区通行的“推定因果关系”的做法,解决了该案之前在内幕交易案中因果关系的证明难题,一定程度上提升了投资者在面对内幕交易时维权的积极性。

数据安全和个人隐私保护是证券行业数据监管的重点,《网络安全法》《数据安全法》《个人信息保护法》等一系列上位法对以上方面做了一般规定,行业部门法如《证券基金经营机构信息技术管理办法》《证券期货业信息安全保障管理办法》等针对证券基金行业做出具体规定。2022年4月29日,证监会起草并公布《证券期货业网络安全管理办法(征求意见稿)》(以下简称《网安管理办法》),该稿旨在系统性地归纳和细化各部上位法在证券期货行业的适用。通过该意见稿看出,证监会将对证券期货行业网络安全和信息保护工作进行全方位监管。

二、证券基金App广泛普及带来网络安全及数据合规等问题

随着科技的迅速发展与生产方式的快速变革,证券基金行业的数字化建设浪潮蓬勃兴起,证券基金业已经成为一个数据密集型和科技驱动型的行业。再加上近年来受新型冠状病毒疫情的影响,许多证券基金公司的工作方式由线下转移至线上,被迫加入了数字化转型的队伍。

相关数据显示,2018年互联网证券市场规模已超过3000亿元。截至2019年底,信通院研究团队从全国112个安卓应用市场中收录的证券行业相关移动应用数量达到4259款,其中有68.54%的应用分布于收录量排名前十的应用市场。[1]

同时,证券基金移动应用的用户数量与粘性都有明显上升。易观千帆于2022年1月21日发布《2021年中国证券基金市场年度专题分析》报告,其中显示2021年有1826万新投资者入局,且用户使用粘性进一步增长,2021年证券基金应用期内月活人数突破1.4亿,较年初增长2000万,月度人均单日启动次数达1097次。[2]

但是,基于Java编写的安卓App容易被破解暴露App源代码,进而导致App盗版、二次打包、注入等安全问题。而“安全加固”是维护App安全的重要防护手段,能够有效阻止对App的反汇编分析。然而信通院在调研中发现,证券类App的加固比例仅有26.58%,7成以上的证券移动应用没有进行安全加固。[3]这说明,虽然证券基金行业的业务模式经历着快速的数字化与创新发展,但网络安全意识却没有及时地跟上这种发展。而网络安全不仅限于“安全加固”这一种措施,还涉及到App内部设计的各种方面。如果安全措施和安全技术跟不上,证券基金业务量及客户量的增加将带来更多的网络安全风险。

另外,证券基金App的广泛应用不仅带来网络安全问题,更引发个人信息保护问题。近年来,App是数据合规治理的重点,也属于国家有关机关监管的重点领域,多部门多机构多次针对APP数据保护状况开展专项检查,App面临较大的数据合规监管压力。据新华社2022年4月24日消息,国家计算机病毒应急处理中心近期通过互联网监测发现,17款券商App存在隐私不合规行为,违反网络安全法、个人信息保护法等相关规定。在证券基金行业日益依赖于移动应用开展业务的当下,证券基金公司也应更加关注个人信息保护及数据合规问题。

三、技术创新带来数据安全风险,数据治理提上日程

在寻求以更加简便的方式与客户开展业务的同时,创新技术的应用必然伴随着新的网络安全威胁。根据深圳市投资基金同业公会于2021年3月份发布的《基金行业信息安全白皮书》中的研究内容,基金行业是涉及业务敏感数据较多的行业,是高度依赖信息化的行业,也是信息安全风险挑战较为严峻的行业。多年来,随着基金公司对于信息技术潜在风险愈发重视,整个基金行业的信息安全防护水平有了长足进步,已经能够抵御常规性的网络攻击。

但随着攻击手段的与时俱进以及新技术的迅速发展,信息安全攻击已经逐渐产业化并吸引了更多高技术人员参与到攻击工作中,对整个证券基金行业的信息安全防护能力造成了一定的冲击,传统的网络安全控制措施与技术已不能满足要求,证券基金行业将面临更高的数据安全与用户信息保护的合规风险。如果安全防护措施没做到位,一旦发生重大事故,将给企业造成无法估量的影响,直接威胁到企业生存和发展,造成无可挽回的经济损失,甚至影响整个证券基金行业的发展和社会稳定。

因此,为了应对快速上升的网络安全风险,近年来,国家对行业监管的要求日趋严格,并且有进一步加大监管力度的趋势。“十四五”规划中提出“加快数字化发展”战略部署,提出“构建金融有效支持实体经济的体制机制,提升金融科技水平,增强金融普惠性”,同时也要“完善现代金融监管体系,提高金融监管透明度和法治化水平”的要求。2021年5月召开了上海证券交易所技术大会,中国证监会副主席在大会中指出,中国证监会高度重视资本市场科技化转型与发展,确定了“数字让监管更加智慧”的愿景,强化顶层设计,坚持问题导向、应用导向。同时他强调,在这一数字化转型的新发展阶段,整个证券基金行业应当紧扣稳妥发展金融科技和强化监管科技运用两条主线,稳妥推进监管科技应用,加快监管科技应用实践,促进技术与业务的深度融合。2021年11月召开的中国证券投资基金业协会金融科技专业委员会工作会议中也强调,证券基金行业应遵循以上要求,在重视科技赋能的同时落实科技监管。

在信息化、网络化飞速发展的今天,不断优化数据要素价值实现是企业发展源源不断的动力来源。证券基金行业也在顺应社会发展趋势,寻求以科技创新推动行业发展,以数字化转型应对互联网时代。在科技创新与数字化转型的过程中,证券基金经营主体应当对可能的数据合规风险有所预期和判断,在合规治理的基础上,让科技与数据为产业赋能,为企业发展助力。

四、信息技术服务机构发展迅速,强化监管迫在眉睫

据华瑞金融科技研究所不完全统计,信息技术服务机构中上市公司有10家左右,占全部信息技术服务机构的22%,总市值达到2695亿元。目前行业中专注提供证券基金各类业务系统的服务机构至少有45家。围绕证券基金行业,提供中间件、基础设施、程序化交易的服务机构成为行业新的竞争势力,业务上覆盖了经纪业务、自营业务、资管业务、投行业务、信用业务等。信息技术服务机构以提供极速交易系统、集中交易系统为主,并且根据券商客户需求,提供量化、投研、智能投顾等业务系统。在其自身发展以及行业变化等因素的共同驱动下,我国信息技术服务机构将逐步追求行业、业务和产品全覆盖的综合性服务机构与深耕某垂直领域、聚焦某类特色业务的专业型服务机构。

证监会于2020年10月23日发布《〈证券服务机构从事证券服务业务备案管理规定〉第九条的适用意见——证券期货法律适用意见第16号》和《监管规则适用指引——科技监管类第1号》,正式启动信息技术系统服务机构备案工作。中信证券总工程师、首席信息官宋群力分析,此前证券公司供应商多是资本金实力充足的大型公司,但随着金融科技应用增多,出现与新形态公司合作的新趋势。人工智能、区块链、云安全等公司多为起步阶段创业公司,设立备案制度也是机构现实需求,机构可以查看更多供应商备案信息。

有监管部门人士指出,备案工作的目的是补齐监管短板,将信息技术系统服务机构纳入监管范围。同时,监管部门将在备案工作基础上,加强对信息技术服务机构的监管,建立有效的信息技术系统服务机构监管规则,开展风险监测,及时开展风险处置,做好系统性风险防范工作,结合风险特点组织对部分信息技术系统服务机构开展现场检查,对违法违规行为及时采取惩戒措施。对此,证监会也在抓紧完善持续性日常监管措施,具体包括:研究制定信息技术系统服务机构监管规则;完善监管数据报送机制,构建风险监测预警体系,提高风险应对和处置能力;按照既定的检查频次和抽查比率,组织对部分信息技术系统服务机构开展现场检查,发现违法违规的,依法采取行政处罚和监管措施。

五、智能投资顾问带来数据安全及信息保护相关问题

随着人工智能技术不断应用于金融行业,智能工具已成为各证券基金应用中主要的更新方向。其中以智能投资顾问为代表,它能基于用户的风险承受水平、投资风格偏好、财产状况和预期收益目标等数据,通过借助大数据挖掘与分析技术,深度学习算法和量化金融模型为用户提供个性化投资产品,同时结合市场动态对用户的资产配置提供投资组合策略建议。但人工智能的算法又有着天然的不透明性,其中必然涉及到数据安全与客户信息保护的问题。虽然目前我国国内智能投资顾问并没有获得从事全领域金融服务的完全授权,且对其算法的监管严重不足,但据统计,截至2020年底,我国智能投顾管理资产规模达到3000亿美元,市场份额占全球18%,用户数量接近5000万。因此,我们仍有必要关注此类服务模式,考察其中存在的合规风险。

由于业务模式尚未成熟,目前有关智能投顾的数据合规问题讨论较少。我国与智能投顾关联最为密切的规定是2012年出台,2020年修订的《关于加强对利用“荐股软件”从事证券投资咨询业务监管的暂行规定》,但其中也只涉及到较原则的要求,总体上还是需要直接参照适用证券基金行业的一般监管规则,缺乏具体的针对智能投顾的合规依据。因此在智能投顾的数据合规方面,可以借鉴智能投顾业务发展较为成熟的域外经验。

智能投顾带来的数据安全及信息保护问题主要体现在以下方面:

一是监管措施的适应性问题。监管技术和监管手段需紧跟智能投顾算法和业务模式的演变步伐。监管机构需具备一定技术能力来检查数据输入,即客户信息的获取,以及数据输出,即客户画像和定制化投资建议,以确保使广泛的用户群根据合理注意标准获得公平对待。然而澳大利亚证券与投资委员会认为,由于算法和网站架构的复杂性,对企业的经营行为和业务流程的检查客观上存在难度。

二是用户数据安全方面。智能投顾带来的是科技的进步和交易的便利,但也可能成为不法分子进行网络攻击的目标。日益频发的网络攻击事件,指向的是智能投顾获取的客户数据、使用的算法以及交易执行功能等方面。

三是个人信息保护问题。智能投顾所使用的算法技术及实施的个性化推荐等数据服务,将对个人信息权利产生一定影响,随着《个人信息保护法》及个人信息保护具体规范和细则的出台和实施,个人信息保护难度也在加大,企业也将面临很多全新的数据合规挑战。

参考文献:

[1]中国信通院:《移动金融应用安全白皮书(2019年)》
https://pdf.dfcfw.com/pdf/H3_AP201911181370860823_1.pdf?1574107797000.pdf
[2]易观分析:《2021年券商APP盘点:用户规模大幅度增长,智能炒股成为行业标配》
https://www.analysys.cn/article/detail/20020393
[3]中国信通院:《移动金融应用安全白皮书(2019年)》
https://pdf.dfcfw.com/pdf/H3_AP201911181370860823_1.pdf?1574107797000.pdf

作者简介

道可特研究 | 金融行业数据合规观察“证券基金篇”(一)

白小莉
北京市道可特律师事务所高级合伙人

业务领域:知识产权、争议解决、竞争与反垄断、数据安全与数据合规

道可特研究 | 金融行业数据合规观察“证券基金篇”(一)

手机:18612296630
邮箱:baixiaoli@dtlawyers.com.cn

To Top