浅谈金融产品线上零售合规问题(技术篇)
发布时间:2021-12-06 | 发布者: 东东工作室 | 浏览次数: 次(原标题:浅谈金融产品线上零售合规问题(技术篇))
随着金融产品销售线上化,各资管机构纷纷开始通过自建线上直销App、与第三方代销渠道合作等方式拓展线上零售业务。同时,随着信息技术在金融产品线上零售的应用逐步深化,监管机构也在不断出台新的行业法规与监管政策,健全信息安全治理与App个人信息保护的监管体系。本文对金融行业信息技术相关的合规问题进行了探讨与解读,希望为资管行业的技术人员提供一定的参考。
(4)以《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》和《个人金融信息保护技术规范》为例对金融App个人信息保护相关的合规要求进行解读。
金融产品线上零售监管的背景
1.金融产品销售线上化过程出现新问题
从销售阵地上看,金融产品销售逐渐由代销机构的线下网点转向互联网财富平台、代销APP与直销APP。例如,2021年第二季度代销机构的公募基金保有量规模前100强榜单中,线上展业的蚂蚁基金在非货基保有量规模中以10594亿元位于第一。销售阵地由线下转向线上的过程促进了信息技术在金融行业中的应用。而信息技术对于金融机构来说是一个较为陌生的领域,可能导致一些新型风险。
2.我国对信息技术的合规要求逐步完善
近年来,随着数字经济快速发展和个人隐私泄露等乱象频发,我国对信息技术,尤其是个人信息保护的监管体系逐步完善。2017年6月1日,我国出台了《中华人民共和国网络安全法》,把网络安全工作以法律形式提高到了国家安全战略角度。随后,以该法律为基础,各监管机构也颁布了一系列相应的行业法规和监管指南,也多次发布专项通知,开展专项活动,在App个人信息保护、信息技术治理等方面提出了更高的合规要求。
3.金融行业是强监管行业,合规非常重要
金融行业素来是强监管的行业。由于金融行业的巨大风险外溢性及金融信息的隐私性,金融行业往往面临更加严格的监管。相比其他行业,合法合规对于金融机构来说具有更重要的意义,合规经营更成为开展金融产品销售业务的基础。在信息技术监管方面,监管机构多次发文强调要建立与公司治理体系相适应、与技术和产业发展环境相适应的信息技术治理体系。可见,信息技术的合规与治理也成为金融机构发展的重要因素。
金融行业信息技术治理的监管现状
我国涉及信息技术治理的监管部门主要包括中央网信办、工信部和市场监管总局等。此外,银保监会、证监会和央行也对金融领域的信息安全治理做出了规定。
中央网信办
中央网信办的职责主要包括指导、协调、督促有关部门加强互联网信息内容管理,依法查处违法违规网站等。2016年6月,中央网信办发布了《移动互联网应用程序信息服务管理规定》,加强了对移动互联网应用程序(App)信息服务的规范管理。
工信部
工信部是信息技术安全监管的核心部门。2021年4月,工信部发布了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,加强了移动互联网应用程序个人信息保护,规范了App个人信息处理活动。
市场监管总局
在信息技术监管方面,市场监管总局联合中央网信办、工信部、公安部于2019年11月发布了《App违法违规收集使用个人信息行为认定方法》,界定了App违法违规收集或使用个人信息行为的六大类方法。2020年4月,市场监管总局又与国家标准委共同制定了《信息安全技术个人信息安全规范》,对企业收集、使用、共享个人信息等行为做出了明确的规范与指引。
金融监管机构
以国家法律法规为基础,结合金融行业的具体情形,银保监会、证监会和央行还推出了一系列针对金融行业信息技术治理的行业法规与监管指南。2018年12月,证监会发布了《证券基金经营机构信息技术管理办法》,明确了对证券基金行业在信息技术治理、信息技术合规与风险、信息技术安全三大领域的管理要求。2019年9月,央行发布了《移动金融客户端应用软件安全管理规范》,对金融App提出了针对性的安全要求。
本文将金融行业信息技术治理相关的主要法律法规及规范性文件梳理如下:
金融机构信息技术治理相关法规解读
在金融机构层面的信息技术治理上,我国陆续发布了《中华人民共和国网络安全法》、《证券基金经营机构信息技术管理办法》、《证券服务机构从事证券服务业务备案管理规定》等法律法规,形成了如下图的法律体系。具体而言,本文以《证券基金经营机构信息技术管理办法》为例对金融机构信息技术治理相关的合规要求进行解读。
《证券基金经营机构信息技术管理办法》解读
2017年5月,证监会通过了《证券基金经营机构信息技术管理办法(征求意见稿)》,并向社会公开征求意见。2018年12月,证监会正式发布了《证券基金经营机构信息技术管理办法》(以下简称“《信息技术管理办法》”),自2019年6月1日起施行。
(1)适用范围
《证券基金经营机构信息技术管理办法》的监管对象主要包括证券基金经营机构及相关机构与信息技术服务机构。《信息技术管理办法》明确了证券基金经营机构为责任主体地位,即在因信息系统而导致的风险事件中承担主要责任。
同时,《信息技术管理办法》明确了由中国证监会及其派出机构、中国证券业协会及中国证券投资基金业协会、中证信息技术服务有限责任公司负责实施监管。
(2)信息安全治理
《信息技术管理办法》从三个方面对证券基金经营机构提出了信息安全治理的要求。
一是将信息技术管理上升为公司战略,明确由董事会对信息技术管理承担责任。
二是要求设立信息技术治理委员会,负责制定信息技术战略与相关事项。
三是明确应当指定一名熟悉证券基金业务,同时具有信息技术相关背景的高级管理人员为首席信息官。
(3)信息技术合规与风险管理
《信息技术管理办法》明确应将信息技术运用的情况纳入合规与风险管理体系。具体而言,《信息技术管理办法》指出应在业务系统上线时,同步上线全方位的风险管理系统,建立风险监测机制,开展信息技术管理工作专项审计。
同时,《信息技术管理办法》进一步强调了已经在执行的合规风控措施,包括采集、记录、存储、报送客户交易终端信息和电子合同提供查询等。
(4)信息技术安全
在信息系统安全方面,《信息技术管理办法》明确了证券基金经营机构信息系统开发、测试、上线、监测、变更和运维等环节的监管要求。《信息技术管理办法》特别指出,证券基金经营机构可以设立信息技术专业子公司,为母公司提供服务,且经证监会备案后可为其他金融机构提供服务。
在数据治理方面,《信息技术管理办法》提出应当构建数据治理组织架构与数据全生命周期管理机制,并在数据采集、数据存储和数据使用等方面提出了具体的安全要求。
在应急管理方面,《信息技术管理办法》明确应建立应急管理组织架构、制定应急预案和建立有效的备份系统。
(5)信息技术服务机构
《信息技术管理办法》在此部分明确了证券基金经营机构和信息技术服务机构在合作中分别应当承担的责任和义务。
《信息技术管理办法》指出,证券基金经营机构应当确保重要信息系统始终处于自身控制范围、定期对信息技术服务机构及信息系统进行内部审查、签订服务协议与保密协议。
对于信息技术服务机构,《信息技术管理办法》对服务于基金管理公司和服务于证券公司的信息技术服务机构提出了差异化的备案要求。符合条件的基金信息技术服务公司需要向证监会备案,而证券信息技术服务机构可以选择自愿接受中证信息的指导。
同时,《信息技术管理办法》明确了信息技术服务机构在合作中“不得发布可能引发误解的信息”、“不得截取、存储、转发和使用证券基金业务相关的经营数据和客户信息”、“不得在对方不知情的情况下转委托第三方”等行为。
App个人信息保护相关法规解读
在App个人信息保护上,我国陆续发布了《中华人民共和国个人信息保护法(草案)》、《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》、《移动金融客户端应用软件安全管理规范》等法律法规与规范性文件,已在一定程度上形成了金融领域多层次的个人信息保护法律体系。具体而言,本文以《个人金融信息保护技术规范》和《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》为例对金融App个人信息保护相关的合规要求进行解读。
《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》解读
2021年4月26日,工信部为了强化App个人信息保护的系统性、整体性和协同性,起草形成了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称“《App暂行规定》”),并向社会公众征求意见。
(1)适用范围
《App暂行规定》的监管对象是境内开展的App个人信息处理活动,具体包括移动智能终端中运行的应用程序收集、存储、使用、加工、传输个人信息的活动。《App暂行规定》对App个人信息处理活动的定义基本涵盖了个人信息处理的全流程。
同时,《App暂行规定》明确由中央网信办统筹,会同工信部、公安部、市场监管总局建立App个人信息保护联合监管机制。
(2)App个人信息处理活动规范
《App暂行规定》对App个人信息处理活动全流程做出了规定,其中明确了“知情同意”和“最小必要”两项重要原则,以充分切实保障用户的同意权、知情权、选择权和个人信息安全。
一是“知情同意”,《App暂行规定》明确应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示。
二是“最小必要”,《App暂行规定》强调应当遵循最小必要原则,具有明确、合理的目的,而不得从事超出用户同意范围或与服务无关的个人信息处理活动。
(3)App治理涉及的全主体
《App暂行规定》明确了App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业、网络接入服务提供者五类App个人信息处理活动相关主体的定义,并规定了五类主体的个人信息保护义务。换言之,除了受到中央网信办和市场监管总局等部门的监管,App开发运营者还将面临App分发平台、移动智能终端生产企业和网络接入服务提供者在个人信息保护方面的限制、审核与监督。
(4)App违规处理措施
《App暂行规定》细化了App违规处置的流程和具体措施,提出了责令整改、社会公告、下架处置、断开接入、恢复上架、恢复接入、信用管理等处置措施及相应的期限。
《个人金融信息保护技术规范》解读
2020年2月13日,央行正式发布了由全国金融标准化技术委员会审查通过的金融行业标准《个人金融信息保护技术规范》(以下简称“《信息保护规范》”),对金融机构的个人金融信息全生命周期技术管理提出了要求。《信息保护规范》于发布当天起实施。
(1)适用范围
《信息保护规范》适用于提供金融产品和服务的金融业机构,规定了个人金融信息生命周期各环节的安全防护要求。同时,《信息保护规范》提出了金融业机构在设计安全保护策略时应遵循的7个基本原则。
(2)个人金融信息
《信息保护规范》规定了个人金融信息内容的范畴,具体包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息。特别需要注意的是,《信息保护规范》将个人金融信息按照敏感程度从高到低分为C3、C2、C1三个类别。
此外,《信息保护规范》还明确了个人金融信息生命周期的整个过程,具体包括对个人金融信息进行收集、传输、存储、使用、删除、销毁等环节。
(3)安全技术要求
《信息保护规范》从个人金融信息生命周期的收集、传输、存储、使用、删除、销毁各个环节提出了具体的安全技术要求。特别需要注意的是,在数据使用环节,金融机构需要重点关注信息展示、共享和转让、公开披露、委托处理、加工处理、汇聚融合、开发测试等方面的具体技术要求。此外,《信息保护规范》还从安全运行的网络环境、Web应用、客户端应用软件、密码技术等方面提出了技术要求。
(4)安全管理要求
《信息保护规范》明确了个人金融信息收集、存储和使用环节的具体安全准则。同时,在安全策略方面,《信息保护规范》向金融机构提出了建立安全制度体系、组织架构岗位设置、人员管理三个方面的具体要求。此外,《信息保护规范》还明确金融机构应加强个人金融信息访问控制管理和安全监测与风险评估。
总结与展望
金融产品线上零售要发展得更长远,必须要以合规为基础。本文从金融机构信息技术治理和App个人信息保护两个方面梳理了金融行业信息技术的监管框架,并对其中最新发布、相关性最高的法规进行了梳理和解读。本文希望一方面强调技术合规对于金融产品线上零售的重要性,另一方面为资管行业的技术人员提供一定的参考。
转载请标注:我爱技术网——浅谈金融产品线上零售合规问题(技术篇)