QY球友会QY球友会本文将以证券行业数据合规相关法律法规为基础，浅析各证券公司业务板块中的数据合规要点，并提供相应的合规建议。

　　与此同时，证券公司各业务板块也面临着严峻的数据合规挑战。以保荐承销业务为例，《境内企业境外发行证券和上市管理试行办法》《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》等上市新规的相继出台对证券公司开展境外上市业务过程中的数据处理活动提出了一系列的合规要求。本文将以证券行业数据合规相关法律法规为基础，浅析各证券公司业务板块中的数据合规要点，并提供相应的合规建议。

　　第一项合法性基础为“取得个人同意”。作为适用范围最广的合法性基础，目前各大证券公司均在其主营APP登录界面放置了《隐私政策》并要求投资者进行勾选，以取得投资者对证券公司处理其个人信息的授权同意。勾选《隐私政策》可以帮助证券公司取得绝大多数个人信息处理行为的合法性基础，但该授权无法满足单独同意要求，无法作为证券公司处理敏感个人信息、对外提供个人信息等行为的合法性基础，因此证券公司还需要寻找其他合法性基础进行补足。

　　第二项合法性基础为“为订立、履行个人作为一方当事人的合同所必需”。依据《个人信息保护法》第13条第2款规定，以“为订立、履行个人作为一方当事人的合同所必需”作为合法性基础处理个人信息无需取得个人信息主体同意，这表明证券公司可通过此项合法性基础避免一些单独同意要求。举例而言，银行账户作为财产信息，被《个人信息安全规范》附录B明确列为敏感个人信息，依据《个人信息保护法》第29条，证券公司在开户过程中收集用户的账户信息原本需要取得用户的单独同意。但由于证券公司与用户签署的《服务协议》中通常会对证券公司提供开户服务相关内容进行约定，证券公司为协助用户绑定银行账户必须收集其银行账户信息，因此证券公司援引“为订立、履行个人作为一方当事人的合同所必需”作为此项个人信息处理行为的合法性基础，可以帮助其免于取得个人信息主体的单独同意。

　　第三项合法性基础为“为履行法定职责或者法定义务所必需”。证券公司作为持牌金融机构，除全国人民代表大会及其常委会制定的法律之外，国务院以及证监会制定的行政法规和部门规章规定了多项证券公司开展数据处理活动时需要遵守的义务，证券公司履行前述义务过程中可以“履行法定义务所必需”为由处理用户个人信息，例如证券公司可以依据《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》第12条，在开展经纪业务时为履行尽职调查之义务收集用户的身份信息。[1]与“为订立QY球友会、履行个人作为一方当事人的合同所必需”相同，以“为履行法定职责或者法定义务所必需”作为处理个人信息的合法性基础也能够帮助证券公司在特定情况下免于取得个人信息主体的单独同意。

　　如上文所述，要求用户阅读并勾选《隐私政策》以征求处理其个人信息的授权同意是证券公司处理用户个人信息的第一大合法性基础。鉴于《个人信息保护法》等法律法规以及《APP违法违规收集使用个人信息行为认定方法》等部门规章对告知同意义务的履行提出了诸多合规要求，目前工信部、网信办等执法机构已针对各APP《隐私政策》起草合规情况进行了多轮通报执法。

　　2022年4月，国家移动互联网应用安全管理中心（CNAAC）公布消息，在其开展的互联网检测专项中发现17款移动APP存在“隐私不合规行为”QY球友会，涉嫌超范围采集个人隐私信息等。[2]其中，12家证券公司的相关软件均有涉及，通报问题中的“未向用户明示申请的全部隐私权限”“注销用户账号设置不合理条件”“建立、公布个人信息安全投诉、举报渠道”等均涉及证券公司《隐私政策》起草合规性问题。由此可见，能否起草合法合规的《隐私政策》是决定证券公司能否履行好告知同意义务的重要条件。

　　在数据合规问题上，上述业务模式的争议焦点在于如何界定金融产品发行方与代销机构之间的个人信息处理法律关系。当投资者在代销机构APP上填写投资者基本信息之后，代销机构会将投资者基本信息传输给金融产品发行方。同时，依据《证券公司代销金融产品管理规定》第12条，证券公司应当了解客户信息用以履行适当性管理义务。[3]基于前述事实与规定，代销机构与金融产品发行方之间究竟属于个人信息对外提供关系还是个人信息委托处理关系存在争议。

　　除此之外，从商业实践角度出发，代销机构作为直接对客平台，其在与金融产品发行方在开展金融产品代销合作过程中具有优势地位，如将其解释为个人信息受托处理者，其客户信息处理活动的目的与方式均需由金融产品发行方决定，这对在合作中具有优势地位的代销机构而言往往是难以接受的。

　　因此将金融产品发行方与代销机构分别解释为独立的个人信息处理者更加符合实际情况，同时，将证券公司这一代销机构解释为独立的个人信息处理者，可以为其后续为开展自身业务处理这些客户的个人信息提供可能性。

　　目前许多证券公司设有专门的研究所，用以对宏观、固收、策略、行业组等领域开展研究工作。投研业务中与数据合规关系最密切的当属研报的制作与发布，在此过程中证券公司会从诸多不同数据源处对数据进行收集与加工，最终形成研报并发布。根据我们过往的项目经验，前述环节需要注意的数据合规要点如下：

　　2022年12月，中央、国务院正式对外发布《关于构建数据基础制度更好发挥数据要素作用的意见》，明确将“探索数据产权结构性分置制度”列为加快构建数据基础制度的要求之一。[5]但由于我国数据产权制度尚未建设完毕，目前爬虫行为主要通过不正当竞争相关规则进行规制。

　　根据我们对既往不正当竞争判例的观察，优先爬取公开数据可以一定程度缓释数据爬取行为被认定为不正当竞争行为的风险。虽然目前《个人信息保护法》等已出台生效的法律并未对公开数据的内涵进行明确，但是在(2021)京民申5573号不正当竞争纠纷案中，[6]北京市高级人民法院将公开数据定义为“未通过登录规则或其他措施设置访问权限的数据”，对于用户登录账户后才可以在微博中访问的数据应当被认定为非公开数据。

　　在对公开数据的内涵进行明确后，北京市高级人民法院认为湖南Y公司使用爬虫技术爬取公开数据行为符合互联网互联互通的精神，平台方应当在一定程度上容忍他人合法收集或利用其平台中已经公开的数据。依据前述裁判精神，证券公司使用爬虫技术对互联网中的公开数据进行爬取可能因符合互联网互联互通精神，而被认定为构成不正当竞争行为的可能性较低。

　　认定不正当竞争，除了要具备一般民事侵权行为的构成要件以外，还要注意审查是否存在竞争关系，存在竞争关系是认定构成不正当竞争的条件之一QY球友会。[10]因此，证券公司使用爬虫技术爬取目标网站数据时，证券公司与目标网站之间是否存在竞争关系是判断数据爬取行为是否构成不正当竞争行为的首要前提。

　　完成打标工作后，证券公司需对以上各打标事项进行综合分析，并对原始数据进行最终打标，将其区分为“禁止用于制作研报的数据”“制作仅对会员公开的研报的数据”以及“制作完全公开的研报的数据”，严格依据上述思路开展研报数据打标工作将大大降低证券公司制作研报过程中的数据合规风险。

　　2018年9月27日，证件会发布了《证券期货业数据分类分级指引》用以指导证券行业数据分类分级工作的开展，其中数据级别判定参考规则中将未公开的研究报告定义为2级数据，已公开的研究报告定义为1级数据。2022年11月4日，证监会随即发布了《证券期货业数据安全管理与保护指引》，用以指导证券公司完成数据分类分级工作之后应当对不同级别的数据采取哪些保护措施提供指引。

　　在数据分类问题上，《证券期货业数据分类分级指引》为证券公司提供了从业务分类到数据分类的转换思路，指导证券公司遵循“业务条线一级子类”——“业务条线二级子类”——“数据一级子类”——“数据二级子类”的分类思路对其所处理的数据进行分类。在完成数据分类工作后，证券公司将依据数据安全属性（完整性、保密性、可用性）遭到破坏后可能造成的影响对数据进行分级。

　　完成证券数据分类分级工作之后，证券公司需依据《证券期货业数据安全管理与保护指引》中的规定，对不同级别的数据在收集、共享、存储等环节采取不同的保护措施。由此可见，证监会对我国证券数据在“分类——分级——保护”方面已构建了较为完善的体系，如各证券公司不依据《证券期货业数据分类分级指引》开展数据分类分级工作，其最终得到的数据分类分级结果可能与《证券期货业数据安全管理与保护指引》中的保护措施无法实现衔接，进而影响证券公司后续数据保护工作的开展。

　　[1]《证券公司代销金融产品管理规定》第12条规定，“证券公司向客户推介金融产品，应当了解客户的身份、财产和收入状况、金融知识和投资经验、投资目标、风险偏好等基本情况，评估其购买金融产品的适当性”

　　[10] 参见曹建明（时任最高人民法院副院长）于2004年11月11日发表《加大知识产权司法保护力度 依法规范市场竞争秩序——在全国法院知识产权审判工作座谈会上的讲话》。