技术应用 | 证券期货业数据跨境多层次监管体系探讨

文 / 中国银河证券股份有限公司数据跨境课题组

随着数字经济快速发展，数据成为驱动各国经济发展的关键生产要素，经济价值与战略价值愈发凸显。数据跨境流通为世界经济带来推进作用的同时，所面临的数据安全威胁与隐私保护的挑战也日益严峻，跨境数据安全与风险治理的步伐亟待加速。为了达到数据可用性和安全性的科学平衡，构建可信的数据跨境流通多层次监管体系，对行业数据跨境进行有效监管，成为破解数据跨境流通安全合规问题的关键路径。

为此，建议建立各方广泛参与的行业数据跨境多层次监管模式。在大陆现有的数据出境安全评估模式下，要进一步构建以中国证监会行政监管为主，证券期货业行业协会自律监管、证券期货业经营机构自查以及数据接收者配合、协助相结合的行业数据跨境监管体系。

行业行政监管

当前，行业归口监管是大陆分类监管的基本模式。各行业数据跨境流动在具有其共通性的同时，也存在着特色与差异。对于证券期货业跨境监管，除满足《网络安全法》《数据安全法》《个人信息保护法》及《个人信息出境安全评估办法》规定外，还应符合《证券法》《期货和衍生品法》等行业法律法规的相关规定。中国证监会及其派出机构作为证券期货业数据跨境监管主体，负责承担本行业、本领域数据安全监管职责，负责审查证券期货业的机构和个人向境外提供的与证券期货业务活动有关的数据，负责证券期货业数据出境管理办法制定、数据跨境评估、审查、监管及评价等工作。其中中国证监会对行业数据跨境进行统筹管理，中国证监会各地派出机构负责所辖区域数据跨境的具体落实与管理。行业数据跨境行政监管主要权责如下。

一是负责制定和实施适用于证券期货业的数据跨境监管框架，主要包括制定相关的规制和指导方针，明确数据出境的要求和限制。二是确定数据跨境传输的规定和要求，主要包括数据隐私保护、加密要求、报送频率、报送格式等，以确保数据的安全性和合规性，防止未经授权的数据访问和滥用。三是负责监督证券期货公司的数据跨境行为，并进行定期或不定期的审查，审查内容主要包括审查数据报送的准确性、数据隐私保护措施的有效性，以及是否符合跨境数据传输的规定等。四是对违反数据跨境监管规定的证券期货业经营机构进行执法行动，并对违规行为进行处罚，主要包括罚款、吊销许可证、限制业务活动等措施，以确保合规性和惩治违法行为。五是与其他国家或地区的监管机构进行合作，共享信息、经验和最佳实践，以应对跨境数据传输中的挑战和风险。六是定期评估、更新及发布数据跨境相关规定、准则或指导方针，以适应不断变化的技术和市场环境，帮助证券期货业经营机构理解和遵守数据跨境行政监管要求。

行业自律监管

大陆对金融数据跨境流动的监管体系主要局限于公权力机关的职能分配，仅在少量规章中提到发挥行业协会等会管机构的作用。作为行业行政监管的重要补充，证券期货行业协会、交易所、登记结算公司等组织机构应充分发挥行业自律组织的作用，利用各自深耕相关领域的优势，切实发挥其对从业机构的倡导和约束力，推动完善行业自律规则，减轻监管部门的数据跨境监管压力，构建证券期货业多层次数据跨境监管体系。行业数据跨境自律监管主要权责如下。

一是制定适用于证券期货业的自律规则和准则，明确数据跨境行为的要求和限制，主要包括数据隐私保护、安全传输、报送要求、合规审核等方面内容。二是对证券期货业经营机构进行监管，确保其在跨境数据传输方面遵守自律规定，主要包括对证券期货业经营机构的业务活动、数据报送和合规程序进行审核和监督。三是建立自律机制，以确保证券期货业经营机构遵守规则和准则，主要包括建立投诉处理程序、举报机制、调查和处罚违规行为等，以维护市场的诚信和稳定。四是向证券期货业经营机构提供相关的指导和培训，帮助他们理解和遵守跨境数据传输的自律要求，主要包括组织培训研讨会、发布指南和行业报告等方式。五是借助并引入第三方评价机构的力量对行业机构开展数据跨境安全水平认证，同时应从评估形式、过程、能力及评估失职所造成的风险等方面对第三方评估机构进行约束与规范。六是对行业的跨境数据传输行为进行监测和分析，定期发布报告和统计数据，以促进行业的透明度和合规水平。七是与中国证监会及其派出机构保持合作和沟通，共同推动行业的自律和合规。

数据处理者合规自查

规范证券期货业数据跨境流动，除了完善立法、加强公权力监管及合理发挥自律组织作用之外，证券期货业经营机构作为证券期货业数据的主要收集者和处理者的合规自查，同样产生着重要影响。建议采用“问责制”原则，各证券期货业经营机构应结合自身实际情况确定证券期货业数据保障义务，并通过行业规章及公司制度加以具体落实。证券期货业经营机构应当充分考虑如下内容，获取数据的途径是否合法合规；处理数据时是否保障数据的真实性和安全性；是否采取了足够的安全保障措施审慎保管掌握的数据；数据跨境流动时是否保障了数据主体的知情权；数据接收者所在归属地的法律能否做到对跨境流动的数据进行安全保障；被侵权的有力救济措施等。相较于处罚、救济等事后监管行为，风险事先预防实施成本更低、效果更明显，在此方面可以借鉴CBPRs（跨境隐私规则体系）尝试设立激励机制，鼓励证券期货业经营机构自评估，并将自评估作为一项评价指标纳入行业机构诚信评价体系，定期向社会公布评估报告。行业数据跨境数据处理者主要权责如下。

一是建立访问控制策略和授权机制，采取数据加密、访问控制、身份验证等安全措施，并采取仅授权给有合法需要的人员等措施限制对数据的访问权限，以防止未经授权的访问、泄露或滥用。二是遵守适用的法律法规和跨境数据传输的监管要求，以确保数据的处理符合相关的隐私保护法规和合规标准。三是按照事先明确的目的和授权使用数据，不得将数据用于未经授权的其他目的，不得超出原始授权范围使用数据。四是采取适当的措施如建立备份系统、灾难恢复计划等存储和备份数据，以确保数据的完整性和可用性。五是采取加密、安全协议或其他安全措施来保护数据的传输过程，并确保准确、及时地报送数据，以确保数据传输过程中的安全性和完整性。六是与数据接收者和监管机构等进行合作与协调。积极配合相关方的要求，并及时回应合规性审核及监督。

数据接收者权责义务

数据接收者对接收到的跨境数据具有保护义务，应对接收到的数据进行严格控制管理，保证所接收的数据只用于协议约定的使用目的，不能侵害相关数据主体的权利。数据接收者应对接收的数据内容按照数据安全等级进行分级管理，对重要和敏感数据进行加密存储。当存在数据被非法使用时，数据接收者有义务配合数据处理者追责。

数据接收者应遵守归属地法规，同时严格按照与数据处理者签署的协议处理数据，必须保证数据处理相关人员能够遵守有关数据保密的要求，并在数据安全、数据保护、数据泄露、影响评估等方面对数据处理者提供协助。如果没有数据处理者的同意，数据接收者不得将跨境数据传输给第三方。经过数据处理者授权后，数据接收者可以将跨境数据提供给第三方，如果第三方发生了变化，数据接收者有义务及时告知数据处理者，数据处理者有权提出反对。数据接收者对第三方的数据处理活动完全负责，有义务将数据保护的要求施加给第三方。原则上，除特殊情况外，数据接收者在数据处理服务终止时，应当删除相应数据。

（中国银河证券股份有限公司数据跨境课题组主要成员：吴国舫、向仕建、王作敬、杨光、张弘、孙锐等）

（此文刊发于《金融电子化》2024年3月下半月刊）