证券基金业数据合规除应遵守本《实务问答》前述的各项通用规定外,还应注意中国证券监督管理委员会等其他机构发布的相关规范。其中,与数据出境相关的主要包括《证券期货业数据分类分级指引》(JR/T 0158—2018,2018年 9月 27日实施)、《证券期货业数据安全管理与保护指引》(JR/T 0250—2022,2022 年 11 月 14 日实施)、《证券期货业数据安全风险防控 数据分类分级指引》(GB/T 42775-2023,2023 年 8 月 6 日实施)等。
就 CIIO,证券基金业机构因其与国家经济金融安全的关系,一般被认为易构成关键信息基础设施运营者,但截止本文起草时间,公开渠道尚未发现证券基金业主管部门发布或明确指定的相关关键信息基础设施运营者名单。
就证券基金业的重要数据,《证券期货业数据分类分级指引》发布时间较早,并未明确指明重要数据,和目前重要数据及数据出境的相关规定衔接可能存在一定不确定性。该指引主要根据影响对象(行业、机构、客户)、影响范围(多个行业、行业内多机构、本机构)、数据安全属性(完整性、保密性、可用性)遭到破坏后带来的影响程度(严重、中等、轻微、无)将证券基金业数据划分为四级并就其处理规范提出了要求:
4 级(极高),数据主要用于行业内大型或特大型机构中的重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用;
3 级(高),数据用于重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用;
2 级(中),数据用于一般业务使用,一般针对受限对象公开,一般指内部管理且不宜广泛公开的数据;
1 级(低),数据一般可被公开或可被公众获知、使用。
但在证券基金业的数据出境活动中,还值得关注该指引中提到的因数据聚合、数据时效性导致的分级变更。具体而言数据在流转、传递、使用过程中,因各类业务需要,可能需要将相同或不同级别的数据汇聚在一起进行分析、处理。对该等数据聚合,需注意:
(1)因业务需要,将来自不同途径或不同系统的数据汇聚在一起,数据的原始用途或所在系统发生改变,需要对数据进行重新确定类别并定级;
(2)需要深入分析汇聚后数据是否可能较原始数据获得更多的信息,并判断汇聚后的数据安全属性(完整性、保密性、可用性)遭到破坏后的影响,以准确定级;
(3)汇聚后数据级别一般不低于所汇聚的原始数据的最高级别。同理,还应注意数据时效性对数据分类分级影响。我们认为上述原则在证券基金业重要数据认定及数据出境合规方面有适用的可能性。
《证券期货业数据安全风险防控 数据分类分级指引》基本延续了《证券期货业数据分类分级指引》中关于分级的规定;《证券期货业数据安全管理与保护指引》中主要采取引用的方式,提及向境外提供数据、个人信息的,应依据《网络安全法》等相关法规规定。证券基金业机构在数据出境过程中,还应关注《证券法》和《期货和衍生品法》等相关规定,跨境证券、期货等行业的监督管理应在国务院证券监督管理机构的参与下进行,境外证券监督管理机构不得在中华人民共和国境内直接进行调查取证等活动;且未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动、期货业务活动等有关的文件和资料。
尽管按《跨境流动规定》,目前未被主管部门和地区告知或/公开发布为重要数据的,数据处理者尚可无需作为重要数据申报数据出境安全评估,但证券基金业企业仍应需要基于前述规定做好其数据的分类分级管理,在可能涉及重要数据级别的数据跨境传输时,采取审慎态度。
来源:环球律师事务所等团队
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
