91精品国产99久久久久久红楼,欧美高清另类,欧美日韩中文在线观看,久久激情精品,91视频导航,亚洲欧美日韩一级,巨人精品福利官方导航

《證券期貨業(yè)網(wǎng)絡與信息安全管理辦法》（以下簡稱“管理辦法”）的一大亮點在于突出對于投資者的個人信息保護，其相比于《證券期貨業(yè)網(wǎng)絡安全管理辦法（征求意見稿）》（以下簡稱“征求意見稿”）僅用一條籠統(tǒng)規(guī)定核心機構(gòu)與經(jīng)營機構(gòu)的投資者個人信息保護義務不同，管理辦法則設置了“投資者個人信息保護”專章，針對證券期貨業(yè)關(guān)于個人信息保護需要重點關(guān)注的問題進行了規(guī)范，這也反映出相關(guān)監(jiān)管機構(gòu)對于個人信息保護問題的重視。本文將根據(jù)管理辦法的具體規(guī)定，結(jié)合我們的實踐經(jīng)驗，解讀核心機構(gòu)與經(jīng)營機構(gòu)應當如何實現(xiàn)個人信息保護合規(guī)。

管理辦法的“投資者個人信息保護”章節(jié)共有7條，分別從個人信息處理原則、個人信息保護合規(guī)體系建設、個人信息處理環(huán)節(jié)的合規(guī)要求、安全保護措施、證券期貨業(yè)個人信息保護特殊規(guī)定幾個方面對核心機構(gòu)與經(jīng)營機構(gòu)的個人信息保護義務予以了規(guī)定。 

一、 個人信息處理原則 

　　第二十九條　核心機構(gòu)和經(jīng)營機構(gòu)應當遵循合法、正當、必要和誠信原則，處理投資者個人信息，規(guī)范投資者個人信息處理行為，履行投資者個人信息保護義務，不得損害投資者合法權(quán)益。 

管理辦法第二十九條規(guī)定了核心機構(gòu)和經(jīng)營機構(gòu)在處理個人信息時應當遵循的原則，包括合法、正當、必要和誠信原則，這一點實現(xiàn)了與《個人信息保護法》的銜接。個人信息的處理原則將貫穿于個人信息處理活動始終，指導核心機構(gòu)和經(jīng)營機構(gòu)如何合規(guī)地處理個人信息。結(jié)合我們的實踐經(jīng)驗，在處理個人信息時，除遵守以上原則外，核心機構(gòu)與經(jīng)營機構(gòu)還需遵循以下原則：

l  最小必要原則

最小必要原則是指個人信息處理者只對滿足個人信息主體授權(quán)同意的目的所需的最少個人信息類型和數(shù)量進行處理，并在處理目的達成后及時刪除個人信息

l  知情同意原則

知情同意原則是指高度尊重用戶自主權(quán)益，充分告知收集、使用的用戶信息及用途，并獲取用戶主動授權(quán)

l  確保安全原則

確保安全原則是指個人信息處理者應當具備與所面臨的安全風險相匹配的安全能力，并采取足夠的管理措施和技術(shù)手段，保護個人信息的保密性、完整性、可用性

l  權(quán)責一致原則

權(quán)責一致原則是指個人信息處理者應當采取必要的技術(shù)手段和管理舉措，保障個人信息的安全，并對由個人信息處理活動所造成的結(jié)果承擔相應責任。 

二、 個人信息保護合規(guī)體系建設 

　　第三十條　核心機構(gòu)和經(jīng)營機構(gòu)處理投資者個人信息，應當建立健全投資者個人信息保護體系，明確相關(guān)崗位及職責要求，建立健全投資者個人信息處理、安全防護、應急處置、審計監(jiān)督等管理機制，加強投資者個人信息保護。 

管理辦法第三十條規(guī)定了核心機構(gòu)與經(jīng)營機構(gòu)應當建立投資者個人保護體系，以加強投資者個人信息保護。結(jié)合我們的實踐經(jīng)驗，個人信息合規(guī)體系建設主要包括組織建設和制度建設。制度建設是實現(xiàn)個人信息合規(guī)的基礎，組織建設是實現(xiàn)個人信息合規(guī)的保障。

（一） 組織建設

管理辦法要求核心機構(gòu)與經(jīng)營機構(gòu)應當明確相關(guān)崗位及職責要求，該說法較為概括。結(jié)合我們的實踐經(jīng)驗，核心機構(gòu)與經(jīng)營機構(gòu)應當成立個人信息保護管理組織，并明確相關(guān)組織的組織架構(gòu)、崗位職能、工作與協(xié)調(diào)機制，負責公司的個人信息保護管理與實施工作。如有關(guān)機構(gòu)設立“數(shù)據(jù)安全與個人信息保護委員會”，負責決議個人信息相關(guān)的事宜，并在委員會之下設立個人信息保護工作小組，以負責個人信息保護事宜的具體執(zhí)行。

（二） 制度建設

管理辦法要求核心機構(gòu)與經(jīng)營機構(gòu)建立投資者個人信息處理、安全防護、應急處置、審計監(jiān)督等管理機制，其主要針對重點的幾類管理制度進行了強調(diào)。結(jié)合我們的實踐經(jīng)驗，為完善核心機構(gòu)與經(jīng)營機構(gòu)的個人信息制度建設，我們建議其建立如下制度：

l  個人信息主體權(quán)利響應制度

l  個人信息保護影響評估制度

l  個人信息保護合規(guī)審計制度

l  數(shù)據(jù)分類分級制度

l  數(shù)據(jù)安全風險與事件應急響應制度

l  供應商與第三方數(shù)據(jù)合規(guī)管理制度 

三、 個人信息處理環(huán)節(jié)的合規(guī)要求 

　　第三十一條　核心機構(gòu)和經(jīng)營機構(gòu)應當按照法律法規(guī)的規(guī)定及合同的約定處理投資者個人信息，明確告知投資者處理個人信息的目的、方式、范圍和隱私保護政策，不得超范圍收集和使用投資者個人信息，不得收集提供服務非必要的投資者個人信息。合同約定事項應當基于從事證券期貨業(yè)務活動的必要限度。

核心機構(gòu)和經(jīng)營機構(gòu)不得以投資者不同意處理其個人信息或者撤回同意為由，拒絕向投資者提供服務，為投資者提供服務所必需、履行法定職責或者法定義務等情形除外。

　　第三十二條　核心機構(gòu)和經(jīng)營機構(gòu)處理投資者個人信息時，應當確保個人信息在收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理過程中的合規(guī)、安全，防止個人信息的泄露、篡改、丟失。

第三十三條　核心機構(gòu)和經(jīng)營機構(gòu)應當依法依規(guī)向第三方機構(gòu)提供投資者個人信息，明確告知投資者個人信息處理目的、處理方式、個人信息種類、保存期限、保護措施以及相關(guān)方的權(quán)利和義務等，并取得投資者個人單獨同意，履行法定職責或者法定義務的情形除外。 

管理辦法第三十一條至第三十三條規(guī)定了核心機構(gòu)與經(jīng)營機構(gòu)在處理個人信息的具體環(huán)節(jié)中應當遵守哪些合規(guī)要求，主要明確了核心機構(gòu)在處理個人信息過程中的告知和獲得投資者的同意義務、不得超范圍處理個人信息、確保個人信息處理環(huán)節(jié)的合規(guī)與安全以及向第三方機構(gòu)提供個人信息的法定義務。

上述規(guī)定較為籠統(tǒng)，結(jié)合我們的實踐經(jīng)驗，證券期貨業(yè)的核心機構(gòu)與經(jīng)營機構(gòu)應當注重以下方面的個人信息保護的專項治理：

（一） APP合規(guī)評估與整改

APP作為最主要的收集用戶個人信息的平臺，大多數(shù)機構(gòu)均開發(fā)有專屬于自身業(yè)務的APP，且相關(guān)監(jiān)管機構(gòu)對于APP的監(jiān)管呈現(xiàn)出愈加嚴格的趨勢，因此，注重APP的合規(guī)評估與整改是實現(xiàn)核心機構(gòu)與經(jīng)營機構(gòu)個人信息保護合規(guī)的重要內(nèi)容。通信管理局、工業(yè)和信息化部、公安部國家計算機病毒應急處理中心多次對證券期貨業(yè)的相關(guān)機構(gòu)的個人信息違規(guī)情況進行通報，集中體現(xiàn)在違規(guī)收集個人信息，APP強制、頻繁、過度索取權(quán)限以及數(shù)據(jù)主體的權(quán)益合規(guī)問題。我們建議，核心機構(gòu)與經(jīng)營機構(gòu)應當密切關(guān)注APP的監(jiān)管動向，定期針對APP進行個人信息合規(guī)評估，并對不合規(guī)項進行及時整改。

（二） 業(yè)務系統(tǒng)開發(fā)合規(guī)管理

業(yè)務開發(fā)系統(tǒng)作為核心機構(gòu)與經(jīng)營機構(gòu)的業(yè)務功能支撐，其對于核心機構(gòu)與經(jīng)營機構(gòu)的業(yè)務開展起著至關(guān)重要的作用。結(jié)合我們的實踐經(jīng)驗，在業(yè)務系統(tǒng)開發(fā)過程中，應當加入涉及個人信息保護的合規(guī)節(jié)點，而不應該在業(yè)務系統(tǒng)投入運營后才重視其個人信息保護合規(guī)問題，這種合規(guī)理念也被稱為隱私設計（Privacy by Design，或簡稱為“PbD”）。因此，相關(guān)機構(gòu)在進行業(yè)務系統(tǒng)開發(fā)時，應當注重將個人信息合規(guī)節(jié)點融入開發(fā)流程，并擬定相應的合規(guī)指引，以便于形成系統(tǒng)化的操作流程。

（三） 第三方個人信息合規(guī)風險管理

數(shù)據(jù)在流動中方能彰顯價值，個人信息在處理過程中可能會與第三方發(fā)生交互，如管理辦法中明確提到的向第三方機構(gòu)提供個人信息的場景。除向第三方提供之外，可能還會存在與第三方共同處理個人信息或者委托第三方處理個人信息的情形。在與第三方發(fā)生數(shù)據(jù)交互時，核心機構(gòu)與經(jīng)營機構(gòu)應當按照管理辦法、《個人信息保護法》等相關(guān)規(guī)定，履行法定義務，并通過協(xié)議的方式明確雙方關(guān)于個人信息保護的相關(guān)義務，同時加強對第三方個人信息處理行為的監(jiān)督。

（四） 員工個人信息保護

核心機構(gòu)和經(jīng)營機構(gòu)掌握著員工的大量個人信息，甚至包括許多敏感個人信息，實現(xiàn)員工個人信息合規(guī)亦是實現(xiàn)核心機構(gòu)與經(jīng)營機構(gòu)個人信息合規(guī)的不可或缺內(nèi)容。《個人信息保護法》第十三條明確規(guī)定了獲取員工個人信息的豁免同意情形，主要包括：（1）為履行法定義務所必需；（2）為訂立、履行個人作為一方當事人的勞動合同所必需；（3）為按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需。除上述情形之外，處理員工的個人信息需要取得員工的同意，并向其告知法律規(guī)定的內(nèi)容。因此，為實現(xiàn)員工個人信息保護，建議相關(guān)機構(gòu)建立員工個人信息保護方案，并制定員工隱私保護聲明，以實現(xiàn)員工個人信息保護合規(guī)。

（五） 個人信息保護主題的合規(guī)內(nèi)訓

在制定了相應的合規(guī)保護制度、采取了相應的安全防護措施后，核心機構(gòu)與經(jīng)營機構(gòu)還需要定期開展個人信息保護主題的相關(guān)合規(guī)培訓，以提升企業(yè)員工的個人信息保護意識和個人信息合規(guī)水平。 

四、 個人信息的安全保護措施　　

　　第三十四條　核心機構(gòu)和經(jīng)營機構(gòu)在本機構(gòu)網(wǎng)絡安全防護邊界以外處理投資者個人信息的，應當采取數(shù)據(jù)脫敏、數(shù)據(jù)加密等措施，防范化解投資者個人信息在處理過程中的泄露風險。

核心機構(gòu)和經(jīng)營機構(gòu)通過短信、郵件等非自主運營渠道發(fā)送投資者敏感個人信息的，應當將投資者賬號信息、身份證號碼等敏感個人信息進行脫敏處理。 

管理辦法第三十四條規(guī)定了核心機構(gòu)和經(jīng)營機構(gòu)在安全防護邊界外處理投資者個人信息，應當采取數(shù)據(jù)脫敏、加密等措施；使用非自主運營渠道發(fā)送投資者敏感個人信息，應當對其進行脫敏處理。事實上，為保障個人信息安全，核心機構(gòu)應當在個人信息的處理環(huán)節(jié)中適時采取必要的安全措施，不僅局限于管理辦法所規(guī)定的情形。目前，實踐中采取的安全保護措施主要包括以下類型：

l  去標識化

l  個人信息服務化

l  訪問控制

l  客戶端存儲、傳輸、服務端加密

l  數(shù)據(jù)脫敏

l  API網(wǎng)關(guān) 

五、 其他特殊規(guī)定 

第三十五條　核心機構(gòu)和經(jīng)營機構(gòu)利用生物特征進行客戶身份認證的，應當對其必要性、安全性進行風險評估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的客戶身份認證方式，強制客戶同意收集其個人生物特征信息。 

管理辦法第三十五條著重強調(diào)了核心機構(gòu)和經(jīng)營機構(gòu)利用生物特征進行客戶身份認證場景下的合規(guī)義務，主要包括：（1）應當對收集生物特征進行身份認證的必要性和安全性進行風險評估；（2）不得將生物特征作為唯一的身份認證方式。

生物特征信息屬于敏感個人信息的一種，核心機構(gòu)和經(jīng)營機構(gòu)處理生物特征信息需遵循《個人信息保護法》關(guān)于處理敏感個人信息的規(guī)則。且根據(jù)《個人信息保護法》第二十八條第二款的相關(guān)規(guī)定，只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。因此，管理辦法明確核心機構(gòu)與經(jīng)營機構(gòu)利用生物特征進行客戶身份認證時應當對其必要性和安全性進行風險評估，實則是對《個人信息保護法》上述規(guī)定的回應。

此外，管理辦法還規(guī)定，核心機構(gòu)與經(jīng)營機構(gòu)不得將生物特征作為唯一的客戶身份認證方式，其目的在于規(guī)制相關(guān)機構(gòu)不得變相強制收集客戶的個人生物特征信息。該規(guī)定系管理辦法區(qū)別于《個人信息保護法》的特殊規(guī)定，《個人信息保護法》在“敏感個人信息的處理規(guī)則”章節(jié)并未設置有該等要求，但該規(guī)定也并非管理辦法的創(chuàng)新。事實上，在2021年11月由國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》，其第二十五條規(guī)定“數(shù)據(jù)處理者利用生物特征進行個人身份認證的，應當對必要性、安全性進行風險評估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式，以強制個人同意收集其個人生物特征信息?！彪m然上述管理條例尚處于征求意見過程中，但管理辦法已經(jīng)率先將其適用到證券期貨行業(yè)中。 

六、 總結(jié)

隨著管理辦法的正式實施，證券期貨業(yè)的核心機構(gòu)與經(jīng)營機構(gòu)應當重視個人信息合規(guī)建設，致力于實現(xiàn)個人信息保護合規(guī)，應當在遵循個人信息處理原則的基礎上，建立健全個人信息保護體系，注重個人信息處理環(huán)節(jié)的合規(guī)，尤其是重點場景下的合規(guī)治理，采取適當?shù)陌踩Ｗo措施，防止個人信息泄露。