《证券期货业网络与信息安全管理办法》（以下简称“管理办法”）的一大亮点在于突出对于投资者的个人信息保护，其相比于《证券期货业网络安全管理办法（征求意见稿）》（以下简称“征求意见稿”）仅用一条笼统规定核心机构与经营机构的投资者个人信息保护义务不同，管理办法则设置了“投资者个人信息保护”专章，针对证券期货业关于个人信息保护需要重点关注的问题进行了规范，这也反映出相关监管机构对于个人信息保护问题的重视。本文将根据管理办法的具体规定，结合我们的实践经验，解读核心机构与经营机构应当如何实现个人信息保护合规。

管理办法的“投资者个人信息保护”章节共有7条，分别从个人信息处理原则、个人信息保护合规体系建设、个人信息处理环节的合规要求、安全保护措施、证券期货业个人信息保护特殊规定几个方面对核心机构与经营机构的个人信息保护义务予以了规定。 

一、 个人信息处理原则 

　　第二十九条　核心机构和经营机构应当遵循合法、正当、必要和诚信原则，处理投资者个人信息，规范投资者个人信息处理行为，履行投资者个人信息保护义务，不得损害投资者合法权益。 

管理办法第二十九条规定了核心机构和经营机构在处理个人信息时应当遵循的原则，包括合法、正当、必要和诚信原则，这一点实现了与《个人信息保护法》的衔接。个人信息的处理原则将贯穿于个人信息处理活动始终，指导核心机构和经营机构如何合规地处理个人信息。结合我们的实践经验，在处理个人信息时，除遵守以上原则外，核心机构与经营机构还需遵循以下原则：

l  最小必要原则

最小必要原则是指个人信息处理者只对满足个人信息主体授权同意的目的所需的最少个人信息类型和数量进行处理，并在处理目的达成后及时删除个人信息

l  知情同意原则

知情同意原则是指高度尊重用户自主权益，充分告知收集、使用的用户信息及用途，并获取用户主动授权

l  确保安全原则

确保安全原则是指个人信息处理者应当具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护个人信息的保密性、完整性、可用性

l  权责一致原则

权责一致原则是指个人信息处理者应当采取必要的技术手段和管理举措，保障个人信息的安全，并对由个人信息处理活动所造成的结果承担相应责任。 

二、 个人信息保护合规体系建设 

　　第三十条　核心机构和经营机构处理投资者个人信息，应当建立健全投资者个人信息保护体系，明确相关岗位及职责要求，建立健全投资者个人信息处理、安全防护、应急处置、审计监督等管理机制，加强投资者个人信息保护。 

管理办法第三十条规定了核心机构与经营机构应当建立投资者个人保护体系，以加强投资者个人信息保护。结合我们的实践经验，个人信息合规体系建设主要包括组织建设和制度建设。制度建设是实现个人信息合规的基础，组织建设是实现个人信息合规的保障。

（一） 组织建设

管理办法要求核心机构与经营机构应当明确相关岗位及职责要求，该说法较为概括。结合我们的实践经验，核心机构与经营机构应当成立个人信息保护管理组织，并明确相关组织的组织架构、岗位职能、工作与协调机制，负责公司的个人信息保护管理与实施工作。如有关机构设立“数据安全与个人信息保护委员会”，负责决议个人信息相关的事宜，并在委员会之下设立个人信息保护工作小组，以负责个人信息保护事宜的具体执行。

（二） 制度建设

管理办法要求核心机构与经营机构建立投资者个人信息处理、安全防护、应急处置、审计监督等管理机制，其主要针对重点的几类管理制度进行了强调。结合我们的实践经验，为完善核心机构与经营机构的个人信息制度建设，我们建议其建立如下制度：

l  个人信息主体权利响应制度

l  个人信息保护影响评估制度

l  个人信息保护合规审计制度

l  数据分类分级制度

l  数据安全风险与事件应急响应制度

l  供应商与第三方数据合规管理制度 

三、 个人信息处理环节的合规要求 

　　第三十一条　核心机构和经营机构应当按照法律法规的规定及合同的约定处理投资者个人信息，明确告知投资者处理个人信息的目的、方式、范围和隐私保护政策，不得超范围收集和使用投资者个人信息，不得收集提供服务非必要的投资者个人信息。合同约定事项应当基于从事证券期货业务活动的必要限度。

核心机构和经营机构不得以投资者不同意处理其个人信息或者撤回同意为由，拒绝向投资者提供服务，为投资者提供服务所必需、履行法定职责或者法定义务等情形除外。

　　第三十二条　核心机构和经营机构处理投资者个人信息时，应当确保个人信息在收集、存储、使用、加工、传输、提供、公开、删除等处理过程中的合规、安全，防止个人信息的泄露、篡改、丢失。

第三十三条　核心机构和经营机构应当依法依规向第三方机构提供投资者个人信息，明确告知投资者个人信息处理目的、处理方式、个人信息种类、保存期限、保护措施以及相关方的权利和义务等，并取得投资者个人单独同意，履行法定职责或者法定义务的情形除外。 

管理办法第三十一条至第三十三条规定了核心机构与经营机构在处理个人信息的具体环节中应当遵守哪些合规要求，主要明确了核心机构在处理个人信息过程中的告知和获得投资者的同意义务、不得超范围处理个人信息、确保个人信息处理环节的合规与安全以及向第三方机构提供个人信息的法定义务。

上述规定较为笼统，结合我们的实践经验，证券期货业的核心机构与经营机构应当注重以下方面的个人信息保护的专项治理：

（一） APP合规评估与整改

APP作为最主要的收集用户个人信息的平台，大多数机构均开发有专属于自身业务的APP，且相关监管机构对于APP的监管呈现出愈加严格的趋势，因此，注重APP的合规评估与整改是实现核心机构与经营机构个人信息保护合规的重要内容。通信管理局、工业和信息化部、公安部国家计算机病毒应急处理中心多次对证券期货业的相关机构的个人信息违规情况进行通报，集中体现在违规收集个人信息，APP强制、频繁、过度索取权限以及数据主体的权益合规问题。我们建议，核心机构与经营机构应当密切关注APP的监管动向，定期针对APP进行个人信息合规评估，并对不合规项进行及时整改。

（二） 业务系统开发合规管理

业务开发系统作为核心机构与经营机构的业务功能支撑，其对于核心机构与经营机构的业务开展起着至关重要的作用。结合我们的实践经验，在业务系统开发过程中，应当加入涉及个人信息保护的合规节点，而不应该在业务系统投入运营后才重视其个人信息保护合规问题，这种合规理念也被称为隐私设计（Privacy by Design，或简称为“PbD”）。因此，相关机构在进行业务系统开发时，应当注重将个人信息合规节点融入开发流程，并拟定相应的合规指引，以便于形成系统化的操作流程。

（三） 第三方个人信息合规风险管理

数据在流动中方能彰显价值，个人信息在处理过程中可能会与第三方发生交互，如管理办法中明确提到的向第三方机构提供个人信息的场景。除向第三方提供之外，可能还会存在与第三方共同处理个人信息或者委托第三方处理个人信息的情形。在与第三方发生数据交互时，核心机构与经营机构应当按照管理办法、《个人信息保护法》等相关规定，履行法定义务，并通过协议的方式明确双方关于个人信息保护的相关义务，同时加强对第三方个人信息处理行为的监督。

（四） 员工个人信息保护

核心机构和经营机构掌握着员工的大量个人信息，甚至包括许多敏感个人信息，实现员工个人信息合规亦是实现核心机构与经营机构个人信息合规的不可或缺内容。《个人信息保护法》第十三条明确规定了获取员工个人信息的豁免同意情形，主要包括：（1）为履行法定义务所必需；（2）为订立、履行个人作为一方当事人的劳动合同所必需；（3）为按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。除上述情形之外，处理员工的个人信息需要取得员工的同意，并向其告知法律规定的内容。因此，为实现员工个人信息保护，建议相关机构建立员工个人信息保护方案，并制定员工隐私保护声明，以实现员工个人信息保护合规。

（五） 个人信息保护主题的合规内训

在制定了相应的合规保护制度、采取了相应的安全防护措施后，核心机构与经营机构还需要定期开展个人信息保护主题的相关合规培训，以提升企业员工的个人信息保护意识和个人信息合规水平。 

四、 个人信息的安全保护措施　　

　　第三十四条　核心机构和经营机构在本机构网络安全防护边界以外处理投资者个人信息的，应当采取数据脱敏、数据加密等措施，防范化解投资者个人信息在处理过程中的泄露风险。

核心机构和经营机构通过短信、邮件等非自主运营渠道发送投资者敏感个人信息的，应当将投资者账号信息、身份证号码等敏感个人信息进行脱敏处理。 

管理办法第三十四条规定了核心机构和经营机构在安全防护边界外处理投资者个人信息，应当采取数据脱敏、加密等措施；使用非自主运营渠道发送投资者敏感个人信息，应当对其进行脱敏处理。事实上，为保障个人信息安全，核心机构应当在个人信息的处理环节中适时采取必要的安全措施，不仅局限于管理办法所规定的情形。目前，实践中采取的安全保护措施主要包括以下类型：

l  去标识化

l  个人信息服务化

l  访问控制

l  客户端存储、传输、服务端加密

l  数据脱敏

l  API网关 

五、 其他特殊规定 

第三十五条　核心机构和经营机构利用生物特征进行客户身份认证的，应当对其必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式，强制客户同意收集其个人生物特征信息。 

管理办法第三十五条着重强调了核心机构和经营机构利用生物特征进行客户身份认证场景下的合规义务，主要包括：（1）应当对收集生物特征进行身份认证的必要性和安全性进行风险评估；（2）不得将生物特征作为唯一的身份认证方式。

生物特征信息属于敏感个人信息的一种，核心机构和经营机构处理生物特征信息需遵循《个人信息保护法》关于处理敏感个人信息的规则。且根据《个人信息保护法》第二十八条第二款的相关规定，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。因此，管理办法明确核心机构与经营机构利用生物特征进行客户身份认证时应当对其必要性和安全性进行风险评估，实则是对《个人信息保护法》上述规定的回应。

此外，管理办法还规定，核心机构与经营机构不得将生物特征作为唯一的客户身份认证方式，其目的在于规制相关机构不得变相强制收集客户的个人生物特征信息。该规定系管理办法区别于《个人信息保护法》的特殊规定，《个人信息保护法》在“敏感个人信息的处理规则”章节并未设置有该等要求，但该规定也并非管理办法的创新。事实上，在2021年11月由国家互联网信息办公室发布的《网络数据安全管理条例（征求意见稿）》，其第二十五条规定“数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息。”虽然上述管理条例尚处于征求意见过程中，但管理办法已经率先将其适用到证券期货行业中。 

六、 总结

随着管理办法的正式实施，证券期货业的核心机构与经营机构应当重视个人信息合规建设，致力于实现个人信息保护合规，应当在遵循个人信息处理原则的基础上，建立健全个人信息保护体系，注重个人信息处理环节的合规，尤其是重点场景下的合规治理，采取适当的安全保护措施，防止个人信息泄露。