在这几天,市场有一个非常有趣的点:在上周,顺周期个股均是泥沙俱下的盘面,这周不再了,同时几只横盘整理的大白马开始加速的向上,可以来看下以下几个图: 这些盘面信息也是大致的给到信息:这些核心资产的龙头,市场机构在有意识的回补,透露的便是在年底机构短期调仓的市场风格在弱化。 那么在已经步入12月中旬的时候,各大机构的布局差不多也是完成,同时市场透露的信息来看,一些顶级的投资机构涌入了这两个行业。 睿远、高瓴资本、易方达 高举高打新能源 在上周,A股光伏龙头通威股份定增公告出炉,根据披露的资料显示,百亿私募迎水投资、易方达基金、高瓴资本、朱雀基金、睿远基金等均参与了此次定增,并获配股份。 其中,傅鹏博管理的睿远成长价值获配714.29万股,认购金额约为2亿元,高瓴资本管理有限公司-中国价值基金(交易所)获配股数为1785.71万股,认购金额约为5亿元。 值得一提的是,通威股份发行价格为28元/股,锁定期六个月,这个28元股价,较年初累计上涨近150%,机构认购的价格依旧是高举高打。 今年是基金收获大年,根据数据显示,截至12月15日,年内3287只主动偏股基金(股票型基金、偏股混合型基金、灵活配置型基金)中接近98%的基金取得正收益,年内翻倍主动偏股基金已达到20只。 而这些基金受益的行业上,上半年医药,下半年就非新能源尤其是光伏了。年内收益超120%的广发高端制造股票A基金,基金经理刘格菘就直接重仓光伏4只龙头股。 对于此次通威股份的定增认购,从各大机构的态度来看,均是一致的看好未来新能源的发展,对于光伏的投资逻辑,在这块吃到大肉的基金经理刘格菘就表示:经过了供给侧改革之后,现在供给层面其实已经能看到龙头公司慢慢走出来了,在很多行业里面都能看到。 这就是为什么过去几年光伏行业其实是有比较强的周期性。一方面供给格局还没有定,另一方面这个行业是政策驱动的行业。但是再往后看,这个行业供给格局现在已经基本上定型了。此外,这个行业已经从政策驱动向市场驱动转变,这样的行业未来可能还有很大的投资机会。” 在国家政策方面,目前国家发展改革委和能源局正在测算“十四五”“十五五”时期光伏发电的目标。从目前的发展情况看,“十四五”的光伏发电需求将远高于“十三五”。为此,有必要进一步调动光伏制造企业、光伏发电企业等主体的积极性。 同时在2020年12月12日总书记在巴黎气候峰会上宣布,到2030年,中国单位GDP二氧化碳排放将比2005年下降65%以上,非化石能源占一次能源消费比重将达到25%。 这也就意味着,2025年非化占比从原定的18%提升到20%将成为大概率事件。 高毅瞄准网络安全 同样在在上周,A股上市公司的定增也是吸引了机构的追捧,网络安全龙头深信服披露的定增投资者公告上。 根据披露:此次发行价格为185.01元/股,募资总额8.88亿元。发行对象最终确定为4家,分别为上海高毅资产管理合伙企业、嘉实基金管理有限公司、林芝腾讯科技有限公司和中国国际金融股份有限公司,分别认购2.8亿元、1.78亿元、3.3亿元、1亿元。值得一提的是,高毅此次出现旗下三只基金,邓晓峰、冯柳以及孙庆瑞。 深信服指出,本次发行募集资金均投向公司的主营业务,项目的实施有助于公司巩固现有竞争优势,提高公司的核心竞争力,进一步提升行业地位,保证公司的可持续发展。本次发行完成后,公司的主营业务范围、业务收入结构不会发生重大变化。 在网络安全这块,根据中国网络空间安全协会发布了《2020年中国网络安全产业统计报告》指出,在2019年国内网络安全技术、产品与服务总收入约为523.09亿元,同比增长25.37%。在2017年至2019年期间,2018年网络安全市场规模年复合增长率为28.98%,达到历史最高。到2023年底,中国网络安全市场规模将突破千亿元。 其中,2019年,软件及硬件产品收入约占安全业务总收入的66%,安全服务收入约占安全业务总收入的24%,安全集成收入约占安全业务总收入的10%。 而且根据Gartner 数据显示,我国在2019年的IT支出约达到2.9万亿元规模,而信息安全市场规模为500亿元左右,中国信息安全支出占IT支出比例仅为1.7%。这个数据相对于全球平均水平还有较大差距,所以存在国产替代的预期差。 深信服作为国内网络安全的龙头,主要信息安全产品持续多年市场份额位居行业前列,多项产品国内市占率第一。 上网行为管理2015年至2019年连续5年保持国内市场占有率第一,公司SSL VPN从2008年至2014年保持中国市场占有率第一,公司VPN2015年至2019年保持国内市场占有率第一。 深信服在第三季度报告期内实现营收32.44亿元,同比增长16.22%;实现归母净利润为6925万元,同比下降77.86%;实现扣非归母净利润为694万元,同比下降97.20%。 小 结 2020年的交易日还有十几个,在这一年的时间机构基本上赚肿了,而这两个多月的期间震荡,一方面流动性的缩紧,另一方面机构的调仓配置。为2021年打下基础。 在这周开始,市场给出的信号逐渐的明朗清晰,各大机构例如高瓴,高毅,嘉实基金等等,布局的方向还是代表未来有一定投资机会和预期差的领域。
作为当年中概股回归A股的标杆,三六零完成了回归A股后的首次定增。 1月5日晚间,三六零(简称“360”)发布公告,宣布以12.93元/股的价格非公开发行3.81亿股股份,发行对象为17家,共募集资金49.3亿元。 国资背景战略投资者加盟 值得一提的是,参与360此次定增的股东,很多具有国资背景,其中中国电信、中国人寿、北京中发助力壹号投资基金均为大型国资机构。 此外,记者注意到,定增股东中的天津高新海泰、珠海大横琴创新发展、珠海科技创投、成都高新、成都产投基金、上海国际等,与360政企安全业务在天津、珠海、成都、上海等地区的落地路线图不谋而合。 在业界看来,国资背景投资机构和地方产业资本的加盟,将大大改善360的股东结构。通过本次定增,有助于360与新进股东在业务上开展深度合作与场景交换,提高拓展市场和抵御风险的能力。 中国网络空间安全协会数据显示,2019年国内网络安全市场规模523亿元,预计2023年底将突破千亿元。东兴证券近期研报指出,360实现了五种落地方案、八大颠覆式创新和九大壁垒,能够有效帮助政企客户在不同层次实现网络及物理空间的安全防御体系。在信息安全行业打开发展空间的大背景下,公司有望抓住发展机遇,展现龙头优势。 定增历时两年半终成正果 公开信息显示,360此次定增融资,时间跨度长达两年半。 2011年3月30日,360在纽交所上市。2016年7月,360完成私有化从纽交所摘牌。2018年2月28日,360在A股借壳上市。 A股上市2个月后,2018年5月14日,360董事会审议通过了定增议案。此后,定增议案经过数次延长和调整直至此次尘埃落定。 对于近50亿元募资的投向,360表示,拟用于建设360网络空间安全研发中心项目、360新一代人工智能创新研发中心项目、360大数据中心建设项目等安全技术研发及基础设施类项目等,进一步扩大公司在网络安全、人工智能、大数据的资源储备和技术优势。 东兴证券研报指出,目前360已与78%部委、80%央企、82%大型银行以及上百万中小企业开展了网络安全方面的合作,其中,中标金额高达1.186亿元的天津应急项目已于2020年12月1日通过验收。BG端客户拓展顺利有望成为公司下一个业绩驱动点。 华西证券研报指出,2020年三季度以来,网安行业整体进入复工复产阶段,新增订单普遍呈现改善趋势,其中政府侧需求恢复相对慢热,但企业侧(金融口、电信口等)的订单同比增速明显回升。2020年四季度,随着G端预算开始呈现边际放松,行业订单增长进一步加速,全行业订单增长和收入确认在第四季度进入高峰期。展望2021年,网安行业有望迎来业绩大年。
12月29日,中孚信息在济南举办媒体开放日活动。中孚信息副总裁贾峰对记者表示,公司深耕信息安全保密领域近20年,积极推进国家网络安全强国战略并不断做强做大,成为国内保密领域第一股。在网络安全向数据安全演进过程中,凭借良好的产品、技术和方案储备,公司将加快由“保密”向“大安全”的拓展,致力于打造全国数据安全旗舰品牌。 近20年深耕 成A股保密领域第一股 自2002年成立起,中孚信息就一直深耕保密领域。在公司展厅,记者看到了公司推出的第一款保密产品“物理隔离卡”,那是当时我国的信息安全保密工作的重要工具之一。 2004年,中孚信息率先在国内推出安全保密检查工具,2005年成为国内首批获得涉密信息系统集成资质的企业,并参与了产品相关行业标准制定。2007年,公司完成了股份制改造,正式开启资本市场征程。2017年,公司成功在深交所创业板上市,成为A股保密领域第一股。 在这期间,公司的产品线开始持续完善,实现由单一产品到整体产品线布局,客户遍及全国上万家党政机关、军队和企事业单位,并逐步形成信息安全保密产品、密码应用产品、信息安全服务三大核心业务板块。“目前,从保密产品的应用角度来讲,公司产品实现了从防护、检查、监管等整个业务闭环,公司的市场占有率保持第一。”贾峰说。 此外,公司商用密码产品应用也走在行业前列。公司研发的电子营业执照客户端安全产品,成功中标国家工商总局电子营业执照项目。2015年,公司在福建开出全国第一张电子营业执照。 当下火热的信创领域,中孚信息是国内最早的布局者之一。中孚信息技术总工苗功勋告诉记者,公司早在2012年就涉足信创领域,并持续坚持产品布局,经过多年的积累与磨合,奠定了在该领域的领先优势。 资料显示,中孚信息围绕主机安全防护、保密检查、网络安全以及数据安全等方面,兼容适配主流国产CPU、国产OS、国产数据库、国产中间件,形成了一套符合信创产品特点的市场、研发、技术支撑、生产及商务运营体系。 “公司通过持续布局,参与了信创领域相关产品的全周期,获得了宝贵的经验和积淀,这是公司在信创领域最大的优势所在。”贾峰介绍说,在目前信创试点三期产品应用中,公司产品占有率超过60%。2019年公司还中标全国最大的单体信创项目,进一步巩固了公司在该领域的市场地位。 一位信息安全产业分析师对记者表示,信息技术应用创新发展是国家战略,对中孚信息而言也是重要的发展机遇,随着信创市场持续增长,公司的发展空间有望持续打开。 从“保密”到“大安全” 打开未来成长空间 在新的网络安全形势下,中孚信息在继续巩固和夯实在安全保密领域优势地位的同时,加快由“保密”向“大安全”的拓展。 中孚信息由“保密”迈向“大安全”是有内在逻辑的。贾峰表示,一方面,保密,保的就是信息安全。公司多年在信息安全保密领域积累了大量的技术、产品、方案,有着坚实的基础和基因。另一方面,从“保密”迈向“大安全”将进一步拓展公司的发展空间,也是公司不断发展壮大的一个重要方向。 网络安全形势日益严峻,信息安全行业景气度持续高涨,我国网络安全市场增速迅猛。根据IDC数据,2019年我国网络安全支出达到73.5亿美元,预计2020年我国网络安全市场总体支出将达到87.5亿美元,同比增长24.00%,至2023年,这一市场规模将增长至179.0亿美元,复合增速达25.1%。 此外,根据东北证券研报,随着我国信息安全保密领域法律、法规的陆续颁布实施,保密安全成为刚需。中孚信息总裁助理董文华表示,公司在从“核心安全”迈向“全面安全”过程中,将以构建网络空间对抗能力为目标,着力打造内置式网络安全技术体系。未来基于“六保”、“四密”领域,市场空间非常大,公司将力争在智慧城市、数字政府领域有所突破。
—摘 要— 跨境打新已成为中国企业海外上市的焦点话题之一,头部服务机构更是以千亿交易量彰显热潮,与之相伴,个人信息以及一系列金融数据的跨境传输,也让合规风险日益突出 圣诞前后,由于承认二次销售,有着“盲盒第一股”之称的泡泡玛特(Pop Mart)失足跌入舆论漩涡,遭到了网络舆论乃至央媒的口诛笔伐,其市值甚至在一日内就蒸发了120亿港元。而半个月前,泡泡玛特正式在港交所主板挂牌上市,开盘涨幅即超100%。 冰火两重天之下,我们难以预测以泡泡玛特为代表的盲盒经济的未来,但其所折射的“跨境打新”现象却已然成为企业上市投资相关的焦点话题之一,易操作、风险低、收益高等特点迅速推动这股热潮风靡国内。 一段时间以来,国内创新型概念企业纷纷选择在境外的纽交所、港交所上市,再叠加国内适合个人投资优质资产的相对缺失,“跨境打新”也就逐渐成为投资者分享相关企业发展红利的重要路径。然而与监管的属地原则相适应,客户的美股和港股均需托管在境外第三方合作清算商,美股托管账户内客户资产受到美国证监会和美国金融管理局监管,港股托管账户内客户资产受到香港证监会监管。 因此,客户的姓名、身份证号、住址、邮箱、联系电话、婚姻状况、就业情况等个人信息,以及客户净流动资产、净资产、总资产、净年收入等金融数据按要求也就会由相应的券商跨境提供给境外清算商进行客户实名制审核、资产评估等,由此便产生了金融数据跨境传输的合规风险。 正所谓“窥一斑而见全豹”,本文以一些持有境外券商牌照和注册投顾牌照,却向中国居民提供跨境金融服务的新型金融服务提供商为例(此类公司通过网站、APP等向中国境内居民提供投资美股、港股等服务,包括股票交易下单与执行等),从主体、客体(数据)、行为等多个层面分析向境外传输金融数据的风险隐患,在此基础上结合本土实践和国际经验对其合规监管提出完善建议。 与信息匮乏的时代相比,人类社会跨入信息时代的重要标志之一便是数据在总量规模和增长速度上的显著提升,最终质变为重要的生产要素,进而促成数字经济的诞生。然而祸福相倚,由于理性的有限和欲求的诱惑,数据信息获取使用上的便利也就由福音异化为魔咒,人们往往迷失于眼前新闻的光怪陆离,而丧失了根本趋势的整体把握,势必会让个人乃至社会支付更加高昂的代价。 主体视角:是否构成CIIO 与很多业务开展类似,金融数据跨境传输关键需要回答“可不可以,如何能够”等问题,这从逻辑上首先要求判断从事行为的机构类型,并以此确认其权利义务的边界。 根据《网络安全法》第37条的规定,关键信息基础设施运营者(“CIIO”)在国内收集和产生的个人信息和重要数据有本地化存储的特殊要求,即使确需出境,也需向监管部门进行安全评估。因此,在数据出境过程中,主体是否构成CIIO将直接决定其是否需承担本地化存储和安全评估的强制性义务。 那什么是关键信息基础设施运营者呢?按照《关键信息基础设施安全保护条例(征求意见稿)》第18条的定义,所谓关键信息基础设施运营者是指运营、管理一旦遭到破坏、丧失功能或者数据泄露,可能危害国家安全、国计民生、公共利益的网络设施和信息系统的单位,包括政府机关、金融和互联网等行业领域的机构。 以某家依托国外券商牌照向中国居民提供港美股投资服务的头部公司为例,从业务开展方面看,其同时涉及金融和互联网领域,直接提供美港股投资申购和投资等金融服务;从规模增长方面看,其占全球华人互联网券商市场的份额接近60%,用户超过400万,年交易规模超过1000亿,在其服务机构中也不乏36氪、网易有道、理想汽车以及泡泡玛特等的身影。 不难看出,国内企业境外上市对这些公司的依赖已然达到前所未有的程度,巨额投资量和客户规模数决定了其信息设施安全与国计民生关联日渐紧密,而涉及跨境传输的数据亦包含了客户资产、年收入等敏感性极强的金融数据,对金融行业甚至更高层面的影响在加大。 有鉴于此,至少在理论推演层面,上述跨境金融服务商尤其是其头部机构被认定为CIIO的概率较大。同时,尽管该类公司大多提供美股、港股、澳股、期货、基金等境外金融服务,但其服务对象主要还是中国民众以及华人华侨,因此仍然满足“在国内收集和产生”的要件,故其处理的相关数据原则上应当进行本地化存储,即使确需跨境传输,也应当向相关部门进行安全评估。从这些公司的APP用户隐私政策条款(图1)来看,在其中也确实强调了上述义务,值得肯定。 图1/某跨境金融服务商App-隐私政策 数据视角: 是否构成重要数据 如前所述,中国法律制度对CIIO在国内收集和产生的个人信息和重要数据具有本地化存储和安全评估的要求。跨境金融服务商向境外清算商传输的金融数据中包含“个人信息”这一点并无疑义,但这些信息是否构成“重要数据”则需进一步分析。 然而目前中国现行法律制度中还没有对重要数据这一概念进行界定,相关定义均以“征求意见稿”的形式存在(如《个人信息和重要数据出境安全评估办法(征求意见稿)》(2017)第17条,《信息安全技术 数据出境安全评估指南(草案)》(2017)附录A,《数据安全管理办法(征求意见稿)》(2019)第38条等)。 在这些办法中,《数据安全管理办法(征求意见稿)》(2019)第38条对重要数据的定义较具参考意义:“重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”然而,仅凭借该定义仍难以确定互联网券商收集的金融数据是否已经达到重要数据的程度。 进一步考察,可发现《信息安全技术 数据出境安全评估指南(草案)》(2017)在附录A中还体系化归纳了28类重要数据,其中在A.19金融类中明确个人财产信息、账户信息和个人信用信息等可能会构成重要数据,并在总则部分以“如披露可能影响或危害国家经济秩序和金融安全”作为判断标准。 在实际操作中,上述跨境金融服务商在提供跨境打新服务时都收集了个人哪些数据?以某头部机构的业务开展为例,客户如需使用服务则必须进行开户,在开户过程中则会直接要求用户填写净流动资产、净资产、总资产、净年收入(图2),且每个用户均为实名制。因此,其收集的金融数据显然已经构成上述《指南》中的个人财产信息和账户信息。 再结合本文第一部分所述,这些跨境金融服务商近年在国内市场份额、用户数量和交易规模上均已在金融市场中占据举足轻重的地位,如上述相关信息被披露或经他人整合分析进而造成负面后果,理解为达到“影响或危害国家经济秩序和金融安全”的程度也不足为过。 因此,一则具备被认定为CIIO的客观条件,再者其收集并产生的相关金融数据已经构成重要数据,这些跨境金融服务商理应受到本地化存储和安全评估等方面的特殊监管要求。 图2/某跨境金融服务商App-开户页面 行为视角之一: 监管制度有待系统完善 由于被称为“个人”信息,更由于其产生源自个人行动及相关企业对个人行动信息的整合分析,数据姓“私”并进而接受私法领域宪章——《民法典》的规范也就显得理所当然。不过,虽然“在民法慈母般的眼神中,每个人就是整个国家”(孟德斯鸠语),虽然《民法典》也在人格权编第六章“隐私权和个人信息保护”中赋予个人信息和数据以前所未有的法律地位和保护力度,其第一千零三十五条更是规定了处理个人信息应当遵循合法、正当、必要的原则,并用几个条文从宏观上规定了信息处理者的安全保障义务、免责事由等。 然而民法的本质毕竟还是私法,调整的是平等主体间的民事法律关系,因此从理论架构上难以也不适宜涵盖政府监管层面的体系,尤其是在信息产权理论等有关数据权益保护的思潮尚未落实到一般公众思维中的现状下,发挥公法层面的指导和规范作用便具有必要性。在监管层面,由于金融数据同时涉及金融监管和网络安全两方面的合规风险,因此在对上述跨境金融服务商进行跨境数据传输的评估时也应同时考虑双重合规的义务。 在金融监管领域,中国目前涉及个人金融信息跨境传输监管的规定主要包括2011年人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》、2020年2月发布的《个人金融信息保护技术规范》(以下简称《规范)》、2020年9月颁布的《中国人民银行金融消费者权益保护实施办法》和《金融数据安全 数据安全分级指南》(以下简称《指南》)等。 在这些制度中,一方面,《规范》7.1.3条d)项规定,企业在中国境内提供金融产品或服务过程中收集和产生的个人金融信息应在境内存储、处理和分析;确需向境外提供的,有如下合规要求: (1)应取得个人金融信息主体的明示同意; (2)应依据国家、行业有关部门制定的办法与标准开展个人金融信息安全出境评估,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求; (3)应与境外机构签订协议、现场核查等方式,明确并监督境外机构有效履行个人金融信息保护保密、数据删除、案件协查等职责义务。 另一方面,《指南》也根据金融行业机构数据安全性遭受破坏后的影响对象及程度,将数据安全由高至低划分为五个级别。《指南》中还特别强调,金融行业机构应高度重视与个人金融信息相关的数据安全保护,并在5.3“定级规则”中特别提及重要数据,并指出重要数据的安全等级不可低于该标准所述5级。《指南》中增加重要数据的内容,是国家数据安全标准体系内的相互引用,体现了行业标准对国家标准的继承。 然而,对于安全评估义务,《规范》中虽然规定应依据“有关部门制定的办法与标准”,但目前行业监管机构并未进一步对金融数据跨境评估颁布相关标准,按照法理上“无特殊依一般”的原则,相关行为现阶段主要遵循网络安全层面的一般规定。但这样这实质上便可能导致金融监管层面的安全评估合规落空,而仅凭借网信部门也难以实现《指南》中分级管理的目标。 从现状来看,跨境金融服务商在跨境传输金融数据上,面临的本地化存储、数据主体同意、安全评估和签订协议等义务与网络安全监管层面的要求基本一致,因此,在行业监管层面对数据跨境合规暂不明确的现状下,跨境金融服务商向境外传输金融数据仍应主要落实网络安全层面的监管要求。但展望未来,相关政府部门应当对金融信息跨境传输的评估批准机构、流程进一步明确,同时也建议在监管体系内建立分级管理机制,从而在保护中国金融安全和经济秩序的同时,效益最大化地保障信息共享和传输。 行为视角之二: 安全评估谁来负责 紧接上述制度适用竞合方面的问题,根据《数据安全管理办法(征求意见稿)》第28条,作为网络运营者的境内券商向境外提供重要数据前应当“报经行业主管监管部门同意,行业主管监管部门不明确的,应经省级网信部门批准”,从逻辑上看,由于上述跨境金融服务商隶属金融领域,故相关数据出境应报金融监管部门同意。 具体到实践中,金融监管机构颁布的《个人金融信息保护技术规范》有可能导致将数据出境的安全评估职责指引到网信部门,而后者颁布的《数据安全管理办法(征求意见稿)》却又将安全评估的职责规定给前者,这便在立法层面对于数据出境的安全评估部门出现了模糊的情况。 笔者通过与监管机构多个部门沟通,得到的答复为相关评估工作不属于其管辖范围。因此,中国金融数据出境的现状是,尽管行业监管机构明确,但监管机构却没有具体设立相关部门以履行职责,此时是否应向省级网信部门报批便存在问题,因为《数据安全管理办法(征求意见稿)》明确规定由省级网信部门批准的前提是“行业主管监管部门不明确”,考虑到2020年监管部门刚刚印发了金融数据分级管理的指南,并且基于金融数据和专业性和敏感性也不宜由网信部门对金融数据进行安全评估,因此跨境金融服务商在金融数据跨境传输前向哪一机构申请完成安全评估以及安全评估的程度(例如是否进行分级评估)就存在较大障碍,但不经评估又存在合规风险。 这样,现有规则体系下相关机构进行金融数据跨境传输就较易陷入“评估无门”的困境。 行为视角之三: 个人主体权利保障 除行业监管和安全评估外,金融数据出境也理应得到个人信息主体的同意,然而对于具体情形下前者是否需后者同意却也存在两个方面的具体场景:一是传输方(跨境金融服务商)向境外接收方(如第三方清算商)的传输,二是境外接收方向境外第三方的传输。 对于传输方向境外接收方传输是否需经个人信息主体同意,立法层面发生了多次变化。2017年《个人信息和重要数据出境安全评估办法(征求意见稿)》第4条中要求数据出境须经个人信息主体单独同意,2019年《个人信息出境安全评估办法》第14条则以事先“告知”数据主体代替“同意”的要求,较大程度减轻了企业的负担。但在2020年公布的《个人信息保护法(草案)》第39条中,立法再次要求须单独征得个人信息主体的同意。从出台时间和法律效力层级来看,《个人信息保护法》未来是数据合规应遵循的基本法,且跨境金融服务商传输的数据同时涉及金融领域,2020年《个人金融信息保护技术规范》亦有征得个人单独同意的要求。因此尽管网络安全层面的规范性文件存在变化,跨境金融服务商未来有较大概率需在其APP中设置相关同意条款以满足上述合规要求。 对于境外接收方向第三方传输的情形,同样存在趋紧的情况。2019年《个人信息出境安全评估办法(征求意见稿)》第16条规定只有向第三方传输的数据中涉及个人敏感信息时,才须征得个人信息主体同意。但从最新《个人信息保护法(草案)》及网信部门的相关态度推测,未来在正式立法中包括个人敏感信息在内的所有个人信息向第三方传输时均可能纳入单独同意的范畴。 金融数据跨境传输的法律关系不仅局限于政府(行业监管部门、网信部门)、跨境金融服务商和投资者个人,还涉及到境内外的数据传输方与数据接收方,《个人信息出境安全评估办法(征求意见稿)》(以下简称《办法》)对此专门要求了签订协议的合规义务。对于这一模式,事实上是充分借鉴了国际上的先进经验和通行做法,主要是仿效欧盟实践多年的适用于个人数据出境的标准合同条款(“SCC”),通过合同条款界定个人信息主体的权利与信息传输方和信息接收方的责任与义务。 同时,为了提高可操作性和有效性,《办法》还将主要责任确定在位于境内的网络运营者上,新增了许多网络运营者对境外接收者的义务条款,如需关注接收者的网络安全要求和个人信息保护落实情况,代接收者先行赔付,加强对境外数据接收者行为的间接规制等等,这些规定都是国际上接受度较高,并且具有较好实践效果的通行做法,体现了中国积极践行与国际接轨,同时又具有中国特色的数据治理路径。不过,关于通过协议约束这一国际通行做法,中国在借鉴时也进行了一定取舍,至于此种取舍是否成功不无争议。 完善视角: 对接国际面向未来 事实上,对包括金融数据在内信息跨境传输的关注已不仅限于国内,国外更是蔚为大观。以2020年11月15日正式签署的《区域全面经济伙伴关系协定》(RCEP)为例,其第十二章(电子商务专章)不仅规定了促进电子贸易便利化的内容,还涵盖了网络安全、个人信息保护、信息跨境传输等方面的要求,考察RCEP第十二章第15条关于“电子方式跨境传输信息”的相关规定,其核心要旨仍是在保证网络安全和数据主体利益的前提下促进数据共享和传输。然而与其显赫地位与重要作用不相适应的是,目前金融数据出境的规范仍是局促在小圈子里的冷门话题,并且如前所述,在网络运营主体、传输数据类型和合规行为层面,理论和实践中都存在不少的的痛点和难点。展望未来,金融数据跨境传输规范至少可以从以下方面予以完善。 (一)明确部门职责 如本文之前关于安全评估义务的论述,目前,仅从行业监管部门和网信部门等发布的各类规定和文件中难以确定金融企业跨境传输数据时进行安全评估或报批的具体部门,而在实践中经考察也确实出现了安全评估职责不明确的情况。由于在2020年发布的《指南》中行业监管部门明确要求对金融数据进行分级管理,其中还特别提及网络安全领域的基础概念——“重要数据”,可见金融领域对数据出境将持更为谨慎的态度,也意味着敏感性较强的金融数据更需要专业化的机构集中进行安全评估。为实现金融安全和信息共享的平衡,促进企业合规与信息流动的良性循环,建议未来明确由相关行业监管部门的下属单位来承担该部分的安全评估,并履行分级管理的职责。 (二)履行个人同意要求 对于境外接收方向第三方传输信息是否须单独同意,前文已经论述目前未有明确的法律法规予以规范,唯一作出规定的是2019年《个人信息出境安全评估办法(征求意见稿)》,其要求仅在涉及个人敏感信息时才须征得个人信息主体同意,这种态度与该《评估办法》关于数据由境内主体向境外传输时仅须事先“告知”保持一致。但从2020年10月公布的《个人信息保护(草案)》对数据出境须单独同意的趋势来看,尽管其没有明确规定向第三方传输的情形,但不难想见其中待考量的风险与跨境传输较为相似,甚至更大。因为境外接收方与境内网络运营者往往基于协议或公司关联关系,故较易对其信息安全措施较进行把控和评估;但对于境外第三方而言,其往往与境内主体没有直接联系,因此更有对个人信息主体权益进行保护的必要,未来规定其须单独同意也是应有之意。 当然,这在操作层面可能存在较大困难,以某跨境金融服务商为例,在其将用户数据向境外运营者传输的情形中,是通过用户协议单独勾选或跳转对话框勾选的形式征得用户同意;但对于境外运营者需向第三方传输数据的情形,其与用户事实上并没有可以交互的渠道。未来可能解决的办法是,境内机构在前述向境外运营者传输并取得信息主体单独同意时,一并设置境外运营者向第三方传输的知情同意条款,以实现相关合规要求。 (三)细化协议规定 尽管中国目前仿效国际经验采取了协议约束的模式,从而进一步规制境内运营者和境外接收方,然而,《办法》和《个人信息保护法(草案)》在数据接收方主体的称谓上仅引入了“个人信息处理者”的定义,也就是说,其没有区分共同控制者和处理者,这个定义更类似于欧盟《通用数据保护条例》(“GDPR”)项下的数据控制者。对于数据处理者角色,草案则按照行为特征进行描述(共同处理、委托处理)。基于这种逻辑,《办法》在上述合同约束模式中便仅规定了一类协议,即境内的网络运营者与境外的数据接收方。 笔者认为,既然中国在数据出境上已有明显仿效欧盟SCC的趋势,且SCC在欧盟多年实践证明其优势确实明显,那么对其实质性内容进行借鉴便更具有必要性。 欧盟SCC事实上包含了两类数据跨境传输合同条款,一类是控制者向共同控制者传输(controller to controller),另一类则是控制者向处理者传输(controller to processor)。将境外主体细分为共同控制者和处理者两类的优势在于可将权利义务精细化。例如,在SCC的“to controller”条款中,规定了合同双方可约定由境外共同控制者响应数据主体和监管机构关于数据处理的询问,而在“to processor”条款中则未进行此种规定,原因在于processor事实上相当于境内数据控制者的机械手,一切处理活动须遵循控制者的指示,自然也没有单独响应询问的可能和必要。 展望未来对于金融数据这类专业性、敏感性强且须分级管理的数据类型,建议在以合同模式约束时可采用区分主体的方式以细分权利义务。这样,一方面可防止监管中可能发生的“一刀切”进而影响数据共享和利用,另一方面也为企业提供明确的合规路径,而非由企业低效率地自行探索法条中数据控制者和处理者的关系,导致其或者冒合规风险而侵害数据安全,或者放弃该业务而影响经营效益。
近日,中国银保监会正式下发《互联网保险业务监管办法》,自2021年2月1日起施行。《办法》规定了保险机构及其自营网络平台应具备的条件,包括网站备案、信息系统、安全防护、等级保护、营销模式、管理体系、制度建设、监管评价等。 众安科技CEO刘海姣表示:“《办法》是互联网保险监管合规层面上对保险机构在科技基础建设和快速应对能力上的又一次综合考验。”众安科技作为专注于前沿技术探索的科技公司,深耕保险科技领域,基于实际业务沉淀,早在成立伊始就布局和打磨信息安全合规解决方案,在安全合规领域积累了深厚的技术和实践能力。 刘海姣进一步表示:“众安科技不仅关注保险机构当下的技术诉求,也希望与合作伙伴共同拥抱变化。” 今年6月,银保监会下发《关于规范互联网保险销售行为可回溯管理的通知》,保险销售面临“线下双录,线上可回溯”。众安科技在业内率先推出可视化回溯系统,在百天的准备周期内,已为包括滴滴金融在内数十余家机构实现可回溯管理,支撑其合规经营互联网保险业务的需求。 刘海姣表示,而此次《办法》出台,时间期限更短,仅给到保险机构50余天自查和应对;监管要求更细,涉及等级保护有明确要求:具有保险销售或投保功能的相关自营网络平台和信息系统,安全保护等级应不低于三级;对于不具有保险销售和投保功能的相关自营网络平台和信息系统,安全保护等级应不低于二级。 记者了解到,为了满足网络安全等级保护2.0中的安全管理要求及安全技术要求,企业通常需要采购较多安全设设备及产品,且还需对业务系统进行复杂的安全合规改造,才能满足等保安全合规要求。对此,众安科技提供一体化等保合规解决方案,一套系统即可覆盖安全通信网络、安全区域边界、安全计算环境、强制访问控制、数据安全审计、安全管理中心总计6个等保安全防护重点,提供贴合金融保险行业的安全管理制度的全套应用级安全整改方案和产品,“咨询+实施+测评+运维”全覆盖,较快满足监管要求。 据悉,众安科技提供的等保2.0测评服务能够全方位评估安全技术和安全管理的71个控制点和211个控制项,最快40天完成安全整改并通过测评,测评通过率接近100%,满足50天内符合监管政策的时间底线。 众安科技安全负责人王明博表示,众安科技在安全合规方面一直紧跟监管部门的步伐,早在2017年就开始了信息安全方面的布局。基于金融行业云端安全合规,安全管理及安全防护的需求提供覆盖云安全、数据安全及业务安全的系统及产品。“此次《办法》的出台,对全行业的良性规范发展以及信息系统的升级和创新都具有重大的指导意义。众安科技也依旧会在信息安全的布局上持续加码,在客户需要的时候,成为快速响应的排头兵。”
原标题:蚂蚁暂缓上市后井贤栋首发声 正对照监管部门要求照镜子、找不足、做体检 北京商报讯(记者 岳品瑜 刘四红)12月15日,由中国互联网金融协会等主办的2020第四届中国互联网金融论坛在京举行。会上,蚂蚁集团董事长井贤栋表示,一个多月来,蚂蚁集团在监管的指导下全力做好暂缓上市的善后工作。最近,蚂蚁集团正在对照监管部门的要求,照镜子、找不足、做体检,积极配合监管,进一步落实监管要求。 这也是继蚂蚁集团暂缓上市后,井贤栋的首次公开讲话。今年11月3日,蚂蚁集团上市被按下暂停键,此后,蚂蚁高管再未公开发声。井贤栋称,“社会上近期对蚂蚁的建议、期待包括各种批评很多,这些都是蚂蚁宝贵的财富,我们用心聆听,认真进行全面的自审。遵从监管是金融科技行得稳、走得远的保障。” “中国的金融科技,是在国家改革开放和创新发展的大时代下成长起来的,蚂蚁集团就是其中的受益者。”井贤栋指出,发展离不开监管,例如移动支付的发展历程中,有很多“第一次吃螃蟹”、“摸着石头过河”的挑战,监管部门以科学务实的精神,建立健全了包容审慎的监管框架,实现了规范和发展并重,推动中国移动支付走在世界前列。 井贤栋称,金融安全是国家经济安全的重要组成部分,是经济平稳健康发展的重要基础。要守住金融科技的风险底线,守护金融安全的生命线。 “我们深刻认识到,维护金融安全、防范金融风险是金融领域的一切创新和发展的前提,蚂蚁服务着众多的消费者和小微企业,在维护金融安全、防范金融风险上,更应该提高安全水位,以更高的标准、更严的规范要求自己。”此背景下,井贤栋称给蚂蚁集团有定了三个要求: 一是深化认识安全和发展、系统安全与个体安全的关系。没有安全保障,就谈不上创新和发展;没有国家金融系统和整个金融行业的安全,就不可能有企业个体的安全。 二是不断完善公司治理,确保有效的公司治理架构,明确职责,强化机制,完善制度。将进一步加强信息披露、提升透明度,阳光是最好的防腐剂,真正让大家看得见、看得透、可预期。 三是将全面风险治理贯彻到每一项业务之中,不但确保自身的每一项业务接受安全和风险体检,而且进一步规范金融合作,加强和合作伙伴的联防联控,共同防范金融风险,维护金融安全。 井贤栋认为,金融数字化未来可期。蚂蚁集团会继续扮演好金融毛细血管的角色,全力以赴地聚焦小微企业,未来五年,继续和金融机构,通过技术创新提升效率,进一步降低金融服务成本,做到既普又惠、更普更惠。 同时,蚂蚁集团将持续加大科技创新投入,特别是聚焦核心领域的研发和应用、加大技术全面开放力度,助力金融机构的数字化转型。比如推进Oceanbase数据库技术与金融机构开展更深层次的合作。井贤栋表示,要把企业发展融入到新发展格局和新监管环境,以实际行动回应国家和社会的要求和期待。