大桥未久av在线播放,色一情一交一乱一区二区三区,国产一区二区91,天堂中文av在线,亚洲色图亚洲色图,国产在线观看99,国产精品尤物视频

《證券期貨業(yè)網(wǎng)絡(luò)與信息安全管理辦法》（以下簡稱“管理辦法”）的一大亮點(diǎn)在于突出對于投資者的個(gè)人信息保護(hù)，其相比于《證券期貨業(yè)網(wǎng)絡(luò)安全管理辦法（征求意見稿）》（以下簡稱“征求意見稿”）僅用一條籠統(tǒng)規(guī)定核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)的投資者個(gè)人信息保護(hù)義務(wù)不同，管理辦法則設(shè)置了“投資者個(gè)人信息保護(hù)”專章，針對證券期貨業(yè)關(guān)于個(gè)人信息保護(hù)需要重點(diǎn)關(guān)注的問題進(jìn)行了規(guī)范，這也反映出相關(guān)監(jiān)管機(jī)構(gòu)對于個(gè)人信息保護(hù)問題的重視。本文將根據(jù)管理辦法的具體規(guī)定，結(jié)合我們的實(shí)踐經(jīng)驗(yàn)，解讀核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)如何實(shí)現(xiàn)個(gè)人信息保護(hù)合規(guī)。

管理辦法的“投資者個(gè)人信息保護(hù)”章節(jié)共有7條，分別從個(gè)人信息處理原則、個(gè)人信息保護(hù)合規(guī)體系建設(shè)、個(gè)人信息處理環(huán)節(jié)的合規(guī)要求、安全保護(hù)措施、證券期貨業(yè)個(gè)人信息保護(hù)特殊規(guī)定幾個(gè)方面對核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)的個(gè)人信息保護(hù)義務(wù)予以了規(guī)定。 

一、 個(gè)人信息處理原則 

　　第二十九條　核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，處理投資者個(gè)人信息，規(guī)范投資者個(gè)人信息處理行為，履行投資者個(gè)人信息保護(hù)義務(wù)，不得損害投資者合法權(quán)益。 

管理辦法第二十九條規(guī)定了核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)在處理個(gè)人信息時(shí)應(yīng)當(dāng)遵循的原則，包括合法、正當(dāng)、必要和誠信原則，這一點(diǎn)實(shí)現(xiàn)了與《個(gè)人信息保護(hù)法》的銜接。個(gè)人信息的處理原則將貫穿于個(gè)人信息處理活動始終，指導(dǎo)核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)如何合規(guī)地處理個(gè)人信息。結(jié)合我們的實(shí)踐經(jīng)驗(yàn)，在處理個(gè)人信息時(shí)，除遵守以上原則外，核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)還需遵循以下原則：

l  最小必要原則

最小必要原則是指個(gè)人信息處理者只對滿足個(gè)人信息主體授權(quán)同意的目的所需的最少個(gè)人信息類型和數(shù)量進(jìn)行處理，并在處理目的達(dá)成后及時(shí)刪除個(gè)人信息

l  知情同意原則

知情同意原則是指高度尊重用戶自主權(quán)益，充分告知收集、使用的用戶信息及用途，并獲取用戶主動授權(quán)

l  確保安全原則

確保安全原則是指個(gè)人信息處理者應(yīng)當(dāng)具備與所面臨的安全風(fēng)險(xiǎn)相匹配的安全能力，并采取足夠的管理措施和技術(shù)手段，保護(hù)個(gè)人信息的保密性、完整性、可用性

l  權(quán)責(zé)一致原則

權(quán)責(zé)一致原則是指個(gè)人信息處理者應(yīng)當(dāng)采取必要的技術(shù)手段和管理舉措，保障個(gè)人信息的安全，并對由個(gè)人信息處理活動所造成的結(jié)果承擔(dān)相應(yīng)責(zé)任。 

二、 個(gè)人信息保護(hù)合規(guī)體系建設(shè) 

　　第三十條　核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)處理投資者個(gè)人信息，應(yīng)當(dāng)建立健全投資者個(gè)人信息保護(hù)體系，明確相關(guān)崗位及職責(zé)要求，建立健全投資者個(gè)人信息處理、安全防護(hù)、應(yīng)急處置、審計(jì)監(jiān)督等管理機(jī)制，加強(qiáng)投資者個(gè)人信息保護(hù)。 

管理辦法第三十條規(guī)定了核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立投資者個(gè)人保護(hù)體系，以加強(qiáng)投資者個(gè)人信息保護(hù)。結(jié)合我們的實(shí)踐經(jīng)驗(yàn)，個(gè)人信息合規(guī)體系建設(shè)主要包括組織建設(shè)和制度建設(shè)。制度建設(shè)是實(shí)現(xiàn)個(gè)人信息合規(guī)的基礎(chǔ)，組織建設(shè)是實(shí)現(xiàn)個(gè)人信息合規(guī)的保障。

（一） 組織建設(shè)

管理辦法要求核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)明確相關(guān)崗位及職責(zé)要求，該說法較為概括。結(jié)合我們的實(shí)踐經(jīng)驗(yàn)，核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)成立個(gè)人信息保護(hù)管理組織，并明確相關(guān)組織的組織架構(gòu)、崗位職能、工作與協(xié)調(diào)機(jī)制，負(fù)責(zé)公司的個(gè)人信息保護(hù)管理與實(shí)施工作。如有關(guān)機(jī)構(gòu)設(shè)立“數(shù)據(jù)安全與個(gè)人信息保護(hù)委員會”，負(fù)責(zé)決議個(gè)人信息相關(guān)的事宜，并在委員會之下設(shè)立個(gè)人信息保護(hù)工作小組，以負(fù)責(zé)個(gè)人信息保護(hù)事宜的具體執(zhí)行。

（二） 制度建設(shè)

管理辦法要求核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)建立投資者個(gè)人信息處理、安全防護(hù)、應(yīng)急處置、審計(jì)監(jiān)督等管理機(jī)制，其主要針對重點(diǎn)的幾類管理制度進(jìn)行了強(qiáng)調(diào)。結(jié)合我們的實(shí)踐經(jīng)驗(yàn)，為完善核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)的個(gè)人信息制度建設(shè)，我們建議其建立如下制度：

l  個(gè)人信息主體權(quán)利響應(yīng)制度

l  個(gè)人信息保護(hù)影響評估制度

l  個(gè)人信息保護(hù)合規(guī)審計(jì)制度

l  數(shù)據(jù)分類分級制度

l  數(shù)據(jù)安全風(fēng)險(xiǎn)與事件應(yīng)急響應(yīng)制度

l  供應(yīng)商與第三方數(shù)據(jù)合規(guī)管理制度 

三、 個(gè)人信息處理環(huán)節(jié)的合規(guī)要求 

　　第三十一條　核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)按照法律法規(guī)的規(guī)定及合同的約定處理投資者個(gè)人信息，明確告知投資者處理個(gè)人信息的目的、方式、范圍和隱私保護(hù)政策，不得超范圍收集和使用投資者個(gè)人信息，不得收集提供服務(wù)非必要的投資者個(gè)人信息。合同約定事項(xiàng)應(yīng)當(dāng)基于從事證券期貨業(yè)務(wù)活動的必要限度。

核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)不得以投資者不同意處理其個(gè)人信息或者撤回同意為由，拒絕向投資者提供服務(wù)，為投資者提供服務(wù)所必需、履行法定職責(zé)或者法定義務(wù)等情形除外。

　　第三十二條　核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)處理投資者個(gè)人信息時(shí)，應(yīng)當(dāng)確保個(gè)人信息在收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理過程中的合規(guī)、安全，防止個(gè)人信息的泄露、篡改、丟失。

第三十三條　核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)依法依規(guī)向第三方機(jī)構(gòu)提供投資者個(gè)人信息，明確告知投資者個(gè)人信息處理目的、處理方式、個(gè)人信息種類、保存期限、保護(hù)措施以及相關(guān)方的權(quán)利和義務(wù)等，并取得投資者個(gè)人單獨(dú)同意，履行法定職責(zé)或者法定義務(wù)的情形除外。 

管理辦法第三十一條至第三十三條規(guī)定了核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)在處理個(gè)人信息的具體環(huán)節(jié)中應(yīng)當(dāng)遵守哪些合規(guī)要求，主要明確了核心機(jī)構(gòu)在處理個(gè)人信息過程中的告知和獲得投資者的同意義務(wù)、不得超范圍處理個(gè)人信息、確保個(gè)人信息處理環(huán)節(jié)的合規(guī)與安全以及向第三方機(jī)構(gòu)提供個(gè)人信息的法定義務(wù)。

上述規(guī)定較為籠統(tǒng)，結(jié)合我們的實(shí)踐經(jīng)驗(yàn)，證券期貨業(yè)的核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)注重以下方面的個(gè)人信息保護(hù)的專項(xiàng)治理：

（一） APP合規(guī)評估與整改

APP作為最主要的收集用戶個(gè)人信息的平臺，大多數(shù)機(jī)構(gòu)均開發(fā)有專屬于自身業(yè)務(wù)的APP，且相關(guān)監(jiān)管機(jī)構(gòu)對于APP的監(jiān)管呈現(xiàn)出愈加嚴(yán)格的趨勢，因此，注重APP的合規(guī)評估與整改是實(shí)現(xiàn)核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)個(gè)人信息保護(hù)合規(guī)的重要內(nèi)容。通信管理局、工業(yè)和信息化部、公安部國家計(jì)算機(jī)病毒應(yīng)急處理中心多次對證券期貨業(yè)的相關(guān)機(jī)構(gòu)的個(gè)人信息違規(guī)情況進(jìn)行通報(bào)，集中體現(xiàn)在違規(guī)收集個(gè)人信息，APP強(qiáng)制、頻繁、過度索取權(quán)限以及數(shù)據(jù)主體的權(quán)益合規(guī)問題。我們建議，核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)密切關(guān)注APP的監(jiān)管動向，定期針對APP進(jìn)行個(gè)人信息合規(guī)評估，并對不合規(guī)項(xiàng)進(jìn)行及時(shí)整改。

（二） 業(yè)務(wù)系統(tǒng)開發(fā)合規(guī)管理

業(yè)務(wù)開發(fā)系統(tǒng)作為核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)的業(yè)務(wù)功能支撐，其對于核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)的業(yè)務(wù)開展起著至關(guān)重要的作用。結(jié)合我們的實(shí)踐經(jīng)驗(yàn)，在業(yè)務(wù)系統(tǒng)開發(fā)過程中，應(yīng)當(dāng)加入涉及個(gè)人信息保護(hù)的合規(guī)節(jié)點(diǎn)，而不應(yīng)該在業(yè)務(wù)系統(tǒng)投入運(yùn)營后才重視其個(gè)人信息保護(hù)合規(guī)問題，這種合規(guī)理念也被稱為隱私設(shè)計(jì)（Privacy by Design，或簡稱為“PbD”）。因此，相關(guān)機(jī)構(gòu)在進(jìn)行業(yè)務(wù)系統(tǒng)開發(fā)時(shí)，應(yīng)當(dāng)注重將個(gè)人信息合規(guī)節(jié)點(diǎn)融入開發(fā)流程，并擬定相應(yīng)的合規(guī)指引，以便于形成系統(tǒng)化的操作流程。

（三） 第三方個(gè)人信息合規(guī)風(fēng)險(xiǎn)管理

數(shù)據(jù)在流動中方能彰顯價(jià)值，個(gè)人信息在處理過程中可能會與第三方發(fā)生交互，如管理辦法中明確提到的向第三方機(jī)構(gòu)提供個(gè)人信息的場景。除向第三方提供之外，可能還會存在與第三方共同處理個(gè)人信息或者委托第三方處理個(gè)人信息的情形。在與第三方發(fā)生數(shù)據(jù)交互時(shí)，核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)按照管理辦法、《個(gè)人信息保護(hù)法》等相關(guān)規(guī)定，履行法定義務(wù)，并通過協(xié)議的方式明確雙方關(guān)于個(gè)人信息保護(hù)的相關(guān)義務(wù)，同時(shí)加強(qiáng)對第三方個(gè)人信息處理行為的監(jiān)督。

（四） 員工個(gè)人信息保護(hù)

核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)掌握著員工的大量個(gè)人信息，甚至包括許多敏感個(gè)人信息，實(shí)現(xiàn)員工個(gè)人信息合規(guī)亦是實(shí)現(xiàn)核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)個(gè)人信息合規(guī)的不可或缺內(nèi)容?！秱€(gè)人信息保護(hù)法》第十三條明確規(guī)定了獲取員工個(gè)人信息的豁免同意情形，主要包括：（1）為履行法定義務(wù)所必需；（2）為訂立、履行個(gè)人作為一方當(dāng)事人的勞動合同所必需；（3）為按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需。除上述情形之外，處理員工的個(gè)人信息需要取得員工的同意，并向其告知法律規(guī)定的內(nèi)容。因此，為實(shí)現(xiàn)員工個(gè)人信息保護(hù)，建議相關(guān)機(jī)構(gòu)建立員工個(gè)人信息保護(hù)方案，并制定員工隱私保護(hù)聲明，以實(shí)現(xiàn)員工個(gè)人信息保護(hù)合規(guī)。

（五） 個(gè)人信息保護(hù)主題的合規(guī)內(nèi)訓(xùn)

在制定了相應(yīng)的合規(guī)保護(hù)制度、采取了相應(yīng)的安全防護(hù)措施后，核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)還需要定期開展個(gè)人信息保護(hù)主題的相關(guān)合規(guī)培訓(xùn)，以提升企業(yè)員工的個(gè)人信息保護(hù)意識和個(gè)人信息合規(guī)水平。 

四、 個(gè)人信息的安全保護(hù)措施　　

　　第三十四條　核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)在本機(jī)構(gòu)網(wǎng)絡(luò)安全防護(hù)邊界以外處理投資者個(gè)人信息的，應(yīng)當(dāng)采取數(shù)據(jù)脫敏、數(shù)據(jù)加密等措施，防范化解投資者個(gè)人信息在處理過程中的泄露風(fēng)險(xiǎn)。

核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)通過短信、郵件等非自主運(yùn)營渠道發(fā)送投資者敏感個(gè)人信息的，應(yīng)當(dāng)將投資者賬號信息、身份證號碼等敏感個(gè)人信息進(jìn)行脫敏處理。 

管理辦法第三十四條規(guī)定了核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)在安全防護(hù)邊界外處理投資者個(gè)人信息，應(yīng)當(dāng)采取數(shù)據(jù)脫敏、加密等措施；使用非自主運(yùn)營渠道發(fā)送投資者敏感個(gè)人信息，應(yīng)當(dāng)對其進(jìn)行脫敏處理。事實(shí)上，為保障個(gè)人信息安全，核心機(jī)構(gòu)應(yīng)當(dāng)在個(gè)人信息的處理環(huán)節(jié)中適時(shí)采取必要的安全措施，不僅局限于管理辦法所規(guī)定的情形。目前，實(shí)踐中采取的安全保護(hù)措施主要包括以下類型：

l  去標(biāo)識化

l  個(gè)人信息服務(wù)化

l  訪問控制

l  客戶端存儲、傳輸、服務(wù)端加密

l  數(shù)據(jù)脫敏

l  API網(wǎng)關(guān) 

五、 其他特殊規(guī)定 

第三十五條　核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)利用生物特征進(jìn)行客戶身份認(rèn)證的，應(yīng)當(dāng)對其必要性、安全性進(jìn)行風(fēng)險(xiǎn)評估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的客戶身份認(rèn)證方式，強(qiáng)制客戶同意收集其個(gè)人生物特征信息。 

管理辦法第三十五條著重強(qiáng)調(diào)了核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)利用生物特征進(jìn)行客戶身份認(rèn)證場景下的合規(guī)義務(wù)，主要包括：（1）應(yīng)當(dāng)對收集生物特征進(jìn)行身份認(rèn)證的必要性和安全性進(jìn)行風(fēng)險(xiǎn)評估；（2）不得將生物特征作為唯一的身份認(rèn)證方式。

生物特征信息屬于敏感個(gè)人信息的一種，核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)處理生物特征信息需遵循《個(gè)人信息保護(hù)法》關(guān)于處理敏感個(gè)人信息的規(guī)則。且根據(jù)《個(gè)人信息保護(hù)法》第二十八條第二款的相關(guān)規(guī)定，只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息。因此，管理辦法明確核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)利用生物特征進(jìn)行客戶身份認(rèn)證時(shí)應(yīng)當(dāng)對其必要性和安全性進(jìn)行風(fēng)險(xiǎn)評估，實(shí)則是對《個(gè)人信息保護(hù)法》上述規(guī)定的回應(yīng)。

此外，管理辦法還規(guī)定，核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)不得將生物特征作為唯一的客戶身份認(rèn)證方式，其目的在于規(guī)制相關(guān)機(jī)構(gòu)不得變相強(qiáng)制收集客戶的個(gè)人生物特征信息。該規(guī)定系管理辦法區(qū)別于《個(gè)人信息保護(hù)法》的特殊規(guī)定，《個(gè)人信息保護(hù)法》在“敏感個(gè)人信息的處理規(guī)則”章節(jié)并未設(shè)置有該等要求，但該規(guī)定也并非管理辦法的創(chuàng)新。事實(shí)上，在2021年11月由國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》，其第二十五條規(guī)定“數(shù)據(jù)處理者利用生物特征進(jìn)行個(gè)人身份認(rèn)證的，應(yīng)當(dāng)對必要性、安全性進(jìn)行風(fēng)險(xiǎn)評估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個(gè)人身份認(rèn)證方式，以強(qiáng)制個(gè)人同意收集其個(gè)人生物特征信息?！彪m然上述管理?xiàng)l例尚處于征求意見過程中，但管理辦法已經(jīng)率先將其適用到證券期貨行業(yè)中。 

六、 總結(jié)

隨著管理辦法的正式實(shí)施，證券期貨業(yè)的核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)重視個(gè)人信息合規(guī)建設(shè)，致力于實(shí)現(xiàn)個(gè)人信息保護(hù)合規(guī)，應(yīng)當(dāng)在遵循個(gè)人信息處理原則的基礎(chǔ)上，建立健全個(gè)人信息保護(hù)體系，注重個(gè)人信息處理環(huán)節(jié)的合規(guī)，尤其是重點(diǎn)場景下的合規(guī)治理，采取適當(dāng)?shù)陌踩Ｗo(hù)措施，防止個(gè)人信息泄露。