加强内部控制，强化合规管理，同时增强技术加持，提升保护力度

由第十三届全国人民代表大会常务委员会第三十次会议表决通过的《中华人民共和国个人信息保护法》（下称《个人信息保护法》），自2021年11月1日起施行。这是我国首部专门针对个人信息保护的系统性、综合性法律，标志着我国个人信息保护立法体系进入了新阶段。本文在此背景下，就期货公司如何更好地实现对个人信息的保护进行了探讨。

A论个人信息保护的必要性

当前，随着大数据、云计算、人工智能、区块链等技术的不断发展，各行各业线上服务或者产品不断更新。同时，金融业产品创新也不断加速，金融机构和互联网企业利用信息技术为用户提供在线支付、投资、小额贷款等金融服务，线上金融活动不断涌现，大量个人信息通过手机App更容易被采集和加工利用。

由中央网信办、工业和信息化部、公安部、市场监管总局发布的《App违法违规收集使用个人信息专项治理报告（2019）》显示，移动互联网应用商店上架推广的各类App有近400万款，总下载量超万亿次。由此可见，用户在使用App的过程中产生的信息数据量相当大，用户信息更加全面。因此，探究期货公司如何做好个人信息保护意义重大。

个人信息收集处理中存在不规范行为

在个人信息收集的过程中，许多App强制收集与其提供的服务无关的个人信息，即非必要信息。很多App要求用户必须打开电话、通讯录、相机或者位置权限等，否则无法进行“下一步”及拒绝提供所有业务服务功能，而事实上以上权限是非必要的用户信息，即与其所提供的业务毫无关系。

图为App个人信息收集使用违规原因

自2020年11月至今，国家网信办通报的涉及个人信息收集使用问题的App有384款，其原因主要为违反必要原则、未公开收集规则、未征得用户同意、诱导用户授权、未提供删除及更正功能等。对于同时存在多种违规原因的App，分别统计其原因，数据分布如上图所示。384款App中有272款App违反必要原则，高达71%，居所有违规原因之首，而未征得用户同意就收集使用其个人信息占比也相对较高，这两种违规原因将是治理重点。

图为各类App违规原因

将App违规原因按其类型统计，如上图所示，求职招聘类和网络借贷类违规最多，其中求职招聘类App首要违规原因是未征得用户同意，而网络借贷类App首要违规原因是违反必要原则。从不同维度进行分析，为治理App违规收集使用个人信息提供了依据。对于其他行业App违规原因的治理经验及教训，同样值得期货公司借鉴，保证App在合规框架下运行。

个人信息保护法律需要规范

我国已有的《消费者权益保护法》《数据安全法》《民法典》等法律法规中都有关于个人信息保护的相关规定，其中《数据安全法》加强了数据安全监管制约、加大违法处罚力度等。不过，今年以来执行的《民法典》对个人信息保护的规定“个人信息处理需征得自然人或者其监护人的同意”表述相对宽泛。而《个人信息保护法》的出台及实行为个人信息保护提供了法律依据，标志着我国个人信息保护立法进入了新阶段。目前，许多行业出台了相关的信息保护规章制度，但是针对各规章制度的技术解读及技术规范还需要各部门、行业协会等进行细化和规范，以便企业更好地执行和具体监管。

个人信息保护缺乏统筹监管

当前，虽有部门规章或规范性文件对保护个人信息做了相关规定，各部门、行业协会等也在各自领域对消费者信息进行监督和管理，但是这种机制使得监管交叉或监管真空现象无法消除。各个领域相互之间的协调工作机制也尚未成熟，难以形成监管合力，信息保护相关工作联动配合机制有待加强。

公众个人信息保护意识淡薄

随着各类线上业务的发展和普及，线上消费、支付、投资理财等都构成了消费者个人生活方式不可或缺的部分，人们对各类线上业务的依赖逐渐提高，但是对于个人信息安全防护却了解甚少，保护个人信息的法律意识较淡薄。一部分人很轻易将个人身份信息、账户信息等在网络上告知他人，很容易被骗从而造成经济损失，后续维权和追缴十分困难。

近些年，各类电信诈骗层出不穷，其原因除了公民个人信息遭到不法分子泄露外，还包括个人对信息保护意识不强，法律意识淡薄。而个人对信息保护意识不强和法律意识淡薄是个人信息保护的难点之一，大力宣传个人信息保护法律法规和反诈知识，有助于提高社会公众对个人信息保护的法律意识。

B个人信息保护存在的问题

内部控制不严导致违规

2020年，在公安部公布的2019年以来公安机关侦破的10起侵犯公民个人信息违法犯罪典型案件中，就有利用在证券公司工作的便利倒卖投资者信息获利的案件。

2019年年初，江苏连云港公安机关侦破一起搭建虚假炒股平台实施诈骗案。连云港市公安局网安部门随后顺线追踪，发现一条以证券公司内部人员范某等人为源头，层层倒卖股民信息至境内外网络炒股诈骗团伙的跨境侵犯公民个人信息犯罪链条，下游诈骗分子使用股民信息实施诈骗，涉案金额高达2220余万元。连云港公安机关据此先后抓获犯罪嫌疑人53名，包括某证券公司内部员工2名，查获股民信息300余万条。该证券公司作为受行业监管的持牌金融机构，开展业务过程中掌握了大量投资者的个人基本信息、财务信息等较为全面的个人金融信息，但是内部员工却利用职务之便违规行事，泄露投资者个人信息。该案例充分说明该证券公司内部控制机制和人员管理等方面存在严重的漏洞。

以上案例暴露出某些金融机构在内部控制方面不够规范、监督不严而导致信息泄露。由于内部程序、人员或系统的不完备，导致用户信息泄露进而可能导致企业损失，企业不仅面临操作风险、声誉风险，还面临连锁反应导致的市场风险、流动性风险，这严重威胁着企业的正常运转。

“同意并授权”被滥用

2020年，在国家网信办通告的存在个人信息收集使用问题的App中，多个App存在以不正当方式诱导用户同意收集个人信息、用户不同意打开非必要的存储等权限而拒绝提供所有业务功能、未经用户同意也未做匿名化处理向第三方提供用户信息等问题。这充分说明个人信息保护中的同意权在实践中存在不足，“同意并授权”的滥用主要问题表现在以下方面：

一方面，在隐私政策或者相关合同中，同意条款较为繁杂，从而导致用户难以理解。由于在许多隐私政策或者涉及个人信息的相关合同中，关于对个人信息的采集、处理和使用条款较为繁琐或者晦涩难懂，导致用户难以理解或者不愿花时间进行理解，从而轻易就表示同意相关条款，事实上这种同意仅流于形式，不是用户真正理解条款后作出的决定。2018年，欧盟实施的《通用数据保护条例》（General Data Protection Regulation，简称GDPR），认为此类“同意”事实上是无效的同意。

另一方面，在许多隐私政策或者涉及个人信息的相关合同中，关于“同意”的内容范围等都是一揽子授权，即一次批量授权所有可能需要用户授权的内容。例如，许多App未在隐私政策中逐一列出其嵌入了第三方SDK收集使用个人信息的范围、目的和类型，用户无法明确知晓其同意并授权的具体内容和范围。这种一揽子授权的形式，导致用户在做出“同意”的表示时，并不确切知晓后续对其个人信息的处理和使用。

信息技术保护落后于信息技术应用

2020年，在国家网信办通告的存在个人信息收集使用问题的App中，部分学习教育类App在征得用户同意前就开始收集应用程序列表等个人信息、未经用户同意而向其接入的第三方SDK提供用户数据。目前，许多机构普遍通过开放应用程序接口或者软件开发工具包SDK等方式，与第三方合作机构建立数据共享，将其运用到创新业务中。在业务创新或拓展业务的同时，却缺少相应技术保护手段，使得用户个人信息很难获得合理的保护。

大数据垄断

互联网为公众生活提供了极大便利，推动了数字经济、数据治理的快速发展，但是由于互联网有着极其强大的数据收集和整合能力，公众个人基本信息甚至敏感信息数据掌握在少数互联网企业中，形成大数据垄断。大数据垄断使得个别互联网企业在贸易、内容消费、金融理财等方面形成了事实上的行业垄断。为了维护市场公平竞争和保护公众个人信息，需采取强力举措加大互联网平台反垄断力度。

C期货公司加强个人信息保护的建议

加强内部控制，强化合规管理

期货公司作为持牌经营的金融机构，可以借鉴银行、保险、证券或互联网企业在个人信息保护方面的优秀经验，同时结合自身行业特点，建立健全相应个人信息保护的内部控制机制，严厉打击利用职务之便侵犯用户信息的行为，对于违规泄露用户信息的相关人员进行禁业限制等。

期货公司应该结合行业特点和监管要求规范个人信息采集环节，这需要明确App的基本功能和服务范围，以此确定采集个人信息的最小必要范围。在数据传输和存储过程中，通过算法进行加密、访问控制等处理，构建数据安全防护框架，针对可能发生的非法访问、恶意攻击等可能侵犯个人信息的行为进行监控，保证数据传输和存储过程的安全。

在处理和运用个人信息的过程中，可以通过加密、置换、随机化等方式进行脱敏，保证数据不被还原或者数据单独具体指向个人。同时，在数据处理和运用的过程中，可对群体用户进行用户画像、行为分析等，而不能进行“大数据杀熟”。而对依据法律法规需要销毁的数据，需要完善销毁流程和做好销毁记录。另外，对数据的维护管理需要高度重视对数据权限进行划分，严格规范工作人员的操作行为。

此外，期货公司还要加强与第三方合作公司在个人信息采集、传输、处理、运用、维护等过程中的合作和管理，明确双方的权责划分，监督合作公司的数据安全管理执行情况。

优化“同意并授权”的设置

目前，我国大多数行业在“同意并授权”的规则上普遍使用一揽子授权模式，这种方式虽然简单直接、方便操作，但是实际上削弱了用户知情同意权的有效性，这种无明确目的的概括式的“同意”事实上是无效的。因此，建议在三个方面进行调整：一是编辑隐私政策内容时，在醒目的位置，采用通俗易懂的语言，避免复杂的法律术语，向用户明确告知其个人信息授权的内容、类型、范围、使用目的等内容，保证“同意并授权”是在知情的情况下作出的。二是事先的“同意并授权”范围不包括后续新增的处理、使用、共享等环节，而需要对后续新增的使用范围等再次获得用户的同意并授权。三是加强对信息授权告知的细化规则，包括数据采集处理的依据、时间、方式等，使得用户对授权取得更加充分的理解。

增强技术加持，提升保护力度

《个人信息保护法》的出台从立法方面为个人信息保护提供了法律依据，期货公司应该同时结合行业特点和规范，从技术方面提升用户个人信息保护能力，强化技术防护措施的义务。技术保护应该包含个人信息数据的收集、传输、存储、处理、使用、删除等数据处理流程的各个环节。对外提供的服务或者产品，应该按照明确告知、范围最小、信息必要、明确同意、数据安全的原则设计信息保护的安全策略。同时，不断探索更加行之有效的信息保护技术手段，使个人信息保护在技术上得到相应保障。（作者单位：华融融达期货）