2026年5月底至6月中国证券业协会起草《证券公司风险数据管理示范实践(征求意见稿)》并面向全行业券商征求意见。文件对标《数据安全法》《个人信息保护法》及国标数据管理规范,聚焦券商集团化、跨境化经营痛点,围绕个人信息管控、香港跨境数据传输、集团全域数据治理搭建实操标准。文件为行业自律指引,无强制法律效力,但将成为后续行业自查、监管巡检核心依据,券商可根据自身规模分步落地整改。
一、总则:制定目的、适用范围与落地原则
制定目的
破解行业现存痛点:业务系统数据孤岛、集团数据标准不一、APP超范围收集用户信息、境外子公司跨境数据无序出境、集团数据无法穿透管控,搭建穿透式风控数据合规体系。
适用主体
境内全部券商、境内各级子公司、香港等境外控股/全资子公司;覆盖经纪、资管、投行、信用、衍生品全业务,囊括客户隐私、重要风控、经营敏感数据。
落地原则
内容区分应当落地(底线必做)、可选落地(优化提升),中小券商优先落地合规底线,头部券商全维度落地整套治理体系。
二、六大核心合规建设要点
(一)风险数据战略
1.数据治理纳入券商顶层数字化战略,董事会制定中长期规划,拆分年度落地指标;
2.建立周跟进、月考核、年度复盘机制,落地成效与业务绩效考核挂钩;
3.新APP、新业务上线前必须完成数据合规评审,评审不合格不得上线。
(二)风险数据组织治理
头部券商:董事会下设数据治理委员会,由高管、合规、风控负责人组成;
中小券商:设立跨部门专项工作组(风控+合规+IT+各业务线);
境内外子公司:配置专职数据合规岗,厘清数据采集、使用、出境权责;
完善配套制度:个人信息管理、跨境数据管理、数据安全、质量考核专项制度。
(三)风险数据架构
1.搭建集团统一风险数据集市,打通境内外各业务系统,破除数据孤岛;
2.统一数据建模、元数据、跨机构数据共享规则,实现集团数据可归集、可穿透;
3.鼓励搭建T+1实时风控架构,满足智能预警、动态风控需求。
(四)风险数据标准
1.统一全集团+香港子公司数据口径:业务术语、客户信息、风控指标标准化;
2.客户身份、账户、持仓、授信等信息统一字段规范;
3.存量历史数据分批整改,对标新标准完成规范化梳理。
(五)数据安全(全文重中之重)
▶ 券商APP个人信息合规红线
1.开户获取的姓名、身份证、银行卡等信息仅限开户、证券交易本源使用;用于营销推送、跨业务、跨子公司共享,必须单独用户明示授权,严禁捆绑、静默授权。
2.禁止APP私自抓取通讯录、位置、相册等非必要隐私,留存全套用户授权档案备查。
▶ 香港跨境数据硬性规则
内地向香港子公司传输客户信息、重要数据,三选一完成合规:出境安全评估/标准合同备案/个人信息出境认证;
建立跨境数据台账,记录传输明细与合规编号;香港数据回流内地,同步遵守内地法规及香港私隐条例;敏感个人信息出境从严管控。
▶ 内部分级管控
数据划分四级密级:公开/内部/敏感/核心数据,分级设置访问权限、操作全程留痕,敏感数据落地脱敏管理。
(六)全流程数据质量管理(三段闭环)
事前:搭建数据校验规则库,源头规避无效数据录入;
事中:系统自动预警异常数据,问题台账闭环整改;
事后:按季、年度全集团抽检,数据质量结果纳入部门绩效考核。
三、香港境外子公司专项补充要求
1.香港分支机构统一纳入集团数据治理体系,遵照内地合规标准;
2.定期向总部报送跨境数据使用台账;
3.总部每年现场核查境外机构数据合规,存量不合规跨境数据限期补办合规手续。
四、落地实施安排
短期:整改APP隐私收集规则,盘点香港存量跨境数据、补齐出境合规手续;
中期:全集团统一数据标准,完成存量数据标准化改造;
长期:建成一体化集团数据治理平台。
该指引落地后,券商两大整改重点:一是优化APP隐私协议,清理无授权用户营销数据;二是全面梳理香港子公司跨境业务数据,补齐出境备案材料,是下半年证券行业数据合规自查的核心参考文件。
作者简介
注:本文内容综合权威财经公开报道+证券行业内部征求稿整理,征求意见稿尚未正式定稿发布,最终正式条文以中证协后续官网公示版本为准。若相关方认为内容不妥,可联系小编及时修改或删除。