近年来,随着我国国民财富的不断增长,不少境内投资者开始参与境外美股和港股的投资,在此背景下,提供全球主要市场股票交易服务的跨境互联网券商也迎来了迅速发展。但是,即将在11月1日施行的个人信息保护法将给跨境互联网券商行业带来重的合规挑战。
目前,一些跨境互联网券商的运营模式是:在境内发展客户,客户通过互联网注册账号后,通过境外银行卡向账号转账或通过境内银行卡购汇后向账号转账,再参与美股、港股的交易。在投资者注册账号之时,需要向跨境互联网券商提供包括个人金融信息在内的量个人信息,如职业状态、公司名称、业务性质、全年收入、资金来源、税务信息等等,在交易过程中,跨境互联网券商还会掌握银行账户、交易数据等个人信息。由于跨境互联网券商在境外运营时需要符合境外的监管要求,于是有可能将收集的上述个人信息提供给境外主体。
比如,美股的券商,需要受到美国金融业监管(FINRA)的监管,美股的上市公司,需要受到美国证监会(SEC)的监管。而美国的这些监管机构都有权要求他们提供其掌握的账户信息。例如,FINRA要求,会员(即被监管对象)有责任设计适当的机制来确定账户的相关责任人,确保这些人具有适当的资格和注册资格,并有能力应要求将此类信息提供给FINRA或SEC工作人员。于是,跨境互联网券商收集的量境内投资者的个人信息,便有可能被美国的金融门所知悉。
根据即将实施的个人信息保护法第三章第38条的规定:“个人信息处理者因业务等需要,确需向境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过网信门组织的安全评估;(二)按照网信门的规定经专业机构进行个人信息保护认证;(三)按照网信门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者网信门规定的其他条件。”据此规定,跨境互联网券商不得私自将收集的个人信息提供给境外,必须符合一定的条件。因此,跨境互联网券商如果想继续在境内开展业务,在合规方面需要做很多工作。
强监管时代已经到来,同时涉及个人信息安全、数据安全与金融安全的跨境互联网券商正面临着合规的重挑战。顺应要求,积极作为维护个人信息安全和安全,才是这一行业生存和继续发展的明智之选。