Eric 央广网北京10月16日消息(记者 杨柳青)美东时间周五,富途控股股价跌逾13%,报63.730美元,总市值约为93亿美元,算上前一交易日超12%的跌幅,连续两天富途控股股价跌逾25%。消息面上,14日,有媒体刊文称,富途等跨境互联网券商在用户信息安全以及合法化、合规化方面存在风险,在富途牛牛APP实测开户流程后,记者提出质疑,一是其个人信息收集是否安全?二是这些个人信息去了哪里?
富途紧急回应:个人信息保护及数据安全是重中之重
14日19时17分,富途官方微博发布就媒体关于“多家互联网券商的个人信息保护合规情况”报道的回应。
(截图源自富途官方微博)
富途称,我们留意到有关媒体对《个人信息保护法》在多家互联网券商合规情况的报道,现回应如下:
富途始终积极配合监管的规定,就2019年7月 App专项治理工作组提出的整改意见,富途于第一时间和整改小组取得联系,并已经于2019年8月2日按照监管要求完成所有整改工作。
富途亦一直保持定期自审自查工作,主动与监管部门保持沟通,加强对个人信息安全相关管理要求的专业度学习,不断提升对个人信息安全保护的意识和能力。同时,富途也聘请了外部专业的安全团队,定期且持续提供安全检测报告,主动优化系统并加强风险防范能力。就《个人信息保护法》,富途在第一时间已经组织了相关专业人员进行法律精神学习理解,并安排相关团队进行了自查。
富途自成立以来就坚持个人信息保护及数据安全是重中之重,富途一直严格遵守和践行相关法律法规,未来我们会继续积极配合监管部门,努力并持续做好个人信息保护工作。
专家:个人信息出境合规“三步法” 跨境互联网券商步步存风险
《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)将于2021年11月1日起施行,个人信息跨境提供规则逐步明确,对跨境互联网券商会有什么影响?央广网记者就此采访了中央财经大学法学院副教授张金平,张金平从2016年开始研究数据跨境规则问题,曾承担数据跨境规则方面的省部级课题。
张金平表示,《个人信息保护法》实施后,意味着在中华人民共和国境内的跨境互联网券商都要遵守该法的个人信息跨境规则,即个人信息出境合规“三步法”。第一步是就个人信息跨境事宜按照该法第三十九条告知个人信息主体,取得其单独同意,并留存该同意的证明文件。第二步是遵守该法第五十五条第四项的要求,事先进行个人信息出境保护影响评估,确认个人信息出境的风险和所采取的措施足以应对这些风险,并留存该评估过程和结果。最后一步也是最困难的一步,即根据第三十八条选择个人信息出境的合法方式:根据该法第四十条通过国家网信部门组织的安全评估、获得国家网信部门认可的专业机构的个人信息保护认证、按照国家网信部门制定的标准合同签订了出境合同、其他条件。
如果互联网券商未遵守三步法而将个人信息出境,则要根据《个人信息保护法》第六十六条承担法律责任,情节严重的可能处罚包括但不限于没收违法所得并处五千万以下或者上一年度营业额百分之五以下罚款。
对于富途等跨境互联网券商在用户信息安全以及合法化、合规化方面是否存在风险?张金平表示,跨境互联网券商目前在这三个步骤合规方面都存在不少风险。
第一步,跨境互联网券商在业务开展过程中必然涉及将个人信息提供出境,那么这些券商在开展业务时是否已经获得了《个人信息保护法》第三十九条要求的个人单独同意并留存相关证明就存在很大疑问。这些风险包括告知的内容是否包括境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使法律规定权利的方式和程序等事项。例如,富途牛牛在2019年就被国家网信部门发现未告知自己的有效联系方式,更何况是境外个人信息接收方的名称和有效联系方式。其次,是否获得个人有效的单独同意。尽管个人信息出境方面的单独同意的具体合法形式尚有待国家网信部门进一步明确,但通过点击“同意”用户协议等概括式方式的同意并不合规,可以明确排除。
第二步,跨境互联网券商尚不明确是否已经开展个人信息出境保护影响评估;即使有,能够满足《个人信息保护法》第五十六条的要求也不无疑问。《个人信息保护法》第五十六条对跨境互联网券商进行评估的核心要求是评估我国公民因通过其服务而发生个人信息出境是否合法正当必要,会对其个人权益造成的哪些影响和安全风险,以及这些券商是否采取了合法、有效并与前述风险相适应的技术和管理措施。在开展评估时,第一大风险是跨境互联网券商的个人信息出境是否合法,因为这些券商所开展的为境内投资者参与境外证券交易提供服务尚未获得我国证监会批准,因此以开展境外证券交易为目的将个人信息出境本身就涉嫌违法。即使未来证监会批准了这一业务,那么有资质的跨境互联网券商也要评估哪些个人信息出境是必要的,以及出境后可能再提供给其他券商以及当地证监会或者其他主管部门的可能性和风险应对措施。
第三步,无论采用何种合法出境方式,跨境互联网券商合规的根本任务是其采取的必要措施足以保障境外接收方处理个人信息的活动达到我国《个人信息保护法》所规定的个人信息保护标准。按照《个人信息保护法》第一条的规定,个人信息保护标准可以提升到《宪法》所保护的基本权利高度。因此,跨境互联网券商即便获得证监会批准开展跨境证券交易,能够提供个人信息如此高标准的也将寥寥无几。尽管《个人信息保护法》第三十八条明确的四种合法出境方式还有待国家网信部门出台进一步实施办法,但跨境互联网券商目前仍可以参考国家网信部门已经出台的相关规定或其征求意见评估自己的风险。例如,在个人出境安全评估方面,这些券商可以参考国家互联网信息办公室2021年7月10日发布的《网络安全审查办法(修订草案征求意见稿)》第六条审查自己是否“掌握超过100万用户个人信息”,如果是则要向国家网信部门申报个人信息出境安全评估。目前,富途的注册用户超过1550万,那么其开展个人信息出境将要申报出境安全评估。至于出境安全评估的内容,则可以参考国家互联网信息办公室2019年6月13日发布的《个人信息出境安全评估办法(征求意见稿)》评估自身业务的风险。例如该意见稿第六条明确安全评估的重点之一包括个人信息出境是否符合国家有关法律法规和政策规定,如前所述跨境互联网券商的业务尚未获得证监会审批,这就是最为重大的风险。其次的评估重点之一是境内跨境互联网券商与接收个人信息的境外方是否采取了充分措施足以保障所涉中国公民的合法权益,例如境内跨境互联网券商是否向个人明确其个人信息出境后还会再提供给其他券商甚至当地执法机构,以及如果在境外发生侵害个人合法权益的问题是否承诺将先行赔付个人的损失。
北京市东元律师事务所李松律师则向央广网记者表示,富途等跨境互联网券商在用户信息安全以及合法化、合规化方面的确存在风险。《个人信息保护法》的出台,大大提升了对境内公民个人信息跨境提供的保护力度,加强了对跨境互联网券商的监管力度。跨境互联网券商掌握着大量境内投资者的个人信息,必须遵守法律规定,遵守跨境提供个人信息的法定要求,遵守向投资者本人告知及取得其同意的规则以及满足监管要求等。
跨境互联网券商应当主动积极地配合监管部门整改不足之处,积极学习新的《个人信息保护法》,及时改进个人信息收集使用方式,严格遵循相关法律规定,在满足法定条件的要求下使用客户的个人信息,为境内投资者提供服务。
富途用户:不知道收集的个人信息究竟用在何处
根据富途控股公布的2021年第二季度未经审计财报,报告期内,该公司客户数高速增长,新增客户境外占比提升。截至报告期末,富途全球注册用户数突破1550万,同比增长67%;开户客户数达232万,同比增长142.5%,有资产客户数正式突破100万,同比增长230%。
富途开户收集个人信息,用户是否担心自己的个人信息安全?央广网记者就此采访了几位富途用户,以下为受访者回复。
用户一:使用富途5年多,对个人信息安全没有太多担忧,主要顾忌是个人工作、银行卡等信息别泄露就行。
用户二:使用富途3年多,对个人信息安全没什么担忧。
用户三:使用富途5至6年,对个人信息安全有担忧,主要担心账户资金和个人资料泄露,会接到骗子诈骗短信。
用户四:使用富途5年,对个人信息安全暂时没有担忧,主要原因是账户资金不多。
用户五:使用富途1年,对个人信息安全有担忧,因为包括了账号相关信息,也有个人的资产,最重要是会不会影响资产的安全性,也担心会不会对生活带来影响,比如经常收到骚扰电话、推荐保险、贷款等。
而对于富途收集的这些个人信息究竟用在何处?所有受访者均表示不清楚。那么,对于这种跨境信息提供,用户是否可以采取什么措施来保护自己的个人信息安全?
张金平表示,用户首先可以行使知情权和查阅复制权,要求这些券商告知和提供个人信息出境的目的、境外接收方及其联系方式、个人行使其个人信息权益的方式和程序等《个人信息保护法》第三十九条明确的告知内容,以及提供个人此前是否同意该券商将其个人信息出境的证明文件。
其次,要求券商告知其与境外个人信息接收方是否签订了个人信息出境合同,如果有则可以要求提供该合同副本,并重点审查这些券商是否承诺了个人信息出境后发生侵害个人信息权益风险时的先行赔偿责任。此外,要求券商告知是否进行了个人信息出境保护影响评估,如果有,则有权要求其提供评估副本或者简要说明。
最后,要求券商告知其个人信息出境是否满足了《个人信息保护法》第三十八条所明确的任一条件。
值得注意的是,如果用户选择终止与跨境互联网券商的交易和合同关系,用户还可以行使删除权,要求该券商删除其此前提供和该券商服务过程中产生的个人信息,并提供已经删除的证明。
律师提醒:个人可以这样保护自己的信息安全
《个人信息保护法》)将于11月1日起施行,从个人层面可以采取什么措施来保护自己的信息安全?李松律师介绍,在新法出台的背景下,个人应该首先在思想上提升对自己信息的保护意识,另外可以采取如下措施。
首先,如果涉及个人信息跨境投资等内容,应该积极主动查阅相关法律规定,谨慎选择与投资,要求相关券商严格遵守法律规定,以保护自身个人信息安全。
其次,在日常生活在,也应当注意保护个人信息,从小事做起:(1)对互联网网站、APP软件等个人账户密码的保护:使用复杂密码,例如:字母大小写+数字、定期修改密码、不将自己的账号密码等个人信息透露给他人;(2)在递交证件复印件时要多留心:在银行、电讯营业厅等地办理业务时,通常会要求用户留存个人证件复印件,此时,可要求对方在复印件上标注“仅供一次性使用”或“仅供办理XX业务使用”字样,避免被重复使用;(3)避免快递单泄露个人信息;(4)手机回收之前对个人信息进行处理等。
个人信息泄漏后,也要积极采取措施,将损失降到最低:(1)要第一时间换账号,从源头切断泄漏源。(2)更改重要密码,现在的人离不开网络,一旦个人信息泄露,涉及面非常广,个人信息往往和银行账号、密码等联系在一起,所以一旦个人信息泄露,应马上更改重要密码,避免造成经济损失。(3)报案,个人信息一旦泄露,应立即报案,一来可保护自己的权益,二来可以备案。(4)律师起诉,如果个人重要信息丢失,而且知道是怎么丢失的或者有线索,可以向专业律师咨询相关的法律法规,利用法律武器维护自己的权益。(5)收集证据,个人信息泄露后要留心,记下对方的电话或地址等有用信息,帮助警方破案。(6)提醒身边的亲朋好友,个人信息泄漏后,不法分子不仅可以用这些信息盗用你的账号,甚至可能骗你的亲朋好友,所以要第一时间通知你的亲朋好友,要他们加倍防范,以免上当受骗。
