界面新闻记者 |
券商App信息采集和使用须合规。近日,界面新闻从业内获悉,中国证券业协会(下称中证协)牵头编制的《证券公司风险数据管理示范实践》(下称 《示范实践》 )已完成初稿编制,已开启全行业意见征集工作。
随着券商综合经营版图持续扩张,境内外业务联动、母子公司协同运营成为行业常态,但配套的风险数据管理体系建设严重滞后,形成明显的发展错配。中证协梳理行业现状发现,当前券商风控数据管理普遍存在四大核心短板,成为制约全面风险管理落地的关键瓶颈。
其一,底层数据架构分散,各业务系统独立割裂,形成大量数据孤岛,全域风险数据无法打通共享;其二,行业缺乏统一的数据规范标准,不同机构、不同业务条线的数据口径、统计规则杂乱,数据质量参差不齐;其三,集团化管控能力不足,对下属子公司、境外跨境业务的风险数据缺乏有效穿透核查能力;其四,常态化数据治理机制缺失,风控数据管理多为事后补救,未形成全流程、体系化管控逻辑。
相较于过往行业规范,《示范实践》直击市场高频违规问题,重点聚焦个人信息保护、跨境数据流动两大敏感领域,出台针对性约束规则,填补行业监管空白,大幅抬升券商数据合规运营门槛。
在C端用户隐私保护层面,《示范实践》明确券商APP数据采集与使用的合规边界,严禁一切无授权、超范围的数据操作。按照《示范实践》要求,券商及旗下子公司采集含个人信息的风控相关数据时,必须确保来源合法、流程合规,杜绝窃取、违规采集、超权限使用用户数据等行为。
针对行业普遍存在的“开户信息跨界使用”乱象,《示范实践》专门明确,券商通过线上开户渠道获取的用户基础信息,仅可用于证券交易核心服务场景;若需拓展至其他业务用途,必须通过隐私协议清晰告知用户数据使用目的、范围、方式,且提前取得用户明确授权,杜绝隐性滥用用户隐私的行为。
界面新闻梳理监管处罚案例发现,券商APP个人信息违规问题早已成为监管重点整治对象。
2025年,多地网信、通信监管部门多次点名券商APP,通报违规收集信息、注销通道受阻、隐私规则不透明等乱象,多家机构APP被责令下架整改。叠加2026年金融领域个人信息保护专项行动持续深化,券商数据隐私合规已成为行业常态化考核重点。
在跨境数据治理领域,《示范实践》针对性破解券商境外业务监管难题,建立差异化、分类化的数据出入境管控机制。随着券商境外分支机构业务扩容,境内外监管规则差异、境外信息化建设滞后、跨境数据传输不规范等问题日益突出。对此,文件要求券商全面摸排境外子公司数据传输规模、类型、场景及传输路径,实行分级分类管控。
具体来看,境外数据入境需严格契合属地监管规则及大湾区个人信息跨境流动相关指引;境内数据向香港等境外机构传输时,需根据业务场景匹配安全评估、合同备案、专项安全认证等合规路径,彻底规范跨境数据流动流程,化解境外业务风控数据盲区。
本次《示范实践》对标国家《数据管理能力成熟度评估模型》国标体系,深度结合证券行业风控业务专属属性,确立战略规划、组织治理、数据架构、统一标准、安全管控、质量管控六大核心建设维度,构建起从顶层设计到落地执行的闭环治理体系。
顶层战略层面,《示范实践》要求券商将风险数据治理纳入公司整体数字化战略,拆解季度落地目标,通过KPI、OKR量化考核管控,结合资金投入、资源匹配、风险缺口、发展机遇多维度评估项目优先级,以双周报、月报、年度总结的常态化机制,跟踪战略落地成效,由风控、数据管理两大核心部门联合核验工作质量。
组织治理层面,《示范实践》搭建起层级清晰的三级治理架构,头部大型券商可依托董事会、经营层设立专项数据治理委员会,中小型券商可组建跨部门协同工作组,适配不同体量机构的运营需求。同时明确数据管理、风控、财务、合规、业务条线及子公司的细分权责,形成各司其职、协同联动的治理格局。
制度体系层面,券商需搭建“顶层总则+专项细则”的完整制度框架,以数据治理总办法为核心,配套出台安全、标准、质量、应用四大专项管理制度,并细化形成实操手册与考核细则。同时将数据治理要求前置嵌入新业务评估流程,确保新业务上线前,所有相关数据可同步纳入风控数据集市,满足实时风控需求。
全流程质量管控上,《示范实践》建立事前防控、事中监测、事后复盘的全周期机制。通过搭建标准化质量规则库实现源头防控,依托实时预警系统开展动态监测,针对数据异常问题建立闭环整改机制,同时通过定期回溯考核,持续优化数据治理质量。
考虑到行业机构体量、业务复杂度、信息化水平差异显著,《示范实践》摒弃“一刀切”的强制要求,采用“刚性底线+柔性适配”的原则,区分“必须落地”和“鼓励优化”两类建设标准,赋予券商自主适配空间。同时针对集团化运营特点,建立母子公司差异化管控模式。
针对全资子公司,实行集团统一集中管控,实现数据标准、架构、风控规则全面统一;针对需要合并报表风控的控股子公司,采用混合治理模式,核心风控数据由集团统一管控,非核心数据交由子公司自主管理;针对无需并表的境外及参股子公司,推行联邦式治理机制,在合规框架下实现精细化分级管控。
针对境外子公司治理薄弱问题,《示范实践》要求券商组建跨境数据治理专项团队,建立境内外常态化沟通研判机制,精准化解两地监管规则差异带来的合规风险。同时加速境外数据集市、数据中心基建布局,搭建覆盖全集团、全业务条线的统一数据字典,统一建模规则与校验标准,将集团核心风控规则前置落地境外终端,全面提升跨境数据报送的精准度与时效性。
京师律师卢鼎亮对界面新闻分析称,“金融机构乱象集中在过度采集用户信息、疏于第三方SDK及插件管控两大问题。深层原因在于中小机构合规改造成本高昂,而违规成本偏低、牟利空间更大,致使不少机构放松合规风控。金融智库专家余丰慧补充,多数持牌机构本意是借数据优化服务、精准运营,但实操中普遍省略用户告知与授权流程,为追求效率突破合规底线。”
北京市社会科学院副研究员、南昌理工学院数字经济研究院院长王鹏告诉界面新闻,“券商APP沉淀的用户资产、收入、投资偏好等高价值数据,是泛金融机构觊觎的稀缺资源。部分机构私自共享、流转用户数据,甚至将其作为商业谈判筹码。此类隐秘流转不仅造成用户遭遇频繁精准营销骚扰,更可能流入黑灰产业链,滋生精准金融诈骗,直接威胁用户财产及信息安全。”
为从根源杜绝数据错乱、口径不一、系统断流等问题,《示范实践》对风险数据模型全生命周期实行标准化管控,明确五大阶段规范流程,覆盖需求提报、模型设计、开发上线、日常运营、迭代退役全链条,厘清技术、业务、风控多岗位权责。
同时,《示范实践》要求券商搭建统一的数据集成调度平台,优化人工填报数据的校验、入库、存储流程,支持按交易日历、业务节点灵活触发数据调度。重点建立源端变更联动机制,针对数据结构、内容、接口、业务逻辑的各类变动,明确数据产出、审核、技术适配等多角色分工,提前预判变更影响、及时完成系统适配,彻底规避下游风控系统数据断流、报错等问题。
此外,《示范实践》明确将人工智能技术融合作为行业转型核心方向,推动传统风控向智慧风控升级。一方面,依托标准化、高质量的全域风险数据,打破内外数据孤岛,为AI大模型、智能研判工具提供优质数据原料;另一方面,鼓励券商在数据集市嵌入智能化算力,开发智能问数、自动分析等工具,大幅降低风控数据使用门槛,提升风险研判与决策效率,实现数据价值最大化释放。