□ 本報記者 周芬棉
證監會近日發布《證券期貨業網絡和信息安全管理辦法》(以下簡稱《辦法》),以取代2012年發布的《證券期貨業信息安全保障管理辦法》(以下簡稱《舊版辦法》)����,更好地維護資本市場安全平穩高效運行。
《辦法》共八章七十五條��,對證券期貨業網絡和信息安全監督管理體系�����、網絡和信息安全運行�、投資者個人信息保護����、網絡和信息安全應急處置、關鍵信息基礎設施安全保護���、網絡和信息安全促進與發展等諸多方面提出了要求�����?�!掇k法》自2023年5月1日起施行�。
回應現實問題
出臺《辦法》,是形勢所迫�。按西北政法大學教授強力的話說,既有網絡和信息技術加速發展的大背景��,又有上位法的要求�����,同時也是對監管實踐面臨新問題的回應�����。
如今�,網絡和信息安全已上升為國家戰略,對資本市場影響深遠�。北京中銀律師事務所律師吳則濤認為,隨著數字經濟���、數字社會���、數字政府的建設加快,證券和各行各業間的數據共享與交互將會成為普遍現象,如何對這些數據進行全生命周期的安全保護�����,是證券行業的核心問題���。一方面�,單從技術支持方面來看��,證券期貨業務與大數據�、云計算、區塊鏈和人工智能等新技術應用不斷加速融合��,對關鍵核心技術的依賴程度越來越高��。各類業務活動日益依賴網絡安全和信息化�,增加了網絡和信息安全管理的復雜度���。另一方面����,證券期貨市場是一個典型的以信息為主導的市場��,我國中小投資者數量近1.77億人,投資者個人信息往往涉及金融賬戶信息�����、投資能力信息等敏感內容��,這些信息一旦泄露往往會導致極大的經濟損失�����,進而影響經濟和社會穩定����。
的確,證券的核心交易系統涉及網上交易����、融資融券、自營交易系統���、個股期權等多個領域��,任何與交易相關的系統故障不僅會影響到證券服務機構的正常業務運轉�,其他業務系統也會受到直接或間接的影響甚至造成大面積癱瘓���。
此外�����,近年來網絡安全法�、數據安全法、個人信息保護法�����、《關鍵信息基礎設施安全保護條例》及證券法等法律法規的密集發布實施����,對于證券期貨業網絡和信息安全管理也提出了進一步要求。
嚴守安全底線
出臺《辦法》��,說到底是為了保障證券期貨業網絡和信息安全���,保護投資者合法權益,促進證券期貨業穩定健康發展�。
嚴守證券期貨業安全底線,促進科技發展����,是出臺《辦法》的出發點,也是終極目標。證監會有關負責人稱���,《辦法》以保障安全為基本原則��,從建設��、運維���、使用網絡及信息系統,到識別�����、監測���、防范�����、處置風險等方面���,構建了完整的網絡和信息安全監管框架,對行業機構提出全方位的管理要求����。
在此基礎上�,《辦法》注重通過發展解決問題�,通過技術架構的升級優化,提升安全保障能力����,并在信息基礎設施建設、金融科技創新等方面作出制度安排����。
與此同時,《辦法》覆蓋各類主體���,并厘清權責邊界����。首先是充分考慮證券期貨業各類主體的責任義務和業務特點��,對證券期貨業關鍵信息基礎設施運營者�����、核心機構���、經營機構及信息技術系統服務機構����,從網絡和信息安全管理方面分別提出監管要求����。
其次是厘清職責分工,對監管部門�、自律組織的網絡和信息安全監管職責作出明確規定。要求核心機構和經營機構�,應遵循保障安全、促進發展的原則�����,建立健全網絡和信息安全防護體系���,提升安全保障水平���,確保與信息化工作同步推進;應依法履行網絡和信息安全保護義務�,對本機構網絡和信息安全負責,相關責任不因其他機構提供產品或者服務進行轉移或者減輕��。
《辦法》還要求信息技術系統服務機構應當遵循技術安全、服務合規的原則���,為證券期貨業務活動提供產品或者服務�����,與核心機構���、經營機構共同保障行業網絡和信息安全,促進行業信息化發展��。勤勉盡責�����,對提供產品或者服務的安全性����、合規性承擔責任。
強化信息保護
在資本市場上����,如果說有相對的兩方,則可以認為一是提供產品和服務的一方,一是使用這些產品和服務的一方���。在網絡和信息服務方面,一方是核心機構��、經營機構�����、網絡服務機構(上市公司信息問題除外)��,另一方則是投資者���,其中又有個人投資者和機構投資者之分�。相對于機構投資者��,個人投資者數量多達上億�����,資金數量相對較少����,抗風險能力相對較低。據證監會統計�,個人投資者中絕大多數人投資金額不足百萬元��。即便如此�����,他們的個人信息卻相當豐富���,涉及每個人切身利益,因此對個人投資者個人信息的保護就顯得尤為重要�。
《辦法》第三章專章對“投資者個人信息保護”予以規定,明確要求核心機構和經營機構應當遵循合法�、正當、必要和誠信原則�����,處理投資者個人信息�,規范投資者個人信息處理行為,履行投資者個人信息保護義務�,不得損害投資者合法權益。
核心機構和經營機構在處理投資者個人信息時��,應當建立健全投資者個人信息保護體系���,明確相關崗位及職責要求�,建立健全投資者個人信息處理、安全防護�����、應急處置����、審計監督等管理機制�,加強投資者個人信息保護。
《辦法》規定����,應當按照法律法規的規定及合同的約定處理投資者個人信息,明確告知投資者處理個人信息的目的��、方式����、范圍和隱私保護政策,不得超范圍收集和使用投資者個人信息��,不得收集提供服務非必要的投資者個人信息���。出賣投資者個人信息�����,更為法律不容���。核心機構和經營機構利用生物特征進行客戶身份認證的�����,應當對其必要性�����、安全性進行風險評估�����,不得將人臉����、步態�����、指紋、虹膜���、聲紋等生物特征作為唯一的客戶身份認證方式��,強制客戶同意收集其個人生物特征信息��。
開展風險通報
《辦法》的重要內容之一體現在第七章“監督管理與法律責任”�����,以多達十四條的篇幅進行規定,內容扎實豐富�����。據證監會這位負責人介紹�,共包括五方面的制度安排。
一是規定行業機構的報告義務和流程要求�����;二是建立健全行業網絡和信息安全態勢感知工作機制�����,開展風險隱患行業通報;三是明確證監會及其派出機構可以委托專業機構采用滲透測試�����、漏洞掃描和風險評估等方式對行業機構開展監督檢查����;四是對重要時期的網絡和信息安全保障工作明確制度安排;五是依據上位法要求��,結合違法違規的具體情形����,規定相應罰則,并規定創新容錯相關制度安排���。
對違規行為不僅僅包括通報����,還會依據相關法律法規規定進行相應的行政處罰�����。
據吳則濤介紹�����,資本市場上網絡信息安全事件的發生并不少見,其中被業界認為屬于重大網絡信息安全事件的有多起�,比如:
多家證券APP宕機事件。自2022年3月開始����,招商證券、國信證券�����、華西證券�、西部證券等App相繼出現了無法正常買賣、無法刷新行情��、無法登錄等情況��,相關券商受到了監管部門的處罰���,相關責任人被采取行政監管措施,發出警示函����。
長城證券信息安全事件�����。2018年7月23日����,長城證券因信息安全管理和應對存在缺陷�����,導致集中交易系統部分中斷10分鐘��,違反了《舊版辦法》的規定�����。
網信證券信息系統故障事件����。網信證券的集中交易系統于2018年12月24日中斷37分鐘,2019年2月26日綜合賬戶管理系統發生故障�����,影響交易時間累計13分鐘�����,這反映出公司信息系統存在重大風險隱患,核心設備老舊�、系統運維保障存在不足的問題。
財通證券交易時間內運維失當事件�。財通證券的信息技術運維人員,違反所在證券公司信息安全管理規定�,在交易時間對生產環境中的存儲過程進行運維操作,引發了公司網上交易系統和移動終端交易系統客戶端登錄異常���。(法治日報)
