□ 本报记者 周芬棉
证监会近日发布《证券期货业网络和信息安全管理办法》(以下简称《办法》),以取代2012年发布的《证券期货业信息安全保障管理办法》(以下简称《旧版办法》),更好地维护资本市场安全平稳高效运行。
《办法》共八章七十五条,对证券期货业网络和信息安全监督管理体系、网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展等诸多方面提出了要求。《办法》自2023年5月1日起施行。
回应现实问题
出台《办法》,是形势所迫。按西北政法大学教授强力的话说,既有网络和信息技术加速发展的大背景,又有上位法的要求,同时也是对监管实践面临新问题的回应。
如今,网络和信息安全已上升为国家战略,对资本市场影响深远。北京中银律师事务所律师吴则涛认为,随着数字经济、数字社会、数字政府的建设加快,证券和各行各业间的数据共享与交互将会成为普遍现象,如何对这些数据进行全生命周期的安全保护,是证券行业的核心问题。一方面,单从技术支持方面来看,证券期货业务与大数据、云计算、区块链和人工智能等新技术应用不断加速融合,对关键核心技术的依赖程度越来越高。各类业务活动日益依赖网络安全和信息化,增加了网络和信息安全管理的复杂度。另一方面,证券期货市场是一个典型的以信息为主导的市场,我国中小投资者数量近1.77亿人,投资者个人信息往往涉及金融账户信息、投资能力信息等敏感内容,这些信息一旦泄露往往会导致极大的经济损失,进而影响经济和社会稳定。
的确,证券的核心交易系统涉及网上交易、融资融券、自营交易系统、个股期权等多个领域,任何与交易相关的系统故障不仅会影响到证券服务机构的正常业务运转,其他业务系统也会受到直接或间接的影响甚至造成大面积瘫痪。
此外,近年来网络安全法、数据安全法、个人信息保护法、《关键信息基础设施安全保护条例》及证券法等法律法规的密集发布实施,对于证券期货业网络和信息安全管理也提出了进一步要求。
严守安全底线
出台《办法》,说到底是为了保障证券期货业网络和信息安全,保护投资者合法权益,促进证券期货业稳定健康发展。
严守证券期货业安全底线,促进科技发展,是出台《办法》的出发点,也是终极目标。证监会有关负责人称,《办法》以保障安全为基本原则,从建设、运维、使用网络及信息系统,到识别、监测、防范、处置风险等方面,构建了完整的网络和信息安全监管框架,对行业机构提出全方位的管理要求。
在此基础上,《办法》注重通过发展解决问题,通过技术架构的升级优化,提升安全保障能力,并在信息基础设施建设、金融科技创新等方面作出制度安排。
与此同时,《办法》覆盖各类主体,并厘清权责边界。首先是充分考虑证券期货业各类主体的责任义务和业务特点,对证券期货业关键信息基础设施运营者、核心机构、经营机构及信息技术系统服务机构,从网络和信息安全管理方面分别提出监管要求。
其次是厘清职责分工,对监管部门、自律组织的网络和信息安全监管职责作出明确规定。要求核心机构和经营机构,应遵循保障安全、促进发展的原则,建立健全网络和信息安全防护体系,提升安全保障水平,确保与信息化工作同步推进;应依法履行网络和信息安全保护义务,对本机构网络和信息安全负责,相关责任不因其他机构提供产品或者服务进行转移或者减轻。
《办法》还要求信息技术系统服务机构应当遵循技术安全、服务合规的原则,为证券期货业务活动提供产品或者服务,与核心机构、经营机构共同保障行业网络和信息安全,促进行业信息化发展。勤勉尽责,对提供产品或者服务的安全性、合规性承担责任。
强化信息保护
在资本市场上,如果说有相对的两方,则可以认为一是提供产品和服务的一方,一是使用这些产品和服务的一方。在网络和信息服务方面,一方是核心机构、经营机构、网络服务机构(上市公司信息问题除外),另一方则是投资者,其中又有个人投资者和机构投资者之分。相对于机构投资者,个人投资者数量多达上亿,资金数量相对较少,抗风险能力相对较低。据证监会统计,个人投资者中绝大多数人投资金额不足百万元。即便如此,他们的个人信息却相当丰富,涉及每个人切身利益,因此对个人投资者个人信息的保护就显得尤为重要。
《办法》第三章专章对“投资者个人信息保护”予以规定,明确要求核心机构和经营机构应当遵循合法、正当、必要和诚信原则,处理投资者个人信息,规范投资者个人信息处理行为,履行投资者个人信息保护义务,不得损害投资者合法权益。
核心机构和经营机构在处理投资者个人信息时,应当建立健全投资者个人信息保护体系,明确相关岗位及职责要求,建立健全投资者个人信息处理、安全防护、应急处置、审计监督等管理机制,加强投资者个人信息保护。
《办法》规定,应当按照法律法规的规定及合同的约定处理投资者个人信息,明确告知投资者处理个人信息的目的、方式、范围和隐私保护政策,不得超范围收集和使用投资者个人信息,不得收集提供服务非必要的投资者个人信息。出卖投资者个人信息,更为法律不容。核心机构和经营机构利用生物特征进行客户身份认证的,应当对其必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式,强制客户同意收集其个人生物特征信息。
开展风险通报
《办法》的重要内容之一体现在第七章“监督管理与法律责任”,以多达十四条的篇幅进行规定,内容扎实丰富。据证监会这位负责人介绍,共包括五方面的制度安排。
一是规定行业机构的报告义务和流程要求;二是建立健全行业网络和信息安全态势感知工作机制,开展风险隐患行业通报;三是明确证监会及其派出机构可以委托专业机构采用渗透测试、漏洞扫描和风险评估等方式对行业机构开展监督检查;四是对重要时期的网络和信息安全保障工作明确制度安排;五是依据上位法要求,结合违法违规的具体情形,规定相应罚则,并规定创新容错相关制度安排。
对违规行为不仅仅包括通报,还会依据相关法律法规规定进行相应的行政处罚。
据吴则涛介绍,资本市场上网络信息安全事件的发生并不少见,其中被业界认为属于重大网络信息安全事件的有多起,比如:
多家证券APP宕机事件。自2022年3月开始,招商证券、国信证券、华西证券、西部证券等App相继出现了无法正常买卖、无法刷新行情、无法登录等情况,相关券商受到了监管部门的处罚,相关责任人被采取行政监管措施,发出警示函。
长城证券信息安全事件。2018年7月23日,长城证券因信息安全管理和应对存在缺陷,导致集中交易系统部分中断10分钟,违反了《旧版办法》的规定。
网信证券信息系统故障事件。网信证券的集中交易系统于2018年12月24日中断37分钟,2019年2月26日综合账户管理系统发生故障,影响交易时间累计13分钟,这反映出公司信息系统存在重大风险隐患,核心设备老旧、系统运维保障存在不足的问题。
财通证券交易时间内运维失当事件。财通证券的信息技术运维人员,违反所在证券公司信息安全管理规定,在交易时间对生产环境中的存储过程进行运维操作,引发了公司网上交易系统和移动终端交易系统客户端登录异常。(法治日报)