□ 本報(bào)記者 周芬棉
證監(jiān)會(huì)近日發(fā)布《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》(以下簡(jiǎn)稱《辦法》),以取代2012年發(fā)布的《證券期貨業(yè)信息安全保障管理辦法》(以下簡(jiǎn)稱《舊版辦法》)��,更好地維護(hù)資本市場(chǎng)安全平穩(wěn)高效運(yùn)行����。
《辦法》共八章七十五條���,對(duì)證券期貨業(yè)網(wǎng)絡(luò)和信息安全監(jiān)督管理體系、網(wǎng)絡(luò)和信息安全運(yùn)行��、投資者個(gè)人信息保護(hù)�、網(wǎng)絡(luò)和信息安全應(yīng)急處置、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)���、網(wǎng)絡(luò)和信息安全促進(jìn)與發(fā)展等諸多方面提出了要求�����?����!掇k法》自2023年5月1日起施行����。
回應(yīng)現(xiàn)實(shí)問題
出臺(tái)《辦法》����,是形勢(shì)所迫。按西北政法大學(xué)教授強(qiáng)力的話說,既有網(wǎng)絡(luò)和信息技術(shù)加速發(fā)展的大背景���,又有上位法的要求���,同時(shí)也是對(duì)監(jiān)管實(shí)踐面臨新問題的回應(yīng)。
如今�,網(wǎng)絡(luò)和信息安全已上升為國家戰(zhàn)略,對(duì)資本市場(chǎng)影響深遠(yuǎn)���。北京中銀律師事務(wù)所律師吳則濤認(rèn)為�,隨著數(shù)字經(jīng)濟(jì)�、數(shù)字社會(huì)、數(shù)字政府的建設(shè)加快���,證券和各行各業(yè)間的數(shù)據(jù)共享與交互將會(huì)成為普遍現(xiàn)象�����,如何對(duì)這些數(shù)據(jù)進(jìn)行全生命周期的安全保護(hù)�����,是證券行業(yè)的核心問題。一方面,單從技術(shù)支持方面來看�,證券期貨業(yè)務(wù)與大數(shù)據(jù)、云計(jì)算�、區(qū)塊鏈和人工智能等新技術(shù)應(yīng)用不斷加速融合,對(duì)關(guān)鍵核心技術(shù)的依賴程度越來越高��。各類業(yè)務(wù)活動(dòng)日益依賴網(wǎng)絡(luò)安全和信息化����,增加了網(wǎng)絡(luò)和信息安全管理的復(fù)雜度。另一方面���,證券期貨市場(chǎng)是一個(gè)典型的以信息為主導(dǎo)的市場(chǎng)�,我國中小投資者數(shù)量近1.77億人�����,投資者個(gè)人信息往往涉及金融賬戶信息�����、投資能力信息等敏感內(nèi)容����,這些信息一旦泄露往往會(huì)導(dǎo)致極大的經(jīng)濟(jì)損失�,進(jìn)而影響經(jīng)濟(jì)和社會(huì)穩(wěn)定�。
的確,證券的核心交易系統(tǒng)涉及網(wǎng)上交易���、融資融券�����、自營交易系統(tǒng)�����、個(gè)股期權(quán)等多個(gè)領(lǐng)域��,任何與交易相關(guān)的系統(tǒng)故障不僅會(huì)影響到證券服務(wù)機(jī)構(gòu)的正常業(yè)務(wù)運(yùn)轉(zhuǎn)�����,其他業(yè)務(wù)系統(tǒng)也會(huì)受到直接或間接的影響甚至造成大面積癱瘓�。
此外����,近年來網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法���、個(gè)人信息保護(hù)法�、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》及證券法等法律法規(guī)的密集發(fā)布實(shí)施���,對(duì)于證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理也提出了進(jìn)一步要求�。
嚴(yán)守安全底線
出臺(tái)《辦法》�,說到底是為了保障證券期貨業(yè)網(wǎng)絡(luò)和信息安全,保護(hù)投資者合法權(quán)益�����,促進(jìn)證券期貨業(yè)穩(wěn)定健康發(fā)展�。
嚴(yán)守證券期貨業(yè)安全底線,促進(jìn)科技發(fā)展�,是出臺(tái)《辦法》的出發(fā)點(diǎn),也是終極目標(biāo)����。證監(jiān)會(huì)有關(guān)負(fù)責(zé)人稱,《辦法》以保障安全為基本原則��,從建設(shè)���、運(yùn)維����、使用網(wǎng)絡(luò)及信息系統(tǒng),到識(shí)別�、監(jiān)測(cè)、防范����、處置風(fēng)險(xiǎn)等方面,構(gòu)建了完整的網(wǎng)絡(luò)和信息安全監(jiān)管框架����,對(duì)行業(yè)機(jī)構(gòu)提出全方位的管理要求。
在此基礎(chǔ)上���,《辦法》注重通過發(fā)展解決問題�,通過技術(shù)架構(gòu)的升級(jí)優(yōu)化�����,提升安全保障能力�����,并在信息基礎(chǔ)設(shè)施建設(shè)�、金融科技創(chuàng)新等方面作出制度安排����。
與此同時(shí)����,《辦法》覆蓋各類主體,并厘清權(quán)責(zé)邊界�。首先是充分考慮證券期貨業(yè)各類主體的責(zé)任義務(wù)和業(yè)務(wù)特點(diǎn)���,對(duì)證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者�����、核心機(jī)構(gòu)����、經(jīng)營機(jī)構(gòu)及信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)���,從網(wǎng)絡(luò)和信息安全管理方面分別提出監(jiān)管要求��。
其次是厘清職責(zé)分工��,對(duì)監(jiān)管部門���、自律組織的網(wǎng)絡(luò)和信息安全監(jiān)管職責(zé)作出明確規(guī)定����。要求核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)��,應(yīng)遵循保障安全�、促進(jìn)發(fā)展的原則,建立健全網(wǎng)絡(luò)和信息安全防護(hù)體系�����,提升安全保障水平���,確保與信息化工作同步推進(jìn)���;應(yīng)依法履行網(wǎng)絡(luò)和信息安全保護(hù)義務(wù),對(duì)本機(jī)構(gòu)網(wǎng)絡(luò)和信息安全負(fù)責(zé)��,相關(guān)責(zé)任不因其他機(jī)構(gòu)提供產(chǎn)品或者服務(wù)進(jìn)行轉(zhuǎn)移或者減輕��。
《辦法》還要求信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)遵循技術(shù)安全���、服務(wù)合規(guī)的原則�,為證券期貨業(yè)務(wù)活動(dòng)提供產(chǎn)品或者服務(wù),與核心機(jī)構(gòu)�、經(jīng)營機(jī)構(gòu)共同保障行業(yè)網(wǎng)絡(luò)和信息安全,促進(jìn)行業(yè)信息化發(fā)展���。勤勉盡責(zé)�����,對(duì)提供產(chǎn)品或者服務(wù)的安全性�����、合規(guī)性承擔(dān)責(zé)任。
強(qiáng)化信息保護(hù)
在資本市場(chǎng)上�,如果說有相對(duì)的兩方,則可以認(rèn)為一是提供產(chǎn)品和服務(wù)的一方�,一是使用這些產(chǎn)品和服務(wù)的一方。在網(wǎng)絡(luò)和信息服務(wù)方面���,一方是核心機(jī)構(gòu)�����、經(jīng)營機(jī)構(gòu)���、網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)(上市公司信息問題除外)����,另一方則是投資者�,其中又有個(gè)人投資者和機(jī)構(gòu)投資者之分。相對(duì)于機(jī)構(gòu)投資者���,個(gè)人投資者數(shù)量多達(dá)上億���,資金數(shù)量相對(duì)較少,抗風(fēng)險(xiǎn)能力相對(duì)較低��。據(jù)證監(jiān)會(huì)統(tǒng)計(jì)���,個(gè)人投資者中絕大多數(shù)人投資金額不足百萬元����。即便如此�����,他們的個(gè)人信息卻相當(dāng)豐富,涉及每個(gè)人切身利益����,因此對(duì)個(gè)人投資者個(gè)人信息的保護(hù)就顯得尤為重要。
《辦法》第三章專章對(duì)“投資者個(gè)人信息保護(hù)”予以規(guī)定��,明確要求核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)遵循合法����、正當(dāng)、必要和誠信原則����,處理投資者個(gè)人信息,規(guī)范投資者個(gè)人信息處理行為����,履行投資者個(gè)人信息保護(hù)義務(wù)�����,不得損害投資者合法權(quán)益����。
核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)在處理投資者個(gè)人信息時(shí),應(yīng)當(dāng)建立健全投資者個(gè)人信息保護(hù)體系,明確相關(guān)崗位及職責(zé)要求��,建立健全投資者個(gè)人信息處理��、安全防護(hù)��、應(yīng)急處置�����、審計(jì)監(jiān)督等管理機(jī)制�����,加強(qiáng)投資者個(gè)人信息保護(hù)����。
《辦法》規(guī)定,應(yīng)當(dāng)按照法律法規(guī)的規(guī)定及合同的約定處理投資者個(gè)人信息����,明確告知投資者處理個(gè)人信息的目的、方式�、范圍和隱私保護(hù)政策,不得超范圍收集和使用投資者個(gè)人信息�,不得收集提供服務(wù)非必要的投資者個(gè)人信息��。出賣投資者個(gè)人信息�����,更為法律不容����。核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)利用生物特征進(jìn)行客戶身份認(rèn)證的�,應(yīng)當(dāng)對(duì)其必要性、安全性進(jìn)行風(fēng)險(xiǎn)評(píng)估�,不得將人臉、步態(tài)����、指紋、虹膜���、聲紋等生物特征作為唯一的客戶身份認(rèn)證方式���,強(qiáng)制客戶同意收集其個(gè)人生物特征信息��。
開展風(fēng)險(xiǎn)通報(bào)
《辦法》的重要內(nèi)容之一體現(xiàn)在第七章“監(jiān)督管理與法律責(zé)任”��,以多達(dá)十四條的篇幅進(jìn)行規(guī)定,內(nèi)容扎實(shí)豐富���。據(jù)證監(jiān)會(huì)這位負(fù)責(zé)人介紹����,共包括五方面的制度安排���。
一是規(guī)定行業(yè)機(jī)構(gòu)的報(bào)告義務(wù)和流程要求���;二是建立健全行業(yè)網(wǎng)絡(luò)和信息安全態(tài)勢(shì)感知工作機(jī)制,開展風(fēng)險(xiǎn)隱患行業(yè)通報(bào)��;三是明確證監(jiān)會(huì)及其派出機(jī)構(gòu)可以委托專業(yè)機(jī)構(gòu)采用滲透測(cè)試����、漏洞掃描和風(fēng)險(xiǎn)評(píng)估等方式對(duì)行業(yè)機(jī)構(gòu)開展監(jiān)督檢查;四是對(duì)重要時(shí)期的網(wǎng)絡(luò)和信息安全保障工作明確制度安排�����;五是依據(jù)上位法要求�����,結(jié)合違法違規(guī)的具體情形,規(guī)定相應(yīng)罰則��,并規(guī)定創(chuàng)新容錯(cuò)相關(guān)制度安排�����。
對(duì)違規(guī)行為不僅僅包括通報(bào)����,還會(huì)依據(jù)相關(guān)法律法規(guī)規(guī)定進(jìn)行相應(yīng)的行政處罰。
據(jù)吳則濤介紹���,資本市場(chǎng)上網(wǎng)絡(luò)信息安全事件的發(fā)生并不少見����,其中被業(yè)界認(rèn)為屬于重大網(wǎng)絡(luò)信息安全事件的有多起����,比如:
多家證券APP宕機(jī)事件。自2022年3月開始����,招商證券、國信證券、華西證券�、西部證券等App相繼出現(xiàn)了無法正常買賣��、無法刷新行情���、無法登錄等情況���,相關(guān)券商受到了監(jiān)管部門的處罰,相關(guān)責(zé)任人被采取行政監(jiān)管措施�����,發(fā)出警示函���。
長城證券信息安全事件��。2018年7月23日��,長城證券因信息安全管理和應(yīng)對(duì)存在缺陷���,導(dǎo)致集中交易系統(tǒng)部分中斷10分鐘,違反了《舊版辦法》的規(guī)定���。
網(wǎng)信證券信息系統(tǒng)故障事件��。網(wǎng)信證券的集中交易系統(tǒng)于2018年12月24日中斷37分鐘���,2019年2月26日綜合賬戶管理系統(tǒng)發(fā)生故障�,影響交易時(shí)間累計(jì)13分鐘�,這反映出公司信息系統(tǒng)存在重大風(fēng)險(xiǎn)隱患,核心設(shè)備老舊���、系統(tǒng)運(yùn)維保障存在不足的問題�。
財(cái)通證券交易時(shí)間內(nèi)運(yùn)維失當(dāng)事件���。財(cái)通證券的信息技術(shù)運(yùn)維人員��,違反所在證券公司信息安全管理規(guī)定��,在交易時(shí)間對(duì)生產(chǎn)環(huán)境中的存儲(chǔ)過程進(jìn)行運(yùn)維操作��,引發(fā)了公司網(wǎng)上交易系統(tǒng)和移動(dòng)終端交易系統(tǒng)客戶端登錄異常����。(法治日?qǐng)?bào))
