作者:金茂律师事务所 万波 律师
3月3日,证监会官网发布,为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,证监会制定并发布了《证券期货业网络和信息安全管理办法》(以下简称《办法》)。《办法》将于今年5月1日正式实施。
一、立法背景
近年来,证券期货业机构对网络和信息安全的重视程度大幅提升,信息技术投入逐年增加,组织架构和制度体系持续优化,行业网络和信息安全运行态势总体平稳。根据中证协数据统计,2017年~2020年,证券行业在信息技术领域累计投入达845亿元。2021年证券行业IT总投入为303.55亿元,同比增长26.51%。
然而,随着行业数字化智能化加速发展、网络和信息安全上升为国家战略、资本市场深化改革等内外部条件变化,证券期货业网络和信息安全面临新情况和新问题的逐渐凸显。
例如,2022年3月14日,招商证券的APP在早盘期间出现故障,无法正常买卖,导致该公司登上微博热搜。同月15日,有投资者抱怨,国信证券的交易软件无法刷新行情,无法观察市场和交易。仅两个月后,2022年5月16日,一些投资者在网络上反映,招商证券的PC和APP都无法登录,导致无法正常交易。同一天,华西证券的交易系统在早盘时段出现故障,也导致无法交易。两个月后,2022年7月21日,西部证券的APP在早间也出现了故障。
这些APP宕机事件引起了投资者的不满,也让相关券商受到了监管部门的处罚。例如,2022年4月2日,深圳证监局责令招商证券采取改正措施。7月12日,证监会决定对招商证券总裁助理、首席数字官胡滔、金融科技中心总监邓曙光、金融科技中心核心交易开发部总经理陈卓采取行政监管措施,发出警示函。安徽证监局于2022年6月29日向国元证券发出警示函,指出,国元证券未充分测试手机客户端交易软件的系统升级和变更,手机客户端交易软件在2022年6月13日出现故障,未及时向证监局报告,信息安全应急预案不完备。
据中国证券投资者保护基金有限责任公司发布的《证券公司投资者保护状况评价报告(2022)》,2021年有79家证券公司因交易系统稳定性而被投诉,共计944次,较上一年度(1103次)下降。相关证券公司应进一步加强交易系统的日常运维工作,切实保护投资者合法权益。
随着大数据、云计算、区块链和人工智能等新技术应用的不断深入,证券期货业务与技术加速融合,各类业务活动日益依赖网络安全和信息化,增加了网络和信息安全管理的复杂度。随着行业机构数字化智能化转型的提速,信息系统建设任务明显增加,上线变更操作较为频繁,行业网络和信息安全管理能力面临更大挑战。证监会认为,基于上述新情况新问题,有必要进一步健全证券期货业网络和信息安全监管制度体系,制定专门的部门规章,构建证券期货业网络和信息安全管理的体系框架,提升行业安全保障能力,依法制定并发布了《办法》。
二、《办法》的总体架构
《办法》共八章七十五条,涵盖了证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体,以安全保障为基本原则,规范要求网络和信息安全管理,要求证券期货业建立健全网络和信息安全监督管理体系,保障网络和信息安全运行,加强投资者个人信息保护,完善网络和信息安全应急处置,加强关键信息基础设施安全保护,促进网络和信息安全发展,规范监督管理和法律责任等方面。其总体架构如下:
三、《办法》的特别要求
相较于《个人信息保护法》、《数据安全法》、《网络安全法》、《关键信息基础设施安全保护条例》,本《办法》对证券期货业的网络和信息安全保护提出了以下的特别要求:
(一)《办法》有利于明确证券期货业在网络和信息安全领域的监管条线
《办法》在多个条款规定了证监会及其派出机构的监管和处罚权,规定由中国证监会及其派出机构依照《网络安全法》、《个人信息保护法》予以处罚。
如大家所知,根据《网络安全法》,网络安全领域的主要监管主体是国家网信部门、电信主管部门、公安部门;根据《数据安全法》,数据安全领域的主要监管主体是国家网信部门、公安机关、国家安全机关;根据《个人信息保护法》,个人信息保护领域的主要监管主体是国家网信部门。3月7日国务院机构改革方案中又组建了数据管理局。多头监管之下,对于特定行业的监管和处罚权,特别是《网络安全法》、《个人信息保护法》项下的监管和处罚权,一直存在“九龙治水”的担心。
仅从本《办法》的规定看,基本明确了今后证券期货业的网络和信息安全的监管权和处罚权归于证监会,有利于明确监管条线,对其他特定行业的监管方式也具有积极的借鉴意义。
(二)明确网络和信息安全保护责任不得因其他机构问题而转移或减轻
《办法》第三条、第四条在重申安全、发展以及责任原则的基础上,特别强调了,核心机构和经营机构应承担责任,不能因其他机构的问题而转移或减轻责任。一个常见的情况是,由于技术服务供应商的问题导致网络安全事件,核心机构和经营机构也必须承担责任。
(三)明确了第一责任人,同时允许证券期货业自定直接责任人
《办法》明确核心机构和经营机构的主要负责人是第一责任人。但是,与征求意见稿相比,《办法》不再强行要求分管科技工作的负责人作为直接责任人,而是允许分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人。
同时,根据《网络安全法》第21条,《办法》要求核心机构和经营机构指定网络和信息安全工作牵头部门或者机构。
(四)增设了一系列向证监会的备案、报告义务
1. 网络安全等级保护的事后报送义务
《办法》第十四条明确,核心机构和经营机构办理网络安全等级保护备案和变更后,应及时报送证监会及其派出机构。
2. 重要信息系统上下线、变更的事先报告义务
《办法》第十五条要求,新建上线、运行变更、下线移除重要信息系统的,应当充分评估风险,可能对证券期货市场安全平稳运行产生较大影响的,应当提前向证监会及其派出机构报告。
3. 发生网络安全风险的报告义务
《办法》第二十五、三十六条对《网络安全法》第25条“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险”进行细化,规定了发生网络安全风险时,应向证监会及其派出机构报告。
4. 网络安全应急演练中的报告义务
《办法》要求核心机构应当组织与本机构信息系统和网络通信设施相关联主体开展网络安全应急演练,每年至少开展一次,并于演练后 15 个工作日内将相关情况报告中国证监会。
(五)明确了日志保存期限
《办法》强调核心机构和经营机构的日志保存义务。重要信息系统业务日志保存期限不少于5年,系统日志保存期限不少于6个月。
(六)强化投资者个人信息保护
《办法》设专章强调了投资者的个人信息保护,细化了《个人信息保护法》对证券期货行业的具体要求,重点关注:
1. 针对防护边界外处理个人信息提出技术要求
《办法》第三十四条规定,核心机构和经营机构在本机构网络安全防护边界以外处理投资者个人信息的,应当采取数据脱敏、数据加密等措施,防范化解投资者个人信息在处理过程中的泄露风险。核心机构和经营机构通过短信、邮件等非自主运营渠道发送投资者敏感个人信息的,应当将投资者账号信息、身份证号码等敏感个人信息进行脱敏处理。
2. 收集个人生物特征的技术要求
《办法》第三十五条规定,核心机构和经营机构利用生物特征进行客户身份认证的,应当对其必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式,强制客户同意收集其个人生物特征信息。
(七)对CIIO更高的网络安全管理要求
根据《关键信息基础设施安全保护条例》(以下简称《关基条例》)的规定,证券期货业关键基础设施的具体范围由证监会认定,《办法》中没有直接给出认定的范围,但针对关基运营的安全性提出了具体的要求,具体主要包括如下几个方面:
1. 系统新建、变更移除评审、安全检测和风险评估
《办法》第四十五条提出CII的新建上线、变更或下线移除,不仅要提前告知,还需要进行评审。若CII发生发生重大变化,可能影响CII认定的,还需要及时报告。
另外,《办法》第四十六条对《关基条例》的第17条进行了细化,要求每年至少一次的安全检测和风险评估。
2. 压力测试及系统性能容量
《办法》第48条对CIIO的技术提出了指标,需要定期进行压力测试,确保系统性能容量不低于历史峰值的三倍,交易时段相关网络带宽应当在近一年使用峰值的两倍以上。
四、《办法》与征求意见稿的对比
相较于征求意见稿,《办法》正式稿修改的重点内容体现在:
1、将原征求意见稿中所有表述为【网络安全】处修改为【网络和信息安全】,并单列一章【投资者个人信息保护】,着重强调对投资者的个人信息保护。
2、第七章的罚则条款中,法律依据删除了相应法律中的具体条款,转而用【相关规定】代替,为监管部门留下更宽泛的执法空间,依据上位法要求,结合违法违规的具体情形,规定相应罚则,并规定了创新容错相关制度安排。具体罚则如下表: