□ 本報記者 周芬棉

　　證監(jiān)會近日發(fā)布《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》（以下簡稱《辦法》），以取代2012年發(fā)布的《證券期貨業(yè)信息安全保障管理辦法》（以下簡稱《舊版辦法》），更好地維護(hù)資本市場安全平穩(wěn)高效運行。

　　《辦法》共八章七十五條，對證券期貨業(yè)網(wǎng)絡(luò)和信息安全監(jiān)督管理體系、網(wǎng)絡(luò)和信息安全運行、投資者個人信息保護(hù)、網(wǎng)絡(luò)和信息安全應(yīng)急處置、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、網(wǎng)絡(luò)和信息安全促進(jìn)與發(fā)展等諸多方面提出了要求?！掇k法》自2023年5月1日起施行。

　　回應(yīng)現(xiàn)實問題

　　出臺《辦法》，是形勢所迫。按西北政法大學(xué)教授強(qiáng)力的話說，既有網(wǎng)絡(luò)和信息技術(shù)加速發(fā)展的大背景，又有上位法的要求，同時也是對監(jiān)管實踐面臨新問題的回應(yīng)。

　　如今，網(wǎng)絡(luò)和信息安全已上升為國家戰(zhàn)略，對資本市場影響深遠(yuǎn)。北京中銀律師事務(wù)所律師吳則濤認(rèn)為，隨著數(shù)字經(jīng)濟(jì)、數(shù)字社會、數(shù)字政府的建設(shè)加快，證券和各行各業(yè)間的數(shù)據(jù)共享與交互將會成為普遍現(xiàn)象，如何對這些數(shù)據(jù)進(jìn)行全生命周期的安全保護(hù)，是證券行業(yè)的核心問題。一方面，單從技術(shù)支持方面來看，證券期貨業(yè)務(wù)與大數(shù)據(jù)、云計算、區(qū)塊鏈和人工智能等新技術(shù)應(yīng)用不斷加速融合，對關(guān)鍵核心技術(shù)的依賴程度越來越高。各類業(yè)務(wù)活動日益依賴網(wǎng)絡(luò)安全和信息化，增加了網(wǎng)絡(luò)和信息安全管理的復(fù)雜度。另一方面，證券期貨市場是一個典型的以信息為主導(dǎo)的市場，我國中小投資者數(shù)量近1.77億人，投資者個人信息往往涉及金融賬戶信息、投資能力信息等敏感內(nèi)容，這些信息一旦泄露往往會導(dǎo)致極大的經(jīng)濟(jì)損失，進(jìn)而影響經(jīng)濟(jì)和社會穩(wěn)定。

　　的確，證券的核心交易系統(tǒng)涉及網(wǎng)上交易、融資融券、自營交易系統(tǒng)、個股期權(quán)等多個領(lǐng)域，任何與交易相關(guān)的系統(tǒng)故障不僅會影響到證券服務(wù)機(jī)構(gòu)的正常業(yè)務(wù)運轉(zhuǎn)，其他業(yè)務(wù)系統(tǒng)也會受到直接或間接的影響甚至造成大面積癱瘓。

　　此外，近年來網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個人信息保護(hù)法、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》及證券法等法律法規(guī)的密集發(fā)布實施，對于證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理也提出了進(jìn)一步要求。

　　嚴(yán)守安全底線

　　出臺《辦法》，說到底是為了保障證券期貨業(yè)網(wǎng)絡(luò)和信息安全，保護(hù)投資者合法權(quán)益，促進(jìn)證券期貨業(yè)穩(wěn)定健康發(fā)展。

　　嚴(yán)守證券期貨業(yè)安全底線，促進(jìn)科技發(fā)展，是出臺《辦法》的出發(fā)點，也是終極目標(biāo)。證監(jiān)會有關(guān)負(fù)責(zé)人稱，《辦法》以保障安全為基本原則，從建設(shè)、運維、使用網(wǎng)絡(luò)及信息系統(tǒng)，到識別、監(jiān)測、防范、處置風(fēng)險等方面，構(gòu)建了完整的網(wǎng)絡(luò)和信息安全監(jiān)管框架，對行業(yè)機(jī)構(gòu)提出全方位的管理要求。

　　在此基礎(chǔ)上，《辦法》注重通過發(fā)展解決問題，通過技術(shù)架構(gòu)的升級優(yōu)化，提升安全保障能力，并在信息基礎(chǔ)設(shè)施建設(shè)、金融科技創(chuàng)新等方面作出制度安排。

　　與此同時，《辦法》覆蓋各類主體，并厘清權(quán)責(zé)邊界。首先是充分考慮證券期貨業(yè)各類主體的責(zé)任義務(wù)和業(yè)務(wù)特點，對證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運營者、核心機(jī)構(gòu)、經(jīng)營機(jī)構(gòu)及信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)，從網(wǎng)絡(luò)和信息安全管理方面分別提出監(jiān)管要求。

　　其次是厘清職責(zé)分工，對監(jiān)管部門、自律組織的網(wǎng)絡(luò)和信息安全監(jiān)管職責(zé)作出明確規(guī)定。要求核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)，應(yīng)遵循保障安全、促進(jìn)發(fā)展的原則，建立健全網(wǎng)絡(luò)和信息安全防護(hù)體系，提升安全保障水平，確保與信息化工作同步推進(jìn)；應(yīng)依法履行網(wǎng)絡(luò)和信息安全保護(hù)義務(wù)，對本機(jī)構(gòu)網(wǎng)絡(luò)和信息安全負(fù)責(zé)，相關(guān)責(zé)任不因其他機(jī)構(gòu)提供產(chǎn)品或者服務(wù)進(jìn)行轉(zhuǎn)移或者減輕。

　　《辦法》還要求信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)遵循技術(shù)安全、服務(wù)合規(guī)的原則，為證券期貨業(yè)務(wù)活動提供產(chǎn)品或者服務(wù)，與核心機(jī)構(gòu)、經(jīng)營機(jī)構(gòu)共同保障行業(yè)網(wǎng)絡(luò)和信息安全，促進(jìn)行業(yè)信息化發(fā)展。勤勉盡責(zé)，對提供產(chǎn)品或者服務(wù)的安全性、合規(guī)性承擔(dān)責(zé)任。

　　強(qiáng)化信息保護(hù)

　　在資本市場上，如果說有相對的兩方，則可以認(rèn)為一是提供產(chǎn)品和服務(wù)的一方，一是使用這些產(chǎn)品和服務(wù)的一方。在網(wǎng)絡(luò)和信息服務(wù)方面，一方是核心機(jī)構(gòu)、經(jīng)營機(jī)構(gòu)、網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)（上市公司信息問題除外），另一方則是投資者，其中又有個人投資者和機(jī)構(gòu)投資者之分。相對于機(jī)構(gòu)投資者，個人投資者數(shù)量多達(dá)上億，資金數(shù)量相對較少，抗風(fēng)險能力相對較低。據(jù)證監(jiān)會統(tǒng)計，個人投資者中絕大多數(shù)人投資金額不足百萬元。即便如此，他們的個人信息卻相當(dāng)豐富，涉及每個人切身利益，因此對個人投資者個人信息的保護(hù)就顯得尤為重要。

　　《辦法》第三章專章對“投資者個人信息保護(hù)”予以規(guī)定，明確要求核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，處理投資者個人信息，規(guī)范投資者個人信息處理行為，履行投資者個人信息保護(hù)義務(wù)，不得損害投資者合法權(quán)益。

　　核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)在處理投資者個人信息時，應(yīng)當(dāng)建立健全投資者個人信息保護(hù)體系，明確相關(guān)崗位及職責(zé)要求，建立健全投資者個人信息處理、安全防護(hù)、應(yīng)急處置、審計監(jiān)督等管理機(jī)制，加強(qiáng)投資者個人信息保護(hù)。

　　《辦法》規(guī)定，應(yīng)當(dāng)按照法律法規(guī)的規(guī)定及合同的約定處理投資者個人信息，明確告知投資者處理個人信息的目的、方式、范圍和隱私保護(hù)政策，不得超范圍收集和使用投資者個人信息，不得收集提供服務(wù)非必要的投資者個人信息。出賣投資者個人信息，更為法律不容。核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)利用生物特征進(jìn)行客戶身份認(rèn)證的，應(yīng)當(dāng)對其必要性、安全性進(jìn)行風(fēng)險評估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的客戶身份認(rèn)證方式，強(qiáng)制客戶同意收集其個人生物特征信息。

　　開展風(fēng)險通報

　　《辦法》的重要內(nèi)容之一體現(xiàn)在第七章“監(jiān)督管理與法律責(zé)任”，以多達(dá)十四條的篇幅進(jìn)行規(guī)定，內(nèi)容扎實豐富。據(jù)證監(jiān)會這位負(fù)責(zé)人介紹，共包括五方面的制度安排。

　　一是規(guī)定行業(yè)機(jī)構(gòu)的報告義務(wù)和流程要求；二是建立健全行業(yè)網(wǎng)絡(luò)和信息安全態(tài)勢感知工作機(jī)制，開展風(fēng)險隱患行業(yè)通報；三是明確證監(jiān)會及其派出機(jī)構(gòu)可以委托專業(yè)機(jī)構(gòu)采用滲透測試、漏洞掃描和風(fēng)險評估等方式對行業(yè)機(jī)構(gòu)開展監(jiān)督檢查；四是對重要時期的網(wǎng)絡(luò)和信息安全保障工作明確制度安排；五是依據(jù)上位法要求，結(jié)合違法違規(guī)的具體情形，規(guī)定相應(yīng)罰則，并規(guī)定創(chuàng)新容錯相關(guān)制度安排。

　　對違規(guī)行為不僅僅包括通報，還會依據(jù)相關(guān)法律法規(guī)規(guī)定進(jìn)行相應(yīng)的行政處罰。

　　據(jù)吳則濤介紹，資本市場上網(wǎng)絡(luò)信息安全事件的發(fā)生并不少見，其中被業(yè)界認(rèn)為屬于重大網(wǎng)絡(luò)信息安全事件的有多起，比如：

　　多家證券APP宕機(jī)事件。自2022年3月開始，招商證券、國信證券、華西證券、西部證券等App相繼出現(xiàn)了無法正常買賣、無法刷新行情、無法登錄等情況，相關(guān)券商受到了監(jiān)管部門的處罰，相關(guān)責(zé)任人被采取行政監(jiān)管措施，發(fā)出警示函。

　　長城證券信息安全事件。2018年7月23日，長城證券因信息安全管理和應(yīng)對存在缺陷，導(dǎo)致集中交易系統(tǒng)部分中斷10分鐘，違反了《舊版辦法》的規(guī)定。

　　網(wǎng)信證券信息系統(tǒng)故障事件。網(wǎng)信證券的集中交易系統(tǒng)于2018年12月24日中斷37分鐘，2019年2月26日綜合賬戶管理系統(tǒng)發(fā)生故障，影響交易時間累計13分鐘，這反映出公司信息系統(tǒng)存在重大風(fēng)險隱患，核心設(shè)備老舊、系統(tǒng)運維保障存在不足的問題。

　　財通證券交易時間內(nèi)運維失當(dāng)事件。財通證券的信息技術(shù)運維人員，違反所在證券公司信息安全管理規(guī)定，在交易時間對生產(chǎn)環(huán)境中的存儲過程進(jìn)行運維操作，引發(fā)了公司網(wǎng)上交易系統(tǒng)和移動終端交易系統(tǒng)客戶端登錄異常。（法治日報）