今日(3 月 3 日)晚間,證監會官網發文稱,爲有效落實《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》相關要求,規範證券期貨業網絡和信息安全管理,防範化解行業網絡和信息安全風險,維護資本市場安全平穩高效運行,證監會制定并發布了《證券期貨業網絡和信息安全管理辦法》(以下簡稱《辦法》)。該辦法将于今年 5 月 1 日正式實施。
值得一提的是,近年來,雖然不斷加大信息技術投入力度,券商 APP" 掉鏈子 " 情況時有發生。2022 年,就有招商證券、華西證券、西部證券、國元證券等券商出現此類輿情。
證券期貨業網絡和信息安全面臨的新情況新問題逐漸凸顯
證監會指出,近年來,證券期貨業機構對網絡和信息安全的重視程度大幅提升,組織架構和制度體系持續優化,信息技術投入逐年增加,行業網絡和信息安全運行态勢總體平穩。但是,随着行業數字化智能化加速發展、網絡和信息安全上升爲國家戰略、資本市場持續深化改革等内外部條件的變化,證券期貨業網絡和信息安全面臨的新情況新問題逐漸凸顯。
2022 年 4 月 29 日~5 月 29 日,證監會就《辦法》草案向社會公開征求意見。總體看,各方對《辦法》草案的起草思路、主要内容認可度較高。經認真研究,證監會對其中部分意見予以吸收采納。
《辦法》全面覆蓋了包括證券期貨關鍵信息基礎設施運營者、核心機構、經營機構、信息技術系統服務機構等各類主體,以安全保障爲基本原則,對網絡和信息安全管理提出規範要求,主要内容包括:網絡和信息安全運行、投資者個人信息保護、網絡和信息安全應急處置、關鍵信息基礎設施安全保護、網絡和信息安全促進與發展、監督管理和法律責任等。
《辦法》共八章七十五條,對證券期貨業網絡和信息安全監督管理體系、網絡和信息安全運行、投資者個人信息保護、網絡和信息安全應急處置、關鍵信息基礎設施安全保護、網絡和信息安全促進與發展、監督管理與法律責任等方面提出了要求。
要點一:督促行業機構建立健全網絡和信息安全管理體制機制
《每日經濟新聞》對《辦法》的核心要點進行了梳理。首先,《辦法》規定,核心機構和經營機構應當具有完善的信息技術治理架構,健全網絡和信息安全管理制度體系,建立内部決策、管理、執行和監督機制,确保網絡和信息安全管理能力與業務活動規模、複雜程度相匹配。
核心機構和經營機構應當明确主要負責人爲本機構網絡和信息安全工作的第一責任人,分管網絡和信息安全工作的領導班子成員或者高級管理人員爲直接責任人。
要點二:要求核心機構、經營機構審慎開展系統新建、變更和移除工作
核心機構和經營機構新建上線、運行變更、下線移除重要信息系統的,應當充分評估技術和業務風險,制定風險防控措施、應急處置和回退方案,并對相關結果進行複核驗證。
可能對證券期貨市場安全平穩運行産生較大影響的,應當提前向中國證監會及其派出機構報告。
核心機構和經營機構不得在交易時段對重要信息系統進行變更,重要信息系統存在故障、缺陷,經評估須進行緊急修複的情形除外。
要點三:要求核心機構、經營機構建立網絡和信息安全防護體系
《辦法》規定,核心機構和經營機構應當建立本地、同城和異地數據備份設施,重要信息系統應當每天至少備份數據一次,每季度至少對數據備份進行一次有效性驗證。
核心機構和經營機構重要信息系統的性能容量應當在曆史峰值的兩倍以上。核心機構交易時段相關網絡近一年使用峰值應當在當前帶寬的百分之五十以下,經營機構交易時段相關網絡近一年使用峰值應當在當前帶寬的百分之八十以下。
要點四:明确投資者個人信息保護相關原則和措施
《辦法》規定,核心機構和經營機構應當按照法律法規的規定及合同的約定處理投資者個人信息,明确告知投資者處理個人信息的目的、方式、範圍和隐私保護政策,不得超範圍收集和使用投資者個人信息,不得收集提供服務非必要的投資者個人信息。
合同約定事項應當基于從事證券期貨業務活動的必要限度。核心機構和經營機構不得以投資者不同意處理其個人信息或者撤回同意爲由,拒絕向投資者提供服務,爲投資者提供服務所必需、履行法定職責或者法定義務等情形除外。
核心機構和經營機構利用生物特征進行客戶身份認證的,應當對其必要性、安全性進行風險評估,不得将人臉、
步态、指紋、虹膜、聲紋等生物特征作爲唯一的客戶身份認證方式,強制客戶同意收集其個人生物特征信息。
要點五:規定相應罰則,并規定創新容錯相關制度安排
核心機構違反本辦法規定的,中國證監會可以對其采取責令改正、監管談話等監管措施;對有關高級管理人員給予警告、記過、記大過、降級、撤職、開除等行政處分,并責令核心機構對其他責任人給予紀律處分。
經營機構和信息技術系統服務機構違反本辦法規定的,中國證監會及其派出機構可以對其采取責令改正、監管談話、出具警示函、責令公開說明、責令定期報告、責令增加内部合規檢查次數等監管措施;對直接責任人和其他責任人員采取責令改正、監管談話、出具警示函等監管措施;情節嚴重的,對相關機構及責任人員單處或者并處警告、十萬元以下罰款,涉及金融安全且有危害後果的,并處二十萬元以下罰款。
多家券商曾因 APP" 掉鏈子 " 受罰
近年來,證券行業不斷加大信息技術投入。根據中證協數據統計,2017 年~2020 年,證券行業在信息技術領域累計投入達 845 億元。2021 年證券行業 IT 總投入爲 303.55 億元,同比增長 26.51%。
但有關券商 APP 掉鏈子的輿情時有發生。2022 年 3 月 14 日,招商證券 App 在早盤期間出現故障,無法正常買入賣出,招商證券也因此登上微博熱搜。2022 年 3 月 15 日,有投資者反映,國信證券交易軟件出現行情不能刷新,無法看盤和交易的情況。
而在 2022 年 5 月 16 日早間,僅僅兩個月後,又有投資者在網絡上反映稱,招商證券 PC 端與 App 端系統均無法登錄,造成無法正常交易。同一天,華西證券交易系統也在早盤期間出現故障,導緻無法交易。兩個月後,2022 年 7 月 21 日,西部證券 APP 早間又出現故障。
券商 APP 頻頻宕機引起了投資者不滿,同時也讓涉事券商收到了監管罰單。
2022 年 4 月 2 日,深圳證監局就宕機事故對招商證券采取責令改正措施。7 月 12 日,證監會決定對招商證券總裁助理、首席數字官胡滔,金融科技中心總監鄧曙光,金融科技中心核心交易開發部總經理陳卓,采取出具警示函的行政監管措施。
2022 年 6 月 29 日,安徽證監局也向國元證券出具警示函。根據該警示函,國元證券手機客戶端交易軟件在系統升級、變更上線前未進行充分測試;手機客戶端交易軟件在 2022 年 6 月 13 日發生故障,未及時向證監局報告;信息安全應急預案不完備。
根據中國證券投資者保護基金有限責任公司發布的《證券公司投資者保護狀況評價報告(2022)》,"2021 年度,因交易系統穩定性被投訴的證券公司有 79 家,累計被投訴 944 次,較上一年度(1103 次)有所下降,相關證券公司應進一步做好交易系統的日常運維工作,切實保護投資者合法權益。"
每日經濟新聞
