证券期货业网络和信息安全及数据保护合规指引(下)——重点解读:信息技术系统服务机构和证券期货业CIIO合规义务
证券期货业网络和信息安全及数据保护合规指引(下)——重点解读:信息技术系统服务机构和证券期货业CIIO合规义务
上期回顾
在《证券期货业网络和信息安全及数据保护合规指引(中)——重点解读:核心机构和经营机构合规义务》中,我们全面梳理并为读者呈现了核心机构和经营机构的网络和信息安全及数据保护合规义务。
在证券期货业领域中,信息技术系统服务机构作为重要信息系统的供应商,相较于一般信息系统服务机构应承担更严格的合规义务。而核心机构和经营机构的信息系统和基础设施一旦监管部门认定为CII,核心机构和经营机构将成为CIIO,也将承担更严格的法律义务。对此,在本篇中,我们将重点梳理并解读信息技术系统服务机构及证券期货业CIIO应当履行的合规义务,以期为该两类主体开展网络和信息安全及数据保护工作提供有效合规指引。
一、信息技术系统服务机构之合规义务
《证券期货业网络和信息安全管理办法》(以下简称“《办法》”)中规定的信息技术系统服务机构指的是为证券期货业务提供重要信息系统开发、测试、集成、测评、运维及日常安全管理等产品或者服务的机构。前文我们已经针对重要信息系统的合规要求进行了详细的说明,我们理解,信息技术系统服务机构作为重要信息系统的供应商,相较于一般信息系统服务机构应承担更严格的合规义务。《办法》从备案、安全保障以及合规体系构建等方面对信息技术系统服务机构提出了特殊的合规要求。信息技术系统服务机构应当遵循技术安全、服务合规的基本原则,勤勉尽责,并对产品和服务的安全性和合规性承担责任,与核心机构、经营机构共同促进行业健康发展。
(一)备案管理
根据《证券法》和《期货和衍生品法》,证券期货业的服务机构为核心机构和经营机构提供服务的,应向证监会进行备案。信息技术系统服务机构应先行履行备案义务,方可提供重要信息系统的相关服务,核心机构和经营机构也应督促其履行备案义务。
此外,值得关注的是,《办法》将提供重要信息系统相关产品或者服务的其他供应商,也视为信息技术系统服务机构进行管理,此类供应商也应向中国证监会履行备案义务。
(二)安全保障
《办法》要求信息技术系统服务机构在发现网络和信息安全风险隐患的,与核心机构、经营机构履行同等的法律义务。即,发现网络和信息安全产品或者服务存在安全缺陷、安全漏洞等风险隐患的,应当及时核实并加固整改,如上述风险事件可能对证券期货业网络和信息安全平稳运行产生较大影响的,应当向中国证监会及其派出机构报告。
此外,对于核心机构和经营机构发生的网络安全事件,信息技术系统服务机构应当协助其开展信息系统故障排查、修复等工作,并及时告知使用同类产品或者服务的核心机构和经营机构,配合开展风险排查和整改工作。该义务对信息技术系统服务机构提出了较高的要求,即对于同一信息系统的风险事件,信息技术系统服务机构有义务告知使用该产品的服务的其他核心机构或经营机构,避免同类型风险事件发生,否则可能将承担相应的法律责任。
(三)合规体系构建
《办法》从制度、人员以及管理机制方面对信息技术系统服务机构提出了要求:
在制度层面,应建立网络和信息安全管理制度。
在人员层面,需配置相应的安全、合规管理人员。
在机制层面,应建立与提供产品或者服务相适应的网络和信息安全管理机制。
此外,值得关注的是,对于信息技术系统服务机构参加资本市场金融科技创新机制的情况,信息技术系统服务机构应持续优化技术服务水平,增强安全合规管理能力。
二、证券期货业CIIO之合规义务
核心机构和经营机构的信息系统和基础设施一旦监管部门认定为CII,核心机构和经营机构将成为CIIO,CIIO将承担更严格的法律义务。《关键信息基础设施安全保护条例》针对CIIO的责任义务进行了原则性的规定,在此基础上,《办法》针对证券期货业CIIO提出了特殊的合规要求。
(一)安全保障
《办法》要求证券期货业CIIO者应当按照法律法规及证监会的有关规定,对CII强化安全管理措施、技术防护及其他必要手段,保障经费投入,确保CII安全稳定运行,维护数据的完整性、保密性和可用性。
此外,证券期货业CIIO需做好数据备份工作,建设同城和异地数据备份设施及灾难备份中心,每天至少备份数据一次,每季度至少对数据备份进行一次有效性验证。
(二)组织机构和人员设置
《办法》针对CIIO从组织机构和人员考核方面提出了明确的要求:
在组织机构层面,应指定专门机构或者部门负责CII安全保护管理工作,依法认定网络安全关键岗位。
在人员安排层面,应为每个CIIO指定网络和信息安全管理责任人,配备充足的网络和信息安全人员,并对负责人和关键岗位人员进行安全背景审查。此外,CII运营安全保护情况也应纳入第一责任人、直接责任人和相关人员的责任考核机制。
(三)安全保护措施
针对证券期货业CII运行的安全保护,《办法》对CIIO提出了更明确的要求,具体如下:
点击可查看大图
三、法律责任
《办法》针对核心机构、经营机构、信息技术系统服务机构以及证券期货业CIIO分别规定了其违规经营应承担的法律责任,并明确了监管机构可以实施的行政处罚类型。值得特别注意的是,《办法》针对核心机构的高管以及经营机构、信息技术系统服务机构的责任人员应承担的罚款金额以及处罚类型,进行了明确的规定。除此之外,《办法》中对上述机构的法律责任大多采用了转制性规定,监管机构可根据《证券法》《期货和衍生品法》《网络安全法》《关键信息基础设施安全保护条例》等法律规定对相关机构进行处罚。
《办法》中明确规定的法律责任具体如下:
点击可查看大图
《办法》还针对核心机构和经营机构设置了从轻、减轻和免除处罚的情形,以鼓励其参与行业创新,《办法》对于核心机构和经营机构参加资本市场金融科技创新机制或者信息技术应用创新机制的,如项目发生网络安全事件,相关机构处置得当,对积极消除不良影响的从轻、减轻处罚,对未产生不良影响的免除处罚。
结语
总体来看,《办法》聚焦网络和信息安全管理,强化投资者个人信息保护,对不同的主体分别提出了监管要求,不同主体也将面临不同的法律责任。《办法》的出台是中国证监会有效落实《网络安全法》《数据安全法》以及《个人信息保护法》要求其履行的行业监管义务,未来中国证监会对于证券期货业的网络和信息安全监管将呈现常态化趋势。
我们提醒相关企业注意,由于网络和信息安全领域的监管部门较多,存在“九龙治水”的现象,而《办法》中针对的仅是证监部门作为行业主管部门,落实行业监管职责对相关企业设定了法律责任,网信部门、工信部门和公安部门也承担着相应的监管职责,未来可能发生多重执法、交叉执法的情况,企业法律责任会更加严格。鉴于《办法》已于2023年5月1日正式施行,我们建议相关企业做好自查自纠工作,持续加强自身网络和信息安全的合规管理工作,避免监管风险和行政处罚。
扫描二维码可查看
附录:证券期货业网络和信息安全及数据保护相关法律法规