证券期货业网络和信息安全及数据保护合规指引(上)——监管目标及立法亮点
证券期货业网络和信息安全及数据保护合规指引(上)——监管目标及立法亮点
2023年5月1日,中国证券监督管理委员会(以下简称“中国证监会”)制定并发布的《证券期货业网络和信息安全管理办法》(以下简称“《办法》”)正式实施,《办法》为证券公司、期货公司、基金公司等主体的网络和信息安全、投资者个人信息保护、信息系统分类分级管理等提出明确要求。2023年6月9日,中国证券投资基金业协会(以下简称“中基协”)与中国证券业协会(以下简称“中证协”)分别发布了《基金管理公司网络和信息安全三年提升计划(2023-2025)》及《证券公司网络和信息安全三年提升计划(2023-2025)》,再次将证券公司、基金公司的网络和信息安全保障要求提升至新高度。此前,针对证券基金经营机构的网络与信息安全、数据安全等问题,中国证监会曾在2021年发布《证券基金经营机构信息技术管理办法》(以下简称“《信息技术管理办法》”),为证券基金公司保障网络安全、数据安全以及规范处理客户资料等工作提出明确且细致的基线。有关具体详细解读可参见我们此前发布的《证券基金公司网络安全与数据保护的合规指引》 。
近年来,人工智能、大数据、云计算等技术快速发展,证券、基金、期货业(简称“证券期货业”)对数据安全、网络技术以及各类不同功能的信息系统依赖程度日益提高。作为国家金融领域的重要支柱,证券期货业面临的数据安全、隐私保护、关键信息基础设施管理等合规问题,在金融复杂交易的背景下,更加具有其紧迫性和挑战性。例如,2021年11月8日,美国基金证券交易平台罗宾汉(Robinhood)发生重大数据泄漏事件,超过700万客户的数据遭泄露,泄露数据类型包括客户电子邮件地址、姓名、邮政编码以及出生日期。该事件的发生不仅影响证券交易市场稳定,同时也凸显出证券行业网络安全、信息系统安全隐患、应急预案不完备、缺乏有效的合规管理措施等问题。
在“三法一条例”相继生效实施的背景下,原有《信息技术管理办法》的合规要求难以覆盖日益复杂的网络安全和数据保护问题,于是《办法》应运而生。本文将总结《办法》的亮点内容,并结合近期颁布实施的部门规章及行业标准,重点梳理和解读《办法》中证券期货业网络和信息安全、数据保护相关合规义务,形成合规指引。期望本指引能够为证券期货业各类相关主体(包括但不限于核心机构[1]、经营机构[2]、证券期货业关键信息基础设施运营者(以下简称“CIIO”)、信息技术系统服务机构[3]等)开展合规工作提供参考。
一、哪些企业会被纳入《办法》的监管范畴?
(一)直接适用主体的范围扩大
相较于2021年发布的《信息技术管理办法》,《办法》的适用范围更加广泛。适用范围的扩大体现出精细化监管的趋势,《办法》中对各类主体明确了相应的合规义务,这将对各类主体的合规水平提出更高要求。
《办法》与《信息技术管理办法》中直接适用主体的范围差别如下:
点击可查看大图
从整体上看,《办法》的适用主要扩大了对交易所和期货公司的监管;而对于基金公司,其所监管的对象主要为公募基金,私募基金属于参照适用(具体见下);同时《办法》也增加了对证券业下游服务商的监管,即信息技术系统服务机构属于直接被监管的对象。结合《办法》第七十一条针对“信息技术系统服务机构”的定义(为证券期货业务活动提供重要信息系统的开发、测试、集成、测评、运维及日常安全管理等产品或者服务的机构)以及《证券服务机构从事证券服务业务备案管理规定》第九条针对信息技术系统服务机构备案的要求,我们理解,《办法》所列信息技术系统服务机构目前有一个相对确定的范围,即指的是已经在证监会完成备案的机构。
(二)参照适用的主体
值得关注的是,《办法》第七十四条明确如下五类主体应当根据相关信息系统网络和信息安全管理的特点,参照适用《办法》,体现出监管要求的全面化趋势:
境内开展证券公司客户交易结算资金第三方存管业务、期货保证金存管业务的商业银行;
证券投资咨询机构。截至2023年5月,中国证监会核准的证券投资咨询机构共计79家,例如鼎信汇金、指南针、中富金石等。
基金托管机构。截至2023年5月,中国证监会备案或注册的证券投资基金托管人共计62家。
从事公开募集基金的销售、销售支付、份额登记、估值、投资顾问、评价等基金服务业务的机构。此类机构数量较多,范围较广,基本上涵盖了为公募基金提供下游服务的有关企业。
从事证券期货业务活动的经营机构子公司。借助自身运维管理的信息系统从事证券投资活动且存续产品涉及基金份额持有人账户合计一千人以上的私募证券投资基金管理人。结合《证券投资基金法》针对单支私募基金合格投资者不超过200人的人数限制,符合前述要求参照使用《办法》的私募基金管理人需具备多支存续私募基金,且自身具备系统运维能力,此类机构通常指向的是大型的私募基金管理公司。
《办法》明确上述机构为参照适用。根据人大等立法部门的解释,“参照”一般用于没有直接纳入法律调整范围,但是又属于该范围逻辑内涵自然延伸的事项。因此参照适用比直接适用的强制性要弱不少,我们建议上述机构在考虑适用《办法》时,与监管部门进一步沟通确认。
二、亮点总结:《办法》七大亮点
(一)紧密衔接上位法最新要求
《办法》紧密衔接《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等上位法的最新要求,进一步健全证券期货业网络和信息安全管理监管制度体系。在网络和信息安全管理组织、内控制度方面,基于《网络安全法》中关于网络安全负责人、网络安全等级保护制度、制定内部安全管理制度和操作规程、网络安全应急预案的要求细化针对核心机构和经营机构的管理要求;在投资者个人信息保护方面,结合《数据安全法》《个人信息保护法》的要求,强调投资者个人信息的全流程安全管理以及对外提供等特殊场景下明确告知、单独同意等合规要求;在关键信息基础设施(以下简称“CII”)管理方面,《办法》在《关键信息基础设施安全保护条例》的基础上,细化证券期货业CIIO的管理责任,如应为每个CII指定网络和信息安全管理责任人、变更或下线移除CII时应组织开展专家评审、采购与CII密切相关的网络产品或服务投入使用后可能影响国家安全的应及时申报网络安全审查等。
(二)明确主体的分类分级责任设置
《办法》第十条、第十一条明确核心机构和经营机构的网络和信息安全管理工作责任主体及部门或机构设置要求,将核心机构和经营机构的主要责任人、网络和信息安全工作分管领导分别设置为第一责任人和直接责任人,要求核心机构和经营机构领导层充分重视并且负责网络和信息安全工作。实践中,核心机构和经营机构的主要责任人通常为理事长、董事长所对应的人员;分管网络和信息安全工作的领导班子成员或者高级管理人员通常为总经理、副总经理所对应的人员,结合《网络安全法》第二十一条和第五十九条,我们认为该网络和信息安全分管领导与《网络安全法》中明确的“网络安全负责人”可以合并设置。在网络和信息安全工作具体执行中,《办法》要求核心机构和经营机构一方面应当建立响应工作协调和决策机制,以保障第一责任人和直接责任人履行职责;另一方面,应当指定或者设立网络和信息安全工作牵头部门或者机构,该部门或者机构将在网络和信息安全工作分管领导的直接领导与管理下,负责管理重要信息系统和相关基础设施、制定网络安全应急预案、组织应急演练等具体工作的落地开展。
图1:证券期货业网络和信息安全管理主体的分类分级责任设置
(三)设置信息系统的分类分级保护原则和要求
根据承载的证券期货业业务活动关键程度不同、出现系统服务异常或数据泄露等情形造成的影响主体、影响范围的不同,《办法》基于信息系统重要程度和业务影响情况从低到高区分为一般信息系统、重要信息系统以及CII,并在不同的章节明确核心机构和经营机构针对一般信息系统、重要信息系统和CII的不同的网络和信息安全管理要求。
针对一般信息系统,主要要求核心机构和经营机构应履行确保系统架构合理、定级备案、等级测评、安全建设等通用性义务;针对涉及交易、开户、结算、通信等环节的重要信息系统,核心机构和经营机构应当进行重点管理,包括但不限于上线、变更、下线时进行充分的技术和业务风险评估、重大升级变更时进行联网测试、年度系统压力测试等;针对CII,《办法》以专章细化证券期货业CIIO的具体合规要求,以落地执行CIIO应当履行的具体合规义务。
(四)安全要求和内控体系细化
相较于2021年发布的《信息技术管理办法》以及相对应的《证券法》《期货和衍生品法》《证券投资基金法》《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等上位法的要求,《办法》中对核心机构、经营机构、证券期货业CIIO、信息技术系统服务机构设置的合规义务要求更加具体、细化,尤其针对核心机构和经营机构,通过量化信息系统技术要求(如针对性能容量、网络带宽的要求等)、合规义务履行时间要求(如针对应急演练、网络和信息安全监测和风险评估、业务日志和系统日志留存、网络和信息安全工作专项评估等工作的时间要求等)等方式进行精细化监管。《办法》中对核心机构和经营机构的内控体系建设要求可总结为三大体系、两类制度以及七种机制(详见本指引中篇“一、(二)体系、机制与制度构建”部分的具体分析),更加强调内控管理要求的体系化和有效性。
(五)严格上下游供应商管理
在证券期货业领域,为核心机构和经营机构提供信息技术产品和服务的供应商范围十分广泛,包括但不限于重要信息系统(如开户、交易、结算、通信等系统)相关技术和产品服务供应商,人脸识别服务供应商、身份认证服务供应商、网站或App等产品开发供应商等等。针对不同类别的供应商,《办法》第二十二条、第二十三条分别提出不同的合规义务要求。一方面是针对信息技术产品和服务供应商的通用性管理要求,核心机构和经营机构应当建立健全供应商管理机制,明确供应商的准入标准、采购与持续评估机制、风险管理措施、应急处置机制等;同时,核心机构和经营机构应当与供应商签署合同及保密协议,明确供应商保障网络和信息安全的权利义务及其安全事件应急响应权责。另一方面是针对提供重要信息系统相关产品或服务供应商的备案管理要求,为核心机构和经营机构提供重要信息系统相关产品或服务的供应商,应当依法作为信息技术系统服务机构向中国证监会备案。
(六)加强投资者个人信息保护
在证券期货业领域中,交易、开户、结算、通信等各环节以及对应系统中涉及海量投资者个人信息(如身份信息、风险评估信息等)的处理,此类信息敏感程度高,往往涉及银行账户、鉴别信息、征信信息、身份信息等,且核心机构和经营机构均掌握海量投资者个人信息,一旦泄露将引造成证券期货市场震荡。基于《数据安全法》和《个人信息保护法》的针对个人信息保护的严格要求,《办法》结合证券期货业的特点,设置了“投资者个人信息保护”专章,加强投资者的个人信息保护。除要求核心机构和经营机构加强投资者个人信息处理的全流程合规管理、建立和完善投资者个人信息保护体系和管理机制的基本要求外,《办法》针对向第三方机构提供投资者个人信息、在网络安全防护边界外处理投资者个人信息(如通过短信、邮件等非自主运营渠道发送投资者个人信息),以及利用生物特征开展客户身份认证(如开户、登录等场景)等重点场景明确单独同意、数据脱敏、数据加密、必要性与安全性风险评估等具体合规义务,体现出全流程保护与重点场景重点防范相结合的合规监管要求。
(七)精细灵活设置法律责任
《办法》针对核心机构、经营机构、信息技术系统服务机构以及证券期货业CIIO的不同违法违规事项设置不同的法律责任,基于《办法》的网络和信息安全保障原则,处罚的上位法依据大多指向《网络安全法》。值得关注的是,《办法》第七十条规定金融创新容错相关制度安排,明确了如下从轻、减轻或免于处罚的情形,体现了对金融科技创新机制和信息技术应用创新机制的包容和鼓励:
从轻或减轻处罚:核心机构和经营机构参与资本市场金融科技创新机制或者信息技术应用创新机制,相关项目发生网络安全事件,相关机构处置得当,积极消除不良影响的;
免于处罚:核心机构和经营机构参与资本市场金融科技创新机制或者信息技术应用创新机制,相关项目发生网络安全事件,相关机构处置得当,未对证券期货市场产生不良影响的。
下期预告
核心机构和经营机构应当遵循保障安全、促进发展的基本原则开展网络和信息安全工作,依法履行网络和信息安全及数据保护的相关合规义务。《办法》强调了核心机构和经营机构对本机构网络和信息安全及数据保护的主体责任,我们将在《证券期货业网络和信息安全及数据保护合规指引(中)——重点解读:核心机构和经营机构合规义务》中,梳理并解读核心机构与经营机构应当履行的具体合规义务。
[注]