证券期货业网安新规草案简评
2022.05.05 董潇 郭超 张玙诗
1、前言
2022年4月29日,中国证券监督管理委员会(“证监会”)发布了《证券期货业网络安全管理办法(征求意见稿)》(“《办法》”),并向社会公开征求意见至2022年5月29日。
近年来,证券期货行业网络安全领域立法不断, 2021年相继出台《证券基金经营机构信息技术管理办法》(2021修订版)、《证券期货业网络安全事件报告与调查处理办法》等规定,以及《证券期货业网络安全等级保护基本要求》、《证券期货业移动互联网应用程序安全检测规范》等一系列行业标准,证券期货行业的网络安全法律体系逐步形成。与此同时,《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等上位法相继落地实施,从国家立法层面提出更多原则性要求。上位法在行业的落实、以及相关行业监管规则与上位法原则的有效衔接仍待进一步完善。此外,行业机构的数字化转型不断提速,行业监管在开展信息技术服务机构备案管理、资本市场金融科技创新试点等方面的实践亦需反映行业发展的最新变化。上述大背景下,《办法》应时而生。
本文拟对《办法》的主要内容进行梳理和总结,并对重点要求进行简要分析,供证券期货业相关机构参考。
2、重点内容简述
《办法》涵盖了证券期货业网络安全监督管理体系、网络安全运行、数据安全统筹管理、网络安全应急处置、关键信息基础设施网络安全、网络安全促进与发展、监督管理与法律责任等方面的内容,对行业机构的网络安全、数据安全及个人信息保护提出了全面要求。
2.1 立法依据
《办法》的立法依据包括《证券法》、《证券投资基金法》、《期货交易管理条例》等行业监管规则,也包括《网络安全法》、《数据安全法》、《个人信息保护法》等网络安全、数据安全及个人信息保护领域的基本法律。
2.2 适用范围和适用主体
《办法》第二条规定了以下几类适用对象:
《办法》不仅适用于金融基础设施运营者、持牌经营机构,为行业提供重要信息系统相关服务的科技企业也被纳入监管范围。按照《办法》第二十条要求,信息技术服务机构需向证监会备案,此规定实际是对《证券基金经营机构信息技术管理办法》、《证券服务机构从事证券服务业务备案管理规定》相关内容的重申。
此外,《办法》第六十五条规定了应参照适用《办法》的七类主体,例如从事基金销售支付、份额登记、估值、评价等基金服务业务的机构、借助自身运维管理的信息系统从事证券投资活动且存续产品涉及投资者人数合计一千人以上的私募证券投资基金管理人等。
2.3 主管机构
《办法》第五条规定了证监会的监督管理职责,第六条明确了证监会建立集中管理、 分级负责的证券期货业网络安全监督管理体制,即证监会科技监管部门统一对证券期货业网络安全实施监督管理,其他部门配合开展相关工作;证监会派出机构对本辖区经营机构和信息技术服务机构网络安全实施监督管理。
2.4.十项网络安全重要要求
《办法》分别从网络安全运行、网络安全应急处置角度出发,对行业机构提出了具体要求。其中,核心机构和经营机构应遵守网络安全要求主要包括以下十大方面:
运行要求 | 核心机构和经营机构责任义务 |
部门及人员设置 (第十条至第十二条) |
|
网络安全等级保护 (第十四条) | 落实网络安全等级保护制度,向公安机关办理备案和变更,并将相关情况及时报告证监会及其派出机构 |
重要信息系统风险评估、测试 (第十五条) |
|
告知义务 (第十六条及第三十五条) |
|
网络安全监测预警机制及日志留存 (第十七条) |
|
数据备份 (第十八条) |
|
重要信息系统压力测试 (第十九条) |
|
网络安全风险监测预警机制及应急处置机制 (第三十条、第三十三条及三十四条) |
|
网络安全应急预案及应急演练 (第三十一条及第三十二条) |
|
培训及投资者教育 (第四十八条) |
|
需要注意的是,运营关键信息基础设施(“关基”)的核心机构和经营机构(以下合称“关基单位”)在上述要求的基础上受限于更严格的规定。该等规定主要基于《网络安全法》和《关键信息基础设施安全保护条例》进行重申和细化,总结如下:
运行要求 | 关基单位责任义务 |
部门及人员设置 (第三十七条) |
|
关基专家评审 (第三十八条) |
|
网络安全检测和风险评估 (第三十九条) | 关基单位每年至少进行一次网络安全检测和风险评估 |
网络安全审查 (第四十条) | 关基单位采购网络产品和服务的,应当依法开展网络安全审查 |
数据备份 (第四十二条) | 关基单位应建设同城和异地灾难备份中心,实现数据同步保存 |
2.5.数据安全
《办法》承接《数据安全法》,从制度机制、组织架构、数据分级分类、权限管理、质量评估、防范泄露损毁、信息发布等方面对核心机构和经营机构的数据安全管理作出了规定。
值得注意的是,《办法》还对核心数据、重要数据的处理提出如下要求:(1)核心机构和经营机构处理重要数据、核心数据的,应当依法明确数据安全负责人,指定数据安全管理机构或者部门;(2)处理重要数据的信息系统原则上应当满足三级以上网络安全等级保护要求,处理核心数据的信息系统依照有关法律法规从严保护。根据《办法》第六十二条(五)款的定义,“重要数据、核心数据是指按照《数据安全法》、国家和证券期货业有关数据分类分级保护制度,确定的重要数据、核心数据”。
明确数据安全负责人和管理机构的要求来源于《数据安全法》第27条,而等保要求则是为了落实《网络安全法》。《办法》对处理重要数据的信息系统提出等保三级要求,与此前公开的《网络数据安全管理条例(征求意见稿)》第九条相衔接。具体到证券期货行业,行业机构可参照2021年颁布的《证券期货业网络安全等级保护基本要求》、《证券期货业网络安全等级保护测评要求》开展等保工作。
2.6 个人信息保护
个人信息保护的原则性要求在《办法》中被再次重申。《办法》第二十五条规定,核心机构和经营机构应当遵循合法、正当必要和诚信原则处理投资者个人信息,履行包括但不限于以下义务:
收集个人信息,应当告知投资者个人信息处理的目的、方式和范围,并取得个人同意;
采取必要的安全技术措施存储、传输个人信息,防止个人信息泄露、篡改、丢失;
合理确定个人信息使用策略和操作权限,不得滥用个人信息;
处理证券期货账户等敏感个人信息、向他人提供或者公开个人信息的,应当取得个人的单独同意;
为履行法定职责、法定义务或者监管要求所必需,核心机构和经营机构可以在未取得个人同意的情况下,处理个人信息。
我们理解,上述要求在《个人信息保护法》项下均有体现,《办法》在已有法律要求的框架下进行了针对行业的特殊或更为细化的规定,明确了《个人信息保护法》的要求在证券期货行业的实施原则。
2.7 监管措施
在监督管理方面,《办法》明确规定了行业机构的报送义务,要求(1)核心机构、经营机构和信息技术服务机构配合证监会及其派出机构的要求提供相关资料;以及(2)核心机构和经营机构应当每年进行网络安全工作的网络安全专项评估、编制网络安全管理年报,并报送证监会及其派出机构。
此外,《办法》也提出了一些新的监管措施及创新容错机制,比如(1)明确了证监会及其派出机构可委托专业机构采用渗透测试、漏洞扫描及信息技术风险评估等方式对行业机构开展监督检查;(2)提出证监会可以组织开展证券期货业重要时期网络安全保障;以及(3)规定创新容错相关制度安排,核心机构和经营机构参加资本市场金融科技创新机制或者信息技术应用创新机制,若发生网络安全事件,在满足特定条件的情况下,可以从轻、减轻甚至免于处罚。
3、观察和建议
《办法》作为证券期货行业第一部网络安全管理相关的专门性规定,确立了行业机构网络安全管理的基本思路和原则性要求。《办法》出台后,相应的配套政策还需进一步完善,例如证券期货行业的关基认定规则、重要数据及核心数据目录、数据出境的指引等尚待颁布。届时,行业机构如何落地执行《办法》的相关要求,仍是未来实践之中的重要议题。
随着网络安全和数据治理相关的国家和行业规定逐渐完善,行业机构在关注监管动向的同时,提前做好准备,方能适时调整、迎接挑战。建议行业机构首先依据已生效的法律法规及标准,完善内部的网络安全、数据安全管理机制,按照《网络安全法》、《数据安全法》、《个人信息保护法》等上位法进行摸底排查,同时注意证券期货行业的特殊规定,例如按照《证券期货业信息安全保障管理办法》、《证券基金经营机构信息技术管理办法》等规定完善外包管理,参照《证券期货业数据分类分级指引》对数据资产进行梳理,以不断细化、落实监管要求,促进保障数字化创新。
