2017.05.26 谢青 卢秉
2017年5月5日,中国证监会(“证监会”)就《证券基金经营机构信息技术管理办法(征求意见稿)》(“《办法》”)开始公开征求意见,征求意见的截止日期是2017年6月4日。证监会在《网络安全法》即将于2017年6月1日生效之时公布这一征求意见稿别具意义,可谓是证券和基金行业的“网络安全新规”。
正如证监会在《办法》的起草说明(“《起草说明》”)中所介绍,《办法》的出台针对证券和基金经营机构在信息技术治理、合规风险防范、互联网风险应对方面存在的问题,但也考虑到专项业务服务机构(如下所定义)的信息安全风险,认为虽已将其纳入证监会的监管,但缺乏具体监管规范,特别强调现实中专项业务服务机构与证券和基金经营机构的信息系统广泛连接,一旦发生风险容易跨行业、跨机构传导,同时考虑将专门提供信息技术服务的第三方机构纳入监管,以弥补监管不足。
以下我们结合《起草说明》对《办法》的主要内容作一梳理,以管窥信息技术监管的原则并就《办法》中尚需明确的某些问题提出意见以供讨论。
适用范围
《办法》最引人注目的一点是适用的主体和范围。《办法》适用三类机构:
(i)证券基金经营机构(“经营机构”),指依法在境内设立的证券公司和基金管理公司,且证券公司或基金管理公司的子公司也应参照适用《办法》。
(ii)专项业务服务机构,指除经营机构外的由中国证监会认可从事证券基金相关业务活动的机构,包括基金托管人、基金销售机构、基金份额登记机构、从事证券公司客户交易结算资金存管活动的商业银行等。
(iii)信息技术服务机构,指为经营机构、专项业务服务机构从事证券基金相关业务活动提供某些信息技术服务的,根据《办法》的列举,这些信息技术服务包括:a. 重要信息系统(如下所定义)的开发、测试、集成及测评;b. 重要信息系统的运行、维护及日常安全管理;c. 重要信息系统的机房租赁;d. 中国证监会认定的其他情形。
经营机构和专项业务服务机构只有借助信息技术手段从事证券基金相关业务活动的,方受限于《办法》的规定。而信息技术服务机构则主要针对与重要信息系统有关的特定服务。对于“重要信息系统”,《办法》首先概括定义为支持经营机构关键业务功能、如出现异常将对证券市场和投资者产生重大影响的信息系统,随后列举了若干系统,包括集中交易系统、投资交易系统、网上基金销售系统、估值核算系统、投资监督系统、信息披露系统、份额登记系统、第三方存管系统、融资融券业务系统、网上交易系统、电话委托系统、移动终端交易系统、法人清算系统、具备开户、交易或者客户资料修改功能的门户网站、存放承销保荐业务工作底稿相关数据的系统,以及具备类似功能的信息系统。
期货经纪公司或为期货公司从事期货相关业务活动提供专项业务服务或信息技术服务的服务机构并不是《办法》规制的对象。我们理解,期货业目前仍按照现有的《证券期货业信息安全保障管理办法》(证监会主席令第82 号)以及《证券期货业信息安全事件报告与调查处理办法》(证监会公告〔2012〕46 号)执行,且我们预期之后证监会可能就期货业制订专门的信息技术管理办法。
按照我们对《办法》的解读,中国证券投资基金业协会登记的私募证券基金管理人(“私募管理人”)应不适用《办法》的规定。我们建议《办法》明确经营机构仅指经过证监会批准成立的证券公司和证券基金管理公司,且这两类机构的所有业务活动,包括私募业务活动和公募业务活动,均纳入《办法》的监管。此外,我们建议澄清专项业务服务机构就其为私募管理人发行的私募证券基金提供托管、销售、份额登记服务的,不适用《办法》的规定。
值得注意的是,《办法》列举的上位法包括即将于2017年6月1日生效的《网络安全法》,但《办法》并未定义证券或基金行业的“关键信息基础设施”,我们理解这尚有待国务院就关键信息基础设施的具体范围和安全保护另外制定相关办法。
信息技术治理
针对《起草说明》指出的经营机构信息技术治理存在的问题,例如部分经营机构内部未能形成有效的信息技术管理权责分配及制衡机制,信息技术财力与人力投入的数额、结构不合理,信息系统建设过度依赖外部厂商,并且缺少整体规划,《办法》规定了一系列信息技术治理的要求,例如要求经营机构保障与业务活动规模、水平相适应的信息技术投入;定期评估更新信息技术规划;持续完善信息技术管理制度和操作流程;要求经营机构必须指定或任命熟悉信息技术的高管人员负责信息技术管理工作,并设立专门的部门管理信息技术相关工作。
信息技术合规
证监会认为,经营机构信息技术应用的业务合规风险较为突出,信息技术风险不仅表现为传统的信息安全风险,还会造成业务合规风险。实践中,部分经营机构对信息系统内部流程的合规性缺乏评估,存在风险隐患。为此,《办法》将信息技术合规作为专章加以规定,要求经营机构将合规管理和风险控制的要求贯穿在信息技术管理各个环节,包括建立事前合规审查、事中风险监测、事后评估审计的信息技术合规管理机制;建立信息技术应用与风险控制措施的同步机制,要求业务信息系统必须与风险监测系统同时上线;并且针对具体业务系统特点,要求确保关键“合规点”在系统设计中落在实处。
这部分“合规点”的规定主要体现在要求经营机构遵守有关外部信息系统接入的规范;要求经营机构只能通过自身运营管理的信息系统直接接收客户交易指令,除非属于法律法规及中国证监会认可的情形;要求经营机构的信息系统具备审查账户资金及证券是否充足、监控异常交易及异常资金划转等情形的功能等,甚至要求经营机构使用电子合同的,应当将电子合同存储在特定信息系统,并可供投资者或者合同对手方查询、下载。《办法》还要求经营机构每年至少开展一次对信息技术管理工作的全面内部审计以及每年至少开展一次对风险监测的有效性评估。上述内部审计报告的保存期限不得少于二十年。
系统部署和信息存放
信息技术安全管理包括技术管理、数据安全管理和业务连续性管理。就数据安全管理而言,《办法》要求经营机构将重要信息系统在境内独立部署,并将证券基金经营活动中收集和产生的重要数据和客户信息存放在境内,但下列情形除外:(i)经营机构依法在境外交易场所进行证券交易、衍生品交易或与境外交易对手方开展场外证券交易、场外衍生品交易的相关信息系统及相关重要数据、客户信息;(ii)经营机构依法进行外汇交易的相关信息系统及相关重要数据、客户信息;(iii)法律法规及中国证监会认可的其他情形。需要注意的是,这一要求实际比国家互联网信息办公室于2017年4月11日公布《个人信息和重要数据出境安全评估办法(征求意见稿)》还要严格。我们建议证监会概括性地允许因合理的业务需要向境外提供相关信息和数据的情形,前提是信息和数据的接收方应采取适当的保密和安全保护措施。
对专项业务服务机构监管
《办法》第一次专门针对专项业务服务机构做出详细的监管规定。根据《办法》的规定,专项业务服务机构应建立专项业务信息系统与其他业务信息系统之间的风险隔离机制,妥善部署、存放专项业务信息系统及其数据。但目前尚不清楚这一分离如何实施以及会如何影响现有业务。从专项业务服务机构通常也为大量私募基金提供服务的现实情况看,这些对专项业务服务机构的监管要求以及相应增加的运营成本也可能对与私募基金业务相关的服务接收方产生影响。《办法》还要求专项业务服务机构参照证监会关于经营机构信息安全事件报告与调查处理的规定,建立信息安全事件的分级响应、向中国证监会及其派出机构报告其报告和调查处理机制。
对信息技术服务机构监管
《办法》明确了经营机构委托信息技术服务机构提供信息技术服务的范围和选取要求。对信息技术服务机构监管的重点之一是,除中国证监会认可的情形外,经营机构、专项业务服务机构不得将重要信息系统的运行、维护或日常安全管理交由信息技术服务机构独立实施。但《办法》尚未进一步界定何谓独立实施,以及委托方应当确保何种水平的控制。《办法》还规定了经营机构、专项业务服务机构选择信息技术服务机构时需要重点关注的事项,包括信息技术服务机构的住所地是否在中国境内;信息技术服务机构及其控股股东、实际控制人或者其控制的关联人最近一年内是否存在与证券期货业务活动相关的重大违法违规记录等。《办法》列举了委托信息技术服务机构提供信息技术服务的禁止性要求,例如禁止信息技术服务机构为经营机构、专项业务服务机构提供信息技术服务的同时从事证券基金业务活动相关的业务操作等。
报备义务
中国证监会及其派出机构是《办法》下的监管机构,中国证券业协会、中国证券投资基金业协会以及证券交易所是自律监管机构。《办法》规定的向监管机构的报备义务包括备案义务、定期的报告义务和特殊情形下的报告义务。例如,经营机构、专项业务服务机构在开展以下任一业务活动时向证监会备案:新建关键信息基础设施,使用外部购入或委托建设的证券基金交易相关信息系统,或者提供外部信息系统接入。《办法》规定了经营机构、专项业务服务机构的年度报告义务,以及要求信息技术服务机构按照证监会的要求定期报送资料。《办法》还规定了专项业务服务机构在发生系统事故情况下的报告义务以及信息技术服务机构存在可能影响业务持续正常运行情形的报告义务。