辛小天、杨玥祺:新规解读 证券期货业网络安全与数据合规办法

来源:德和衡律师

文章摘要
经过近一年的征询与修改,《证券期货业网络和信息安全管理办法》(以下简称“办法”)于2023年3月7日正式发布,并自2023年5月1日起施行。

经过近一年的征询与修改,《证券期货业网络和信息安全管理办法》(以下简称“办法”)于2023年3月7日正式发布,并自2023年5月1日起施行。该办法的制定是为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险。
一、适用范围
《办法》明确的义务主体包括核心机构和经营机构以及信息技术系统服务机构两类主体。核心机构和经营机构在中华人民共和国境内建设、运营、维护、使用网络及信息系统,信息技术系统服务机构为证券期货业务活动提供产品或者服务的网络和信息安全保障,适用本办法。以下为《办法》中几个重要概念的定义:
(1) 核心机构,包括证券期货交易场所、证券登记结算机构等承担证券期货市场公共职能、承担证券期货业信息技术公共基础设施运营的证券期货市场核心机构及其承担上述相关职能的下属机构。
(2) 经营机构,是指证券公司、期货公司和基金管理公司等证券期货经营机构。
(3) 信息技术系统服务机构,是指为证券期货业务活动提供重要信息系统的开发、测试、集成、测评、运维及日常安全管理等产品或者服务的机构。
(4) 重要信息系统,是指承载证券期货业关键业务活动,如出现系统服务异常、数据泄露等情形,将对证券期货市场和投资者产生重大影响的信息系统。
以下从核心机构与经营机构、信息技术系统服务机构以及关键信息基础设施运营者三个角度分别归纳各自的网络和信息安全义务。
二、核心机构与经营机构的义务
(一) 网络和信息安全义务

序号

义务

具体要求

(1)

责任主体

办法规定核心机构与经营机构是本机构网络和信息安全的负责实体,且该等安全责任不得以其他机构提供产品或服务为由进行转嫁

(2)

体系和制度建设

—应构建完善的信息技术治理架构,健全网络和信息安全管理制度体系。

—应当构建网络和信息安全防护体系与监测预警机制。

—安全教育:核心机构和经营机构应当每年至少开展一次全员网络和信息安全教育活动,提升员工网络和信息安全意识。经营机构应当定期组织开展面向投资者的网络和信息安全宣传教育活动,结合网上证券期货业务活动的特点,揭示网络和信息安全风险,增强投资者风险防范能力。

(3)

组织架构

—主责人员:应当明确主要负责人为本机构网络和信息安全工作的第一责任人,分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人。若核心机构或经营机构为证券期货业关键信息基础设施运营者的,应当将关键信息基础设施安全保护情况纳入网络和信息安全工作第一责任人、直接责任人和相关人员的责任考核机制。

—牵头机构:应当指定或者设立网络和信息安全工作牵头部门或者机构,负责管理重要信息系统和相关基础设施、制定网络安全应急预案、组织应急演练等工作。

(4)

系统安全和保障

—重要信息系统的特殊保护要求:除要求落实与报送网络安全等级保护工作开展情况。《办法》第七十一条/(五)对重要信息系统进行了概念性的定义,但在第十六条及第二十六条为重要信息系统的具体判断提供了指引——即核心机构的交易、行情、开户、结算、风控、通信等为重要信息系统。同时对重要信息系统的上线、变更以及移除操作都提出了要求,包括技术和业务风险评估与防控、应急处置、变更时段要求、测试要求,业务日志与系统日志保存时间、备份地址与备份频率要求、定期及不定期开展重要信息系统压力测试要求、供应商准入机制、信息技术产品和服务供应商的保密以及网络安全责任要求等。

—暂停或终止服务前的告知义务:暂停或终止提供前应通过公告或定向推送向投资者履行告知义务。

—系统自主开发能力:要求核心机构应当对重要信息系统具有自主开发能力,掌握执行程序和源代码并安全可靠存放。对经营机构则是提出了倡导性的自主研发要求。

—网络和信息安全管理年报报送:核心机构和经营机构应当于每年4月30日前,完成对上一年网络和信息安全工作的专项评估,编制网络和信息安全管理年报,报送中国证监会及其派出机构,年报内容包括但不限于网络和信息安全治理情况、人员情况、投入情况、风险情况、处置情况和下一年度工作计划等。


(二) 个人信息保护要求

序号

义务

具体要求

(1)

体系建设

应当建立健全投资者个人信息保护体系,明确相关岗位及职责要求,建立健全投资者个人信息处理、安全防护、应急处置、审计监督等管理机制。通过隐私政策等获得个人投资者的授权同意。

(2)

对外提供前的告知同意

应当依法依规向第三方机构提供投资者个人信息,除履行法定职责或者法定义务的情形外,应取得投资者个人单独同意。告知内容包括处理目的、处理方式、个人信息种类、保存期限、保护措施以及相关方的权利和义务等。

(3)

提供敏感信息的脱敏要求

通过短信、邮件等非自主运营渠道发送投资者敏感个人信息的,应当将投资者账号信息、身份证号码等敏感个人信息进行脱敏处理。

(4)

生物特征信息的使用要求

利用生物特征进行客户身份认证的,应当对其必要性、安全性进行风险评估,不得将生物特征作为唯一的客户身份认证方式,强制客户同意收集其个人生物特征信息。


(三) 网络和信息安全应急处置

序号

义务

具体要求

(1)

发现与报告义务

发现网络和信息安全产品或者服务存在安全缺陷、安全漏洞等风 险隐患的,应当及时核实并加固整改;可能对证券期货业网络和 信息安全平稳运行产生较大影响的,应当向中国证监会及其派出机构报告。

(2)

建立健全网络安全应急预案

明确应急目标、应急组织和处置流程,应急场景应当覆盖网络安全事件、自然灾害和公共卫生事件、本机构网络和信息安全相关重大人事变动、主要信息技术系统服务机构退出等情形。

(3)

网络安全应急演练与报告

核心机构应当组织与本机构信息系统和网络通信设施相关联主体开展网络安全应急演练,每年至少开展一次, 并于演练后 15 个工作日内将相关情况报告中国证监会。核心机构和经营机构应当定期开展网络安全应急演练,并形成应急演练报告存档备查。

(4)

配合监管机构调查处理

应当配合中国证监会及其派出机构对网络安全事件进行调查处理,及时组织内部调查,完成 问题整改,认定追究事件责任,并按照有关规定报告中国证监会及其派出机构。

(5)

网络安全事件后的处置措施

发生网络安全事件,对投资者造成影响的,应当及时通过官方网站、客户交易终端、电话或者邮件等有效渠道通知相关方可以采取的替代方式或者应急措施,提示相关方防范和应对可能出现的风险。


三、信息技术系统服务机构的网络和信息安全义务

序号

义务

具体要求

(1)

制度建设

应当建立网络和信息安全管理制度,配备相应的安全、合规管理人员。

(2)

供应商备案义务

供应商为核心机构和经营机构提供重要信息系统相关产品或者服务的,应当依法作为信息技术系统服务机构向中国证监会备案。

(3)

发现与报告义务

发现网络和信息安全产品或者服务存在安全缺陷、安全漏洞等风险隐患的,应当及时核实并加固整改;可能对证券期货业网络和信息安全平稳运行产生较大影响的,应当向中国证监会及其派出机构报告。

(4)

配合风险排查与整改的义务

信息技术系统服务机构应当协助开展信息系统故障排查、修复等工作,并及时告知使用同类产品或者服务的核心机构和经营机构,配合开展风险排查和整改工作。


四、 关键信息基础设施安全保护
《办法》并未对关键信息基础设施运营者进行定义,企业应当参照《关键信息基础设施安全保护条例》自行进行鉴别与认定,并履行如下关键信息基础设施运营者的义务。

序号

义务

具体要求

(1)

更严格与细化的机构职责

证券期货业关键信息基础设施运营者应当指定专门机构或者部门负责关键信息基础设施安全保护管理工作,为每个关键信息基础设施指定网络和信息安全管理责任人,依法认定网络安全关键岗位,配备充足的网络和信息安全人员,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。

(2)

网络和信息安全责任人的责任范围更广

证券期货业关键信息基础设施运营者应当将关键信息基础设施安全保护情况纳入网络和信息安全工作第一责任人、直接责任人和相关人员的责任考核机制。

(3)

新建、变更、移除网络设施或信息系统的特殊要求

新建承载关键业务的重要网络设施、信息系统等投入使用前应当进行安全检测和风险评估;对关键信息基础设施实施运行变更或者下线移除,可能对证券期货市场安全平稳运行产生较大影响的,应当在满足重要信息系统的新增、变更、移除操作前提下,组织开展专家评审。未通过评审的,原则上不得实施运行变更、下线移除等操作。

(4)

网络安全风险评估

应当每年至少进行一次网络和信息安全检测和风险评估,评估的内容包括但不限于:关键信息基础设施的运行情况、面临的主要威胁、风险管理情况、应急处置情况等。

(5)

采购网络产品或者服务的特殊要求

应当按照国家网络安全审查制度要求开展风险预判工作;采购网络产品或者服务与关键信息基础设施密切相关,投入使用后可能影响国家安全的,应当及时申报网络安全审查。

(6)

更高的容量与带宽要求

证券期货业关键信息基础设施运营者应当定期开展压力测试,确保系统性能容量在历史峰值的三倍以上,交易时段相关网络带宽应当在近一年使用峰值的两倍以上。

(7)

异地灾备要求

除满足《办法》规定的备份要求外,证券期货业关键信息基础设施运营者还应当建设同城和异地灾难备份中心,实现数据同步保存。


技术驱动法律,专业成就未来