(資料圖片)

昨日，證監(jiān)會(huì)發(fā)布《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》（以下簡(jiǎn)稱(chēng)《辦法》），旨在規(guī)范證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理，防范化解行業(yè)網(wǎng)絡(luò)和信息安全風(fēng)險(xiǎn)，維護(hù)資本市場(chǎng)安全平穩(wěn)高效運(yùn)行。

據(jù)悉，《辦法》聚焦網(wǎng)絡(luò)和信息安全領(lǐng)域，在總結(jié)實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上，為上位法在證券期貨行業(yè)的落地實(shí)施明確了路徑?！掇k法》全面覆蓋了包括證券期貨關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)、信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)等各類(lèi)主體，以安全保障為基本原則，對(duì)網(wǎng)絡(luò)和信息安全管理提出規(guī)范要求。

《辦法》將于2023年5月1日起正式實(shí)施。證監(jiān)會(huì)將組織開(kāi)展相關(guān)專(zhuān)項(xiàng)培訓(xùn)，持續(xù)做好督導(dǎo)落實(shí)?！掇k法》規(guī)定的參照適用主體無(wú)需報(bào)送《辦法》第五十九條規(guī)定的網(wǎng)絡(luò)和信息安全管理年報(bào)。關(guān)于參照適用主體落實(shí)《辦法》第二十條規(guī)定的數(shù)據(jù)備份義務(wù)，中國(guó)證監(jiān)會(huì)將指導(dǎo)有關(guān)行業(yè)協(xié)會(huì)進(jìn)一步細(xì)化有關(guān)要求。

證券期貨業(yè)網(wǎng)絡(luò)和信息安全面臨新問(wèn)題

據(jù)了解，近年來(lái)，證券期貨業(yè)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)和信息安全的重視程度大幅提升，組織架構(gòu)和制度體系持續(xù)優(yōu)化，信息技術(shù)投入逐年增加，行業(yè)網(wǎng)絡(luò)和信息安全運(yùn)行態(tài)勢(shì)總體平穩(wěn)。但是，隨著行業(yè)數(shù)字化智能化加速發(fā)展、網(wǎng)絡(luò)和信息安全上升為國(guó)家戰(zhàn)略、資本市場(chǎng)持續(xù)深化改革等內(nèi)外部條件的變化，證券期貨業(yè)網(wǎng)絡(luò)和信息安全面臨的新情況、新問(wèn)題逐漸凸顯。

具體來(lái)看，首先，行業(yè)網(wǎng)絡(luò)和信息安全形勢(shì)嚴(yán)峻復(fù)雜。一方面，隨著大數(shù)據(jù)、云計(jì)算、區(qū)塊鏈和人工智能等新技術(shù)應(yīng)用的不斷深入，證券期貨業(yè)務(wù)與技術(shù)加速融合，各類(lèi)業(yè)務(wù)活動(dòng)日益依賴(lài)網(wǎng)絡(luò)安全和信息化，增加了網(wǎng)絡(luò)和信息安全管理的復(fù)雜度。另一方面，隨著行業(yè)機(jī)構(gòu)數(shù)字化智能化轉(zhuǎn)型的提速，信息系統(tǒng)建設(shè)任務(wù)明顯增加，上線變更操作較為頻繁，行業(yè)網(wǎng)絡(luò)和信息安全管理能力面臨更大挑戰(zhàn)；其次是《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》法律法規(guī)的上位要求有待進(jìn)一步落實(shí)；最后是自2020年以來(lái)證監(jiān)會(huì)穩(wěn)步推動(dòng)科技監(jiān)管深化改革，需要及時(shí)總結(jié)實(shí)踐經(jīng)驗(yàn)，將改革成果制度化機(jī)制化。

“基于上述新情況新問(wèn)題，有必要進(jìn)一步健全證券期貨業(yè)網(wǎng)絡(luò)和信息安全監(jiān)管制度體系，制定專(zhuān)門(mén)的部門(mén)規(guī)章，構(gòu)建證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理的體系框架，提升行業(yè)安全保障能力。”證監(jiān)會(huì)表示。

總的來(lái)看，《辦法》共有三點(diǎn)起草思路。一是落實(shí)上位要求，汲取實(shí)踐經(jīng)驗(yàn)?！掇k法》聚焦網(wǎng)絡(luò)和信息安全管理，強(qiáng)化個(gè)人信息保護(hù)，結(jié)合證券期貨業(yè)特點(diǎn)，為相關(guān)法律法規(guī)在證券期貨業(yè)的有效落地，明確實(shí)施路徑，提供制度保障。同時(shí)，總結(jié)行業(yè)近年來(lái)監(jiān)管工作成效，將實(shí)踐經(jīng)驗(yàn)轉(zhuǎn)化為制度成果，固化工作機(jī)制。

二是覆蓋各類(lèi)主體，厘清權(quán)責(zé)邊界。一方面，充分考慮證券期貨業(yè)各類(lèi)主體的責(zé)任義務(wù)和業(yè)務(wù)特點(diǎn)，對(duì)證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)以及信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)，從網(wǎng)絡(luò)和信息安全管理方面分別提出監(jiān)管要求。另一方面，厘清職責(zé)分工，對(duì)監(jiān)管部門(mén)、自律組織的網(wǎng)絡(luò)和信息安全監(jiān)管職責(zé)做出明確規(guī)定。

三是嚴(yán)守安全底線，促進(jìn)科技發(fā)展?！掇k法》以保障安全為基本原則，從建設(shè)、運(yùn)維、使用網(wǎng)絡(luò)及信息系統(tǒng)，到識(shí)別、監(jiān)測(cè)、防范、處置風(fēng)險(xiǎn)等方面，構(gòu)建了完整的網(wǎng)絡(luò)和信息安全監(jiān)管框架，對(duì)行業(yè)機(jī)構(gòu)提出全方位的管理要求。在此基礎(chǔ)上，《辦法》還注重通過(guò)發(fā)展解決問(wèn)題，通過(guò)技術(shù)架構(gòu)的升級(jí)優(yōu)化，提升安全保障能力，并在信息基礎(chǔ)設(shè)施建設(shè)、金融科技創(chuàng)新等方面作出制度安排。

相關(guān)核心機(jī)構(gòu)應(yīng)保障資源投入防范信息泄露與損毀

據(jù)悉，《辦法》共八章七十五條，對(duì)證券期貨業(yè)網(wǎng)絡(luò)和信息安全監(jiān)督管理體系、網(wǎng)絡(luò)和信息安全運(yùn)行、投資者個(gè)人信息保護(hù)、網(wǎng)絡(luò)和信息安全應(yīng)急處置、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、網(wǎng)絡(luò)和信息安全促進(jìn)與發(fā)展、監(jiān)督管理與法律責(zé)任等方面提出了要求。

具體來(lái)看，《辦法》厘清了核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)等行業(yè)機(jī)構(gòu)的責(zé)任邊界。其中，核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)遵循保障安全、促進(jìn)發(fā)展 的原則，建立健全網(wǎng)絡(luò)和信息安全防護(hù)體系，提升安全保障水平，確保與信息化工作同步推進(jìn)，促進(jìn)本機(jī)構(gòu)相關(guān)工作穩(wěn)妥健康發(fā)展。信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)應(yīng)當(dāng)遵循技術(shù)安全、服務(wù)合規(guī)的原則，為證券期貨業(yè)務(wù)活動(dòng)提供產(chǎn)品或者服務(wù)，與核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)共同保障行業(yè)網(wǎng)絡(luò)和信息安全，促進(jìn)行業(yè)信息化發(fā)展。

在網(wǎng)絡(luò)和信息安全運(yùn)行方面，《辦法》督促行業(yè)機(jī)構(gòu)建立健全網(wǎng)絡(luò)和信息安全管理體制機(jī)制，提升安全運(yùn)行保障能力。具體包括：要求核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)具有完善的治理架構(gòu)，強(qiáng)化管理層責(zé)任，指定或設(shè)立牽頭部門(mén)，保障資源投入；對(duì)核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)的信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施提出基本要求，明確等級(jí)保護(hù)義務(wù)；要求核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)審慎開(kāi)展系統(tǒng)新建、變更和移除，充分評(píng)估技術(shù)和業(yè)務(wù)風(fēng)險(xiǎn)，保證充分測(cè)試，及時(shí)履行投資者告知義務(wù)，加強(qiáng)網(wǎng)絡(luò)和信息安全日常監(jiān)測(cè)；要求核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)建立網(wǎng)絡(luò)和信息安全防護(hù)體系，明確數(shù)據(jù)備份、信息系統(tǒng)備份有關(guān)要求，常態(tài)化開(kāi)展壓力測(cè)試；強(qiáng)化核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)對(duì)供應(yīng)商的管理，督促信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)履行備案義務(wù)，提升自主研發(fā)和安全可控能力，加強(qiáng)知識(shí)產(chǎn)權(quán)保護(hù)等。

在投資者個(gè)人信息保護(hù)方面，《辦法》明確核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)處理投資者個(gè)人信息的基本原則，要求建立健全投資者個(gè)人信息保護(hù)體系和管理機(jī)制，履行保護(hù)義務(wù)；明確核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在投資者個(gè)人信息處理、共享環(huán)節(jié)的安全防護(hù)要求；同時(shí)提出核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在網(wǎng)絡(luò)安全防護(hù)邊界外處理投資者個(gè)人信息的技術(shù)要求，防范化解信息泄露風(fēng)險(xiǎn)；對(duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)收集客戶生物特征的必要性和安全性提出評(píng)估要求。

《辦法》提出，核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在本機(jī)構(gòu)網(wǎng)絡(luò)安全防護(hù)邊界以外處理投資者個(gè)人信息的，應(yīng)當(dāng)采取數(shù)據(jù)脫敏、數(shù)據(jù)加密等措施，防范化解投資者個(gè)人信息在處理過(guò)程中的泄露風(fēng)險(xiǎn)。

在網(wǎng)絡(luò)和信息安全應(yīng)急處置方面，《辦法》要求核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)建立風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警體制，加強(qiáng)日常漏洞掃描、安全評(píng)估，及時(shí)消除風(fēng)險(xiǎn)隱患；完善應(yīng)急預(yù)案的應(yīng)急場(chǎng)景和處置流程，要求定期開(kāi)展應(yīng)急演練，每年至少開(kāi)展一次，并于演練后15 個(gè)工作日內(nèi)將相關(guān)情況報(bào)告中國(guó)證監(jiān)會(huì)；強(qiáng)化網(wǎng)絡(luò)安全事件報(bào)告和調(diào)查處理工作，明確故障排查、相關(guān)方告知等工作要求。

在網(wǎng)絡(luò)和信息安全促進(jìn)與發(fā)展方面，《辦法》鼓勵(lì)核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)在依法合規(guī)的前提下，積極開(kāi)展網(wǎng)絡(luò)和信息安全技術(shù)應(yīng)用工作，運(yùn)用新技術(shù)提升網(wǎng)絡(luò)和信息安全保障水平。同時(shí)要求核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)本機(jī)構(gòu)網(wǎng)絡(luò)和信息安全宣傳與教育，每年至少開(kāi)展一次全員網(wǎng)絡(luò)和信息安全教育活動(dòng)，提升員工網(wǎng)絡(luò)和信息安全意識(shí)。提出行業(yè)協(xié)會(huì)應(yīng)當(dāng)鼓勵(lì)、引導(dǎo)網(wǎng)絡(luò)和信息安全技術(shù)創(chuàng)新與應(yīng)用，增強(qiáng)自主可控能力，組織開(kāi)展科技獎(jiǎng)勵(lì)，促進(jìn)行業(yè)科技進(jìn)步。

此外，《辦法》還依據(jù)上位要求，結(jié)合違法違規(guī)的具體情形，規(guī)定相應(yīng)罰則，并規(guī)定創(chuàng)新容錯(cuò)相關(guān)制度安排。根據(jù)規(guī)定，核心機(jī)構(gòu)違反本辦法規(guī)定的，中國(guó)證監(jiān)會(huì)可以對(duì)其采取責(zé)令改正、監(jiān)管談話等監(jiān)管措施；對(duì)有關(guān)高級(jí)管理人員給予警告、記過(guò)、記大過(guò)、降級(jí)、撤職、開(kāi)除等行政處分，并責(zé)令核心機(jī)構(gòu)對(duì)其他責(zé)任人給予紀(jì)律處分。

經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)違反本辦法規(guī)定的，中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以對(duì)其采取責(zé)令改正、監(jiān)管談話、出具警示函、責(zé)令公開(kāi)說(shuō)明、責(zé)令定期報(bào)告、責(zé)令增加內(nèi)部合規(guī)檢查次數(shù)等監(jiān)管措施；對(duì)直接責(zé)任人和其他責(zé)任人員采取責(zé)令改正、監(jiān)管談話、出具警示函等監(jiān)管措施；情節(jié)嚴(yán)重的，對(duì)相關(guān)機(jī)構(gòu)及責(zé) 任人員單處或者并處警告、十萬(wàn)元以下罰款，涉及金融安全且有危害后果的，并處二十萬(wàn)元以下罰款。

關(guān)鍵詞： 信息安全 個(gè)人信息 技術(shù)系統(tǒng)