五大要點勾勒證券期貨業(yè)網(wǎng)絡(luò)安全新規(guī):不得強制客戶同意收集其個人生物特征信息!新規(guī)將于5月1日實施
每日經(jīng)濟新聞
2023-03-03 23:00:42
近年來�,證券行業(yè)不斷加大信息技術(shù)投入,但去年多家券商曾因APP“掉鏈子”受罰��。今日����,證監(jiān)會發(fā)布《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》,當中有五大要點值得關(guān)注��。
每經(jīng)記者 王硯丹 每經(jīng)編輯 肖芮冬
今日(3月3日)晚間,證監(jiān)會官網(wǎng)發(fā)文稱�,為有效落實《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》相關(guān)要求,規(guī)范證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理�����,防范化解行業(yè)網(wǎng)絡(luò)和信息安全風險��,維護資本市場安全平穩(wěn)高效運行,證監(jiān)會制定并發(fā)布了《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》(以下簡稱《辦法》)��。該辦法將于今年5月1日正式實施����。
值得一提的是,近年來����,雖然不斷加大信息技術(shù)投入力度,券商APP“掉鏈子”情況時有發(fā)生����。2022年,就有招商證券����、華西證券���、西部證券�、國元證券等券商出現(xiàn)此類輿情����。
證券期貨業(yè)網(wǎng)絡(luò)和信息安全面臨的新情況新問題逐漸凸顯
證監(jiān)會指出��,近年來����,證券期貨業(yè)機構(gòu)對網(wǎng)絡(luò)和信息安全的重視程度大幅提升�,組織架構(gòu)和制度體系持續(xù)優(yōu)化,信息技術(shù)投入逐年增加�,行業(yè)網(wǎng)絡(luò)和信息安全運行態(tài)勢總體平穩(wěn)。但是���,隨著行業(yè)數(shù)字化智能化加速發(fā)展����、網(wǎng)絡(luò)和信息安全上升為國家戰(zhàn)略���、資本市場持續(xù)深化改革等內(nèi)外部條件的變化�����,證券期貨業(yè)網(wǎng)絡(luò)和信息安全面臨的新情況新問題逐漸凸顯���。
2022年4月29日~5月29日,證監(jiān)會就《辦法》草案向社會公開征求意見?��?傮w看�,各方對《辦法》草案的起草思路�����、主要內(nèi)容認可度較高����。經(jīng)認真研究,證監(jiān)會對其中部分意見予以吸收采納�。
《辦法》全面覆蓋了包括證券期貨關(guān)鍵信息基礎(chǔ)設(shè)施運營者、核心機構(gòu)��、經(jīng)營機構(gòu)����、信息技術(shù)系統(tǒng)服務(wù)機構(gòu)等各類主體,以安全保障為基本原則����,對網(wǎng)絡(luò)和信息安全管理提出規(guī)范要求����,主要內(nèi)容包括:網(wǎng)絡(luò)和信息安全運行���、投資者個人信息保護、網(wǎng)絡(luò)和信息安全應(yīng)急處置�����、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護����、網(wǎng)絡(luò)和信息安全促進與發(fā)展、監(jiān)督管理和法律責任等��。
《辦法》共八章七十五條���,對證券期貨業(yè)網(wǎng)絡(luò)和信息安全監(jiān)督管理體系�、網(wǎng)絡(luò)和信息安全運行����、投資者個人信息保護、網(wǎng)絡(luò)和信息安全應(yīng)急處置�����、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護、網(wǎng)絡(luò)和信息安全促進與發(fā)展�、監(jiān)督管理與法律責任等方面提出了要求。
要點一:督促行業(yè)機構(gòu)建立健全網(wǎng)絡(luò)和信息安全管理體制機制
《每日經(jīng)濟新聞》對《辦法》的核心要點進行了梳理��。首先�����,《辦法》規(guī)定�,核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當具有完善的信息技術(shù)治理架構(gòu),健全網(wǎng)絡(luò)和信息安全管理制度體系���,建立內(nèi)部決策�����、管理�����、執(zhí)行和監(jiān)督機制��,確保網(wǎng)絡(luò)和信息安全管理能力與業(yè)務(wù)活動規(guī)模�、復(fù)雜程度相匹配�。
核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當明確主要負責人為本機構(gòu)網(wǎng)絡(luò)和信息安全工作的第一責任人,分管網(wǎng)絡(luò)和信息安全工作的領(lǐng)導(dǎo)班子成員或者高級管理人員為直接責任人�。
要點二:要求核心機構(gòu)、經(jīng)營機構(gòu)審慎開展系統(tǒng)新建�����、變更和移除工作
核心機構(gòu)和經(jīng)營機構(gòu)新建上線�����、運行變更��、下線移除重要信息系統(tǒng)的��,應(yīng)當充分評估技術(shù)和業(yè)務(wù)風險���,制定風險防控措施�、應(yīng)急處置和回退方案��,并對相關(guān)結(jié)果進行復(fù)核驗證�����。
可能對證券期貨市場安全平穩(wěn)運行產(chǎn)生較大影響的��,應(yīng)當提前向中國證監(jiān)會及其派出機構(gòu)報告。
核心機構(gòu)和經(jīng)營機構(gòu)不得在交易時段對重要信息系統(tǒng)進行變更�,重要信息系統(tǒng)存在故障、缺陷����,經(jīng)評估須進行緊急修復(fù)的情形除外。
要點三:要求核心機構(gòu)���、經(jīng)營機構(gòu)建立網(wǎng)絡(luò)和信息安全防護體系
《辦法》規(guī)定���,核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當建立本地、同城和異地數(shù)據(jù)備份設(shè)施��,重要信息系統(tǒng)應(yīng)當每天至少備份數(shù)據(jù)一次���,每季度至少對數(shù)據(jù)備份進行一次有效性驗證�����。
核心機構(gòu)和經(jīng)營機構(gòu)重要信息系統(tǒng)的性能容量應(yīng)當在歷史峰值的兩倍以上��。核心機構(gòu)交易時段相關(guān)網(wǎng)絡(luò)近一年使用峰值應(yīng)當在當前帶寬的百分之五十以下��,經(jīng)營機構(gòu)交易時段相關(guān)網(wǎng)絡(luò)近一年使用峰值應(yīng)當在當前帶寬的百分之八十以下�����。
要點四:明確投資者個人信息保護相關(guān)原則和措施
《辦法》規(guī)定�����,核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當按照法律法規(guī)的規(guī)定及合同的約定處理投資者個人信息��,明確告知投資者處理個人信息的目的��、方式��、范圍和隱私保護政策�,不得超范圍收集和使用投資者個人信息�,不得收集提供服務(wù)非必要的投資者個人信息。
合同約定事項應(yīng)當基于從事證券期貨業(yè)務(wù)活動的必要限度��。核心機構(gòu)和經(jīng)營機構(gòu)不得以投資者不同意處理其個人信息或者撤回同意為由��,拒絕向投資者提供服務(wù)�����,為投資者提供服務(wù)所必需���、履行法定職責或者法定義務(wù)等情形除外�����。
核心機構(gòu)和經(jīng)營機構(gòu)利用生物特征進行客戶身份認證的���,應(yīng)當對其必要性����、安全性進行風險評估�,不得將人臉、
步態(tài)����、指紋、虹膜�����、聲紋等生物特征作為唯一的客戶身份認證方式�,強制客戶同意收集其個人生物特征信息。
要點五:規(guī)定相應(yīng)罰則����,并規(guī)定創(chuàng)新容錯相關(guān)制度安排
核心機構(gòu)違反本辦法規(guī)定的�����,中國證監(jiān)會可以對其采取責令改正����、監(jiān)管談話等監(jiān)管措施��;對有關(guān)高級管理人員給予警告��、記過�、記大過�����、降級�����、撤職���、開除等行政處分�,并責令核心機構(gòu)對其他責任人給予紀律處分����。
經(jīng)營機構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機構(gòu)違反本辦法規(guī)定的����,中國證監(jiān)會及其派出機構(gòu)可以對其采取責令改正����、監(jiān)管談話、出具警示函���、責令公開說明�、責令定期報告����、責令增加內(nèi)部合規(guī)檢查次數(shù)等監(jiān)管措施;對直接責任人和其他責任人員采取責令改正����、監(jiān)管談話、出具警示函等監(jiān)管措施�;情節(jié)嚴重的,對相關(guān)機構(gòu)及責任人員單處或者并處警告�����、十萬元以下罰款,涉及金融安全且有危害后果的���,并處二十萬元以下罰款�。
多家券商曾因APP“掉鏈子”受罰
近年來�,證券行業(yè)不斷加大信息技術(shù)投入。根據(jù)中證協(xié)數(shù)據(jù)統(tǒng)計��,2017年~2020年����,證券行業(yè)在信息技術(shù)領(lǐng)域累計投入達845億元����。2021年證券行業(yè)IT總投入為303.55億元,同比增長26.51%�。
但有關(guān)券商APP掉鏈子的輿情時有發(fā)生。2022年3月14日�,招商證券App在早盤期間出現(xiàn)故障,無法正常買入賣出���,招商證券也因此登上微博熱搜����。2022年3月15日,有投資者反映��,國信證券交易軟件出現(xiàn)行情不能刷新�����,無法看盤和交易的情況��。
而在2022年5月16日早間���,僅僅兩個月后����,又有投資者在網(wǎng)絡(luò)上反映稱�����,招商證券PC端與App端系統(tǒng)均無法登錄���,造成無法正常交易��。同一天��,華西證券交易系統(tǒng)也在早盤期間出現(xiàn)故障�,導(dǎo)致無法交易。兩個月后��,2022年7月21日����,西部證券APP早間又出現(xiàn)故障。
券商APP頻頻宕機引起了投資者不滿����,同時也讓涉事券商收到了監(jiān)管罰單。
2022年4月2日���,深圳證監(jiān)局就宕機事故對招商證券采取責令改正措施�。7月12日�,證監(jiān)會決定對招商證券總裁助理、首席數(shù)字官胡滔���,金融科技中心總監(jiān)鄧曙光,金融科技中心核心交易開發(fā)部總經(jīng)理陳卓����,采取出具警示函的行政監(jiān)管措施����。
2022年6月29日��,安徽證監(jiān)局也向國元證券出具警示函���。根據(jù)該警示函����,國元證券手機客戶端交易軟件在系統(tǒng)升級���、變更上線前未進行充分測試��;手機客戶端交易軟件在2022年6月13日發(fā)生故障��,未及時向證監(jiān)局報告���;信息安全應(yīng)急預(yù)案不完備。
根據(jù)中國證券投資者保護基金有限責任公司發(fā)布的《證券公司投資者保護狀況評價報告(2022)》���,“2021年度�����,因交易系統(tǒng)穩(wěn)定性被投訴的證券公司有79家�,累計被投訴944次,較上一年度(1103次)有所下降�����,相關(guān)證券公司應(yīng)進一步做好交易系統(tǒng)的日常運維工作����,切實保護投資者合法權(quán)益。”
封面圖片來源:視覺中國-VCG211276657648
