證券期貨業(yè)網(wǎng)絡(luò)安全新規(guī)發(fā)布 不得強制客戶同意收集其個人生物特征信息
□ 本報記者 周芬棉
證監(jiān)會近日發(fā)布《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》(以下簡稱《辦法》),以取代2012年發(fā)布的《證券期貨業(yè)信息安全保障管理辦法》(以下簡稱《舊版辦法》),更好地維護資本市場安全平穩(wěn)高效運行。
《辦法》共八章七十五條,對證券期貨業(yè)網(wǎng)絡(luò)和信息安全監(jiān)督管理體系、網(wǎng)絡(luò)和信息安全運行、投資者個人信息保護、網(wǎng)絡(luò)和信息安全應(yīng)急處置、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護、網(wǎng)絡(luò)和信息安全促進與發(fā)展等諸多方面提出了要求?!掇k法》自2023年5月1日起施行。
回應(yīng)現(xiàn)實問題
出臺《辦法》,是形勢所迫。按西北政法大學(xué)教授強力的話說,既有網(wǎng)絡(luò)和信息技術(shù)加速發(fā)展的大背景,又有上位法的要求,同時也是對監(jiān)管實踐面臨新問題的回應(yīng)。
如今,網(wǎng)絡(luò)和信息安全已上升為國家戰(zhàn)略,對資本市場影響深遠。北京中銀律師事務(wù)所律師吳則濤認(rèn)為,隨著數(shù)字經(jīng)濟、數(shù)字社會、數(shù)字政府的建設(shè)加快,證券和各行各業(yè)間的數(shù)據(jù)共享與交互將會成為普遍現(xiàn)象,如何對這些數(shù)據(jù)進行全生命周期的安全保護,是證券行業(yè)的核心問題。一方面,單從技術(shù)支持方面來看,證券期貨業(yè)務(wù)與大數(shù)據(jù)、云計算、區(qū)塊鏈和人工智能等新技術(shù)應(yīng)用不斷加速融合,對關(guān)鍵核心技術(shù)的依賴程度越來越高。各類業(yè)務(wù)活動日益依賴網(wǎng)絡(luò)安全和信息化,增加了網(wǎng)絡(luò)和信息安全管理的復(fù)雜度。另一方面,證券期貨市場是一個典型的以信息為主導(dǎo)的市場,我國中小投資者數(shù)量近1.77億人,投資者個人信息往往涉及金融賬戶信息、投資能力信息等敏感內(nèi)容,這些信息一旦泄露往往會導(dǎo)致極大的經(jīng)濟損失,進而影響經(jīng)濟和社會穩(wěn)定。
的確,證券的核心交易系統(tǒng)涉及網(wǎng)上交易、融資融券、自營交易系統(tǒng)、個股期權(quán)等多個領(lǐng)域,任何與交易相關(guān)的系統(tǒng)故障不僅會影響到證券服務(wù)機構(gòu)的正常業(yè)務(wù)運轉(zhuǎn),其他業(yè)務(wù)系統(tǒng)也會受到直接或間接的影響甚至造成大面積癱瘓。
此外,近年來網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個人信息保護法、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》及證券法等法律法規(guī)的密集發(fā)布實施,對于證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理也提出了進一步要求。
嚴(yán)守安全底線
出臺《辦法》,說到底是為了保障證券期貨業(yè)網(wǎng)絡(luò)和信息安全,保護投資者合法權(quán)益,促進證券期貨業(yè)穩(wěn)定健康發(fā)展。
嚴(yán)守證券期貨業(yè)安全底線,促進科技發(fā)展,是出臺《辦法》的出發(fā)點,也是終極目標(biāo)。證監(jiān)會有關(guān)負(fù)責(zé)人稱,《辦法》以保障安全為基本原則,從建設(shè)、運維、使用網(wǎng)絡(luò)及信息系統(tǒng),到識別、監(jiān)測、防范、處置風(fēng)險等方面,構(gòu)建了完整的網(wǎng)絡(luò)和信息安全監(jiān)管框架,對行業(yè)機構(gòu)提出全方位的管理要求。
在此基礎(chǔ)上,《辦法》注重通過發(fā)展解決問題,通過技術(shù)架構(gòu)的升級優(yōu)化,提升安全保障能力,并在信息基礎(chǔ)設(shè)施建設(shè)、金融科技創(chuàng)新等方面作出制度安排。
與此同時,《辦法》覆蓋各類主體,并厘清權(quán)責(zé)邊界。首先是充分考慮證券期貨業(yè)各類主體的責(zé)任義務(wù)和業(yè)務(wù)特點,對證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運營者、核心機構(gòu)、經(jīng)營機構(gòu)及信息技術(shù)系統(tǒng)服務(wù)機構(gòu),從網(wǎng)絡(luò)和信息安全管理方面分別提出監(jiān)管要求。
其次是厘清職責(zé)分工,對監(jiān)管部門、自律組織的網(wǎng)絡(luò)和信息安全監(jiān)管職責(zé)作出明確規(guī)定。要求核心機構(gòu)和經(jīng)營機構(gòu),應(yīng)遵循保障安全、促進發(fā)展的原則,建立健全網(wǎng)絡(luò)和信息安全防護體系,提升安全保障水平,確保與信息化工作同步推進;應(yīng)依法履行網(wǎng)絡(luò)和信息安全保護義務(wù),對本機構(gòu)網(wǎng)絡(luò)和信息安全負(fù)責(zé),相關(guān)責(zé)任不因其他機構(gòu)提供產(chǎn)品或者服務(wù)進行轉(zhuǎn)移或者減輕。
《辦法》還要求信息技術(shù)系統(tǒng)服務(wù)機構(gòu)應(yīng)當(dāng)遵循技術(shù)安全、服務(wù)合規(guī)的原則,為證券期貨業(yè)務(wù)活動提供產(chǎn)品或者服務(wù),與核心機構(gòu)、經(jīng)營機構(gòu)共同保障行業(yè)網(wǎng)絡(luò)和信息安全,促進行業(yè)信息化發(fā)展。勤勉盡責(zé),對提供產(chǎn)品或者服務(wù)的安全性、合規(guī)性承擔(dān)責(zé)任。
強化信息保護
在資本市場上,如果說有相對的兩方,則可以認(rèn)為一是提供產(chǎn)品和服務(wù)的一方,一是使用這些產(chǎn)品和服務(wù)的一方。在網(wǎng)絡(luò)和信息服務(wù)方面,一方是核心機構(gòu)、經(jīng)營機構(gòu)、網(wǎng)絡(luò)服務(wù)機構(gòu)(上市公司信息問題除外),另一方則是投資者,其中又有個人投資者和機構(gòu)投資者之分。相對于機構(gòu)投資者,個人投資者數(shù)量多達上億,資金數(shù)量相對較少,抗風(fēng)險能力相對較低。據(jù)證監(jiān)會統(tǒng)計,個人投資者中絕大多數(shù)人投資金額不足百萬元。即便如此,他們的個人信息卻相當(dāng)豐富,涉及每個人切身利益,因此對個人投資者個人信息的保護就顯得尤為重要。
《辦法》第三章專章對“投資者個人信息保護”予以規(guī)定,明確要求核心機構(gòu)和經(jīng)營機構(gòu)應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則,處理投資者個人信息,規(guī)范投資者個人信息處理行為,履行投資者個人信息保護義務(wù),不得損害投資者合法權(quán)益。
核心機構(gòu)和經(jīng)營機構(gòu)在處理投資者個人信息時,應(yīng)當(dāng)建立健全投資者個人信息保護體系,明確相關(guān)崗位及職責(zé)要求,建立健全投資者個人信息處理、安全防護、應(yīng)急處置、審計監(jiān)督等管理機制,加強投資者個人信息保護。
《辦法》規(guī)定,應(yīng)當(dāng)按照法律法規(guī)的規(guī)定及合同的約定處理投資者個人信息,明確告知投資者處理個人信息的目的、方式、范圍和隱私保護政策,不得超范圍收集和使用投資者個人信息,不得收集提供服務(wù)非必要的投資者個人信息。出賣投資者個人信息,更為法律不容。核心機構(gòu)和經(jīng)營機構(gòu)利用生物特征進行客戶身份認(rèn)證的,應(yīng)當(dāng)對其必要性、安全性進行風(fēng)險評估,不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的客戶身份認(rèn)證方式,強制客戶同意收集其個人生物特征信息。
開展風(fēng)險通報
《辦法》的重要內(nèi)容之一體現(xiàn)在第七章“監(jiān)督管理與法律責(zé)任”,以多達十四條的篇幅進行規(guī)定,內(nèi)容扎實豐富。據(jù)證監(jiān)會這位負(fù)責(zé)人介紹,共包括五方面的制度安排。
一是規(guī)定行業(yè)機構(gòu)的報告義務(wù)和流程要求;二是建立健全行業(yè)網(wǎng)絡(luò)和信息安全態(tài)勢感知工作機制,開展風(fēng)險隱患行業(yè)通報;三是明確證監(jiān)會及其派出機構(gòu)可以委托專業(yè)機構(gòu)采用滲透測試、漏洞掃描和風(fēng)險評估等方式對行業(yè)機構(gòu)開展監(jiān)督檢查;四是對重要時期的網(wǎng)絡(luò)和信息安全保障工作明確制度安排;五是依據(jù)上位法要求,結(jié)合違法違規(guī)的具體情形,規(guī)定相應(yīng)罰則,并規(guī)定創(chuàng)新容錯相關(guān)制度安排。
對違規(guī)行為不僅僅包括通報,還會依據(jù)相關(guān)法律法規(guī)規(guī)定進行相應(yīng)的行政處罰。
據(jù)吳則濤介紹,資本市場上網(wǎng)絡(luò)信息安全事件的發(fā)生并不少見,其中被業(yè)界認(rèn)為屬于重大網(wǎng)絡(luò)信息安全事件的有多起,比如:
多家證券APP宕機事件。自2022年3月開始,招商證券、國信證券、華西證券、西部證券等App相繼出現(xiàn)了無法正常買賣、無法刷新行情、無法登錄等情況,相關(guān)券商受到了監(jiān)管部門的處罰,相關(guān)責(zé)任人被采取行政監(jiān)管措施,發(fā)出警示函。
長城證券信息安全事件。2018年7月23日,長城證券因信息安全管理和應(yīng)對存在缺陷,導(dǎo)致集中交易系統(tǒng)部分中斷10分鐘,違反了《舊版辦法》的規(guī)定。
網(wǎng)信證券信息系統(tǒng)故障事件。網(wǎng)信證券的集中交易系統(tǒng)于2018年12月24日中斷37分鐘,2019年2月26日綜合賬戶管理系統(tǒng)發(fā)生故障,影響交易時間累計13分鐘,這反映出公司信息系統(tǒng)存在重大風(fēng)險隱患,核心設(shè)備老舊、系統(tǒng)運維保障存在不足的問題。
財通證券交易時間內(nèi)運維失當(dāng)事件。財通證券的信息技術(shù)運維人員,違反所在證券公司信息安全管理規(guī)定,在交易時間對生產(chǎn)環(huán)境中的存儲過程進行運維操作,引發(fā)了公司網(wǎng)上交易系統(tǒng)和移動終端交易系統(tǒng)客戶端登錄異常。(法治日報)
版權(quán)聲明:凡注明“來源:中國西藏網(wǎng)”或“中國西藏網(wǎng)文”的所有作品,版權(quán)歸高原(北京)文化傳播有限公司。任何媒體轉(zhuǎn)載、摘編、引用,須注明來源中國西藏網(wǎng)和署著作者名,否則將追究相關(guān)法律責(zé)任。
- 去年我國實施消費品召回690次涉及產(chǎn)品996.6萬件
- 居民要安寧 商戶要客流 開放式小區(qū)帶來的“煩惱”何解?
- 中消協(xié)調(diào)查顯示農(nóng)村消費環(huán)境亟須改善提升 一年內(nèi)超四成農(nóng)村消費者買到過假貨
- 用豪車租賃敲詐6人被刑拘 怎能把游客當(dāng)“唐僧肉”
- 莫言、梁曉聲、劉震云一同亮相 對話基層作家
- 擔(dān)憂海底撈留宿成網(wǎng)紅項目并非瞎操心
- 聞氣味、想脫單?瓦屋山野生大熊貓集體出游
- 《白鹿原》《只此青綠》等28部舞臺精品將綻放第七屆天橋·華人春天藝術(shù)節(jié)
- 男子假裝急需轉(zhuǎn)賬周轉(zhuǎn) 女大學(xué)生被騙僅剩的生活費
- 京腔京韻傳唱老舍經(jīng)典 北京曲劇《茶館》結(jié)束全國巡演