近年来,证券行业不断加大信息技术投入,但去年多家券商曾因APP“掉链子”受罚。今日,证监会发布《证券期货业网络和信息安全管理办法》,当中有五大要点值得关注。
每经记者 王砚丹 每经编辑 肖芮冬
今日(3月3日)晚间,证监会官网发文称,为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,证监会制定并发布了《证券期货业网络和信息安全管理办法》(以下简称《办法》)。该办法将于今年5月1日正式实施。
值得一提的是,近年来,虽然不断加大信息技术投入力度,券商APP“掉链子”情况时有发生。2022年,就有招商证券、华西证券、西部证券、国元证券等券商出现此类舆情。
证监会指出,近年来,证券期货业机构对网络和信息安全的重视程度大幅提升,组织架构和制度体系持续优化,信息技术投入逐年增加,行业网络和信息安全运行态势总体平稳。但是,随着行业数字化智能化加速发展、网络和信息安全上升为国家战略、资本市场持续深化改革等内外部条件的变化,证券期货业网络和信息安全面临的新情况新问题逐渐凸显。
2022年4月29日~5月29日,证监会就《办法》草案向社会公开征求意见。总体看,各方对《办法》草案的起草思路、主要内容认可度较高。经认真研究,证监会对其中部分意见予以吸收采纳。
《办法》全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体,以安全保障为基本原则,对网络和信息安全管理提出规范要求,主要内容包括:网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理和法律责任等。
《办法》共八章七十五条,对证券期货业网络和信息安全监督管理体系、网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理与法律责任等方面提出了要求。
《每日经济新闻》对《办法》的核心要点进行了梳理。首先,《办法》规定,核心机构和经营机构应当具有完善的信息技术治理架构,健全网络和信息安全管理制度体系,建立内部决策、管理、执行和监督机制,确保网络和信息安全管理能力与业务活动规模、复杂程度相匹配。
核心机构和经营机构应当明确主要负责人为本机构网络和信息安全工作的第一责任人,分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人。
核心机构和经营机构新建上线、运行变更、下线移除重要信息系统的,应当充分评估技术和业务风险,制定风险防控措施、应急处置和回退方案,并对相关结果进行复核验证。
可能对证券期货市场安全平稳运行产生较大影响的,应当提前向中国证监会及其派出机构报告。
核心机构和经营机构不得在交易时段对重要信息系统进行变更,重要信息系统存在故障、缺陷,经评估须进行紧急修复的情形除外。
《办法》规定,核心机构和经营机构应当建立本地、同城和异地数据备份设施,重要信息系统应当每天至少备份数据一次,每季度至少对数据备份进行一次有效性验证。
核心机构和经营机构重要信息系统的性能容量应当在历史峰值的两倍以上。核心机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之五十以下,经营机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之八十以下。
《办法》规定,核心机构和经营机构应当按照法律法规的规定及合同的约定处理投资者个人信息,明确告知投资者处理个人信息的目的、方式、范围和隐私保护政策,不得超范围收集和使用投资者个人信息,不得收集提供服务非必要的投资者个人信息。
合同约定事项应当基于从事证券期货业务活动的必要限度。核心机构和经营机构不得以投资者不同意处理其个人信息或者撤回同意为由,拒绝向投资者提供服务,为投资者提供服务所必需、履行法定职责或者法定义务等情形除外。
核心机构和经营机构利用生物特征进行客户身份认证的,应当对其必要性、安全性进行风险评估,不得将人脸、
步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式,强制客户同意收集其个人生物特征信息。
核心机构违反本办法规定的,中国证监会可以对其采取责令改正、监管谈话等监管措施;对有关高级管理人员给予警告、记过、记大过、降级、撤职、开除等行政处分,并责令核心机构对其他责任人给予纪律处分。
经营机构和信息技术系统服务机构违反本办法规定的,中国证监会及其派出机构可以对其采取责令改正、监管谈话、出具警示函、责令公开说明、责令定期报告、责令增加内部合规检查次数等监管措施;对直接责任人和其他责任人员采取责令改正、监管谈话、出具警示函等监管措施;情节严重的,对相关机构及责任人员单处或者并处警告、十万元以下罚款,涉及金融安全且有危害后果的,并处二十万元以下罚款。
近年来,证券行业不断加大信息技术投入。根据中证协数据统计,2017年~2020年,证券行业在信息技术领域累计投入达845亿元。2021年证券行业IT总投入为303.55亿元,同比增长26.51%。
但有关券商APP掉链子的舆情时有发生。2022年3月14日,招商证券App在早盘期间出现故障,无法正常买入卖出,招商证券也因此登上微博热搜。2022年3月15日,有投资者反映,国信证券交易软件出现行情不能刷新,无法看盘和交易的情况。
而在2022年5月16日早间,仅仅两个月后,又有投资者在网络上反映称,招商证券PC端与App端系统均无法登录,造成无法正常交易。同一天,华西证券交易系统也在早盘期间出现故障,导致无法交易。两个月后,2022年7月21日,西部证券APP早间又出现故障。
券商APP频频宕机引起了投资者不满,同时也让涉事券商收到了监管罚单。
2022年4月2日,深圳证监局就宕机事故对招商证券采取责令改正措施。7月12日,证监会决定对招商证券总裁助理、首席数字官胡滔,金融科技中心总监邓曙光,金融科技中心核心交易开发部总经理陈卓,采取出具警示函的行政监管措施。
2022年6月29日,安徽证监局也向国元证券出具警示函。根据该警示函,国元证券手机客户端交易软件在系统升级、变更上线前未进行充分测试;手机客户端交易软件在2022年6月13日发生故障,未及时向证监局报告;信息安全应急预案不完备。
根据中国证券投资者保护基金有限责任公司发布的《证券公司投资者保护状况评价报告(2022)》,“2021年度,因交易系统稳定性被投诉的证券公司有79家,累计被投诉944次,较上一年度(1103次)有所下降,相关证券公司应进一步做好交易系统的日常运维工作,切实保护投资者合法权益。”
封面图片来源:视觉中国-VCG211276657648
1本文为《每日经济新闻》原创作品。
2 未经《每日经济新闻》授权,不得以任何方式加以使用,包括但不限于转载、摘编、复制或建立镜像等,违者必究。