證券期貨業(yè)網絡安全新規(guī)發(fā)布 不得強制客戶同意收集其個人生物特征信息
□ 本報記者 周芬棉
證監(jiān)會近日發(fā)布《證券期貨業(yè)網絡和信息安全管理辦法》(以下簡稱《辦法》),以取代2012年發(fā)布的《證券期貨業(yè)信息安全保障管理辦法》(以下簡稱《舊版辦法》),更好地維護資本市場安全平穩(wěn)高效運行。
《辦法》共八章七十五條,對證券期貨業(yè)網絡和信息安全監(jiān)督管理體系、網絡和信息安全運行、投資者個人信息保護、網絡和信息安全應急處置、關鍵信息基礎設施安全保護、網絡和信息安全促進與發(fā)展等諸多方面提出了要求?!掇k法》自2023年5月1日起施行。
回應現實問題
出臺《辦法》,是形勢所迫。按西北政法大學教授強力的話說,既有網絡和信息技術加速發(fā)展的大背景,又有上位法的要求,同時也是對監(jiān)管實踐面臨新問題的回應。
如今,網絡和信息安全已上升為國家戰(zhàn)略,對資本市場影響深遠。北京中銀律師事務所律師吳則濤認為,隨著數字經濟、數字社會、數字政府的建設加快,證券和各行各業(yè)間的數據共享與交互將會成為普遍現象,如何對這些數據進行全生命周期的安全保護,是證券行業(yè)的核心問題。一方面,單從技術支持方面來看,證券期貨業(yè)務與大數據、云計算、區(qū)塊鏈和人工智能等新技術應用不斷加速融合,對關鍵核心技術的依賴程度越來越高。各類業(yè)務活動日益依賴網絡安全和信息化,增加了網絡和信息安全管理的復雜度。另一方面,證券期貨市場是一個典型的以信息為主導的市場,我國中小投資者數量近1.77億人,投資者個人信息往往涉及金融賬戶信息、投資能力信息等敏感內容,這些信息一旦泄露往往會導致極大的經濟損失,進而影響經濟和社會穩(wěn)定。
的確,證券的核心交易系統涉及網上交易、融資融券、自營交易系統、個股期權等多個領域,任何與交易相關的系統故障不僅會影響到證券服務機構的正常業(yè)務運轉,其他業(yè)務系統也會受到直接或間接的影響甚至造成大面積癱瘓。
此外,近年來網絡安全法、數據安全法、個人信息保護法、《關鍵信息基礎設施安全保護條例》及證券法等法律法規(guī)的密集發(fā)布實施,對于證券期貨業(yè)網絡和信息安全管理也提出了進一步要求。
嚴守安全底線
出臺《辦法》,說到底是為了保障證券期貨業(yè)網絡和信息安全,保護投資者合法權益,促進證券期貨業(yè)穩(wěn)定健康發(fā)展。
嚴守證券期貨業(yè)安全底線,促進科技發(fā)展,是出臺《辦法》的出發(fā)點,也是終極目標。證監(jiān)會有關負責人稱,《辦法》以保障安全為基本原則,從建設、運維、使用網絡及信息系統,到識別、監(jiān)測、防范、處置風險等方面,構建了完整的網絡和信息安全監(jiān)管框架,對行業(yè)機構提出全方位的管理要求。
在此基礎上,《辦法》注重通過發(fā)展解決問題,通過技術架構的升級優(yōu)化,提升安全保障能力,并在信息基礎設施建設、金融科技創(chuàng)新等方面作出制度安排。
與此同時,《辦法》覆蓋各類主體,并厘清權責邊界。首先是充分考慮證券期貨業(yè)各類主體的責任義務和業(yè)務特點,對證券期貨業(yè)關鍵信息基礎設施運營者、核心機構、經營機構及信息技術系統服務機構,從網絡和信息安全管理方面分別提出監(jiān)管要求。
其次是厘清職責分工,對監(jiān)管部門、自律組織的網絡和信息安全監(jiān)管職責作出明確規(guī)定。要求核心機構和經營機構,應遵循保障安全、促進發(fā)展的原則,建立健全網絡和信息安全防護體系,提升安全保障水平,確保與信息化工作同步推進;應依法履行網絡和信息安全保護義務,對本機構網絡和信息安全負責,相關責任不因其他機構提供產品或者服務進行轉移或者減輕。
《辦法》還要求信息技術系統服務機構應當遵循技術安全、服務合規(guī)的原則,為證券期貨業(yè)務活動提供產品或者服務,與核心機構、經營機構共同保障行業(yè)網絡和信息安全,促進行業(yè)信息化發(fā)展。勤勉盡責,對提供產品或者服務的安全性、合規(guī)性承擔責任。
強化信息保護
在資本市場上,如果說有相對的兩方,則可以認為一是提供產品和服務的一方,一是使用這些產品和服務的一方。在網絡和信息服務方面,一方是核心機構、經營機構、網絡服務機構(上市公司信息問題除外),另一方則是投資者,其中又有個人投資者和機構投資者之分。相對于機構投資者,個人投資者數量多達上億,資金數量相對較少,抗風險能力相對較低。據證監(jiān)會統計,個人投資者中絕大多數人投資金額不足百萬元。即便如此,他們的個人信息卻相當豐富,涉及每個人切身利益,因此對個人投資者個人信息的保護就顯得尤為重要。
《辦法》第三章專章對“投資者個人信息保護”予以規(guī)定,明確要求核心機構和經營機構應當遵循合法、正當、必要和誠信原則,處理投資者個人信息,規(guī)范投資者個人信息處理行為,履行投資者個人信息保護義務,不得損害投資者合法權益。
核心機構和經營機構在處理投資者個人信息時,應當建立健全投資者個人信息保護體系,明確相關崗位及職責要求,建立健全投資者個人信息處理、安全防護、應急處置、審計監(jiān)督等管理機制,加強投資者個人信息保護。
《辦法》規(guī)定,應當按照法律法規(guī)的規(guī)定及合同的約定處理投資者個人信息,明確告知投資者處理個人信息的目的、方式、范圍和隱私保護政策,不得超范圍收集和使用投資者個人信息,不得收集提供服務非必要的投資者個人信息。出賣投資者個人信息,更為法律不容。核心機構和經營機構利用生物特征進行客戶身份認證的,應當對其必要性、安全性進行風險評估,不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的客戶身份認證方式,強制客戶同意收集其個人生物特征信息。
開展風險通報
《辦法》的重要內容之一體現在第七章“監(jiān)督管理與法律責任”,以多達十四條的篇幅進行規(guī)定,內容扎實豐富。據證監(jiān)會這位負責人介紹,共包括五方面的制度安排。
一是規(guī)定行業(yè)機構的報告義務和流程要求;二是建立健全行業(yè)網絡和信息安全態(tài)勢感知工作機制,開展風險隱患行業(yè)通報;三是明確證監(jiān)會及其派出機構可以委托專業(yè)機構采用滲透測試、漏洞掃描和風險評估等方式對行業(yè)機構開展監(jiān)督檢查;四是對重要時期的網絡和信息安全保障工作明確制度安排;五是依據上位法要求,結合違法違規(guī)的具體情形,規(guī)定相應罰則,并規(guī)定創(chuàng)新容錯相關制度安排。
對違規(guī)行為不僅僅包括通報,還會依據相關法律法規(guī)規(guī)定進行相應的行政處罰。
據吳則濤介紹,資本市場上網絡信息安全事件的發(fā)生并不少見,其中被業(yè)界認為屬于重大網絡信息安全事件的有多起,比如:
多家證券APP宕機事件。自2022年3月開始,招商證券、國信證券、華西證券、西部證券等App相繼出現了無法正常買賣、無法刷新行情、無法登錄等情況,相關券商受到了監(jiān)管部門的處罰,相關責任人被采取行政監(jiān)管措施,發(fā)出警示函。
長城證券信息安全事件。2018年7月23日,長城證券因信息安全管理和應對存在缺陷,導致集中交易系統部分中斷10分鐘,違反了《舊版辦法》的規(guī)定。
網信證券信息系統故障事件。網信證券的集中交易系統于2018年12月24日中斷37分鐘,2019年2月26日綜合賬戶管理系統發(fā)生故障,影響交易時間累計13分鐘,這反映出公司信息系統存在重大風險隱患,核心設備老舊、系統運維保障存在不足的問題。
財通證券交易時間內運維失當事件。財通證券的信息技術運維人員,違反所在證券公司信息安全管理規(guī)定,在交易時間對生產環(huán)境中的存儲過程進行運維操作,引發(fā)了公司網上交易系統和移動終端交易系統客戶端登錄異常。(法治日報)
版權聲明:凡注明“來源:中國西藏網”或“中國西藏網文”的所有作品,版權歸高原(北京)文化傳播有限公司。任何媒體轉載、摘編、引用,須注明來源中國西藏網和署著作者名,否則將追究相關法律責任。