文《法人》全媒体记者 李韵石
近日,证监会发布了《证券期货业网络安全管理办法(征求意见稿)》(以下简称“意见稿”),并向社会公开征求意见。
行业需求加速《办法》落地
证监会起草说明显示,近年来证券期货业机构对网络安全的重视程度大幅提升,组织架构和制度体系持续优化,信息技术投入逐年增加,行业网络安全运行态势总体平稳。但是,随着行业数字化加速发展、网络安全上升为国家战略、资本市场持续深化改革等内外部条件变化,证券期货业网络安全面临的新情况、新问题逐渐凸显。
随着大数据、云计算、区块链和人工智能等新技术应用不断深入,证券期货业务与技术加速融合,各类业务活动日益依赖网络安全和信息化,增加了网络安全管理的复杂度。而且,随着行业机构数字化转型提速,信息系统建设任务明显增加,上线变更操作较为频繁,行业网络安全管理能力面临更大挑战。
早在2012年,证监会便发布了《证券期货业信息安全保障管理办法》,但由于制定时间较早、监管实践变化等原因,相关规则在有效衔接上位法方面有进一步完善的需求。2017年6月,网络安全法正式施行,尤其是2021年下半年,数据安全法、个人信息保护法、关键信息基础设施安全保护条例等法律法规密集发布实施,我国网络安全法律体系进一步健全,新型网络安全管理框架基本成型。
2020年以来,证监会稳步推动科技监管深化改革,监管体制机制不断优化,信息技术服务机构备案管理、资本市场金融科技创新试点等工作全面展开,与相关部委进一步形成监管合力,沟通协作更加顺畅,需要及时总结实践经验,将改革成果制度化机制化。
明确相关机构网络安全责任
意见稿共八章六十六条,包括总则、网络安全运行、数据安全统筹管理、网络安全应急处置、关键信息基础设施网络安全、网络安全促进与发展、监督管理与法律责任和附则。
5月18日,北京市广盛律师事务所合伙人于华伟向《法人》记者介绍,此次意见稿明确其适用于两类主体:一是核心机构和经营机构;二是信息技术服务机构。且意见稿对这两类主体设置了不同的义务范畴,意见稿并列举出参照适用对象。
对于证券期货业的网络安全,证监会建立“集中管理、分级负责”的监管体制。政策制定和总体统筹协调工作,主要由证监会科技监管部门负责,证监会其他部门、各地方证监局、相关自律组织等配合承担相应监管职责。
上海市光明律师事务所徐红英律师介绍,此次意见稿核心内容体现在第二章网络安全运行、第三章数据安全统筹管理。其旨在督促行业机构建立健全网络安全管理机制,提升网络安全保障力。要求核心机构、经营机构具有完善的治理架构,强化管理层责任,明确等级保护义务,明确核心机构、经营机构审慎开展系统新建、变更和移除,及时履行投资者告知义务,加强日常监管,明确信息系统备份能力等相关要求。核心机构和经营机构应当履行数据安全管理责任,依法明确数据安全负责人,综合采取网络隔离、用户认证、访问控制、数据加密、病毒防范等技术手段,保障数据安全。
经济学家宋清辉表示,意见稿进一步明确了相关机构的网络安全工作义务,例如软件方面的提升、硬件方面的维护、周围环境的布置。意见稿明确指出机构构建网络安全大格局中应尽的责任,包括对核心机构、经营机构明确信息系统备份能力的有关要求,提出压力测试常态化要求;从制度体系、人员配备、合规安全等方面,对信息技术服务机构提出监管要求;强化核心机构、经营机构采购产品和服务的准入、评估、改进要求,提升自主研发和安全可控能力,加强知识产权保护。
意见稿还可进一步完善
虽然意见稿能够解决当前证券期货业网络安全问题,但还需要进一步完善。徐红英告诉记者,意见稿第七章监督管理与法律责任相关内容,对核心机构、经营机构、信息技术服务机构等的故意或重大过失行为,给投资者或社会造成重大损失可能追究刑事责任的情形,应当进行列举并依法转交侦查机关立案刑事侦查。虽然证监会仅有行政处罚权,但列举出利用网络安全漏洞等操纵证券期货市场构成刑事犯罪等行为,将会对核心机构、经营机构、信息技术服务等机构予以警示作用,可以预防、减少违法犯罪行为的发生。
宋清辉认为,意见稿大面积聚焦核心机构、经营机构以及信息服务等机构应该如何保护网络安全,但缺少对个人及机构投资者的监管要求,也缺少鼓励经营机构对投资者等服务对象的网络安全教育或培训,缺少第三方如投资者、网民对网络安全问题的举报、投诉、维权等机制和措施。
宋清辉表示,由于互联网技术发展日新月异,意见稿前瞻性略有不足,缺少对行业未来发展或技术变革产生变化的应对,对网络新技术或网络新科技相应思考。
于伟华则告诉记者,《证券期货业网络安全管理办法》出台后,相应配套政策还需进一步完善。例如,证券期货行业的关基(关键信息基础设施)认定规则、重要数据及核心数据目录、数据出境的指引等尚待颁布。
责编:白馗 编审:崔晓林
校对:张波、张雪慧