一、引言
随着我国数据保护立法的演进,以中华人民共和国《网络安全法》(“《网安法》”)、《数据安全法》(“《数安法》”)、《个人信息保护法》(“《个保法》”)为基础,医药、汽车、工业和信息化、金融等重点行业领域具体监管法规为扩展的数据合规法律监管体系正逐步建立并完善。
根据上述法律的规定,在网络安全、数据安全和个人信息保护各特定监管方向,除网信部门等实施统筹监管外,其他有关机关或主管部门在各自职责范围内承担相关监管职责。
基于此监管体系安排,就证券期货业而言,网络及信息安全现行监管法规主要包括:《证券期货业信息安全保障管理办法》《证券期货业网络安全事件报告与调查处理办法》《证券基金经营机构信息技术管理办法》等。
2023年2月27日,中国证券监督管理委员会(“证监会”)发布《证券期货业网络和信息安全管理办法》(“《管理办法》”)。《管理办法》将于2023年5月1日生效,并同时废止《证券期货业信息安全保障管理办法》。
二、证券期货业网络及信息安全合规内容
与现行《证券期货业信息安全保障管理办法》等规定相比,《管理办法》将更着重落实《网安法》《个保法》等法律法规的内容,并细化网络和信息安全相关制度建设、信息系统运营和防护等方面的要求。
本文就《管理办法》下的主要义务主体、监管机关、所针对的规范行为以及相关的监管措施简要梳理如下。
(一)义务主体
其中值得注意的是:
1. 《管理办法》尚未明确“证券期货业关键信息基础设施运营者”(也即证券期货行业的CIIO概念)的定义。根据2021年生效的《关键信息基础设施安全保护条例》第2条,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。因此在实操中,“证券期货业关键信息基础设施运营者”与核心机构、经营机构、信息技术系统服务机构等按是否构成上述规定在认定上可能存在重合。具体范畴尚有待证监会等主管部门依据《关键信息基础设施安全保护条例》第9条制定认定规则。
2. 关于上表中的“参照适用机构,”本次新规并未明确“参照”纳入《管理办法》下的监管范围和具体要求,仅原则性规定其“应当根据相关信息系统网络和信息安全管理的特点,参照适用本办法”。具体实操中,这些主体如何、以及在何等程度必须遵循本文列举的《管理办法》的具体监管要求,尚有待观察、澄清。
(二)监管机关
1. 证监会
证监会及其派出机构是证券期货业网络和信息安全的主要监管机关,在《管理办法》下,证监会主要职能包括:
(1)监督管理
证监会需制定相关发展规划、监管规则和行业标准;负责证券期货业网络和信息安全的监督管理,做好关键信息基础设施安全保护工作以及投资者个人信息保护工作。证监会还应支持、协助国家有关部门组织实施网络和信息安全相关法律、行政法规。
(2)备份数据中心建设
证监会可以委托相关机构建设证券期货业备份数据中心,开展行业数据的集中备份和管理工作,并采取有效安全防护手段,防范数据损毁泄露风险,持续提升证券期货业重大灾难应对能力。
(3)态势感知工作机制
证监会负责建立健全行业网络和信息安全态势感知工作机制,并就相关安全缺陷、安全漏洞等风险隐患开展行业通报预警。
2. 行业协会
证券业协会、期货业协会、证券投资基金业协会等行业协会应依法制定行业网络和信息安全自律规则,对经营机构实施自律管理;制定培训计划,定期组织培训交流,提高证券期货从业人员网络和信息安全意识和专业素养;鼓励、引导网络和信息安全技术创新与应用,增强自主可控能力,组织开展科技奖励,促进行业科技进步;引导信息技术系统服务机构规范参与行业网络和信息安全和信息化工作,提升服务的安全合规水平,促进市场有序竞争。
(三)新规的监管要求
《管理办法》从网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键基础设施安全保护和网络和信息安全促进与发展等方面提出具体要求。以下按网络和信息安全,投资者个人信息保护及关键基础设施安全保护三个主要监管方向及相关主要义务主体对本次新规的监管要求进行梳理。
这里值得注意的是:尽管在法律条文层面,本次新规对核心机构和经营机构两类主体提出了基本相同的监管要求,但在部分细节层面,对两类主体的具体要求有所差异。例如,关于下文提到的“技术自有”要求(第26条),核心机构应对交易、行情、开户、结算、风控、通信等重要信息系统均具有自主开发能力,掌握执行程序和源代码并安全可靠存放;而经营机构则根据自身发展需要,加强自主研发能力建设,持续提升自主可控能力即可。此类区别在本文中暂不赘述。
此外,《管理办法》未列举数据安全监管方向的具体合规要求。我们理解:就证券期货业数据采集、展现、传输、处理、存储(包含数据备份与恢复、删除、销毁)等环节,相关机构可参照证监会于2022年发布的《证券期货业数据安全管理与保护指引》(JR/T 0250-2022)提供的各级数据的管理和技术指引进行合规管理及运营。若涉及相关数据有价转让的,相关交易架构和合规建议也可参见本团队之前的文章:《简析数据交易协议的条款设计》。
(四)监管措施
如前文所述,证监会及其派出机构是证券期货业网络和信息安全的主要监管机关。除接受核心机构、经营机构和信息技术系统服务机构的信息、数据和年报报送,建立安全态势感知工作机制进行通报预警,以及日常监督检查和重要时期安全保障外,其还负责相关义务主体违规的监管处罚。
相关主体违反《管理办法》的,证监会及其派出机构有权依照《网安法》《个保法》及《管理办法》等规定对违法责任主体进行处罚。且值得注意的是:证监会对相关机构及责任人员可采取双罚模式,根据违规行为的性质分别处以监管措施、纪律处分、行政处分和/或行政处罚。
具体而言,核心机构一般为金融行业事业单位或下属国有企业,其违反《管理办法》的,证监会可对机构责令改正、监管谈话,对有关高级管理人员给予警告、记过、记大过、降级、撤职、开除等行政处分,并责令核心机构对其他责任人给予纪律处分。
而经营机构和信息技术系统服务机构违反《管理办法》的,证监会及其派出机构可以对机构采取责令改正、监管谈话、出具警示函、责令公开说明、责令定期报告、责令增加内部合规检查次数等监管措施;对直接责任人和其他责任人员采取责令改正、监管谈话、出具警示函等监管措施。经营机构和信息技术系统服务机构违反《管理办法》情节严重或涉及金融安全且有危害后果的,证监会对机构及责任人员可单处或者并处警告、罚款的行政处罚。
此外,经营机构和信息技术系统服务机构违反《管理办法》,反映机构治理混乱、内控失效或者不符合持续性经营规则的,或未履行备案义务的,证监会及其派出机构还可依照《证券法》《期货和衍生品法》《证券投资基金法》等相关规定采取监管措施或予以处罚。
三、 结语
随着证券期货业网络及信息安全立法的完善,该领域的合规监管将日趋严格。核心机构、经营机构及信息技术系统服务机构等义务主体应对照《管理办法》,落实网络和信息安全保护、投资者个人信息保护、关键信息基础设施安全保护。
