证券基金公司网络安全与数据保护的合规指引
信息化时代,证券和基金业作为资金密集型行业的代表,在互联网的大潮中面临业务的数据化和智能化的建设和转型。成为大数据的处理中心,助推和赋能各个业务版块,或将成为每个券商和基金公司的业务侧重点。
证券和基金行业作为金融领域的“三驾马车“之一,其相应法律体系、监管政策较为完备,这也为企业的相应合规工作提出明确且细致的基线。作为证券领域的主要参与者,证券公司[1]和基金公司[2]不仅需保障自身的网络安全、数据安全,以协同行业整体的安全责任,而且就客户资料、个人信息等业务赋能的”石油“资产,管理者也需从技术及合规层面做好相应的体系建设和保护工作。
如何在大数据和人工智能环境下合规运作,如何有效且安全地将大数据处理成果进行分享和运营,这是本文所要重点讨论的地方。
一、法规体系:证券基金公司网络安全及数据合规的相关法规梳理
证监会作为证券基金领域的主要监管部门,在《网络安全法》生效前后已先后发布推行多部针对证券基金公司网络安全及客户信息保护方面的部门规章及推荐性规范。目前,覆盖证券基金公司在系统运维、客户资料保护、审计、系统等级保护测评等网络安全及数据合规的主要领域的法律体系正逐步建立。
序号 | 领域 | 名称 | 层级 | 生效时间 |
1 | 一般要求 | 《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》 | 部门规章 | 2007.8.1 |
2 | 《国务院办公厅关于加强金融消费者权益保护工作的指导意见》 | 规范性文件 | 2015.11.4 | |
3 | 《关于促进互联网金融健康发展的指导意见》 | 规范性文件 | 2015.7.18 | |
4 | 行业整体要求 | 《证券基金经营机构信息技术管理办法》 | 部门规章 | 2019.6.1 |
5 | 《证券公司和证券投资基金管理公司合规管理办法》 | 部门规章 | 2017.10.1 | |
6 | 《证券投资基金销售管理办法》 | 部门规章 | 2013.6.1 | |
7 | 《证券公司客户资料管理规范》 | 规范性文件(推荐性规范) | 2014.12.26 | |
8 | 《证券公司信息技术管理规范》 | 规范性文件(推荐性规范) | 2005.3.25 | |
9 | 信息系统等级保护 | 《关于证券期货业信息系统安全等级保护基本要求(试行)》 | 规范性文件(推荐性规范) | 2011.11.22 |
10 | 《关于证券期货业信息系统安全等级保护测评要求(试行)》 | 规范性文件(推荐性规范) | 2011.11.22 | |
11 | 审计 | 《证券期货业信息系统审计规范》 | 规范性文件(推荐性规范) | 2014.12.26 |
12 | 《证券期货业信息系统审计指南》 | 规范性文件(推荐性规范) | 2016.11.8 | |
13 | 系统运维 | 《证券期货业信息安全保障管理办法》 | 部门规章 | 2012.11.1 |
14 | 《证券期货业信息系统运维管理规范》 | 规范性文件(推荐性规范) | 2013.1.31 | |
15 | 《证券公司网上证券信息系统技术指引》 | 规范性文件(推荐性规范) | 2015.3.13 | |
16 | 《证券期货业数据安全标准规划》 | 规范性文件(一般文件) | 2015.10.20 |
其中,值得重点关注的是将于今年6月1日正式生效的《证券基金经营机构信息技术管理办法》(以下简称“《办法》”)。该《办法》对于证券基金公司在信息技术治理、信息技术合规风险管理、信息技术安全(包括系统安全、数据治理、应急管理)及相应罚则方面作出了全方位的细致规定,整体覆盖了证券基金公司在网络安全及数据合规方面应实现的技术、管理层面的基本要求,可视为证券基金领域在《网络安全法》正式生效的新时期背景下的主要合规规范要求文件。
尽管上述法律体系中包含较多的不具备强制约束力的规范性法律文件,但基于证监会作为制定主体的监管角色、业内的监管趋势及执法力度要求,从实现行业合规角度出发,我们会将相应推荐性规范中的指引作为重要参考,融入以下的合规指引中进行解读。
二、合规要点:证券基金公司合规工作的一般义务及特别要求
《网络安全法》对符合网络运营者条件的证券和基金公司提出了一系列合规义务。同时,在上述证券领域合规监管体系下,证监会对于证券和基金公司在具体落实层面提出更为明确的要求。
证券基金公司合规工作的一般义务及特别要求的要点对照清单如下:
序号 | 要求 | 《网络安全法》一般义务 | 证券基金领域合规体系 | |
特别要求 | 法规索引 | |||
1 | 设置网络安全负责机构及负责人。 | 第21条第(一)项:确定网络安全负责人 | 设立“信息技术治理委员会-首席信息官-信息技术管理部门“的多层级网络安全负责机构 | 《证券基金经营机构信息技术管理办法》第9-11条 |
2 | 信息系统等级保护 | 第21条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。 | 特殊业务功能的信息系统应定级二级以上。 | 《证券公司网上证券信息系统技术指引》第55条 |
3 | 产品和服务采购管理 | 第23条:网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。 |
| 《证券公司网上证券信息系统技术指引》第51、52条;《证券基金经营机构信息技术管理办法》第45条;《证券期货业信息安全保障管理办法》第36、37条 |
4 | 信息系统审计 | 尚未具体明确 | 具体要求见下文解读。 | 《证券期货业信息系统审计规范》;《证券基金经营机构信息技术管理办法》第16条 |
5 | 数据分级分类管理 | 第21条第(四)项:采取数据分类、重要数据备份和加密等措施。 |
| 《证券基金经营机构信息技术管理办法》第30条;《证券期货业数据安全标准规划》 |
6 | 信息访问权限管理 | 第21条:网络运营者应保障网络免受干扰、破坏或未经授权的访问,防止网络数据泄露或者被窃取、篡改。 |
| 《证券基金经营机构信息技术管理办法》第32条;《证券公司客户资料管理规范》 |
7 | 网络安全事件应急预案与演练 | 第25条:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。 | 进一步扩充要求,明确应急预案内容、分工以及应急演练组织要求。 | 《证券基金经营机构信息技术管理办法》第37-39条;《证券公司网上证券信息系统技术指引》第64条;《证券期货业信息系统运维管理规范》 |
8 | 信息系统运维支持及信息报送 | 尚未具体明确 | 明确重要信息系统相关信息需在2019年12月31日前报送中国证监会。 | 《证券基金经营机构信息技术管理办法》第52、62条 |
9 | 个人信息保护 | 第41-45条 | 进一步扩充要求,具体要求见以下解读。 | 《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第27、29条;《证券基金经营机构信息技术管理办法》;《证券公司客户资料管理规范》;《证券公司网上证券信息系统技术指引》;《证券投资基金销售管理办法》第65条;《证券公司信息技术管理规范》 |
三、重点解读:证券基金公司具体合规要求及指引
1. 网络安全的合规要求
1.1 组织与人员管理
《办法》在《网络安全法》的基础上,对于证券公司内部建立“网络安全负责人“的要求进行扩充,在关乎公司网络运行安全稳定的信息技术管理层面搭建”信息技术治理委员会-首席信息官-信息技术管理部门“的层级管理机构,对相应职位的职责或任职要求提出明确基线。
将上述信息技术管理层级融入现有的一般公司管理组织模式,可梳理形成如下信息技术治理组织架构[3]:
考虑到《办法》将于6月1日正式生效,对此我们建议证券公司应参照上述规定要求,结合本司实际情况设置、调整相应机构及人事安排,建立自上而下的信息安全管理架构,保障网络安全及数据合规工作的顺利开展。
1.2 信息系统等级保护
证券公司信息系统等级保护定级、备案、测评、评估要求、流程等基本可适用一般网络安全等级保护制度要求进行落实。但对于以下特定信息系统的定级工作,有特殊要求:
具有证券交易、第三方支付、或对敏感数据进行修改等业务功能,且用户规模在50万或50万以上的信息系统定为三级;用户规模在50万以下的定为二级;
其它网上证券敏感数据信息系统,以及实时行情系统、门户网站系统定为二级。
鉴于目前工信部及地方通信管理局在相应网络安全执法行动中重点关注信息系统等级保护问题的监管现状,以及以《网络安全等级保护条例》为核心的“等保2.0“制度文件呼之欲出的立法进程,我们建议证券公司需充分重视信息系统的等级保护定级备案测评工作,通过梳理内部重要信息系统清单(尤其是上述特定业务功能的信息系统)、自我评估或者联系第三方专业机构进行定级测评、将测评情况及时报告相应主管机关并定期检测等,尽快落实等级保护义务。
1.3 网络安全与数据合规内部管理
a) 产品和服务采购管理
证券公司应当建立供应商管理制度,定期对供应商的资质、专业经验、产品和服务的质量进行了解和评估。
而在与供应商磋商签署网络产品和服务采购合作协议时,应同步签订服务协议和保密协议,并明确以下内容:
各方在信息安全方面(尤其是客户信息安全和保密)的权利、义务和责任;
约定质量考核标准、持续监控机制、异常处理机制、服务变更或者终止的处置流程;
明确客户端、服务端以及数据传输过程中均无后门,明确软件开发商应用软件中使用的插件具备合法版权;
涉及证券期货交易、行情、开户、结算等软件产品或者技术服务的采购合同,应当约定供应商须接受中国证监会及其派出机构的信息安全延伸检查。
b) 信息系统审计
信息系统审计,是证券公司对自身信息系统规划、建设、运维和应急等活动进行自我检查和评价,判断系统运行的安全性、系统建设的合规性和系统应用绩效,提出整改建议,并持续跟踪落实整改情况。对此,证券公司应指定内审部门,并合理配备审计人员负责信息系统审计工作。可根据实际需要聘请第三方审计机构开展信息系统审计工作,第三方机构员工必须是正式员工。
审计内容:证券公司应开展系统运行安全审计,并可视情况开展系统建设合规审计、系统应用绩效审计。
系统运行安全审计 | 重点关注系统运维风险,通过审查和评估交易、结算、行情、通信等重要业务信息系统的安全性,及时发现运行风险隐患。主要包括组织管理、机房管理、网络管理、主机和系统管理、运维管理等方面。 |
系统建设合规审计 | 重点关注违法违规风险,通过审查和评估在采购电子产品、建设信息系统项目、维护信息系统等活动中,本机构负责采购的人员、项目建设人员、系统运维人员等是否存在贪污受贿、徇私舞弊、玩忽职守等行为。 |
系统应用绩效审计 | 重点关注信息系统能否有效发挥作用,通过审查和评估已建成信息系统的经济效益和使用情况,及时发现资源浪费等风险隐患。 |
审计频率:审计分为专项审计及全面审计。证券公司应定期开展信息技术管理工作专项审计,频率不低于每年一次,确保三年内完成信息技术管理全部事项的审计工作,包括但不限于信息技术治理、信息技术合规与风险管理、信息技术安全管理、应急管理。
而对于全面审计,证券公司应当委托外部专业机构开展,频率不低于每三年一次。
审计报告及审计档案:每当完成一次专项审计或者全面审计,证券公司应形成书面的审计报告,并构成最终的审计档案。
证券公司应当跟踪审计发现问题的整改情况,相关问题未能及时整改的,应当说明理由,并将审计报告提交信息技术治理委员会审议。证券基金经营机构应当妥善保存审计报告,保存期限不得少于二十年。
审计工作结束后,审计组应整理相关材料,并建立、保管审计档案。下列材料应归入审计档案:审计方案、审计通知书;审计工作底稿、审计报告;整改方案;后续审计工作底稿、后续审计报告。审计档案应至少保存五年。
c) 数据分级分类管理
证券公司应当将经营及客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别作出差异化数据管理制度安排。
根据《证券期货业数据安全标准规划》的要求指引,对于数据安全,可分为4类数据,根据数据敏感度,以及如果发生数据泄露或损毁对于数据主体、行业带来的损失和影响,从高到低分为1类数据(最高)、2类数据、3类数据、4类数据。
对于数据安全分级,共分为4级数据安全防护措施,根据攻击及威胁强度,以及面对威胁的反应和恢复速度,从低到高分为一级数据安全防护措施、二级数据安全防护措施、三级数据安全防护措施、四级数据安全防护措施(最高)。
上述数据安全分类及分级要求形成以下的分级分类保护矩阵表:
对此,我们建议证券公司按照上述指引及矩阵表分类,结合本司数据资产状况进行盘点梳理,通过划分不同等级方式赋予不同保护措施等级,在采集、访问、使用、共享相应数据或者相应数据发生特定安全事件时,响应相关访问权限制度或者触发数据保护响应机制。
d) 客户信息访问权限管理及审批
证券公司应当遵循最少功能以及最小权限等原则分配信息系统管理、操作和访问权限,并履行审批流程。合规管理和风险管理部门应当对权限管理制度和操作流程进行合规审查及风险控制。
同时,证券公司应严格客户资料查阅管理,建立查阅审批机制,防止客户资料丢失和泄密,要求具体包括:
内部查阅客户资料的,应提出申请,并经过审批留痕。
受理客户查阅申请的,应采取有效措施验证客户身份。
通过信息系统查阅客户资料的,应通过技术手段对操作者进行可靠的身份识别与权限控制,防止因非工作需要访问客户资料。
归档的客户资料不应外借,查阅人可以抄录、照相、复印或复制,证券公司应对查阅情况进行记录或做到系统留痕。
e) 网络安全事件应急预案与演练
证券公司应制定并持续完善网络安全与数据安全事件应急预案,需包括以下内容:应急管理建设目标、备份信息系统建设和恢复机制、备份数据恢复机制、业务恢复或替代措施、应急联系方式、与客户沟通方式、向监管部门及有关单位的报告路径、应急预案披露与更新机制等。公司内部的信息技术管理部门应为信息技术应急管理的牵头组织部门。
在制定应急预案制度的基础上,证券公司应每半年至少组织一次网络与信息安全应急演练,并确保应急演练在两年内覆盖全部重要信息系统。应急演练应当形成报告,保存期限不得少于五年。此外,每年应向住所地证监局报告年度应急演练情况。
1.4 信息系统运维支持及信息报送义务
证券公司应当由信息技术安全管理部门负责信息系统、信息系统所使用技术措施、所在的机房、网络环境等的日常管理,保证信息系统运营正常。
而在新建或更换重要信息系统所在机房、证券基金交易相关信息系统,应当在开展相关业务活动的五个工作日内向中国证监会报送有关资料,包括内部审查意见、机房基本信息、技术架构设计、操作流程、信息安全管理资料、业务制度、合规管理及风险管理制度等。
此外,《办法》要求,证券公司在2019年12月31日前,需将已投产的重要信息系统所在机房、证券基金交易相关信息系统的上述相关信息点报送中国证监会。对此我们也特别提醒证券基金公司,需充分关注该信息报送义务的报送时间节点要求、报送对象及内容。
2. 数据治理的合规要求
《办法》以设置专门章节共七条的方式,不仅对证券基金公司的数据治理工作提出中心目标,而且对治理原则提出了全方位、多层次的合规要求,足以体现监管部门对于证券领域数据合规组织、处理、制度建设等方面的高度重视。该章节对于证券基金公司的数据治理提出了一个中心、七大原则的治理要求:
一个中心:发挥数据价值为中心
证券基金公司应当充分挖掘、梳理和分析数据内容,在业务经营、风险管理与内部控制中加强数据应用,实现同一客户、同类业务统一管理,充分发挥数据价值。
七大原则:
数据全生命周期管理原则
数据生命周期管理是一种信息管理模式,包含对数据的产生、使用、迁移、清理、销毁的全生命周期管理。通过数据生命周期管理可以有效控制生产系统数据规模,提高数据访问效率,从而提高系统运行的整体效率,帮助证券公司和基金公司在数据生命的各个阶段以最低的成本获得最大的价值。根据《办法》证券基金公司应建立全面、科学、有效的数据治理组织架构以及数据全生命周期管理机制,确保数据统一管理、持续可控和安全存储,切实履行数据安全及数据质量管理职责,不断提升数据使用价值。
数据分级和差异化原则
建立在对经营数据及客户信息按照重要性和敏感性进行分类分级的基础上,根据数据不同类别和级别作出差异化数据管理制度安排。随着《网络安全法》及配套法规和规则的实施,对于不同数据,特别是个人信息和非个人信息的管理和保护要求越来越明确。对于证券公司和基金公司而言,如何进一步构建完善的大数据隐私保护体系,明确隐私保护内涵是数据分级和差异治理的核心和关键。另外,从信息安全角度来看,如何处理数据溯源和隐私保护之间的平衡也是需要重点考虑的问题。
安保措施常态化原则
证券基金公司应当建立并完善网络隔离、用户认证、访问控制、数据加密、数据备份、数据销毁、日志记录、病毒防范和非法入侵检测等安全保障措施,日常保障经营数据和客户信息安全。
系统权限最小化原则
证券基金公司应当遵循最少功能及最小权限等原则分配信息系统管理、操作和访问权限,并履行审批流程;建立对信息系统权限的定期检查及核对机制,重点在于识别权限与职责不相匹配等授权不当的情形;通过对重要信息系统的开发、测试机运维实施必要分离,保证信息技术管理部门内部岗位相互制衡。从《办法》规定的流程上看,证券基金公司的信息部门在形成整套的权限管理制度和操作流程后,公司合规和风控部门应当对其进行合规审查和风控核查,确保符合最小化的原则。
数据处理合作审慎原则
证券基金公司应记录经营数据和客户信息的存储、使用情况。当发现其他机构、个人违规处理时,可通过记录等方式排查数据泄露途径及影响范围,评估影响范围,及时采取整改措施并履行向中国证监会报告的职责。同时,证券基金公司应持续监督信息技术服务机构等相关方落实经营数据和客户信息的保密义务的情况,当发现后者存在违规处理行为时,应当责令其立即改正并销毁相关数据。
客户信息收集最小化原则
同《网络安全法》第41条至第43条所要求,证券基金公司不得收集与服务无关的客户信息,且应当向用户明示收集、处理个人信息的规则和目的并征得其同意。我们建议证券基金公司按照现有法律法规和执法环境,建立客户友好的隐私保护环境,对隐私协议等关键法律文本进行合规审查,以达到监管要求。
客户信息分享限定原则
证券基金经营机构不得允许或者配合其他机构、个人截取、留存客户信息,不得以任何方式向其他机构、个人提供客户信息,但法律法规和中国证监会另有规定的除外。就《办法》涉及的客户信息合规问题,我们会在下面进行详述。
3. 客户信息保护
3.1 明示收集、使用规则及服务协议
当涉及网上证券信息系统使用时,证券公司应当与客户签订网上证券服务协议或合同、风险揭示书,明确双方的权利、义务和相关风险的责任承担,向客户充分揭示使用网上证券信息系统可能面临的风险、证券公司已采取的风险控制措施和客户应当采取的风险防范措施。揭示内容包括但不限于:建议客户定期修改口令、增强口令强度,防止口令泄露、防止网上证券客户端感染木马、病毒等,并提醒客户可根据需要开启或关闭网上证券交易方式。同时,应在协议或者合同中明确告知客户使用网上证券信息系统的合法途径、意外事件的处理办法,以及证券公司联系方式等。
3.2 处理日志记录
电子日志记录是证券公司客户资料核心信息系统应对电子客户资料的增加、删除和修改等操作进行记录的重要表现形式,记录内容包括实时操作的人员、时间、内容等。记录的保存时间不少于一年。
3.3 客户信息收集
同一般的个人信息控制者,在收集使用客户信息之前,证券公司应当公开收集、使用的规则和目的,并征得客户同意。
对于证券公司收集的客户信息的范畴,在“个人信息“概念的基础上,《证券公司客户资料管理规范》进行内容丰富,主要包括以下类别:
客户基本信息:客户身份信息、资产状况、风险承受能力及其他反映客户基本属性的记载;
业务凭证:客户办理业务过程中产生的业务信息记载。至少包括客户标识、业务内容、业务办理时间等信息;
交易记录:客户通过证券公司进行各类证券交易所产生的信息记载。至少包括客户标识、交易标的物、交易价格、交易数量、交易时间等信息。
证券公司需在隐私政策、用户协议等对外文件中明确自身收集、使用客户信息的具体类型及范围。根据最近“APP违法违规收集使用个人信息的专项治理行动“工作组所制定的《APP违法违规收集使用个人信息自评估指南》要求,运营者需在隐私政策中逐一明确每项业务功能所收集的个人信息类型。对此,我们建议证券公司需在相关对外文件中准确披露主要业务功能下收集、使用个人信息的类型、范围、目的及方式,并获取用户的授权同意。
3.4 客户信息存储
出于业务发展需要,证券行业的相关法律法规对于客户信息的存储提出具体的最低期限要求。证券公司应当保存的客户身份资料,自业务关系结束当年或者一次性交易记账当年计起至少保存20年。而对于交易记录,自交易记账当年计起至少保存20年。
如客户身份资料和交易记录涉及正在被反洗钱调查的可疑交易活动,且反洗钱调查工作在上述最低保存期届满时仍未结束的,金融机构应将其保存至反洗钱调查工作结束。同一介质上存有不同保存期限客户身份资料或者交易记录的,应当按最长期限保存。同一客户身份资料或者交易记录采用不同介质保存的,至少应当按照上述期限要求保存1种介质的客户身份资料或者交易记录。
3.5 客户信息使用与共享
证券基金领域的客户信息,因与客户自身经济利益密切相关,其使用、共享问题受到监管部门的高度关注。《办法》要求,除法律法规和中国证监会另有规定外,证券基金经营机构不得允许或者配合其他机构、个人截取、留存客户信息,不得以任何方式向其他机构、个人提供客户信息。即:仅在法律法规或者证监会的规定的明确许可下,证券公司方可向其他机构、个人共享客户信息。可以说,监管部门对于客户信息共享问题持有较为谨慎的态度。
对此我们关注到,证监会发布并已于2014年12月26日生效的《证券公司客户资料管理规范》中提到,证券公司应对客户资料予以保密,非依法律法规规定、监管报送、客户同意或者因客户身份识别的需要,不得向任何单位和个人提供。我们理解,尽管该规范为不具备强制约束力的推荐性行业规范,但前述管理办法明确以中国证监会规定作为除外情形,上述规范构成证监会对外发布的相关规定。因此,根据我们的解析,证券和基金公司在做好充分且有效的合规前提下,可以规避监管风险。
无论如何,证券和基金公司均需高度关注客户信息的对外共享问题,仔细排查目前涉及客户信息的合作场景以及对应是否具备上述规定明确的合法事由。如无,我们建议需尽快建立合规体系,或采取对相应数据合作进行审查、处理等方式,以降低数据泄露、被滥用的违法风险。
3.6 客户信息保护措施
证券基金公司应采取必要管理措施和技术措施,防止客户身份资料和交易记录的缺失、损毁,防止泄漏客户身份信息和交易信息。具体的技术措施,包括但不限于网络隔离、用户认证、访问控制、数据加密、数据备份、数据销毁、日志记录、病毒防范和非法入侵检测等安全保障措施。
同时,证券基金公司应建立对客户资料管理工作的奖惩机制。尤其是对故意隐匿、伪造、篡改、毁损、泄露客户资料等行为,证券公司应予以处罚。
4. 第三方服务机构合规要求
除证券基金公司外,以《办法》为代表的证券基金公司网络安全及数据合规法律体系,对向证券基金公司的业务活动提供支持服务的信息技术服务机构[4]同样提出合规要求。我们理解,证券基金公司应当对其提供技术服务的机构进行合规和准入审查,监督其数据管理能力的稳定性、安全性以及相应的内控机制,有效防止违法违规事件的发生。
4.1 登记备案及报告义务
信息技术服务机构应主动向中国证监会备案,以获得准入资格。《办法》第44条明确规定,基金管理公司应当选择已在中国证监会备案的信息技术服务机构,并在备案范围内与其开展合作。
基金信息技术服务机构备案应当满足以下清单所示条件:
序号 | 条件 | 具体要求 |
1 | 未遭受行政处罚或重大监管措施 | 近三年未因从事非法金融活动,违反金融监管部门有关规定展业,为非法金融活动提供信息发布服务等情形受到监管部门行政处罚或重大监管措施 |
2 | 无重大违法违规记录 | 机构及其控股股东、实际控制人、实际控制人控制的其他信息技术服务机构最近一年内不存在证券期货重大违法违规记录 |
3 | 信息技术服务能力 | 具备安全、稳定的信息技术服务能力 |
4 | 应急响应能力 | 具备及时、高效的应急响应能力 |
5 | 相关行业业务能力 | 熟悉相关证券基金业务,具备持续评估信息技术产品及服务是否符合监管要求的能力 |
6 | 中国证监会规定的其他情形 |
在申请备案时,基金信息技术服务机构备案材料应当包括本机构基本情况、信息技术服务情况、服务对象情况、内部控制情况等相关材料。备案内容发生变更的,基金信息技术服务机构应当及时更新备案材料。
此外,《办法》第55条要求,当信息技术服务机构出现以下情形时,应当立即报告住所地中国证监会派出机构:
4.2 接受审查
在向证券基金经营机构提供服务之前,信息技术服务机构应向对方开放内部及相关信息系统的审查,接受对方向中国证监会及其派出机构报送审查意见及相关材料。具体审查内容,根据《办法》指引,信息技术服务机构应重视以下方面:业务系统流程设计、功能设置、参数配置和技术实现是否遵循业务合规的原则;风险管理系统功能是否能够与业务系统同步上线运行;是否具备完善的信息安全防护措施,能够保障经营数据和客户信息的安全、完整;是否具备符合要求的信息系统备份及运维管理能力,以保障相关系统安全、平稳运行。
而在提供服务过程中,信息技术服务机构需同样保持对自身信息技术服务能力、应急响应能力的持续监控关注,并接受服务对象的内部评估及审查。
4.3 签订并受服务协议、保密协议约束
证券基金经营机构应当与信息技术服务机构签订服务协议和保密协议,明确各方权利、义务和责任,约定质量考核标准、持续监控机制、异常处理机制、服务变更或者终止的处置流程以及现场服务人员保密要求等内容,并持续监督信息技术服务机构及相关人员落实服务协议和保密协议的情况。其中,服务协议应当明确委托信息技术服务机构提供的服务范围、服务方式、涉及信息系统及相关证券基金业务活动类型。
4.4 健全内部质量控制机制
信息技术服务机构应当健全内部质量控制机制,定期监测相关产品或服务,在提供服务过程中出现明显质量问题的,应当立即核实有关情况,采取必要的处理措施,明确修复完成时限,及时完成修复工作。
4.5 负面行为清单
《办法》第51条对信息技术服务机构所提供的技术服务提出了禁止性行为要求,我们梳理并形成以下负面行为清单,供各信息技术服务机构自查自纠。
序号 | 负面行为 |
1 | 参与证券基金经营机构向客户提供业务服务的任何环节或向投资者、社会公众等发布可能引发其从事证券基金业务误解的信息。 |
2 | 截取、存储、转发和使用证券基金业务活动相关经营数据和客户信息。 |
3 | 在服务对象不知情的情况下,转委托第三方提供信息技术服务。 |
4 | 提供的产品或服务相关功能、操作流程、系统权限及参数配置违反现行法律法规。 |
5 | 无正当理由关闭系统接口或设置技术壁垒。 |
6 | 向社会公开发布信息安全漏洞、信息系统压力测试结果等网络安全信息或泄露未公开信息。 |
7 | 法律法规及中国证监会禁止的其他行为。 |
5. 违规的法律责任
5.1 证券基金公司的法律责任
证券基金公司在未能满足监管合规要求的情况下,可能面临中国证监会采取的从责令改正、责令增加合规检查次数,到暂停业务等的行政监管措施。《办法》第57条规定,证券基金经营机构违反本办法规定的,中国证监会及其派出机构可以依法对其采取责令改正、暂停业务、出具警示函、责令定期报告、责令增加合规检查次数、公开谴责等行政监管措施;对直接负责的主管人员和其他责任人员采取责令改正、监管谈话、出具警示函、公开谴责等行政监管措施。
如证券基金公司未能满足相应合规要求,导致公司治理混乱、内控失效的,依照《办法》第58条规定,中国证监会及其派出机构可以采取责令暂停部分或全部业务、责令更换董事、监事、高级管理人员或者限制其权利等行政监管措施。
需要提醒的是,除了证监会外,网络安全和个人信息的主要执法机构还有国家网信办、工信部、公安部。多重执法主体间不仅可能存在着权责边界模糊、交叉执法的问题,而且在具体执法案例中,各执法主体对于网络安全监管方向存在初步可感知的差异,未有明晰的领域界限[5]。在网络安全监管“九龙治水”现象存在的情况下,证券和基金公司需要结合自身情况,进行全面的合规建设,避免监管风险和行政处罚。
5.2 信息技术服务机构的法律责任
《办法》同样对信息技术服务机构未能满足相应合规要求提出了明确的行政监管乃至行政处罚措施。《办法》第59条、第61条对于信息技术服务机构的违规场景及对应措施进行分别规定:
具体违规场景 | 负面行为 |
信息技术服务机构违反《办法》规定的 | 1. 中国证监会及其派出机构可以要求其提交说明材料,并采取责令改正、监管谈话、出具警示函等行政监管措施; 2. 情节严重的,中国证监会及其派出机构可以对信息技术服务机构及其直接负责的主管人员和其他直接责任人员单处或者并处警告、三万元以下罚款。 |
信息技术服务机构在经营活动中无法持续满足《办法》第47条(即上述信息技术服务机构备案条件清单所列条件)或者违反《办法》第51条(即上述信息技术服务机构负面行为清单所列行为) | 1. 中国证监会及其派出机构可以责令其改正;拒不改正或者情节严重的,注销备案; 2. 信息技术服务机构被注销备案的,不得新增提供信息技术服务,保障存量信息技术服务正常运行、证券交易所上线新产品及中国证监会另有规定的情形除外。 |
5.3 证券基金专项业务服务机构的法律责任
具体违规场景 | 违规法律责任 |
证券基金专项业务服务机构[6]违反《办法》规定的 | 中国证监会及其派出机构可以对证券基金专项业务服务机构及其直接负责的主管人员和其他直接责任人员单处或者并处警告、责令停止基金服务业务或三万元以下罚款等行政监管措施。 |
总结
总结前述,结合监管机构的说明,即将生效的《办法》重点强调了以下几个方面:
全面覆盖各类证券基金服务主体,明确了信息技术的监管安排;
明确治理、安全、合规三条主线脉络;
明确证券基金公司必须设立以信息技术治理委员会为核心的多层组织体系;
强化信息技术的主体责任,严守网络和数据安全的风险;
在确保合规的前提下,鼓励证券基金公司利用信息技术提升服务效能。
综上可看出,证券基金行业的网络安全和数据保护的监管框架体系已经建立,随着《办法》的生效和实施,证券基金行业针对市场参与主体的网络安全及数据保护的专门监管和专项审查活动也正在或即将全面展开。从实践层面上看,自2017年以来,执法部门已在国内各地发起针对网络安全及数据保护义务落实的专项执法检查行动逾五十起[7]。2019年1月起,有关部门联合市场监督管理总局共同开展全年“APP违法违规收集使用个人信息的专项治理行动”[8],在个人信息保护领域引发新的关注热点。对此,证券和基金公司需充分重视即将生效的《办法》和现有的监管趋势,在利用大数据盘活资产,提升效能的同时,积极、主动地开展合规工作,避免重大法律风险的发生。
注:
[1]本文如无特殊批注,“证券公司”均指《证券法(2014修订)》第123条规定的“依照《中华人民共和国公司法》和本法规定设立的经营证券业务的有限责任公司或者股份有限公司“。
[2]这里指公募基金的基金管理公司。
[3]此处仅为建议,各公司需根据法规要求结合自身情况,调整内部信息技术管理组织架构。
[4]《办法》第3条第2款规定,本办法所称信息技术服务机构,是指为证券基金业务活动提供信息技术服务的机构。信息技术服务的范围如下:(一)重要信息系统的开发、测试、集成及测评;(二)重要信息系统的运维及日常安全管理;(三)中国证监会规定的其他情形。
[5]参见:致敬数据合规元年 | 2018《网络安全法》执法案件大盘点http://www.zhonglun.com/Content/2019/01-15/1053489268.html
[6]根据《办法》第63条第(一)项规定,证券基金专项业务服务机构,是指从事公开募集基金的销售、销售支付、份额登记、估值、投资顾问、评价等基金服务业务的机构和证券投资咨询机构。
[7]对于截至2018年底的相关网络安全执法行动,建议关注微信公众号“中伦视界”2019年1月15日《2018<网络安全法>执法案件大盘点》以充分了解监管部门的执法状态及趋势。
[8] 参见http://www.mps.gov.cn/n2254314/n2254457/n2254466/c6382210/content.html
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表为北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
作者简介:
蔡鹏 律师
非权益合伙人
北京办公室
业务领域:知识产权, 科技、电信与互联网, 合规/政府监管
长按识别图中二维码,可查阅该合伙人简历详情。
输12
薛泽涵 律师
北京办公室 知识产权部
作者简介:
点击“阅读原文”,可查阅该专业文章官网版。