专业解读 | 证券期货业网络和信息安全及数据保护合规指引(中)——重点解读:核心机构和经营机构合规义务
引言
结合近年来颁布实施的证券期货领域部门规章及行业标准,上篇《证券期货业网络和信息安全及数据保护合规指引(上)——监管范畴及亮点总结》对《证券期货业网络和信息安全管理办法》(以下简称“《办法》”)监管范畴内的各类适用主体进行详细解读,并总结了《办法》的七大亮点内容,为读者提供了《办法》的全景概览。
在具体开展网络和信息安全及数据保护工作过程中,核心机构和经营机构应当遵循保障安全、促进发展的基本原则,依法履行相关合规义务。在本篇中,我们梳理了《办法》中核心机构和经营机构针对本机构的网络和信息安全及数据保护应当履行的主体责任,以期为核心机构和经营机构进行网络和信息安全及数据保护提供参考。
一、网络和信息安全运行
01 组织架构及人员
1)从组织架构上来看,核心机构和经营机构应建立完善的信息技术治理架构,指定或者设立网络和信息安全工作牵头部门或者机构。证券基金经营机构[1]应在公司管理层设立信息技术治理委员会或指定专门委员会,信息技术委员会应由公司高管及相关部门负责人组成。
2)从责任人员上来看,核心机构和经营机构应设立“两层责任人管理体系”,明确本机构的主要负责人为网络及信息安全工作的第一责任人,分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人。值得注意的是,证券基金经营机构应指定一名高管作为首席信息官,负责信息技术管理工作,作为本机构信息技术管直接责任人。
3)从人员培训上来看,核心机构和经营机构应每年至少开展一次全员网络和信息安全教育活动。加强网络和信息安全人才队伍建设,建立合适的人才培养机制,确保人岗匹配。
02 体系、机制与制度构建
从网络和信息安全运行的制度保障上,《网络安全法》《数据安全法》《个人信息保护法》《证券基金经营机构信息技术管理办法》等均提出了原则性的要求。《办法》在全面梳理相关法律法规及规范的基础上,针对核心机构和经营机构在体系、机制和制度构建层面,提出了细致、全面、具体的合规要求,具体如下:
(点击可查看大图)
03 重要信息系统合规要求
此前,证券期货业信息系统一般会依据对金融安全、社会秩序以及投资者权益的损害程度将信息系统为一至五类系统[2],或根据重要性分为非核心交易业务系统和核心交易业务系统。自《证券基金经营机构信息技术管理办法》实施以来,监管机构提出“重要信息系统”的分类,强调相关机构对重要信息系统的保护义务。《办法》进一步明确了重要信息系统的概念,指出重要系统是承载证券期货关键业务的系统,如发生数据安全事件会对证券期货市场和投资者产生重大的影响。
重要信息系统的认定与关键基础设施的认定不同,关键信息基础设施需由监管机构根据行业实际进行认定,而重要信息系统需由相关机构根据自身业务实际自行认定。实践中,核心机构和经营机构应准确识别重要信息系统的类型,从而履行针对重要信息系统的保护义务。具体如下:
(点击可查看大图)
04 数据治理
核心机构和经营机构掌握着大量的敏感个人信息和金融数据,应充分落实数据治理的法律义务,防范数据泄露和违法处理的风险。《办法》从数据安全、敏感数据以及数据的留存等角度对重点义务进行了强调。
1)从数据安全的要求来看,核心机构和经营机构应建立网络和信息安全防护体系,综合采取一种或多种方式对网络和数据安全进行防护,提升网络和信息安全防护能力,及时识别、阻断相关网络攻击,保护重要信息系统和相关基础设施,防范信息泄露与损毁。可采取的安全保障措施包括但不限于:网络隔离、用户认证、访问权限控制、策略管理、数据加密、网站防篡改、病毒木马防范、非法入侵检测和网络安全态势感知等手段。此外,《证券期货业数据安全管理与保护指引》(JR/T 0250—2022)也针对数据安全管理与保护提供了行业标准。
2)从敏感数据的处理要求来看,《办法》强调在信息系统测试环境中,除必须使用敏感数据外,核心机构和经营机构应当对敏感数据进行脱敏,对未脱敏数据应当采取与正式环境同等的安全控制措施。
3)从数据留存和数据备份的要求来看,办法专门规定了重要信息系统的日志留存和备份要求,要求核心机构和经营机构应当建立本地、同城和异地数据备份设施,重要信息系统业务日志应当保存五年以上,系统日志应当保存六个月以上。
05 数据分类分级
《办法》中虽未就数据的分类分级管理对核心机构和经营机构提出要求,但是数据分类分级仍应是核心机构和经营机构应重点关注的合规义务。证监会此前已发布《证券期货业数据分类分级指引》(JR/T 0158—2018)的行业标准,指导相关机构开展数据分类分级工作。
根据《证券期货业数据分类分级指引》,对于数据分类,机构可根据实际情况,从业务条线(一级子类)、业务管理(二级子类)的角度对数据进行分类,一般情况下,数据分类仅细分到业务管理二级子类。对于数据分级,可从影响对象、影响范围以及影响程度多角度对数据进行定级,数据级别可以使用数字进行标识,如4级(极高)、3级(高)、2级(中)、1(低)。我们建议,核心机构和经营机构可按照上述基本原则对数据资产进行盘点,并根据数据分类分级情况采取不同的保护机制。相关机构可参考以下示例进行分类分级:
(点击可查看大图)
二、投资者个人信息保护
自《个人信息保护法》实施以来,个人信息保护的关注热度持续增高,尤其在证券期货行业,相关机构掌握的个人信息多为敏感个人信息,相关机构更应重点关注个人信息保护的合规要求。2022年8月,证监会发布了《关于加强证券期货经营机构客户交易终端信息等客户信息管理的规定》,专门就证券期货经营机构的客户信息管理进行规范,《办法》的发布又再次强调投资者个人信息保护的法律义务。核心机构和经营机构处理投资个人信息应遵循合法、正当、必要的原则,建立健全个人信息保护体系和管理机制,加强投资者个人信息保护。
01 个人信息的处理要求
1)明确告知:核心机构和经营机构对投资者进行个人信息处理应明确告知投资者处理个人信息的目的、方式、范围以及隐私保护政策。
2)最小、必要:核心机构和经营机构不得超范围收集和使用个人信息,不得收集提供服务非必要的个人信息;核心机构和经营机构应当按照法律法规的规定及合同约定处理个人信息,合同约定事项应当基于从事证券期货业务活动的必要限度。
3)全生命周期合规:核心机构和经营机构应当确保个人信息在收集、存储、使用、加工、传输、提供、公开、删除等处理过程中的合规、安全。
02 个人信息对外提供
《办法》规定了核心机构和经营机构向第三方机构提供投资者个人信息的规则,但是我们发现,根据《证券基金经营机构信息技术管理办法》,除法律法规和中国证监会另有规定外,证券基金经营机构不得以任何方式向其他机构、个人提供客户信息。也就是说,证券基金经营机构对外提供个人信息的场景仅能在法律法规和监管机构规定的情况下开展,实际对外提供的场景不多,监管对相关机构对外提供个人信息持谨慎态度。鉴于此,核心机构和经营机构如确需对外提供个人信息的,仍需在证监会规定的场景下对外提供,同时履行如下合规义务:
1)明确告知:明确告知投资者个人信息处理目的、处理方式、个人信息种类、保存期限、保护措施以及相关方的权利和义务等。
2)单独同意:取得投资者个人单独同意。
此外,根据《个人信息保护法》,个人信息处理者对外提供个人信息的,还应进行个人信息影响评估。
03 敏感个人信息处理
核心机构和经营机构处理投资者敏感个人信息的,应获得投资者的单独同意。此外,《办法》又基于行业的特殊性,针对特定场景,对于敏感个人信息的处理提出了特殊的要求:
1)短信、邮件场景:核心机构和经营机构通过短信、邮件等非自主运营渠道发送投资者敏感个人信息的,应当进行脱敏处理。即,如相关机构使用了第三方提供的短信或者邮件服务,向客户发送的信息中包含敏感个人信息的,应对相关敏感个人信息应进行脱敏处理。这就要求,机构应对敏感个人信息的类型进行准确的识别。
2)客户身份认证场景:客户身份认证环节是证券期货业中最常见的个人信息收集的场景,《办法》要求,核心机构和经营机构应对利用生物特征进行客户身份认证的必要性、安全性进行风险评估,且不得将生物特征作为唯一的客户身份认证方式,不得强制客户同意收集其个人生物特征信息。我们建议,相关机构对于客户身份认证环节应为投资者提供多种认证方式,不得仅以生物特征识别作为唯一的认证方式,强迫收集投资者生物特征信息。
04 个人信息存储
针对投资者个人信息存储的期限,核心机构和经营机构应遵循法律法规的规定或基于实现处理目的最短的期限进行存储。根据《关于加强证券期货经营机构客户交易终端信息等客户信息管理的规定》,证券期货经营机构应妥善保存客户交易终端信息和开户资料电子化信息,保存期限不得少于20年,交易时段客户交易区的监控录像资料保存期限不得少于6个月。此外,我们注意到在《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》中针对上述信息的最小保存期限仅为5年。在此种情况下,我们建议经营机构应按照较长的时间期限进行存储,以满足监管的合规要求。
三、网络和信息安全应急处置
网络安全应急处置机制是网络安全事件发生后降低损失的有效途径。核心机构和经营机构不仅需要建立应急处置机制,还需建立前置的风险排除、应急预案和应急演练机制,提前做好网络安全事件的应对,防患于未然。
01 风险排除
核心机构和经营机构发现网络和信息安全产品或者服务存在安全缺陷、安全漏洞等风险隐患的,应当及时核实并加固整改,尽快恢复信息系统正常运行,保护事件现场和相关证据。
如网络安全事件对投资者造成影响的,应当及时通过官方网站、客户交易终端、电话或者邮件等有效渠道通知相关方可以采取的替代方式或者应急措施,提示相关方防范和应对可能出现的风险。
02 应急预案
核心机构和经营机构应当根据实际的业务情况,制定网络安全应急预案,明确应急目标、应急组织和处置流程。同时,《办法》规定了,核心机构和经营机构制定的应急预案应覆盖的应急场景,包括网络安全事件、自然灾害和公共卫生事件、本机构网络和信息安全相关重大人事变动、主要信息技术系统服务机构退出等情形。
03 应急演练
核心机构和经营机构定期开展网络安全应急演练,并形成应急演练报告存档备查。应急演练是应急处置的练兵,对于网络安全应急处置具有重要意义。
此外,针对核心机构,《办法》要求核心机构应保障证券期货市场的相关信息系统和网络通信设施的安全平稳运行,每年至少组织开展一次与核心机构信息系统和网络通信设施相关联主体开展网络安全应急演练,并于演练后15个工作日内将相关情况报告中国证监会。
04 报告及调查
《办法》针对核心机构和经营机构的网络安全事件的报告和调查仅做了原则性的规定,《证券期货业网络安全事件报告与调查处理办法》中针对核心机构和经营机构网络安全事件报告和调查提出了更细致的合规要求。具体流程如下:
(点击可查看大图)
四、核心机构之特殊合规义务
核心机构承担了证券期货市场重要公共职能和信息技术公共基础设施的运营,是证券期货市场中维护市场平稳、顺畅运行的核心参与者,是证券、期货交易的必须参与者。在上述核心机构和经营机构的一般合规义务的基础上,《办法》针对核心机构设置了特殊的合规要求。具体如下:
01 技术规则制定
《办法》要求核心机构依法制定保障市场相关主体与核心机构信息系统安全互联的技术规则,加强对相关联主体的加强指导,并督促其加强网络和信息安全管理工作。核心机构制定的技术规则能够有效保障市场中相关主体能够按照相关的技术要求与核心机构互联,促使经营机构履行相应的合规义务。
02 检测、认证等监管支撑工作
《办法》规定核心机构可以申请开展证券期货业网络和信息安全相关认证、检测、测试和风险评估等监管支撑工作,针对上述工作,相关核心机构应当保障充足的资源投入,完善内部管理制度和工作流程,保证工作专业性、独立性和公信力。
同时,《办法》还明确规定了任何机构和个人不得违规开展证券期货业信息系统认证、检测、风险评估等活动。即,除核心机构有权依法申请开展信息系统认证、检测、风险评估外,其他机构均无权申请开展上述工作,也不得违规开展上述工作,否则需承担相应的法律责任。
五、下期预告
在证券期货业领域中,信息技术系统服务机构作为重要信息系统的供应商,相较于一般信息系统服务机构应承担更严格的合规义务。对此,《办法》从备案、安全保障以及合规体系构建等方面对信息技术系统服务机构提出了特殊的合规要求。而核心机构和经营机构的信息系统和基础设施一旦监管部门认定为CII,核心机构和经营机构将成为CIIO,相应的,CIIO也将承担更严格的法律义务。我们将在《证券期货业网络和信息安全及数据保护合规指引(下)——重点解读:信息技术系统服务机构和CIIO合规义务》中,梳理并解读信息技术系统服务机构与证券期货业CIIO的具体合规义务。
注释
[1] 本文所述“证券基金经营机构”系指境内设立的证券公司和管理公开募集基金的基金管理公司。
[2] 参见《证券期货业网络安全事件报告与调查处理办法》。
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
解读文章
本期编辑:王梦迪 陈雨婕 唐静思
长按二维码一键关注
期待您的“赞”和“分享”