每經(jīng)記者｜王硯丹    每經(jīng)編輯｜肖芮冬    

今日（3月3日）晚間，證監(jiān)會官網(wǎng)發(fā)文稱，為有效落實《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》相關要求，規(guī)范證券期貨業(yè)網(wǎng)絡和信息安全管理，防范化解行業(yè)網(wǎng)絡和信息安全風險，維護資本市場安全平穩(wěn)高效運行，證監(jiān)會制定并發(fā)布了《證券期貨業(yè)網(wǎng)絡和信息安全管理辦法》（以下簡稱《辦法》）。該辦法將于今年5月1日正式實施。

值得一提的是，近年來，雖然不斷加大信息技術投入力度，券商APP“掉鏈子”情況時有發(fā)生。2022年，就有招商證券、華西證券、西部證券、國元證券等券商出現(xiàn)此類輿情。

證券期貨業(yè)網(wǎng)絡和信息安全面臨的新情況新問題逐漸凸顯

證監(jiān)會指出，近年來，證券期貨業(yè)機構對網(wǎng)絡和信息安全的重視程度大幅提升，組織架構和制度體系持續(xù)優(yōu)化，信息技術投入逐年增加，行業(yè)網(wǎng)絡和信息安全運行態(tài)勢總體平穩(wěn)。但是，隨著行業(yè)數(shù)字化智能化加速發(fā)展、網(wǎng)絡和信息安全上升為國家戰(zhàn)略、資本市場持續(xù)深化改革等內外部條件的變化，證券期貨業(yè)網(wǎng)絡和信息安全面臨的新情況新問題逐漸凸顯。

2022年4月29日～5月29日，證監(jiān)會就《辦法》草案向社會公開征求意見。總體看，各方對《辦法》草案的起草思路、主要內容認可度較高。經(jīng)認真研究，證監(jiān)會對其中部分意見予以吸收采納。

《辦法》全面覆蓋了包括證券期貨關鍵信息基礎設施運營者、核心機構、經(jīng)營機構、信息技術系統(tǒng)服務機構等各類主體，以安全保障為基本原則，對網(wǎng)絡和信息安全管理提出規(guī)范要求，主要內容包括：網(wǎng)絡和信息安全運行、投資者個人信息保護、網(wǎng)絡和信息安全應急處置、關鍵信息基礎設施安全保護、網(wǎng)絡和信息安全促進與發(fā)展、監(jiān)督管理和法律責任等。

《辦法》共八章七十五條，對證券期貨業(yè)網(wǎng)絡和信息安全監(jiān)督管理體系、網(wǎng)絡和信息安全運行、投資者個人信息保護、網(wǎng)絡和信息安全應急處置、關鍵信息基礎設施安全保護、網(wǎng)絡和信息安全促進與發(fā)展、監(jiān)督管理與法律責任等方面提出了要求。

要點一：督促行業(yè)機構建立健全網(wǎng)絡和信息安全管理體制機制

《每日經(jīng)濟新聞》對《辦法》的核心要點進行了梳理。首先，《辦法》規(guī)定，核心機構和經(jīng)營機構應當具有完善的信息技術治理架構，健全網(wǎng)絡和信息安全管理制度體系，建立內部決策、管理、執(zhí)行和監(jiān)督機制，確保網(wǎng)絡和信息安全管理能力與業(yè)務活動規(guī)模、復雜程度相匹配。

核心機構和經(jīng)營機構應當明確主要負責人為本機構網(wǎng)絡和信息安全工作的第一責任人，分管網(wǎng)絡和信息安全工作的領導班子成員或者高級管理人員為直接責任人。

要點二：要求核心機構、經(jīng)營機構審慎開展系統(tǒng)新建、變更和移除工作

核心機構和經(jīng)營機構新建上線、運行變更、下線移除重要信息系統(tǒng)的，應當充分評估技術和業(yè)務風險，制定風險防控措施、應急處置和回退方案，并對相關結果進行復核驗證。

可能對證券期貨市場安全平穩(wěn)運行產生較大影響的，應當提前向中國證監(jiān)會及其派出機構報告。

核心機構和經(jīng)營機構不得在交易時段對重要信息系統(tǒng)進行變更，重要信息系統(tǒng)存在故障、缺陷，經(jīng)評估須進行緊急修復的情形除外。

要點三：要求核心機構、經(jīng)營機構建立網(wǎng)絡和信息安全防護體系

《辦法》規(guī)定，核心機構和經(jīng)營機構應當建立本地、同城和異地數(shù)據(jù)備份設施，重要信息系統(tǒng)應當每天至少備份數(shù)據(jù)一次，每季度至少對數(shù)據(jù)備份進行一次有效性驗證。

核心機構和經(jīng)營機構重要信息系統(tǒng)的性能容量應當在歷史峰值的兩倍以上。核心機構交易時段相關網(wǎng)絡近一年使用峰值應當在當前帶寬的百分之五十以下，經(jīng)營機構交易時段相關網(wǎng)絡近一年使用峰值應當在當前帶寬的百分之八十以下。

要點四：明確投資者個人信息保護相關原則和措施

《辦法》規(guī)定，核心機構和經(jīng)營機構應當按照法律法規(guī)的規(guī)定及合同的約定處理投資者個人信息，明確告知投資者處理個人信息的目的、方式、范圍和隱私保護政策，不得超范圍收集和使用投資者個人信息，不得收集提供服務非必要的投資者個人信息。

合同約定事項應當基于從事證券期貨業(yè)務活動的必要限度。核心機構和經(jīng)營機構不得以投資者不同意處理其個人信息或者撤回同意為由，拒絕向投資者提供服務，為投資者提供服務所必需、履行法定職責或者法定義務等情形除外。

核心機構和經(jīng)營機構利用生物特征進行客戶身份認證的，應當對其必要性、安全性進行風險評估，不得將人臉、

步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的客戶身份認證方式，強制客戶同意收集其個人生物特征信息。

要點五：規(guī)定相應罰則，并規(guī)定創(chuàng)新容錯相關制度安排

核心機構違反本辦法規(guī)定的，中國證監(jiān)會可以對其采取責令改正、監(jiān)管談話等監(jiān)管措施；對有關高級管理人員給予警告、記過、記大過、降級、撤職、開除等行政處分，并責令核心機構對其他責任人給予紀律處分。

經(jīng)營機構和信息技術系統(tǒng)服務機構違反本辦法規(guī)定的，中國證監(jiān)會及其派出機構可以對其采取責令改正、監(jiān)管談話、出具警示函、責令公開說明、責令定期報告、責令增加內部合規(guī)檢查次數(shù)等監(jiān)管措施；對直接責任人和其他責任人員采取責令改正、監(jiān)管談話、出具警示函等監(jiān)管措施；情節(jié)嚴重的，對相關機構及責任人員單處或者并處警告、十萬元以下罰款，涉及金融安全且有危害后果的，并處二十萬元以下罰款。

多家券商曾因APP“掉鏈子”受罰

近年來，證券行業(yè)不斷加大信息技術投入。根據(jù)中證協(xié)數(shù)據(jù)統(tǒng)計，2017年～2020年，證券行業(yè)在信息技術領域累計投入達845億元。2021年證券行業(yè)IT總投入為303.55億元，同比增長26.51%。

但有關券商APP掉鏈子的輿情時有發(fā)生。2022年3月14日，招商證券App在早盤期間出現(xiàn)故障，無法正常買入賣出，招商證券也因此登上微博熱搜。2022年3月15日，有投資者反映，國信證券交易軟件出現(xiàn)行情不能刷新，無法看盤和交易的情況。

而在2022年5月16日早間，僅僅兩個月后，又有投資者在網(wǎng)絡上反映稱，招商證券PC端與App端系統(tǒng)均無法登錄，造成無法正常交易。同一天，華西證券交易系統(tǒng)也在早盤期間出現(xiàn)故障，導致無法交易。兩個月后，2022年7月21日，西部證券APP早間又出現(xiàn)故障。

券商APP頻頻宕機引起了投資者不滿，同時也讓涉事券商收到了監(jiān)管罰單。

2022年4月2日，深圳證監(jiān)局就宕機事故對招商證券采取責令改正措施。7月12日，證監(jiān)會決定對招商證券總裁助理、首席數(shù)字官胡滔，金融科技中心總監(jiān)鄧曙光，金融科技中心核心交易開發(fā)部總經(jīng)理陳卓，采取出具警示函的行政監(jiān)管措施。

2022年6月29日，安徽證監(jiān)局也向國元證券出具警示函。根據(jù)該警示函，國元證券手機客戶端交易軟件在系統(tǒng)升級、變更上線前未進行充分測試；手機客戶端交易軟件在2022年6月13日發(fā)生故障，未及時向證監(jiān)局報告；信息安全應急預案不完備。

根據(jù)中國證券投資者保護基金有限責任公司發(fā)布的《證券公司投資者保護狀況評價報告（2022）》，“2021年度，因交易系統(tǒng)穩(wěn)定性被投訴的證券公司有79家，累計被投訴944次，較上一年度（1103次）有所下降，相關證券公司應進一步做好交易系統(tǒng)的日常運維工作，切實保護投資者合法權益。”

封面圖片來源：視覺中國-VCG211276657648