曹艳红
惟胜道数字安全研究小组 成员
自2021年8月起,惟胜道数字安全研究小组推出了《数字安全合规月刊》电子版,电子月刊聚焦网络安全与数据保护,呈现前沿动态、新规速递、热点案例、专业解读等内容,帮助读者掌握最新前沿趋势。若您对此感兴趣,请在惟胜会公众号后台留下您的【邮箱+姓名】,并特别注明数字安全合规月刊。
证券公司和基金公司作为证券领域的主要参与者,不仅需保障自身的网络安全、数据安全,以协同行业整体的安全责任,还要管理客户资料、个人信息等业务数据资产,公司及管理者也需从网络安全及数据合规层面做好相应的体系建设和保护工作。以下,笔者以《网络安全法》《数据安全法》《个人信息保护法》为视角,结合《证券基金经营机构信息技术管理办法》(2021年修正)(以下简称 《证券基金管理办法》)及证券基金其他的相关法规,梳理证券基金公司在网络安全与数据合规方面的要求与指引。
一、《网络安全法》下,证券基金公司的合规要求
证券公司和基金公司通过网络为用户提供服务、开展业务活动,属于网络产品和服务的提供者,当然被视为网络运营者。《网络安全法》对符合网络运营者条件的证券和基金公司提出了一系列合规义务。同时,证监会对于证券和基金公司在具体落实层面提出更为明确的要求。
1.设置网络安全负责机构及负责人
《网络安全法》第二十一条规定:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。
《证券基金管理办法》第九条至十一条规定证券基金管理机构应当设立“信息技术治理委员会-首席信息官-信息技术管理部门“的多层级网络安全负责机构。
《证券基金管理办法》在《网络安全法》的基础上,对于证券公司内部建立“网络安全负责人“的要求进行扩充,在关乎公司网络运行安全稳定的信息技术管理层面搭建”信息技术治理委员会-首席信息官-信息技术管理部门“的层级管理机构,对相应职位的职责或任职要求提出明确基线。
2.确定信息系统等级保护
《网络安全法》第二十一条规定:国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。
《证券公司网上证券信息系统技术指引》第五十五条规定:证券公司应当按以下标准确定网上证券信息系统的安全等级,并根据行业信息安全等级保护要求和规定,开展相应的信息安全等级保护工作。
证券公司信息系统等级保护定级、备案、测评、评估要求、流程等基本可适用一般网络安全等级保护制度要求进行落实。但对于以下特定信息系统的定级工作,有特殊要求:①具有证券交易、第三方支付、或对敏感数据进行修改等业务功能,且用户规模在50万或50万以上的信息系统定为三级;用户规模在50万以下的定为二级;②其它网上证券敏感数据信息系统,以及实时行情系统、门户网站系统定为二级。
3.管理产品和服务采购
《网络安全法》第二十三条规定:网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
《证券公司网上证券信息系统技术指引》第五十一、五十二条;《证券基金管理办法》第四十五条;《证券期货业信息安全保障管理办法》第三十六、三十七条均要求证券基金公司对供应商进行管理和评估,同时与供应商签订服务协议和保密协议,并明确本方相应的管理要求。
证券公司应当建立供应商管理制度,定期对供应商的资质、专业经验、产品和服务的质量进行了解和评估。而在与供应商磋商签署网络产品和服务采购合作协议时,应同步签订服务协议和保密协议,并明确以下内容:①各方在信息安全方面(尤其是客户信息安全和保密)的权利、义务和责任;②约定质量考核标准、持续监控机制、异常处理机制、服务变更或者终止的处置流程;③明确客户端、服务端以及数据传输过程中均无后门,明确软件开发商应用软件中使用的插件具备合法版权;④涉及证券期货交易、行情、开户、结算等软件产品或者技术服务的采购合同,应当约定供应商须接受中国证监会及其派出机构的信息安全延伸检查。
4.管理重要数据分类
《网络安全法》第二十四条第(四)项:网络运营者采取数据分类、重要数据备份和加密等措施。
《证券基金管理办法》第三十条规定:证券基金经营机构应当将经营及客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别作出差异化数据管理制度安排。故证券基金公司应按照规定对客户数据按照重要性和敏感性进行分类分级管理。
5.管理信息访问权限
《网络安全法》第二十一条:网络运营者应保障网络免受干扰、破坏或未经授权的访问,防止网络数据泄露或者被窃取、篡改。
《证券基金管理办法》第三十二条规定:证券基金经营机构应当遵循最少功能以及最小权限等原则分配信息系统管理、操作和访问权限,并履行审批流程。合规管理和风险管理部门应当对权限管理制度和操作流程进行合规审查及风险控制。
证券公司应当遵循最少功能以及最小权限等原则分配信息系统管理、操作和访问权限,并履行审批流程。合规管理和风险管理部门应当对权限管理制度和操作流程进行合规审查及风险控制。同时,证券公司应严格客户资料查阅管理,建立查阅审批机制,防止客户资料丢失和泄密,要求具体包括:①内部查阅客户资料的,应提出申请,并经过审批留痕。②受理客户查阅申请的,应采取有效措施验证客户身份。③通过信息系统查阅客户资料的,应通过技术手段对操作者进行可靠的身份识别与权限控制,防止因非工作需要访问客户资料。④归档的客户资料不应外借,查阅人可以抄录、照相、复印或复制,证券公司应对查阅情况进行记录或做到系统留痕。
6.制定网络安全事件应急预案及启动演练
《网络安全法》第二十五条规定:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
《证券基金管理办法》第三十七条至三十九条对证券基金公司网络安全事件应急预案及演练作了进一步扩充要求,明确应急预案内容、分工以及应急演练组织要求。
证券基金公司应制定并持续完善网络安全与数据安全事件应急预案,需包括以下内容:应急管理建设目标、备份信息系统建设和恢复机制、备份数据恢复机制、业务恢复或替代措施、应急联系方式、与客户沟通方式、向监管部门及有关单位的报告路径、应急预案披露与更新机制等。公司内部的信息技术管理部门应为信息技术应急管理的牵头组织部门。在制定应急预案制度的基础上,证券基金公司应每半年至少组织一次网络与信息安全应急演练,并确保应急演练在两年内覆盖全部重要信息系统。应急演练应当形成报告,保存期限不得少于五年。此外,每年应向住所地证监部门报告年度应急演练情况。
7.信息系统运维支持及信息报送
《网络安全法》第三十八条规定:关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
《证券基金管理办法》第六十、六十二条中明确网上证券信息系统应当具备足够的冗余,并具备良好的可扩充性,以应对业务增长和市场的变化等。
证券基金公司应当由信息技术安全管理部门负责信息系统、信息系统所使用技术措施、所在的机房、网络环境等的日常管理,保证信息系统运营正常。而在新建或更换重要信息系统所在机房、证券基金交易相关信息系统,应当在开展相关业务活动的五个工作日内向中国证监会报送有关资料,包括内部审查意见、机房基本信息、技术架构设计、操作流程、信息安全管理资料、业务制度、合规管理及风险管理制度等。
二、《数据安全法》下,证券基金公司的合规要求
1.建立数据分类分级保护制度和重要数据的特别保护制度
《数据安全法》第二十一条规定:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
证券基金公司应当将经营及客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别作出差异化数据管理制度安排。根据《证券期货业数据安全标准规划》的要求指引,对于数据安全,可分为4类数据,根据数据敏感度,以及如果发生数据泄露或损毁对于数据主体、行业带来的损失和影响,从高到低分为1类数据(最高)、2类数据、3类数据、4类数据。对于数据安全分级,共分为4级数据安全防护措施,根据攻击及威胁强度,以及面对威胁的反应和恢复速度,从低到高分为一级数据安全防护措施、二级数据安全防护措施、三级数据安全防护措施、四级数据安全防护措施(最高)。
2.建立数据交易制度和数据中介服务制度
《数据安全法》第十九条规定:“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。”第三十三条规定:“从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。”
证券基金公司应按照《数据安全法》规定收集数据采取合法、正当的方式,从事数据交易中介服务时应当要求数据提供方或者向对方说明数据来源(当然,这里说明的数据来源必须是合法的来源,且不止是数据交易中介服务机构需要核查,企业直接从数据供应商处采购数据时亦需要遵从此项义务)。
3.定期对数据活动开展风险评估,并出具报告
《数据安全法》第三十条规定:重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
《证券基金管理办法》第五十六条规定:中国证监会及其派出机构在对证券基金经营与服务机构信息技术管理及服务活动的监管过程中,可以采用渗透测试、漏洞扫描及信息技术风险评估等方式开展现场检查及非现场检查。证券基金经营与服务机构应当予以配合,如实提供有关文件、资料,不得拒绝、阻碍或隐瞒。
证券基金公司应根据《数据安全法》及《证券基金管理办法》,定期对数据活动开展风险评估,对数据安全风险信息进行分析,预测风险发生的可能性、影响范围、危害程度及应对措施等,及时向有关部门报送风险评估报告。
三、《个人信息保护法》下,证券基金公司的合规要求
证券基金公司作为资本市场与投资者的连接点,基于为投资者提供金融服务的目的,在投资者个人信息的收集上有着天然的便利。《个人信息保护法》生效后,证券基金公司将面临如何处理投资者个人信息保护与投资者个人信息的开发利用等问题。
1.处理投资者个人信息需同意并告知
《个人信息保护法》对于投资者个人信息处理(包含收集、储存、使用、加工、传输、提供、公开、删除等)的法律基础,在《网络安全法》以“同意——告知”为核心的单一基础上,进一步拓宽了具体的应用场景。证券基金公司处理投资者个人信息除了投资者个人的同意以外,还包括为履行法定职责或法定义务所必须、合理范围内处理公开个人信息等。对于证券基金公司而言,要想全面梳理投资者个人信息的处理目的、范围、方式,对于投资者个人信息处理的法律基础的论证将成为合规管理的基本前提,特别是对于投资者同意和其他合法基础的区分。
依据对于个人信息处理的法律基础,可以将目前证券基金公司获取投资者个人信息的类型划分为两类:一类是基于履行法定职责、法定义务收集的信息。该类信息依据收集目的,又可以进一步细分为两类:其一是经营机构基于为投资者办理金融账户开立手续所需要收集的、用以作为后续投资者身份确认的信息,如期货公司基于《期货市场开户管理规定》等在客户开立账户环节收集的投资者姓名、身份证号、联系电话等信息;其二是经营机构基于履行其他法定义务,包括但不限于反洗钱管理、非居民税收管理、投资者适当性管理等收集的投资者的其他信息。
另一类是基于其他经营管理要求收集的信息。该类信息主要是金融机构基于优化客户服务体验、精准营销等目的收集的,如通过收集记录投资者对于不同期货品种的研究报告的点击、阅读频率,向投资者定向推送特定期货品种的研究报告。
对于第一类信息,因为是基于正当且合理的法律基础进行处理的,证券基金公司通过传统的、在隐私政策中进行披露等方式落实信息处理的“告知”义务即可;对于第二类信息,除了“告知”义务,还应当获得投资者对于处理其个人信息的“同意”,即非经投资者个人同意,不得处理相关信息。针对第二类信息的处理,证券基金公司应当充分评估其处理边界,并完善投资者对个人信息处理提出异议的应对机制。
2.建立投资者个人信息的分类分级标准
《个人信息保护法》将投资者的个人信息分为敏感信息和非敏感信息,对于敏感信息的处理要求需要遵循更为严格的规则,包括但不限于敏感信息的处理需要有“特定的”目的和“充分的”必要性、需要采取“严格的”保护措施、需要取得“个人的单独同意”。
在《个人信息保护法》的规定下,证券基金公司取得投资者同意的方式,除了需要技术手段上的开发完善,还需要内部制定投资者个人信息分类分级的管理机制,对于何类信息属于投资者个人的敏感信息进行明确并采取更高水平的安全措施予以保护。《个人信息保护法》第二十八条对于个人敏感信息作了规定与证券基金公司关联度较大的主要是特定身份与金融账户。其中,特定身份信息应当包括投资者身份识别的唯一及特定信息,如身份证、军官证、护照、驾驶证等;金融账户信息应当包含投资者在经营机构开立的账户信息(包含账户内的资金信息、投资记录等)、身份鉴别信息(账户口令)、交易信息等。
3.与第三方的合作中,更加注重对投资者个人信息保护
《个人信息保护法》第二十条、二十一条对于投资者个人信息的共同处理、委托处理以及向他人提供的有关要求进行了规定。证券基金公司在后续与第三方的合作中,应当注重对投资者个人信息保护的权责义务的约定,结合双方的地位、个人信息处理活动的边界等约定相适应的权利和义务,并依据合作关系所涉及的个人信息处理活动的风险程度,酌情采取审计、持续监控等措施,以避免后续纠纷。
4.建立重点关注投资者个人权利的申请受理和处理机制
《个人信息保护法》第四章对于投资者个人在个人信息处理活动中的权利进行了全面的介绍,包括但不限于投资者的知情权、决定权、限制权、拒绝权、删除权等。作为证券基金公司而言,响应投资者个人行使上述权利就成为了公司的义务。《个人信息保护法》亦明确“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制”。具体在落实中,需要重点关注如下两类业务场景下的投资者个人权利的申请受理和处理机制的建立:
第一类业务是投资者个人不同意处理其个人信息的。对于证券基金公司基于履行法定职责、义务需要处理的信息,如果投资者拒绝,那么证券基金公司拒绝为其提供产品或者服务是合情合理的;如果属于证券基金公司基于经营管理需要额外处理的信息,因为投资者拒绝而不提供对应的产品或服务,就要三思而行了。
第二类业务是投资者个人撤回对其个人信息处理的同意。随着《个人信息保护法》的生效,这种流动将转变为双向的,即投资者如果履行其对个人信息处理同意的撤销权,投资者的信息将从经营机构回流至投资者,经营机构后续不得再继续处理投资者撤回同意部分的信息。如果投资者行使了撤销权,虽然不影响撤销前已经开展的个人信息处理活动,但是因为后续不能继续处理,所以核心数据仓库一方面要停止对已经收集的投资者信息的其他处理工作,还需要向其数据流出的各个平台发送相关指令或者加上数据标签,明确投资者的相关信息处理权利已经被撤销这一状态,这对经营机构处理投资者信息的技术手段提出了更高的要求。
四、证券基金公司的法律责任
证券基金公司在未能满足监管合规要求的情况下,可能面临中国证监会采取的从责令改正、责令增加合规检查次数,到暂停业务等的行政监管措施。《证券基金管理办法》第五十七条规定,证券基金经营机构违反本办法规定的,中国证监会及其派出机构可以依法对其采取责令改正、暂停业务、出具警示函、责令定期报告、责令增加合规检查次数、公开谴责等行政监管措施;对直接负责的主管人员和其他责任人员采取责令改正、监管谈话、出具警示函、公开谴责等行政监管措施。
如证券基金公司未能满足相应合规要求,导致公司治理混乱、内控失效的,依照《证券基金管理办法》第五十八条规定,中国证监会及其派出机构可以采取责令暂停部分或全部业务、责令更换董事、监事、高级管理人员或者限制其权利等行政监管措施。
需要提醒的是,除了证监会外,网络安全和个人信息的主要执法机构还有国家网信办、工信部、公安部。多重执法主体间不仅可能存在着权责边界模糊、交叉执法的问题,而且在具体执法案例中,各执法主体对于网络安全监管方向存在初步可感知的差异,未有明晰的领域界限。在网络安全监管混乱现象存在的情况下,证券和基金公司需要结合自身情况,进行全面的合规建设,避免监管风险和行政处罚。