五大要點(diǎn)勾勒證券期貨業(yè)網(wǎng)絡(luò)安全新規(guī)：不得強(qiáng)制客戶(hù)同意收集其個(gè)人生物特征信息！新規(guī)將于5月1日實(shí)施

每經(jīng)記者 王硯丹    每經(jīng)編輯 肖芮冬    

今日（3月3日）晚間，證監(jiān)會(huì)官網(wǎng)發(fā)文稱(chēng)，為有效落實(shí)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》相關(guān)要求，規(guī)范證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理，防范化解行業(yè)網(wǎng)絡(luò)和信息安全風(fēng)險(xiǎn)，維護(hù)資本市場(chǎng)安全平穩(wěn)高效運(yùn)行，證監(jiān)會(huì)制定并發(fā)布了《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》（以下簡(jiǎn)稱(chēng)《辦法》）。該辦法將于今年5月1日正式實(shí)施。

值得一提的是，近年來(lái)，雖然不斷加大信息技術(shù)投入力度，券商APP“掉鏈子”情況時(shí)有發(fā)生。2022年，就有招商證券、華西證券、西部證券、國(guó)元證券等券商出現(xiàn)此類(lèi)輿情。

證券期貨業(yè)網(wǎng)絡(luò)和信息安全面臨的新情況新問(wèn)題逐漸凸顯

證監(jiān)會(huì)指出，近年來(lái)，證券期貨業(yè)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)和信息安全的重視程度大幅提升，組織架構(gòu)和制度體系持續(xù)優(yōu)化，信息技術(shù)投入逐年增加，行業(yè)網(wǎng)絡(luò)和信息安全運(yùn)行態(tài)勢(shì)總體平穩(wěn)。但是，隨著行業(yè)數(shù)字化智能化加速發(fā)展、網(wǎng)絡(luò)和信息安全上升為國(guó)家戰(zhàn)略、資本市場(chǎng)持續(xù)深化改革等內(nèi)外部條件的變化，證券期貨業(yè)網(wǎng)絡(luò)和信息安全面臨的新情況新問(wèn)題逐漸凸顯。

2022年4月29日～5月29日，證監(jiān)會(huì)就《辦法》草案向社會(huì)公開(kāi)征求意見(jiàn)。總體看，各方對(duì)《辦法》草案的起草思路、主要內(nèi)容認(rèn)可度較高。經(jīng)認(rèn)真研究，證監(jiān)會(huì)對(duì)其中部分意見(jiàn)予以吸收采納。

《辦法》全面覆蓋了包括證券期貨關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)、信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)等各類(lèi)主體，以安全保障為基本原則，對(duì)網(wǎng)絡(luò)和信息安全管理提出規(guī)范要求，主要內(nèi)容包括：網(wǎng)絡(luò)和信息安全運(yùn)行、投資者個(gè)人信息保護(hù)、網(wǎng)絡(luò)和信息安全應(yīng)急處置、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、網(wǎng)絡(luò)和信息安全促進(jìn)與發(fā)展、監(jiān)督管理和法律責(zé)任等。

《辦法》共八章七十五條，對(duì)證券期貨業(yè)網(wǎng)絡(luò)和信息安全監(jiān)督管理體系、網(wǎng)絡(luò)和信息安全運(yùn)行、投資者個(gè)人信息保護(hù)、網(wǎng)絡(luò)和信息安全應(yīng)急處置、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、網(wǎng)絡(luò)和信息安全促進(jìn)與發(fā)展、監(jiān)督管理與法律責(zé)任等方面提出了要求。

要點(diǎn)一：督促行業(yè)機(jī)構(gòu)建立健全網(wǎng)絡(luò)和信息安全管理體制機(jī)制

《每日經(jīng)濟(jì)新聞》對(duì)《辦法》的核心要點(diǎn)進(jìn)行了梳理。首先，《辦法》規(guī)定，核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)具有完善的信息技術(shù)治理架構(gòu)，健全網(wǎng)絡(luò)和信息安全管理制度體系，建立內(nèi)部決策、管理、執(zhí)行和監(jiān)督機(jī)制，確保網(wǎng)絡(luò)和信息安全管理能力與業(yè)務(wù)活動(dòng)規(guī)模、復(fù)雜程度相匹配。

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)明確主要負(fù)責(zé)人為本機(jī)構(gòu)網(wǎng)絡(luò)和信息安全工作的第一責(zé)任人，分管網(wǎng)絡(luò)和信息安全工作的領(lǐng)導(dǎo)班子成員或者高級(jí)管理人員為直接責(zé)任人。

要點(diǎn)二：要求核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)審慎開(kāi)展系統(tǒng)新建、變更和移除工作

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)新建上線(xiàn)、運(yùn)行變更、下線(xiàn)移除重要信息系統(tǒng)的，應(yīng)當(dāng)充分評(píng)估技術(shù)和業(yè)務(wù)風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)防控措施、應(yīng)急處置和回退方案，并對(duì)相關(guān)結(jié)果進(jìn)行復(fù)核驗(yàn)證。

可能對(duì)證券期貨市場(chǎng)安全平穩(wěn)運(yùn)行產(chǎn)生較大影響的，應(yīng)當(dāng)提前向中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告。

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)不得在交易時(shí)段對(duì)重要信息系統(tǒng)進(jìn)行變更，重要信息系統(tǒng)存在故障、缺陷，經(jīng)評(píng)估須進(jìn)行緊急修復(fù)的情形除外。

要點(diǎn)三：要求核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)建立網(wǎng)絡(luò)和信息安全防護(hù)體系

《辦法》規(guī)定，核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立本地、同城和異地?cái)?shù)據(jù)備份設(shè)施，重要信息系統(tǒng)應(yīng)當(dāng)每天至少備份數(shù)據(jù)一次，每季度至少對(duì)數(shù)據(jù)備份進(jìn)行一次有效性驗(yàn)證。

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)重要信息系統(tǒng)的性能容量應(yīng)當(dāng)在歷史峰值的兩倍以上。核心機(jī)構(gòu)交易時(shí)段相關(guān)網(wǎng)絡(luò)近一年使用峰值應(yīng)當(dāng)在當(dāng)前帶寬的百分之五十以下，經(jīng)營(yíng)機(jī)構(gòu)交易時(shí)段相關(guān)網(wǎng)絡(luò)近一年使用峰值應(yīng)當(dāng)在當(dāng)前帶寬的百分之八十以下。

要點(diǎn)四：明確投資者個(gè)人信息保護(hù)相關(guān)原則和措施

《辦法》規(guī)定，核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)按照法律法規(guī)的規(guī)定及合同的約定處理投資者個(gè)人信息，明確告知投資者處理個(gè)人信息的目的、方式、范圍和隱私保護(hù)政策，不得超范圍收集和使用投資者個(gè)人信息，不得收集提供服務(wù)非必要的投資者個(gè)人信息。

合同約定事項(xiàng)應(yīng)當(dāng)基于從事證券期貨業(yè)務(wù)活動(dòng)的必要限度。核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)不得以投資者不同意處理其個(gè)人信息或者撤回同意為由，拒絕向投資者提供服務(wù)，為投資者提供服務(wù)所必需、履行法定職責(zé)或者法定義務(wù)等情形除外。

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)利用生物特征進(jìn)行客戶(hù)身份認(rèn)證的，應(yīng)當(dāng)對(duì)其必要性、安全性進(jìn)行風(fēng)險(xiǎn)評(píng)估，不得將人臉、

步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的客戶(hù)身份認(rèn)證方式，強(qiáng)制客戶(hù)同意收集其個(gè)人生物特征信息。

要點(diǎn)五：規(guī)定相應(yīng)罰則，并規(guī)定創(chuàng)新容錯(cuò)相關(guān)制度安排

核心機(jī)構(gòu)違反本辦法規(guī)定的，中國(guó)證監(jiān)會(huì)可以對(duì)其采取責(zé)令改正、監(jiān)管談話(huà)等監(jiān)管措施；對(duì)有關(guān)高級(jí)管理人員給予警告、記過(guò)、記大過(guò)、降級(jí)、撤職、開(kāi)除等行政處分，并責(zé)令核心機(jī)構(gòu)對(duì)其他責(zé)任人給予紀(jì)律處分。

經(jīng)營(yíng)機(jī)構(gòu)和信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)違反本辦法規(guī)定的，中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以對(duì)其采取責(zé)令改正、監(jiān)管談話(huà)、出具警示函、責(zé)令公開(kāi)說(shuō)明、責(zé)令定期報(bào)告、責(zé)令增加內(nèi)部合規(guī)檢查次數(shù)等監(jiān)管措施；對(duì)直接責(zé)任人和其他責(zé)任人員采取責(zé)令改正、監(jiān)管談話(huà)、出具警示函等監(jiān)管措施；情節(jié)嚴(yán)重的，對(duì)相關(guān)機(jī)構(gòu)及責(zé)任人員單處或者并處警告、十萬(wàn)元以下罰款，涉及金融安全且有危害后果的，并處二十萬(wàn)元以下罰款。

多家券商曾因APP“掉鏈子”受罰

近年來(lái)，證券行業(yè)不斷加大信息技術(shù)投入。根據(jù)中證協(xié)數(shù)據(jù)統(tǒng)計(jì)，2017年～2020年，證券行業(yè)在信息技術(shù)領(lǐng)域累計(jì)投入達(dá)845億元。2021年證券行業(yè)IT總投入為303.55億元，同比增長(zhǎng)26.51%。

但有關(guān)券商APP掉鏈子的輿情時(shí)有發(fā)生。2022年3月14日，招商證券App在早盤(pán)期間出現(xiàn)故障，無(wú)法正常買(mǎi)入賣(mài)出，招商證券也因此登上微博熱搜。2022年3月15日，有投資者反映，國(guó)信證券交易軟件出現(xiàn)行情不能刷新，無(wú)法看盤(pán)和交易的情況。

而在2022年5月16日早間，僅僅兩個(gè)月后，又有投資者在網(wǎng)絡(luò)上反映稱(chēng)，招商證券PC端與App端系統(tǒng)均無(wú)法登錄，造成無(wú)法正常交易。同一天，華西證券交易系統(tǒng)也在早盤(pán)期間出現(xiàn)故障，導(dǎo)致無(wú)法交易。兩個(gè)月后，2022年7月21日，西部證券APP早間又出現(xiàn)故障。

券商APP頻頻宕機(jī)引起了投資者不滿(mǎn)，同時(shí)也讓涉事券商收到了監(jiān)管罰單。

2022年4月2日，深圳證監(jiān)局就宕機(jī)事故對(duì)招商證券采取責(zé)令改正措施。7月12日，證監(jiān)會(huì)決定對(duì)招商證券總裁助理、首席數(shù)字官胡滔，金融科技中心總監(jiān)鄧曙光，金融科技中心核心交易開(kāi)發(fā)部總經(jīng)理陳卓，采取出具警示函的行政監(jiān)管措施。

2022年6月29日，安徽證監(jiān)局也向國(guó)元證券出具警示函。根據(jù)該警示函，國(guó)元證券手機(jī)客戶(hù)端交易軟件在系統(tǒng)升級(jí)、變更上線(xiàn)前未進(jìn)行充分測(cè)試；手機(jī)客戶(hù)端交易軟件在2022年6月13日發(fā)生故障，未及時(shí)向證監(jiān)局報(bào)告；信息安全應(yīng)急預(yù)案不完備。

根據(jù)中國(guó)證券投資者保護(hù)基金有限責(zé)任公司發(fā)布的《證券公司投資者保護(hù)狀況評(píng)價(jià)報(bào)告（2022）》，“2021年度，因交易系統(tǒng)穩(wěn)定性被投訴的證券公司有79家，累計(jì)被投訴944次，較上一年度（1103次）有所下降，相關(guān)證券公司應(yīng)進(jìn)一步做好交易系統(tǒng)的日常運(yùn)維工作，切實(shí)保護(hù)投資者合法權(quán)益。”

封面圖片來(lái)源：視覺(jué)中國(guó)-VCG211276657648