《网络安全法》出台对资本市场信息安全和信息化工作具有重要意


一、资本市场信息化和信息安全基本情况

二十几年来,证券期货业从我国的国情出发,走出了一条具有中国特色的发展道路。我们在很短的时间内完成了从有纸化交易向无纸化的转变,从人工报单到电子化处理的飞跃,实现了委托、撮合、清算、交收等全交易过程的电子化信息处理,大大提高了市场的运转效率,降低了运行成本,适应了九千万投资者参与市场的客观需要,为中国资本市场的快速发展提供了强有力的技术支撑。

同时,我国资本市场运行高度依赖通信、计算机技术和互联网,在提高效率的同时也蕴含着很大的风险,例如,网上交易和门户网站往往成为敌对势力和不法分子的攻击对象;自然灾害的不断发生要求信息系统建立可靠的灾难备份;技术系统的故障会引发权益纠纷、社会问题和经济赔偿,虚假信息、仿冒网站会严重扰乱市场秩序,等等。此外,各种新技术、新产品、新创意大量出现,诸如“云计算”、“大数据”、“区块链”等新概念、新技术相继提出,一方面推动了科技的发展和进步,另一方面也带来了一系列新的挑战。

二、网络安全法对资本市场的重要意义

(一)有利于建立健全证券期货业信息技术法律法规体系

近年来,证券期货业形成了一套较为完善的信息技术规章制度体系。建立了包括部门规章、规范性文件、技术标准、自律规则在内的多层次信息技术制度体系,先后出台了《证券期货业信息安全保障管理办法》等1个部门规章、《证券期货业信息安全事件报告与调查处理办法》等42个规范性文件、《证券期货经营机构备份能力标准》、《证券期货业信息系统运维管理规范》、《证券期货业信息系统安全等级保护基本要求(试行)》等25个技术标准,以及12个技术指引、65个技术规则等自律规则。内容涵盖了系统建设、系统运维、系统备份、系统安全、应急处置等方面。

以《网络安全法》作为上位法依据,配合现有的以《证券期货业信息安全保障管理办法》为基础的证券期货业信息技术规章制度体系,有利于形成完整的证券期货业信息技术法律法规体系,解决以下4大方面的问题:一是明确信息安全是行业机构的法定义务;二是对证券期货交易所等市场核心机构信息安全提出特别要求;三是对软硬件产品及服务采购活动进行规范;四是明确行业监管部门、自律组织的信息安全管理职责。

(二)有利于加强对信息基础设施的管理

证券期货业信息系统面临三大挑战:一是恶意攻击威胁显著上升。近年来,伴随着互联网金融的高速发展,证券期货机构很多业务快速互联网化,网上信息系统数量快速增加,所面临的各类恶意攻击风险加大。二是突发事件影响巨大,对系统安全运行构成挑战。突发事件何时、何地发生难以预测。但是,可以预料的是,灾难灾害在很大程度上会导致受灾地区电力、通信等基础设施损毁,很可能会导致办公楼宇倒塌和工作人员伤亡,造成区域封闭、停电、断网,因此可能导致交易所或者是经营机构信息系统不能正常运行。三是新技术、新产品可能带来新的安全隐患。云计算、大数据、区块链等新技术新应用蓬勃发展,在节约成本、提高效率等方面表现出了强大的生命力。但是,新技术新应用模糊了传统的网络安全边界,数据保护、终端防护、虚拟环境中的风险管理等信息安全问题变得更加复杂和棘手。行业信息基础设施具有规模效应,在人力、物力、财力等方面具有显著优势,为综合应对以上威胁提供了解决办法。

《网络安全法》第三十二条提出:“按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作”,第三十三条提出:“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用”,第三十五条提出:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”

《网络安全法》的以上规定,有利于证券期货业依法加强对向行业提供“云计算”、“数据中心”等服务的信息基础设施的监管,督促关键信息基础设施从物理设施、应用程序、数据保护等层面,全方位确保证券期货业信息系统安全稳定运行和数据安全。

(三)有利于加强对软件开发商、技术服务提供商和行情商的管理

近年来,资本市场的广度和深度都有大变化,市场创新发展的速度加快,交易品种大幅增加,跨市场的联动不断增强。技术就绪是业务创新的重要前提,因此,信息系统的升级更加频繁,信息系统变得更加复杂,开发和运维的难度和压力加大。软硬件产品供应商、服务商是证券期货业信息安全工作的重要参与者,是交易、行情软件和技术服务的主要提供者,对行业信息系统安全稳定运行发挥着重要作用。

《网络安全法》第二十二条明确提出,“网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”以上规定,有利于证券期货业监管部门依法对软硬件产品供应商、服务商加强监管,确保证券期货业信息系统安全稳定运行。(证监会信息中心 陈炜)

发表评论