证监会近日发布《证券期货业网络和信息安全管理办法》（以下简称办法），以取代2012年发布的《证券期货业信息安全保障管理办法》（以下简称旧版办法），更好地维护资本市场安全平稳高效运行。办法共八章七十五条，对证券期货业网络和信息安全监督管理体系、网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展等诸多方面提出了要求。办法自2023年5月1日起施行。

回应现实问题

如今，网络和信息安全已上升为国家战略，对资本市场影响深远。北京中银律师事务所律师吴则涛认为，随着数字经济、数字社会、数字政府的建设加快，证券和各行各业间的数据共享与交互将会成为普遍现象，如何对这些数据进行全生命周期的安全保护，是证券行业的核心问题。一方面，单从技术支持方面来看，证券期货业务与大数据、云计算、区块链和人工智能等新技术应用不断加速融合，对关键核心技术的依赖程度越来越高。各类业务活动日益依赖网络安全和信息化，增加了网络和信息安全管理的复杂程度。另一方面，证券期货市场是一个典型的以信息为主导的市场，我国中小投资者数量近1.77亿，投资者个人信息往往涉及金融账户信息、投资能力信息等敏感内容，这些信息一旦泄露往往会导致极大的经济损失，进而影响经济和社会稳定。

此外，近年来网络安全法、数据安全法、个人信息保护法、《关键信息基础设施安全保护条例》及证券法等法律法规的密集发布实施，对于证券期货业网络和信息安全管理也提出了进一步要求。

严守安全底线

严守证券期货业安全底线，促进科技发展，是出台办法的出发点，也是终极目标。证监会有关负责人称，办法以保障安全为基本原则，从建设、运维、使用网络及信息系统，到识别、监测、防范、处置风险等方面，构建了完整的网络和信息安全监管框架，对行业机构提出全方位的管理要求。

在此基础上，办法注重通过发展解决问题，通过技术架构的升级优化，提升安全保障能力，并在信息基础设施建设、金融科技创新等方面作出制度安排。

与此同时，办法覆盖各类主体，并厘清了权责边界。首先是充分考虑证券期货业各类主体的责任义务和业务特点，对证券期货业关键信息基础设施运营者、核心机构、经营机构及信息技术系统服务机构，从网络和信息安全管理方面分别提出监管要求。

办法还要求信息技术系统服务机构应当遵循技术安全、服务合规的原则，为证券期货业务活动提供产品或者服务，与核心机构、经营机构共同保障行业网络和信息安全，促进行业信息化发展。勤勉尽责，对提供产品或者服务的安全性、合规性承担责任。

强化信息保护

在资本市场上，如果说有相对的两方，则可以认为一方是提供产品和服务的一方，另一方是使用这些产品和服务的一方。在网络和信息服务方面，一方是核心机构、经营机构、网络服务机构（上市公司信息问题除外）；另一方则是投资者，其中又有个人投资者和机构投资者之分。相对于机构投资者，个人投资者数量多达上亿，资金数量相对较少，抗风险能力相对较低。据证监会统计，个人投资者中绝大多数人投资金额不足百万元。即便如此，他们的个人信息却相当丰富，涉及每个人切身利益，因此对个人投资者个人信息的保护就显得尤为重要。

办法第三章专章对“投资者个人信息保护”予以规定，明确要求核心机构和经营机构应当遵循合法、正当、必要和诚信原则，处理投资者个人信息，规范投资者个人信息处理行为，履行投资者个人信息保护义务，不得损害投资者合法权益。

办法规定，应当按照法律法规的规定及合同的约定处理投资者个人信息，明确告知投资者处理个人信息的目的、方式、范围和隐私保护政策，不得超范围收集和使用投资者个人信息，不得收集提供服务非必要的投资者个人信息。出卖投资者个人信息，更为法律不容。核心机构和经营机构利用生物特征进行客户身份认证的，应当对其必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式，强制客户同意收集其个人生物特征信息。

开展风险通报

办法的重要内容之一体现在第七章“监督管理与法律责任”，以多达十四条的篇幅进行规定，内容扎实丰富。据证监会这位负责人介绍，办法共包括五方面的制度安排。一是规定行业机构的报告义务和流程要求；二是建立健全行业网络和信息安全态势感知工作机制，开展风险隐患行业通报；三是明确证监会及其派出机构可以委托专业机构采用渗透测试、漏洞扫描和风险评估等方式对行业机构开展监督检查；四是对重要时期的网络和信息安全保障工作明确制度安排；五是依据上位法要求，结合违法违规的具体情形，规定相应罚则，并规定创新容错相关制度安排。对违规行为不仅仅包括通报，还会依据相关法律法规规定进行相应的行政处罚。（周芬棉）