“ 金融行业在自身数据治理和资产化建设方面一直走在前列。”
一直以来,金融行业由于其自身需要,都是国内开展信息化建设最早,信息化程度最高的行业。
在当今数据要素资产化的浪潮下,除了行业自身自身数据治理和资产化建设方面,在服务实体行业开展数据资产化建设方面,金融行业也一直走在各行业的前列,其管理思路和具体实施办法都值得我们学习。
今天开始,我们就金融行业在近期全国数据工作会议前后发布的相关文件做一个系列解析。
这些文件包括:
一.2024年02月29日中国银行业协会发布的《银行业数据资产估值指南》
二.2024年03月22日国家金管局发布的《银行保险机构数据安全管理办法》
以及以前发布的配套文件
三.《中国人民银行业务领域数据安全管理办法》(征)
四.中国证监会《证券期货业网络和信息安全管理办法》
五.金融行业数据要素市场化白皮书
本系列将分为三部分。
第一篇解析了前三个文件:[法规规划|数据概念]金融行业数据资产和安全管理系列文件解析
今天是本系列的第二篇,将就第四个文件《证券期货业网络和信息安全管理办法》进行解析。
01 20240229 中国银行业协会-《银行业数据资产估值指南》
——————————————————
请见 [法规规划|数据概念]金融行业数据资产和安全管理系列文件解析。
02 国家金监局《银行保险机构数据安全管理办法》(征)
——————————————————
请见 [法规规划|数据概念]金融行业数据资产和安全管理系列文件解析。
03 《中国人民银行业务领域数据安全管理办法》(征求意见稿)
——————————————————
请见 [法规规划|数据概念]金融行业数据资产和安全管理系列文件解析。
04 中国证监会《证券期货业网络和信息安全管理办法》
——————————————————
中国证监会于2023年2月27日正式发布了218号令《证券期货业网络和信息安全管理办法》(以下简称《办法》), 并于2023年5月1日起正式实施。在这之前经历了近11个月的意见征求阶段,可见这份文件的工作做的还是相当扎实的。
众所周知,我国的金融监管体系几经调整,2003-2018年维持了十五年的的一行三会,期间三大行业分业监管的模式在运行过程中出现了权责不清的情况,特别在银行业和保险业出现了一些乱象。于是到2018-2023年之间调整合并为一行两会,即央行和证监会、银保监会(中国银行保险监督管理委员会)。
十四届全国人大一次会议,根据国务院关于提请审议国务院机构改革方案的议案,监管格局调整为“一行一会一局”,即中国人民银行,证监会,国家金融监督管理总局。组建国家金融监督管理总局,作为国务院直属机构,统一负责除证券业之外的金融业监管,中国证券监督管理委员会的投资者保护职责划入国家金融监督管理总局;中国证券监督管理委员会由国务院直属事业单位调整为国务院直属机构,强化资本市场监管职责,提升金融数据安全保障能力,推动我国金融业开启高质量发展的新征程。此次机构改革,国家金融监督管理总局代替了银保监会,其实质上是在银保监会的基础上组建的。总局的管理范围有所扩大,包括了原先央行对金融控股公司等金融集团的日常监管职责 、金融消费者保护的职责,原先证监会的投资者保护职责,现均由总局来管理。
从监管机构格局的变化过程中看,银行和保险的监管分分合合,其业务涉及储蓄、信贷、保险等多个领域,关联程度较高,因此需要更为综合的监管机构以满足穿透监管的需求。
而证券行业的业务性质与银行和保险行业有较大的差异。证券行业主要涉及股票、债券、基金等金融产品的发行、交易和监管,业务特点是数据规模大、数据价值高、数据应用场景复杂,客户个人信息、交易、行情、资讯等海量数据在其业务系统中高速流转,其业务持续性和安全性决定着整个交易系统的运转。近年来,针对数据的安全攻击呈现出高频化、高损化、高显化等特征,证券期货业务场景所具有的特殊性与复杂性,也使得监管侧对数据安全和系统自主可控性要求更为严格,而实际安全防护情况是,证券期货业数据安全管理组织架构尚不完善,技术手段未能全面覆盖数据全生命周期。构建实战化的数据安全防护和管理体系,对于证券期货业而言重要且紧迫。
其次,证券行业的信息数据具有高度的专业性和敏感性。证券市场的交易数据、投资者信息等都需要得到严格的保护,以确保市场的公平、公正和稳定。因此,证监会需要独立运作,以确保监管的专业性和有效性。
最后,证监会独立状态的形成也与其历史演变有关。在我国金融监管体系的发展过程中,证监会一直承担着证券市场的监管职责,逐渐形成了专业、独立的监管机构。这种独立状态也得到了国际社会的认可,有利于我国证券市场与国际市场的接轨。
因此证监会系统相关的数据和信息安全管理办法也大多是独立发出,比如现在看到的《证券期货业网络和信息安全管理办法》。
凑巧的是,在《办法》发布的不久之后,国务院机构改革方案出炉,中国证监会调整为国务院直属机构。“国家金融监督管理总局”在原银保监会基础上组建。
证券业的数据和信息安全监管工作一直以来做的也是比较扎实的,在本《办法》发布之前,还发布有《证券基金经营机构信息技术管理办法》、《证券期货业信息安全保障管理办法》、《证券期货业信息系统运维管理规范》、《证券期货经营机构信息技术治理工作指引(试行)》、《证券期货业网络安全事件报告与调查处理办法》、《证券期货业网络安全等级保护基本要求》、《证券期货业经营机构内部应用系统日志规范》等一系列办法。
鼹鼠哥之前的数据分类分级办法解析中提到,证券行业的分类分级办法是相当具体详尽的,有兴趣可以参看
1. 国家标准《数据分类分级规则》解析与多行业标准及实践分享系列-第一部分
2. 国家标准《数据分类分级规则》解析与多行业标准及实践分享系列-第二部分
3. 国家标准《数据分类分级规则》解析与多行业标准及实践分享系列-第三部分
本《办法》的主要内容包括网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置以及关键信息基础设施安全保护等,旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等相关法律法规要求,并为证券期货业网络和信息安全管理提供了契合行业特性的高阶指导、具体要求以及量化标准。
《办法》的第二章节重点讨论了网络与信息安全的运作,内容涵盖了从构建完善的制度框架和明确责任分工等宏观层面,直至具体到信息备份的频率和性能容量等微观指标,充分展示了监管机构对于不同发展水平的对象如何贯彻执行新规定的细致考量。
此外,相较于原始的征求意见稿中提出的“数据安全统筹管理”,现行的文本将其修改为“投资者个人信息保护”,从多个角度出发,提出了个人信息保护的具体要求。这些要求包括信息收集过程中的知情同意、最小化必要原则、全生命周期管理、个人信息脱敏处理以及个人生物识别信息的保护等方面,反映了监管机构对个人信息保护问题的极高关注。
下边我们来看一下办法的主要内容。
一:《办法》适用以下对象:
1.在境内建设、运营、维护、使用网络及信息系统的核心机构和经营机构;
2.为证券期货业务活动提供产品或者服务的网络和信息安全保障的信息技术系统服务机构;
3.为证券期货业务活动提供网络和信息安全的监督管理的信息技术系统服务机构。
二.与旧监管要求的主要变化
变化主要体现在如下三个方面,即个人信息保护,信息安全合规,安全管理:
| 主要影响 | 应对措施 | |
| 个人信息保护 | 新增投资者个人信息保护章节,明确相关的管理要求,并要求经营机构建立健全相关管理机制、定义相关岗位及职责 | 个人信息安全保护体系建设咨询 |
| 网络和信息安全合规 | 基干《网络安全法》、《数据安全法》对于行业的网络和信息安全制度和管理体系提出了强化和细化要求 | 网络安全合规咨询 等级保护制度咨询 信息技术全面/专项审计 |
| 网络和信息安全管理年报 | 要求经营机构于每年4月30日前,完成对上一年网络和信息安全工作的专项评估,编制网络和信息安全管理年报 | 网络和信息安全专项评估 信息技术全面/专项审计 |
相比之前的监管办法,具体的变化要点如下。
我们首先看主要影响的三个方面,即个保,合规和安全年报:
| 内容 | 【218号令】条款 | 比对过往监管要求 | 主要区别 |
| 个保体系 | 第三十条 ……建立健全投资者个人信息处理、安全防护、应急处置、审计监督等管理机制,…… | 《证券基金经营机构信息技术管理办法》: | 有效衔接《个人信息保护法》等上位要求,在原有较为宽泛的信息管理制度基础之上,强调突出了个人信息保护的管理机制,并明确了需要告知隐私保护政策以及取得单独同意的情形。同时,不得过度收集的要求与以往的监管规定基本保持一致。 |
| 个人信息脱敏 | 第三十四条 核心机构和经营机构在本机构网络安全防护边界以外处理投资者个人信息的,应当采取数据脱敏、数据加密等措施,……核心机构和经营机构通过短信、邮件等非自主运营渠道发送投资者敏感个人信息的,应当将投资者账号信息、身份证号码等敏感个人信息进行脱敏处理。 | 《证券基金经营机构信息技术管理办法》: | 有效衔接《个人信息保护法》等上位要求,在原有的开发测试环境情形以外,新办法另外明确了网络安全防护边界以外、非自主运营渠道发送情形中的数据脱敏要求。 |
| 生物特征 | 第三十五条 核心机构和经营机构利用生物特征进行客户身份认证的,应当对其必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式,强制客户同意收集其个人生物特征信息。 | 《网络数据安全管理条例(征求意见稿)》: | 新办法结合网信办的安全管理要求,首次在行业监督管理办法之中明确提出了生物特征的要求。 |
在信息安全等级保护方面变化如下:
| 等级保护 | 第十四条 核心机构和经营机构应当落实网络安全等级保护制度,依法履行网络安全等级保护义务,按照国家和证券期货业网络安全等级保护相关要求,开展网络和信息系统定级备案、等级测评和安全建设等工作。 …… | 《证券期货业网络安全等级保护基本要求》规定了证券期货业网络安全等级保护的总体要求,以及第一级到第四级等级保护对象的安全通用要求和安全扩展要求,适用于证券期货业分等级的非涉密对象的安全建设和监督管理。 | 有效衔接《网络安全法》等上位要求,在以往行业标准和审计规范的基础之上,正式在行业监督管理办法之中明确提出了网络安全等级保护的要求,包括定级备案、测评等。 |
| 系统运维 | 第十五条 核心机构和经营机构新建上线、运行变更、下线移除重要信息系统的,应当充分评估技术和业务风险,制定风险防控措施、应急处置和回退方案,并对相关结果进行复核验证;…… | 《证券期货业信息安全保障管理办法》: | 在原有较为笼统的系统开发流程要求基础之上,新办法结合运维管理规范的要求,细化了重要信息系统的开发及变更流程中风控、测试、应急、回退环节等要求。 |
| 第十六条 核心机构和经营机构在重要信息系统上线、变更前应当制定全面的测试方案,持续完善测试用例和测试数据,并保障测试的有效执行。 | |||
| 数据保护 | 第十八条 ……核心机构和经营机构应当全面、准确记录并妥善保存生产运营过程中的业务日志和系统日志,确保满足故障分析、内部控制、调查取证等工作的需要。重要信息系统业务日志应当保存五年以上,系统日志应当保存六个月以上。 | 《证券基金经营机构信息技术管理办法》: | 新办法将重要信息系统的日志细分为业务日志和系统日志,并明确了相应的保存期限,其中业务日志的保存期限显著高于以往要求。 |
| 安全防护 | 第十九条 核心机构和经营机构应当构建网络和信息安全防护体系,综合采取网络隔离、用户认证、访问控制、策略管理、数据加密、网站防篡改、病毒木马防范、非法入侵检测和网络安全态势感知等安全保障措施,提升网络和信息安全防护能力,及时识别、阻断相关网络攻击,保护重要信息系统和相关基础设施,防范信息泄露与损毁。 | 《证券期货业信息安全保障管理办法》: | 新办法在网络和信息安全防护方面,新增列举了策略管理、网络安全态势感知等近年来较为普及的安全保障措施。 |
| 灾备管理 | 第二十条 核心机构和经营机构应当建立本地、同城和异地数据备份设施,重要信息系统应当每天至少备份数据一次,每季度至少对数据备份进行一次有效性验证。…… | 《证券基金经营机构信息技术管理办法》: | 新办法结合重要信息系统的备份能力标准,明确了本地、同城和异地数据备份的要求,以及相应的备份频率,与以往的监管规定基本保持一致。 |
在网络和信息安全管理年报方面变化如下:
| 网络和信息安全管理年报 | 第五十九条 核心机构和经营机构应当于每年4月30日前,完成对上一年网络和信息安全工作的专项评估,编制网络和信息安全管理年报,报送中国证监会及其派出机构,年报内容包括但不限于网络和信息安全治理情况、人员情况、投入情况、风险情况、处置情况和下一年度工作计划等。…… | 《证券基金经营机构信息技术管理办法》: | 在证监会要求的信息科技管理专项报告等其他年度信息科技类报告基础之上,新办法新增了《网络和信息安全管理年报》相关要求,并明确了年报内容和报送期限。 |
还有一些其他方面在制度和组织架构方面的要求:
| 内容 | 【218号令】条款 | 比对过往监管要求 | 主要区别 |
| 管理制度 | 第九条 核心机构和经营机构应当具有完善的信息技术治理架构,健全网络和信息安全管理制度体系,建立内部决策、管理、执行和监督机制,确保网络和信息安全管理能力与业务活动规模、复杂程度相匹配。…… | 《证券期货业信息安全保障管理办法》: | 有效衔接《网络安全法》、《数据安全法》等上位要求,在原有较为全面的信息技术管理制度基础之上,新办法强调突出网络和信息安全管理方面的制度完善和要求细分。 |
| 岗位责任 | 第十条 核心机构和经营机构应当明确主要负责人为本机构网络和信息安全工作的第一责任人,分管网络和信息安全工作的领导班子成员或者高级管理人员为直接责任人。…… | 《证券期货经营机构信息技术治理工作指引(试行)》: | 在原有较为宽泛的IT治理职责基础之上,新办法强调突出了网络和信息安全工作的第一责任人、直接责任人和牵头部门。 |
| 第十一条 核心机构和经营机构应当指定或者设立网络和信息安全工作牵头部门或者机构,负责管理重要信息系统和相关基础设施、制定网络安全应急预案、组织应急演练等工作。 | |||
| 第十六条 核心机构和经营机构在重要信息系统上线、变更前应当制定全面的测试方案,持续完善测试用例和测试数据,并保障测试的有效执行。 | |||
| 信息发布 | 第二十五条 核心机构和经营机构应当建立信息发布审核机制,加强对本机构和本机构运营平台发布信息的管理,…… | 《证券期货业信息系统审计规范》: | 新办法在以往审计规范的基础之上,正式在信息技术类的行业监督管理办法之中明确提出了信息发布的要求。 |
| 知识产权 | 第二十八条 核心机构和经营机构应当按照知识产权相关法律法规,制定知识产权保护策略和制度,不侵犯他人的知识产权,并采取有效措施保护本机构自主知识产权。 | 《证券期货业信息安全保障管理办法》: | 考虑到证券期货业内信息系统建设任务明显增加,为了提升自主研发和安全可控能力,新办法提出了建立知识产权保护相关方面制度的要求。 |
| 应急预案 | 第三十七条 核心机构和经营机构应当根据业务影响分析情况,建立健全网络安全应急预案,明确应急目标、应急组织和处置流程,应急场景应当覆盖网络安全事件、自然灾害和公共卫生事件、本机构网络和信息安全相关重大人事变动、主要信息技术系统服务机构退出等情形。 | 《证券基金经营机构信息技术管理办法》: | 在原有的应急场景基础之上,新办法强调突出了网络安全事件、本机构网络和信息安全相关重大人事变动的情形。同时,新办法并未明确网络安全应急演练的执行频率,具体执行标准可以参考以往的系统运维管理规范。 |
| 应急处置 | 第三十九条 核心机构和经营机构应当建立应急处置机制,及时处置网络安全事件,尽快恢复信息系统正常运行,保护事件现场和相关证据,向中国证监会及其派出机构进行应急报告,…… | 《证券期货业信息安全保障管理办法》: | 在原有的应急处置要求基础之上,新办法强调突出了保护事件现场和相关证据,对于留痕提出了一定的要求。 |
| 组织保障 | 第四十三条 证券期货业关键信息基础设施运营者应当将关键信息基础设施安全保护情况纳入网络和信息安全工作第一责任人、直接责任人和相关人员的责任考核机制。 | 《关键信息基础设施安全保护条例》: | 新办法结合《关键信息基础设施安全保护条例》,正式在行业监督管理办法之中以“证券期货业关键信息基础设施运营者”作为主体提出管理要求,并明确将网络和信息安全纳入责任考核机制。 |
| 安全监测 | 第四十八条 证券期货业关键信息基础设施运营者应当对关键信息基础设施的安全运行进行持续监测,定期开展压力测试,发现系统性能和网络容量不足的,应当及时采取系统升级、扩容等处置措施,确保系统性能容量在历史峰值的三倍以上,交易时段相关网络带宽应当在近一年使用峰值的两倍以上。 | 《证券基金经营机构信息技术管理办法》: | 不同于对核心机构和经营机构的性能容量要求,新办法对于证券期货业关键信息基础设施运营者提出了更高的量化标准。 |
基于上述调整,在办法落地实施过程中,要注意如下几个方面:
加强投资者个人信息保护体系
·建立健全投资者个人信息保护体系,加强对投资者个人信息的保护;
·依法依规处理投资者个人信息,遵循“告知同意,最小必要”原则;
·依法依规向第三方提供投资者的个人信息,并取得个人投资者的单独同意;
·在本机构网络安全防护边界以外处理投资者个人信息时,需采取技术措施加强个人信息保护;
·对利用生物特征进行客户身份认证的必要性和安全性进行风险评估。不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式,进而强制客户同意收集其个人生物特征信息
量化设置安全运营指标
·重要信息系统业务日志应当保存五年以上,系统日志应当保存六个月以上;
·应当建立本地、同城和异地数据备份设施,重要信息系统应当每天至少备份数据一次,每季度至少对数据备份进行一次有效性验证;
·每年至少开展一次重要信息系统压力测试,测试完成后形成压力测试报告存档备查,并保存五年以上;
·重要信息系统的性能容量应当在历史峰值的两倍以上;
·核心机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之五十以下,经营机构交易时段相关网络近一年使用峰值应当在当前带宽的百分之八十以下。
加强关键基础设施安全防护
·将关键信息基础设施安全保护情况纳入责任考核机制;
·对关键信息基础设施进行持续性的安全检测和定期风险评估;
·建立本地、同城和异地数据备份设施,实现数据同步保存。
提升安全应急处置能力
·建立健全网络安全应急预案,并定期开展网络安全应急演练;
·建立应急处置机制,明确事件报告流程。
05 金融行业数据要素市场化白皮书
——————————————————
待续。
—————————————————————————
数据资产化,鼹鼠哥与你一起。
