一、資本市場信息化和信息安全基本情況
二十幾年來,證券期貨業從我國的國情出發,走出了一條具有中國特色的發展道路。我們在很短的時間內完成了從有紙化交易向無紙化的轉變,從人工報單到電子化處理的飛躍,實現了委托、撮合、清算、交收等全交易過程的電子化信息處理,大大提高了市場的運轉效率,降低了運行成本,適應了九千萬投資者參與市場的客觀需要,為中國資本市場的快速發展提供了強有力的技術支撐。
同時,我國資本市場運行高度依賴通信、計算機技術和互聯網,在提高效率的同時也蘊含著很大的風險,例如,網上交易和門戶網站往往成為敵對勢力和不法分子的攻擊對象;自然災害的不斷發生要求信息系統建立可靠的災難備份;技術系統的故障會引發權益糾紛、社會問題和經濟賠償,虛假信息、仿冒網站會嚴重擾亂市場秩序,等等。此外,各種新技術、新產品、新創意大量出現,諸如“云計算”、“大數據”、“區塊鏈”等新概念、新技術相繼提出,一方面推動了科技的發展和進步,另一方面也帶來了一系列新的挑戰。
二、網絡安全法對資本市場的重要意義
(一)有利于建立健全證券期貨業信息技術法律法規體系
近年來,證券期貨業形成了一套較為完善的信息技術規章制度體系。建立了包括部門規章、規范性文件、技術標準、自律規則在內的多層次信息技術制度體系,先后出臺了《證券期貨業信息安全保障管理辦法》等1個部門規章、《證券期貨業信息安全事件報告與調查處理辦法》等42個規范性文件、《證券期貨經營機構備份能力標準》、《證券期貨業信息系統運維管理規范》、《證券期貨業信息系統安全等級保護基本要求(試行)》等25個技術標準,以及12個技術指引、65個技術規則等自律規則。內容涵蓋了系統建設、系統運維、系統備份、系統安全、應急處置等方面。
以《網絡安全法》作為上位法依據,配合現有的以《證券期貨業信息安全保障管理辦法》為基礎的證券期貨業信息技術規章制度體系,有利于形成完整的證券期貨業信息技術法律法規體系,解決以下4大方面的問題:一是明確信息安全是行業機構的法定義務;二是對證券期貨交易所等市場核心機構信息安全提出特別要求;三是對軟硬件產品及服務采購活動進行規范;四是明確行業監管部門、自律組織的信息安全管理職責。
(二)有利于加強對信息基礎設施的管理
證券期貨業信息系統面臨三大挑戰:一是惡意攻擊威脅顯著上升。近年來,伴隨著互聯網金融的高速發展,證券期貨機構很多業務快速互聯網化,網上信息系統數量快速增加,所面臨的各類惡意攻擊風險加大。二是突發事件影響巨大,對系統安全運行構成挑戰。突發事件何時、何地發生難以預測。但是,可以預料的是,災難災害在很大程度上會導致受災地區電力、通信等基礎設施損毀,很可能會導致辦公樓宇倒塌和工作人員傷亡,造成區域封閉、停電、斷網,因此可能導致交易所或者是經營機構信息系統不能正常運行。三是新技術、新產品可能帶來新的安全隱患。云計算、大數據、區塊鏈等新技術新應用蓬勃發展,在節約成本、提高效率等方面表現出了強大的生命力。但是,新技術新應用模糊了傳統的網絡安全邊界,數據保護、終端防護、虛擬環境中的風險管理等信息安全問題變得更加復雜和棘手。行業信息基礎設施具有規模效應,在人力、物力、財力等方面具有顯著優勢,為綜合應對以上威脅提供了解決辦法。
《網絡安全法》第三十二條提出:“按照國務院規定的職責分工,負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業、本領域的關鍵信息基礎設施安全規劃,指導和監督關鍵信息基礎設施運行安全保護工作”,第三十三條提出:“建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能,并保證安全技術措施同步規劃、同步建設、同步使用”,第三十五條提出:“關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。”
《網絡安全法》的以上規定,有利于證券期貨業依法加強對向行業提供“云計算”、“數據中心”等服務的信息基礎設施的監管,督促關鍵信息基礎設施從物理設施、應用程序、數據保護等層面,全方位確保證券期貨業信息系統安全穩定運行和數據安全。
(三)有利于加強對軟件開發商、技術服務提供商和行情商的管理
近年來,資本市場的廣度和深度都有大變化,市場創新發展的速度加快,交易品種大幅增加,跨市場的聯動不斷增強。技術就緒是業務創新的重要前提,因此,信息系統的升級更加頻繁,信息系統變得更加復雜,開發和運維的難度和壓力加大。軟硬件產品供應商、服務商是證券期貨業信息安全工作的重要參與者,是交易、行情軟件和技術服務的主要提供者,對行業信息系統安全穩定運行發揮著重要作用。
《網絡安全法》第二十二條明確提出,“網絡產品、服務應當符合相關國家標準的強制性要求。網絡產品、服務的提供者不得設置惡意程序;發現其網絡產品、服務存在安全缺陷、漏洞等風險時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。網絡產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期限內,不得終止提供安全維護。網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示并取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關于個人信息保護的規定。”以上規定,有利于證券期貨業監管部門依法對軟硬件產品供應商、服務商加強監管,確保證券期貨業信息系統安全穩定運行。(證監會信息中心 陳煒)
京公網安備 11010502049343號