《证券基金经营机构信息技术管理办法》正式发布
2018年12月19日,中国证券监督管理委员会(以下简称“证监会”)正式发布了《证券基金经营机构信息技术管理办法》(以下简称“《办法》”)。证监会于2017年5月即发布了《办法》的征求意见稿(以下简称“《征求意见稿》”)。历经一年半,《办法》在《征求意见稿》的基础上进行了较大幅度的修改。
在《中华人民共和国网络安全法》出台,各行业逐渐加强对信息技术和网络安全监管的大背景下,《办法》对证券基金经营机构在信息技术方面的全面合规体系构建提出了框架性、全面性的要求,明确了监管方向和重点要求。以下我们将对《办法》涉及的各方面进行简要介绍,并分析可能的影响。
一、《办法》基本适用于证券基金业务活动中的所有相关市场主体
《办法》在第一章明确适用于以下几类主体:
(1) 证券基金经营机构(证券公司和基金管理公司);
(2) 信息技术服务机构(为证券基金业务活动提供重要信息系统的开发、测试、集成、测评服务以及重要信息系统的运维、日常安全管理服务的机构);
(3) 证券基金专项业务服务机构;
(4) 从事证券公司客户交易结算资金存管活动的商业银行、从事公开募集基金的基金托管机构、证券基金经营机构在境内依法设立的子公司及其下设机构。
《办法》的适用范围相对广泛,对证券基金业务活动中信息技术相关市场主体基本全部覆盖。
我们注意到,《征求意见稿》在第二条专门将“专项业务服务机构”列举为适用主体之一,并在第五章专章规定了参照适用于专项业务服务机构的条款。《办法》在正文中删除了“专项业务服务机构”的相关规定,而改在第七章附则中规定“证券基金专项业务服务机构参照本办法执行。”而专项业务服务机构的范围有了一定程度的扩大,《办法》明确增加了从事投资顾问、评价、估值等基金服务业务的机构和证券投资咨询机构。该等规定实际仍然将专项业务服务机构纳入到《办法》的规制范围,但实践之中将如何比照执行则存有疑问。
二、《办法》提出了证券基金经营机构搭建全面信息技术管理合规体系的框架性要求
1、建立以董事会、管理层、信息技术治理委员会、首席信息官分层负责的治理体系
《办法》明确要求证券基金经营机构董事会审议本公司的信息技术管理目标,对信息技术管理的有效性承担责任。证券基金经营机构经营管理层负责落实信息技术管理目标,对信息技术管理工作承担责任,组织实施董事会决议。
在公司管理层下,应再设立信息技术治理委员会或指定专门委员会,负责制定信息技术战略并审议有关事项。信息技术治理委员会成员除公司高级管理人员及内部部门负责人外,还可聘请外部专业人员担任信息技术治理委员会委员或顾问。
相比《征求意见稿》,《办法》将信息技术管理的有效性的责任主体上升到证券基金经营机构的董事会层面。并且,《办法》首次提出证券基金经营机构应当指定一名符合《办法》要求的人士担任首席信息官。
2、建立包括系统安全、数据治理和应急管理方案在内的全方位信息技术合规制度和方案
在信息技术安全方面,《办法》从信息系统安全、数据治理、应急管理三个方面均作了细节性的规定。
在系统安全方面,《办法》要求对于重要信息系统的上线或重大变更,证券基金经营机构应制定专项实施方案,停用的则应开展影响评估,制定系统停用和数据迁移保管方案。持续监测重要信息系统的运行状况,跟踪异常情形并及时处置。相关文档均应采集并保存,确保满足应急处置和审计需要。
数据治理方面,新增了证券基金经营机构将经营及客户数据按照重要性和敏感性进行分类分级、并根据不同类别和级别作出差异化数据管理制度安排的要求。同时,《办法》特别强调证券基金经营机构应当记录数据和客户信息的使用情况,持续监督信息技术服务机构等相关方落实保密协议,一旦发现服务机构违规存储或使用自身经营数据和客户信息的,应责令其改正并销毁已获取的经营数据和客户信息,拒绝配合整改的服务机构应当立即终止合作。《办法》也强调证券基金经营机构不得收集与服务无关的客户信息,不得购买或使用非法获取或来源不明的数据,不得违法截取、留存客户信息,或以任何方式向其他机构、个人提供客户信息。
应急管理方面,《办法》要求制定应急预案,每年至少演练一次并保存演练报告,持续完善应急预案,应充分考虑重要信息系统故障、外包技术服务机构无法提供服务、重大人员变动、自然灾害等可能影响重要信息系统平稳运行的事件。备份系统应当与生产系统具备同等的处理能力。
《办法》删除了《征求意见稿》对经营机构重要信息系统在境内独立部署并将经营活动中收集和产生的重要数据和客户信息存放在境内的要求。但根据《网络安全法》等法律的要求,证券基金经营机构作为金融机构,其重要信息系统产生、收集的重要数据、个人信息,仍有可能被要求遵守本地化存储、出境前安全评估的法律要求。
3、加强内部、外部审计保证持续性合规
《办法》第三、四章对于指导证券基金经营机构组织信息技术合规工作、管控风险和保障信息技术安全方面,提出了非常细致的审计要求,包括对内部审查的要求、定期信息技术管理工作专项审计(频率不低于每年一次)、委托专业机构开展信息技术管理工作全面审计(频率不低于每三年一次)、及时跟踪和整改问题、保存审计报告不少于二十年等。
4、加强对于信息委托服务的监管
《办法》规定,证券基金经营机构委托信息技术服务机构提供服务的,应当对服务机构及其信息系统进行内部审查,并向证监会报送审查意见,选择前应制定更换服务方的流程和预案,确保特定情况下可及时更换。双方应签署服务协议、保密协议,对于协议内容《办法》也做了原则性的规定。
证券基金经营机构依法应当承担的责任不因委托外包而免除或减轻,其应当清晰、准确、完整的掌握重要信息系统的技术架构、业务逻辑和操作流程等内容,确保重要信息系统运行始终处于自身控制范围。除法律法规及证监会另有规定外,不得将重要信息系统的运维、日常安全管理交由信息技术服务机构独立实施。
《征求意见稿》关于经营机构、专项业务服务机构应选择住所地在境内的信息技术服务机构的要求,《办法》也予以删除,而是对信息技术服务机构新增了无违法记录、股东及实际控制人无违法记录、安全稳定的技术服务能力、高效应急响应能力、熟悉证券基金业务等要求。
三、《办法》搭建了信息技术管理的新监管要求
1、监管和指导机构
《办法》规定,中证信息技术服务有限责任公司在证监会指导下制定相关配套业务规则,协助开展信息技术相关备案、监测、检测和检查等工作。信息技术服务机构应自愿接受其业务指导、遵守相关业务规则。
2、监督管理事项
除上述提及的委托信息服务机构的报送审查意见外,《办法》要求证券基金经营机构新建或更换重要信息系统所在机房、证券基金交易相关信息系统时,向证监会报送材料,并且向证监会报送年度信息技术管理专项报告;《办法》也要求信息技术服务机构定期向证监会报送材料,发生重大变化或存在明显缺陷、可能造成重大影响时,立即向证监会及其派出机构报告。
另,《办法》明确要求信息技术服务机构向证监会备案,并且只有符合相应要求的信息技术服务机构有资格向证券基金经营机构提供服务。
四、我们的观察
《办法》体现了在网络安全逐渐成为金融行业风险防范重要方面的趋势下,证监会对于证券基金经营机构的信息技术管理的监管思路,并旨在通过合规体系搭建要求、定期报告、事件报告、信息技术服务机构备案等多种方式结合,对信息技术活动进行全方位的监管。另外,《办法》也在细节上增加了对于数据管理、系统内部分区、最小授权管理原则等信息系统安全的要求,明确要求证券基金经营机构不得使用、购买来源不明的客户信息,均体现出网络安全和信息保护等方面通常的合规思路。
《办法》在具体适用范围、实践执行力度、以及如何与《网络安全法》相关规定衔接上(包括跨境传输的相关规定以及等级保护的相关规定),仍将有待在实践之中观察。
