一、資本市場信息化和信息安全基本情況
二十幾年來,證券期貨業(yè)從我國的國情出發(fā),走出了一條具有中國特色的發(fā)展道路。我們在很短的時(shí)間內(nèi)完成了從有紙化交易向無紙化的轉(zhuǎn)變,從人工報(bào)單到電子化處理的飛躍,實(shí)現(xiàn)了委托、撮合、清算、交收等全交易過程的電子化信息處理,大大提高了市場的運(yùn)轉(zhuǎn)效率,降低了運(yùn)行成本,適應(yīng)了九千萬投資者參與市場的客觀需要,為中國資本市場的快速發(fā)展提供了強(qiáng)有力的技術(shù)支撐。
同時(shí),我國資本市場運(yùn)行高度依賴通信、計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng),在提高效率的同時(shí)也蘊(yùn)含著很大的風(fēng)險(xiǎn),例如,網(wǎng)上交易和門戶網(wǎng)站往往成為敵對(duì)勢力和不法分子的攻擊對(duì)象;自然災(zāi)害的不斷發(fā)生要求信息系統(tǒng)建立可靠的災(zāi)難備份;技術(shù)系統(tǒng)的故障會(huì)引發(fā)權(quán)益糾紛、社會(huì)問題和經(jīng)濟(jì)賠償,虛假信息、仿冒網(wǎng)站會(huì)嚴(yán)重?cái)_亂市場秩序,等等。此外,各種新技術(shù)、新產(chǎn)品、新創(chuàng)意大量出現(xiàn),諸如“云計(jì)算”、“大數(shù)據(jù)”、“區(qū)塊鏈”等新概念、新技術(shù)相繼提出,一方面推動(dòng)了科技的發(fā)展和進(jìn)步,另一方面也帶來了一系列新的挑戰(zhàn)。
二、網(wǎng)絡(luò)安全法對(duì)資本市場的重要意義
(一)有利于建立健全證券期貨業(yè)信息技術(shù)法律法規(guī)體系
近年來,證券期貨業(yè)形成了一套較為完善的信息技術(shù)規(guī)章制度體系。建立了包括部門規(guī)章、規(guī)范性文件、技術(shù)標(biāo)準(zhǔn)、自律規(guī)則在內(nèi)的多層次信息技術(shù)制度體系,先后出臺(tái)了《證券期貨業(yè)信息安全保障管理辦法》等1個(gè)部門規(guī)章、《證券期貨業(yè)信息安全事件報(bào)告與調(diào)查處理辦法》等42個(gè)規(guī)范性文件、《證券期貨經(jīng)營機(jī)構(gòu)備份能力標(biāo)準(zhǔn)》、《證券期貨業(yè)信息系統(tǒng)運(yùn)維管理規(guī)范》、《證券期貨業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求(試行)》等25個(gè)技術(shù)標(biāo)準(zhǔn),以及12個(gè)技術(shù)指引、65個(gè)技術(shù)規(guī)則等自律規(guī)則。內(nèi)容涵蓋了系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維、系統(tǒng)備份、系統(tǒng)安全、應(yīng)急處置等方面。
以《網(wǎng)絡(luò)安全法》作為上位法依據(jù),配合現(xiàn)有的以《證券期貨業(yè)信息安全保障管理辦法》為基礎(chǔ)的證券期貨業(yè)信息技術(shù)規(guī)章制度體系,有利于形成完整的證券期貨業(yè)信息技術(shù)法律法規(guī)體系,解決以下4大方面的問題:一是明確信息安全是行業(yè)機(jī)構(gòu)的法定義務(wù);二是對(duì)證券期貨交易所等市場核心機(jī)構(gòu)信息安全提出特別要求;三是對(duì)軟硬件產(chǎn)品及服務(wù)采購活動(dòng)進(jìn)行規(guī)范;四是明確行業(yè)監(jiān)管部門、自律組織的信息安全管理職責(zé)。
(二)有利于加強(qiáng)對(duì)信息基礎(chǔ)設(shè)施的管理
證券期貨業(yè)信息系統(tǒng)面臨三大挑戰(zhàn):一是惡意攻擊威脅顯著上升。近年來,伴隨著互聯(lián)網(wǎng)金融的高速發(fā)展,證券期貨機(jī)構(gòu)很多業(yè)務(wù)快速互聯(lián)網(wǎng)化,網(wǎng)上信息系統(tǒng)數(shù)量快速增加,所面臨的各類惡意攻擊風(fēng)險(xiǎn)加大。二是突發(fā)事件影響巨大,對(duì)系統(tǒng)安全運(yùn)行構(gòu)成挑戰(zhàn)。突發(fā)事件何時(shí)、何地發(fā)生難以預(yù)測。但是,可以預(yù)料的是,災(zāi)難災(zāi)害在很大程度上會(huì)導(dǎo)致受災(zāi)地區(qū)電力、通信等基礎(chǔ)設(shè)施損毀,很可能會(huì)導(dǎo)致辦公樓宇倒塌和工作人員傷亡,造成區(qū)域封閉、停電、斷網(wǎng),因此可能導(dǎo)致交易所或者是經(jīng)營機(jī)構(gòu)信息系統(tǒng)不能正常運(yùn)行。三是新技術(shù)、新產(chǎn)品可能帶來新的安全隱患。云計(jì)算、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)新應(yīng)用蓬勃發(fā)展,在節(jié)約成本、提高效率等方面表現(xiàn)出了強(qiáng)大的生命力。但是,新技術(shù)新應(yīng)用模糊了傳統(tǒng)的網(wǎng)絡(luò)安全邊界,數(shù)據(jù)保護(hù)、終端防護(hù)、虛擬環(huán)境中的風(fēng)險(xiǎn)管理等信息安全問題變得更加復(fù)雜和棘手。行業(yè)信息基礎(chǔ)設(shè)施具有規(guī)模效應(yīng),在人力、物力、財(cái)力等方面具有顯著優(yōu)勢,為綜合應(yīng)對(duì)以上威脅提供了解決辦法。
《網(wǎng)絡(luò)安全法》第三十二條提出:“按照國務(wù)院規(guī)定的職責(zé)分工,負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門分別編制并組織實(shí)施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃,指導(dǎo)和監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全保護(hù)工作”,第三十三條提出:“建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能,并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用”,第三十五條提出:“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,應(yīng)當(dāng)通過國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門組織的國家安全審查。”
《網(wǎng)絡(luò)安全法》的以上規(guī)定,有利于證券期貨業(yè)依法加強(qiáng)對(duì)向行業(yè)提供“云計(jì)算”、“數(shù)據(jù)中心”等服務(wù)的信息基礎(chǔ)設(shè)施的監(jiān)管,督促關(guān)鍵信息基礎(chǔ)設(shè)施從物理設(shè)施、應(yīng)用程序、數(shù)據(jù)保護(hù)等層面,全方位確保證券期貨業(yè)信息系統(tǒng)安全穩(wěn)定運(yùn)行和數(shù)據(jù)安全。
(三)有利于加強(qiáng)對(duì)軟件開發(fā)商、技術(shù)服務(wù)提供商和行情商的管理
近年來,資本市場的廣度和深度都有大變化,市場創(chuàng)新發(fā)展的速度加快,交易品種大幅增加,跨市場的聯(lián)動(dòng)不斷增強(qiáng)。技術(shù)就緒是業(yè)務(wù)創(chuàng)新的重要前提,因此,信息系統(tǒng)的升級(jí)更加頻繁,信息系統(tǒng)變得更加復(fù)雜,開發(fā)和運(yùn)維的難度和壓力加大。軟硬件產(chǎn)品供應(yīng)商、服務(wù)商是證券期貨業(yè)信息安全工作的重要參與者,是交易、行情軟件和技術(shù)服務(wù)的主要提供者,對(duì)行業(yè)信息系統(tǒng)安全穩(wěn)定運(yùn)行發(fā)揮著重要作用。
《網(wǎng)絡(luò)安全法》第二十二條明確提出,“網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序;發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)當(dāng)為其產(chǎn)品、服務(wù)持續(xù)提供安全維護(hù);在規(guī)定或者當(dāng)事人約定的期限內(nèi),不得終止提供安全維護(hù)。網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的,其提供者應(yīng)當(dāng)向用戶明示并取得同意;涉及用戶個(gè)人信息的,還應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定。”以上規(guī)定,有利于證券期貨業(yè)監(jiān)管部門依法對(duì)軟硬件產(chǎn)品供應(yīng)商、服務(wù)商加強(qiáng)監(jiān)管,確保證券期貨業(yè)信息系統(tǒng)安全穩(wěn)定運(yùn)行。(證監(jiān)會(huì)信息中心 陳煒)