2023年5月1日，中國(guó)證券監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱(chēng)“中國(guó)證監(jiān)會(huì)"）制定并發(fā)布的《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》（以下簡(jiǎn)稱(chēng)“《辦法》"）正式實(shí)施，《辦法》為證券公司、期貨公司、基金公司等主體的網(wǎng)絡(luò)和信息安全、投資者個(gè)人信息保護(hù)、信息系統(tǒng)分類(lèi)分級(jí)管理等提出明確要求。2023年6月9日，中國(guó)證券投資基金業(yè)協(xié)會(huì)（以下簡(jiǎn)稱(chēng)“中基協(xié)"）與中國(guó)證券業(yè)協(xié)會(huì)（以下簡(jiǎn)稱(chēng)“中證協(xié)"）分別發(fā)布了《基金管理公司網(wǎng)絡(luò)和信息安全三年提升計(jì)劃（2023-2025）》及《證券公司網(wǎng)絡(luò)和信息安全三年提升計(jì)劃（2023-2025）》，再次將證券公司、基金公司的網(wǎng)絡(luò)和信息安全保障要求提升至新高度。此前，針對(duì)證券基金經(jīng)營(yíng)機(jī)構(gòu)的網(wǎng)絡(luò)與信息安全、數(shù)據(jù)安全等問(wèn)題，中國(guó)證監(jiān)會(huì)曾在2021年發(fā)布《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》（以下簡(jiǎn)稱(chēng)“《信息技術(shù)管理辦法》"），為證券基金公司保障網(wǎng)絡(luò)安全、數(shù)據(jù)安全以及規(guī)范處理客戶資料等工作提出明確且細(xì)致的基線。有關(guān)具體詳細(xì)解讀可參見(jiàn)我們此前發(fā)布的《證券基金公司網(wǎng)絡(luò)安全與數(shù)據(jù)保護(hù)的合規(guī)指引》 。

?

近年來(lái)，人工智能、大數(shù)據(jù)、云計(jì)算等技術(shù)快速發(fā)展，證券、基金、期貨業(yè)（簡(jiǎn)稱(chēng)“證券期貨業(yè)"）對(duì)數(shù)據(jù)安全、網(wǎng)絡(luò)技術(shù)以及各類(lèi)不同功能的信息系統(tǒng)依賴(lài)程度日益提高。作為國(guó)家金融領(lǐng)域的重要支柱，證券期貨業(yè)面臨的數(shù)據(jù)安全、隱私保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施管理等合規(guī)問(wèn)題，在金融復(fù)雜交易的背景下，更加具有其緊迫性和挑戰(zhàn)性。例如，2021年11月8日，美國(guó)基金證券交易平臺(tái)羅賓漢(Robinhood)發(fā)生重大數(shù)據(jù)泄漏事件，超過(guò)700萬(wàn)客戶的數(shù)據(jù)遭泄露，泄露數(shù)據(jù)類(lèi)型包括客戶電子郵件地址、姓名、郵政編碼以及出生日期。該事件的發(fā)生不僅影響證券交易市場(chǎng)穩(wěn)定，同時(shí)也凸顯出證券行業(yè)網(wǎng)絡(luò)安全、信息系統(tǒng)安全隱患、應(yīng)急預(yù)案不完備、缺乏有效的合規(guī)管理措施等問(wèn)題。

?

在“三法一條例"相繼生效實(shí)施的背景下，原有《信息技術(shù)管理辦法》的合規(guī)要求難以覆蓋日益復(fù)雜的網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)問(wèn)題，于是《辦法》應(yīng)運(yùn)而生。本文將總結(jié)《辦法》的亮點(diǎn)內(nèi)容，并結(jié)合近期頒布實(shí)施的部門(mén)規(guī)章及行業(yè)標(biāo)準(zhǔn)，重點(diǎn)梳理和解讀《辦法》中證券期貨業(yè)網(wǎng)絡(luò)和信息安全、數(shù)據(jù)保護(hù)相關(guān)合規(guī)義務(wù)，形成合規(guī)指引。期望本指引能夠?yàn)樽C券期貨業(yè)各類(lèi)相關(guān)主體（包括但不限于核心機(jī)構(gòu)[1]、經(jīng)營(yíng)機(jī)構(gòu)[2]、證券期貨業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者（以下簡(jiǎn)稱(chēng)“CIIO"）、信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)[3]等）開(kāi)展合規(guī)工作提供參考。

?

一、哪些企業(yè)會(huì)被納入《辦法》的監(jiān)管范疇？

（一）直接適用主體的范圍擴(kuò)大

?

相較于2021年發(fā)布的《信息技術(shù)管理辦法》，《辦法》的適用范圍更加廣泛。適用范圍的擴(kuò)大體現(xiàn)出精細(xì)化監(jiān)管的趨勢(shì)，《辦法》中對(duì)各類(lèi)主體明確了相應(yīng)的合規(guī)義務(wù)，這將對(duì)各類(lèi)主體的合規(guī)水平提出更高要求。

?

《辦法》與《信息技術(shù)管理辦法》中直接適用主體的范圍差別如下：

從整體上看，《辦法》的適用主要擴(kuò)大了對(duì)交易所和期貨公司的監(jiān)管；而對(duì)于基金公司，其所監(jiān)管的對(duì)象主要為公募基金，私募基金屬于參照適用（具體見(jiàn)下）；同時(shí)《辦法》也增加了對(duì)證券業(yè)下游服務(wù)商的監(jiān)管，即信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)屬于直接被監(jiān)管的對(duì)象。結(jié)合《辦法》第七十一條針對(duì)“信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)"的定義（為證券期貨業(yè)務(wù)活動(dòng)提供重要信息系統(tǒng)的開(kāi)發(fā)、測(cè)試、集成、測(cè)評(píng)、運(yùn)維及日常安全管理等產(chǎn)品或者服務(wù)的機(jī)構(gòu)）以及《證券服務(wù)機(jī)構(gòu)從事證券服務(wù)業(yè)務(wù)備案管理規(guī)定》第九條針對(duì)信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)備案的要求，我們理解，《辦法》所列信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)目前有一個(gè)相對(duì)確定的范圍，即指的是已經(jīng)在證監(jiān)會(huì)完成備案的機(jī)構(gòu)。

?

（二）參照適用的主體

?

值得關(guān)注的是，《辦法》第七十四條明確如下五類(lèi)主體應(yīng)當(dāng)根據(jù)相關(guān)信息系統(tǒng)網(wǎng)絡(luò)和信息安全管理的特點(diǎn)，參照適用《辦法》，體現(xiàn)出監(jiān)管要求的全面化趨勢(shì)：

?

1. 境內(nèi)開(kāi)展證券公司客戶交易結(jié)算資金第三方存管業(yè)務(wù)、期貨保證金存管業(yè)務(wù)的商業(yè)銀行；

   ?

2. 證券投資咨詢(xún)機(jī)構(gòu)。截至2023年5月，中國(guó)證監(jiān)會(huì)核準(zhǔn)的證券投資咨詢(xún)機(jī)構(gòu)共計(jì)79家，例如鼎信匯金、指南針、中富金石等。

   ?

3. 基金托管機(jī)構(gòu)。截至2023年5月，中國(guó)證監(jiān)會(huì)備案或注冊(cè)的證券投資基金托管人共計(jì)62家。

   ?

4. 從事公開(kāi)募集基金的銷(xiāo)售、銷(xiāo)售支付、份額登記、估值、投資顧問(wèn)、評(píng)價(jià)等基金服務(wù)業(yè)務(wù)的機(jī)構(gòu)。此類(lèi)機(jī)構(gòu)數(shù)量較多，范圍較廣，基本上涵蓋了為公募基金提供下游服務(wù)的有關(guān)企業(yè)。

   ?

5. 從事證券期貨業(yè)務(wù)活動(dòng)的經(jīng)營(yíng)機(jī)構(gòu)子公司。借助自身運(yùn)維管理的信息系統(tǒng)從事證券投資活動(dòng)且存續(xù)產(chǎn)品涉及基金份額持有人賬戶合計(jì)一千人以上的私募證券投資基金管理人。結(jié)合《證券投資基金法》針對(duì)單支私募基金合格投資者不超過(guò)200人的人數(shù)限制，符合前述要求參照使用《辦法》的私募基金管理人需具備多支存續(xù)私募基金，且自身具備系統(tǒng)運(yùn)維能力，此類(lèi)機(jī)構(gòu)通常指向的是大型的私募基金管理公司。

?

《辦法》明確上述機(jī)構(gòu)為參照適用。根據(jù)人大等立法部門(mén)的解釋?zhuān)皡⒄?一般用于沒(méi)有直接納入法律調(diào)整范圍，但是又屬于該范圍邏輯內(nèi)涵自然延伸的事項(xiàng)。因此參照適用比直接適用的強(qiáng)制性要弱不少，我們建議上述機(jī)構(gòu)在考慮適用《辦法》時(shí)，與監(jiān)管部門(mén)進(jìn)一步溝通確認(rèn)。

?

二、亮點(diǎn)總結(jié)：《辦法》七大亮點(diǎn)

（一）緊密銜接上位法最新要求

?

《辦法》緊密銜接《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等上位法的最新要求，進(jìn)一步健全證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理監(jiān)管制度體系。在網(wǎng)絡(luò)和信息安全管理組織、內(nèi)控制度方面，基于《網(wǎng)絡(luò)安全法》中關(guān)于網(wǎng)絡(luò)安全負(fù)責(zé)人、網(wǎng)絡(luò)安全等級(jí)保護(hù)制度、制定內(nèi)部安全管理制度和操作規(guī)程、網(wǎng)絡(luò)安全應(yīng)急預(yù)案的要求細(xì)化針對(duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)的管理要求；在投資者個(gè)人信息保護(hù)方面，結(jié)合《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的要求，強(qiáng)調(diào)投資者個(gè)人信息的全流程安全管理以及對(duì)外提供等特殊場(chǎng)景下明確告知、單獨(dú)同意等合規(guī)要求；在關(guān)鍵信息基礎(chǔ)設(shè)施（以下簡(jiǎn)稱(chēng)“CII"）管理方面，《辦法》在《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的基礎(chǔ)上，細(xì)化證券期貨業(yè)CIIO的管理責(zé)任，如應(yīng)為每個(gè)CII指定網(wǎng)絡(luò)和信息安全管理責(zé)任人、變更或下線移除CII時(shí)應(yīng)組織開(kāi)展專(zhuān)家評(píng)審、采購(gòu)與CII密切相關(guān)的網(wǎng)絡(luò)產(chǎn)品或服務(wù)投入使用后可能影響國(guó)家安全的應(yīng)及時(shí)申報(bào)網(wǎng)絡(luò)安全審查等。

?

（二）明確主體的分類(lèi)分級(jí)責(zé)任設(shè)置

?

《辦法》第十條、第十一條明確核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)的網(wǎng)絡(luò)和信息安全管理工作責(zé)任主體及部門(mén)或機(jī)構(gòu)設(shè)置要求，將核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)的主要責(zé)任人、網(wǎng)絡(luò)和信息安全工作分管領(lǐng)導(dǎo)分別設(shè)置為第一責(zé)任人和直接責(zé)任人，要求核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)領(lǐng)導(dǎo)層充分重視并且負(fù)責(zé)網(wǎng)絡(luò)和信息安全工作。實(shí)踐中，核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)的主要責(zé)任人通常為理事長(zhǎng)、董事長(zhǎng)所對(duì)應(yīng)的人員；分管網(wǎng)絡(luò)和信息安全工作的領(lǐng)導(dǎo)班子成員或者高級(jí)管理人員通常為總經(jīng)理、副總經(jīng)理所對(duì)應(yīng)的人員，結(jié)合《網(wǎng)絡(luò)安全法》第二十一條和第五十九條，我們認(rèn)為該網(wǎng)絡(luò)和信息安全分管領(lǐng)導(dǎo)與《網(wǎng)絡(luò)安全法》中明確的“網(wǎng)絡(luò)安全負(fù)責(zé)人"可以合并設(shè)置。在網(wǎng)絡(luò)和信息安全工作具體執(zhí)行中，《辦法》要求核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)一方面應(yīng)當(dāng)建立響應(yīng)工作協(xié)調(diào)和決策機(jī)制，以保障第一責(zé)任人和直接責(zé)任人履行職責(zé)；另一方面，應(yīng)當(dāng)指定或者設(shè)立網(wǎng)絡(luò)和信息安全工作牽頭部門(mén)或者機(jī)構(gòu)，該部門(mén)或者機(jī)構(gòu)將在網(wǎng)絡(luò)和信息安全工作分管領(lǐng)導(dǎo)的直接領(lǐng)導(dǎo)與管理下，負(fù)責(zé)管理重要信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施、制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案、組織應(yīng)急演練等具體工作的落地開(kāi)展。

圖1：證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理主體的分類(lèi)分級(jí)責(zé)任設(shè)置

?

（三）設(shè)置信息系統(tǒng)的分類(lèi)分級(jí)保護(hù)原則和要求

?

根據(jù)承載的證券期貨業(yè)業(yè)務(wù)活動(dòng)關(guān)鍵程度不同、出現(xiàn)系統(tǒng)服務(wù)異常或數(shù)據(jù)泄露等情形造成的影響主體、影響范圍的不同，《辦法》基于信息系統(tǒng)重要程度和業(yè)務(wù)影響情況從低到高區(qū)分為一般信息系統(tǒng)、重要信息系統(tǒng)以及CII，并在不同的章節(jié)明確核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)針對(duì)一般信息系統(tǒng)、重要信息系統(tǒng)和CII的不同的網(wǎng)絡(luò)和信息安全管理要求。

?

針對(duì)一般信息系統(tǒng)，主要要求核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)履行確保系統(tǒng)架構(gòu)合理、定級(jí)備案、等級(jí)測(cè)評(píng)、安全建設(shè)等通用性義務(wù)；針對(duì)涉及交易、開(kāi)戶、結(jié)算、通信等環(huán)節(jié)的重要信息系統(tǒng)，核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)進(jìn)行重點(diǎn)管理，包括但不限于上線、變更、下線時(shí)進(jìn)行充分的技術(shù)和業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估、重大升級(jí)變更時(shí)進(jìn)行聯(lián)網(wǎng)測(cè)試、年度系統(tǒng)壓力測(cè)試等；針對(duì)CII，《辦法》以專(zhuān)章細(xì)化證券期貨業(yè)CIIO的具體合規(guī)要求，以落地執(zhí)行CIIO應(yīng)當(dāng)履行的具體合規(guī)義務(wù)。

?

（四）安全要求和內(nèi)控體系細(xì)化

?

相較于2021年發(fā)布的《信息技術(shù)管理辦法》以及相對(duì)應(yīng)的《證券法》《期貨和衍生品法》《證券投資基金法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等上位法的要求，《辦法》中對(duì)核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)、證券期貨業(yè)CIIO、信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)設(shè)置的合規(guī)義務(wù)要求更加具體、細(xì)化，尤其針對(duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)，通過(guò)量化信息系統(tǒng)技術(shù)要求（如針對(duì)性能容量、網(wǎng)絡(luò)帶寬的要求等）、合規(guī)義務(wù)履行時(shí)間要求（如針對(duì)應(yīng)急演練、網(wǎng)絡(luò)和信息安全監(jiān)測(cè)和風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)日志和系統(tǒng)日志留存、網(wǎng)絡(luò)和信息安全工作專(zhuān)項(xiàng)評(píng)估等工作的時(shí)間要求等）等方式進(jìn)行精細(xì)化監(jiān)管。《辦法》中對(duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)的內(nèi)控體系建設(shè)要求可總結(jié)為三大體系、兩類(lèi)制度以及七種機(jī)制（詳見(jiàn)本指引中篇“一、（二）體系、機(jī)制與制度構(gòu)建"部分的具體分析），更加強(qiáng)調(diào)內(nèi)控管理要求的體系化和有效性。

?

（五）嚴(yán)格上下游供應(yīng)商管理

?

在證券期貨業(yè)領(lǐng)域，為核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)提供信息技術(shù)產(chǎn)品和服務(wù)的供應(yīng)商范圍十分廣泛，包括但不限于重要信息系統(tǒng)（如開(kāi)戶、交易、結(jié)算、通信等系統(tǒng)）相關(guān)技術(shù)和產(chǎn)品服務(wù)供應(yīng)商，人臉識(shí)別服務(wù)供應(yīng)商、身份認(rèn)證服務(wù)供應(yīng)商、網(wǎng)站或App等產(chǎn)品開(kāi)發(fā)供應(yīng)商等等。針對(duì)不同類(lèi)別的供應(yīng)商，《辦法》第二十二條、第二十三條分別提出不同的合規(guī)義務(wù)要求。一方面是針對(duì)信息技術(shù)產(chǎn)品和服務(wù)供應(yīng)商的通用性管理要求，核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立健全供應(yīng)商管理機(jī)制，明確供應(yīng)商的準(zhǔn)入標(biāo)準(zhǔn)、采購(gòu)與持續(xù)評(píng)估機(jī)制、風(fēng)險(xiǎn)管理措施、應(yīng)急處置機(jī)制等；同時(shí)，核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)與供應(yīng)商簽署合同及保密協(xié)議，明確供應(yīng)商保障網(wǎng)絡(luò)和信息安全的權(quán)利義務(wù)及其安全事件應(yīng)急響應(yīng)權(quán)責(zé)。另一方面是針對(duì)提供重要信息系統(tǒng)相關(guān)產(chǎn)品或服務(wù)供應(yīng)商的備案管理要求，為核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)提供重要信息系統(tǒng)相關(guān)產(chǎn)品或服務(wù)的供應(yīng)商，應(yīng)當(dāng)依法作為信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)向中國(guó)證監(jiān)會(huì)備案。

?

（六）加強(qiáng)投資者個(gè)人信息保護(hù)

?

在證券期貨業(yè)領(lǐng)域中，交易、開(kāi)戶、結(jié)算、通信等各環(huán)節(jié)以及對(duì)應(yīng)系統(tǒng)中涉及海量投資者個(gè)人信息（如身份信息、風(fēng)險(xiǎn)評(píng)估信息等）的處理，此類(lèi)信息敏感程度高，往往涉及銀行賬戶、鑒別信息、征信信息、身份信息等，且核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)均掌握海量投資者個(gè)人信息，一旦泄露將引造成證券期貨市場(chǎng)震蕩。基于《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的針對(duì)個(gè)人信息保護(hù)的嚴(yán)格要求，《辦法》結(jié)合證券期貨業(yè)的特點(diǎn)，設(shè)置了“投資者個(gè)人信息保護(hù)"專(zhuān)章，加強(qiáng)投資者的個(gè)人信息保護(hù)。除要求核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)加強(qiáng)投資者個(gè)人信息處理的全流程合規(guī)管理、建立和完善投資者個(gè)人信息保護(hù)體系和管理機(jī)制的基本要求外，《辦法》針對(duì)向第三方機(jī)構(gòu)提供投資者個(gè)人信息、在網(wǎng)絡(luò)安全防護(hù)邊界外處理投資者個(gè)人信息（如通過(guò)短信、郵件等非自主運(yùn)營(yíng)渠道發(fā)送投資者個(gè)人信息），以及利用生物特征開(kāi)展客戶身份認(rèn)證（如開(kāi)戶、登錄等場(chǎng)景）等重點(diǎn)場(chǎng)景明確單獨(dú)同意、數(shù)據(jù)脫敏、數(shù)據(jù)加密、必要性與安全性風(fēng)險(xiǎn)評(píng)估等具體合規(guī)義務(wù)，體現(xiàn)出全流程保護(hù)與重點(diǎn)場(chǎng)景重點(diǎn)防范相結(jié)合的合規(guī)監(jiān)管要求。

?

（七）精細(xì)靈活設(shè)置法律責(zé)任

?

《辦法》針對(duì)核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)、信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)以及證券期貨業(yè)CIIO的不同違法違規(guī)事項(xiàng)設(shè)置不同的法律責(zé)任，基于《辦法》的網(wǎng)絡(luò)和信息安全保障原則，處罰的上位法依據(jù)大多指向《網(wǎng)絡(luò)安全法》。值得關(guān)注的是，《辦法》第七十條規(guī)定金融創(chuàng)新容錯(cuò)相關(guān)制度安排，明確了如下從輕、減輕或免于處罰的情形，體現(xiàn)了對(duì)金融科技創(chuàng)新機(jī)制和信息技術(shù)應(yīng)用創(chuàng)新機(jī)制的包容和鼓勵(lì)：

?

• 從輕或減輕處罰：核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)參與資本市場(chǎng)金融科技創(chuàng)新機(jī)制或者信息技術(shù)應(yīng)用創(chuàng)新機(jī)制，相關(guān)項(xiàng)目發(fā)生網(wǎng)絡(luò)安全事件，相關(guān)機(jī)構(gòu)處置得當(dāng)，積極消除不良影響的；

  ?

• 免于處罰：核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)參與資本市場(chǎng)金融科技創(chuàng)新機(jī)制或者信息技術(shù)應(yīng)用創(chuàng)新機(jī)制，相關(guān)項(xiàng)目發(fā)生網(wǎng)絡(luò)安全事件，相關(guān)機(jī)構(gòu)處置得當(dāng)，未對(duì)證券期貨市場(chǎng)產(chǎn)生不良影響的。

?

下期預(yù)告

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)遵循保障安全、促進(jìn)發(fā)展的基本原則開(kāi)展網(wǎng)絡(luò)和信息安全工作，依法履行網(wǎng)絡(luò)和信息安全及數(shù)據(jù)保護(hù)的相關(guān)合規(guī)義務(wù)。《辦法》強(qiáng)調(diào)了核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)對(duì)本機(jī)構(gòu)網(wǎng)絡(luò)和信息安全及數(shù)據(jù)保護(hù)的主體責(zé)任，我們將在《證券期貨業(yè)網(wǎng)絡(luò)和信息安全及數(shù)據(jù)保護(hù)合規(guī)指引（中）——重點(diǎn)解讀：核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)合規(guī)義務(wù)》中，梳理并解讀核心機(jī)構(gòu)與經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)履行的具體合規(guī)義務(wù)。

?

[注]?

[1] 如無(wú)特別說(shuō)明，本文中“核心機(jī)構(gòu)"是指包括證券期貨交易場(chǎng)所、證券登記結(jié)算機(jī)構(gòu)等承擔(dān)證券期貨市場(chǎng)公共職能、承擔(dān)證券期貨業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施運(yùn)營(yíng)的證券期貨市場(chǎng)核心機(jī)構(gòu)及其承擔(dān)上述相關(guān)職能的下屬機(jī)構(gòu)。

[2] 如無(wú)特別說(shuō)明，本文中“經(jīng)營(yíng)機(jī)構(gòu)"是指證券公司、期貨公司和基金管理公司等證券期貨經(jīng)營(yíng)機(jī)構(gòu)。

[3] 如無(wú)特別說(shuō)明，本文中“信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)"是指為證券期貨業(yè)務(wù)活動(dòng)提供重要信息系統(tǒng)的開(kāi)發(fā)、測(cè)試、集成、測(cè)評(píng)、運(yùn)維及日常安全管理等產(chǎn)品或者服務(wù)的機(jī)構(gòu)。

[4] 結(jié)合直接適用主體與參照適用主體的范圍，《辦法》對(duì)參照適用的私募基金管理人做出前提限制，主要指向的是大型的私募基金管理人。對(duì)此，我們理解，此處的基金管理公司指的是管理公開(kāi)募集基金的基金管理公司。

[5] 根據(jù)中國(guó)證監(jiān)會(huì)官網(wǎng)披露的信息，截至2023年4月26日，已完成備案的信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)為373家，例如中國(guó)信息通信研究院、浙江同花順智能科技有限公司、螞蟻財(cái)富（上海）金融信息服務(wù)有限公司、騰訊云計(jì)算（北京）有限責(zé)任公司等。