通力法评 | 《证券基金经营机构信息技术管理办法》解读
原创: 吕红 | 卢俊 通力律师 昨天
作者:通力律师事务所 吕红 | 卢俊
2018年12月19日, 中国证券监督管理委员会(以下简称“证监会”)正式发布《证券基金经营机构信息技术管理办法》(以下简称“《办法》”)。《办法》共七章六十四条, 虽然条文数量与2017年5月发布的征求意见稿一致, 但具体内容进行了大幅度修改完善。本文结合《办法》具体条文, 对《办法》内容进行简要评述。
近年来, 证监会多次发文强化信息化建设和信息系统安全工作, 2014年出台了《资本市场信息化建设总体规划(2014-2020)》, 2015年发布了《中国证券期货业信息安全工作规划》, 2018年印发了《中国证监会监管科技总体建设方案》。同时, 2017年6月1日《中华人民共和国网络安全法》(以下简称“《网络安全法》”)正式实施。《网络安全法》要求网络运营者履行维护其运营的网络系统和存储于其网络系统中的信息与数据安全性的基本义务, 对证券基金经营机构而言也是应当履行和承担的法律义务和责任。承接上述立法与政策, 规范证券基金经营机构信息技术管理的《办法》应运而生。
- 《办法》的适用范围
根据《办法》的相关规定, 适用范围如下:
(1) 证券基金经营机构借助信息技术手段从事证券基金业务活动, 信息技术服务机构为证券基金业务活动提供信息技术服务, 适用《办法》。
证券基金经营机构是指证券公司和管理公开募集基金的基金管理公司(以下简称“基金管理公司”), 但不包括期货公司和在中国证券投资基金业协会(以下简称“基金业协会”)备案的私募基金管理人等。信息技术服务机构是指为证券基金业务活动提供重要信息系统的开发、测试、集成、测评服务以及重要信息系统的运维、日常安全管理服务的机构。
(2) 证券基金专项业务服务机构借助信息技术手段从事证券基金业务活动的, 参照《办法》执行。证券基金专项业务服务机构是指从事公开募集基金的销售、销售支付、份额登记、估值、投资顾问、评价等基金服务业务的机构和证券投资咨询机构。
(3) 从事证券公司客户交易结算资金存管活动的商业银行、从事公开募集基金的基金托管机构、证券基金经营机构在境内依法设立的子公司及其下设机构, 在借助信息技术手段从事相关证券基金业务活动时参照《办法》执行。
因此, 《办法》的适用范围十分广泛, 基本实现了证券基金业务活动中信息技术相关市场主体监管的全覆盖。
- 信息技术管理的责任主体
《办法》明确了证券基金经营机构的责任主体地位, 按照“谁运行、谁负责; 谁使用、谁负责”的理念, 规定了证券基金经营机构的法定义务和责任。证券基金经营机构虽然可以委托信息技术服务机构提供产品或服务, 但依法应当承担的责任不因委托而免除或减轻。
证券基金经营机构需要确保重要信息系统运行始终处于自身控制范围。除法律法规及证监会另有规定外, 不得将重要信息系统的运维、日常安全管理交由信息技术服务机构独立实施。
- 中证信息技术服务有限责任公司的职责
中证信息技术服务有限责任公司在证监会指导下制定相关配套业务规则, 协助开展信息技术相关备案、监测、检测和检查等工作, 弥补了证监会信息技术专业人员紧缺的问题, 将进一步发挥市场专业机构的作用。
- 信息技术治理
(1) 治理结构
《办法》将信息技术管理上升为公司战略, 从管理层职责提升为董事会职责。
《办法》征求意见稿提出“经营机构经营管理层对信息技术管理工作承担最终责任”, 《办法》正式稿修改为证券基金经营机构董事会对信息技术管理的有效性承担责任,并明确了董事会对信息技术管理的基本职责。经营管理层负责落实董事会有关要求, 对信息技术管理工作承担责任。
(2) 设立信息技术治理委员会
《办法》要求证券基金经营机构应当在公司管理层下设立信息技术治理委员会或指定专门委员会(以下统称“信息技术治理委员会”), 负责制定信息技术战略并审议有关事项, 明确信息技术治理委员会成员除公司高级管理人员及内部部门负责人外, 还可聘请外部专业人员担任信息技术治理委员会委员或顾问。
(3) 增设首席信息官
《办法》明确证券基金经营机构应当指定一名熟悉证券、基金业务, 具有信息技术相关专业背景、任职经历、履职能力的高级管理人员为首席信息官, 由其负责信息技术管理工作, 并明确了有关任职条件, 主要包括从事信息技术相关工作十年以上, 其中证券、基金行业信息技术相关工作年限不少于三年; 或者在证券监管机构、证券基金业自律组织任职八年以上。
(4) 未对信息技术部门人员数量做强制规定
《办法》明确证券基金经营机构应当设立信息技术管理部门或指定专门机构负责信息技术管理工作, 但并未对部门人员数量和资格条件做出明确限定。证券公司可参考中国证券业协会《证券期货经营机构信息技术治理工作指引(试行)》关于公司的信息技术工作人员总数原则上应不少于公司员工总人数的6%的规定。
- 信息技术合规与风险管理
(1) 建立全方位的风险管理体系
《办法》明确了业务系统和风险管理系统“双上线”的要求和业务开展前进行内部审查的要求。证券基金经营机构事中应建立持续有效的风险监测机制, 并至少每年开展一次风险监测机制及执行情况的有效性评估; 事后应当定期开展信息技术管理工作专项审计, 频率不低于每年一次, 确保三年内完成信息技术管理全部事项的审计工作, 至少每三年委托外部专业机构开展一次信息技术管理工作的全面审计。如因未能有效实施信息技术管理被采取行政处罚等措施的, 应当在三个月内完成对有关事项的专项审计。
(2) 仍然对证券基金经营机构外部系统接入持谨慎态度
2015年股市异常波动期间, 证监会发布了《关于加强证券公司信息系统外部接入管理的通知》, 明确了证券公司使用外部接入信息系统开展证券业务的禁止性要求, 重申各证券公司不得通过网上证券交易接口为任何机构和个人开展场外配资活动、为非法证券业务提供便利, 实质上禁止了证券公司信息系统外部接入业务。《办法》第十七条明确证券基金经营机构应当通过自身运营管理的信息系统直接接收客户交易指令, 并记录客户交易指令接收时间, 仍然在原则上禁止了外部系统接入, 体现了谨慎的态度, 不过也明确了法律法规及证监会另有规定除外的但书条款, 为今后业务变化留下空间。
(3) 对已在执行的合规风控措施再明确
《办法》关于采集、记录、存储、报送客户交易终端信息的规定(第十八条)、电子合同指定储存并提供查询、下载的规定(第十九条)、风险管理系统具备验资验券功能的规定(第二十条)等行业都已开始执行, 《关于加强证券期货经营机构客户交易终端信息等客户信息管理的规定》(证监会公告【2013】30号)已明确交易终端信息采集要求, 目前行业主要采取记录互联网通讯协议地址(IP地址)、媒介访问控制地址(MAC地址)、电话号码等方式明确客户身份, 但部分信息仍然无法确保唯一性, 以何种信息作为交易终端信息有待进一步细化。
另外, 对于基金管理公司而言, 新设基金管理公司已经启动“券商结算模式”试点, 通过券商风控系统最终实现验资验券功能。但“券商结算模式”试点前设立的基金管理公司仍然采用租赁券商交易单元的形式接入交易所系统, 理论上存在透支可能, 是否需要转换成“券商结算模式”有待证监会进一步明确。
- 信息技术安全
《办法》用较大篇幅规范了信息技术安全相关内容, 主要分为信息系统安全、数据治理、应急管理三部分。
(1) 信息系统安全方面
《办法》规范了技术管理工作, 明确了证券基金经营机构信息系统开发、测试、上线、部署、变更等环节的监管要求(第二十一至二十八条)。与征求意见稿相比, 《办法》正式稿有两处较大调整:
一是关于重要信息系统的境内部署。《办法》删除了征求意见稿第二十五条关于将重要信息系统在境内独立部署, 并将证券基金经营活动中收集和产生的重要数据和客户信息存放在境内及其例外情形的规定。我们理解, 此处修改不能理解为证监会放开重要信息系统和重要数据境外部署或存放, 而是由于《网络安全法》等更高层级的法律法规已经对重要信息系统的部署和数据管理做出规定, 作为规章无需重复更不可违反上层法律法规的规定, 因此《办法》正式稿第二十六条原则性表述为“证券基金经营机构重要信息系统部署以及所承载数据的管理, 应当遵循法律法规等规定。”
二是证券基金经营机构可以设立信息技术专业子公司。《办法》正式稿在允许证券基金经营机构为其子公司提供信息技术服务的同时, 明确证券基金经营机构可以设立信息技术专业子公司, 为母公司提供信息技术服务。信息技术专业子公司经证监会备案后可为其他金融机构提供信息技术服务。该条款进一步提升了证券基金经营机构信息技术资源的利用效率, 也有利于信息技术建设基础较好的证券基金经营机构多元化发展。
(2) 数据治理方面
《办法》将征求意见稿“数据安全管理”提升到“数据治理”的高度, 体现出数据治理应成为一项公司战略, 数据不仅仅是一类资料, 更是一项资产, 只有真正经过专业治理的数据才能满足数字化转型的基本要求。《办法》明确要求证券基金经营机构构建数据治理组织架构和数据全生命周期管理机制(第二十九条), 按照重要性和敏感性对数据进行分类分级管理(第三十条), 并对数据安全、数据保密、数据挖掘等提出了具体监管规定, 要求加强数据安全管理工作, 有效保护客户信息(第三十一至三十五条)。
(3) 应急管理方面
《办法》主要明确了应急机制建设和重要系统、数据备份能力的要求。在应急机制中规定了证券基金经营机构应当落实的应急管理职责(第三十七条), 应急预案的有关内容要求(第三十八条、第三十九条), 明确证券基金经营机构应当根据应急预案定期组织关键岗位人员开展应急演练, 演练频率不低于每年一次, 并确保应急演练在两年内覆盖全部重要信息系统; 应急演练应当形成报告, 保存期限不得少于五年。同时要求证券基金经营机构应当在公司网站、客户交易终端等渠道公示信息技术突发事件发生时客户可采取的替代交易方式等信息, 提示客户防范和应对可能出现的风险(第四十条)。在备份能力方面, 《办法》确定了证券基金经营机构重要信息系统的范围(第六十三条), 区分证券公司和基金管理公司、实时信息系统和非实时信息系统两个维度, 明确了重要业务系统、数据备份能力等要求(第四十一条), 证券基金经营机构可参照《证券期货经营机构信息系统备份能力标准》(JR/T 0059—2010, 2011年4月14日发布实施)了解相关能力等级的具体要求。
- 信息技术服务机构
(1) 基金信息技术服务机构和证券信息服务机构差别化的监管规则
基金信息技术服务机构应当向证监会备案, 而证券信息服务机构可以自愿接受中证信息技术服务有限责任公司的业务指导, 并遵守相关业务规则, 没有强制备案要求。基金管理公司应当选择已在证监会备案的信息技术服务机构, 并在备案范围内与其开展合作。证券公司应当选择符合《办法》第四十七条有关条件的信息技术服务机构开展合作。
(2) 信息技术服务机构向基金管理公司和私募基金管理人提供服务的不同备案要求
由于《办法》仅规范为基金管理公司提供信息技术服务的信息技术服务机构, 因此如果信息技术服务机构为私募基金管理人提供信息技术服务则不适用《办法》, 仍应按照基金业协会《私募投资基金服务业务管理办法(试行)》的要求向基金业协会登记。
(3) 基金信息技术服务机构提供“直销引流”等部分经营模式被禁止
在以往基金信息技术服务机构与基金管理公司业务合作中, 存在基金管理公司依赖基金信息技术服务机构(包括第三方电子商务平台)为其基金直销引流等业务模式, 基金信息技术服务机构部分参与基金产品的营销策划、宣传推介等, 同时可能存在掌握基金客户信息和数据, 并根据基金销售量与基金管理公司结算费用的情况。《办法》出台后, 上述业务模式被禁止。
《办法》第五十一条规定信息技术服务机构为证券基金业务活动提供信息技术服务, 不得有“参与证券基金经营机构向客户提供业务服务的任何环节或向投资者、社会公众等发布可能引发其从事证券基金业务误解的信息”、“截取、存储、转发和使用证券基金业务活动相关经营数据和客户信息”的行为。同时《办法》生效后, 《证券投资基金销售机构通过第三方电子商务平台开展业务管理暂行规定》(证监会公告〔2013〕18 号)同时废止, 体现了《办法》要求不同机构各司其职、更加关注专业化运作的态度。
- 监督管理
《办法》强化了信息技术日常监管力度, 明确了证券基金经营机构新建或更换重要信息系统所在机房、证券基金交易相关信息系统, 应当在开展相关业务活动的五个工作日内向证监会报送有关资料, 证券基金经营机构应当在报送年度报告的同时报送年度信息技术管理专项报告, 信息技术服务机构应按照证监会要求及时报送有关材料等要求(第五十三条、第五十五条)。
《办法》还对信息技术服务机构规定了相关违规行为的罚则。信息技术服务机构原先并非证监会监管范围, 因此证监会对信息技术服务机构的监督检查、行政处罚都存在较大障碍。《办法》按照监管全覆盖的理念, 在第五十九条明确了对违反《办法》有关规定的信息技术服务机构, 可以采取行政监管措施和行政处罚, 不符合持续经营条件的, 可以责令改正, 拒不改正或情节严重的, 注销备案。
- 其他
《办法》自2019年6月1日起实施。根据《办法》要求, 证券基金经营机构、证券基金专项业务服务机构应该在《办法》实施之日起半年内(即2019年12月1日前)将已投产的重要信息系统所在机房、证券基金交易相关信息系统等相关情况按照《办法》第五十二条的规定报送证监会。
《办法》实施前, 已提供相关服务的基金信息技术服务机构应当在《办法》实施之日起半年内(即2019年12月1日前)向证监会备案。
《办法》实施前, 已从事相关业务活动且不符合《办法》第十七条规定的(即未通过自身运营管理的信息系统直接接受客户交易指令), 证券基金经营机构应当妥善处理相关问题, 并在《办法》实施之日起半年内(即2019年12月1日前)完成整改; 整改未完成前, 不得借助违规接收客户交易指令的信息系统增加新客户或提供新服务。