點(diǎn)擊下載：《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》

為有效落實(shí)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》相關(guān)要求，規(guī)范證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理，防范化解行業(yè)網(wǎng)絡(luò)和信息安全風(fēng)險(xiǎn)，維護(hù)資本市場安全平穩(wěn)高效運(yùn)行，中國證券監(jiān)督管理委員會(huì)(“中國證監(jiān)會(huì)”)于2023年2月27日頒布了《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》(證監(jiān)會(huì)令第218號(hào)，“《管理辦法》”)，將于2023年5月1日起正式實(shí)施。



證監(jiān)會(huì)調(diào)整為國務(wù)院直屬機(jī)構(gòu)，提級(jí)保障證券監(jiān)管行政執(zhí)法效能。值得注意的是，2023年3月7日，十四屆全國人大一次會(huì)議，根據(jù)國務(wù)院關(guān)于提請審議國務(wù)院機(jī)構(gòu)改革方案的議案，提出組建國家金融監(jiān)督管理總局，作為國務(wù)院直屬機(jī)構(gòu)，統(tǒng)一負(fù)責(zé)除證券業(yè)之外的金融業(yè)監(jiān)管，中國證券監(jiān)督管理委員會(huì)的投資者保護(hù)職責(zé)劃入國家金融監(jiān)督管理總局；中國證券監(jiān)督管理委員會(huì)由國務(wù)院直屬事業(yè)單位調(diào)整為國務(wù)院直屬機(jī)構(gòu)，強(qiáng)化資本市場監(jiān)管職責(zé)，提升金融數(shù)據(jù)安全保障能力，推動(dòng)我國金融業(yè)開啟高質(zhì)量發(fā)展的新征程。

金融事關(guān)發(fā)展全局，證券期貨業(yè)安全管理刻不容緩。證券期貨業(yè)的特點(diǎn)是數(shù)據(jù)規(guī)模大、數(shù)據(jù)價(jià)值高、數(shù)據(jù)應(yīng)用場景復(fù)雜，客戶個(gè)人信息、交易、行情、資訊等海量數(shù)據(jù)在其業(yè)務(wù)系統(tǒng)中高速流轉(zhuǎn)，其業(yè)務(wù)持續(xù)性和安全性決定著整個(gè)交易系統(tǒng)的運(yùn)轉(zhuǎn)。近年來，針對(duì)數(shù)據(jù)的安全攻擊呈現(xiàn)出高頻化、高損化、高顯化等特征，證券期貨業(yè)務(wù)場景所具有的特殊性與復(fù)雜性，也使得監(jiān)管側(cè)對(duì)數(shù)據(jù)安全和系統(tǒng)自主可控性要求更為嚴(yán)格，而實(shí)際安全防護(hù)情況是，證券期貨業(yè)數(shù)據(jù)安全管理組織架構(gòu)尚不完善，‍技術(shù)手段未能全面覆蓋數(shù)據(jù)全生命周期。構(gòu)建實(shí)戰(zhàn)化的數(shù)據(jù)安全防護(hù)和管理體系，對(duì)于證券期貨業(yè)而言重要且緊迫。

《管理辦法》的出臺(tái)對(duì)證券期貨業(yè)安全監(jiān)管具有里程碑意義。恰逢“全國兩會(huì)”宣布證監(jiān)會(huì)調(diào)整為國務(wù)院直屬機(jī)構(gòu)之際，《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》對(duì)證券期貨業(yè)乃至整個(gè)金融行業(yè)具有重要意義，聚焦網(wǎng)絡(luò)和信息安全領(lǐng)域，在總結(jié)實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上，為上位法在證券期貨行業(yè)的落地實(shí)施明確了路徑。《管理辦法》全面覆蓋了包括證券期貨關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、核心機(jī)構(gòu)、經(jīng)營機(jī)構(gòu)、信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)等各類主體，以安全保障為基本原則，對(duì)網(wǎng)絡(luò)和信息安全管理提出規(guī)范要求，主要內(nèi)容包括：網(wǎng)絡(luò)和信息安全運(yùn)行、投資者個(gè)人信息保護(hù)、網(wǎng)絡(luò)和信息安全應(yīng)急處置、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、網(wǎng)絡(luò)和信息安全促進(jìn)與發(fā)展、監(jiān)督管理和法律責(zé)任等。

本文將梳理《管理辦法》對(duì)基金管理公司在網(wǎng)絡(luò)和信息安全管理方面提出的核心監(jiān)管要求，旨在為行業(yè)提升網(wǎng)絡(luò)和信息安全保障能力提供參考和建議。

一、法規(guī)出臺(tái)背景

中國證監(jiān)會(huì)之所以以《管理辦法》更新2012年11月1日起施行的《證券期貨業(yè)信息安全保障管理辦法》(證監(jiān)會(huì)令第82號(hào))等監(jiān)管規(guī)則，我們認(rèn)為主要有以下兩項(xiàng)核心原因：

1、健全網(wǎng)絡(luò)和信息安全法律體系

近年來，隨著《中華人民共和國網(wǎng)絡(luò)安全法》(“《網(wǎng)絡(luò)安全法》”)、《中華人民共和國數(shù)據(jù)安全法》(“《數(shù)據(jù)安全法》”)、《中華人民共和國個(gè)人信息保護(hù)法》(“《個(gè)人信息保護(hù)法》”)等法律法規(guī)密集發(fā)布實(shí)施，我國網(wǎng)絡(luò)和信息安全法律法規(guī)體系進(jìn)一步健全，新型管理框架基本成型。與此同時(shí)，由于原來的監(jiān)管規(guī)則制訂時(shí)間較早、監(jiān)管實(shí)踐變化等原因，其在有效銜接法律法規(guī)上位要求方面有待進(jìn)一步完善。

《管理辦法》的出臺(tái)結(jié)合監(jiān)管實(shí)踐成果，進(jìn)一步落實(shí)了法律法規(guī)的上位要求，防范化解網(wǎng)絡(luò)和信息安全風(fēng)險(xiǎn)隱患，助力資本市場安全平穩(wěn)高效運(yùn)行。

2、行業(yè)數(shù)字化智能化轉(zhuǎn)型加速

正如《管理辦法》起草說明中所提及的，相比于其他行業(yè)，證券期貨業(yè)本身涉及海量數(shù)據(jù)，隨著證券期貨業(yè)務(wù)與技術(shù)加速融合，其各類業(yè)務(wù)活動(dòng)日益依賴網(wǎng)絡(luò)系統(tǒng)和信息化，增加了網(wǎng)絡(luò)和信息安全管理的復(fù)雜度。2014年10月，
引述知情人士消息稱電腦數(shù)據(jù)泄密，涉及約7,600萬客戶的資料，給眾金融機(jī)構(gòu)敲響了警鐘。具體到基金管理公司，其在交易、行情、開戶、結(jié)算、通信過程中本身就會(huì)接觸并處理客戶、投資對(duì)象的繁雜信息；如果將大數(shù)據(jù)、云計(jì)算、區(qū)塊鏈、人工智能等新型信息技術(shù)運(yùn)用到信息系統(tǒng)的建設(shè)和上線變更中，基金管理公司將面對(duì)進(jìn)一步提高數(shù)據(jù)安全管理和保障能力的挑戰(zhàn)。

因此，我們建議基金管理公司根據(jù)《管理辦法》的相關(guān)要求，建立健全本公司的網(wǎng)絡(luò)和信息安全管理制度體系，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

二、基金管理公司相關(guān)業(yè)務(wù)及信息安全風(fēng)險(xiǎn)

1）涉及個(gè)人信息和網(wǎng)絡(luò)安全的業(yè)務(wù)環(huán)節(jié)

核心機(jī)構(gòu)和經(jīng)營機(jī)構(gòu)在中華人民共和國境內(nèi)建設(shè)、運(yùn)營、維護(hù)、使用網(wǎng)絡(luò)及信息系統(tǒng)，信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)為證券期貨業(yè)務(wù)活動(dòng)提供產(chǎn)品或者服務(wù)的網(wǎng)絡(luò)和信息安全保障，以及證券期貨業(yè)網(wǎng)絡(luò)和信息安全的監(jiān)督管理均適用《管理辦法》?；鸸芾砉揪W(wǎng)絡(luò)及信息系統(tǒng)均在中華人民共和國境內(nèi)建設(shè)、運(yùn)營、維護(hù)、使用，其開展日常業(yè)務(wù)落入《管理辦法》的規(guī)制范疇。

具體而言，基金管理公司的交易、開戶、結(jié)算都會(huì)涉及到網(wǎng)絡(luò)安全或個(gè)人信息保護(hù)。在交易系統(tǒng)中，基金管理公司將買入標(biāo)的、時(shí)間、金額等投資交易信息統(tǒng)一歸集到投資交易管理系統(tǒng)，并針對(duì)不同投資品種設(shè)定相應(yīng)的投資風(fēng)險(xiǎn)監(jiān)控指標(biāo)、風(fēng)險(xiǎn)額度等數(shù)據(jù)指標(biāo)，進(jìn)行全面風(fēng)險(xiǎn)管理；在開戶相關(guān)系統(tǒng)中，基金管理公司收集并保存大量機(jī)構(gòu)投資者和個(gè)人投資者的身份信息、風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)；在結(jié)算相關(guān)系統(tǒng)中，基金管理公司對(duì)每只投資組合進(jìn)行會(huì)計(jì)核算、估值、銷售結(jié)算、收益分配、資金劃撥；在通信相關(guān)系統(tǒng)中，基金管理公司在指定范圍內(nèi)傳遞大量一旦泄露會(huì)造成證券市場異常波動(dòng)的非公開信息。

總之，基金管理公司的業(yè)務(wù)全流程都伴隨著生產(chǎn)、接收、處理數(shù)據(jù)，面對(duì)嚴(yán)峻復(fù)雜的網(wǎng)絡(luò)和信息安全形勢。

2）業(yè)務(wù)中存在的網(wǎng)絡(luò)和信息安全風(fēng)險(xiǎn)

如前所述，基金管理公司業(yè)務(wù)開展離不開各類重要信息系統(tǒng)。而一旦由于黑客攻擊、操作失誤、系統(tǒng)缺陷、穩(wěn)定性受擾等原因，不確定的風(fēng)險(xiǎn)轉(zhuǎn)化為現(xiàn)實(shí)發(fā)生的網(wǎng)絡(luò)安全事件，必然會(huì)對(duì)國家金融安全、社會(huì)秩序、投資者合法權(quán)益造成損害。上述網(wǎng)絡(luò)安全事件包括：(i) 服務(wù)能力異常；(ii) 數(shù)據(jù)損毀、泄露或篡改；(iii) 漏結(jié)、重復(fù)結(jié)、錯(cuò)結(jié)等結(jié)算金額差錯(cuò)；(iv) 直接資金損失；(v) 因?qū)徍瞬粐?yán)或系統(tǒng)被非法入侵，相關(guān)信息平臺(tái)發(fā)送違法和不良信息等。

其中，數(shù)據(jù)損毀、泄露或篡改是較為頻發(fā)且涉及范圍較廣的一類安全事件。據(jù)券商中國報(bào)道，根據(jù)移動(dòng)支付網(wǎng)發(fā)布的《中國個(gè)人金融信息保護(hù)執(zhí)法白皮書2020》不完全統(tǒng)計(jì)，央行在2020年開出的行政處罰罰單中，案由涉及“個(gè)人金融信息”的共計(jì)181張，涉罰金額合超1.8億元人民幣，處罰對(duì)象包括銀行、支付機(jī)構(gòu)、消費(fèi)金融公司等。與此同時(shí)，其他安全事件同樣值得基金管理公司重視。

三、基金管理公司應(yīng)對(duì)措施

1）完善公司治理架構(gòu)

從制度建設(shè)上來看，基金管理公司應(yīng)當(dāng)依照《管理辦法》的相關(guān)要求，建立完善的網(wǎng)絡(luò)和信息安全管理制度體系，對(duì)網(wǎng)絡(luò)和信息安全的管理職責(zé)進(jìn)行明確，對(duì)數(shù)據(jù)全生命周期進(jìn)行規(guī)范和管理。

從人員配備上看，基金管理公司應(yīng)當(dāng)明確公司主要負(fù)責(zé)人為公司網(wǎng)絡(luò)和信息安全工作的第一責(zé)任人，分管網(wǎng)絡(luò)和信息安全工作的高級(jí)管理人員為直接責(zé)任人，并建立網(wǎng)絡(luò)和信息安全工作協(xié)調(diào)和決策機(jī)制，保障第一責(zé)任人和直接責(zé)任人有效履行職責(zé)。同時(shí)，我們也建議基金管理公司建立專門的信息安全工作小組，小組成員應(yīng)具備與履行職責(zé)相匹配的專業(yè)知識(shí)和職業(yè)技能，負(fù)責(zé)評(píng)估和審議相關(guān)的信息安全策略，厘清信息安全權(quán)責(zé)，以及協(xié)調(diào)公司內(nèi)部對(duì)安全管理措施的落實(shí)。督察長可以根據(jù)本公司的具體情況，定期檢查公司內(nèi)部對(duì)網(wǎng)絡(luò)和信息安全的保障措施的執(zhí)行，出具信息安全檢查專項(xiàng)報(bào)告。

總體而言，基金管理公司應(yīng)當(dāng)保障人力與資源投入與業(yè)務(wù)活動(dòng)規(guī)模、復(fù)雜程度相適應(yīng)，以確保信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施具備合理的架構(gòu)以及足夠的性能、容量、可靠性、擴(kuò)展性和安全性。

2）履行等級(jí)保護(hù)義務(wù)和告知義務(wù)

①等級(jí)保護(hù)義務(wù)

《管理辦法》重申《網(wǎng)絡(luò)安全法》提及的等級(jí)保護(hù)要求，即要求基金管理公司完成定級(jí)對(duì)象梳理、定級(jí)、備案、網(wǎng)絡(luò)安全建設(shè)、等保測評(píng)以及安全運(yùn)行和維護(hù)六個(gè)階段的工作。具體而言，基金管理公司首先需要梳理公司現(xiàn)有網(wǎng)絡(luò)系統(tǒng)，確定定級(jí)對(duì)象及其網(wǎng)絡(luò)安全等級(jí)。根據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見稿)》的規(guī)定，擬定為第二級(jí)以上的基金管理公司應(yīng)當(dāng)組織專家評(píng)審來完成定級(jí)工作，并在中國證監(jiān)會(huì)及其派出機(jī)構(gòu)核準(zhǔn)網(wǎng)絡(luò)的安全保護(hù)等級(jí)后到縣級(jí)以上公安機(jī)關(guān)備案。定級(jí)備案完成后，第三級(jí)以上網(wǎng)絡(luò)的運(yùn)營者應(yīng)當(dāng)按照《證券期貨業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《證券期貨業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求》每年開展一次網(wǎng)絡(luò)安全等級(jí)測評(píng)，發(fā)現(xiàn)并整改安全風(fēng)險(xiǎn)隱患，并將開展網(wǎng)絡(luò)安全等級(jí)測評(píng)的工作情況及測評(píng)結(jié)果向備案的公安機(jī)關(guān)報(bào)告，在取得公安機(jī)關(guān)頒發(fā)的備案證明后20個(gè)工作日內(nèi)將備案證明復(fù)印件或電子件報(bào)屬地中國證監(jiān)會(huì)派出機(jī)構(gòu)。

②告知義務(wù)

根據(jù)《管理辦法》的要求，基金管理公司暫?；蚪K止借助網(wǎng)絡(luò)向投資者提供服務(wù)前，應(yīng)當(dāng)履行告知義務(wù)，合理選取公告、定向通知等方式告知投資者相關(guān)業(yè)務(wù)影響情況。

3）建立網(wǎng)絡(luò)安全防護(hù)體系

健全的網(wǎng)絡(luò)安全防護(hù)體系應(yīng)當(dāng)包括識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、防控風(fēng)險(xiǎn)、處置風(fēng)險(xiǎn)、報(bào)告風(fēng)險(xiǎn)全環(huán)節(jié)。

①識(shí)別風(fēng)險(xiǎn)

日常業(yè)務(wù)過程中，基金管理公司應(yīng)當(dāng)健全網(wǎng)絡(luò)和信息安全監(jiān)測預(yù)警機(jī)制，設(shè)定監(jiān)測指標(biāo)，對(duì)監(jiān)測機(jī)制執(zhí)行效果進(jìn)行定期評(píng)估并持續(xù)優(yōu)化，每年至少開展一次重要信息系統(tǒng)壓力測試；在重要信息系統(tǒng)上線、變更前，基金管理公司應(yīng)當(dāng)制定全面的測試方案，持續(xù)完善測試用例和測試數(shù)據(jù)，并保障測試的有效執(zhí)行。除必須使用敏感數(shù)據(jù)的情形外，應(yīng)當(dāng)對(duì)測試環(huán)境涉及的敏感數(shù)據(jù)進(jìn)行脫敏，對(duì)未脫敏數(shù)據(jù)須采取與生產(chǎn)環(huán)境同等的安全控制措施；在發(fā)生重大外部環(huán)境變動(dòng)，比如市場較大波動(dòng)時(shí)，重要信息系統(tǒng)的性能容量可能無法保障安全平穩(wěn)運(yùn)行的，基金管理公司應(yīng)當(dāng)及時(shí)對(duì)相關(guān)信息系統(tǒng)開展壓力測試。

②評(píng)估風(fēng)險(xiǎn)

基金管理公司新建上線、運(yùn)行變更、下線移除重要信息系統(tǒng)的，應(yīng)當(dāng)充分評(píng)估技術(shù)和業(yè)務(wù)風(fēng)險(xiǎn)，制訂風(fēng)險(xiǎn)防控措施、應(yīng)急處置和回退方案，并對(duì)相關(guān)結(jié)果進(jìn)行復(fù)核驗(yàn)證。

③防控風(fēng)險(xiǎn)

基金管理公司應(yīng)當(dāng)確保網(wǎng)絡(luò)隔離、用戶認(rèn)證、訪問控制、策略管理、數(shù)據(jù)加密、網(wǎng)站防篡改、病毒木馬防范、非法入侵檢測和網(wǎng)絡(luò)安全態(tài)勢感知等相關(guān)安全技術(shù)措施與信息化工作同步規(guī)劃、同步建設(shè)、同步使用，以及時(shí)識(shí)別、阻斷相關(guān)網(wǎng)絡(luò)攻擊，保護(hù)重要信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施，防范信息泄露與損毀。

④處置風(fēng)險(xiǎn)

在備份方面，基金管理公司可以借助行業(yè)數(shù)據(jù)備份中心建立本地、同城和異地?cái)?shù)據(jù)備份設(shè)施，重要信息系統(tǒng)應(yīng)當(dāng)每天至少備份數(shù)據(jù)一次，每季度至少對(duì)數(shù)據(jù)備份進(jìn)行一次有效性驗(yàn)證。同時(shí)，其應(yīng)當(dāng)建立重要信息系統(tǒng)的故障備份設(shè)施和災(zāi)難備份設(shè)施，根據(jù)信息系統(tǒng)的重要程度和業(yè)務(wù)影響情況，確定恢復(fù)目標(biāo)，保證業(yè)務(wù)連續(xù)運(yùn)行。災(zāi)難備份設(shè)施應(yīng)當(dāng)通過同城或者異地災(zāi)難備份中心的形式體現(xiàn)。

在應(yīng)急預(yù)案方面，基金管理公司應(yīng)當(dāng)根據(jù)業(yè)務(wù)影響分析情況，建立健全網(wǎng)絡(luò)安全應(yīng)急預(yù)案，明確應(yīng)急目標(biāo)、應(yīng)急組織和處置流程，應(yīng)急場景應(yīng)當(dāng)覆蓋網(wǎng)絡(luò)安全事件、自然災(zāi)害和公共衛(wèi)生事件、本公司網(wǎng)絡(luò)和信息安全相關(guān)重大人事變動(dòng)、主要信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)退出等情形。

一旦網(wǎng)絡(luò)安全事件真正發(fā)生，基金管理公司可以根據(jù)事先制定的應(yīng)急預(yù)案和應(yīng)急演練經(jīng)驗(yàn)，高效、及時(shí)進(jìn)行應(yīng)對(duì)和處理。

⑤報(bào)告風(fēng)險(xiǎn)

基金管理公司向中國證監(jiān)會(huì)及其派出機(jī)構(gòu)的風(fēng)險(xiǎn)報(bào)告義務(wù)發(fā)生在以下幾個(gè)場景：(i) 新建上線、運(yùn)行變更、下線移除重要信息系統(tǒng)，可能對(duì)證券期貨市場安全平穩(wěn)運(yùn)行產(chǎn)生較大影響的；(ii) 發(fā)現(xiàn)網(wǎng)絡(luò)和信息安全產(chǎn)品或者服務(wù)存在安全缺陷、安全漏洞等風(fēng)險(xiǎn)隱患，可能對(duì)證券期貨業(yè)網(wǎng)絡(luò)和信息安全平穩(wěn)運(yùn)行產(chǎn)生較大影響的；以及(iii) 網(wǎng)絡(luò)安全事件發(fā)生時(shí)。

4）管理日志留存

《管理辦法》對(duì)重要信息系統(tǒng)的日志提出了明確的要求。首先，核心機(jī)構(gòu)與經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)全面、準(zhǔn)確地記錄并妥善保存生產(chǎn)運(yùn)營過程中的業(yè)務(wù)日志和系統(tǒng)日志，確保滿足故障分析、內(nèi)部控制、調(diào)查取證等工作的需要。重要信息系統(tǒng)業(yè)務(wù)日志應(yīng)當(dāng)保存五年以上，系統(tǒng)日志應(yīng)當(dāng)保存六個(gè)月以上。其中，業(yè)務(wù)日志可以參考《證券期貨業(yè)經(jīng)營機(jī)構(gòu)內(nèi)部應(yīng)用系統(tǒng)日志規(guī)范》(JR/T 0233-2021)中的定義。值得關(guān)注的是，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》第十二條規(guī)定數(shù)據(jù)處理者向第三方提供個(gè)人信息，或者共享、交易、委托處理重要數(shù)據(jù)的，應(yīng)當(dāng)遵守以下規(guī)定：……(三)留存?zhèn)€人同意記錄及提供個(gè)人信息的日志記錄，共享、交易、委托處理重要數(shù)據(jù)的審批記錄、日志記錄至少五年。此處的修改與《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》進(jìn)行了匹配，同時(shí)淡化了業(yè)務(wù)日志的個(gè)人信息屬性。如果業(yè)務(wù)日志中包含有個(gè)人信息，仍然要按照業(yè)務(wù)數(shù)據(jù)的標(biāo)準(zhǔn)，保存二十年以上。

5）加強(qiáng)對(duì)信息技術(shù)服務(wù)機(jī)構(gòu)的管理

基金管理公司應(yīng)當(dāng)建立健全供應(yīng)商管理機(jī)制，明確信息技術(shù)產(chǎn)品和服務(wù)準(zhǔn)入標(biāo)準(zhǔn)，審慎采購并持續(xù)評(píng)估相關(guān)產(chǎn)品和服務(wù)的質(zhì)量。同時(shí)，《管理辦法》也建議基金管理公司與供應(yīng)商簽訂合同及保密協(xié)議，明確約定各方保障網(wǎng)絡(luò)和信息安全的權(quán)利和義務(wù)。

6）保護(hù)投資者個(gè)人信息

基金管理公司業(yè)務(wù)方面，開戶、產(chǎn)品銷售、登記結(jié)算等典型業(yè)務(wù)場景均涉及投資者個(gè)人信息的處理。因此，基金管理公司應(yīng)當(dāng)相應(yīng)建立健全投資者個(gè)人信息保護(hù)體系，明確相關(guān)崗位及職責(zé)要求，建立健全投資者個(gè)人信息處理、安全防護(hù)、應(yīng)急處置、審計(jì)監(jiān)督等管理機(jī)制，在投資者首次使用APP、《隱私政策》更新、涉及使用或關(guān)聯(lián)第三方SDK、取得投資者單獨(dú)同意等情形時(shí)充分運(yùn)用《隱私政策》工具，保障投資者的知情同意權(quán)；除投資者信息保護(hù)外，公司員工、應(yīng)聘者的個(gè)人信息保護(hù)亦不容忽視，從招聘、面試、入職，到員工在職管理，再到離職、檔案轉(zhuǎn)出，公司在日常管理中也要注重員工及應(yīng)聘者的個(gè)人信息處理。

《管理辦法》對(duì)基金管理公司在個(gè)人信息流轉(zhuǎn)各環(huán)節(jié)的操作都提出了安全管理要求，實(shí)現(xiàn)對(duì)《個(gè)人信息保護(hù)法》這一上位法的呼應(yīng)與細(xì)化。

四、結(jié)語

《管理辦法》出臺(tái)后，我們建議基金管理公司認(rèn)真學(xué)習(xí)并對(duì)照完善本公司網(wǎng)絡(luò)和信息安全的制度建設(shè)和日常實(shí)施，履行數(shù)據(jù)和安全保障義務(wù)，及時(shí)化解安全風(fēng)險(xiǎn)隱患。同時(shí)，《管理辦法》還在“網(wǎng)絡(luò)和信息安全促進(jìn)和發(fā)展”這一章提出，基金管理公司組織開展行業(yè)信息基礎(chǔ)設(shè)施建設(shè)的，應(yīng)當(dāng)在保障本公司網(wǎng)絡(luò)和信息安全的前提下，為行業(yè)統(tǒng)籌提供服務(wù)，提升信息技術(shù)資源利用和服務(wù)水平；基金管理公司參加資本市場金融科技創(chuàng)新機(jī)制的，應(yīng)當(dāng)遵守有關(guān)規(guī)定，在依法合規(guī)、風(fēng)險(xiǎn)可控的前提下，有序開展金融科技創(chuàng)新與應(yīng)用，借助新型信息技術(shù)手段，提升本機(jī)構(gòu)證券期貨業(yè)務(wù)活動(dòng)的運(yùn)行質(zhì)量和效能。

基金管理公司在向數(shù)字化智能化邁進(jìn)的路上，以高標(biāo)準(zhǔn)對(duì)待網(wǎng)絡(luò)和信息安全，既是對(duì)投資者的負(fù)責(zé)，也是行業(yè)健康有序發(fā)展的加持。我們也會(huì)持續(xù)關(guān)注行業(yè)實(shí)踐，助力基金管理公司提升網(wǎng)絡(luò)和信息安全保障能力。

本文由中科至善整理發(fā)布，來源：圖解金融與網(wǎng)絡(luò)。