通力法評 | 《證券基金經營機構資訊技術管理辦法》解讀

通力法評 | 《證券基金經營機構資訊技術管理辦法》解讀

原創： 呂紅 | 盧俊 通力律師 昨天

作者：通力律師事務所 呂紅 | 盧俊

2018年12月19日, 中國證券監督管理委員會(以下簡稱“證監會”)正式釋出《證券基金經營機構資訊技術管理辦法》(以下簡稱“《辦法》”)。《辦法》共七章六十四條, 雖然條文數量與2017年5月釋出的征求意見稿一緻, 但具體内容進行了大幅度修改完善。本文結合《辦法》具體條文, 對《辦法》内容進行簡要評述。

近年來, 證監會多次發文強化資訊化建設和資訊系統安全工作, 2014年出台了《資本市場資訊化建設總體規劃(2014-2020)》, 2015年釋出了《中國證券期貨業資訊安全工作規劃》, 2018年印發了《中國證監會監管科技總體建設方案》。同時, 2017年6月1日《中華人民共和國網絡安全法》(以下簡稱“《網絡安全法》”)正式實施。《網絡安全法》要求網絡營運者履行維護其營運的網絡系統和存儲于其網絡系統中的資訊與資料安全性的基本義務, 對證券基金經營機構而言也是應當履行和承擔的法律義務和責任。承接上述立法與政策, 規範證券基金經營機構資訊技術管理的《辦法》應運而生。

1. 《辦法》的适用範圍

根據《辦法》的相關規定, 适用範圍如下:

(1) 證券基金經營機構借助資訊技術手段從事證券基金業務活動, 資訊技術服務機構為證券基金業務活動提供資訊技術服務, 适用《辦法》。

證券基金經營機構是指證券公司和管理公開募集基金的基金管理公司(以下簡稱“基金管理公司”), 但不包括期貨公司和在中國證券投資基金業協會(以下簡稱“基金業協會”)備案的私募基金管理人等。資訊技術服務機構是指為證券基金業務活動提供重要資訊系統的開發、測試、內建、測評服務以及重要資訊系統的運維、日常安全管理服務的機構。

(2) 證券基金專項業務服務機構借助資訊技術手段從事證券基金業務活動的, 參照《辦法》執行。證券基金專項業務服務機構是指從事公開募集基金的銷售、銷售支付、份額登記、估值、投資顧問、評價等基金服務業務的機構和證券投資咨詢機構。

(3) 從事證券公司客戶交易結算資金存管活動的商業銀行、從事公開募集基金的基金托管機構、證券基金經營機構在境内依法設立的子公司及其下設機構, 在借助資訊技術手段從事相關證券基金業務活動時參照《辦法》執行。

是以, 《辦法》的适用範圍十分廣泛, 基本實作了證券基金業務活動中資訊技術相關市場主體監管的全覆寫。

1. 資訊技術管理的責任主體

《辦法》明确了證券基金經營機構的責任主體地位, 按照“誰運作、誰負責; 誰使用、誰負責”的理念, 規定了證券基金經營機構的法定義務和責任。證券基金經營機構雖然可以委托資訊技術服務機構提供産品或服務, 但依法應當承擔的責任不因委托而免除或減輕。

證券基金經營機構需要確定重要資訊系統運作始終處于自身控制範圍。除法律法規及證監會另有規定外, 不得将重要資訊系統的運維、日常安全管理交由資訊技術服務機構獨立實施。

1. 中證資訊技術服務有限責任公司的職責

中證資訊技術服務有限責任公司在證監會指導下制定相關配套業務規則, 協助開展資訊技術相關備案、監測、檢測和檢查等工作, 彌補了證監會資訊技術專業人員緊缺的問題, 将進一步發揮市場專業機構的作用。

1. 資訊技術治理

(1) 治理結構

《辦法》将資訊技術管理上升為公司戰略, 從管理層職責提升為董事會職責。

《辦法》征求意見稿提出“經營機構經營管理層對資訊技術管理工作承擔最終責任”, 《辦法》正式稿修改為證券基金經營機構董事會對資訊技術管理的有效性承擔責任,并明确了董事會對資訊技術管理的基本職責。經營管理層負責落實董事會有關要求, 對資訊技術管理工作承擔責任。

(2) 設立資訊技術治理委員會

《辦法》要求證券基金經營機構應當在公司管理層下設立資訊技術治理委員會或指定專門委員會(以下統稱“資訊技術治理委員會”), 負責制定資訊技術戰略并審議有關事項, 明确資訊技術治理委員會成員除公司進階管理人員及内部部門負責人外, 還可聘請外部專業人員擔任資訊技術治理委員會委員或顧問。

(3) 增設首席資訊官

《辦法》明确證券基金經營機構應當指定一名熟悉證券、基金業務, 具有資訊技術相關專業背景、任職經曆、履職能力的進階管理人員為首席資訊官, 由其負責資訊技術管理工作, 并明确了有關任職條件, 主要包括從事資訊技術相關工作十年以上, 其中證券、基金行業資訊技術相關工作年限不少于三年; 或者在證券監管機構、證券基金業自律組織任職八年以上。

(4) 未對資訊技術部門人員數量做強制規定

《辦法》明确證券基金經營機構應當設立資訊技術管理部門或指定專門機構負責資訊技術管理工作, 但并未對部門人員數量和資格條件做出明确限定。證券公司可參考中國證券業協會《證券期貨經營機構資訊技術治理工作指引(試行)》關于公司的資訊技術從業人員總數原則上應不少于公司員工總人數的6％的規定。

1. 資訊技術合規與風險管理

(1) 建立全方位的風險管理體系

《辦法》明确了業務系統和風險管理系統“雙上線”的要求和業務開展前進行内部審查的要求。證券基金經營機構事中應建立持續有效的風險監測機制, 并至少每年開展一次風險監測機制及執行情況的有效性評估; 事後應當定期開展資訊技術管理工作專項審計, 頻率不低于每年一次, 確定三年内完成資訊技術管理全部事項的審計工作, 至少每三年委托外部專業機構開展一次資訊技術管理工作的全面審計。如因未能有效實施資訊技術管理被采取行政處罰等措施的, 應當在三個月内完成對有關事項的專項審計。

(2) 仍然對證券基金經營機構外部系統接入持謹慎态度

2015年股市異常波動期間, 證監會釋出了《關于加強證券公司資訊系統外部接入管理的通知》, 明确了證券公司使用外部接入資訊系統開展證券業務的禁止性要求, 重申各證券公司不得通過網上證券交易接口為任何機構和個人開展場外配資活動、為非法證券業務提供便利, 實質上禁止了證券公司資訊系統外部接入業務。《辦法》第十七條明确證券基金經營機構應當通過自身營運管理的資訊系統直接接收客戶交易指令, 并記錄客戶交易指令接收時間, 仍然在原則上禁止了外部系統接入, 展現了謹慎的态度, 不過也明确了法律法規及證監會另有規定除外的但書條款, 為今後業務變化留下空間。

(3) 對已在執行的合規風控措施再明确

《辦法》關于采集、記錄、存儲、報送客戶交易終端資訊的規定(第十八條)、電子合同指定儲存并提供查詢、下載下傳的規定(第十九條)、風險管理系統具備驗資驗券功能的規定(第二十條)等行業都已開始執行, 《關于加強證券期貨經營機構客戶交易終端資訊等客戶資訊管理的規定》(證監會公告【2013】30号)已明确交易終端資訊采集要求, 目前行業主要采取記錄網際網路通訊協定位址(IP位址)、媒介通路控制位址(MAC位址)、電話号碼等方式明确客戶身份, 但部分資訊仍然無法確定唯一性, 以何種資訊作為交易終端資訊有待進一步細化。

另外, 對于基金管理公司而言, 新設基金管理公司已經啟動“券商結算模式”試點, 通過券商風控系統最終實作驗資驗券功能。但“券商結算模式”試點前設立的基金管理公司仍然采用租賃券商交易單元的形式接入交易所系統, 理論上存在透支可能, 是否需要轉換成“券商結算模式”有待證監會進一步明确。

1. 資訊技術安全

《辦法》用較大篇幅規範了資訊技術安全相關内容, 主要分為資訊系統安全、資料治理、應急管理三部分。

(1) 資訊系統安全方面

《辦法》規範了技術管理工作, 明确了證券基金經營機構資訊系統開發、測試、上線、部署、變更等環節的監管要求(第二十一至二十八條)。與征求意見稿相比, 《辦法》正式稿有兩處較大調整:

一是關于重要資訊系統的境内部署。《辦法》删除了征求意見稿第二十五條關于将重要資訊系統在境内獨立部署, 并将證券基金經營活動中收集和産生的重要資料和客戶資訊存放在境内及其例外情形的規定。我們了解, 此處修改不能了解為證監會放開重要資訊系統和重要資料境外部署或存放, 而是由于《網絡安全法》等更高層級的法律法規已經對重要資訊系統的部署和資料管理做出規定, 作為規章無需重複更不可違反上層法律法規的規定, 是以《辦法》正式稿第二十六條原則性表述為“證券基金經營機構重要資訊系統部署以及所承載資料的管理, 應當遵循法律法規等規定。”

二是證券基金經營機構可以設立資訊技術專業子公司。《辦法》正式稿在允許證券基金經營機構為其子公司提供資訊技術服務的同時, 明确證券基金經營機構可以設立資訊技術專業子公司, 為母公司提供資訊技術服務。資訊技術專業子公司經證監會備案後可為其他金融機構提供資訊技術服務。該條款進一步提升了證券基金經營機構資訊技術資源的利用效率, 也有利于資訊技術建設基礎較好的證券基金經營機構多元化發展。

(2) 資料治理方面

《辦法》将征求意見稿“資料安全管理”提升到“資料治理”的高度, 展現出資料治理應成為一項公司戰略, 資料不僅僅是一類資料, 更是一項資産, 隻有真正經過專業治理的資料才能滿足數字化轉型的基本要求。《辦法》明确要求證券基金經營機構建構資料治理組織架構和資料全生命周期管理機制(第二十九條), 按照重要性和敏感性對資料進行分類分級管理(第三十條), 并對資料安全、資料保密、資料挖掘等提出了具體監管規定, 要求加強資料安全管理工作, 有效保護客戶資訊(第三十一至三十五條)。

(3) 應急管理方面

《辦法》主要明确了應急機制建設和重要系統、資料備份能力的要求。在應急機制中規定了證券基金經營機構應當落實的應急管理職責(第三十七條), 應急預案的有關内容要求(第三十八條、第三十九條), 明确證券基金經營機構應當根據應急預案定期組織關鍵崗位人員開展應急演練, 演練頻率不低于每年一次, 并確定應急演練在兩年内覆寫全部重要資訊系統; 應急演練應當形成報告, 儲存期限不得少于五年。同時要求證券基金經營機構應當在公司網站、客戶交易終端等管道公示資訊技術突發事件發生時客戶可采取的替代交易方式等資訊, 提示客戶防範和應對可能出現的風險(第四十條)。在備份能力方面, 《辦法》确定了證券基金經營機構重要資訊系統的範圍(第六十三條), 區分證券公司和基金管理公司、實時資訊系統和非實時資訊系統兩個次元, 明确了重要業務系統、資料備份能力等要求(第四十一條), 證券基金經營機構可參照《證券期貨經營機構資訊系統備份能力标準》(JR/T 0059—2010, 2011年4月14日釋出實施)了解相關能力等級的具體要求。

1. 資訊技術服務機構

(1) 基金資訊技術服務機構和證券資訊服務機構差别化的監管規則

基金資訊技術服務機構應當向證監會備案, 而證券資訊服務機構可以自願接受中證資訊技術服務有限責任公司的業務指導, 并遵守相關業務規則, 沒有強制備案要求。基金管理公司應當選擇已在證監會備案的資訊技術服務機構, 并在備案範圍内與其開展合作。證券公司應當選擇符合《辦法》第四十七條有關條件的資訊技術服務機構開展合作。

(2) 資訊技術服務機構向基金管理公司和私募基金管理人提供服務的不同備案要求

由于《辦法》僅規範為基金管理公司提供資訊技術服務的資訊技術服務機構, 是以如果資訊技術服務機構為私募基金管理人提供資訊技術服務則不适用《辦法》, 仍應按照基金業協會《私募投資基金服務業務管理辦法(試行)》的要求向基金業協會登記。

(3) 基金資訊技術服務機構提供“直銷引流”等部分經營模式被禁止

在以往基金資訊技術服務機構與基金管理公司業務合作中, 存在基金管理公司依賴基金資訊技術服務機構(包括第三方電子商務平台)為其基金直銷引流等業務模式, 基金資訊技術服務機構部分參與基金産品的營銷策劃、宣傳推介等, 同時可能存在掌握基金客戶資訊和資料, 并根據基金銷售量與基金管理公司結算費用的情況。《辦法》出台後, 上述業務模式被禁止。

《辦法》第五十一條規定資訊技術服務機構為證券基金業務活動提供資訊技術服務, 不得有“參與證券基金經營機構向客戶提供業務服務的任何環節或向投資者、社會公衆等釋出可能引發其從事證券基金業務誤解的資訊”、“截取、存儲、轉發和使用證券基金業務活動相關經營資料和客戶資訊”的行為。同時《辦法》生效後, 《證券投資基金銷售機構通過第三方電子商務平台開展業務管理暫行規定》(證監會公告〔2013〕18 号)同時廢止, 展現了《辦法》要求不同機構各司其職、更加關注專業化運作的态度。

1. 監督管理

《辦法》強化了資訊技術日常監管力度, 明确了證券基金經營機建構立或更換重要資訊系統所在機房、證券基金交易相關資訊系統, 應當在開展相關業務活動的五個工作日内向證監會報送有關資料, 證券基金經營機構應當在報送年度報告的同時報送年度資訊技術管理專項報告, 資訊技術服務機構應按照證監會要求及時報送有關材料等要求(第五十三條、第五十五條)。

《辦法》還對資訊技術服務機構規定了相關違規行為的罰則。資訊技術服務機構原先并非證監會監管範圍, 是以證監會對資訊技術服務機構的監督檢查、行政處罰都存在較大障礙。《辦法》按照監管全覆寫的理念, 在第五十九條明确了對違反《辦法》有關規定的資訊技術服務機構, 可以采取行政監管措施和行政處罰, 不符合持續經營條件的, 可以責令改正, 拒不改正或情節嚴重的, 登出備案。

1. 其他

《辦法》自2019年6月1日起實施。根據《辦法》要求, 證券基金經營機構、證券基金專項業務服務機構應該在《辦法》實施之日起半年内(即2019年12月1日前)将已投産的重要資訊系統所在機房、證券基金交易相關資訊系統等相關情況按照《辦法》第五十二條的規定報送證監會。

《辦法》實施前, 已提供相關服務的基金資訊技術服務機構應當在《辦法》實施之日起半年内(即2019年12月1日前)向證監會備案。

《辦法》實施前, 已從事相關業務活動且不符合《辦法》第十七條規定的(即未通過自身營運管理的資訊系統直接接受客戶交易指令), 證券基金經營機構應當妥善處理相關問題, 并在《辦法》實施之日起半年内(即2019年12月1日前)完成整改; 整改未完成前, 不得借助違規接收客戶交易指令的資訊系統增加新客戶或提供新服務。